Я относительно новичок в Sys Admin, и есть это требование ... или, по крайней мере, разговор о требовании, посредством которого мы ограничиваем доступ к определенным папкам для определенного набора компьютеров (OU в нашем домене, который содержит комнату с ПК) . Я просто не знаю, возможно ли это в активном каталоге. У меня такое ощущение, что разрешения файловой системы предназначены только для сопоставления пользователей / групп и не могу понять, как я могу попытаться помешать пользователям изменять эти файлы, кроме как в этой комнате (контейнер AD) на этих ПК.
Это возможно? Любые предложения приветствуются (независимо от того, насколько левое поле).
РЕДАКТИРОВАТЬ: кажется, нужна дополнительная информация ...
Я в школе. Общий ресурс сервера, к которому я применяю разрешения, содержит файлы, которые используются для функций школьной отчетности. У меня есть ряд групп безопасности, применяемых к общему ресурсу, чтобы соответствующий административный персонал мог получить доступ к файлам так, как им нужно, а преподаватели могли делать то же самое.
В дополнение к требованиям, удовлетворенным в приведенной выше реализации, руководство хочет, чтобы преподаватели внесли изменения в эти файлы. только в конкретной комнате (так что, как мне кажется, за ними можно «наблюдать»). У меня есть контейнеры AD, настроенные для компьютеров в этой комнате - я надеялся, что существует решение групповой политики для решения этой проблемы с разрешениями.
Это одна из тех интересных областей, которые не подходят для случая использования операционной системы Windows, о котором думала Microsoft.
Разрешения NTFS не имеют никаких функций, связанных с назначением разрешений на основе компьютера, к которому осуществляется доступ, за исключением очень грубого приближения с использованием «ИНТЕРАКТИВНЫЙ» или «СЕТЬ» общеизвестные идентификаторы безопасности (SID). Пользователь, обращающийся к конкретному ресурсу, используется при принятии решения об управлении доступом независимо от компьютера, с которого была предпринята попытка доступа.
Если вам нужно «исправление» на основе групповой политики, я предлагаю уродливый обходной путь. Это неоптимально, но выполнит то, что вы ищете. (Это очень быстро и грязно. В частности, это действительно не лучший способ размещать объекты групповой политики в верхней части домена без разбора, потому что в целом вы хотите, чтобы наименьшее количество объектов групповой политики применялось к данному компьютеру или пользователю для ускорения применения Групповая политика.)
Создайте глобальную группу безопасности с именем, скажем, «Учетные записи конфиденциальных компьютеров» в Active Directory. Сделайте все учетные записи компьютеров, на которых будет осуществляться «Чувствительный» доступ, членами этой группы.
Создайте в Active Directory глобальную группу безопасности с именем, например, «Учетные записи конфиденциальных пользователей».
Создайте дополнительные учетные записи пользователей в Active Directory для всех людей, которые будут выполнять «конфиденциальные» действия. Сделайте все эти учетные записи пользователей членами группы «Учетные записи конфиденциальных пользователей».
Создайте и свяжите объект групповой политики в верхней части Active Directory под названием «Ограничение входа в учетную запись конфиденциальных пользователей». В этом GPO перейдите в «Конфигурация компьютера», «Параметры Windows», «Локальные политики» и «Назначение прав пользователя». Найдите параметр «Запретить локальный вход в систему» (и, если вы так склонны и параноик, - «Запретить вход в качестве службы» и «Запретить вход в качестве пакетного задания») и добавьте в группу «DOMAIN \ Sensitive User Accounts» Настройки. (Это предполагает, что вы не используете ни одну из этих политик в настоящее время на более низких уровнях AD. В стандартной Active Directory в W2K-W2K8 это было бы правдой.)
Измените разрешения объекта групповой политики «Ограничить вход в систему с конфиденциальными учетными записями пользователей», добавив группу «Учетные записи конфиденциальных компьютеров» с разрешением «Запретить / применить групповую политику».
Примените разрешения NTFS к папкам, в которых хранятся «Конфиденциальные» файлы, чтобы разрешить доступ только членам группы «Учетные записи конфиденциальных пользователей». (Это упражнение оставлено до постера ...)
Это приведет к тому, что «Учетные записи конфиденциальных пользователей» смогут входить в систему локально только на компьютерах, которые указаны в группе «Учетные записи конфиденциальных компьютеров». Таким образом вы можете запретить доступ к папкам, содержащим «конфиденциальные» файлы, потому что вы установите разрешения, чтобы ограничить доступ к этим папкам только для «конфиденциальных учетных записей пользователей» (которые могут входить только в «конфиденциальные учетные записи компьютеров» компьютеры.)
