Форум: "Прочее";
Текущий архив: 2010.11.07;
Скачать: [xml.tar.bz2];
ВнизПроверьте пожалуйста, если у вас больше чем один домен... Найти похожие ветки
← →
sniknik © (2010-07-28 17:59) [0]Сам не могу...
Суть вопроса по правам "локально доменной группы" (локальная группа на сервере домена).
По доке, и личным убеждениям, такие "недогруппы" ограниченны одним доменом... Но вот клиент "божится", что он может (и делает) дать права например на открытие/редактирование/и т.д. файла такой группе в другом (доверительном) домене, и клиент их получает!!!???
Т.е. то, что возможно группу прописать в безопасности, если ее видно, я не сомневаюсь, а вот эти права реально даются, вот в чем вопрос...?
Или я неправильно понимаю слова "ограниченны одним доменом"?
← →
Димка На (2010-07-28 23:05) [1]на сервере домена, это всмысле на его контроллере. насколько я знаю у контроллера не может быть локальных групп.
← →
sniknik © (2010-07-29 00:48) [2]> насколько я знаю
Знаешь неправильно.
http://technet.microsoft.com/ru-ru/library/cc755692%28WS.10%29.aspx
3 пункт.
> у контроллера не может быть локальных групп.
Комп/ось на котором стоит этот контроллер, не может не иметь локальных групп, так же как любой обычный (от статуса принцип не меняется), при установке они всегда есть. Ну так вот, а когда комп "выше всех", попросту "неприлично" называть его локальные группы просто локальными, вот и называют "локально доменными" (а их чуть более расширенные по сравнению с обычными локальными группами возможности объясняются только тем, что все компы "знают главный комп домена" в "лицо". ИМХО).
← →
БарЛог © (2010-07-29 13:34) [3]Не совсем понял, что тебе нужно.
Есть Файловый Сервер в домене dom1, пользователи в доменах dom1 и dom2, разрешения на доступ к файлам могу дать как пользователям dom1 так и dom2. То же самое с группами.
← →
sniknik © (2010-07-29 14:14) [4]Нужно -
Создать "локально доменную группу" в домене dom2.
Создать файл в Файловом Сервере домена dom1.
Проверить, что пользователь из dom2 не может выполнять действий с файлом (по каким нибудь другим правам) на dom1.
Дать созданной группе в dom2 разрешения на действие с созданным файлом в dom1 (если получится).
Ввести проверенного пользователя из dom2 в созданную группу.
Проверить, что права на действие с файлом у этого пользователя на него появились...
Ну и второй противоположный вариант (по идее может быть рабочим)
И файл и группу создать в dom1, после в созданную группу внести пользователя из dom2 (если получится), и проверить поучил ли он права на файл.
Собственно, нужно доказать (или опровергнуть) что Микрософт врет... (вот прямо в той ссылке вверху) когда говорит, что "локально доменные" ограничены одним(своим) доменом.
Ну, а мне поможет понять в какой комбинации это может работать, а в какой нет (что именно означают слова "ограниченны одним доменом". с какой стороны... вот).
p.s. Не знаю в курсе ты или нет, но скажу, права у юзера гарантировано меняются после изменений только при перелогине (/перезагрузке компа). Там есть еще и какой то временной интервал когда они перегружаются, но его можно менять настройками поэтому ненадежно.
← →
Рамиль © (2010-07-29 14:29) [5]Так все правильно в ссылке написано, что не понятно?
В локальную можно добавить пользователя из любого домена, но назначить права группе можно только в своем домене.
В глобальную можно добавить пользователей только из своего домена, а назначить права группе в любом домене.
Универсальную можно использовать как угодно.
← →
KilkennyCat © (2010-07-29 15:30) [6]
> права у юзера гарантировано меняются после изменений только
> при перелогине (/перезагрузке компа).
может быть какие-то хитрые права?. я ни разу не сталкивался: изменение прав отрабатывало без перезагрузки.
← →
Рамиль © (2010-07-29 15:35) [7]
> может быть какие-то хитрые права?. я ни разу не сталкивался:
> изменение прав отрабатывало без перезагрузки.
Добавление в группу.
← →
KilkennyCat © (2010-07-29 15:36) [8]
> Рамиль © (29.07.10 15:35) [7]
Ха, точно! :) но это такая глобальная фигня, я не так у часто то добавляю, то удаляю...
← →
sniknik © (2010-07-29 16:52) [9]> Так все правильно в ссылке написано, что не понятно?
Понятно все. Нужны доказательства.
← →
Рамиль © (2010-07-29 17:24) [10]Пользователям сайта доверяешь больше чем майкрософту? :-)
Локальной группы не будет видно в другом домене при попытке добавить ее в безопасность объекта.
← →
sniknik © (2010-07-29 18:16) [11]> Пользователям сайта доверяешь больше чем майкрософту? :-)
Менеджеры дурные.
> Локальной группы не будет видно в другом домене при попытке добавить ее в безопасность объекта.
Как бы... нам скриншот присылали типа видно. И кстати почему нет? Моя программа видит (тоже сужу по скриншоту), да и Майкрософт откуда знает что потом, при раздаче прав(в проверке прав) эта группа будет использоваться для пользователя в другом домене... заранее, ИМХО, проверки лишние, а значит вряд ли сделаны.
← →
Рамиль © (2010-07-29 21:29) [12]
> Как бы... нам скриншот присылали типа видно.
А там видно, что она локальная в другом домене? Программа может и видит, кто ж знает как ты достаёшь эти группы.
> Майкрософт откуда знает что потом, при раздаче прав(в проверке
> прав) эта группа будет использоваться для пользователя в
> другом домене..
В смысле? Группа изначально локальная или глобальная. Поменять можно только на универсальную.
