студент_86 Опубликовано 13 декабря, 2008 Жалоба Поделиться Опубликовано 13 декабря, 2008 Здравствуйте! Планируется реорганизация сети, столкнулся с вопросами касаемо реализации. Планируется завести четыре группы пользователей: первая - бухгалтерия, видит только себя и интернет (~ 5...7 компьютеров) вторая - инженеры - видят только себя и интернет (~ 5...7 компьютеров) третья - директор и два его зама (самые хитрые =) ) - видят всех, их не видит никто (3 компьютера + возможно пара ноутбуков, здесь важно обеспечить надежность ограничений) четвертая - я, вижу всех кроме руководства (1 компьютер) Как планирую делать - есть три варианта: 1. поставить обычный 24 портовый свич и раздать всем права доступа 2. или - возможно ли организовать это через VLAN, чтобы создать не несколько изолированных групп, а распределить еще между ними права доступа друг к другу, тогда какой понадобится свич? 3. каждой группе дать свой простейший свич, и объединить их посредством двух старых системников (имеются в наличии), настроенных как маршрутизаторы в принципе, думаю что вариант с VLAN самый предпочтительный, но раньше с ним не сталкивался, боюсь лопухнуться. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Фдуч Опубликовано 16 декабря, 2008 Жалоба Поделиться Опубликовано 16 декабря, 2008 По моему здесь проще всего поднять домен. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 16 декабря, 2008 Жалоба Поделиться Опубликовано 16 декабря, 2008 студент_86: да Фдуч прав насчёт домена, только четвертая - я, вижу всех кроме руководства (1 компьютер) а оно тебе нужно, те зачем сисадмину ограничивать доступ, проще об этом не говорить ;) + ты бухгалтерию видишь же и вот ещё, в ней нужен ограниченный доступ в инет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 16 декабря, 2008 Автор Жалоба Поделиться Опубликовано 16 декабря, 2008 ну таки да, полазив по инету и посмотрев что есть из себя vlan (по крайней мере в приемлемом ценовом диапазоне), понял что он моих задач не решит. Домен - покупать серверную ось в планы не входит (накладно), вопрос стоит не так остро чтобы тратиться. Можно ли разрулить эти вещи через локальные политики безопасности без домена? Пока не конкретно, а в принципе. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
worker Опубликовано 17 декабря, 2008 Жалоба Поделиться Опубликовано 17 декабря, 2008 а что такое "видит" ? :) и есть ли у юзеров права локального админа? и вообще, какие ОСи в наличии? и как раздается инет? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 17 декабря, 2008 Автор Жалоба Поделиться Опубликовано 17 декабря, 2008 видит - имеется в виду есть значок в сетевом окружении у пользователей права админа есть, но можно отобрать оси xp проф и хоум, примерно поровну инет будет раздаваться через прокси-сервер, скорее всего на линуксе Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
abram4 Опубликовано 17 декабря, 2008 Жалоба Поделиться Опубликовано 17 декабря, 2008 видит - имеется в виду есть значок в сетевом окружении ИМХО, некорректная постановка задачи. Что и кому говорит наличие/отсутствие значка в сетевом окружении? Да ничего! Ну, скажем, есть значок, а дальше что? Даже на вопрос "а включен ли компьютер COMP?" невозможно однозначно ответить судя по этому значку. И вообще, смысл его в том, чтобы по нему щелкнуть и увидеть расшаренные ресурсы (папки с файлами, принтеры) того компа. Потом обменяться файлами, для чего нужна соответствующая настройка разрешений на чтение/запись, или попечатать на расшаренном принтере и т.п. А так ... чтобы видеть/не видеть значок не надо никаких доменов (кстати, HOME в домен не вписывается) или ВЛАНов. Сначала надо отладить сеть чтобы все стабильно видели всех а потом для "совсем невидимых" компов остановить службу Server. Или выполнить net config server /hidden:yes. Или в реестре поковыряться :sm(100): Остальных загнать в разные рабочие группы и не рассказывать юзерам что можно нажать кнопку Backspace :g: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Фдуч Опубликовано 17 декабря, 2008 Жалоба Поделиться Опубликовано 17 декабря, 2008 Я тоже понял, что "видит" ("не видит") - это имеет (и соответсвенно не имеет) доступ к расшаренным ресурсам. Поэтому Можно ли разрулить эти вещи через локальные политики безопасности без домена? Пока не конкретно, а в принципе. в принциппе можно попробовать сделать следующее. На каждом компьютере завести локальных пользователей (по количеству людей работающих на компьютерах) с одинаковыми на каждом компьютере логинами/паролями и дать на расшаренные папки нужные для каждого доступы. Так же можно настроить доступ к компьютеру через локальные политики безопасности. Ну, и не забыть про гостя. С ним можно поступить по своему усмотрению (или поставить на пароль или отключить или опять же через локальные политики безопасности запретить вход на нужные (не нужные) компьютеры. Естетсвенно это все верно, если все компьютеры в одной рабочей группе и на всех стоит XP/2000/NT/wista. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 17 декабря, 2008 Автор Жалоба Поделиться Опубликовано 17 декабря, 2008 (изменено) ИМХО, некорректная постановка задачи. Что и кому говорит наличие/отсутствие значка в сетевом окружении? Да ничего! Остальных загнать в разные рабочие группы и не рассказывать юзерам что можно нажать кнопку Backspace ага, а они сами не знают. через вот так вот я и сам умею, мне надо чтобы покруче конкретно - в идеале нужно чтобы юзеры из запрещенных групп вообще не могли выяснить есть мой компьютер в сети или нет, при том чтобы я мог творить над их машинками все что захочу (да, такой вот я маньяк) без их ведома. Завести локальных пользователей и пароли на папки можно, только пароль локального администратора умеючи сбрасывается за пару минут, а дальше резвись - не хочу, это настораживает. И проверять каждый день никто там не порезвился - тоже не устраивает, хочу приходить на работу и спать, а не заниматься одним и тем же. Изменено 17 декабря, 2008 пользователем студент_86 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
worker Опубликовано 18 декабря, 2008 Жалоба Поделиться Опубликовано 18 декабря, 2008 только пароль локального администратора умеючи сбрасывается за пару минут, вот потому я и спрашивал. Если есть в сетке такие умники, то замахаешься после них каждый раз перенастраивать. Правда, думаю, есть один способ - если инет через прокси пойдет, то давать его с авторизацией чтобы умники сидели без инета пока сисадмин не соблаговолит поправить. Пару раз протормозить их по недельке - будут шелковые :D Насчет видимости/невидимости ... Ты сисадмин ленивый блин, глюкнуло, сорри. продолжаю ... или работящий? Если , как положено, ленивый, то на мой вкус, пусть все время тебя (и боссов) в сети видят и знают что лазишь где захочешь и при желании вздрючишь как следует. Тогда меньше будут сами нос совать куда не положено и тебе меньше работы. А если работящий и делать тебе больше нечего кроме как за умниками прибираться, то да, прячься и отслеживай где бы что еще прибрать. Вот и выбери себе политику :blush2: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Фдуч Опубликовано 18 декабря, 2008 Жалоба Поделиться Опубликовано 18 декабря, 2008 только пароль локального администратора умеючи сбрасывается за пару минут Насколько я знаю, для того чтобы сбросить пароль локального администратора нужно загрузится с другого носителя (дискетка, флешка и т.д.) и используя нужную программу его сбросить. Чтобы этого нельзя было сделать можно в биосе выставить загрузку только с жесткого диска и поставить биос на пароль. Да, в этом случае остается вариант сбросить биос. :blink: Но тут тоже можно найти управу. Например, опечатывать системник. И при нарушении пломбы - ... (действия по желанию). А вообще, так можно долго предлагать меры и искать контрмеры. И последние всегда найдутся... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.