| ← Декабрь 2010 → | ||||||
|
1
|
2
|
3
|
4
|
5
|
||
|---|---|---|---|---|---|---|
|
6
|
7
|
9
|
10
|
12
|
||
|
13
|
14
|
16
|
17
|
18
|
19
|
|
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
|
27
|
28
|
29
|
31
|
|||
За последние 60 дней ни разу не выходила
Сайт рассылки:
http://admin.rusfaq.ru/winnt
Открыта:
14-03-2002
Статистика
0 за неделю
RFpro.ru: Windows 2000/XP/2003/Vista администратору
| Хостинг портала RFpro.ru: РАССЫЛКИ ПОРТАЛА RFPRO.RU
Лучшие эксперты данной рассылки
/ КОМПЬЮТЕРЫ И СОФТ / Установка и настройка ОС / Windows 2000/XP/2003/Vista/2008 администратору
Вопрос № 181057: Здравствуйте, уважаемые эксперты! Прошу Вас ответить на следующий вопрос: Имеется домен с Windows Server 2003. Клиентские компьютеры - Windows XP SP3 Prof и Windows 7 Prof. Необходимо запретить (вероятно через групповые политики) открывать с кл... Вопрос № 181057:
Здравствуйте, уважаемые эксперты! Прошу Вас ответить на следующий вопрос:
Отправлен: 01.12.2010, 20:04 Отвечает F®ost (Модератор) : Здравствуйте, Dipauler! © Цитата: перенос поиска решения проблемы из мини-форума Prokoshin Yuriy Студент ID=148206 01.12.2010, 23:32 Dipauler: Добрый день! Software Restriction Policy - это правильное направление:) Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта: 1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами 2. При добавле нии нового запрещающего правила типа Path Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также. Вот дополнительная информация: http://support.microsoft.com/kb/324036 Других готовых методов запрета, думаю, Вы не найдете, только если искать решения сторонних разработчиков. Dipauler Профессионал ID: 149648 02.12.2010, 00:34 Prokoshin Yuriy: Спасибо за ответ. © Цитата: Prokoshin Yuriy Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта: 1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами 2. При добавлении нового запрещающего правила типа Pa th Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также. До этого, как я уже писал, я делал так: 1) Добавлял DWG в список Designated Files Type. 2) Устанавливал правило \\server\share\*.DWG и \\server\share\* с уровнем безопасности Disallowed (Не разрешено). Результат отрицательный - файлы *.DWG продолжали открываться. При этом стоит отметить, что с файлами типа EXE или BAT правила выполнялись отлично Завтра попробую изменить запрещающее правило таким образом, как указали Вы. Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокировать запуск файлов также из подпапок директории \share? Prokoshin Yuriy Студент ID: 148206 02.12.2010, 09:25 Dipauler: © Цитата: Dipauler Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокирова ть запуск файлов также из подпапок директории \share? Да, уверен. Вот информация из библиотеки Технет http://technet.microsoft.com/ru-ru/library/cc786941(WS.10).aspx A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Software restriction policies support local and Uniform Naming Convention (UNC) paths. А вот в блокированием файлов DWG я уже не так уверен:) Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов. Так что видимо DWG файлы так просто запретить с помощью этого инструмента действительно не получится. Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7. Dipauler Профессионал ID: 149648 02.12.2010, 09:50 Prokoshin Yuriy: © Цитата: Prokoshin Yuriy Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7. К сожалению, данная проблема у меня более актуальна для ПК с Windows XP, чем с Windows 7. © Цитата: Prokoshin Yuriy Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов. Сегодня попробую "обыграть" это правило следующим образом: в реестре в разделе HKEY_CLASSES_ROOT\.dwg заменю значение параметра "Content Type" с "image/vnd.dwg" на "application/x-msdownload" (тип .ЕХЕ файла). Посмотрим, будет ли тогда действовать указаное выше правило на файлы .DWG, и будут ли файлы .DWG нормально открываться в AutoCAD'е. Откровенно говоря, в положительном эффекте не уверен. Prokoshin Yuriy Студент ID: 148206 02.12.2010, 23:29 Dipauler: Добрый вечер! < br>Ничего подходящего в групповых политиках я больше не нашел.  