proNovell

Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.

и еще можно ли ограничить регистрацию пользователя по IP диапазону адресов, а не только по конкретному IP (больно много вписывать придется:(

ps.
при IPX можно было хотяб-бы адресом сети ограничить

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения

Подключение к чему и по какому протоколу?

Я так подозреваю ограничить доступ к файл-серверу по TCP/IP с клиентских PC где стоят Client32.

Так да?

В случае FTP такие ограничения делаются легко.

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.

и еще можно ли ограничить регистрацию пользователя по IP диапазону адресов, а не только по конкретному IP (больно много вписывать придется:(

Туманно все как то - У вас что разграничение прав раздается на уровне рабочих станций, а не на уровне пользователей? А смысл?

Проблема в том что:

Студент:
1. в учебных аудиториях должен получить полный доступ к %home
2. в интернет кафе - только по чтению %home что-бы смогли распечатать свои доклады но всяку лажу в сеть не таскали (забодали игрухи писать:(
3. в аудиториях тестирования вообще никакого доступа к %home

И действительно, ограничение прав для одного и того же пользователя на основе его рабочей станции как-то противоречит всем .. устоям. В вашем случае я бы посмотрел в сторону использования логин скрипта, с конструкцией типа :

Код: Выделить всё

IF "%2"="LAB1" THEN
  чего выполнять в Лаб1
END

где задействовать переменную новелловского клиента ( и таким образом идентифицировать аудитории ). В одной мапить %home, в другой не мапить .. с правами несколько сложнее, но ИМХО оттуда же можно RIGHTS выполнять, с подстановкой соотв. директории ( тогда мапить всегда, просто RIGHTS при каждом логине запускать с разным набором прав ).

Выглядит несколько коряво, но я не думаю, что получится права менять ( для различных пользователей ) на основе адресов раб. станций ( объектов раб. станций в деревер - еще куда ни шло, но это не тот случАй ).

Андрей Тр. aka RH писал(а):просто RIGHTS при каждом логине запускать с разным набором прав

Выглядит несколько коряво, но я не думаю, что получится права менять ( для различных пользователей ) на основе адресов раб. станций ( объектов раб. станций в деревер - еще куда ни шло, но это не тот случАй ).

В общем 1 раз ты rights может быть и выполнишь. А далее у тебя не будет прав вернуть права на каталог (если конечно не админ ).
Я бы предложил, на тестирование делать отдельные логины с пустыми домашними каталогами, и перед приходом на тестирование машины загружаются под этими логинами (тестирующимся пароли не выдаются).
Для доступа из инет кафе сделай доступ по фтп и не давай просто логинится с этого диапазона адресов.

vsb писал(а):В общем 1 раз ты rights может быть и выполнишь. А далее у тебя не будет прав вернуть права на каталог (если конечно не админ ).

Спорное утверждение .. то, что я не могу писать в данный каталог ( или читать ), еще не значит, что я не могу поменять на него права. Другое дело, что мне в явном виде должны быть недоступны механизмы смены этих самых прав.

С тестированием, кстати, в одной организации мы делали подкаталоги в домашних у студней, которые преподы одним батником могли включать, другим выключать ( запуская набор rights ). В результате на время тестирования становился виден лишь только этот самый подкаталог ( который они ни удалить, ни переименовать не могли ).

что-же вы студентов необразованными личностями считаете
тут блин запретил повторную регистрацию на станции после входа, чтобы нелбза было через машину друг у друга отчеты по лабам переписывать, так они вытащили login32.exe

стоит естественно клиент32 под 9x и XP.
так в свойствах клиента (папках, сетевом окружении) оно все можно добавить и и логин-скрипт не панацея...
опять-же кафедральные машины ... яж не могу у каждой стоять и бить по рукам - типа не перестраивать настройки клиента (если выключить возможность его настройки) ... аапраропапр

именно нужно чтобы с одного место RW а с другого RO

лажа одно слово ...

ps.
ладно, будем искать ...

Дмитрий Митрофанов писал(а):стоит естественно клиент32 под 9x и XP.
так в свойствах клиента (папках, сетевом окружении) оно все можно добавить и и логин-скрипт не панацея...
опять-же кафедральные машины ... яж не могу у каждой стоять и бить по рукам - типа не перестраивать настройки клиента (если выключить возможность его настройки)

Такие вещи можно сделать через ЗЕН ( хотя если клиенты 9х, то дело почти безнадежное ). На ХР довольно неплохо можно ограничить через Group policy, при желании вроде бы можно через adm-файл менять настройки Клиента32. Далее - к разным машинам / пользователям применяются, соответственно, различные политики .. Разумеется, всякие сетевые окружения, меню File, контекстные меню ( местами ) и пр. позапрещать. С особо умными бороться только административными мерами. ИМХО нормальным путем назначить тем же самым пользовательским счетам RW с одних машин и R с других ( да еще на основе IP адресов ) не получится.

Господа, а не решит ли проблему с качанием из Интернета дисковая квота? В конце концов в нете и полезная информация может быть, которую не вредно и в домашнюю паапку сохранить, а чтоб лишенго не качали так если не будет свободного места так и качать не будут.
.
А что касается тестирования, то по-моему было предложено разумное решение когда препод с помощью RIGHT меняет махом права доступа к хомякам на время тестирования.

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.

маски правильно пропиши, а то с маской 255.255.0.0 у тебя все в одной сети.
надо /24 или 255.255.255.0