информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsГде водятся OGRыSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Google окончательно прикрывает... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Там все нормально организовано. Админы толковые и... 27.11.13 01:05  Число просмотров: 3079
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.11.13 01:06  Количество правок: 1
<"чистая" ссылка>
> При правильной организации эта задача решается очень просто
> - надо всего лишь посмотреть, в какие группы входит
> пользователь. Вот и всё.

Там все нормально организовано. Админы толковые и адекватные. Но...

> А если по имени группы нельзя однозначно сказать, к какому
> ресурсу она применена, или одна и та же группа может быть
> применена сразу к нескольким ресурсам, или права даются не
> через группу, а напрямую пользователю - то значит, у вас
> бардак.

... но возможны ситуации, когда куда-то может даже временно, несанкционированно или по ошибке кто-то кому-то что-то дал. Собственно есть желание проверить размеры бедствия и по возможности исправить. Надеюсь, что косяков не будет больше процента или одной десятой его доли.

> Для файловых помоек есть несколько простых правил:
> - только стандартные права (чтение/запись, ну и иногда
> листинг). Никаких игр с наследованиями, специальными
> правами, и пр.
> - одна папка -> одна группа (точнее 2 группы - одна на
> чтение, друга на запись);
> - не применять группы на папки глубже 2-3 уровня
> вложенности. При необходимости - перенести папку на первый
> уровень.

К сожалению никуда не деться от хранилища на группу. Пусть шара в корне и называется "Отдел №1" в папке которой создан файлобменник (файлпомойка) "Проект №1" и папка "Юзерс" в которой есть папки "Иванов", "Петров", "Сидоров". В "Проект №1" дается доступ всем сотрудникам отдела полный доступ и доступ на просмотр группе "Контрлеры". В персональные каталоги, например, дается полный доступ каждому сотруднику в свою папку, а на только на просмотр всем остальным сотрудникам отдела. Вполне возможно существование "Проект №2" в папке "Отдел №1", полный доступ в котороую должен быть у нескольких сотудников отдела и нескольких сотрудников-подрядчиков других отделов, а больше никому даже на чтение.
Это пример. Это не бардак, это жизнь, это бизнес, это система безопасности.
Создать по шаре на хоум каталог каждого юзера и каждый проект - ужос. И пользователям удобнее ходить по дереву своего файлового ресурса.

> В сетях с "десятков тысяч серверов с многими тысячами папок
> на сервере и сотен тысяч пользователей" эти несложные
> правила соблюдаются. Там вообще ID-менеджмент отделен от
> сисадминства (т.е. у сисадминов нет доступа напрямую в AD,
> и они не могут произвольно создать группу), а операции по
> созданию групп и включению/удалению в них пользователей
> выполняют специально обученные люди, либо автоматически
> через систему реквестов/аппрувов.

Конечно все соблюдается, но есть не маленькая вероятность, что по каким-либо фантастическим причинам (например срочное указание "сверху") нужно дать что-то кому-то и вроде как временно, только через месяц все забывается или один дежурный дал и второму не сказал. Всякое может быть и я думаю оно есть. Хочется, построив список, сверится потом с реестром "кому и куда даны какие-то права".

Что-то мне подсказывает, что задача просто не решится. Просто бывают двухсторонние связи (например в БД), где и атрибутах папки (ACL) прописаны те, кто имеет доступ в нее, и в атрибутах пользователя прописано то, куда он имеет доступ. Не ужели когда на каком-то серваке дается доступ како-то группе, доменконтроллер и не знает об этом!
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach