Megosztott mappa megosztási engedélyeinek speciális leszűkítése SMB protokollos szkenneléshez

Microsoft Windows

Sziasztok!

Adott munkahelyi környezetben 10 db asztali számítógép és 2 db KONICA MINOLTA bizhub [223 és c220] készülék.

A router LAN portjaiba csatlakoznak a Konica készülékek.
A nyomtatás adott IP cím megadásával van telepítve.
A szkennelés pedig megosztott mappába történik SMB protokoll használatával.

A szkennelés fogadására megosztott mappának az engedélyei úgy vannak beállítva, hogy "Mindenki" által "Teljes hozzáférés".
Természetesen tökéletesen működik a szkennelés is.

Az egyetlen probléma az, hogy aki az adott hálózatra csatlakozok, az ugye eleve láthatja ezt a szkennelés fogadására megosztott mappát. Azaz mind a 10 gép mappáját a szkennelt tartalmaival.

A kérdésem az lenne, hogyan kellene az említett, szkennelés fogadására megosztott mappa engedélyeit úgy beállítani, hogy ugye más, a hálózaton lévő eszközök ne láthassák, ám a Konica készülékek továbbra is tudjanak rá szkennelni? :) Azaz a "Mindenki" csoport helyett konkrétan mit/miket kellene engedélyezni?

Üdv.: Zsolt

  • 422 megtekintés

( Carter | 2023. 08. 25., p – 12:34 )

Bár nem volt még a kezemben ilyen eszköz, de a minolta gépen talán úgy van, hogy beállítod, hogy hová szkenneljen - és ha ott autentikálni kell (user, jelszó) a mappához, akkor nyertél. Mert akkor csak annyi a dolgod, hogy minden gépen ezt a megosztott mappát nem mindenki/teljes hozzférésre állítod, hanem minden gépen létrehozod a minolta nevű usert, majd a mappában beállítod, hogy csak a minolta tudjon hálózaton másolni.

Ennek hátránya, hogy aki tudja a minolta user jelszavát, az továbbra is be tud majd lépni ezekbe a megosztott mappákba, valamint hogy a hálózaton látszódni fognak ezek a mappák (igaz, jelszó nélkül nem tudnak belépni) Ahogy sejtem a felhasználók képzettségét, ezzel nem lesz gond :)

Későbbi kommentelők majd kijavítanak, hogy miért írtam fatális hülyeséget.

( gyuri23 | 2023. 08. 25., p – 12:59 )

Szerkesztve: 2023. 08. 25., p – 13:06

Van AD? Mi az, hogy más hálózaton levő eszközök? Jó lenne tudni miről beszélünk.

A "Mindenki" csoportot el kell felejteni ha jót akarsz magadnak. Ha van AD igen egyszerű, kell egy "scan" group és abba kell rakni azt akit oda akarsz engedni és a nyomtatóknak is kell egy-egy saját user.

Ha nincs AD akkor is kb ugyan így, gondolom vannak felhasználók a samb-n.

Vagy ha csak 10 gép van, minden gépre csinálhatsz egy saját scan mappát és a nyomtatón a címjegyzéken minden gépet felveszel. Tuti nem fogja más látni.

Vagy a smaba-n csinálsz mindenkinek saját megosztás és oda szkennelhet.

Amit szeretnek még a felhasználók, ha van egy rahedli mappa amiket kérnek és címjegyzékből egyből bele lehet szkennelni.

Vagy kombinálod ezeket.

Ami szívathat, hogy a nyomorult nyomtató melyik SMB protokollt ismeri. Ha valami régi vacak és csak az 1-est akkor kuka nyomtató, mert nem fog tudni autentikálni.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( KakalakiAkka | 2023. 08. 26., szo – 06:00 )

Szerkesztve: 2023. 08. 26., szo – 06:02

Legegyszerűbb: minden gépen létrehozol egy csoport nélküli felhasználót jelszóval, megosztod nekik a scan mappájukat, a scan felhasználónak csak, a konicákba felveszed ezeket a megosztásokat (kelleni fog ugye a felhasznév+jelszó) és boldogság.

Profnál kezelésnél (ez a gép, jobb klikk...)tudsz felvenni felhasználót, de töröld a csoporttagságukat, frissítések után így sose lehet gond, hogy nem megy a scan.

Homenál is meg lehet ezt csinálni, de ott cmd-ben kell ezt megoldani...

Ami fontos lehet még, hogy lehet, frissíteni kell a nyomtatókat, mert ha régi firmwarejük, akkor régi a samba rajta és azt meg windows nem szereti, azt is mókolni kell rajta(powershellben engedélyezni kell smb1-t, szóval frissítsetek inkább...). Ezt jellemzően nyomtatós fiatalemberek végzik el, vagy ha nagy a bizalom irányodba, akkor lehetnek jófejek és odaadják pendriveon és elregélik neked a procedúrát.... :)

Mindkettőhöz van olyan firmware, ami nem csak smb1-et ismer...

Ezzel a módszerrel, ha a megosztott mappáról leveszed a Mindenki hozzáférést és csak a scan usert hagyod meg, nem látja más, csak aki tudja a felhasznevet és jelszót, de akkor is csak a scan mappát.

Mindez akkor, ha "egyszerű" a hálózatod, a leírtak alapján az. Ha komplexebb, akkor is meg lehet így csinálni, de nem feltétlen ez a legelegánsabb...

( bognarattila | 2023. 08. 26., szo – 08:17 )

Szerkesztve: 2023. 08. 26., szo – 08:17

Én biztos nem a munkaállomásokra szkennelnék SMB-re, egyenként: biztonságilag nem kellene megnyitni + felügyeleti macera két oldalon is: munkaállomás és nyomtató.

Amit mi csinálunk és bevált:

- fájl szerveren egy scan mappa, azon belül részlegnek (csoportoknak megfelelően) mappák, pl. hr, pénzügy, projekt stb - mappához hozzáférés csoport alapján + nyilván minden nyomtató hozzáfér az összeshez (minden nyomtatónak saját felhasználója van)

- ezek a mappák felvéve a nyomtatókba

- mindenki olyan mappába szkennel, amihez hozzáfér, bárki nem látja pl a beszkennelt munkaszerződéseket, tökéletesen illeszthető a fájlszerver struktúrához és hozzáférésekhez, külön macera nélkül

- naponta az X időnél (talán 48 óra) régebbi fájlok automatikusan törlésre kerülnek, ennek az a célja, hogy ne legyen néhány hét után oltári kupleráj, kénytelen legyen a fájlszerveren megfelelő helyre tenni a beolvasott dokumentumot

Ezt így egyszer kell beállítani, a felhasználói beállításokkal automatikusan mindenkinek rendelkezésre áll, elfelejtős téma, skálázható.

Van néhány nyomtató, ami nem tud SMB-t, ott ez megoldható FTP-vel, de a felhasználók ebből semmi nem érzékelnek.