ZEN(точне DLU) и права на файловую систему NTFS. Проблем!!!

[Доменика]

Имеется ZEN 4.01(sp4) на NW 6.0.4 и WinXP с агентом из ir7. Имеем политику для пользователей простого пользователя у которого нет прав ни на C:\WinNT ни на C:\Program Files. Только читать и ни чего более. И это радует.
Прочитав документ http://www.novell.com/documentation/zen ... 77rvc.html согласно которому можно дать права на какой-то конкретный каталог или файл отличный от чтения.
Пробуем! Делаем! И ни чего не происходит. Конечно каталог брался с моей машины при изменении свойтв DLU через C1.
На другом компьютере пользователь как имел так и продолжает иметь права только на чтение выбранного каталога.

В чём засада. Идея вроде бы хорошая. Но не РАБОТАЕТ.

[Андрей Тр. aka RH]

Так у вас Zen 401 или 7 ( приведенная выше ссылка - на доку по 7 ) ? А в 4 в DLU разве есть такая опция, как File rights ?

http://www.novell.com/documentation/zdp ... 79n8k.html[/url]

[Доменика]

Да, описание на это вида сервиса нашелся быстрее всего на сайте Novell для ZEN 7.0.
Но началось всё с того, что возможность имеется и в 4.01 и даже хелп под это имеется. Берем C1, выбираем police WindowsXP, далее DLU и вот видим File Rights. Да, в оригинальном описание ни как найти сноску, но документация изменялась 4 раза.


А это хелп

File Rights
Use this page to manage Dynamic Local User (DLU) file system access on Windows* NT*/2000/XP workstations and terminal servers. You can control access to entire directories or to individual files.
For example, if the Dynamic Local User policy creates the user as a member of a group that does not give access to a directory required to run an application, you can use this page to explicitly grant the required directory rights. Or, if the user has Full Control rights to a directory, you can use this page to limit rights to any of the directory's files.


File Rights
The File Rights list displays the directories and files to which the user has been explicitly assigned file system rights. When you select a directory or file in the list, the assigned rights are shown in the File Rights box below the list. For an explanation of each of these rights (Full Control, Read, Write, Execute, Grant Permissions, and Take Ownership), please refer to the Microsoft* Windows operating system documentation.
Subdirectories and files inherit the rights assigned to their parent directory. For example, if you assign Full Control rights to the c:\winnt directory, the user receives Full Control rights to all c:\winnt subdirectories and files. To override inheritance, you need to explicitly define rights for the subdirectory or file

[Андрей Тр. aka RH]

Сегодня попробовал на Зен 7 - работает. Хотя там сделано довольно своеобразно - хотел отнять у пользователей права на каталог, а такого вроде сделать не получится. Там обязательно надо поставить хотя бы одну галку, оставить все права пустыми не получается - так что, как минимум, пришлось дать Read. В результате открывать файлы ( и запускать ехе ! ) оттуда у них получается, но переименовывать, копировать и удалять - нет. Проще завести локальные группы и через них уже назначать права, а через DLU пользователей делать членами той или иной группы ( как мы пока что и поступаем ).

[Доменика]

А что, реально через ZEN и локальные группы создавать на компьютере?


И ещё - можно ли через ZEN раздавть права на определённые ветки реестра?

[Андрей Тр. aka RH]

У нас просто под разные категории пользователей ( читай - под уровни доступа к С: ) на стандартном образе рабочей станции заведены соответствующие группы, и им назначены соответствующие права. А пользователи потом создаются динамически, на основе политик - становятся членами групп.

Насчет создавать локальные группы - ИМХО Зен может их создавать, если таковая группа в политике прописана, а на рабочей станции ее до этого не было. Ну и еще группы наверняка можно создавать какими-то виндозовскими утилитами КС.

[Алексей Волков]

И ещё - можно ли через ZEN раздавть права на определённые ветки реестра?

Реално, если использовать NAL или делать по аналогии с описанным
выше, т.е. раздавать права через группы, а при помощи DLU
контролировать членство в группах