Например, это не позволит пользователю одной группы (VLAN'а) комфортно работать с машины в другой подсетке, даже если контроллер домена предостваляет ему все необходимые права, он всё равно на более низком уровне будет отрезан от других подсетей.
[/quote]
И опять не соглашусь.
Я ведь уже говорил VLAN, IP подсети и авторизация - это разные уровни сети.
Наличие любого количества IP подсетей НИКАК не влияют на возможность авторизации.
Цитата
Поясню. Человек из группы обслуживания сетей должен прийти, например, в бухгалтерию, набрать там свои логин/пароль и получить точно такие же права доступа к сети, как и со своего рабочего места. Это не проблема АВТОРИЗАЦИИ, это проблема разделения сети на недоступные сегменты.
[/quote]
Теперь я поясню.
Например сервреа в том чтсле и контроллер стоят в подсети 192.168.0.0/24
Пусть есть еще гора подсетей 192.168.1.0/24... 192.168.n.0/24 в какой бы сети с какой бы рабочей станции (доменной) я не зашел с учетными данными администратора домена у меня будут права администратора домена!
Права доступа и видимость хостов в сетевом окружении вещи совершенно разные.
Раздать права пользователю на видимость или невидимость части сети теоретически возможно, но я не видел реализованных решений.
Почему до сих пор не обновили: в NT 4 всё намного проще. Кроме того, Windows XP входит в домен с NT 4 гораздо шустрее, чем в домен Win2k3.
[/quote]
Не согласен, в w2k не говоря уже о win2003 это делается намного изящьнее и удобнее, а главное при необходимости разделения прав доступа между группами намного удобнее.
Более того сетевое окружение как таковое при большом количестве рабочих станций это анахронизм, гораздо проше использовать просмотр опубликованных ресурсов через АД, где кстати прекрасно можно реализовать разделение на группы которого ты хочешь добиться.
Правильно заданный вопрос - это уже половина ответа.
И опять не соглашусь.
Я ведь уже говорил VLAN, IP подсети и авторизация - это разные уровни сети.
Наличие любого количества IP подсетей НИКАК не влияют на возможность авторизации.
[/quote]
С авторизацией-то, понятно, никаких проблем не будет. Проблемы с доступом в соседний VLAN. Я прекрасно понимаю, что это разные уровни. Но как это поможет мне видеть ВСЕХ?
Цитата
Теперь я поясню.
Например сервреа в том чтсле и контроллер стоят в подсети 192.168.0.0/24
Пусть есть еще гора подсетей 192.168.1.0/24... 192.168.n.0/24 в какой бы сети с какой бы рабочей станции (доменной) я не зашел с учетными данными администратора домена у меня будут права администратора домена!
Права доступа и видимость хостов в сетевом окружении вещи совершенно разные.
Раздать права пользователю на видимость или невидимость части сети теоретически возможно, но я не видел реализованных решений.
[/quote]
Не нужно никаких прав на видимость! Все видят всех в иерархическом списке - вот моё изначальное и единственное условие. VLAN'ы у нас были - не катит.
Почему до сих пор не обновили: в NT 4 всё намного проще. Кроме того, Windows XP входит в домен с NT 4 гораздо шустрее, чем в домен Win2k3.
[/quote]
Не согласен, в w2k не говоря уже о win2003 это делается намного изящьнее и удобнее, а главное при необходимости разделения прав доступа между группами намного удобнее.
[/quote]
Ну я тут спорить не буду. Дело в том, что NT 4 хватает вполне. Кроме того, в ней в принципе всё просто, понятно и логично. А геморрой, сопутствующий переходу на Win2k никому не нужен. Пробовали несколько раз - постоянно глюки всякие лезут.
Цитата
Более того сетевое окружение как таковое при большом количестве рабочих станций это анахронизм, гораздо проше использовать просмотр опубликованных ресурсов через АД, где кстати прекрасно можно реализовать разделение на группы которого ты хочешь добиться.
[/quote]
О! А можно с этого места поподробнее? Что за опубликованные ресурсы, как их опубликовывать, как их будут видеть пользователи с Win98? Ссылки какие-нить по этой теме, если не сложно... Я в этих "технологиях" микрософта не ориентируюсь, я всё больше по классическому UNIX-way TCP/IP, а тут по работе вот запарка такая и где копать даже - не знаю...
Mike Если коротко то АД предстваляет возможность публиковать в себе определенные сетевые ресурсы имеющиеся в сети, принтеры, папки т.д.
и организовывать доступ к ним их своего каталога.
Если длинно, то имхо нужно к книгам обращаться, в 2 словаx не расскажешь.
Кстати в твоем случае если используются ресурсы (шары) со многих компьютеров для работы а не только серверные, можно организовать DFS на сервере (система DFS), что при такой конфигурации очень удобно, и не надо вообще в просмотр сети лазить + раздача прав доступа на ресурсы в одном месте.
А видимость компьютеров в сети в твоем случае это имхо только делением на подсети, в win9x было понятие группа, при наличии в сети нескольких групп, они их исправно показывали, а вот в NT/2000/2003/ если используется домен, то показывается только он или необходимо создавать несколько доменов.
Правильно заданный вопрос - это уже половина ответа.
Поставил Windows Server 2003, поднял домен, запихнул туда несколько компов.
1.Возник вопрос: как просматривать Active Directory?
Неужели только через поиск?
2.Раньше в сетевом окружении я сразу видел, какие компы включены, какие - нет. Как я могу это увидеть сейчас, в AD (кроме как зайдя в сетевое окружение)?
3.Типичкая задача - раскопировать на 10 компов с абсолютно идентичной файловой структурой (компьютерный класс) какой-то файлик. Раньше делалось заходом в сетевое окружение и последовательным прохождением по списку сверху вниз с заходом в каждый комп и копированием. Как это можно сделать в AD?
4.Как рядовому юзеру посмотреть, какие ресурсы открыты на каком-то компе в сети (net view не катит, естественно)
Вопросы чисто практические, потому как с идеологией AD не приходилось сталкиваться.
Заранее спасибо за ответы.
Просмотр АД можно осуществлять через ( пишу для win2000) Сетевое окружение ---вся сеть --- папка ---далее видны контейнеры АД
Управление осуществляется через оснастки на сервере или с локальной машины установив adminpak.msi (входит в состав сервис пака по умолчанию не устанавливается с ним) после этого в административных утилитах появляются оснастки управления сервером. ставить нужно только от установленного сервиспака (для 2003 виндов смотреть и их SP или на сайте Microsoft)
задача 3 спокойно решается с помощью скрипта WHS? и не проще это файлик держать в одном экземпляре на сервере а им только ссылку на него, заодно небудет проблем с его обновлением.
4. уточни на своем компе или на чужом плюс все зависит еще и от операционной системы у него и на том компе и зачем ему это нужно если его туда никто не приглашал.
Правильно заданный вопрос - это уже половина ответа.
Просмотр АД можно осуществлять через ( пишу для win2000) Сетевое окружение ---вся сеть --- папка ---далее видны контейнеры АД
[/quote]
Нету! Ни на самом сервере, ни на клиенте (WinXP). Где это нужно копать, не подскажешь?
Цитата (domovoy)
задача 3 спокойно решается с помощью скрипта WHS? и не проще это файлик держать в одном экземпляре на сервере а им только ссылку на него, заодно небудет проблем с его обновлением.
[/quote]
Что за скрипт? И что делать с Win9x-клиентами? К тому же, иногда нужно софт раскопировать (типа того же Windows Commander'а).
Цитата (domovoy)
4. уточни на своем компе или на чужом плюс все зависит еще и от операционной системы у него и на том компе и зачем ему это нужно если его туда никто не приглашал.
[/quote]
На чужом. Допустим, я обслуживаю пользователей (но не обладаю правами админа домена) и хочу посмотреть, чего там некоторые глупые юзеры пооткрывали.
И как всё-таки увидеть, какие компы включены, а какие - нет?
Harry33 » 04 фев 2004, 15:02 
Ни на самом сервере, ни на клиенте (WinXP). Где это нужно копать, не подскажешь?
