Дано: локальная сеть с виндовскими машинами и файл-сервером на убунту.
Винды — в рабочей группе (даже в нескольких хаотично названных рабочих группах — так исторически сложилось).
Доступ к файл-серверу — через самбу.

Нужно: привести этот доступ в порядок.
А именно
— чтобы были папки — файлопомойки,
— чтобы были персональные папки,
— чтобы были папки, доступные группам пользователей
— чтобы администратор имел права ко всем папкам
+ опционально, раздать квоты на дисковое пространство (пользователям или папкам)
И чтобы всё это дело можно было конфигурировать без красных глаз, желательно, юной незамутнённой секретаршей-сисадминшей.

Какую-то навороченную иерархию ролей не нужно, достаточно трёхэтажного, по мотивам юникса: группа — пользователь — все.

Поднимать домен не хочу, но если придётся, то чёрт с ним, пусть будет домен. Тогда что делать с "гостевыми" ноутбуками, входящими в сеть эпизодически?
Сносить убунту и ставить виндоуз сервер — очень не хочу, в первую очередь, из лицензионных соображений, а во вторую — из-за объёма работы.

P.S.
Приветствуются кейворды для поиска в гугле; баззворды не приветствуются, хотя тоже пусть будут — мне для общего представления о предмете.

Здравствуйте, Кодт, Вы писали:

К>И чтобы всё это дело можно было конфигурировать без красных глаз, желательно, юной незамутнённой секретаршей-сисадминшей.

Если этот момент принципиален, смотрите в сторону коробочных решений. Zentyal, FreeNAS, NAS4Free и подобных.

Если нет, вариантов больше. Можно поднять домен (NT4) на самбе, завести туда все компы и пользователей. Если уже есть LDAP, пользователей можно аутентифицировать оттуда.

Гостевой доступ без проблем, завести учетку для него на самбе. А может, и анонимного FTP доступа будет достаточно.

Здравствуйте, wildwind, Вы писали:

К>>И чтобы всё это дело можно было конфигурировать без красных глаз, желательно, юной незамутнённой секретаршей-сисадминшей.

W>Если этот момент принципиален, смотрите в сторону коробочных решений. Zentyal, FreeNAS, NAS4Free и подобных.

Я так понял, эти коробочные решения включают переустановку ОС на сервере. А вот этого хотелось бы избежать (просто из соображения: минимизировать возню).
Может, есть какие-то человечные конфигураторы самбы через веб.
На сервере стоит вебмин, но я не думаю, что незамутнённую секретаршу можно туда пускать.

W>Если нет, вариантов больше. Можно поднять домен (NT4) на самбе, завести туда все компы и пользователей. Если уже есть LDAP, пользователей можно аутентифицировать оттуда.
W>Гостевой доступ без проблем, завести учетку для него на самбе.

Какой-нибудь хелп человечный по подъёму домена посоветуешь? Чтобы понять, что для этого нужно делать на сервере, на клиентских компьютерах и в головах пользователей. И чтобы потом можно было администрировать руками секретарши.

W>А может, и анонимного FTP доступа будет достаточно.

Никаких фтп, — нужны сетевые диски.

Здравствуйте, Кодт, Вы писали:

К>Поднимать домен не хочу, но если придётся, то чёрт с ним, пусть будет домен. Тогда что делать с "гостевыми" ноутбуками, входящими в сеть эпизодически?

Как раз всё перечисленное и решает контроллер домена на стандартном сервере, одна штука. Включая незамутнённость секретарши — будет мышью щёлкать.

Здравствуйте, Кодт, Вы писали:

К>Я так понял, эти коробочные решения включают переустановку ОС на сервере.
Не все.

К>Может, есть какие-то человечные конфигураторы самбы через веб.
Есть конечно. Zentyal один из них. Он может ставиться как на железо, так и на ось. И он Ubuntu-based, так что можно попробовать. Есть образы для виртуалок, можно поиграться и оценить пригодность.

К>Какой-нибудь хелп человечный по подъёму домена посоветуешь?
Сам еще не поднимал. Но вот официальный убунтовский, там есть ссылки на другие.

К>Чтобы понять, что для этого нужно делать на сервере, на клиентских компьютерах и в головах пользователей. И чтобы потом можно было администрировать руками секретарши.

Насколько я знаю, на XP клиентах ничего особеного, только завести в домен. На Vista+ может потребуется настроить параметры общения с КД в локальных политиках, там подняли дефолтные настройки безопасности, которые Самба может не держать. В головах пользователей — , опыта нет пока.

Кстати, передо мной скоро встанет подобная задача, правда упор будет не на домен и самбу, а на другие сервисы. Я хоть и люблю все перебирать руками, но из-за нехватки времени наверное склонюсь к Zentyal.

Здравствуйте, akasoft, Вы писали:

A>Как раз всё перечисленное и решает контроллер домена на стандартном сервере, одна штука. Включая незамутнённость секретарши — будет мышью щёлкать.

