» »

Varnost mreznih map

Varnost mreznih map

SmeskoSnezak ::

Na omrezju je shramba map, ki jo lahko podjetje vidi. Kako to granularno organizirati, da ima samo kak posameznik dostop do tocno dolocene mape?
Recimo, primer:
Disk: Skupno > Direktorji > Notranji > Urejanje
Kako dati dostop eni osebi, za samo videnje in ustvarjanje datotek v mapi Urejanje, in ne more dostopati do prejsnih (nad)map
?

Se posebej, ker so te mape direktno mapirane nekaterim posameznikom, za dostop. Ce kliknes "nazaj", se znajdes v prejsni mapi Notranji/ Direktorji/ Skupno...
A je mozno da Notranji, Direktorji mape potemtakem sprozijo "Napako" in kako?
@ Pusti soncu v srce... @

111111111111 ::

Kaj?

Vse to urejaš preko AD. Saj imate winse?

SmeskoSnezak ::

Ja, to se razume da je omrezje z AD. Mene zanima, kje najti navodila za to granularnost.

Oziroma se to. Ce podjetje do sedaj samo urejalo to prek "Permissions"/Security zaznamkov na teh mapah, kako vse skupaj prenesti v AD?

Se da to bilokako poenostaviti, da ni prevec dela? Ali pa vsaj kaksna razlaga v Slovenscini? Mal je tu zmeda vcasih, ker se NTFS in deljenje pravic toliko prepletata. Se ze vnaprej zahvaljujem..
@ Pusti soncu v srce... @

Zgodovina sprememb…

b3D_950 ::

Zdaj ko je mir, jemo samo krompir.

111111111111 ::

Če si admin preprosto nastaviš pravico samo na subfolderju in to je to. Uporabniku pošlješ direktni link in zadeva zaključena. Ali pa se naj pomapira.

Invictus ::

Noben ne mara user management procesa, zato je večinoma v podjetjih navadno stanje :D.

In ni preprostega procesa.

Zbrati moraš uporabnike, določiti vloge podjetja, narediti skupine s pravimi vlogami, in vreči uporabnike v skupine.

Pa je to samo prvi korak...

Drugi korak je v vsakem softwaru urediti podobne zadeve. Kljub SSO.

Jebi ga, varnost stane. Tako denarja kot časa...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

SmeskoSnezak ::

Invictus je izjavil:


Jebi ga, varnost stane. Tako denarja kot časa...

Po pomoti napacn gumb stisno. Ampak, da omenim... zato se pa to ucim ;)

Okey, torej napravimo skupine in damo folk noter v skupine. Kaj pa potem? A v AD-ju ustvaris za vsako mapo privilegirano skupino ali pa da na mapi urejas dostop tem skupinam? Kaj je bolje/lepse?
@ Pusti soncu v srce... @

Zgodovina sprememb…

SmeskoSnezak ::

Ko sem ze zacel s to tematiko. Je kje kak software, razen Powershella, s katerim bi lahko napravil sezname vseh uporabnikov in kak dostop imajo do dolocenih map po mrezi? S tem bi si lahko pomagali pri ustvarjanju grup, skupin, itd.
@ Pusti soncu v srce... @

Zgodovina sprememb…

imagodei ::

SmeskoSnezak je izjavil:

Na omrezju je shramba map, ki jo lahko podjetje vidi. Kako to granularno organizirati, da ima samo kak posameznik dostop do tocno dolocene mape?
Recimo, primer:
Disk: Skupno > Direktorji > Notranji > Urejanje
Kako dati dostop eni osebi, za samo videnje in ustvarjanje datotek v mapi Urejanje, in ne more dostopati do prejsnih (nad)map
?

Se posebej, ker so te mape direktno mapirane nekaterim posameznikom, za dostop. Ce kliknes "nazaj", se znajdes v prejsni mapi Notranji/ Direktorji/ Skupno...
A je mozno da Notranji, Direktorji mape potemtakem sprozijo "Napako" in kako?

Da se, a to hitro postane organizacijski Nightmare. Vem iz prvoosebnih izkušenj ;)

ACL-je se da nastavljat granularno, izklopit je treba dedovanje dovoljenj. Da se nastavit, da uporabnik lahko gre čez mapo, ne vidi pa vsebine (traverse).

Še precej lažje je, če (spet izklopi dedovanje) uporabniku pobereš vse pravice na nadrejenih mapah, daš pa mu pravice samo na dotični podmapi. Če ima uporabnik direkt link (narediš mu bližnjico na zaslonu) do mape, ne rabi pravic na nadrejenih mapah.

Ključ je v tem:

- Hoc est qui sumus -

SmeskoSnezak ::

Torej, po domace povedano, imagodei:
V doticni mapi se da kljukica tam not ali ven?
Ali pa se v prejsnih mapah odkljuka full dostop?