Но вот какое дело... Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п. В таком случае мы можем воспользоваться стандартными NTFS разрешениями. В свойствах папки на сервере мы открываем настройки расширенной безопасности (Security - Advanced), добавляем туда группу Network, выставляем запрет на чтение (read data + execute file) и не забываем указать область применения - только файлы (Files only). При этом интерактивные пользователи сохраняют возможность открывать файлы непосредственно на сервере, а сетевые пользователи сохраняют возможность записывать новые файлы в эту папку. Теоретически должно работать - к сожалению у меня нет возможности проверит ь это на стенде. Обратите внимание - запрещающие правила всегда имеют приоритет. Если Вы потом решите добавить разрешения на чтение из сети, например, для администраторов - это не будет работать. Dipauler Профессионал ID: 149648 03.12.2010, 01:21 Prokoshin Yuriy: © Цитата: Prokoshin Yuriy Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п. Не совсем так. На файловом сервере открыт общий доступ к нескольким сетевым папкам, доступ которым по локальной сети (не терминально) имеют все пользователи. При этом пользователи вместо того, чтобы скопировать файл к себе на компьютер и там его уже открывать, любят открывать его двойным щелчком по файлу в общей папке. Естественно файл открывается в приложении, установленном на локальном компьютере, но при этом "физически" хранится он на сервере. Я, откровенно говоря, не очень понимаю, как конкретно реализован в Windows механизм открытия файлов, расположенных на других компьютерах, но сильно сомневаюсь, что перед запуском файл целиком передаётся на компьютер, с которого его запускают. А значит при таком доступе к файлу есть три вида нагрузки: а) нагрузка на сервер, где лежит файл; б) нагрузка на ПК, на котором этот файл открывают; в) нагрузка на локальную сеть во время непрерывной или периодичной передачи частей файла с сервера. Вот чтобы исключить пункты а) и в) я и хотел запретить открывать с сервера большие файлы .DWG. Тем самым я бы принудительно заставил пользователей перед открытием файла сохранять его на локальный компьютер. Это кстати и от конфликтов одновременного обращения к файлу спасает. Prokoshin Yuriy Студент ID: 148206 03.12.2010, 10:34 Dipauler: Работа с файлами по сети в Windows организована через протокол SMB, для открытия в приложении файл все равно должен быть скопирован во временную папку на локальном компьютере. Обычно для сервера и двойной клик на файле, и перетаскивание его в локальную папку является запросом на передачу (read request - read response). Запись файла обратно в сетевую папку происходит при его сохранении. Возможно, работа AutoCAD'a с сетевыми файлами немного отличается, но общий принцип будет такой же. Поэтому, обычными правами доступа нельзя запретить двойной клик на файле, разрешив его копирование - для сервера это одно и то же - для таких разграничений используются системы типа AD RMS. Мне кажется, что запретом открытия, больших изменений в нагрузке сети Вы не получите. Возможно, кто-то меня поправит. Вот неплохая статья по протоколу SMB - http://itband.ru/2010/06/in-smb-protocol/ Dipauler Профессионал ID: 149648 03.12.2010, 14:26 Prokoshin Yuri y: © Цитата: Prokoshin Yuriy для таких разграничений используются системы типа AD RMS Спасибо за "наводку". Откровенно говоря, раньше никогда не использовал эту технлогию. Возможно, зря. Попробую.
Ответ отправил: F®ost (Модератор)
Оценить выпуск »
Задать вопрос экспертам этой рассылки »Скажите "спасибо" эксперту, который помог Вам!Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТАна короткий номер 1151 (Россия) Номер ответа и конкретный текст СМС указан внизу каждого ответа.
* Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи.
(полный список тарифов) © 2001-2010, Портал RFPRO.RU, Россия
Авторское право: ООО "Мастер-Эксперт Про" Автор: Калашников О.А. | Программирование: Гладенюк А.Г. Хостинг: Компания "Московский хостер" Версия системы: 2010.6.24 от 30.11.2010 |
| В избранное | ||
