Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 181057
01.12.2010, 20:04
53.35 руб.
0 14 0
Компьютеры Программное обеспечение Операционные системы
Здравствуйте, уважаемые эксперты! Прошу Вас ответить на следующий вопрос:
Имеется домен с Windows Server 2003. Клиентские компьютеры - Windows XP SP3 Prof и Windows 7 Prof.
Необходимо запретить (вероятно через групповые политики) открывать с клиентских компьютеров файлы с расширением .DWG (AutoCAD) с общих папок сервера.
Однако с локальных компьютеров файлы с этим расширением должны открываться.
Для любопытных поясню - файлы очень крупные и при открытии их через локальную сеть нагрузка на сеть очень возрастает.

Я пробовал наудачу использовать политики ограниченного использования программ: вносил расширение .DWG в список ограничиваемых, добавлял запрет открытия по пути \\server\share\*.DWG - не помогает (что я, в принципе, и ожидал).

Очень надеюсь на Вашу помощь в этом вопросе, уважаемые эксперты.
Можно конечно решать вопрос административно - указом директора - но и указы не всегда выполняются.
Поэтому хотелось бы найти всё же "администраторский" способ.

Обсуждение

Неизвестный
01.12.2010, 23:32
общий
Добрый день!
Software Restriction Policy - это правильное направление:) Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта:
1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами
2. При добавлении нового запрещающего правила типа Path Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также.

Вот дополнительная информация: http://support.microsoft.com/kb/324036

Других готовых методов запрета, думаю, Вы не найдете, только если искать решения сторонних разработчиков.
Неизвестный
02.12.2010, 00:34
общий
Спасибо за ответ.
Цитата: 148206
Вам нужно изменить правило на вид: \\server\share\, уровень безопасности при этом должен быть выставлен на Disallowed (Не разрешено). При этом не забудьте расширение DWG добавить в список Designated Files Type (Назначенные типы файлов) в корне папки политики. Обратите внимание на два пункта:
1. Все файлы, указанные в списке Designated Files Type будут подвергаться обработке всеми правилами
2. При добавлении нового запрещающего правила типа Path Rule Вы установите запрет на запуск DWG файлов в этой папке и под-папках также.


До этого, как я уже писал, я делал так:
1) Добавлял DWG в список Designated Files Type.
2) Устанавливал правило \\server\share\*.DWG и \\server\share\* с уровнем безопасности Disallowed (Не разрешено).
Результат отрицательный - файлы *.DWG продолжали открываться.
При этом стоит отметить, что с файлами типа EXE или BAT правила выполнялись отлично

Завтра попробую изменить запрещающее правило таким образом, как указали Вы.
Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокировать запуск файлов также из подпапок директории \share?
Неизвестный
02.12.2010, 09:25
общий
Цитата: 149648
Хотелось бы только уточнить - Вы уверены, что правило вида \\server\share\ позволит заблокировать запуск файлов также из подпапок директории \share?


Да, уверен. Вот информация из библиотеки Технет http://technet.microsoft.com/ru-ru/library/cc786941(WS.10).aspx
A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Software restriction policies support local and Uniform Naming Convention (UNC) paths.

А вот в блокированием файлов DWG я уже не так уверен:) Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов. Так что видимо DWG файлы так просто запретить с помощью этого инструмента действительно не получится.
Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7.
Неизвестный
02.12.2010, 09:50
общий
Цитата: 148206
Посмотрю другие возможные варианты - возможно AppLocker поможет, но он доступен только для Windows 7.

К сожалению, данная проблема у меня более актуальна для ПК с Windows XP, чем с Windows 7.

Цитата: 148206
Я изучил подробнее данный вопрос - политика обычно применяется только к исполняемым типам файлов.

Сегодня попробую "обыграть" это правило следующим образом: в реестре в разделе HKEY_CLASSES_ROOT\.dwg заменю значение параметра "Content Type" с "image/vnd.dwg" на "application/x-msdownload" (тип .ЕХЕ файла).
Посмотрим, будет ли тогда действовать указаное выше правило на файлы .DWG, и будут ли файлы .DWG нормально открываться в AutoCAD'е.

Откровенно говоря, в положительном эффекте не уверен.
Неизвестный
02.12.2010, 23:29
общий
Добрый вечер!
Ничего подходящего в групповых политиках я больше не нашел. :(

Но вот какое дело... Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п.

В таком случае мы можем воспользоваться стандартными NTFS разрешениями. В свойствах папки на сервере мы открываем настройки расширенной безопасности (Security - Advanced), добавляем туда группу Network, выставляем запрет на чтение (read data + execute file) и не забываем указать область применения - только файлы (Files only). При этом интерактивные пользователи сохраняют возможность открывать файлы непосредственно на сервере, а сетевые пользователи сохраняют возможность записывать новые файлы в эту папку. Теоретически должно работать - к сожалению у меня нет возможности проверить это на стенде.

Обратите внимание - запрещающие правила всегда имеют приоритет. Если Вы потом решите добавить разрешения на чтение из сети, например, для администраторов - это не будет работать.
Неизвестный
03.12.2010, 01:21
общий
Цитата: 148206
Если я верно понимаю Вашу задачу - пользователи не должны иметь возможность открывать файлы по сети, эти файлы хранятся в общем доступе для централизованного хранения проектов и для запуска непосредственно с сервера, например в терминальном доступе и т.п.


