Size: a a a

UCСhat-Exchange, Skype, Office 365 and whitespace...

2020 September 25

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Прочитал про get-smbshare, get-smbshareacces. Get-acl огонь. Перечитал про AGDLP. Но вопросы все равно остались.

Наверное сначала лучше описать текущую ситуацию, чтобы было понятнее зачем я хочу сделать изменение в правах. Есть сервер для сканов. В корне сервера есть примерно 20 шар для сканов филиалов. Настроены они где-то правильно, чтобы ходить могли только юзеры филиала и админы филиала, где-то очень плохо, там ходить могут вообще все. Внутри шары филиала может быть разное количество папок, с разным количеством подпапок, которые тоже где-то настроены нормально, где-то нет. Сервер бэкпится, shadowcopy не используется.

Есть задачи:
- Юзер удалил суперважный скан по пути \\scan\filial1\buh\buh2_0\topsecret.pdf и его нужно восстановить как можно скорее и желательно в то же место с теми же правами.
- Юзер не может зайти в шару \\scan\filial19\hr\hr324\hr_new. Админ филиала говорит что права выдал правильно.
- Нужно настроить скрипт, который будет проходиться по всем папкам и удалять/перемещать файлы старше 5 лет.

Вопросы
1) Для восстановления файла у учётки veeam должны быть права на шары. Или восстановление будет не таким простым  и с потерей прав. В моей ситуации норм выдать права на создание/изменение для всех шар? Если нет, то почему?
2) Чтобы посмотреть почему юзер не может зайти в шару у меня должен быть доступ туда. Можно через get-acl, но когда всё видно сразу, то удобнее. И через get-acl можно посмотреть права если точно знаешь полный путь, а если нужно посмотреть структуру, то все равно придется выдавать права. У вас бывают такие ситуации? Как вы их решаете?
3) Тут нужно либо давать права системе (так и не понял почему это плохо), либо создавать отдельную учётку и давать ей права на все папки.
4) По хорошему  все доступы внутри филиалов должны настраивать админы филиалов, но как их контролировать, чтобы избежать ситуации когда к их сканам имеют доступ все? Или внутри половины папок доступы настроены криво. Чтобы контролировать эти настройки нужно чтобы к ним был доступ.
5) По-правильному будет создать группу глобальных админов шар и всех, кто будет админить шары, кидать туда. Но у нас локальные админы занимаются всем в пределах филиала, глобальные всем в пределах организации. Если даже создавать такую группу, получится что она просто будет включать тех же админов. Ну то есть если не создавать отдельные учётки только для администрирования шар, то в общем и нет смысла создавать отдельные группы администрирования. Можно добавить доменных админов в группы локальных админов и тогда не нужно будет обновлять владельцев и дополнительно прописывать доменных админов в разрешениях. Логично?
4. Нет
источник

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Прочитал про get-smbshare, get-smbshareacces. Get-acl огонь. Перечитал про AGDLP. Но вопросы все равно остались.

Наверное сначала лучше описать текущую ситуацию, чтобы было понятнее зачем я хочу сделать изменение в правах. Есть сервер для сканов. В корне сервера есть примерно 20 шар для сканов филиалов. Настроены они где-то правильно, чтобы ходить могли только юзеры филиала и админы филиала, где-то очень плохо, там ходить могут вообще все. Внутри шары филиала может быть разное количество папок, с разным количеством подпапок, которые тоже где-то настроены нормально, где-то нет. Сервер бэкпится, shadowcopy не используется.

Есть задачи:
- Юзер удалил суперважный скан по пути \\scan\filial1\buh\buh2_0\topsecret.pdf и его нужно восстановить как можно скорее и желательно в то же место с теми же правами.
- Юзер не может зайти в шару \\scan\filial19\hr\hr324\hr_new. Админ филиала говорит что права выдал правильно.
- Нужно настроить скрипт, который будет проходиться по всем папкам и удалять/перемещать файлы старше 5 лет.

Вопросы
1) Для восстановления файла у учётки veeam должны быть права на шары. Или восстановление будет не таким простым  и с потерей прав. В моей ситуации норм выдать права на создание/изменение для всех шар? Если нет, то почему?
2) Чтобы посмотреть почему юзер не может зайти в шару у меня должен быть доступ туда. Можно через get-acl, но когда всё видно сразу, то удобнее. И через get-acl можно посмотреть права если точно знаешь полный путь, а если нужно посмотреть структуру, то все равно придется выдавать права. У вас бывают такие ситуации? Как вы их решаете?
3) Тут нужно либо давать права системе (так и не понял почему это плохо), либо создавать отдельную учётку и давать ей права на все папки.
4) По хорошему  все доступы внутри филиалов должны настраивать админы филиалов, но как их контролировать, чтобы избежать ситуации когда к их сканам имеют доступ все? Или внутри половины папок доступы настроены криво. Чтобы контролировать эти настройки нужно чтобы к ним был доступ.
5) По-правильному будет создать группу глобальных админов шар и всех, кто будет админить шары, кидать туда. Но у нас локальные админы занимаются всем в пределах филиала, глобальные всем в пределах организации. Если даже создавать такую группу, получится что она просто будет включать тех же админов. Ну то есть если не создавать отдельные учётки только для администрирования шар, то в общем и нет смысла создавать отдельные группы администрирования. Можно добавить доменных админов в группы локальных админов и тогда не нужно будет обновлять владельцев и дополнительно прописывать доменных админов в разрешениях. Логично?
4. Ну может быть, но
источник

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Прочитал про get-smbshare, get-smbshareacces. Get-acl огонь. Перечитал про AGDLP. Но вопросы все равно остались.

Наверное сначала лучше описать текущую ситуацию, чтобы было понятнее зачем я хочу сделать изменение в правах. Есть сервер для сканов. В корне сервера есть примерно 20 шар для сканов филиалов. Настроены они где-то правильно, чтобы ходить могли только юзеры филиала и админы филиала, где-то очень плохо, там ходить могут вообще все. Внутри шары филиала может быть разное количество папок, с разным количеством подпапок, которые тоже где-то настроены нормально, где-то нет. Сервер бэкпится, shadowcopy не используется.

Есть задачи:
- Юзер удалил суперважный скан по пути \\scan\filial1\buh\buh2_0\topsecret.pdf и его нужно восстановить как можно скорее и желательно в то же место с теми же правами.
- Юзер не может зайти в шару \\scan\filial19\hr\hr324\hr_new. Админ филиала говорит что права выдал правильно.
- Нужно настроить скрипт, который будет проходиться по всем папкам и удалять/перемещать файлы старше 5 лет.

Вопросы
1) Для восстановления файла у учётки veeam должны быть права на шары. Или восстановление будет не таким простым  и с потерей прав. В моей ситуации норм выдать права на создание/изменение для всех шар? Если нет, то почему?
2) Чтобы посмотреть почему юзер не может зайти в шару у меня должен быть доступ туда. Можно через get-acl, но когда всё видно сразу, то удобнее. И через get-acl можно посмотреть права если точно знаешь полный путь, а если нужно посмотреть структуру, то все равно придется выдавать права. У вас бывают такие ситуации? Как вы их решаете?
3) Тут нужно либо давать права системе (так и не понял почему это плохо), либо создавать отдельную учётку и давать ей права на все папки.
4) По хорошему  все доступы внутри филиалов должны настраивать админы филиалов, но как их контролировать, чтобы избежать ситуации когда к их сканам имеют доступ все? Или внутри половины папок доступы настроены криво. Чтобы контролировать эти настройки нужно чтобы к ним был доступ.
5) По-правильному будет создать группу глобальных админов шар и всех, кто будет админить шары, кидать туда. Но у нас локальные админы занимаются всем в пределах филиала, глобальные всем в пределах организации. Если даже создавать такую группу, получится что она просто будет включать тех же админов. Ну то есть если не создавать отдельные учётки только для администрирования шар, то в общем и нет смысла создавать отдельные группы администрирования. Можно добавить доменных админов в группы локальных админов и тогда не нужно будет обновлять владельцев и дополнительно прописывать доменных админов в разрешениях. Логично?
5. Нет
источник

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Прочитал про get-smbshare, get-smbshareacces. Get-acl огонь. Перечитал про AGDLP. Но вопросы все равно остались.

Наверное сначала лучше описать текущую ситуацию, чтобы было понятнее зачем я хочу сделать изменение в правах. Есть сервер для сканов. В корне сервера есть примерно 20 шар для сканов филиалов. Настроены они где-то правильно, чтобы ходить могли только юзеры филиала и админы филиала, где-то очень плохо, там ходить могут вообще все. Внутри шары филиала может быть разное количество папок, с разным количеством подпапок, которые тоже где-то настроены нормально, где-то нет. Сервер бэкпится, shadowcopy не используется.

Есть задачи:
- Юзер удалил суперважный скан по пути \\scan\filial1\buh\buh2_0\topsecret.pdf и его нужно восстановить как можно скорее и желательно в то же место с теми же правами.
- Юзер не может зайти в шару \\scan\filial19\hr\hr324\hr_new. Админ филиала говорит что права выдал правильно.
- Нужно настроить скрипт, который будет проходиться по всем папкам и удалять/перемещать файлы старше 5 лет.

