Глюк, особенность или ... ??

[pavlika]

Что было:
1] рабочее дерево TREE_A живущее на NW5.1 SP1 IP+IPX.
2] рабочая станция winXP c SP1 и клиентом 4.91
3] на рабочей станции аккаунт совпадает (login/pass) с нетваревским (плохо, но так есть).
Что добавили:
1] тестовое дерево TREE_B вставшее на NW6.5 SP3 IP+IPX.
2] воткнули в сеть с TREE_A
Что получили:
1 вариант: вхожу в TREE_A. Тут все как положено - вижу то, что положено и при попытке залезть в TREE_B просится аудентификация.
2 вариант: вхожу в TREE_B. Лезу через сетевое окружение на нетваревские сервера и совершенно спокойно влезаю в TREE_A, аудентифицируясь в нем под учетной записью, совпадающей по имени с локальной (пароли тоже совпадают). Если пароли на локальную запись XP и нетварь сделать разными, то тогда при входе в TREE_A требуется аудентификация, чего собственно и хочется.
P.S.
в дерево TREE_B вхожу под учетной записью, которой на локальной машине нет.

Как такое может быть

[Ravil]

а что собственно вы хотели получить ? что ту странного ?
Pavlika писал
P.S.
в дерево TREE_B вхожу под учетной записью, которой на локальной машине нет

так учетные записи в NDS и локальные вндовые разные вещи.

можно вопрос корректней

[pavlika]

Странно то, что войдя в TREE_B cn=admin.o=[organization_B_name] я через сетевое окружение лезу на серверу SRV, находящемуся в дереве TREE_A и без всяких запросов, автоматом аудентифицируюсь в нем как cn=user.o=[organization_A_name]. Это разве нормально?
P.S.
Такая ерунда есть, если в свойствах client32 на закладке "клиент" запоминается дерево и контекст пользователя cn=user.o=[organization_A_name]. Если мы удаляем эту информацию и перегружаемся, то все нормально, при входе через сетевое окружение на SRV в TREE_A запрашивается аудентификация. При следующей перезагрузке эта информация запоминается и я попадаю в SRV автоматом.

[Андрей Тр. aka RH]

Странно то, что .. я через сетевое окружение лезу на серверу SRV, находящемуся в дереве TREE_A и без всяких запросов, автоматом аудентифицируюсь в нем как cn=user.o=[organization_A_name]. Это разве нормально?

Конечно, нормально, ИМХО. Чем это отличается от 1-го варианта ? Ведь у вас имя локального пользователя и пароль совпадают с новелловским ( в Дереве_А ) - поэтому, очевидно, при старте Винды клиент автоматом логинится в Дерево_А. Ну а то, что вы потом еще и в Дерево_В ломитесь - это детали, к А отношения не имеющие.

Если не хотите, чтобы при старте Винды происходила попытка логина в NDS, то в 4.9х в настройках клиента можно отключить Advanced Login - Initial Novell Login.

[pavlika]

Если не хотите, чтобы при старте Винды происходила попытка логина в NDS, то в 4.9х в настройках клиента можно отключить Advanced Login - Initial Novell Login.

Это я знаю .. сейчас проверил, отключил начальную регистрацию Novell .. перегрузился .. вошел в рабочую станцию .. затем залогинился в TREE_B, смотрю соединения NetWare и вижу, что аудентифицирован только в нем .. полез через сетевое окружение на SRV в TREE_A и спокойно на него залез .. глянул после этого соединения и вижу, что аудентифицирован уже и в TREE_A .. ЭТО КАК???

[Влад А.Сокол aka Akina]

1) Топнув правым батоном на N и выбрав пункт "Netware Connections", можно в любой момент посмотреть, где, кем и по какому протоколу аутентифицирован.
2) В слове "аутентифицирован" нет ни одной буквы "д".

[pavlika]

1) Топнув правым батоном на N и выбрав пункт "Netware Connections", можно в любой момент посмотреть, где, кем и по какому протоколу аутентифицирован.

и это знаем .. вопрос в том почему мне, когда я лезу в SRV в TREE_A не выкидывается окно для аудентификации, а она проходит для меня прозрачно.

2) В слове "аутентифицирован" нет ни одной буквы "д".

тока так, инече не выговариваю

[Влад А.Сокол aka Akina]

вопрос в том почему мне, когда я лезу в SRV в TREE_A не выкидывается окно для аудентификации, а она проходит для меня прозрачно.

Вариантов два.
Первый - Ты УЖЕ аутентифицирован в том дереве.
Второй - Это дерево и контекст забиты в свойствах клиента, и логин-пароль локальный и в NDS совпадают.

да чего мы воздух-то трясем... тебе нужно, чтобы запрос на аутентификацию ВСЕГДА БЫЛ? убери preferred tree/conext/server в настройках клиента... нужно чтобы НЕ БЫЛО? перейди на Single Sign-On (SecureLogin).

[Boris Morozov]

и забыть вообще про локального пользователя. 100% клиентов становятся просто счастливы от этого. Никому еще не был нужен разный локальный логин. А делается средствами самой винды и двумя ключиками в реестре. Выглядит точно так, как было в 95/98 винде.
Пароль в винде разумеется пустой.

[pavlika]

Всем спасибо за разъяснения.

[Андрей Тр. aka RH]

AutoAdminLogon штука полезная, и мы его используем, скажем, на ноутбуках. Действительно, помогает, если не нужен разный локальный логин. Однако, в основном мы пользуемся DLU, и локальный пользователь создается динамически - т.к. есть несколько разных категорий пользователей с разными правами на С: ( членством в разных локальных группах и пр. ). Плюс пользователи не привязаны к компам, так что на любом из них должен мочь работать любой пользователь.

[Boris Morozov]

любом коипьютере противоречит наличию разных локальных логинов.
Наш подход: компъютер - кусок железа, котрый можно безболезненно заменить на другой аналогичный кусок. А посему никаких локальных логинов и хранения критически важных данных на локальных дисках.
В этом случае понятие локального логина становится бессымысленным.
Я конечно не имею в виду учебные заведения, где надо резать права студентам, а говорю про обычные предприятия.

[Timur Kazimirov]

Ну так в случае DLU компьютер как раз и превращается в легко заменяемый "кусок железа". И пользователи вообще не привязаны к какому-либо компу. Сегодня есть, завтра гикнулся. Поставили другой комп, пользователь зашел и работает. Со всем своим привычным окружением, профиль-то в домашнем каталоге (ну или в каком-либо другом месте на сервере).

[Андрей Тр. aka RH]

Boris Morozov

Именно так - насчет куска железа и никаких важных данных на локальном диске. В случае с ААL, впрочем, как раз и имеем постоянный локальный логин, отличный от стандартного виндозовского. Главный недостаток DLU - что нужен Зен. В остальном я не вижу преимуществ AAL над DLU.

Помимо всего прочего AAL - еще и какая-никакая дырка в безопасности, ведь на всех компах тогда существуют локальные пользователи ( вполне возможно, что они и локальные админы к тому же ) с одинаковы именем и паролем, прописанными в реестре в clear text. Случись что - и поменять-то их так запросто не поменяешь ( можно, конечно, замастырить апдейты реестра через батник или т.п. ) ..

[Boris Morozov]

удаление MS сети как класса.