windows 2k8 + active directory + file server

Microsoft Windows

Sziasztok!

Par napos erolkodes utan fordulok hozzatok az alabbi problemammal:

Szeretnek egy halozati mappa megosztast letrehozni ugy, hogy a felhasznalok a nekik router altal kiosztott cimekkel tudjanak csak csatlakozni a mappahoz.

fs + ad szolgaltatas telepitve, user letrehozva.
Intezoben kivalasztom a megosztani kivant mappat a letrehozott felhasznaloval. Itt szeretnek szigoritani, hogy csak az adott IP-ju gep adott felhasznaloja ferhet hozza a mappahoz, de sajnos nem tudom hogyan.
Van valakinek otlete, hogy hogy kene megcsinalni?

A halozat ugy nez ki, hogy:
router: 1.254
file server: 1.253
kliens gep: 1.101

Tovabba az is elvaras lesz, hogy bizonyos IP tartomanybol abszolut ne lehessen elerni a szervert, de ezt sem sikerult megoldanom.
Windows tuzfalban letrehoztam egy olyan szabalyt, hogy az 1.101-1.102-ig ne tudjanak csatlakozni, de en tovabbra is fel tudom csatolni a mappat a 101-es IP vegzodesu gepemen.

Tudtok segiteni?
Koszonom a valaszokat elore is!

udv:
Anonym.

  • 5541 megtekintés

( gergelykiss | 2011. 12. 07., sze – 14:29 )

Legjobb tudomásom szerint ez nem megoldható Windows alatt (mármint az IP-cím szűrés egy adott megosztásra vonatkozó beállítása). A Samba tud ilyet, így ha ez mindenképp szükséges, akkor esetleg érdemes lehet a megosztásokat egy Samba szerveren beállítani ("hosts allow" paraméter, megosztásonként állítható).

A globális tűzfalszabálynál lehet, hogy a beépített szabályt kell szerkesztened, és ott a Scope alatti "Remote IP address"-nél úgy megadni az IP-tartományt, hogy a tiltandó címek ne szerepeljenek benne. A szabály neve alapesetben: "File and Printer Sharing (SMB-In)". Sajnos tesztelni most nem tudom, mert GPO-ból tiltva van a Win tűzfal nálunk, de szerintem ez biztosan működni fog.

( furge | 2011. 12. 07., sze – 14:58 )

AD-ban van még egy olyan opció, hogy egy adott felhasználónál megmondod melyik gépekre léphetnek be. ha jól emlékszem akkor exchangnél ezt figyelembe vette. volt egy olyan kolléga aki asztali gépet használt és egyszer csak kapott egy olyan telefont amin levelezni is akart. és akkor addig ameddig benne volt, hogy csak 1 gépről léphet be addig a telefonon nem ment az exchabge.

ki lehet próbálni.

( legoninja | 2011. 12. 07., sze – 17:14 )

Azt nem látom miért hálózati és miért nem user szinten (ntfs jogok) akarod ezt szétválasztani? Sokkal egyszerűbb lenne, és sokkal nehezebb lenne megkerülni mint beállítani magadnak egy másik ip-t.

pontosan mire gondolsz?
Az eddigi felallas az volt, h kliens gepeket lekorlatozni kliens szinten, hogy pl a vezerlopulthoz ne ferjenek hozza ( se cmd ) es akkor mar IP se tudnak valtoztatni. ( meg keves az ismeret ahhoz, hogy ez xp, win7 os-eken kivitelezhetoek e )
Amugy se jo ha pl mindenfele szemet programot telepitgetnek...
Koszi a valaszod...

( n.balazs v | 2011. 12. 07., sze – 19:10 )

Ha jól értem, akkor tartományi hálózatod van. A gépek DHCP-n keresztül kapják az címüket.
Ekkor ugye minden gép fix címet kap. Az AD-ben beállíthatod, hogy melyik gépre ki léphet be. Ha a gép és felhasználó összerendelése 1-1, akkor nyert ügyed van.
Felhasználói szinten beállíthatod, hogy a megosztáshoz ki férhet hozzá. Mivel a felhasználó=gép megfeleltetés teljesül, ezért így gépre is szűrtél. Ezután már csak a szerver tűzfalán kell beállítanod, hogy melyik IP címekről érhető el a szerver. Az, hogy nem jutott érvényre a beállításod nagy valószínűséggel annak köszönhető, hogy nem az összes protokollt tiltottad le nem a tartományi tűzfal profilban. Tiltandó portok: 135-139/tcp+udp,445/tcp+udp. Remélem, nem hagytam ki semmit.
Ha a fenti 1-1 összerendelés nem teljesül, akkor 2 utat javaslok: NAP(Network Access Protection) konfiguráció vagy domain izoláció IPSec-kel. Utóbbinál megcsinálod a tanúsítványokat, GPO-ból kiteszed a gépekre+szerverre. Így a szervert csak a tanúsítvány birtokában lehet majd elérni. Természetesen a felhasználó ekkor is azonosítja magát a szerver felé a felhasználói név+jelszó kombóval. A NAP-os konfigurációval még sose próbálkoztam, de elvileg azzal is megoldható ez.

koszi a hozzaszolast. Nem, nem tartomanyi halozatom van. Sajnos rovid az ido, az ismeret meg keves, hogy kell egy olyat osszerantani, de ha jol sejtem, akkor tartomany letrehozasa, majd a kliens ide logol be tulajdonkeppen. Ez egy olyan kornyezet, ahol szerver szinten lehet group policyt letrehozni. Es ha jol gondolom, akkor AD-n bealltok mondjuk egy "juzerek" csoportot, ahol meg tudom mondani azt, hogy ki mit csinalhat a tartomanyon belul? hmmmm

A tuzfalas beallitas fogalmam sincs miert nem megy.... a szerveren bejovo kapcsolatnal hoztam letre uj szabalyt, customizaltam az osszes protokollra, es egy olyan tartomanyt adtam meg neki, amibe en is beletartozom, majd block-ra allitottam a kapcsolatot. Nem is ertem, miert nem ette meg. Aztan az ip security (talan) oldotta meg a problemamat a bizonyos ip-k tiltasara, csak egyesevel kellett letrehoznom a nem kivanatos ip-ket.

Leirom az "elvarast", lehet hogy en gondolkodok nagyon rossz iranyba.

Lenne egy file server, ahova a cegnel dolgozo kollegak feltotik a filejaikat. Van par dolgozoi csoport, de leginkabb user szintu hozzaferest szeretnenk, nem csoportost.
Fontos, hogy a megfelelo userek csak azokat a mappakat lassak, amik nekik vannak megosztva.
Kesobb backup + VPN.

Tanacsot otletet tovabbra is szivesen fogadok.

Koszonom!

