zen

[Орлов Алексей]

Добрый день коллеги, подскажите кто использует zen. А может ли он блокировать сохрание файлов где угодно? Т.е. есть папка (мои документы) мне нужно запретить сохранение файлов на диске, а вот в папку мои документы можно сохранять что угодно. Аналог AД, там типа это можно. Заранее спасибо за ответ.

[Андрей Тр. aka RH]

Немного не понял вопрос. Запрет на запись файлов куда-либо обычно выполняется на уровне файловой системы ( Мои документы - это ведь тоже просто каталог ). Зен предоставляет возможность работать с фичами Виндоуз ( типа профилей, групповых политик ) на основе объектов, хранящихся в еДире. Сам по себе в процессе взаимодействия юзера с Виндой никак не участвует.

А что именно такое можно в АД насчет запрета сохранения в Мои документы ? Вероятно, это настраивается через групповые политики.

[Орлов Алексей]

Права на ntfs. В АД можно запретить пользователю писать на жесткий диск, вроде так. Естественно, что это не естественно tmp то кудато писать нужно да и xp делает откаты, но для этого можно задействовать рарку wndows, хотя если разрешить сохранять в эту папку то соответсвенно мы разрешим сохранять на диск (Каламбур ).

[Андрей Тр. aka RH]

А, ну да, в Зене в пользовательских политиках ( где настройки профилей, по-моему ) есть возможность назначать некоторые права на файловую систему на С:. Правда, если у вас профили создаются динамически на том же С: при логине, и Мои документы входят в состав профиля ( располагаются на С: ), то я не уверен, что таким образом можно запретить в них сохранять. У нас Мои документы перенаправлены в домашний каталог пользователя - который на NSS, со всеми отсюда вытекающими.

[Орлов Алексей]

Да да мне это и нужно!!!! Т.е. вы хотите сказать что я могу с помощью zen перенаправить каталог мои докумнеты на сервер и при этом запретить сохранять на С файлы, так?? Или нет?

[Андрей Тр. aka RH]

По поводу перенаправления различных каталогов из профиля ( как-то : Мои документы, закладки, всякие там временные файлы к IE и пр. ) здесь уже не раз писали. Делается это обычно через групповые политики ( в ХР ), которые доставляются на рабочую станцию Зеном ( ХР считает, что это ГП из домена ). Что касается раздачи прав на ФС на С: вообще - у нас на образе станции они назначены статично, на большинство каталогов только на чтение, какие-то открыты на запись, только я сам этим не занимаюсь, поэтому не помню, какие именно. Вообще, на эту тему в Инете должно быть много информации - какие каталоги на С: можно закрыть на запись. По-моему, средствами Зена можно назначить права на чтение на нужные каталоги на С: - хотя там присутствует далеко не весь набор прав NTFS, но должно хватить.

[Иван Иванов]

http://novell.org.ru/forum/viewtopic.ph ... highlight=
http://novell.org.ru/forum/viewtopic.ph ... highlight=

>>и при этом запретить сохранять на С файлы, так??>>
Нет.
Для нормальной работы системы пользователям нужен полный доступ к папке профиля, пользовательским темпам (по умолчанию в папке профиля) и "кривым" програмам может понадобится доступ к системным темпам (с:\windows\temp).
Темпы лучше сразу чтобы не было непрятностей с длиной путей и т.д. рекомендуется сразу перенаправлять в корень какого-либо диска например с:\temp. Это можно сделать и зеном.
Перенести автоматоматически папку documents and settigs или только "%userprofile" практически нереально - операция ручная и лучше делать до установки софта.
По умолчанию на c:\ только 3 папки и права на них только на чтение за исключением папки профиля в папке documents and settings.

Велосипед лучше не изобретать а вынести папки из профиля какие не жалко и куда не жалко (темпы например на сети хранить накладно да и системные нужны до подключения сетевых ресурсов). Отменить разрешение на создание папок и файлов которое наследуется с корня диска шаблонами политик либо консольными утилитами напр. subinacl.exe или setacl.exe (неуверен что они смогут обработать именно это место) из приложения зен.
При такой схеме пользователи смогут сохранять только в папке профиля и папке temp если она останется на с: а злоупотребляющих этой возможностью можно вычислить скриптами которые проверяют указанные папки или на размер или на наличие лишних файлов.

[Орлов Алексей]

Ок. Подводя итог выше сказанному получаем, что полность запретить сохранение на С нельзя, а вот ограничить можно, но не zen а политиками windows, т.е. придется обходить машины пользователей и перенастраивать профили и политики. Так, если не ошибаюсь?

[Андрей Старков]

немного ошибаешься

Ручками надо только переносить Document and Settings - это не тривиально и делать лучше на голой системе (у нас например в образе сие находится на D:)


вы же можете для раздачи прав на файловую систему создать скрипт, батничек да что угодно. Поэтому все это вы можете сделать Zen'ом
"Мои документы" аналогично - это системное понятие, где они находятся можно управлять через реестр, а, соответсвенно через Zen

[Орлов Алексей]

вобщем вот как стоял вопрос изначально:

В AD рулить разрешениями на ntfs можно при помощи консоли управления компьютером (подключаясь к другим ПК в домене) через ресурсы C$, D$ и т.д.
Есть ли возможность этого в ZEN?

[Иван Иванов]

>Есть ли возможноссть этого в ZEN?
Да есть. В полном объеме консольными утилитами и, возможно (не проверял), через шаблоны груповых политик, механизм работы с которыми есть в зене.
Кроме того в зене есть стандартная возможность управления прав но во первых там нет "тонкой" настройки а во вторых она польше предназначена для добавления прав конкретному пользователю на конкретный каталог и не может снимать розрешение которые даны группам в которые добавлен пользователь (например если "пользователи" имеет полные права на с:\то член "Пользователей" Вася Пупкин их будут иметь несмотря на права назначенные зеном ему. С другой стороны если у "Пользователей" права на чтения то Васе можно дать полный доступ).

[Орлов Алексей]

Ок. Пока вроде все понятно.

[Иван Иванов]

P.S. с консоли управления через админ-шары можно только при условии что на машинах работают еще МС шары и знаете пароль локального админа. В общем можно но намного неудобнее по сравнению с АД.

[Андрей Тр. aka RH]

Я все ж таки не понял, причем тут АД ? Хоть я с ней и мало знаком, но мне казалось, что это, в общем, служба каталогов, к правам на NTFS имеющая небольшое отношение. В каком именно месте в АД можно контролировать права на ф/с на рабочих станциях - ткните носом, я потом посмотрю на нашей.

[Иван Иванов]

Имелось в виду ручная правка реестра/прав NTFS и т.д. с помощью подключения к ресурсам машины (не путать с удаленным рабочим столом). Подключаться например через алминистрирование - управление компьютером в меню - подключиться к удаленному компьютеру.
АД к правам NTFS отношения не имеет но сглаживает скользкие моменты авторизации при таком подключении.