В этом уроке мы рассмотрим структуру и организацию доступа к расшаренным папкам файловых серверов. Сайт - trainithard.ru/ Группа ВК: trainithard Донат WMR R968467889622
ОГРОМНОЕ СПАСИБО ВАМ! Я С РЕБЯТАМИ ДЕЛАЮ КУРСОВУЮ РАБОТУ ПО АДМИНИСТРИРОВАНИЮ ИС НА Windows Server 2012 R2 И ВАШ ГАЙД ОЧЕНЬ ПОМОГ! БЛАГОДАРИМ ВСЕМ ПОТОКОМ!!!!
Александр, спасибо вам огромное за ваши уроки! За 20 лет управления IT подразделением все это знаю, но смотрю с большим удовольствием, слушаю как аудиокнигу. Смотрю и знаю, что вы сейчас скажете и какой пример приведете, мысленно что-то добавляю из своей практики, но вы тут же поправляетесь и снимаете мысль с языка, это великолепно. Небольшое добавление, ABE появилось не в 2012, а было еще в Windows Server 2003, но ставилось отдельным пакетом. А восстановление из теневой копии НЕОБХОДИМО отдать пользователям, тогда HelpDesk скажет вам спасибо, так как не только отпадет необходимость разматывать бэкап, но и заявки на восстановление файлов не будут приходить на первую линию поддержки. Удачи вам и еще раз огромное спасибо за прекрасные лекции!
Спасибо, всегда приятно слышать оценку от компетентного человека! По поводу восстановления - не всегда требования бизнеса или отдела ИБ это позволяют, к сожалению. По ABE - не знал, с 2003 я работал не так много. :)
Искал информацию по настройке сетевых шар. Очень понравилось. Обязательно пересмотрю все уроки! Качественно, сжато, без слов паразитов. Выражаю огромную благодарность и уважение автору сего контента !) Мед в мои уши :)
Добрый день, подскажите настроил все как на видео. Возникла одна проблема. На клиентской машине введенной в домен при заходе на замапленный диск, могу там создавать файлы и папки все хорошо. Но стоит начать туда что-то копировать, с рабочего стола например, он пишет файл y:\недоступен. Такое ощущение что он отваливается но крест на нем не появляется. Если же зайти на него вот таким образом \\IP-адрес\шара, то все прекрасно копируется. Подскажите куда копать в чем проблема. Заранее спасибо.
Видео как всегда шикарное. Но столкнуляся с баг-фичей. Если использовать группу создатель-владелец, то когда пользователь создает файл (в папке к которой у него есть доступ по группам безопасности), дополнительно прописываются именные права в свойстве файла. То есть двайжды есть парва. И группой и свои
Скажите пжлста!!! Сделал всё как на видео, но при правах fullcontrol создавать и редактировать файлы можно, а вот закидывать документы с рабочего стола или откуда то ещё не получается, пишет диск не доступен! В чём может быть проблема? Делал всё как у вас!
Друг уроки просто супер. Очень помогает в дополнение к курсам. Сможешь объяснить как будет канечно время, про такую новую фикчу в 2012 - Dynamic Access Control. Тема сложная, но нужная в безопасности информации
Выражаю огромную благодарность, просмотрел все курсы от слова совсем. Есть такой вопрос, загорелся экзаменом MTA 98-365 Windows server administration fundamentals есть ли смысл его сдавать, ценятся вообще эти сертификаты ?
Привет! Как знания - нет. Все сертификаты MS легко дампятся. Однако наличие сертификата показывает работодателю, что вы стремитесь получать знания. Опять же, если сертификат есть, а знаний на него нет - это будет сразу видно после ваших ответов на пару технических вопросов. Можете использовать сертификат как роадмап тем, которые нужно изучить.
