Рекомендуется настроить разрешения на доступ, а не аудит.
Про аудит доступа к объектам (Audit object access) и его настройку написано во встроенной справке Windows.
[snapback]3032[/snapback]
Разрешения на доступ выставлены, но есть папки для групповой работы (разрешения высиавлены на пользователей определенной группы) и папка с общими документами (разрешено всем и все).
Так вот с этих папок по инструкции я не снимаю резервные копии, но бывают преценденты, когда кто-то удаляет чужие файлики.
Тут либо-нужно
1 посмотреть кто удаляет,причем это происходит регулярно, а все хлопают глазами и никто не сознается, хотя я точно знаю что это один из 3-5 человек. (Ну я бы тоже несознался, кому охота люленй получать, да и они наверное думают так"Ага сидишь гамаешся? На те пароблемку ищи документы:))")
2 Сделать так, что-бы удалять папку или документ мог только владелец. (Думаю нои недодумаются поменять владельца, хотя у них на это итак прав нет).
Впрочем аудит я с горем пополам настроил, дай бог мне терпения ковырятся в этих логах:)
А вот как со вторым пунктом, делал кто-нибудь?
2 Сделать так, что-бы удалять папку или документ мог только владелец. (Думаю нои недодумаются поменять владельца, хотя у них на это итак прав нет).
А вот как со вторым пунктом, делал кто-нибудь?
[snapback]3033[/snapback]
На сколько помню в винде есть группа СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - может с ее помощью все реализовать. И установить расширенные права, где создавать, читать, и изменять можно всем, а удалять только группе СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ
Я бы попробовал...
Да что-то граматика у меня страдает, когда тороплюсь:(
Буду повнимательнее.
Что за группа можно поподробнее, я такую не нашел?
[snapback]3040[/snapback]
Э... Группа, как группа у меня в 2000 сервере отображается...
Как я понимаю - с помощью нее можно настроить пермишены для владельцев файлов... Сам пока не пользовал, но думаю - это оно...
Правда у меня все компы в домене - может поэтому, есть такая группа...
Кстати попробуй посмотреть не в AD, а на вкладке безопасность для какой-нибудь папки. [snapback]3042[/snapback]
Группы там те же, но спасибо за мысль,
Сделаю так на вкладке безопасность для всех сделаю чтение и запись, а удаление и изменения оставлю только для одного пользователя, которого и назначу ответственным за эту папку:))
Э... Группа, как группа у меня в 2000 сервере отображается...
Как я понимаю - с помощью нее можно настроить пермишены для владельцев файлов... Сам пока не пользовал, но думаю - это оно...
Правда у меня все компы в домене - может поэтому, есть такая группа...
[snapback]3041[/snapback]
У меня тоже все в домене, кстати в 2000
У меня тоже все в домене, кстати в 2000
[snapback]3044[/snapback]
Странно... У меня тоже 2000. Правда сейчас у меня уже есть 2003 сервер вторым контролером, но насколько я помню эта группа у меня и раньше была...
Вот скриншот с моей системы - ftp://perfel.tusur.ru/foto.jpg (http://ftp://perfel.tusur.ru/foto.jpg)
Правда у меня еще ресорс кит стоит, но это на это вроде влиять не должно...
Кстати, просматривал вкладку безопасности я на контролере домена...
Вот еще вопрос.
Кто-нибудь настраивал политику паролей.
Сложностей с этим нет, просто хотелось бы узнать работает ли все это?
Я настраивал... Уставнавливал минимальную длину пароля, установки сложности и похожести на предыдущий. Так же менял период действия пароля...
В принципе работает...
И еще как лучше сделать что бы пользователи сами меняли пароль или лучше применить что-нибудь для генерации паролей. И какие для этого подходят утилитки, причем надо так чтобы админ (то есть я ) не знал пароля пользователя?
[snapback]3051[/snapback]
Если это пароли на вход в систему, то лучше чтобы меняли сами... Просто ограничить политиками минимальное количество символов и может поставить настройку проверки сложности, хотя это мало поможет...
Если будешь генерить прогой, то скорее всего они эти пароли будут чаще куда-нибудь записывать, а это уже потенциальная утечка паролей...
Настрой политику и разъясни какие лучше пользовать пароли...
Большинство юзверей не понимают, нафиг нужна безопасность...
Большинство юзверей не понимают, нафиг нужна безопасность...
[snapback]3056[/snapback]
Вот с этим полностью согласен, они думают, что мы админы сидим и звереем, от нечего делать. А когда начинается разбор кто удалил папку пока я был в отпуске? Агя смотрим логи и видем что, с точки зрения системы, уделил его он сам. Вывод, админ отмазался, пользователь сам кому-то джал поарль:)
Данная группа просто имет право настраивать политики безопасности,
Поэтому лучше ограничить безопасностью, как я писал выше.
А для того, чтобы так делалось автоматом, увы пока знаний у меня маловато.
[snapback]3050[/snapback]
Хм... Могет быть... Могет быть... Я же говорил, что не пробывал...
Ну да ладно... Хотя странно ведь должна же быть возможность поставить, что удалять может только создатель...
Тагда как выход на этой шаре сделать подпапки где для каждого пользователя
и поставить туда права на удаления только одному пользователю, а на всю шару сделать права изменения на группу... Могет так прокатит...
Тогда зачем в винде есть такая закладка в безопасности, как владелец? [snapback]3060[/snapback]
Исходя из этого вопроса я тоже так думаю, что-то должно быть. Но увы еще не совсем знаю, пройдет время разбереся.
А пока сделал так:
Есть шара для группы.
так вот на вкладке безопасность для группы ВСЕ снимеем галочку удалить и остальные ненужные. В итоге все могут записать, а вот изменить документ или удалить у них не получится.
Все что остается добавить тут же пользователей(ля) которые могут все эту бодягу удалить.
Например у меня есть папка для групповой работы Group, в кт работают пользователи A,B,C,D,
В все могут в эту папку записывать информацию. в ней же есть папки A,B,C,D для каждого из них, в которых они тоже могут все у друг друга посмотреть, или дописать, а вот удалить может только пользователь A-В соответственно.
Осталось сделать доступ руководителю этой группы на удаление файлов в корне папки GROUP, при этом из папок A-D не сможет.
Мысль ясна?