← →
sniknik © (2010-07-29 22:34) [13]> А там видно, что она локальная в другом домене?
То, что она локально доменная более чем вероятно, т.к. во первых, так говорят, во вторых такова их "политика партии", в третьих если она была глобальная не было бы тех проблем на которые "грешат" (программа работает в одном домене и не работает в другом - "отказано в доступе", в том месте где определяется принадлежность/права на запуск, в общем все признаки, но при этом - "у вас неправильно, мы проверяли, дали так права на файл...". ссылки и теория ни к чему не приводит).
> В смысле?
Без смысла, нужна проверка, получается - не получается. Все. Теория не нужна, обсуждать в десятый раз "что так не будет работать" не нужно. Вся теория разбивается о "а у меня работает", без описаний как добился, и вообще процесса в котором, если бы был, можно было найти неточности. Но понять в чем они могли напортачить хочется.
p.s. Вообще, кое какой смысл имеется. Товарищ клиент тоже посещает этот форум...
p.p.s. Зря попросил.
← →
Рамиль © (2010-07-30 08:54) [14]Я тебе скриншоты выслал.
← →
sniknik © (2010-07-30 09:50) [15]> Я тебе скриншоты выслал.
Не вижу в них смысла. Что даст отсутствие локально доменного в поиске? Если его говорят видят (и дают) в назначении прав на файлы (и в это я могу поверить, хрен с ним, но говорят, что они еще и срабатывают... а вот это невероятно, если только Микрософт не врет).
Вот тут -
http://www.imageup.ru/img188/prava396268.png.html
Причем если ткнуть в "размещение" то можно выбрать откуда их брать (домен, который у меня один, и потому ... ;( никаких проверок самому, и развернуть не получится, как админ сказал, или вернее очень долго (нужен минимум свободный комп, пока купят пока то да се, "поезд уйдет"))
А в поиске, это не показатель
Так например, вот так net.exe GROUP /DOMAIN
той группы, которая в скришоте отмечена, нет (та самая, локально доменная)
а вот так есть
net.exe LOCALGROUP /DOMAIN
Ну и что?
← →
Рамиль © (2010-07-30 10:48) [16]
> Не вижу в них смысла. Что даст отсутствие локально доменного
> в поиске? Если его говорят видят (и дают) в назначении
> прав на файлы
Так мой скриншот это и есть поиск при добавлении в безопасность файла в дочернем домене. Как добавить то, чего нет?
> никаких проверок самому, и развернуть не получится, как
> админ сказал, или вернее очень долго
Поставь на виртуалку, делов то на полтора часа вместе с установкой - домен за десять минут поднимается.
← →
sniknik © (2010-07-30 11:21) [17]> Как добавить то, чего нет?
Сделать так чтоб было... привел же пример с net.exe можно искать одно, можно другое, в стандартном от Микрософта тоже есть парамеры поиска (то самое "размещение" и типы объектов кнопкой выше), у тебя этого на скриншоте нет (вообще настроек нет), значит у тебя урезанный поиск... ищется только одно.
Можно сделать программно, типа
http://www.sql.ru/forum/actualthread.aspx?tid=517695&hl=adsi
У меня правда настройки несколько другие, ориентация на группы, и по возможности все (то же самое если добавить юзеров дает и в назначении прав на файлы)
т.е. в примере нужно изменить параметры такScopeInit[0].flType := DSOP_SCOPE_TYPE_UPLEVEL_JOINED_DOMAIN or
DSOP_SCOPE_TYPE_DOWNLEVEL_JOINED_DOMAIN or
DSOP_SCOPE_TYPE_ENTERPRISE_DOMAIN; //DSOP_SCOPE_TYPE_TARGET_COMPUTER;
ScopeInit[0].flScope := DSOP_SCOPE_TYPE_USER_ENTERED_DOWNLEVEL_SCOPE;
ScopeInit[0].FilterFlags.Uplevel.flBothModes:= DSOP_FILTER_UNIVERSAL_GROUPS_DL or
DSOP_FILTER_UNIVERSAL_GROUPS_SE or
DSOP_FILTER_DOMAIN_LOCAL_GROUPS_DL or
DSOP_FILTER_DOMAIN_LOCAL_GROUPS_SE{ or
DSOP_FILTER_USERS};
ScopeInit[0].FilterFlags.flDownlevel := DSOP_DOWNLEVEL_FILTER_GLOBAL_GROUPS or
DSOP_DOWNLEVEL_FILTER_LOCAL_GROUPS {or
DSOP_DOWNLEVEL_FILTER_USERS};
По идее видеть будешь то же самое.
> Поставь на виртуалку, делов то на полтора часа вместе с установкой - домен за десять минут поднимается.
Ну, если бы я был нашим админом, я может так и сделал бы, но я программист, а админ говорит нельзя.
← →
Рамиль © (2010-07-30 12:19) [18]Мне компилировать нечем.
> у тебя этого на скриншоте нет (вообще настроек нет), значит
> у тебя урезанный поиск...
Неурезаный, это последнее окошко - выбрано размещение родительский домен и типы объектов Пользователи и группы.
Т. е. у меня структура dom1.dom2.ru, если как в [4] делать.
← →
sniknik © (2010-07-30 14:53) [19]> выбрано размещение родительский домен
Естественно тогда ты видишь либо свои, либо глобальные. А проверить хотелось вариант с выбором из другого домена.
← →
Рамиль © (2010-07-30 14:58) [20]Так родительский и есть другой домен по отношению к дочернему.
← →
sniknik © (2010-07-30 15:40) [21]Понятно. Типа, дело ясное что дело темное...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2010.11.07;
Скачать: [xml.tar.bz2];
Память: 0.52 MB
Время: 0.004 c