Проверьте пожалуйста, если у вас больше чем один домен...

← →
sniknik © (2010-07-28 17:59) [0]

Сам не могу...
Суть вопроса по правам "локально доменной группы" (локальная группа на сервере домена).
По доке, и личным убеждениям, такие "недогруппы" ограниченны одним доменом... Но вот клиент "божится", что он может (и делает) дать права например на открытие/редактирование/и т.д. файла такой группе в другом (доверительном) домене, и клиент их получает!!!???
Т.е. то, что возможно группу прописать в безопасности, если ее видно, я не сомневаюсь, а вот эти права реально даются, вот в чем вопрос...?
Или я неправильно понимаю слова "ограниченны одним доменом"?

← →
Димка На (2010-07-28 23:05) [1]

на сервере домена, это всмысле на его контроллере. насколько я знаю у контроллера не может быть локальных групп.

← →
sniknik © (2010-07-29 00:48) [2]

> насколько я знаю
Знаешь неправильно.

http://technet.microsoft.com/ru-ru/library/cc755692%28WS.10%29.aspx
3 пункт.

> у контроллера не может быть локальных групп.
Комп/ось на котором стоит этот контроллер, не может не иметь локальных групп, так же как любой обычный (от статуса принцип не меняется), при установке они всегда есть. Ну так вот, а когда комп "выше всех", попросту "неприлично" называть его локальные группы просто локальными, вот и называют "локально доменными" (а их чуть более расширенные по сравнению с обычными локальными группами возможности объясняются только тем, что все компы "знают главный комп домена" в "лицо". ИМХО).

← →
БарЛог © (2010-07-29 13:34) [3]

Не совсем понял, что тебе нужно.

Есть Файловый Сервер в домене dom1, пользователи в доменах dom1 и dom2, разрешения на доступ к файлам могу дать как пользователям dom1 так и dom2. То же самое с группами.

← →
sniknik © (2010-07-29 14:14) [4]

Нужно -
Создать "локально доменную группу" в домене dom2.
Создать файл в Файловом Сервере домена dom1.
Проверить, что пользователь из dom2 не может выполнять действий с файлом (по каким нибудь другим правам) на dom1.
Дать созданной группе в dom2 разрешения на действие с созданным файлом в dom1 (если получится).
Ввести проверенного пользователя из dom2 в созданную группу.
Проверить, что права на действие с файлом у этого пользователя на него появились...

Ну и второй противоположный вариант (по идее может быть рабочим)
И файл и группу создать в dom1, после в созданную группу внести пользователя из dom2 (если получится), и проверить поучил ли он права на файл.

Собственно, нужно доказать (или опровергнуть) что Микрософт врет... (вот прямо в той ссылке вверху) когда говорит, что "локально доменные" ограничены одним(своим) доменом.
Ну, а мне поможет понять в какой комбинации это может работать, а в какой нет (что именно означают слова "ограниченны одним доменом". с какой стороны... вот).

p.s. Не знаю в курсе ты или нет, но скажу, права у юзера гарантировано меняются после изменений только при перелогине (/перезагрузке компа). Там есть еще и какой то временной интервал когда они перегружаются, но его можно менять настройками поэтому ненадежно.

← →
Рамиль © (2010-07-29 14:29) [5]

Так все правильно в ссылке написано, что не понятно?

В локальную можно добавить пользователя из любого домена, но назначить права группе можно только в своем домене.

В глобальную можно добавить пользователей только из своего домена, а назначить права группе в любом домене.

Универсальную можно использовать как угодно.

← →
KilkennyCat © (2010-07-29 15:30) [6]

> права у юзера гарантировано меняются после изменений только
> при перелогине (/перезагрузке компа).

может быть какие-то хитрые права?. я ни разу не сталкивался: изменение прав отрабатывало без перезагрузки.

← →
Рамиль © (2010-07-29 15:35) [7]

> может быть какие-то хитрые права?. я ни разу не сталкивался:
> изменение прав отрабатывало без перезагрузки.

Добавление в группу.

← →
KilkennyCat © (2010-07-29 15:36) [8]

> Рамиль © (29.07.10 15:35) [7]

Ха, точно! :) но это такая глобальная фигня, я не так у часто то добавляю, то удаляю...

← →
sniknik © (2010-07-29 16:52) [9]

> Так все правильно в ссылке написано, что не понятно?
Понятно все. Нужны доказательства.

← →
Рамиль © (2010-07-29 17:24) [10]

Пользователям сайта доверяешь больше чем майкрософту? :-)

Локальной группы не будет видно в другом домене при попытке добавить ее в безопасность объекта.

← →
sniknik © (2010-07-29 18:16) [11]

> Пользователям сайта доверяешь больше чем майкрософту? :-)
Менеджеры дурные.

> Локальной группы не будет видно в другом домене при попытке добавить ее в безопасность объекта.
Как бы... нам скриншот присылали типа видно. И кстати почему нет? Моя программа видит (тоже сужу по скриншоту), да и Майкрософт откуда знает что потом, при раздаче прав(в проверке прав) эта группа будет использоваться для пользователя в другом домене... заранее, ИМХО, проверки лишние, а значит вряд ли сделаны.

← →
Рамиль © (2010-07-29 21:29) [12]

> Как бы... нам скриншот присылали типа видно.

А там видно, что она локальная в другом домене? Программа может и видит, кто ж знает как ты достаёшь эти группы.

> Майкрософт откуда знает что потом, при раздаче прав(в проверке
> прав) эта группа будет использоваться для пользователя в
> другом домене..

В смысле? Группа изначально локальная или глобальная. Поменять можно только на универсальную.

← →
sniknik © (2010-07-29 22:34) [13]

> А там видно, что она локальная в другом домене?
То, что она локально доменная более чем вероятно, т.к. во первых, так говорят, во вторых такова их "политика партии", в третьих если она была глобальная не было бы тех проблем на которые "грешат" (программа работает в одном домене и не работает в другом - "отказано в доступе", в том месте где определяется принадлежность/права на запуск, в общем все признаки, но при этом - "у вас неправильно, мы проверяли, дали так права на файл...". ссылки и теория ни к чему не приводит).

> В смысле?
Без смысла, нужна проверка, получается - не получается. Все. Теория не нужна, обсуждать в десятый раз "что так не будет работать" не нужно. Вся теория разбивается о "а у меня работает", без описаний как добился, и вообще процесса в котором, если бы был, можно было найти неточности. Но понять в чем они могли напортачить хочется.

p.s. Вообще, кое какой смысл имеется. Товарищ клиент тоже посещает этот форум...
p.p.s. Зря попросил.

← →
Рамиль © (2010-07-30 08:54) [14]

Я тебе скриншоты выслал.

← →
sniknik © (2010-07-30 09:50) [15]

> Я тебе скриншоты выслал.
Не вижу в них смысла. Что даст отсутствие локально доменного в поиске? Если его говорят видят (и дают) в назначении прав на файлы (и в это я могу поверить, хрен с ним, но говорят, что они еще и срабатывают... а вот это невероятно, если только Микрософт не врет).

Вот тут -
http://www.imageup.ru/img188/prava396268.png.html
Причем если ткнуть в "размещение" то можно выбрать откуда их брать (домен, который у меня один, и потому ... ;( никаких проверок самому, и развернуть не получится, как админ сказал, или вернее очень долго (нужен минимум свободный комп, пока купят пока то да се, "поезд уйдет"))

А в поиске, это не показатель
Так например, вот так net.exe GROUP /DOMAIN
той группы, которая в скришоте отмечена, нет (та самая, локально доменная)
а вот так есть
net.exe LOCALGROUP /DOMAIN

Ну и что?

> Не вижу в них смысла. Что даст отсутствие локально доменного
> в поиске? Если его говорят видят (и дают) в назначении
> прав на файлы

Так мой скриншот это и есть поиск при добавлении в безопасность файла в дочернем домене. Как добавить то, чего нет?

> никаких проверок самому, и развернуть не получится, как
> админ сказал, или вернее очень долго

Поставь на виртуалку, делов то на полтора часа вместе с установкой - домен за десять минут поднимается.

> Как добавить то, чего нет?
Сделать так чтоб было... привел же пример с net.exe можно искать одно, можно другое, в стандартном от Микрософта тоже есть парамеры поиска (то самое "размещение" и типы объектов кнопкой выше), у тебя этого на скриншоте нет (вообще настроек нет), значит у тебя урезанный поиск... ищется только одно.

Можно сделать программно, типа
http://www.sql.ru/forum/actualthread.aspx?tid=517695&hl=adsi

У меня правда настройки несколько другие, ориентация на группы, и по возможности все (то же самое если добавить юзеров дает и в назначении прав на файлы)
т.е. в примере нужно изменить параметры так
ScopeInit[0].flType := DSOP_SCOPE_TYPE_UPLEVEL_JOINED_DOMAIN or DSOP_SCOPE_TYPE_DOWNLEVEL_JOINED_DOMAIN or DSOP_SCOPE_TYPE_ENTERPRISE_DOMAIN; //DSOP_SCOPE_TYPE_TARGET_COMPUTER; ScopeInit[0].flScope := DSOP_SCOPE_TYPE_USER_ENTERED_DOWNLEVEL_SCOPE; ScopeInit[0].FilterFlags.Uplevel.flBothModes:= DSOP_FILTER_UNIVERSAL_GROUPS_DL or DSOP_FILTER_UNIVERSAL_GROUPS_SE or DSOP_FILTER_DOMAIN_LOCAL_GROUPS_DL or DSOP_FILTER_DOMAIN_LOCAL_GROUPS_SE{ or DSOP_FILTER_USERS}; ScopeInit[0].FilterFlags.flDownlevel := DSOP_DOWNLEVEL_FILTER_GLOBAL_GROUPS or DSOP_DOWNLEVEL_FILTER_LOCAL_GROUPS {or DSOP_DOWNLEVEL_FILTER_USERS};
По идее видеть будешь то же самое.

> Поставь на виртуалку, делов то на полтора часа вместе с установкой - домен за десять минут поднимается.
Ну, если бы я был нашим админом, я может так и сделал бы, но я программист, а админ говорит нельзя.

Мне компилировать нечем.

> у тебя этого на скриншоте нет (вообще настроек нет), значит
> у тебя урезанный поиск...

Неурезаный, это последнее окошко - выбрано размещение родительский домен и типы объектов Пользователи и группы.
Т. е. у меня структура dom1.dom2.ru, если как в [4] делать.

> выбрано размещение родительский домен
Естественно тогда ты видишь либо свои, либо глобальные. А проверить хотелось вариант с выбором из другого домена.

Так родительский и есть другой домен по отношению к дочернему.

Понятно. Типа, дело ясное что дело темное...

Проверьте пожалуйста, если у вас больше чем один домен... Найти похожие ветки