Имеется локальная сеть, в ней ~70 компов. Все компы входят в домен WinNT 4.0.
На компах Windows 98,2000,XP.
Требуется сделать так, чтобы в Сетевом Окружении эта куча компов выводилась бы
не одним списком, а иерархически, по группам (количество групп - не менее 4-х).
Как организовать такое, не увеличивая количество контроллеров домена (т.е.
один контроллер как был, так он и должен всё разруливать).
Я не знаю способа организовать это описанными средствами
[/quote]
Возможные варианты:
- контроллер домена обновить до Win 2k или 2003.
- организовать всё при помощи Samba, но на ОДНОМ компе (тут хотелось бы более подробных рекомендаций).
Рассматривался вариант организации отдельных доменов для каждой группы пользователей, но нужно все эти домены поддерживать при помощи только одного сервера. Как это сделать, я не знаю.
Mike Обновить сервер до w2k или до 2003 стоит в любом случае ИМХО.
А вот зачем в просмотре сети наличие деления на группы, извени я так и не понял, объясни смысл этого, может есть более красивое решение.
Правильно заданный вопрос - это уже половина ответа.
Mike Обновить сервер до w2k или до 2003 стоит в любом случае ИМХО.
А вот зачем в просмотре сети наличие деления на группы, извени я так и не понял, объясни смысл этого, может есть более красивое решение.
[/quote]
Почему до сих пор не обновили: в NT 4 всё намного проще. Кроме того, Windows XP входит в домен с NT 4 гораздо шустрее, чем в домен Win2k3.
По поводу зачем, поясню на примере.
В сети 70 машин, все входят в домен. В середине дня открываем сетевое окружение и видим там бардак. 70 пусть даже стандартизованных имен машин приводят список в полную неюзабельность, потому как сервер, содержащие пользовательские папки запросто может затесаться между компьютерами бухгалтеров или лаборантов.
Требуется разбить сетевое окружение на группы типа "Бухгалтерия", "Начальство", "Лаборатории" и т.д. Внутри каждой из этих групп и будут располагаться соответствующие компы.
Это нужно для красоты и удобства.
Я понимаю, что это решается при помощи доменной структуры. Но на каждую группу ставить свой контроллер домена - слишком жирно.
Есть.
Разбить все это хозяйство на подсети.
По схеме каждая подсеть видит себя и серверную подсеть
Сервера в отдельную подсеть.
Красиво и эффективно + дополнительный контроль.
Все обмены между клиентами только через сервер
Есть.
Разбить все это хозяйство на подсети.
По схеме каждая подсеть видит себя и серверную подсеть
Сервера в отдельную подсеть.
Красиво и эффективно + дополнительный контроль.
Все обмены между клиентами только через сервер
[/quote]
Мы рассматривали такой вариант.
Благодаря доменной авторизации любой человек может работать с любой машины как со своей собственной. Разделив сеть, мы потеряем эту возможность.
Кроме того существует группа пользователей, обслуживающих сеть, которые должны видеть ВСЮ сеть со своего рабочего места.
Либо, чтобы получить дополнительный контроль, нужно соединять эти сети маршрутизаторами, что не лучше добавления контроллеров доменов... даже хуже, с точки зрения решаемой задачи. ;-)
Благодаря доменной авторизации любой человек может работать с любой машины как со своей собственной. Разделив сеть, мы потеряем эту возможность.
[/quote]
Не соответствует действительности.
При предложенном варианте не возникает НИКАКИХ проблем с авторизацией.
Это разные уровни сетевой модели.
возможность видеть ВСЮ сеть так же не пропадает, всю сеть можно будет видеть из серверного VLAN. Маршрутизатор не обязателен. достаточно иметь коммутатор 3-го уровня в центре всего этого хозяйства, на нем и настраиваются все VLAN и их видимость друг для друга. Кроме того некоторые коммутаторы (HP 4108 например) позволяют включать один и тот же порт в несколько VLAN.
В пример могу привести свою сеть... (более 20 подсетей) 3 домена. В одном из местоположений 3 подсети управляются именно коммутатором, на котором настроены VLAN для каждой подсети. При этом не возникает проблем с авторизацией из разных подсетей. Видимость всего может замечательно обеспечить WINS сервер (недавно меня убедили в необходимости его наличия при определенных условиях)
В пример могу привести свою сеть... (более 20 подсетей) 3 домена. В одном из местоположений 3 подсети управляются именно коммутатором, на котором настроены VLAN для каждой подсети. При этом не возникает проблем с авторизацией из разных подсетей. Видимость всего может замечательно обеспечить WINS сервер (недавно меня убедили в необходимости его наличия при определенных условиях)
[/quote]
Всё ясно, я-то было подумал, что ты это про IP-подсети пишешь.
С VLAN всё ясно, всё действительно так, но недостаточно гибко, кроме того требуется замена сетевого оборудования.
Например, это не позволит пользователю одной группы (VLAN'а) комфортно работать с машины в другой подсетке, даже если контроллер домена предостваляет ему все необходимые права, он всё равно на более низком уровне будет отрезан от других подсетей.
Поясню. Человек из группы обслуживания сетей должен прийти, например, в бухгалтерию, набрать там свои логин/пароль и получить точно такие же права доступа к сети, как и со своего рабочего места. Это не проблема АВТОРИЗАЦИИ, это проблема разделения сети на недоступные сегменты.
Нужно, чтобы все видели всех + иерархический спосок компов в сетевом окружении и всё.
Mike » 04 фев 2004, 12:14