Иметь вторичные учетные записи для пользователей действительно некрасиво. Однако, поскольку вы хотите сделать что-то, для чего Microsoft не разрабатывала операционную систему, вам придется сделать что-то ужасное, чтобы обойти встроенные ограничения.
Другое, все еще потенциально уродливое, но работоспособное решение - разместить эти общие папки на сервере Samba. Samba, используя параметр конфигурации "hosts allow", делает иметь механизм для ограничения доступа к общим папкам на основе разрешения пользователя и исходного компьютера, с которого поступает доступ. Однако, если вам не нравится сидеть без дела сервер на базе * nix (виртуально, возможно), эта альтернатива принесет вам мало пользы.
Вы используете групповые политики? Вы можете установить разрешения NTFS для групп с помощью групповых политик (GPO), а затем просто применить этот GPO к определенному AD OU.
Это. Вы должны взглянуть на ACLс. Эти Списки контроля доступа для файлов и каталогов. Они представляют собой дополнительный уровень разрешений поверх стандартных разрешений файлов Unix.
Где эти папки, на компьютерах в комнате или на серверах в вашей сети?
Предположение №1 | Ограничить доступ к общим сетевым ресурсам
"определенные папки"- я предполагаю, что эти папки являются общими сетевыми ресурсами, и что вы не хотите, чтобы пользователи машин в подразделении имели доступ к этим (общим) папкам. То есть" группа "здесь определяется те, у кого есть физический доступ к компьютерам в комнате, например пользователи публичной библиотеки или чего-то подобного.
В таком случае, ...
Ты делаешь это неправильно
Обычный метод - ограничить доступ к группам пользователи а не машины, поскольку машины (у которых есть собственные учетные записи в AD) редко получают доступ к общим файловым ресурсам в сети. Случаи, когда они действительно включают общий ресурс SYSVOL, в котором находятся объекты групповой политики, или устанавливают общие ресурсы для назначенных приложений.
Предположение №2 | Ограничить доступ к локальным папкам
"определенные папки"- здесь я предполагаю, что эти папки находятся в локальной файловой системе каждого компьютера. Возможно, в C:\Install\ что вы не хотите, чтобы пользователи копировали, например, на свои USB-накопители.
Групповая политика позволяет политики файловой системы,
Edit GPO > Computer Configuration > Windows Settings > Security Settings > File System
Сначала добавьте папку C:\Install, затем выберите «Свойства» и измените разрешения NTFS, чтобы запретить (или не включать) пользователей, которых вы хотите заблокировать. Сначала проверьте. Много. Я не уверен, но я думаю, что вы будете перезаписывать (не добавлять) разрешения NTFS, Отрицать здесь пригодится.
Вы также можете скрыть целые диски с помощью групповой политики, что было бы полезно, если вы сохранили свои ограниченные файлы на D: \, пользователи не увидят диск - я не уверен, насколько это надежно, но он популярен на терминальных серверах и Среды SoftGrid.
Локально вошедший в систему пользователь называется INTERACTIVE, Кстати. И это имя пользователя локализовано, если ваша ОС не английская.
Ограничение компьютеров просто не кажется хорошей идеей. Я как бы понимаю то, чего вы хотите достичь, и - если я правильно угадаю - я думаю, что у вас есть какие-то конфиденциальные данные (например, кадровые записи или аналогичные), которые вы хотите окончательно закрепить за соответствующим персоналом, даже если они до степени блокировки ваших администраторов от этого.
Я думаю, что нам действительно нужно больше информации о том, какова ваша цель, и я думаю, что отступление и сосредоточение внимания на том, чего вы хотите достичь, а не на том, как вы хотите достичь этого, может быть полезным упражнением.
Если я прав в своем предположении, вам также нужно подумать о дальнейших последствиях этого, с точки зрения того, как это повлияет на ваше резервное копирование и восстановление, и с точки зрения того, кто теперь будет управлять доступом к этим папкам.
Похоже, вы сегментируете сеть и блокируете такой трафик отовсюду, кроме разрешенных комнат ...
Если люди, входящие в систему за пределами подразделения, не нуждаются в доступе для чтения к папкам, вы можете настроить подключенный диск, который будет отображаться только тогда, когда кто-то входит в компьютер с помощью подразделения. Это не помешает другим получить доступ к нему, если они знают UNC-путь, но если ваши пользователи такие же, как наши, это поможет. Это также зависит от того, что папки, о которых идет речь, не вложены в другие части ваших общих файловых ресурсов, которые необходимы обычным людям.
ETA:
Доступ к комнате ограничен таким образом, чтобы вы могли использовать этот список для ограничения общего сетевого ресурса?