Huuh, a válaszom hosszú lesz, bocsi érte.
Ha nem tartomány, akkor nincs AD. :) A tartomány lényege(erősen leegyszerűsítve), hogy van egy központi címtárad a szerveren(ez az AD) és a bejelentkezés, azonosítás, felhasználók nyilvántartása mind itt történik. Ha Gipsz Jakab be akar jelentkezni a gépére, akkor tulajdonképpen az AD-be jelentkezik be. Ha az AD-ben Gipsz Jakabnak nem engedélyezett a bejelentkezés például PC-001-ről, akkor onnan sehogy se fog tudni bejelentkezni. Nem tudom, hogy mekkorra a hálózat, de ha 10-nél több gép/felhasználó van, akkor térj át tartományra.
A gépeket első alkalommal be kell léptetned, a felhasználókat létre kell hoznod az AD-ben és utána a rendszer használható. Ez egy gyors megoldás az áttérésre. A többi AD nyújtotta lehetőséggel(központi profil, csoportházirend stb.) ráérsz később foglalkozni.
AD-ben vannak csoportok, így adhatsz nekik jogokat. Csoportokat egymásba is ágyazhatsz, így elég bonyolult effektív jogosultságokat tudsz megvalósítani. Igen, van olyan, hogy "juzerek" csoport.
A tűzfalnak 2 oka lehet: egyik az általam is említett profil(tartományi/munkahelyi/otthon/nyilvános), illetve zwei által említett IPv6-os cím. A megfelelő profilban - amelyikben van a hálókártyád - vedd fel a szabályokat, és ezt tedd meg IPv4 és IPv6 címmel is. Gyors egyszerűsítés: tiltsd le a szerveren az IPv6-ot, így csak IPv4-gyel kell foglalkoznod. Hogy miért, azt most hosszú lenne elmondani.
Egyébként jogosultságot MINDIG csoportnak adunk. Nincs kivétel. Legrosszabb esetben létrehozol egy Megosztott_mappa1_users csoportot és ebbe teszed be a felhasználókat az adott megosztáshoz. A mappa láthatósága beállítható.
A backup+VPN problémával majd foglalkozz jóval később. A VPN megoldása mindenképp rendszer felépítésének függvénye. A tartományra átállás előtt érdemes a szerverről egy mentést készítened.

En vagyok a ludas, nem jol fejezem ki magamat es ezert felre is ertem azt, amit irtok :(
Azt nem tudom hogy lehet megoldani ( es talan ez a legjobb megoldas es Ti is ezt javasoljatok ), hogy kliens gep bootolaskor egybol az en tartomanyomba ( akarmi\gipsz.jakab) jelentkezzen be a juzerek csoport gipsz.jakab felhasznaloja.
Szoval en azt nem ertem, hogy ezt ha meg lehet valositai, akkor ez hogy tortenik..... Szerver megy non-stop, klien gep bebootol, majd a szerver tartomanyaba jelentkezik be gep && user acc. azonositas utan.

Tehat van egy fo DC-m ( akarmi.local, bejelentkezeskor akarmi/adminisitrator var ), ehhez tarsult DNS szerver, FS szerver, AD.

Az ipv6-os tortenetet megoldom ma, koszonom a segitseget!
Jogosultsagot miert csoportnak osztunk ki?
Ok, VPN meg buckup egyelore ugy se letszukseglet.
-------------

"Az informatika az a szakma, melyet foiskolan tanitanak. Jo alapot adhat, de megelni belole nem fogsz..."

több ok miatt is csoporthoz osztunk jogot. nálam tapasztaltabbak biztos tudnak még több mindent vagy pontosabb megfogalmazást adni.

okok:
átláthatóbb a rendszer, auditálhatóbb. sok felhasználó annyit tud mondani, hogy olyan jog kell mint xy felhasználónak. és ha őt személyesen adod hozzá például mappákhoz akkor lehet fél év lesz mire mindent belősz. így viszont csak ugyanazokhoz a csoportokhoz kell hozzárendelni. adminisztrálhatóbb a rendszer. ma lehet csak 1 embernek kell egy hozzáférés.

"több ok miatt is csoporthoz osztunk jogot. nálam tapasztaltabbak biztos tudnak még több mindent vagy pontosabb megfogalmazást adni. "

Röviden: szerepkörök
Hoszabbam: Egy szervezetben nem Géza, Gizi, és Jakab , hanem a Cégvezető, a Titkárnő, és a Jómunkásember dolgozik.
Ha megvan, hogy milyen szerepek ellátásához milyen jogosultság kell, akkor a megfelő embereket pár perc alatt bele lehet szórni a megfelelő szerepkörökbe.

5-6 fős cégnél ez kb. feleslegesnek tűnhet, de már 50-60 embernél is, a rendszergazda a szívroham előtt pár nappal még hirtelen megőszül, ha ezt karban kell tartania.
5-6 fős cégnél azért érdemes mégis így csinálni, mert ha véletlenül nagyobb helyen dolgozik az ember, akkor már az ujjában van a megfelelő gyakorlat.