Почти да, по фен-шую их должно быть хотя бы два.

Поправки и дополнения.

1) Незамутнённую секретаршу можно исключить. Так что красноглазые решения, на уровне webmin или smb.conf, допускаются.
2) Не требуется универсальности. Можно приколотить имена и группы пользователей гвоздями.
3) Домен крайне нежелателен. Есть сотрудники с ноутбуками, на которых стоит "домашняя" винда. И эти сотрудники должны иметь квалифицированный, а не гостевой доступ.

В общем, задача такая. Надо развернуть следующую систему
— common — файлопомойка, доступ анонимный
— personal — доступ только конкретных сотрудников
— — vasya
— — petya
— groups — рабочие группы
— — menedgery
— — proraby
— — buhgaltery
и права на всё это для босса и админа, разумеется

Какие есть короткие или идейно выверенные пути?
Например (я предполагаю)
— создать группы firma-menegery, firma-proraby, firma-buhgaltery, firma-boss
— создать пользователей firma-vasya, firma-petya без домашних каталогов (или всё же с каталогами?)
— создать желаемую структуру каталогов на диске и chown/chgrp им всем, соответственно
при входе с виндовского компьютера на конкретный каталог будет запрошен логин-пароль, и пусть человек вводит то, что должен (а не то, как он залогинился у себя).

Здравствуйте, Кодт, Вы писали:

К>3) Домен крайне нежелателен. Есть сотрудники с ноутбуками, на которых стоит "домашняя" винда. И эти сотрудники должны иметь квалифицированный, а не гостевой доступ.

Извини, что я уточню. Наличие домена не мешает домашним ноутбукам. Наоборот. Им выдаётся учётка (каждому своя) и они пользуются сетевыми ресурсами на ура, не входя при этом в домен. При этом их обслуживает инфраструктура (dhcp, router, etc.) и контролируется, что именно они (каждый) делают с сетевыми ресурсами.

К>Например (я предполагаю)
К>— создать группы firma-menegery, firma-proraby, firma-buhgaltery, firma-boss
К>— создать пользователей firma-vasya, firma-petya без домашних каталогов (или всё же с каталогами?)
К>— создать желаемую структуру каталогов на диске и chown/chgrp им всем, соответственно

Верным путём идёшь. Права на папки раздавать для групп, пользователей включать в группы.

К> при входе с виндовского компьютера на конкретный каталог будет запрошен логин-пароль, и пусть человек вводит то, что должен (а не то, как он залогинился у себя).

Диски можно подключить один раз и забыть про ввод пароля. На связке клиентский Windows — серверный Linux или NAS тоже можно.

Здравствуйте, akasoft, Вы писали:

A>Извини, что я уточню. Наличие домена не мешает домашним ноутбукам. Наоборот. Им выдаётся учётка (каждому своя) и они пользуются сетевыми ресурсами на ура, не входя при этом в домен. При этом их обслуживает инфраструктура (dhcp, router, etc.) и контролируется, что именно они (каждый) делают с сетевыми ресурсами.

DHCP уже делается роутером, так что эти функции на сервер возлагать не придётся.
Фактически, сервер превратился в NAS (изначально хотели на нём астериск поднять, одинеску и прочую фигню... потом передумали, но было поздно).
Поэтому хочу сконфигурировать его малой кровью. Нужен ли для этого домен, вот вопрос.

И ещё, как замапить локальную учётку (домашнего ноутбука) на доменную? Просто при входе на сетевой ресурс будет спрошен логин-пароль?

К>> при входе с виндовского компьютера на конкретный каталог будет запрошен логин-пароль, и пусть человек вводит то, что должен (а не то, как он залогинился у себя).
A>Диски можно подключить один раз и забыть про ввод пароля. На связке клиентский Windows — серверный Linux или NAS тоже можно.
Ну это очевидно.

Здравствуйте, Кодт, Вы писали:

К>Нужен ли для этого домен, вот вопрос.

Надо оценивать.
Кол-во рабочих мест, пользователей, ротация пользователей, нужна ли изоляция групп пользователей, нужен ли контроль и аудит за их действиями. Каков сценарий резервного копирования и возобновления работы в случае аварий.
Элементарная вещь типа опять МарьИванна мышой повела и папку с документами переместила фигликуда. Найти, вернуть, научить.
Или возможность удалённого управления, настройки и обслуживания пользовательских мест в нужное время без фраз типа "какой твой пароль" и головняка с заведением кучи имён для сквозной авторизации.
Всему цена время.

К>И ещё, как замапить локальную учётку (домашнего ноутбука) на доменную?

Можно попробовать сквозную авторизацию, когда локальной паре имя-пароль соответствует такая же доменная пара. Но проверить сейчас не на чем, не факт, что пропустит с политиками по умолчанию.

К> Просто при входе на сетевой ресурс будет спрошен логин-пароль?

Да, так точно работает. Притом учётные данные можно запомнить.
Ну и всегда есть средство автоматизации net use и планировщик заданий.