proNovell

Приветствую, Коллеги!

Представьте себе сеть среднего размера (в пределах 500 портов). Одно дерево. Администрирование требует очень тонкого разграничения доступа к информации - очень много ресурсов, очень много различных рабочих групп, и в каждой своя специфика. Постоянно все меняется - новые проблемы, новые группы по ним. КАК СДЕЛАТЬ ЭТО АДМИНИСТРИРОВАНИЕ НАГЛЯДНЫМ? Чтоб не держать в голове схемы наследования доступа и не ошибиться при его разделении? Пытался поставить какой-то Ревизор, не получилось. А сердце подсказывает - должен быть такой софт, ведь нужен же! Например нарисовал бы он мне карту дерева с кучей стрелок, я бы только мышом таскал объекты по плоскости дтоб поменьше пересечений было в этих стрелдках, да чтоб по "портрету" из этих стрелок мог бы судить на глаз о "здоровье" NDSа и даже пытаться оптимизировать его?

Крайне интересно - существует ли такая "мечта идиота"? (Jack, не обижайся - это ... теряюсь в формулировках... в общем - тебя лично я в виду не имел. Скорее себя )

по большому счету это должен быть некий LDAP-browser с графической оболочкой, заточенной под нетварь. Вот и все! Искал - не нашел!

Это не мечта идиота, это мечта начальника (среднего, гипотетического)

http://www.visualclick.com не смотрели? Цены правда...

Jack The Ripper писал(а):Приветствую, Коллеги!

Представьте себе сеть ..... КАК СДЕЛАТЬ ЭТО АДМИНИСТРИРОВАНИЕ НАГЛЯДНЫМ? Чтоб не держать в голове схемы наследования доступа. Например нарисовал бы он мне карту дерева с кучей стрелок, я бы только мышом таскал объекты

Очень хорошо представляю, т.к. имею много больше... Согласен - со временем становится столько разных групп...
Вы не поверите..... Но есть такое чудо. Я даже уже не однократно его рекламировал. Зовут его AdRem Server Manager. WWW.ADREMSOFT.COM
Одна из прелестей - разрисовка прав и фильтров по каталогам. Можно налету все поменять. Но есть одно но. AdRem через 30 дней начинает просить денег. У них же есть ещё несколько модных инструментов - посмотрите.
Вариант два: NetwareRevisor - тоже будет просить денег - рисует структуру TRUSTов, создает образ сервера - возможно восстановление и структуры папок и TRUSTов на них.
Но для себя я выбрал дополнительный вариант:
- есть утильта NList - вытаскивает из дерева всевозможную информацию. Можно в файл, но не типизованный - обычный текст.
- при известной степени старания можно написать прогу, которая переделает этот файл в DBFку или что то ещё (написал - получаю членство в группах).
- есть утильта trst4x32 срисовывает в файл TRUSTы - написал прогу которая переделает этот файл в DBFку
- связав эти две DBFки по полю группа и добавив поля по желания и потребности, можно строить любые запросы, проводить анализ, генерить отчёты.

Советую попробовать варианты 1 и 2 + найти программиста и поставить ему задачу под Ваши потребности

Я даже уже не однократно его...

Вариант ДВА: А я его - посточнно...

Вот мой ответ TEDуBEERу :
-устанавливаю машину администратора,

-набиваю ее потребными программами (которые не триальные),

-с пом. создателей образов записываю образ этой машины куда подальше . этот образ называется у меня base .

-устанавливю все свои триальные программы (благо, они все - на месяц...)

-записываю новый образ тудаже. он называется work.

-в дальнейшем с машиной веду себя разнузданно (т.е ставлю-сношу-переставляю все что хощЪ и в любом порядке, жму ресет при каждом удобном случае и т.д. , ибо всегда есть образ). Кроме того, все и всяческие программы чистки рееста, поиска одинаковых файлов, секретности винды и др. аналогичные средства становятся лишними.

-переставляюсь с утра и после каждого И-контакта (в т.ч. и когда вот от ПРОНа вернусь домой - переставлюсь) (возможно это излишне, но после бластера так как-то спокойнее...). Время накатки рабочей машины - 140-160 мекунд

-по прошествию месяца - repeat:
---время накатки base-образа - до 7 минут, ибо пишу с контрольным проходом и конфирмацией,
---время накатки триальных программ - до 15 минут,
---время записи нового work-образа - до 6 минут (пишу с контрольным проходом и конфирмацией),

Jack The Ripper писал(а):Представьте себе сеть среднего размера (в пределах 500 портов). Одно дерево. Администрирование требует очень тонкого разграничения доступа к информации - очень много ресурсов, очень много различных рабочих групп, и в каждой своя специфика.

Очень хорошо представляю себе сеть такого и даже большего размера, потому что работал в ней очень много и долго.
Сначала все тоже сложно администрировалось и управлялось, но со временем (когда мне это надоело) я сделал следующее:
= перестироил структуру дерева
= перестроил систему назначения дисков
= перестроил систему раздачи прав
= написал некоторое количество документов по работе в сети - для пользователей, для админов и для руководства
= ну и еще что-то наверняка.