Не совсем так.
На файловом сервере открыт общий доступ к нескольким сетевым папкам, доступ которым по локальной сети (не терминально) имеют все пользователи.
При этом пользователи вместо того, чтобы скопировать файл к себе на компьютер и там его уже открывать, любят открывать его двойным щелчком по файлу в общей папке. Естественно файл открывается в приложении, установленном на локальном компьютере, но при этом "физически" хранится он на сервере.
Я, откровенно говоря, не очень понимаю, как конкретно реализован в Windows механизм открытия файлов, расположенных на других компьютерах,
но сильно сомневаюсь, что перед запуском файл целиком передаётся на компьютер, с которого его запускают.
А значит при таком доступе к файлу есть три вида нагрузки:
а) нагрузка на сервер, где лежит файл;
б) нагрузка на ПК, на котором этот файл открывают;
в) нагрузка на локальную сеть во время непрерывной или периодичной передачи частей файла с сервера.

Вот чтобы исключить пункты а) и в) я и хотел запретить открывать с сервера большие файлы .DWG. Тем самым я бы принудительно заставил пользователей перед открытием файла сохранять его на локальный компьютер. Это кстати и от конфликтов одновременного обращения к файлу спасает.
Неизвестный
03.12.2010, 10:34
общий
Работа с файлами по сети в Windows организована через протокол SMB, для открытия в приложении файл все равно должен быть скопирован во временную папку на локальном компьютере. Обычно для сервера и двойной клик на файле, и перетаскивание его в локальную папку является запросом на передачу (read request - read response). Запись файла обратно в сетевую папку происходит при его сохранении. Возможно, работа AutoCAD'a с сетевыми файлами немного отличается, но общий принцип будет такой же. Поэтому, обычными правами доступа нельзя запретить двойной клик на файле, разрешив его копирование - для сервера это одно и то же - для таких разграничений используются системы типа AD RMS.
Мне кажется, что запретом открытия, больших изменений в нагрузке сети Вы не получите. Возможно, кто-то меня поправит.
Вот неплохая статья по протоколу SMB - http://itband.ru/2010/06/in-smb-protocol/
Неизвестный
03.12.2010, 14:26
общий
Цитата: 148206
для таких разграничений используются системы типа AD RMS

Спасибо за "наводку". Откровенно говоря, раньше никогда не использовал эту технлогию. Возможно, зря. Попробую.
давно
Сучкова Татьяна Михайловна
Мастер-Эксперт
680
2811
10.12.2010, 19:50
общий
Ну и каков же результат пробы?
Неизвестный
11.12.2010, 21:15
общий
Адресаты:
К сожалению, идея так и не дошла до реализации - занесено в план на будущий год.
Я изначально рассчитывал на "быстрое" решение с использование групповых политик - похоже, что это невозможно.
Развертывание, настройка и проверка AD RMS займет явно больше пары часов, так что пришлось отложить.
Неизвестный
11.12.2010, 22:20
общий
Есть простое решение:
1. Создаете пользователя XXX без прав доступа к серверу, где хранятся DWG.
2. На рабочих станциях переассоциируете DWG с новой командой shell open, НО не просто acad.exe, а "runas /user:XXX acad.exe %1"
3. Для большей надежности меняем ярлыки в Пуск и на рабочем столе на ярлыки запуска от имени указанного пользователя XXX.

Остается лишь одна ситуация, когда пользователь в командной строке сам напишет: acad.exe и затем откроет файл по сети, либо запустит acad.exe через проводник из "Program files...".
Неизвестный
11.12.2010, 23:50
общий
Спасибо за Ваше предложение.

Откровенно говоря, такой вариант мне даже в голову не приходил.
Попробую проверить его на практике в ближайшее же время.
Единственное - насколько я понимаю, в параметрах команды runas надо указать ещё и пароль в открытом виде. Что, откровенно говоря, не очень хорошо.
К тому же, многие сотрудники хранят черновики рабочих проектов в папках своей учетной записи на локальных компьютерах (профили используются не перемещаемые). При этом на одном компьютере у двух разных пользователей нет доступа к документам друг друга.
Используя Ваш метод необходимо новой учетной записи ХХХ дать доступ ко всем папкам на компьютерах, что позволит пользователям лазить в папки друг друга.

Однако идея очень оригинальная. Попробую её применить и может быть дополнить.
Неизвестный
12.12.2010, 00:04
общий
Цитата: 149648
в параметрах команды runas надо указать ещё и пароль в открытом виде. Что, откровенно говоря, не очень хорошо.

Если в пределах одного ПК работает N человек, то можно создать N пользователей XXXN для каждого из них (дав N-ому доступ к своей папке профиля).
Неизвестный
12.12.2010, 10:29
общий
Цитата: 351298
Если в пределах одного ПК работает N человек, то можно создать N пользователей XXXN для каждого из них (дав N-ому доступ к своей папке профиля).

Ну вот примерно это я и имел в виду, когда писал
Цитата: 149648
Попробую её применить и может быть дополнить.


К счастью, Group Policy Preferences позволяют создавать политики для манипуляции с реестром и ярлыками, в противном случае - было бы безрадостно на нескольких десятках компьютеров настраивать всё это вручную.
Форма ответа