none
Criar, deletar, modificar arquivos na maquina local logada a um domínio RRS feed

  • Pergunta

  • Olá a todos,

    Estou com uma dúvida aparentemente simples, mas não estou conseguindo resolver.

    Aqui tenho um Server 2003 + ISA 2004, funcionando com proxy. Criei um dominio e users no AD, então os usuarios logam com seu user e senha no dominio e trabalham localmente em suas maquinas (não estou usando compartilhamento de pastas no servidor).

    Por GPO's dentro de cada OU eu defini algumas restrições nas maquinas como não acessar Painel de controle, não poder alterar definicoes de Monitor, e outras coisas simples do tipo.

    Porém não quero que eles tenham restrições dentro de suas proprias maquinas para criar pastas, renomear ou apagar, quero que eles tenham autonomia de fazer esse tipo de alteração localmente em suas maquinas sem restrição, porem automaticamente isso vem bloqueado, quando vejo as propriedades de segurança de um HD local na maquina vejo:

    "MAQUINA_LOCAL/USERS" com permissão apenas de leitura

    A solução provisoria que encontrei foi logar como administrador em cada uma das maquinas e ir HD por HD dando permissões de para esses USERS, porém aqui trabalhamos muito com HD's externos, e cada vez que um HD novo é inserido na maquina o problema re-aparece e tem que se repetir o processo todo novamente, o que não é nada pratico.

    Alguem sabe como atribuir esse tipo de permissão, porem sem anular as GPO's que já estão configuradas na OU daquela maquina?


    Obrigado desde já.

    quinta-feira, 7 de julho de 2011 15:11

Respostas

  • Cara, nunca tentei fazer isso, mas vale a pena tentar. Pegue um HD e crie uma pasta Work e dê permissão de Modificar para "Todos/Everyone" assim, tudo que for criado dentro dessa pasta estará acessivel independentemente da máquina/usuário. Se funcionar, você vai ter que fazer em todos os HD´s.
    Abraços,
    Pietro.
    • Marcado como Resposta LFgarrido sexta-feira, 8 de julho de 2011 18:02
    quinta-feira, 7 de julho de 2011 20:50

Todas as Respostas

  • LF,

    Boa tarde.

    Você pode colocar o usuário de rede de cada usuário como administrador local da estação. Assim quando eles fizerem logon eles terão privilégios de administrador na própria máquina e não no domínio.


    Abraços,
    Pietro.
    quinta-feira, 7 de julho de 2011 15:25
  • Ola Pietro,

    Pensei nisso, mas se fizer isso, eles vão ter permissão de instalar novos programas certo? E eu não queria ninguem instaland programas e nem fazendo outras tarefas administrativas, apenas queria que eles pudessm criar, modificar e apagar pastas e arquivos, sem mexer com programas ou outras funções administrativas...

    quinta-feira, 7 de julho de 2011 15:31
  • LF,

    Mas criar pastas e arquivos, os usuários normais podem sem problemas, penas na raiz "c:" ou nas pastas de sistema eles não irão conseguir. Se eles não estão conseguindo fazer isso, é porque você aplicou alguma GPO que está limitando essas funções. Outra dica, é colocar os usuários como power users em vez de administrador local.


    Abraços,
    Pietro.
    quinta-feira, 7 de julho de 2011 15:41
  • O que aconece de fato é por exemplo: dentro da particao D (que não é de sistemas obviamente) já haviam pastas e arquivos la criados por outro usuario local da maquina, e esses arquivos que não me permite alterar, o mesmo ocorre quando coloco um HD externo na maquina, ele vem com arquivos e pastas criadas por outros usuarios, sejam locais do computador ou usuarios de outras maquinas, esse arquivos tambem não me permite alterar.

    Eram justamente esses arquivos criados por outros usuarios, ou criados em outras maquinas que eu queria poder alterar.

    quinta-feira, 7 de julho de 2011 16:34
  • LF,

    Cara, pelo andar da carruagem, acho que está mais que na hora de implantar um file server. Será a forma mais fácil de administrar essas permissões; da forma que está, você terá muito esforço administrativo e pouca segurança.


    Abraços,
    Pietro.
    quinta-feira, 7 de julho de 2011 17:23
  • Mas Pietro, pensa comigo, se eu implantar um File Server o problema como um todo não será resolvido:

    Aqui trabalhamos com ilhas de edição de video, onde vídeos em formatos pesados, grafismos, audios, etc ( Arquivos de 30, 40 gigas ou mais)... necessitam ser armazenados e trabalhados localmente. Usam-se muitos HD's externos para o transporte desse material, por que os editores necessitam trocar dados entre eles constantemente e necessitam organizar e renomear pastas criadas uns pelos outros. Posso criar o File Server, mas isso não vai solucionar o problema de quando um usuario A inserir um disco externo com arquivos e pastas criados em outra maquina por um usuario B e necessitar copiar, apagar ou renomear esse arquivos criados por terceiros...

    Quando vou em propriedades em um desses HD's externos, vou na aba segurança e vejo uma serie de grupos, inlcusive: Users (LOCAL\Users) e esse grupo não tem permissão Write, não seria o caso de conseguir via servidor liberar essa autorização para todos do Grupo de Usuarios terem essa permissão?

    Obrigado pela insistencia Pietro...

    quinta-feira, 7 de julho de 2011 17:36
  • O Problema do File server vai ser puxar os arquivos para a estação (se a rede for gigabit vai ser tranquilo).

    Vejamos:

    Se você criar um grupo chamado Editores e colocar todos os usuários que farão edição nesse grupo, depois você cria uma pasta chamada Work e dá permissão ao grupo Editores para Modificar os arquivos e pastas. Assim, todos os arquivos copiados para dentro dessa pasta ou sub-pasta serão de acesso comum ao grupo podendo ser renomeado, excluído...

    Se for o caso, pode criar uma pasta para cada Editor.


    Abraços,
    Pietro.
    quinta-feira, 7 de julho de 2011 18:53
  • A idéia é realmente a ideal, se os arquivos fossem pequenos, como planilhas, documentos de texto, etc...

    Agora imagina, temos Dezenas de HD's aqui, em sua maioria de 1 tera, o fluxo de dados trocados aqui entre os editores eh extremamente alto, e em uma frequencia enorme, teria que ter nessa pasta por baixo 20 Teras em arquivos (pq teria que incluir a todos comumente o acesso a material de arquivo).
    Eu não tenho nem de longe esse espaço de armazenamento no servidor, que alem do mais é um só para fazer o gerenciamento da rede, proxy e todas as outras funções...

    Alem de achar q a rede iria congestionar com tamanho fluxo...

     

    quinta-feira, 7 de julho de 2011 19:27
  • Cara, nunca tentei fazer isso, mas vale a pena tentar. Pegue um HD e crie uma pasta Work e dê permissão de Modificar para "Todos/Everyone" assim, tudo que for criado dentro dessa pasta estará acessivel independentemente da máquina/usuário. Se funcionar, você vai ter que fazer em todos os HD´s.
    Abraços,
    Pietro.
    • Marcado como Resposta LFgarrido sexta-feira, 8 de julho de 2011 18:02
    quinta-feira, 7 de julho de 2011 20:50
  • Dá uma olhada nesse script para ver se lhe ajuda.

    http://support.microsoft.com/kb/825751/pt-br

     

     

    abs,

     

    sexta-feira, 8 de julho de 2011 01:06
    Moderador
  • Fala Pietro,

    Cara, fiz mais ou menos isso e deu certo.

    O que fiz foi logar como administrador do dominio em um comp, peguei um dos HD's externos fui na aba de segurança e fiz um ADD "Domains Users" e pra esse grupo de permissão de escrita e leitura, logo quando tirei esse mesmo HD e levei pra outra maquina logada como um usuario comum, ele reconheceu as permissões dadas a todos os usuarios do dominio e assim ja podiam apagar ou renomear arquivos criados por outros.

    O bom disso é que assim posso dar permissões para alguns discos e para outros não (por exemplo discos de arquivo, onde os usuarios sao supostos apenas de assistir ou consultar e não podem alterar) e alguns discos eles podem alterar a vontade, alem de assim não mexer em nada com as restricoes dos usuarios distribuidas pela GPO

    O ruim é que tem que ser feito 1 vez no minimo em cada um dos discos, não é o ideal, mas por enquanto funcionou bem...

    Abraço...

    sexta-feira, 8 de julho de 2011 18:08