Smol LUG

<div class='quotetop'>Цитата</div><div class='quotemain'>в лине точно также! в правах юзера добавляешь ему конкретную группу, к которой он должен относитца.[/quote]Не точно. Модель прав в линуксе плоская (есть рут и все остальные), а в винде - иерархичная. Отсутствие системного пользователя в линуксе требует постоянного повышения прав до рута для выполнения совершенно банальных действий типа смены пароля. И вылезают всякие костыли типа sudo. И приходится плодить пользователей и группы.</div>

Юзер в юниксах может принадлежать только одной группе. И права на каталог имеют всего три уровня -- юзер, группа и все остальные. В виндах же юзер может входить в несколько групп, это раз, а во-вторых, на каталог можно дать права произвольному числу групп и даже произвольному числу конкретных пользователей, причём каждой группе и каждому пользователю набор прав можно дать свой. Это аццки упрощает раздачу прав.

Например, у меня есть каталог www на серваке, который замаплен по SMB. Туда должен уметь записывать файлы юзер (my_user, допустим), заходящий по SMB и юзер, под которым работает Apache (юзер www). И больше никто.
Но юзер my_user принадлежит группе smbusers, и когда он создаёт каталоги и файлы на SMB, то все эти каталоги имеют владельца my_user:smbusers. Права верхнего каталога при этом не наследуются, т.е. даже если я выставлю на каталог /usr/local/www нужные мне права, это ничего не даст.

Приходится в конфиге самбы использовать грубый хак -- а именно выставлять force user = www, чтобы при обращении к этому каталогу по SMB заходящий юзер прикидывался не как my_user, а как www. А если бы в Самбе не было такой возможности, то пришлось бы курить бамбук -- желаемое вообще невозможно реализовать.

В виндах бы это решилось очень просто -- дать права на запись в этот каталог пользователю www и группе smbusers, и сказать, что надо наследовать иерархию прав от верхнего каталога. И любой создаваемый каталог будет иметь права доступа на запись и для www и для группы smbusers.</div>

ну вот, в лине, добавляешь пользователю www - группу my_user.
и любому новому юзеру добавляешь эту группу. И должно все быть нормально.
для каталога www ставишь права - rw-rw-r--

2Поребрик +1... Вообще я citkit.ru встречал аналогичную тему для обсуждения - в результате решения различных задачек с правами пользователя в винде и в nix никто не победил - были предъявлены алгоритмы разрешения данных вопросв как для win так и для nix. Едисвенным отличием было, что в сложных и закрученных задачах win модель прав доступа к каталогам и файлам смотрелась более компактно. Но парочкой хитрых выкрутасов данный эффект достигался и в nix. Вобщем то все зависит от уровня знание той или иной системы. У nix оказался оч. важный + - в 90% случаев (хостинг, файловый сервер а-ля файлопомойка внутрисетевой ftp, и т.д.) не требуется закрученных решений, и для этого с лихвой хватает топорной и не заумной системой рапределения прав а-ля nix и все рабоатет на ура и просто как 100 рублей.

как у тебя только пальцы не отвалились такую ересь писать На досуге посмотри /etc/group откроешь для себя много нового.

достаточно твоего my_user добавить в группу www
смотри внимательно

Код:

my_user@my_host$sudo groupadd www
chown www:www /usr/local/www
chmod 2775 /usr/local/www
touch /usr/local/www/my_file
ls -l /usr/local/www
-rw-rw-r-- 1 my_user www 0 2008-06-25 00:03 my_file

есть еще полезная команда umask</div></div>

Алексей, по ходу дела тебе надо покурить маны хорошенько. Виндовая система прав доступа на файло нервно курит, при попытке сравнения с *nix системой прав доступа на файло.</div>

Это почему же она курит? Не вижу в ней каких либо минусов по сравнению с юниксовой.
Вот кстати еще один момент...
[attachment=2326:11.GIF]</div>

ага, и будешь ты тут разбиратца выставлять разрешения, можно запутатца очень сильно!

проще rw-rw-r--

В виндах тоже можно просто выставлять. Я просто не понимаю где тут винда курит, и что она курит?</div>

хто-то из вас курит.. ибо нефик сравнивать.. нравица политики виндовые (особенно доменные - так юзайте, желаю удачи в нелёгком труде по их установке и дальнейшему корректированию), *nix тож имеет как полижительные, так и отрицат моменты.. тут всё проще немного т.к на серверной оси нужны права либо максимальные, рутовые, либо минимальные пользовательские, как бы среднего не дано. точнее дано, но усложнеется немного задача.. .

Кстати если приплести к нашему разговору еще и доменные групповые политики, то как мне кажется винда тут обладает огромнейшими преимуществами.</div>

vovaivanov, ну как сказать, вот если у тебя еесть домен из 50 машин, и ты хочешь применить доменную политику на них, применяешь, а потом выясняется , что 2 машины эту политику неполучили.. ступор, размышления, а если это политика была ещё и на разрешение, то скажем юзверя тупо не пускает на логин (запрещено полит домена), а что б это всё вернуть надо на остальных 48 вернуть всё "взад" и пропытаца раздать политику ещё раз.. так что штука это удобная, но уж очень сложна при возникновении внештатных ситуаций.

Мне думается что это уже больше вопрос прямизны рук, нежели удобств групповых политик </div>

vovaivanov, да как бы не первый раз просто задачи порою приходилось решать нетривиальные..

Уважаемый! Perl в зубы + visudo + vigr + usermod + ... пр. и сделать можно на порядок больше возможностей чем вы тут в своем скрине перечислили. Так что давайте без комментариев про "кривизну рук". *Nix система прав по истине очень мощная, главное уметь её использовать. В виндовой слабо разбираюсь, но то что я тут увидел реализуется небольшими знаниями Perl и системными утилитами *nix.
ЗЫ Можите заявить что это костыль, но у меня аналогичные вещи работают самописно а у вас есть уже готовые (Windows) - то какая разница как данные возможности реализованы, если конечному пользователю пофиг?
ЗЗЫ Цитаты из букваря Perl для работы с файлами и каталогами приводить или сами в google?</div>

С этого и надо было начинать...</div>

Грабли в том, что мне НЕ надо, чтобы этот юзер входил в группу www. Мне надо дать ему права записи на конкретный каталог.</div>

Не вкурил, какое отношение права доступа на файло имеет отношение к групповым политикам У них, как бы, сильно разная область применения.</div>

То, что делают групповые политики в виндовом домене, не реализуется на текущий момент НИКАКИМИ самописными скриптами и утилитами Unix. Групповые политики служат для централизованного управления в том числе и РАБОЧИМИ СТАНЦИЯМИ. Обещают их полную поддержку только в 4-ой Самбе, да и то ещё вопрос, в каком объёме это будет сделано.

Ну, для примера -- на всех рабочих компах нужно оторвать возможность лазить в панель управления, оторвать возможность менять и даже смотреть сетевые настройки, выстроить совершенно чёткую структуру меню "Пуск", убрав оттуда ряд пунктов, задать прокси-сервер и ntp-сервер для всех юзеров домена, чтобы не прописывать это руками на всех компах. Готов выслушать твои предложения по поводу реализации всего этого с помощью перловых скриптов и утилит unix </div>

ну, дело хозяйское.
можно создать промежуточную группу, а можно почитать man acl</div>

Наверное в полном. Надо чаще следить за новостями -).
http://media.prnewswire.com/en/jsp/include...onentid=3930832
Feb 21, 2008 10:45 ET
С вышеуказанной даты все исходные коды и спецификации протокола сетевого взаимодейсвия MS открыты для всех (см. MSDN).

ЗЫ Немного запоздавше, но все же, предшествуя вышеупомянотому шагу, MS ещё в октябре 2007 года за деньги (порядка 10 тыс. евро) готовы были предоставить полную информацию о своих сетевых протоколах.
http://europa.eu/rapid/pressReleasesAction...;guiLanguage=en.</div>

Ога, осталось реализовать. Формат doc даже до его открытия стопицот раз расковыряли и описан был, а опенофис все равно не может его полностью нормально поддерживать.

Ъ
http://us6.samba.org/samba/history/samba-3.2.0.html - release note
http://us6.samba.org/samba/ - source news

ЗЫ Реализован контроллер виндовс домена - виндовс сервер не нужен... -)

А-ля "в Wine веализован WinAPI, Windows не нужен" ))

Для начала следует задуматься сколько требуется времени для реализации контроллера домена в Windows 2003 и в samba.
Затем следует задуматься какова должна быть квалификация админа в обоих случаях, которому необходимо поднять этот контроллер домен.

После этого, цитируемые слова выглядят как минимум смешно.</div>