вопрос про home_directory

[shopen]

пожалуйста, не мог бы кто нибудь выслать мне работающую версию homes по мылу?
maxshopen{собака}mail333.com

[open]

http://www.webfile.ru/340629 Версия старая, но у меня работает.

[Андрей Тр. aka RH]

Не понял... при переносе надо:
1) перенести данные. как - очевидно.
2) перенести трусты. тоже не бог весть какая сложность, а при использовании правильного инструмента делается одновременно с этапом 1. вот они - права на каталог.
3) изменить ссылки в дереве. вот об этом этапе и речь. максимально геморройный этап, и именно тут алиас полезен в полный рост.

Могу поспорить - хотя у каждого своя ситуация, конечно. Для меня этапы следующие :
1) перенести данные
2) раздать на них права ( предпочитаю RWCEMF )
3) установить на каталоги атрибуты Di, Ri ( для предотвращения "случайных" переносов, стираний и пр. )
4) установить на новом томе квоты ( предпочитаю пользовательские квоты, а не на каталоги, но не суть )

Прикинь, у нас вот атрибут home directory не используется для хранения пути к домашнему каталогу пользователя ( и для его маппирования, соответственно ). Поэтому мне правка этого атрибута без особой надобности, но и это делается легко через ldif-файл - сливаются нужные объекты из дерева в ldif, в Ворде поиском / заменой каждому правится нужный атрибут, и этим ldif'ом эти же объекты модифицируются. Т.е. строгать, ИМХО, нужно еще меньше, чем для батника с раздачей прав. В том же Homes, впрочем, это делается еще проще.

лично мне Homes нравится больше

кто бы спорил... просто его использование продиктовано именно тем что изначально дерево не было предназначено для движения.

Да не так оно .. Homes - это ж не только ( и даже не столько ) для перемещения каталогов. Например, ею удобнее создавать каталоги толпе новых пользователей ( см. п. 2, 3, 4 ), особенно если те были созданы через LDAP при помощи ldif-файла ( все делается на основе того же файла ). Второе - а вот еще бывают пользователи, у которых больше одного домашнего каталога. К примеру, группа пользователей, у которых мапится еще один диск к другому личному каталогу ( на другом томе, сервере ). Так вот в Homes я на основе данной группы за 30 сек создам им каталоги со всем необходимым, в нужном месте. При добавлении пользователей в группу добавить им каталоги не составит труда. А атрибут home directory в данном случае просто отдыхает.

Короче, я никого за Homes не агитирую Но нам он очень пригождается, каждый год - а каталоги мы создаем сотнями.

[shopen]

Спасибо, разобрался
остался один вопрос.
может я не совсем коректно изначально описал задачу. Эта система пользовательских каталогов, нужна для файлообмена, чтобы люди могли друг другу файлы перекидывать, но не моли у других ничего удалять.
ситуация такая, повотрно:
есть том, который мапится пользователям как диск X:
у пользователей на него права RW
на томе список домашних каталогов, одноименных пользователям.
В своем каталоге пользователь иммеет права RWCEMF
во всех других наследует от тома, то есть - RW
Вопрос - как сделать так, чтобы нелзья было создавать каталоги/файлы в корне?

[Ковалев Артем]

Никак. Снять права RW и дать их только на нужные каталоги.

[shopen]

хм... а если пользователей 100 человек, то каждому надо дать права RW на 99 каталогов, кроме него самого, причем если добавляется пользователь, то надо процедуру повотрить еще раз для всех?

[Андрей Тр. aka RH]

ИМХО в таком случае ( как и в подавляющем большинстве случаев ) надо раздавать права не через индивидуальных пользователей, а через группу ( или, в вашем случае, скорее, через контейнер - если в контейнере ( или в нескольких ) размещены все нужные пользователи ). Тогда достаточно один раз назначить права RW этой группе на нужные каталоги ( разумеется, добавив нового пользователя в группу, если это не контейнер ), и при создании нового домашнего помимо пользователя-владельца с RWCEMF назначать еще опекуном с RW группу с остальными.

Хотя, в целом, подход все же "некрасивый" .. ИМХО, опять же, файлообмен должен идти не через домашние каталоги ( подчеркну, что это сугубо мое мнение, и ситуации бывают разные ), а через какой-то внешний, расшаренный для всех - впрочем, если хочется, то и в нем можно создать поименные подкаталоги .. что не сильно красивше предыдущего сценария В обоих есть плюсы и минусы.

