Должен ли работать файловый сервер для компов, не входящив домен, но с польз-ми, совпадающими с доменными по имени и паролю

Windows Server 2008

Есть локальный домен lalala.local под управлением ActiveDirectory и компы рабочей группы Workgroup. Компы рабочей группы (что очевидно) не в домене.

Пользователи домена совпадают по имени и паролю с пользователями рабочей группы. А именно (наследство мое таково): в рабочей группе на каждом компе пользователь+админ (локальные, разумеется). На серваке с ActiveDirectory вся совокупность пользователей содержит в том числе и пользователей с аналогичной парой {имя,пароль}. Локальные админы не в счет.

В ActiveDirectory созданы файловые серверы с правами на группы, куда входят один или несколько пользователей, аналогичных локальным пользователям группы Workgroup. В правах на эти ресурсы все четко - какой группе с каким единственным пользователем можно, каким нет. При этом нет такого "Все-Всем".

И локальные пользователи пользуются расшариваемыми ресурсами (файловыми серверами) домена, если их атрибуты {имя, пароль} совпадают с атрибутами {имя, пароль} доменного пользователя, имеющего права на данный ресурс.

Скажите, так должно быть, или нет ?
Это не нарушение безопасности?

0

вам нужно знать бест практис? или что? уровень секюрности, устанавливается внутренними правилами.... ворк группа, сама по себе уг...

Делали, это просто ради удобства, доступа к шарам из ворк группы к шаре. ( что бы пароль не спрашивало )

0

На новом рабочем месте это все наблюдается. Я играю роль админа (+еще люди, но за пользователей я в ответе). Ранее встречал ситуации, кагда сервер (контроллер домена) обслуживает компы из этого же домена.
Посему интересно, является ли
1) возможной моя ситуация обслуживания контроллером компов воркгруппы (или я что-то не понимаю)
2) правильной такая организация с точки зрения безопасности, грамотности построения сети и т.д.

0

Честно говоря, не понял зачем такие извращения, компы рабочей группы ввести в домен и рулить уже всеми правами из АД и не изобретать велосипед. imho

0

Вот в том и вопрос. Я тоже не совсем это понял. И думаю, зачем так (или я что-то не понимаю (но компы не в домене!!!), или все не по уму), и правильно ли это? Что думаете?
Так вообще должно работать (например Linux и Windows пользователи без самбы просто так не совместимы с точки зрения открытия доступа к файловому серверу; совместимы ли (при том так просто) пользователи ActiveDirectory и Workgroup)?

0

Сообщение от parser81 ... зачем так...

Лучше спросить тех, кто участвовал в создании этой структуры.

Сообщение от parser81 ... правильно ли это?..

В общем случае - нет. Однако могут быть ситуации, когда приходится совмещать домен и рабочую группу (например, есть время от времени приходящие клиенты со своими "ноутами" или КПК, которым нужен кратковременный доступ именно со своего устройства к тому или иному ресурсу: принтеру, папке с документами, каналу в Интернет и т.п.).

Сообщение от parser81 ... совместимы ли (при том так просто) пользователи ActiveDirectory и Workgroup...

Нет, т.к. отличие здесь заключается на столько в имени и пароле, сколько в идентификаторе безопасности (SID). Скажем, SID встроенной учётной записи "Администратор" контроллера домена отличается от SID аналогичных учётных записей рабочих станций.
Исключение составляет некоторое количество "учёток" встроенных участников системы безопасности с "хорошо известными" (well-known) SID (например, ALL). Идентификаторы безопасности таких записей одинаковы для всех компьютеров, работающих под управлением Windows.
Впрочем, не все "хорошо известные" SID одинаковы для всех узлов. Например, у уже упомянутой записи "Администратор" совпадают только неизменяемые секции в начале (S-1-5-21-) и в конце (-500) SID-последовательности.

Добавлено через 11 минут
P.S.
Один из примеров в пояснении оказался не совсем удачным.
Вместо фразы "SID встроенной учётной записи "Администратор" контроллера домена отличается от SID аналогичных учётных записей рабочих станций" лучше было написать такую: "SID учётной записи "Иванов", созданной на контроллере домена, будет отличаться от SID учётных записей с аналогичным именем, созданных на рабочих станциях".

0

Там такая ситуация:
1. На уровне Доступ файлового сервера к файловому серверу (папке - шаре)

"Перечисление на основе доступа отключено"

: я сделал выводы, что в терминологии Windows server2003, насколько я помню, это должно соответствовать "Все-Всем"
2. На уровне Разрешения файлового сервера (это не аналог вкладки Безопасность - там все так же, как и во вкладке безопасность Windows Server 2003, насколько я помню?: я сделал именно такие выводы)
дан доступ доменной группе Иванов с входящим в нее доменным пользователем Иванов/lalala.local (и более ни для кого прав не определено);
3. На уровне Безопасность папки, используемой в качестве файлового сервера, сделано Всем(просто Все, а не Все/lalala.local) -Все, Система-Все.
4. На уровне Доступ папки, используемой в качестве файлового сервера, сделано Всем(просто Все, а не Все/lalala.local) -Все, Система-Все.

При этом с одного из компов группы Workgroup локальный пользователь Иванов этого компа, не включенного в домен, подрубает эту шару как сетевой диск. При этом такие же локальные пользователи этого компа, как Петров и Сидоров (не совпадают по имени с Иванов), подрубить эту шару не могут.

Таким образом, если я все правильно понял в пунктах 1 и 2, и Ваше замечание о соответствии SID для Все в Workgroup и ActiveDirectory действенно для локального пользователя Иванов (ведь он относится к категории Все, лучше сказать группе Все), то все должно быть логичным.

Я делаю правильные выводы?
И... последнее: хочу додавить тему до конца, извиниите за назойливость , уважаемые, размышления по пунктам 1 и 2 можно считать верными?

0

Сообщение от parser81 доменной группе Иванов

доменному пользователю входящему в группу "пользователи домена"

Сообщение от parser81 Скажите, так должно быть, или нет ?

не вижу особо криминала.

Сообщение от parser81 контроллером компов воркгруппы

что то новенькое.

Сообщение от parser81 правильной такая организация

варум бы и нихт?
просто нет руления компами...

0

"контроллером компов воркгруппы" - имелось ввиду "обслуживание контроллером домена -> (кого)компов воркгруппы".
Прошу прощения за мой "великий русский языка".

В целом, если у кого будут еще мнения - жду.

Отвечавшим и участвовавшим - низкий поклон

0