Szia!
A jogosultság szintű hozzáférést meg lehet oldani tartományvezérlő nélkül is.
Mégpedig úgy, hogy létrehozol a 2k8-ban lokálisan minden felhasználót, és a share-t jogokat ezekre osztod ki. Ezzel el tudod érni, hogy adott felhasználó, adott mappához férjen hozzá. Közös halmaz esetén ezeket ugyanúgy csoportba tudod szervezni. Megjegyzem ez elég őrült fapados megoldás.

Mint ahogy már a többiek is leírták a tartomány használata lenne a legideálisabb számodra.
Sok step-to-step leírás van a netten a mikéntről.

Jogosultságokat azért osztunk ki csoportoknak (mégha egy mappához csak egy ember fér hozzá akkor is), mert sokkal kevesebb meló van vele később. Nem kell a könyvtárstruktúra jogosultságait variálni folyamatosan. Elég csak csoportokból ki- be pakolni az emberkéket.

Szerintem nem csak átfedés esetén hasznos.
Egy egyszerű példa:
Van 1 db mappa, benne 300 almappa, 5 szint mélyen. Benne kb 25000 db pdf, email, stb.
Ez a cég kimenő bejövő postaforgalma a 2010-es évben.
Jön egy új kolléga, akinek hozzáférést kell adni.
Tippeld meg, hogy nekem mennyi időbe telik ez csoport szinten, és neked mennyi ideig tart felhasználó hozzáadással.
Nem kell átfedés más felhasználókkal. Ez egy egyszerű megosztás.

Az ok nagyon egyszerű: cachelés. Ha adott egy mappához tartozó jogosultságok mindig gyorsítótárazottak a teljesítmény miatt. Ebbe a gyorsítótárba viszont csak csoportok kerülhetnek - pontosabban a csoportok SID-je.
Így ha téged hozzáadnak Mappa1 engedélyezett felhasználóihoz, akkor az nem jut azonnal érvényre, ki kell lépned, majd újra be kell lépned a gépeden - tipikus: Gizike, indítsa már újra a gépet és megjavul. Ekkor történik a jogosultság lista újrabetöltése is. Ha viszont csoportnak adod a jogot, akkor azonnal érvényre jut a változtatás az adott csoporton, mivel a csoport már szerepel a gyorsítótárban.

Kicsit pontosítom a hozzászólásom, mert zavaros:
Szóval adott egy Mappa1. Ha a felhasználót közvetlenül adom hozzá(legyen User1), akkor Gizikének ki, majd be kell lépnie.
Ellenben ha van egy csoport(legyen Mappa1_users), és ennek van jogosultsága Mappa1-hez, és User1-t hozzáadom Mappa1_users-hez, akkor Gizikének nem lesz gondja. Továbbá ha Mappa2_users csoportot hozzáadom Mappa1-hez, akkor ugyancsak nem lesz gondja a felhasználóknak. Ezért érdemes csoportokkal operálni.

Nem tudom honnan van az infód, de ez pont fordítva van.

Ha a felhasználót közvetlenül adod hozzá, akkor nem kell semmit tennie, mert az access tokenjében levő user SID (a felhasználóhoz tartozó biztonsági azonosító) alapján attól a pillanattól kezdve hozzáfér az erőforráshoz.

Amennyiben csoporthoz adod hozzá, más a helyzet. A csoporttagság bejelentkezéskor értékelődik ki, a rendszer megállapítja az összes csoportot, amelynek a felhasználó tagja (ez egyébként lekérdezhető a whoami /groups paranccsal). Ez a lista belekerül az access tokenbe, és a felhasználó ahhoz fog hozzáférni, amihez az ebben a listában szereplő csoportok hozzáférnek. Ha csoporthoz adod a felhasználót, amíg újra be nem jelentkezik, az access tokenje nem frissül, tehát nem jut érvényre a változás.