Кстати, сейчас попробовал скачать Homes с hbware - все установилось без проблем. Между тем, в ней добавились еще некоторые приятные фичи - например, можно создавать подкаталоги с заданным именем в каталогах с именем = имени пользователя, и назначать на них права ( типа \usernamexx\subdir ). Для нас тоже актуально.

[shopen]

ИМХО в таком случае ( как и в подавляющем большинстве случаев ) надо раздавать права не через индивидуальных пользователей, а через группу

нет, ну само собой через группу

то есть алгоритм такой
1. все, кто надо заводятся в группу xchange (например, добавляется новый пользователь)
2. группа xchange скармливает программе homes, которая создает на томе кучу одноименных пользователям каталогов (я согласен их не обязательно делать домашними, то есть аттрибуты в NDS не выставляем)
3. группе даются права RW на все эти каталоги, но не на том в котором они лежат. При этом я так понимаю, права пользователей на ИХ каталоги тоже становятся RW
4. опять запускаем homes, которая раздает нужные права человекам на их каталоги.

Так?

кстати, можете обьяснить преимущества контейнеров по сравнению с группами?

[Сергей Дубров]

кстати, можете обьяснить преимущества контейнеров по сравнению с группами?

Контейнер, в смысле раздачи прав, практически та же группа. Но, отличие первое - он уже есть и все, кто в него входит, автоматически становятся с ним sequrity equivalence, т.е., получают те же права, что и OU, а группу надо а) создать б) каким-то образом вносить в неё нужных юзеров (в дополнение к тому, что они уже находятся где-то в дереве). Группы удобны когда надо собрать под "одну крышу" объекты из разных OU (O). Во-вторых, права, данные контейнеру, распространяются вниз по дереву, т.е., все, у кого полное (DN) имя содержит имя вышележащего OU (O) как составную часть - тоже эквивлентны с этим OU (O) по безопасности - своего рода вложенные группы, чего в eDir-е не бывает (в AD - есть).

[Андрей Тр. aka RH]

Еще плюс, в некотором смысле - у контейнера может быть свой "личный" логин скрипт. Конечно, если сравнивать их как объекты вообще, то отличий заметно больше - но в контексте данной проблемы контейнер - это просто неявная группа ( и при раздаче прав через него совершается меньше телодвижений ).

[Timur Kazimirov]

Внесу свои пять капель
Пользователю при создании назначаются как домашний, так и специальный "почтовый" каталог.
Структура домашних каталогов в целом соответствует структуре подразделений, в каждом каталоге соответствующего OU есть каталог All, на который это OU имеет права RWCEMF (естественно с restrict size) для своеобразного внутриотдельного "междусобойчика", и каталоги пользователей этого OU, в которых они имеют права RWCEMF. В домашних каталогах валяются их профили и все остальные "продукты их трудовой деятельности".
А вот для файлообмена (скорее бы прикрыть эту порочную практику) на томе заведен отдельный каталог Post, в котором "плоско" размещены "почтовые" каталоги пользователей (опять-таки с restrict size). На каждый из этих каталогов верхняя O имеет права CF (с вырубленным наследованием на C), ну а пользователь в своем "почтовом" каталоге имеет свои права REF.
Уф-ф-ф... Немного несвязно написал, прошу прощения, если непонятно

[shopen]

Внесу свои пять капель
Уф-ф-ф... Немного несвязно написал, прошу прощения, если непонятно

Действительно не очень связно
Первое, что не понял почему файлообмен - порочная практика?

[Андрей Тр. aka RH]

Первое, что не понял почему файлообмен - порочная практика?

Как я понимаю, это давно уже не модно в XXI веке взаимодействие с коллегами предполагается организовывать на другом уровне - используя специально для этого предназначенные средства ( collaboration - типа GroupWise, Exchange ну и пр. ). А файлообмен - процесс почти не контролируемый, и для среднего пользователя не особо прозрачный.

[Timur Kazimirov]

Именно так

[shopen]

Мне кажется мода и порочность - разные категории
наверно у всех по разному, но в моем случае контролировать файлообмен особого смысла не имеет. А с точки зрения прозрачности... Ну что может быть проще, чем скопировать нужный файл в папку (на заранее примапленый сетевой диск, да еще и вынесенный на рабочий стол ), называющуюся по фамилии человека, которому этот файлик нужно отдать?
Не знаю