Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Windows 2000/XP/2003/Vista администратору


Хостинг портала RFpro.ru:
Московский хостер
Профессиональный ХОСТИНГ на базе Linux x64 и Windows x64

РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты данной рассылки

Гуревич Александр Львович
Статус: Профессионал
Рейтинг: 4685
∙ повысить рейтинг »
Андреенков Владимир aka Black Cloud
Статус: Профессионал
Рейтинг: 4156
∙ повысить рейтинг »
Валерий Ахметович Набиуллин aka ValeryN
Статус: Мастер-Эксперт
Рейтинг: 3982
∙ повысить рейтинг »

/ КОМПЬЮТЕРЫ И СОФТ / Установка и настройка ОС / Windows 2000/XP/2003/Vista/2008 администратору

Номер выпуска:1671
Дата выхода:11.12.2010, 20:30
Администратор рассылки:F®ost (Модератор)
Подписчиков / экспертов:683 / 407
Вопросов / ответов:1 / 1

Вопрос № 181057: Здравствуйте, уважаемые эксперты! Прошу Вас ответить на следующий вопрос: Имеется домен с Windows Server 2003. Клиентские компьютеры - Windows XP SP3 Prof и Windows 7 Prof. Необходимо запретить (вероятно через групповые политики) открывать с кл...



Вопрос № 181057:

Здравствуйте, уважаемые эксперты! Прошу Вас ответить на следующий вопрос:
Имеется домен с Windows Server 2003. Клиентские компьютеры - Windows XP SP3 Prof и Windows 7 Prof.
Необходимо запретить (вероятно через групповые политики) открывать с клиентских компьютеров файлы с расширением .DWG (AutoCAD) с общих папок сервера.
Однако с локальных компьютеров файлы с этим расширением должны открываться.
Для любопытных поясню - файлы очень крупные и при открытии их через локальную сеть нагрузка на сеть очень возрастает.

Я пробовал наудачу использовать политики ограниченного использования программ: вносил расширение .DWG в список ограничиваемых, добавлял запрет открытия по пути \\server\share\*.DWG - не помогает (что я, в принципе, и ожидал).

Очень надеюсь на Вашу помощь в этом вопросе, уважаемые эксперты.
Можно конечно решать вопрос административно - указом директора - но и указы не всегда выполняются.
Поэ тому хотелось бы найти всё же "администраторский" способ.

Отправлен: 01.12.2010, 20:04
Вопрос задал: Dipauler (Профессионал)
Всего ответов: 1
Страница вопроса »


Отвечает F®ost (Модератор) :
Здравствуйте, Dipauler!
© Цитата: перенос поиска решения проблемы из мини-форума
Prokoshin Yuriy Студент ID=148206 01.12.2010, 23:32
Dipauler: Добрый день! Software Restriction Policy - это правильное направление:) Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта:
1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами
2. При добавле нии нового запрещающего правила типа Path Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также.

Вот дополнительная информация: http://support.microsoft.com/kb/324036

Других готовых методов запрета, думаю, Вы не найдете, только если искать решения сторонних разработчиков.

Dipauler Профессионал ID: 149648 02.12.2010, 00:34
Prokoshin Yuriy: Спасибо за ответ.

© Цитата: Prokoshin Yuriy
Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта:
1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами
2. При добавлении нового запрещающего правила типа Pa th Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также.


До этого, как я уже писал, я делал так:
1) Добавлял DWG в список Designated Files Type.
2) Устанавливал правило \\server\share\*.DWG и \\server\share\* с уровнем безопасности Disallowed (Не разрешено).
Результат отрицательный - файлы *.DWG продолжали открываться.
При этом стоит отметить, что с файлами типа EXE или BAT правила выполнялись отлично Завтра попробую изменить запрещающее правило таким образом, как указали Вы. Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокировать запуск файлов также из подпапок директории \share?


Prokoshin Yuriy Студент ID: 148206 02.12.2010, 09:25
Dipauler:

© Цитата: Dipauler
Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокирова ть запуск файлов также из подпапок директории \share?


Да, уверен. Вот информация из библиотеки Технет http://technet.microsoft.com/ru-ru/library/cc786941(WS.10).aspx
A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Software restriction policies support local and Uniform Naming Convention (UNC) paths.

А вот в блокированием файлов DWG я уже не так уверен:) Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов. Так что видимо DWG файлы так просто запретить с помощью этого инструмента действительно не получится.
Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7.

Dipauler Профессионал ID: 149648 02.12.2010, 09:50
Prokoshin Yuriy:

© Цитата: Prokoshin Yuriy
Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7.


К сожалению, данная проблема у меня более актуальна для ПК с Windows XP, чем с Windows 7.

© Цитата: Prokoshin Yuriy
Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов.


Сегодня попробую "обыграть" это правило следующим образом: в реестре в разделе HKEY_CLASSES_ROOT\.dwg заменю значение параметра "Content Type" с "image/vnd.dwg" на "application/x-msdownload" (тип .ЕХЕ файла).
Посмотрим, будет ли тогда действовать указаное выше правило на файлы .DWG, и будут ли файлы .DWG нормально открываться в AutoCAD'е.