Вопросы
1) Для восстановления файла у учётки veeam должны быть права на шары. Или восстановление будет не таким простым  и с потерей прав. В моей ситуации норм выдать права на создание/изменение для всех шар? Если нет, то почему?
2) Чтобы посмотреть почему юзер не может зайти в шару у меня должен быть доступ туда. Можно через get-acl, но когда всё видно сразу, то удобнее. И через get-acl можно посмотреть права если точно знаешь полный путь, а если нужно посмотреть структуру, то все равно придется выдавать права. У вас бывают такие ситуации? Как вы их решаете?
3) Тут нужно либо давать права системе (так и не понял почему это плохо), либо создавать отдельную учётку и давать ей права на все папки.
4) По хорошему  все доступы внутри филиалов должны настраивать админы филиалов, но как их контролировать, чтобы избежать ситуации когда к их сканам имеют доступ все? Или внутри половины папок доступы настроены криво. Чтобы контролировать эти настройки нужно чтобы к ним был доступ.
5) По-правильному будет создать группу глобальных админов шар и всех, кто будет админить шары, кидать туда. Но у нас локальные админы занимаются всем в пределах филиала, глобальные всем в пределах организации. Если даже создавать такую группу, получится что она просто будет включать тех же админов. Ну то есть если не создавать отдельные учётки только для администрирования шар, то в общем и нет смысла создавать отдельные группы администрирования. Можно добавить доменных админов в группы локальных админов и тогда не нужно будет обновлять владельцев и дополнительно прописывать доменных админов в разрешениях. Логично?
6. Я вечером напишу если вспомню про этот псто. После 20 напомните, если не напишут
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
1. Нет
Если нет, то почему?
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
2. Нет
Нет, не бывает?
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
3. Нет
Нет системе? А отдельно учётке тоже нет? А как скрипты выполнять? Нет, никогда не переносите и не удаляете старые файлы?
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
4. Нет
Нет, не нужно контролировать? Нет, кривые настройки - это норм?
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
5. Нет
Тогда для контроля будет правильно создать себе отдельные учётки в каждом филиале и добавить себя в группу локальных админов филиалов и отдельно от каждой учётки проверять каждую шару?
источник

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Тогда для контроля будет правильно создать себе отдельные учётки в каждом филиале и добавить себя в группу локальных админов филиалов и отдельно от каждой учётки проверять каждую шару?
Нет. Напишу
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Mr Orange
6. Я вечером напишу если вспомню про этот псто. После 20 напомните, если не напишут
Кстати шестой вопрос тоже будет, но он сложнее предыдущих и там нужны будут скрины. Напишу вечером
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
А может и не сложнее
источник

MO

Mr Orange in UCСhat-Exchange, Skype, Office 365 and whitespace...
Дмитрий Стародубцев
Кстати шестой вопрос тоже будет, но он сложнее предыдущих и там нужны будут скрины. Напишу вечером
Надо вам пока что ещё раз раскурить agdlp, и отдельно права на редактирование членства в группах ад
источник

ДС

Дмитрий Стародубцев... in UCСhat-Exchange, Skype, Office 365 and whitespace...
Сейчас перечитаю
источник

D

Dim-soft in UCСhat-Exchange, Skype, Office 365 and whitespace...
Не даёт открыть один чужой ящик, права есть, другие ящики открывает. exchange 2010 - где, что посмотреть ?
источник

A

Andrey in UCСhat-Exchange, Skype, Office 365 and whitespace...
Ребят, всем привет. Есть сотрудник с большим количеством вложенных папок. Жалуется, что на ios папка входящие синкается быстро, а подпапки с задержкой несколько часов. Есть мысли?
источник

A

Andrey in UCСhat-Exchange, Skype, Office 365 and whitespace...
Юзает outlook for ios
источник

AV

Alexander V. in UCСhat-Exchange, Skype, Office 365 and whitespace...
Но вообще не синкает подпапки, вроде. Только если ее открыть он лезет за содержимым
источник

ВБ

Виктор Бутолин... in UCСhat-Exchange, Skype, Office 365 and whitespace...
А если земная почта, ваще хз, как оно работает)(не работает)
источник

b

b in UCСhat-Exchange, Skype, Office 365 and whitespace...
Виктор Бутолин
А если земная почта, ваще хз, как оно работает)(не работает)
Да вроде так же, тоже не синхронизирует, пока не обратишься
источник