насколько я знаю, мапить диски не очень хорошо. в случае заражения вирусом шифровальщиком. то сетевой диск зашифруется. а если открывать через ярлык.то этого не происходит
Уважаемый автор, здравствуйте! Работает ли эта ОС с wi-fi адаптером, чтобы был резервный вариант доступа в интернет, через роутер, если вдруг перебои с проводным доступом. У меня стационарный ПК именно с ОС Виндоус Сервер 2012 R2. Заранее благодарен:) Я купил usb вф-адаптер, а при установке на ПК не разобрался, пока не доступа по wi-fi через роутер:(
Александр, ещё раз спасибо за уроки. Такой вопрос. Повторил вашу структуру, с той лишь разницей, что политикой создаётся ярлык на расшаренную папку на раб. столе. Если пользователь (пусть он будет из HR_users, с правами _modify) открывает эту папку (т.е. шару "HR") через ярлык, а затем перейдёт уровнем выше (т.е. в папку Share), он увидит две папки - своего отдела (т.е. HR) и OBMEN. При этом у него будут права на удаление этих папок, чего, конечно не хотелось бы. У меня сработал такой способ этого избежать: удаляем CreatorOwner из разрешений на папке Share, добавляем Deny на Delete для DomainUsers в разрешения на все папки внутри Share. Но, мне почему-то кажется, что это костыль. Собственно вопрос - как правильно?
Спасибо за видео! 1) Есть вопрос по добавлению пользователей в группы. Как я понимаю, на системе требуется обновление групповой политики что бы винда поняла, что у пользователя появился доступ. Как-то можно удаленно ускорить или автоматизировать этот процесс что бы сотрудникам не нужно было перезагружаться? 2) Хотелось бы поподробнее посмотреть на Shadow copies. Сам процесс восстановления, если можно. 3) Увидел вопрос по поводу шифровальщиков. Где-то читал, что как раз с ярлыков файлы и шифруются, а с сетевых дисков - нет. Что думаете по этому поводу? и можно ли считать Shadow copies хорошим средством защиты?
1) Если меняется членство в группе, нужно перелогиниться юзеру. Обновление политики не поможет. 2) Восстановление писал уже в комментах - правой кнопкой на папку - предыдущие версии. 3) От шифровальщиков нет полной защиты (частично помогут антивирус + своевременные обновления). Если вовремя не заметили - пиши пропало. Единственная 100% защита, делать бекап, который недоступен для изменения с самой машины, кроме как во время бекапа, предварительно следя, что ничего не зашифровано. Ну и как вариант - использовать ПО, которое отслеживает высокую активность по файловой системе (например когда файлы шифруются).
Тоже бэкап делается от отдельного пользователя у которого на целевую папку только чтение. Зато на папку с бэкапом доступ только у лок админа и этого пользователя. Думаю такое хранение достаточно надёжное в случае заражения шифровальщиками
Добрый день! Все понятно, все супер. У меня такая проблема: сделал доступ к папке, через GPO мапятся сетевые диски: если зайти под пользователем у которого есть доступ только к определенной папке - через "мой пк - сетевой диск" при создании какого-либо добра пишет - расположение недоступно, ссылается на недопустимое расположение. Если зайти через win+r - набрать адрес - то все прекрасно. На win 10 все работает прекрасно. Такая ошибка только на win 7 pro, подскажите куда капать?
Александр, добрый день. Настроил сервер по вашей инструкции. Столкнулся с проблемой открытия PDF файлов. При открытии Acrobat Reader выдает ошибку: Произошла ошибка при открытии данного документа. Не удается найти файл. С чем это может быть связано? Файлы MS Office открываются и редактируются.
Спасибо, Александр. Как раз во время для меня. Вопрос: существует ли инструмент оперативно собрать сведения к каким ресурсам отрыт доступ пользователю. Бывает такая необходимость и нигде пока такого не видел. Спасибо.
Сторонний софт только, либо скрипты :) Именно поэтому нужно делать файловый сервер и выдачу прав по феншуйной модели - это в разы упростит такую задачу.
Подскажите пожалуйста, какой смысл в ntfs разрешениях, если при расшаривании папки на "Все - полный доступ" в любом случае всем есть доступ везде? Поясню: нужно сделать доступ к определенной папке определенным юзерам. Ставлю share-разрешения "Все - полный", и эта папка уже доступна всем. Хотя в ntfs разрешено только админам домена и овнеру.
Возможно вы поставили Share разрешения после NTFS через стандартный визард. Стандартный визард выдает не только share, но и меняет NTFS разрешения на аналогичные.
@@TrainITHard спасибо за ответ! У меня были ntfs разрешения на локальных пользователях чтение и выполнение. А в эту группу входят и все доменные юзеры. Поэтому все и могли заходить куда угодно) Спасибо за ваши уроки! Отличные курсы для дилетантов)
ну еще в идеальном мире делают так, в GPO ставят на каждый отдел правило которое маунтит ту шару к которой он имеет доступ не давая даже смотреть что там в общей шаре.
Alexander Fedorov Я делал так создавал на кажду шару или папку группу чтения и группу записи а потом просто добавлял в эти группы нужного юзера, сначала тяжко но потом зато конфигурируеться проще надо на запись перенёс юзера в нужную группу и все
Приветы. 1. CREATOR OWNER всегда удалял к чертям, не понимаю зачем этонадо, от него только проблемы. Постоянный гемор с удалением и вообще доступом к файлу как у администратора, так и у пользователей из-за того, что меняется владелец. 2. Галку полного доступа давать нельзя, ибо в таком случае пользователь может самостоятельно менять права на папку. Это параноидальный сценарий, но я предпочитаю все делать по науке, а это RW как максимальные права для пользователя. Полный доступ только у администратора. 3. ABЕ я реализовывал и в 2008 винде, но исключительно средствами NTFS, сейчас не помню как, то я точно игрался с сеткой прав (там либо list folders, либо travers folders галки за это отвечают.)Может ошибаюсь, но делал точно.
Скажите пожалуйста, почему не действуют правила? что-то можно делать с папкой только после того как добавишь группу "все" для этой папки, ее подпапок и файлов. А с этой группой теряется вообще весь смысл правил!!!
Я несколько не в тему возможно, но тут задали вопрос на собеседовании, а что собственно происходит когда на file сервере дают тебе доступ к отделу например, т.е. понятно что нужно либо перезайти или перезагрузиться, но как это работает? Сам механизм не могу допереть, пользователю дают по сути ntfs права на папку, но почему папка отдела появляется только после перезагрузки? С gpo понятно всё, тут gpupdate \force сделал, sysvol подгрузился и всё... а вот с ntfs не допру
Права появляются сразу. А вот если права выданы группе, а не напрямую пользователю, и пользователя добавили в эту группу - то так и будет. Это связано с тем, что пользователь при первом входе получает kerberos тикет, в котором, в том числе, прописано членство в группах. И нужно либо дождаться его автообновления, либо получить новый перезайдя в систему. Перезагружаться не надо. Перезагрузка нужна только в случае, если членство изменилось у объекта компьютера.
TrainIT Hard во, спасибо большое, а то гуглил и не смог ответа найти, насчёт перезагрузки понятно что не нужно ;)... А где об этом почитать можно? Может какие книжки хорошие или курсы?
Последний вопрос, а схемы agdlp 1 домен, agudpl 1 лес, много доменов это какой то стандарт? Правило хорошего тона? Откуда это вообще взялось? У меня для одного домена в фирме используются просто универсальные группы, без добавления глобальных групп в локальные)...
когда лет 10 не работал админом самое то :) тем более за 10 лет уже не win2003server а win2021и много интересного появилось (правда если глючит стоит ли пользоваться) :)
Добрый день) Столкнулся тут с интересной штукой, интересно знать, известная ли эта проблема. Итак, значит есть шара на Win 2019 std., для нее по группам даны права, пользователям, все хорошо работает до включения ABE, после включения ABE некоторые пользователи не могут войти в шару, точнее входят в нее на 15 раз. Интересно что, допустим шару подключили как диск, через командную строку в диск заходит и вообще нет проблем, мало того, у других пользователей в этой же группе никаких проблем не наблюдается. Возможно кто-то сталкивался с этим и есть решение, спасибо.
AD - Windows Server 2012R2, FS - Windows Server 2016, добавил сетевой диск через gpo, на клиентах все отлично работает, включаю на FS "перечисление на основе доступа", как и положено на в сетевом диске остаются только папки к которым есть доступ, но внутри папок при создании чего либо появляется ошибка "Расположение недоступно", при этом если заходить на FS \\dc6-fs.domain.ru\share то так же видно только папки к которым есть доступ, но внутри все хорошо работает
В результате всех этих политик, при наличии сетевых дисков люди сидящие рядом посылают друг другу файлы по электронной почте. Никогда не знаешь, какой файл кому понадобится завтра. Геморой - то коллега файла не видит, то не может сохранить изменения.
Если коллеге нужно работать с файлом принадлежащим другому отделу, то при согласовании с руководителем другого отдела, создаётся оговоренный каталог в этом самом другом отделе, на который есть права изменения для вашего коллеги и для него туда и кидают файлы для отработки. Это именно так делается. Для редких данных используется папка обмен. Это гарант того что никакой негодяй из одного отдела не сможет саботировать работу другого.
@@romanbelyaev4543 Помойка да, туда и уезжает, желательно её ещё и очищать скриптами, чтобы диск не засирали мусором. Суть в том что всё должно быть стандартизировано, чтобы например новый сотрудник смог прочитать инструкцию и знать где можно достать нужные ему данные, что очень маловероятно в помойке, где все друг другу фиг пойми как что то перекидывают. Ну например, как правило есть некие проекты, над которыми работает несколько отделов, соответственно создаётся папочка "Проекты" в ней каталог с номером или названием проекта и в этот каталог закидываются уже готовые файлы, а готовят эти файлы каждый отдел у себя в своём обособленном каталоге(куда вообще нет смыла соваться другим отделам, но кроме отдела шифровальщиков). После того как проект сдан, его папка закидывается в подпапку архив, в которую у всех доступ только на чтение, кроме специального человека, отвечающего за архив. Таким образом мы получаем чёткую иерархию, без мусора и каждый новый сотрудник в ней легко разберётся, при этом не мешая работе других. Это конечно очень упрощённый пример, так как в реальности есть ещё стадии разработки, нормоконтроль или проверка юристами, данные заказчика, корректировки при возврате от юристов заказчика и прочая требуха, но в целом суть такова что важные файлы к которым обращаются отделы должны лежать в одном месте и быть строго регламентированы в плане названий и прочего, а всякая требуха, которая появляется у отделов по мере разработки, должна быть у них в их каталогах и в обменнике. Разграничение прав помогает защищает файлы от удаления и затирания (к тебе гораздо реже будут ходит с просьбами восстановить удалённый или неправильно изменённый файл) и от вирусни.
Создаю папку share, делаю всё по инструкции, дале создаю внутри нее любую папку, иду в Безопасность и вуаля, Пользователи домена имеют право на Изменение!, унаследовано от share. Даже не знаю......
@@dimanevidemskiy2790 так и делал, но создавая папку внутри share в их разрешениях пользователи уже имеют права и на изменения (унаследовано от share, хотя в share у поьзователей только "Траверс папок/выполнение файлов" и "Содержание папки/чтение данных". Откуда оно берется - ума не приложу.
Вот вы ставите для СОЗДАТЕЛЯ ВЛАДЕЛЬЦА область действия "Для этой папки подпапок и файлов" и когда вы создаёте структуру папок то владельцем становитесь вы как как конкретная учетная запись а не группа Администраторы в которую входят Администраторы домена и остальные. Так вот вы уволились, пришёл новый администратор и вашу учётную запись отключил, а вы по сути владелец всех созданных папок. Как быть? Может лучше было б если бы владельцем были группа Администраторы а не конкретный пользователь?
![[Windows Server 2012 basics] Урок 15 - Файловый сервер](/img/logo.svg){kind=logo}