Откровенно говоря, в положительном эффекте не уверен.

Prokoshin Yuriy Студент ID: 148206 02.12.2010, 23:29
Dipauler: Добрый вечер! < br>Ничего подходящего в групповых политиках я больше не нашел.

Но вот какое дело... Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п.

В таком случае мы можем воспользоваться стандартными NTFS разрешениями. В свойствах папки на сервере мы открываем настройки расширенной безопасности (Security - Advanced), добавляем туда группу Network, выставляем запрет на чтение (read data + execute file) и не забываем указать область применения - только файлы (Files only). При этом интерактивные пользователи сохраняют возможность открывать файлы непосредственно на сервере, а сетевые пользователи сохраняют возможность записывать новые файлы в эту папку. Теоретически должно работать - к сожалению у меня нет возможности проверит ь это на стенде.

Обратите внимание - запрещающие правила всегда имеют приоритет. Если Вы потом решите добавить разрешения на чтение из сети, например, для администраторов - это не будет работать.

Dipauler Профессионал ID: 149648 03.12.2010, 01:21
Prokoshin Yuriy:

© Цитата: Prokoshin Yuriy
Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п.


Не совсем так.
На файловом сервере открыт общий доступ к нескольким сетевым папкам, доступ которым по локальной сети (не терминально) имеют все пользователи.
При этом пользователи вместо того, чтобы скопировать файл к себе на компьютер и там его уже открывать, любят открывать его двойным щелчком по файлу в общей папке. Естественно файл открывается в приложении, установленном на локальном компьютере, но при этом "физически" хранится он на сервере.
Я, откровенно говоря, не очень понимаю, как конкретно реализован в Windows механизм открытия файлов, расположенных на других компьютерах, но сильно сомневаюсь, что перед запуском файл целиком передаётся на компьютер, с которого его запускают.
А значит при таком доступе к файлу есть три вида нагрузки:
а) нагрузка на сервер, где лежит файл;
б) нагрузка на ПК, на котором этот файл открывают;
в) нагрузка на локальную сеть во время непрерывной или периодичной передачи частей файла с сервера.

Вот чтобы исключить пункты а) и в) я и хотел запретить открывать с сервера большие файлы .DWG. Тем самым я бы принудительно заставил пользователей перед открытием файла сохранять его на локальный компьютер. Это кстати и от конфликтов одновременного обращения к файлу спасает.

Prokoshin Yuriy Студент ID: 148206 03.12.2010, 10:34
Dipauler: Работа с файлами по сети в Windows организована через протокол SMB, для открытия в приложении файл все равно должен быть скопирован во временную папку на локальном компьютере. Обычно для сервера и двойной клик на файле, и перетаскивание его в локальную папку является запросом на передачу (read request - read response). Запись файла обратно в сетевую папку происходит при его сохранении. Возможно, работа AutoCAD'a с сетевыми файлами немного отличается, но общий принцип будет такой же. Поэтому, обычными правами доступа нельзя запретить двойной клик на файле, разрешив его копирование - для сервера это одно и то же - для таких разграничений используются системы типа AD RMS. Мне кажется, что запретом открытия, больших изменений в нагрузке сети Вы не получите. Возможно, кто-то меня поправит.
Вот неплохая статья по протоколу SMB - http://itband.ru/2010/06/in-smb-protocol/

Dipauler Профессионал ID: 149648 03.12.2010, 14:26
Prokoshin Yuri y:

© Цитата: Prokoshin Yuriy
для таких разграничений используются системы типа AD RMS


Спасибо за "наводку". Откровенно говоря, раньше никогда не использовал эту технлогию. Возможно, зря. Попробую.

Ответ отправил: F®ost (Модератор)
Ответ отправлен: 10.12.2010, 17:38
Номер ответа: 264637

Вам помог ответ? Пожалуйста, поблагодарите эксперта за это!
Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 264637 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:


  • Оценить выпуск »
    Нам очень важно Ваше мнение об этом выпуске рассылки!

    Задать вопрос экспертам этой рассылки »

    Скажите "спасибо" эксперту, который помог Вам!

    Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТА
    на короткий номер 1151 (Россия)

    Номер ответа и конкретный текст СМС указан внизу каждого ответа.

    Полный список номеров »

    * Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи. (полный список тарифов)
    ** При ошибочном вводе номера ответа или текста #thank услуга считается оказанной, денежные средства не возвращаются.
    *** Сумма выплаты эксперту-автору ответа расчитывается из суммы перечислений на портал от биллинговой компании.


    © 2001-2010, Портал RFPRO.RU, Россия
    Авторское право: ООО "Мастер-Эксперт Про"
    Автор: Калашников О.А. | Программирование: Гладенюк А.Г.
    Хостинг: Компания "Московский хостер"
    Версия системы: 2010.6.24 от 30.11.2010

    В избранное