Как организовать доступ к файлам на хранилище вне домена?
Приветствую все пользователей Тостера. Суть вопроса:
Есть небольшая сеть, сейчас там нет домена, все шарами и настройками через одно место.
Хочу в свободное время сделать все как надо (это главный мотиватор, давно не админил и хочется наверстать и разобраться как это делать правильно).
Поднял сервер с Hyper-V. На нем подняты 2 виртуалки: DC и DFS. (Win Server 2012 R2 везде) - поднял для простоты админства не сильно шарящим админом (возможно) в последствии, я там работать на постоянке не буду.
Хранилища как такого нет, планируется использовать ресурсы хоста. Тем более нагрузка не сильно большая, банальная файло-помойка + 1с с сетевым доступом на 2-3 компа.
Как правильно организовать доступ к этой сетевой помойке пользователям домена?
1. Ввести хост в домен и дальше все понятно. Не сильно нравится данный вариант.
2. Оставить хост вне домена и как то играться с разрешениями. Пока не понимаю как, как тут привязать групповые политики тоже вопрос.
3. Выдать виртуалке DFS виртуальный жесткий диск из емкости хоста и дальше все понятно. Но смущает реализация такого решения. Большая нагрузка на вируталку, она сама вырастет до космических размеров, как мне ее потом переносить и разворачивать, если будет нужна. В общем подводные камни какие-то присутствуют.
П.С.
Конечно хотелось бы иметь отдельный СХД, высокодоступный кластер и прочие радости жизни, но ресурсов на это нет.
В будущем будет еще один легкий-слабый сервер опять с гипервизором: DC2 и может быть с DFS2 для репликации (под вопросом пока, зависит от желаний и возможностей железа на этом сервере).
Всем заранее спасибо за ответы и критику, а я пока пошел в гугл :)
Вы уж либо домен разверните, либо его совсем уберите, что это за полудоменная конфигурация?
Вообще, если без домена и по простому - заводите на сервере 1 пользователя с правами доступа к нужным шарам, затем на раб.станциях пользователей прописываете этого пользователя в "Администрировании учетных записей Windows", оно же "диспетчер учетных данных". Если нужно разным пользователям разные права, то нужно заводить нескольких пользователей с соответствующими правами.
Для использования всех прелестей DFS п. 1, но вы от него отказываетесь. Сквозной аутентификации не будет без п. 1, можно поискать утилиты (пару штук видел) которые шифруют исолняемый файл, и через утилиту ifmember монтировать всем расшареные ресурсы по определенному логину и паролю который будете хранить в зашифрованном виде. Скрипт в NetLogon и пользователям в учетку.
А вообще без п. 1 это из пушки по воробьям стрелять.
Про организацию без домена и по простому я вроде в курсе. От такой ереси я эту компанию и увожу.
Я просто думал, что бывают еще какие-то классические решения в таком вопросе, не вводя хост в домен и при этом пользуясь АД и ДФС на полную.
Ну что, сделаю наверное так как в п.1, посмотрим какие косяки вылезут при такой архитектуре сети.
Спасибо всем.
