Файловые сервер в рабочей группе
 

Добрый день

Есть сеть на основе рабочей группы, никаких AD. Есть в сети шара на компе с вин 2016. На текущий момент это просто папка с доступом "Все".
Внутри этой шары есть другие папки, к которым надо разграничить доступ.
Причем за одним компом не перелогиниваясь могут работать разные пользователи, так что нужен запрос логина пароля именно при открытии папки.
Как это правильно сделать?
Если на всю шару сделать доступ, а на вкладке безопасность задать разрешения пользователям, то он пускает в шару, но не пускает к папкам и не спрашивает логин пароль.

Никак. Хоть правильно — хоть неправильно.

А можно логику работы этого дела расписать? И варианты решений, что надо поменять, чтобы все стало, как надо? Типа "нужно завести отдельные учетки винды для всех пользователей и заставить их выходить из них после своей смены" "причем делать это нужно в через службу доменов" и т. д. Чтобы я мог донести эту инфу тех, кто принимает решения )

Именно так. И чтобы каждый входил под своей личной учёткой — на которую есть разрешение у соответствующей папки.

В Windows, начиная по крайней мере с XP, нет понятия пароля на папки — а есть понятие разграничения прав пользователей. И если пользователь не выходит из своей учётки, то далее хоть десять человек будут работать в ней — все они считаются одним и тем же пользователем: глаз у компьютеров нет.

А если это поднимать не на винде, но для виндовых клиентов? Или толку ноль?

eshb, "не-на-виндовые" файловые шары, помимо того что это костыль - эмулируют поведение винды, чтобы в винде всё в принципе работало.

Это называется samba. И на ней хоть и можно аутентифицироваться и авторизоваться через AD, но всё ровно так же. Теоретически можно на ФС на линуксе где самба поставить ACL, но как их синхронизировать с доменом я честно не в курсе.

UPD, я не в курсе, но гугль да и подсказал https://wiki.samba.org/index.php/Set...g_Windows_ACLs

Возможно, это поможет, проверять не стану - сто лет не нужно.

Правильно сделать - "всем" дать доступ на чтение корня шары "только для этой папки", т. е., это разрешение не распространяется на вложенные элементы.

Затем добавлять конкретным пользователям разрешения на вложенные папки.

Это позволит всем заходить в корень и видеть список папок, но дальше заходить только в те, куда есть доступ. Если включить функцию скрытия каталогов, куда нет доступа (Access-based folder enumeration), то, заходя в корень, пользователь будет видеть только то, что доступно ему.

Это хорошо работает в домене, не знаю, как будет в рабочей группе, полагаю, можно что-нибудь подобное сделать.

Одинаково будет. Проверено.

Вот только, к сожалению, это не решит проблемы того, что нужно, чтобы с одного компа под одним виндовым пользователем люди могли заходить в свои папки, каждый раз набирая пароль при попытке открыть. А начальство хочет так )

Цитата:

Цитата eshb Вот только, к сожалению, это не решит проблемы того, что нужно, чтобы с одного компа под одним виндовым пользователем люди могли заходить в свои папки, каждый раз набирая пароль при попытке открыть. А начальство хочет так ) »

Пользователи крайне обрадуются вводить 10-значные пароли (согласно политик безопасности), для входа в каждую вложенную папку.

:off: В крайнем случае - перенести общение на FTP сервер, и проходить авторизацию при подключении.

Цитата:

Цитата lxa85 В крайнем случае - перенести общение на FTP сервер »

Ага, качать файлик, редактировать, заливать обратно. Очень удобно (нет).
Попробуй как-то мягко объяснить что карандаш чтобы губы наматывать у них в стаканчике на столе лежит.
Нет, серьезно, если начальство что-то хочет то это не обязательно значит что ты должен метнутся кабанчиком и сделать 1 в 1. И это как раз та самая ситуация. Технической возможности нет и точка.

Буду убеждать!

Начальству можно объяснить, что, зайдя в свой профиль на компьютере, человек уже прошёл аутентификацию и дальше пароли набирать нет смысла.