Все это управляется через nwadmin, C1, iManager.
Администрирование совсем не сложное - большинство прав/назначений сделаны на группы/контейнеры, что позволяет уменьшить количество объектов имеющих некоторые назначения, а следовательно держать карту назначений уже можно и в голове.

Так что рекомендация автору: может стоит что-то изменить сеть и дерево так, что бы им можно было управлять проще (оптимизировать дерево)? А не искать ПО, которое будет управлять неоптимизированным деревом?

А дерево и так спланировали максимально оптимизированным
Кажды пользователь входит сразу в несколько групп, часть прав назначена ролями, беда в том, что схема постоянно меняется, и надо как-то формализовать эти изменения, чтоб всегда можно было прикрыться - безопасность бдит! А еще бывает, что пользователь имеет эффективные права на какой-то ресурс, а откуда они произрастают - надо искать. Откуда-то унаследовано. Пользователей достаточно много, за день всех в ручную не пересмотришь

Общие принцип такой - к одим ресурсам только индивидуально, к другим только через группы. Мухи к мухам, котлеты к котлетам.

Пользователей...много, за день всех...не пере... [да-а-а... , а иногда так и подмывает...]

Коллега, обратите внимание на эту микро-утилитку.
Отличная визуализация утечки прав на файловую систему.
К сожалению, что либо подобное по правам на объекты Дерева мне пока не попадалось, так что если кто из коллег может посоветовать - то буду благодарен.

Jack The Ripper писал(а):А дерево и так спланировали максимально оптимизированным
Кажды пользователь входит сразу в несколько групп, часть прав назначена ролями, беда в том, что схема постоянно меняется, и надо как-то формализовать эти изменения, чтоб всегда можно было прикрыться - безопасность бдит! А еще бывает, что пользователь имеет эффективные права на какой-то ресурс, а откуда они произрастают - надо искать. Откуда-то унаследовано. Пользователей достаточно много, за день всех в ручную не пересмотришь

Общие принцип такой - к одим ресурсам только индивидуально, к другим только через группы. Мухи к мухам, котлеты к котлетам.

Маленькое противоречие в этих словах. Факт наличия у пользователей нескольких групп уже говорит о ... посредственной оптимизации именно дерева, тем более, что роли попали к нам ото злейшего врага, система каталогов которого не предусматривает раздачу прав через контейнеры. Сам начинал когда-то с групп, писал многоэтажные конструкции типа if memder of "blablabla" then bla№3 - потом отмерло практически все, только Бордюр раздает права через группы. Нужен просто максимально полный набор контейнеров с интуитивно понятными названиями, благо NDS не накладывает на него серьезных ограничений - и вперед. Во вторых, модель назначения прав надо тщательней прорабатывать: сеть подразумевает общение, а не имитацию жесткого диска. И конечно - индивидуальный доступ к ресурсам - безобразие

Jack The Ripper писал(а):..... А еще бывает, что пользователь имеет эффективные права на какой-то ресурс, а откуда они произрастают - надо искать. Откуда-то унаследовано. ....

... Имеющий уши ..... ну Вы помните? Последний раз говорю AdRem Server Manager.

Аспект второй: Нигде не сказано, что Администратор Сети (тем более если сеть достаточно велика) обязан держать ее всю и выполнять всю рутиннкую работу. Он, конечно, может, но.. при таком раскладе ему заболеть-то не дадут, не говоря об отпуске или другом форс-мажоре. На определенные мысли наводит фраза о бдящей безопасности Бдеть, значит она бдит, а вот делегировать ей менеджерство этими самыми группами и переложить часть кочегарской работы - не судьба

Полностью согласен с делегированием управления группами ( ну и другими ресурсами, при необходимости ). Изначально должна быть хорошо спланирована структура объектов и прав, с механизмами руления "доверенными лицами" доверенными им ресурсами - к примеру, настроенной RBS.

В случае использования под это дело контейнеров таковых обычно обзывают контейнерными админами. Слово "админ" применительно к ним не означает, впрочем, что они должны знать о том, что такое NDS, права, фильтры и пр. - они всего лишь пользуются упомянутыми механизмами руления, которые для них настроил Главный(е). Однако, не соглашусь, что контейнеры автоматически решают все проблемы. Они - всего лишь неявные группы, со своими достоинствами и недостатками. К примеру, при большом количестве каких-то условных "проектов" в организации, и постоянном движении участников "проектов" между ними, с возможностью их одновременного членства в нескольких, я сомневаюсь, что все получится решить одними контейнерами - более того, зачастую попытки втиснуть их в какую-то контейнерную структуру могут все дело токо усугубить.

Одними контейнерами не обойтись, мало того, чем больше вложенность - тем больше всяких trusteeй и прочих правил. Группы тоже нужны еще как! \тем более время жизни групп гораздо меньше чем их членов. Вот про RBS - идея.

AdRem Server Manager пока не нашел. Скачаю - поделюсь впечатлениями!

[ASM] пока не нашел. Скачаю - поделюсь впечатлениями!

КЛАСС! Одно из двух:
Или искали не там, где лежит, а там, где светлее или народ окончательно стал считать, что Нету на гугле - нету в природе!(С) ?