To prosneto problematiko tezje zastopim, ker morm brat stvari v anglescini, urejat pa v slovenscini, znajde pa se she kak nemski jezik vmes, da kaos naredi glavobol in samo spanec pomaga.
@ Pusti soncu v srce... @

HotBurek ::

Evo, zadevo se reši na sledeč način.

Prvo vsak vodja oddelka pripravi spisek map, ter seznam uporabnikov, ki bodo imeli dostop do teh map.

Npr.:
//server/share/marketing
//server/share/marketing-pdf
//server/share/marketing-web
//server/share/marketing-racuni
//server/share/nabava
//server/share/nabava-scan
//server/share/nabava-ekscel

Potem v ADju pripraviš GS grupe:
GS_share_marketing
GS_share_marketing-pfd
GS_share_marketing-web
...

Za share folder nastaviš NTFS pravice:
Authenticated Users = read
DOMAIN\Domain Admins = full

Share pravice pa mislim, da na Change za Authenticated Users.

Potem pa narediš posamezni folder v share folderju (npr. marketing-web) in nastaviš pravice:
DOMAIN\GS_share_marketing-web = read + write
DOMAIN\Domain Admins = full

Kot je pa zgoraj omenjeno, moraš pazit na dedovanje. To lahko rešiš tako, da ko urejaš pravice marketing-web folderja, dodaš GS grupo, odstraniš pa Auth Users ter ostale, ki tam ne rabijo bit. Pa preveri tudi, pod katerim accountom dela backup sistem, da bo imel pravice brat fajle.


Izogibaj se "NTFS nestingu", kjer v /pod/pod/pod/pod/mapi nastavljaš posebne pravice. Vse pravice nastavljaj na root folderju (npr. marketing-web), kar je spodaj, se deduje. Če marketing potrebuje "poseben folder in posebne pravice", naredi share //server/share/marketing-web-dev, GS grupo itn...

V GS skupine lahko potem dodajaš tudi osebe iz drugi oddelkov (npr. v GS_share_marketing-racuni so lahko iz računovodstva).

Če potrebuješ zadevo še malo bolj uredi, lahko narediš dve grupe:
GS_share_marketing-racuni-r
GS_share_marketing-racuni-rw

Ter NTFS pravice na folderju marketing-racuni:
DOMAIN\GS_share_marketing-racuni-r = read
DOMAIN\GS_share_marketing-racuni-rw = read + write
DOMAIN\Domain Admins = full


Pa še to. Ko se uporabnik prijavi v sistem, dobi listo SID-ov. Če po prijavi uporabnika dodaš v GS grupo (in vse pravice pravilno nastaviš...), le ta ne bo dobil SID-a od grupe (razno, če je to spremenjeno po novem). Potrebno je naredit log off/log on, potem pa je nov SID na seznamu.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

imagodei ::

Na veji, do kateri naj uporabniki ne bi imeli dostopa, izklopiš "Inheritance". Istočasno te sistem pozove, če želiš kopirati obstoječa dovoljenja na podrejene mape ali ne - seveda izbereš DA. Nato vzameš dostop skupini DOMENA_X\Users (enostavno brišeš skupino iz liste) in navedeš posamezne uporabnike ali skupine, ki imajo dostop - ter nivo dostopov.

Podobno moraš storiti na vsaki podrejeni mapi znotraj veje, kjer želiš določat granularna dovoljenja.
- Hoc est qui sumus -

111111111111 ::

HotBurek je izjavil:


Prvo vsak vodja oddelka pripravi spisek map, ter seznam uporabnikov, ki bodo imeli dostop do teh map.

Ena boljših šal zadnje čase. :)

Egii ::

Al pa raje kupiš kakega Qnapa al pa Synlogica in tam nastaviš po kmečko in domače.

borisk ::

ja, vsi sve vidijo in kopirajo, na koncu pa še en klikne kriptoloker, pa gre nekaj BTC za reveže iz romunije ali indije.

videc ::

NA share-u vklopi tudi "Acces based enumeration".


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Samba

Oddelek: Programska oprema
242142 (1434) kiFni
»

Win server 2003 in Win XP - file sharing oz. skupna raba

Oddelek: Omrežja in internet
222003 (1874) Mitja.GTI
»

Filesharing in XP, Simple filesharing na OFF !

Oddelek: Omrežja in internet
121407 (1249) slokii
»

Group Policy; kako nastavit GPO za OU?

Oddelek: Operacijski sistemi
382485 (2157) Microsoft
»

WinXP pravice uporabnikov

Oddelek: Pomoč in nasveti
232240 (1817) ToniT

Več podobnih tem