|
|
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
А все таки кто может объяснить или дать ссылку на принципиальный вопрос : чем отличаются в W2K3 permissions в sharing и в security, и вообще, впечатление такое ,все настройки в security ,может быть немного сложноваты, но вполне логичны и дают необходимую гибкость настроек, но без использования sharing они все равно не работают (за исключением терминального доступа). Какой политики придерживаться в настройках шар, чтобы максимально обезопасить сервер и то же время эффективно разграничить пользователям доступ? Такое впечатление. что sharing это атавизм в W2K3, или я не прав? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 09:21 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
в смысле без шар безопастность не работает?! как то ты наверное не то делаешь! работает это так: 1. чел логинится на тачку где есть шары \предположем\ 2. проверяется доступ как на шарах, так и в безопастности. 3. если он имеет доступ то его пускает, если где то поставленна галочка запретить а где то разрешить то система будет выбирать наисильнейшее правило, т.е. запретить! безопастность осуществляет доступ к ресурсам компа по средством проверки логи и пароля пользователя! так что можно шары и не ставить! а открыть только с$ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 09:35 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
DoctorGreenА все таки кто может объяснить или дать ссылку на принципиальный вопрос : чем отличаются в W2K3 permissions в sharing и в security, и вообще, впечатление такое ,все настройки в security ,может быть немного сложноваты, но вполне логичны и дают необходимую гибкость настроек, но без использования sharing они все равно не работают (за исключением терминального доступа). Какой политики придерживаться в настройках шар, чтобы максимально обезопасить сервер и то же время эффективно разграничить пользователям доступ? Такое впечатление. что sharing это атавизм в W2K3, или я не прав? - я правильно понял, что это о дублировании механизма раздачи прав при создании шар? Т.е. с одной стороны, разрешения можно задать через File And Printer Sharing, с другой - через NTFS. Мне тут недавно объяснили с кивком на MS, что стоит придерживаться разрешений NTFS и по возможности все разруливать через них, т.к. все остальное оставлено вроде как для совместимости с FAT32. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 09:52 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
rrrrrrrrrr DoctorGreenТакое впечатление. что sharing это атавизм в W2K3, или я не прав? - я правильно понял, что это о дублировании механизма раздачи прав при создании шар? Т.е. с одной стороны, разрешения можно задать через File And Printer Sharing, с другой - через NTFS. Мне тут недавно объяснили с кивком на MS, что стоит придерживаться разрешений NTFS и по возможности все разруливать через них, т.к. все остальное оставлено вроде как для совместимости с FAT32. Надо четко различать эти две вещи, права и разрешения. Разрешения работают только на уровне шар, а права на уровне папок и файлов. Существует два подхода - даются полные разрешения на шару, а доступ делается правами. Второе дается разрешение только на чтение, а остальное правами. Во втором случае могут возникнуть конфликты, не возможность получения доступа в некоторых случаях. Насчет аттавизма, ну скажем никаого отношения к FAT32 это не имеет, это уровень много ниже и много старее. Это обеспечение доступа на уровне Netbios существует со времен ДОС и самое плохое от него невозможно отказаться, без него шаринг не работает, а без шаринга не будет доступа. MS Windows Network это одноранговая сеть, где каждый сам себе сервер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:17 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
Правильно, я всеми руками за разрешения средствами только NTFS, но вот у меня c доступом только средствами security не получается, как только убираю доступ через шару к определенным каталогам пользователям Domain Users, начинается чехарда: перестают видеть даже через поиск сетевые ( естественно, они же не расшарены !) ресурсы,начинает ругаться синхронизация домашних каталогов,настроенная через групповые политики, хотя доступ к ним почему то остается и т.д. При этом повторю, все настройки сделанные средствами вкладки security остаются в силе, пользователь, заходя терминально, четко имеет доступ в соответствии с этими настройками. Дайте ссылку на MS, где бы четко было расписано, как настроить именно комбинацию настроек шар и безопасности средствами NTFS? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:19 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
Нельзя дать общий доступ к папке средствами NTFS. Общий доступ предоставляется File&Printer Sharing, но ставить его надо "на полную" - "всем можно все". А уж настройка "кому что можно" - через NTFS. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:28 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
rrrrrrrrrrНельзя дать общий доступ к папке средствами NTFS. Общий доступ предоставляется File&Printer Sharing, но ставить его надо "на полную" - "всем можно все". А уж настройка "кому что можно" - через NTFS. Кроме случая не NTFS, но там и о пользователях часто трудно говорить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:32 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
Спасибо за рекомендации, но вот "всем можно все" на уровне sharing'а это как , достаточно ли, например, чтобы все это были только Domain Users и Administrators, а не EveryOne и не ведет ли такая политика к потенциальному ослаблению безопасности, т.е. разрешив доступ "всем можно все" на уровне шар и разграничив доступ на уровне security, не получаем ли мы более доступную для взлома систему? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:50 |
|
||
|
Sharing & security в W2K3
|
|||
|---|---|---|---|
|
#18+
DoctorGreenСпасибо за рекомендации, но вот "всем можно все" на уровне sharing'а это как , достаточно ли, например, чтобы все это были только Domain Users и Administrators, а не EveryOne и не ведет ли такая политика к потенциальному ослаблению безопасности, т.е. разрешив доступ "всем можно все" на уровне шар и разграничив доступ на уровне security, не получаем ли мы более доступную для взлома систему? Не снижаешь, поскольку доступ управляется не разрешениями, а правами. Подобная рекомендация поступила от высоко квалифицированых системных администраторов, а вот снижение разрешений безопасность не повышает, но зато снижает возможности администрирования. Можешь легко проверить сделай разрешение только чтения и полные права и попробуй удалено по админстрировать и работать. На NTFS это просто равно публикации шар. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2005, 10:56 |
|
||
|
|
start [/forum/topic.php?fid=26&tid=1512299]: |
0ms |
get settings: |
8ms |
get forum list: |
16ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
175ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
47ms |
get tp. blocked users: |
1ms |
| others: | 259ms |
| total: | 527ms |
| 0 / 0 |