Olvasgatásra: http://technet.microsoft.com/en-us/library/cc783557(WS.10).aspx

"Azt nem tudom hogy lehet megoldani ( es talan ez a legjobb megoldas es Ti is ezt javasoljatok ), hogy kliens gep bootolaskor egybol az en tartomanyomba ( akarmi\gipsz.jakab) jelentkezzen be a juzerek csoport gipsz.jakab felhasznaloja."

Így:

http://www.mydigitallife.info/how-to-enable-auto-logon-to-windows-xp-an…

(sima munkacsoportos környezetben: "control userpasswords2")

( zwei | 2011. 12. 07., sze – 19:24 )

Ne felejtsd el, hogy win2k8 ipv6-on is aktívan kommunikál, úgyhogy hiába tiltod le az klienst IPV4-en, IPV6-on még bejön ....

( Cisco | 2011. 12. 07., sze – 21:17 )

Hello,

van meg1 otletem. hatha ez kell neked: a win 2k8ra felraksz egy IIS7et es letrehozol egy FTP site-ot. Itt tudsz access-t engedelyezni es tiltani IP cimekre es utana tovabb finomithatod NTFS jogosultsagokkal.

Most nincs access-em IIS7hez de IIS6-on a kov. helyen talalod ezt a beallitast:
- Miutan letrehoztad az FTP site-ot jobb klikk "Tulajdonsagok"
- A "Directory Security" fulon tudsz beallitani kulon IP vagy IP range-re access-t vagy tiltani is...

Ha esetleg tobb info kell vayg van kerdesed megprobalok segiteni...

( zwei | 2011. 12. 07., sze – 23:21 )

tiltsd le a klienseken az IPV6-ot..... vagy azon is is szűrd ki a klienseket windows szerver tűzfalán....
írtam már pár órája, hogy a Win szerver ipv6-on is figyel alapból, és a legtöbb kliens is.
Tilthatod nyugodtan az ipv4-es IP-ket, a kliensek ipv6-on vidáman elérik továbbra is a szervert....

( Cisco | 2011. 12. 08., cs – 09:28 )

megmondom oszinten nem tudom miert szivatod magad... IIS7 telepitese kb. 5 perc mivel benne van az alap win2k8 csomagban. egy FTP site-ot bekonfigolni 5 kattintas 5 perc. beallitod a jogosultsagokat meg 5 perc. 15 perc alatt kesz vagy es nem kell DC-t installani konfigolni ami ennel sokkal complexebb...

utana a browseren minden usernek berakod favoritesbe, ha sokan vannak akkor tobb ido. de mondjuk elkuldheted a linket mindenkinek emailben kb. 2 perc. azt meg hogy nem tudnak egy linkre kattintani mar nehez elhiggyem hacsak nem agyhalottak...

( legoninja | 2011. 12. 08., cs – 09:47 )

Huhuu, szerintem ne zavarjuk össze a kollégát NAP-al, IIS-el meg hasonlókkal, mert ha tényleg -saját bevallása szerint- nem ismeri ezeket a megoldásokat akkor csak egy fölöslegesen túlkomplikált és túlbonyolított rendszert építtetünk vele amiben hibát keresni és elhárítani fájdalmas lesz :)
Szerintem maradj a felhasználó illetve a csoport szintű korlátozásnál, sokkal egyszerűbb. De én is azt javaslom, hogy ne egyenként rendeld a felhasználókat a könyvtárakhoz hanem csinálj csoportokat. A karbantartása sokkal könnyebb.

egyelore csak x db ip-t zartam ki, es ott az osszes protokollt.
Szerintem marad a userek egyenkeni hozzaadasa, mert sok atfedes lehet abbol, hogy egy ember tobb megosztott mappahoz is hozzaferhet.... de cafoljatok meg nyugodtan...
Koszi a hozzaszolasokat...

-------------

"Az informatika az a szakma, melyet foiskolan tanitanak. Jo alapot adhat, de megelni belole nem fogsz..."