Помогите в!!!се все видят !!!!

Для любителей просто поболтать

Re: Помогите в!!!се все видят !!!!

Сообщение Музалёв Николай » 28 май 2010, 12:00

Попробуйте лицензии переустановить...
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: Помогите в!!!се все видят !!!!

Сообщение mike_2006 » 31 май 2010, 11:28

Музалёв Николай
Владимир Горяев

Спасибо. Переставил лицензию. Выгрузил WTM. Все заработало.
mike_2006
 
Сообщения: 4
Зарегистрирован: 27 май 2010, 08:51

Re: Помогите в!!!се все видят !!!!

Сообщение Музалёв Николай » 07 июн 2010, 20:00

Уважаемыен коллеги!
Помогите: сам попал в яму, от которой предостерегал новичков.

На выходные проводил перевод сервера домашних каталогов на новое железо.

Том SYS переехал нормально, с томом данных ( собственно домашние каталоги пользователей) пришлось повозиться, т.к. PORTLOCK в ДОС-режиме его обрабатывать не захотел и пришлось переезжать в режиме "с NW на ДОС".

Переехали почти хорошо...

Но вдруг выясняется, что все потеряли права на файловую.

Ничего страшного - поскольку права раздаю через группы, то на самые горячие рабочие каталоги права быстро дал руками через NWADmin...

(Структура каталогов у меня не оч. сложная и практически повторяет структуры предприятия:
верх иерархии - отдел, в отделе несколько бригад и далее -пользователи.
Поэтому
- в корне тома отделу даётся каталог,
- в каталоге отдела создаются несколько каталогов общ. доступа:
--- каталог ОТДЕЛ (должен быть виден для всего отдела)
--- каталоги бригад, по числу бригад (бригадные кат. должны видеть только члены соотв. бригады)
- и на этом же уровне - домашние кат. прямоходящих...)


Пользователи объединены в группы, соотв. производственному делению.

Каждый входит в группу ОТДЕЛ и в группу, соотв. своей бригаде.

Назначение прав на соотв. каталог - непосредственное, через права групп.

Т.о. ординарный прямоходящий у меня видит на всём томе только 3 каталога: свой дом, "бригадный дом" (т.е. общий кат. своей бригады) и "отдельский дом" (общий каталог своего отдела).


Ну вот, успокоив самых нетерпеливых тем, что дал им доступ в каталоги отделов и бригад, стал готовиться перераздать права пользователям на их домашние каталоги.

Их всего то ~400, но естественно, что не руками: беру утилитки от Бэрда и готовлю командный файл с 400ми строками.
примерно такие:
Код: Выделить всё
..........................
SETTRUST.EXE .AAG.MO.BGD   [s]  homer/home:home_mo\AAG\     /c /0  /e=log
SETTRUST.EXE .AAG.DO.BGD   [s]  homer/home:home_do\AAG\     /c /0  /e=log
SETTRUST.EXE .AAN.SO.BGD   [s]  homer/home:home_so\AAN\     /c /0  /e=log
SETTRUST.EXE .AAV.OII.BGD  [s]  homer/home:home_oii\AAV\     /c /0  /e=log
SETTRUST.EXE .AAV.AM.BGD   [s]  homer/home:home_am\AAV\     /c /0  /e=log
.........................


Т.е предполагалось просто каждому пользователю тупо и в явном виде вернуть права на его именной каталог...

Запускаю батник.... побежали строки...
Вроде всё получилось - "контрольные" пользователи сообщили, что увидели свои дома...

Но эти гады не сказали, что увидели и все ОСТАЛЬНЫЕ каталоги!!
Причём - с полными правами...
Такое ощущение, что все стали == админу...

Самое обидное, что не могу понять, откуда потекли права... в винде (через правую мышку -> Права опекуна...) и в программе TRUSTFUN ничего вразумительного не вижу...

Могу тока предположить, что каким то образом слетели давние настройки [Public] (или [Root] ??)- давно-давно, когда я еще не оч. понимал в NW, их делали приходящие админы.

После чего я в них старался не лезть...

Насколько помню и тут говорил - для развёртываня файловой структуры, как описано выше, тогдашние админы прибили право Публика толи на том, толи на сервер...

Вопрос: у кого соображения - где протечка?

Вопрос2: как можно безопасно для данных прибить ВСЕ права всех пользователей (кроме админов) на файловую систему тома данных чтобы перераздать их заново (это на кр. случай, если дыры быстро не найду)

Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: Помогите в!!!се все видят !!!!

Сообщение Константин Ошмян » 07 июн 2010, 20:44

Я бы первым делом проверил в дереве eDirectory (не в файловой системе!), не появились ли случайно у кого-нибудь права Supervisor: 1) на объект "том сервера"; 2) на объект "сервер"; 3) на контейнер, в котором находятся объекты "сервер" и "том". Права супервизора должны быть только у сервера на самого себя, если есть ещё у кого-то (кроме админа, которому доверяете) - отобрать. Причём проверить как явно назначенные права на эти объекты, так и взять кого-нибудь из пользователей и проверить их Effective Rights. Если есть - искать, откуда они "потекли" в eDirectory (через права, назначенные объекту [Public], корню дерева, контейнеру Organization, последовательно - всем остальным контейнерам, в которые входит пользователь, или через какую-то из групп, в которых он состоит). Если нету - то искать через назначение прав на файловой системе (кому назначены права на корень тома и т.д.).
Аватара пользователя
Константин Ошмян
 
Сообщения: 986
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Re: Помогите в!!!се все видят !!!!

Сообщение Boris Morozov » 07 июн 2010, 22:31

Public и Root в первую очередь проверить на наличие чего-нибудь с правом Supervisor. Лечил недавно Брестских коллег.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Помогите в!!!се все видят !!!!

Сообщение Владимир Горяев » 08 июн 2010, 12:15

Музалёв Николай писал(а): Такое ощущение, что все стали == админу...

Если контейнер имеет сам на себя какие-либо права, то и все объекты контейнера (пользователи, серверы, тома...) унаследуют такие права на все его объекты. Тут надо применять фильтры насл прав.

Еще вылезти может при раздаче прав через роли. напр viewtopic.php?f=1&t=10186
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: Помогите в!!!се все видят !!!!

Сообщение Музалёв Николай » 08 июн 2010, 12:35

Константин Ошмян писал(а): не появились ли случайно у кого-нибудь права Supervisor: 1) на объект "том сервера";

Ребята! Огромное вам спасибо!!
По вашим наводкам посмотрел и увидел, что [Root] получил [S] на корень домашнего тома.
В NWAdmin даже зекладочка такая есть, никогда раньше в ней надобности не возникало...

Ну, а далее - по нисходящей: те же права получила Организация и далее - все OU со всеми прямоходящими...

Посмотрел все другие тома - нет, такого опекунства нету ни в одном другом томе... прибил.

Всё получилось: пользователи видят только каталоги, на которые права им указаны явно.

===
Константин! Файл получили?
Помогло?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Пред.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron