mboost-dp1
Adgangsregulering på Windows 7 filserver
Jeg administerer p.t. en filserver for en mindre virksomhed. Filserveren residerer på deres lokal netværk og alle bruger det samme login til filserveren som giver adgang til den samme delte mappe.
Eftersom virksomheden er i vækst og der ansættes flere medarbejdere i administrationen, så vil man gerne kunne lave en graduering af hvem der har adgang til hvad. (Tillid er godt, meeen...)
I den nuværende tilslutningsproces er filserveren og klienterne er på samme netværk i samme workgroup. Så skriver man navnet eller ip-adressen på filserveren ind, taster fællesloginet ind (en lokal brugere der er oprettet på filserveren) og får adgang til en delt mappe hvor alting er sorteret under. Den kan man tilslutte som et (z:) drev, hvilket de fleste gør.
Man kunne godt tænke sig en model hvor der er et personligt drev, et fællesdrev og en række "gruppedrev", det vil sige et fælles drev afgrænset til en gruppe, f.eks. dem der arbejder med kontrakter eller dem der arbejder med løn.
Jeg kunne godt tænke mig hvis jeg kunne håndhæve at brugeren ikke har mulighed for at gemme login på sin computer - altså at han bliver promptet HVER gang han ønsker at tilslutte sig. Det gør ikke noget at han autotilslutter, men han skal altså taste sin kode ind.
Alle klienter kører Windows 7 Home Premium eller Professional. Filserveren kører p.t. Windows 7 Professional, men jeg er åben for forslag.
Jeg skal pointere at der ikke er ønske om at man skal kunne have ensartet login fra alle arbejdsstationer (roaming profile) - hver arbejdsstation er personlig og har egne programmer, så det handler (udelukkende) om regulering af adgangen til filserveren.
Er der nogen der kan give nogle pointers på hvad det er jeg leder efter og eventuel fordele/ulemper ved forskellige modeller?
Eftersom virksomheden er i vækst og der ansættes flere medarbejdere i administrationen, så vil man gerne kunne lave en graduering af hvem der har adgang til hvad. (Tillid er godt, meeen...)
I den nuværende tilslutningsproces er filserveren og klienterne er på samme netværk i samme workgroup. Så skriver man navnet eller ip-adressen på filserveren ind, taster fællesloginet ind (en lokal brugere der er oprettet på filserveren) og får adgang til en delt mappe hvor alting er sorteret under. Den kan man tilslutte som et (z:) drev, hvilket de fleste gør.
Man kunne godt tænke sig en model hvor der er et personligt drev, et fællesdrev og en række "gruppedrev", det vil sige et fælles drev afgrænset til en gruppe, f.eks. dem der arbejder med kontrakter eller dem der arbejder med løn.
Jeg kunne godt tænke mig hvis jeg kunne håndhæve at brugeren ikke har mulighed for at gemme login på sin computer - altså at han bliver promptet HVER gang han ønsker at tilslutte sig. Det gør ikke noget at han autotilslutter, men han skal altså taste sin kode ind.
Alle klienter kører Windows 7 Home Premium eller Professional. Filserveren kører p.t. Windows 7 Professional, men jeg er åben for forslag.
Jeg skal pointere at der ikke er ønske om at man skal kunne have ensartet login fra alle arbejdsstationer (roaming profile) - hver arbejdsstation er personlig og har egne programmer, så det handler (udelukkende) om regulering af adgangen til filserveren.
Er der nogen der kan give nogle pointers på hvad det er jeg leder efter og eventuel fordele/ulemper ved forskellige modeller?
Jeg ville til en start skifte til en domæne løsning i stedt for workgroup.
Som det er bygget op nu ville jeg benytte mig af forskellige brugere på "filmserveren" så hver funktion får sin egen bruger og så bruge ntfs rettigheder og share rettigheder til at styre rettighederne
Som det er bygget op nu ville jeg benytte mig af forskellige brugere på "filmserveren" så hver funktion får sin egen bruger og så bruge ntfs rettigheder og share rettigheder til at styre rettighederne
Well, for at differentiere adgangen er du nødt til at have separate brugerkonti.
Det er muligt at lave sjov med run-as kommandoen, men Windows kan ikke oprette flere forbindelser med forskellige brugernavne til samme server, svjv. Det ville dog være besværligt for brugeren at skulle huske flere adgangskoder.
Et domæne gør det nemmere at styre brugere (de findes kun 1 sted), til gengæld kræver de at du har DNS, DHCP og AD sat op på en server.
Det er muligt at lave sjov med run-as kommandoen, men Windows kan ikke oprette flere forbindelser med forskellige brugernavne til samme server, svjv. Det ville dog være besværligt for brugeren at skulle huske flere adgangskoder.
Et domæne gør det nemmere at styre brugere (de findes kun 1 sted), til gengæld kræver de at du har DNS, DHCP og AD sat op på en server.
Yeah, jeg må tilslutte mig her.. Æd den, og køb en windows server til AD - det gør det hele lidt nemmere, og man behøver ikke at bruge roaming profiles ;)
Ellers skal du oprette en brugerkonto for hver på serveren, og hver gang en bruger skal have skiftet password skal det gøres på serveren.
Mit grundlag for at sige det, er at have kørt med en løsning som du beskriver i et par år, for derefter endelig at skifte til et AD ;)
Nu skriver du godt nok at du har et par win7home - jeg ved ikke hvrodan det er med win7, men xp-home kunne ikke gå på et domæne.. Så det er måske lidt værd at undersøge.
Ellers skal du oprette en brugerkonto for hver på serveren, og hver gang en bruger skal have skiftet password skal det gøres på serveren.
Mit grundlag for at sige det, er at have kørt med en løsning som du beskriver i et par år, for derefter endelig at skifte til et AD ;)
Nu skriver du godt nok at du har et par win7home - jeg ved ikke hvrodan det er med win7, men xp-home kunne ikke gå på et domæne.. Så det er måske lidt værd at undersøge.
Magten (5) skrev:Windows 7 Pro, Enterprise og Ultimate har domain join.
Jeg vil også anbefale at gå domæne vejen, det vil gøre det langt nemmere at administrere, specielt når du vil have gruppedrev.
Hvor mange brugere drejer det sig om?
Umidlbart lyder det som noget man i "gamle dage" ville løse med en smb server.
Vi snakker om 8 - 10 brugere p.t.
Jeg forstår ikke helt hvad du mener med forskellige brugernavne til samme server. Snakker vi om klienten eller serveren nu? For klienterne vil der kun være behov for at oprette én forbindelse - nemlig med deres egen bruger. Jeg forstår ikke hvorfor man som bruger skulle være interesseret i at logge på med flere brugere på én gang. Man har jo ligesom kun én.
For serveren skal der kunne håndteres en forbindelse til hver bruger.
Jeg kan se at der er flere versioner af Windows Server. Hvilken skal man tage?
Så du vil foreslå at droppe Windows og installere en Debian/Fedora/Ubuntu?
lorric (3) skrev:Well, for at differentiere adgangen er du nødt til at have separate brugerkonti.
Det er muligt at lave sjov med run-as kommandoen, men Windows kan ikke oprette flere forbindelser med forskellige brugernavne til samme server, svjv. Det ville dog være besværligt for brugeren at skulle huske flere adgangskoder.
Jeg forstår ikke helt hvad du mener med forskellige brugernavne til samme server. Snakker vi om klienten eller serveren nu? For klienterne vil der kun være behov for at oprette én forbindelse - nemlig med deres egen bruger. Jeg forstår ikke hvorfor man som bruger skulle være interesseret i at logge på med flere brugere på én gang. Man har jo ligesom kun én.
For serveren skal der kunne håndteres en forbindelse til hver bruger.
Jeg kan se at der er flere versioner af Windows Server. Hvilken skal man tage?
Hubert (6) skrev:
Umidlbart lyder det som noget man i "gamle dage" ville løse med en smb server.
Så du vil foreslå at droppe Windows og installere en Debian/Fedora/Ubuntu?
1. Du kan ikke forhindre at brugere gemmer login oplysninger så vidt jeg ved. Du kan dog sætte PC'en til at låse når brugeren har været AFK i kort tid.
2. Hvis virksomheden forventes at vokse i fremtiden så kan I ligeså gå domain vejen. På den måde kan du få et centralt styret setup hvor du ikke skal ud på hver PC for at tilslutte netværksdrev, printere osv. Kræver dog som de andre siger at alle Home editions udskiftes.
2. En Small Business Server/Essentials ville passe til jeres behov efter min vurdering.
3. Hvis du ikke vil domain vejen kan rettigheder stadig godt sættes op. Du kan gøre det enten på selve sharet eller på NTFS niveau. Du skal minimum have én bruger pr funktion, men det bedste er nok at oprette en bruger til hver medarbejder.
Du vælger selv om folk skal have ét drevbogstav de går ind under hvor de så kun har rettighed til at læse/skrive i nogle bestemte mapper eller om de vil separere det på flere forskellige drevbogstaver. Jeg ville dog holde det på så få som muligt. Så når man gik på Z: havde man fx. 10 mapper men kun rettighed til at gå i 5 af dem. En anden bruger har måske rettighed til alle 10.
4. SMB (Samba) på Linux kan også løfte ovenstående så længe vi snakker workgroup, men med mindre du er mere hjemme i Linux end Windows ser jeg ingen grund til at vælge det.
2. Hvis virksomheden forventes at vokse i fremtiden så kan I ligeså gå domain vejen. På den måde kan du få et centralt styret setup hvor du ikke skal ud på hver PC for at tilslutte netværksdrev, printere osv. Kræver dog som de andre siger at alle Home editions udskiftes.
2. En Small Business Server/Essentials ville passe til jeres behov efter min vurdering.
3. Hvis du ikke vil domain vejen kan rettigheder stadig godt sættes op. Du kan gøre det enten på selve sharet eller på NTFS niveau. Du skal minimum have én bruger pr funktion, men det bedste er nok at oprette en bruger til hver medarbejder.
Du vælger selv om folk skal have ét drevbogstav de går ind under hvor de så kun har rettighed til at læse/skrive i nogle bestemte mapper eller om de vil separere det på flere forskellige drevbogstaver. Jeg ville dog holde det på så få som muligt. Så når man gik på Z: havde man fx. 10 mapper men kun rettighed til at gå i 5 af dem. En anden bruger har måske rettighed til alle 10.
4. SMB (Samba) på Linux kan også løfte ovenstående så længe vi snakker workgroup, men med mindre du er mere hjemme i Linux end Windows ser jeg ingen grund til at vælge det.
MadiZone (7) skrev:
Så du vil foreslå at droppe Windows og installere en Debian/Fedora/Ubuntu?
Nu var der ikke lagt op til et komplet skifte af platformen. Så nej det var ikke lige jeg havde i tankerne. jeg tænkte på small business serveren
I det firma jeg arbejder i har vi en kun 3 windows kasser. 2 til ad og en til jumphost til de ting som desvære kræver windows. Resten klares med linux. Så det kan sagtens lade sig gøre men det fordrer et vist kendskab.
MadiZone (7) skrev:Jeg forstår ikke helt hvad du mener med forskellige brugernavne til samme server.
Glem den del af det, det var blot en tanke. Det er ikke praktisk.
Det vigtige er at du kommer væk fra fælles-login idéen og laver separate brugerkonti som nødvendigt. Jeg anbefaler også domain vejen, selvom det kræver lidt setup og lidt viden om hvordan tingene hænger sammen.
Jeg tilbragte aftenen i går med at lære Active Directory at kende, så jeg har installeret en ninjaversion af Windows Server 2008 R2 på min laptop. Jeg fik lavet et domæne og startet en DNS service og prøvede så at joine dette fra min stationære. Det tog flere minutter at logge på første gang, selvom min domænebruger var helt ny (og dermed burde være tom)
Derudover kunne jeg under installationsprocessen fra flere kilder (både GUI'et i Windows Server 2008 og i diverse bøger jeg har skaffet om emnet) forstå at det er haram kun at have én domain controller, eftersom netværk og klienter går i stampe, hvis controlleren stiller træskoene.
Det betyder så vidt jeg kan se at vi i så fald skal have to servere og dermed to licenser til Windows Server.
Er det rigtigt?
Hvis brugeren ikke oprettes som domænebruger, men logger på klienten med sin lokale bruger, kan man så stadigvæk lave så diverse drev mountes automatisk (med login prompt) og brugeren har mulighed for at skifte password til filserveren selv?
Derudover kunne jeg under installationsprocessen fra flere kilder (både GUI'et i Windows Server 2008 og i diverse bøger jeg har skaffet om emnet) forstå at det er haram kun at have én domain controller, eftersom netværk og klienter går i stampe, hvis controlleren stiller træskoene.
Det betyder så vidt jeg kan se at vi i så fald skal have to servere og dermed to licenser til Windows Server.
Er det rigtigt?
Hvis brugeren ikke oprettes som domænebruger, men logger på klienten med sin lokale bruger, kan man så stadigvæk lave så diverse drev mountes automatisk (med login prompt) og brugeren har mulighed for at skifte password til filserveren selv?
#11
Vi har kun en server hos os, og vi er alligevel knap 60 mand. Men ja, hvis den dør, så har du et problem. Både med dhcp, dns og meget andet gøgl..
Første del kan ihvf. laves med et simpelt logon-script. Anden del ved jeg ikke rigtigt.
Vi har kun en server hos os, og vi er alligevel knap 60 mand. Men ja, hvis den dør, så har du et problem. Både med dhcp, dns og meget andet gøgl..
MadiZone (11) skrev:Hvis brugeren ikke oprettes som domænebruger, men logger på klienten med sin lokale bruger, kan man så stadigvæk lave så diverse drev mountes automatisk (med login prompt) og brugeren har mulighed for at skifte password til filserveren selv?
Første del kan ihvf. laves med et simpelt logon-script. Anden del ved jeg ikke rigtigt.
#11
Brugerne skal logge på med deres domain bruger. Ellers går idéen med en DC ligesom lidt fløjten.
Du skal lave backup af din DC ligesom du skal lave backup af alle andre ting du ikke kan tåle at miste. En Sekundær DC bruger du hvis virksomheden ikke kan tåle den nedetid der går fra et nedbrud sker og til du har restored en backup.
Jeg vil helt sikkert anbefale at du lægger serveren på en hypervisor da du så kan lave backup af den virtuelle maskine og starte den ret hurtigt fra fx. Vmware Workstation eller fra Virtuel PC som begge kan køres på en hvilken som helst workstation.
Det er kun første gang det tager tid at logge på med domain brugeren. Efterfølgende skulle det gå ligeså hurtigt som normalt. Husk at tilføje domain brugeren til Administrators gruppen på den lokale PC så brugeren stadig har helt kontrol over sin maskine og kan installere programmer osv.
Jeg synes stadig du skulle vælge Small Business Serveren istedet da den har nogle værktøjer som passer bedre til små virksomheder så mange ting er lidt lettere at gå til.
Det næste du skal lave er Group Policies til at mappe drev og printere.
Jeg forstår stadig ikke hvorfor du vil have at brugerne skal taste credentials hver gang de skal tilgå netværksdrev. Det er ikke ligefrem noget der højner produktiviteten hos medarbejderne. Lav en Group Policy der dikterer at PC'en skal låse efter fx. 5 minutter hvor brugeren er AFK så andre ikke kan komme til de data som er på maskinen. Og instruér i øvrigt folk om ikke at forlade deres PC uden at låse den. Det er i nogle virksomheder i yderste konsekvens fyringsgrund hvis man ikke låser sin PC når man går fra den, hvis man arbejder med følsomme data.
Brugerne skal logge på med deres domain bruger. Ellers går idéen med en DC ligesom lidt fløjten.
Du skal lave backup af din DC ligesom du skal lave backup af alle andre ting du ikke kan tåle at miste. En Sekundær DC bruger du hvis virksomheden ikke kan tåle den nedetid der går fra et nedbrud sker og til du har restored en backup.
Jeg vil helt sikkert anbefale at du lægger serveren på en hypervisor da du så kan lave backup af den virtuelle maskine og starte den ret hurtigt fra fx. Vmware Workstation eller fra Virtuel PC som begge kan køres på en hvilken som helst workstation.
Det er kun første gang det tager tid at logge på med domain brugeren. Efterfølgende skulle det gå ligeså hurtigt som normalt. Husk at tilføje domain brugeren til Administrators gruppen på den lokale PC så brugeren stadig har helt kontrol over sin maskine og kan installere programmer osv.
Jeg synes stadig du skulle vælge Small Business Serveren istedet da den har nogle værktøjer som passer bedre til små virksomheder så mange ting er lidt lettere at gå til.
Det næste du skal lave er Group Policies til at mappe drev og printere.
Jeg forstår stadig ikke hvorfor du vil have at brugerne skal taste credentials hver gang de skal tilgå netværksdrev. Det er ikke ligefrem noget der højner produktiviteten hos medarbejderne. Lav en Group Policy der dikterer at PC'en skal låse efter fx. 5 minutter hvor brugeren er AFK så andre ikke kan komme til de data som er på maskinen. Og instruér i øvrigt folk om ikke at forlade deres PC uden at låse den. Det er i nogle virksomheder i yderste konsekvens fyringsgrund hvis man ikke låser sin PC når man går fra den, hvis man arbejder med følsomme data.
MadiZone (11) skrev:
Derudover kunne jeg under installationsprocessen fra flere kilder (både GUI'et i Windows Server 2008 og i diverse bøger jeg har skaffet om emnet) forstå at det er haram kun at have én domain controller, eftersom netværk og klienter går i stampe, hvis controlleren stiller træskoene.
Det betyder så vidt jeg kan se at vi i så fald skal have to servere og dermed to licenser til Windows Server.
Er det rigtigt?
Ja, men det er jo ikke super meget anderledes end hvis du har en standard filserver til at foretage det samme?
#14, hvis en workgroup filserver dør, så mister brugerne adgang til filserveren, men deres arbejdsstation virker stadig. Hvis en domænekontroller dør, så er bruger, skrivebord, dokumenter, m.m. utilgængelig, ikke? Det betyder at de skal have en lokal "nødbruger" på deres arbejdsstation?
Dog kun hvis man tidligere har været logget på den computer.
Man kan sætte cached logins i registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount
Mellem 0 og 50, hvor 0 disabler caching, og 50 er max antal gange der kan logges ind med et cached login. 10 er default så vidt jeg husker.
Man kan sætte cached logins i registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount
Mellem 0 og 50, hvor 0 disabler caching, og 50 er max antal gange der kan logges ind med et cached login. 10 er default så vidt jeg husker.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund