Все журналы > Журнал Системный Администратор

Журнал Системный Администратор

Декабрь 2007

Цена: $4.5 US

Asterisk: организуем автоматическое распределение поступающих вызовов Дао DTrace Создаём собственный хостинг, или Сам себе ISP. Часть вторая Citadel – Open Source-решение для коллективной работы GNU Autotools: ошибки свои и чужие Frugalware 0.7 – Linux для бережливых? Программное управление MS Exchange MS Exchange 2003 + SpamAssassin Синхронизация ACL и структуры организации. Часть 1 Используем скрипты WSH в «1С:Предприятие» Новое в синтаксисе Perl 5.10 Работаем с OpenDocument из Perl Основные процедуры для работы с деревьями Пространства имен в PHP «Платформа 2008». Новое лицо Microsoft Игра в IT, или Зарисовки к портрету Дмитрия Гудзенко Окно в электронный мир: история развития графического пользовательского интерфейса. Часть вторая

Подписаться

Зарегистриванные пользователи, пожалуйста следуйте этой ссылке

Синхронизация ACL и структуры организации. Часть 1

Вадим Андросов

В статье описывается создание надстройки для операционной системы Windows Server 2003, позволяющей эффективно совместно использовать два ее основных механизма разграничения доступа: на основе структуры организации и списков контроля доступа (ACL). В итоге основная работа по управлению доступом к защищаемым ресурсам сводится к поддержанию адекватной структурной модели организации.

Постановка задачи

Операционная система Windows Server 2003 позволяет создавать модели структуры организации, однако содержит довольно ограниченные средства использования подобных моделей для защиты корпоративных информационных систем. Главная причина этому – сложность и уникальность правил защиты на различных предприятиях. Все разнообразие подходов операционная система поддерживать не может. Однако она содержит мощные средства расширения своей функциональности. Их использование было рассмотрено в октябрьском номере журнала [1].

Windows Server 2003 предоставляет стандартную для операционных систем своего класса возможность разграничения прав доступа на основе списков доступа. Обычно учетные записи пользователей для повышения удобства и гибкости администрирования объединяются в группы, и права на доступ к различным объектам предоставляются именно группам. Это нужный и часто используемый механизм, однако он лежит в плоскости, ортогональной организационной структуре предприятия. Объединение пользователей в группы никак не связано с их принадлежностью определенной организационной единице.

Так что в результате мы получаем два мощных механизма, которые, однако, нелегко использовать согласованно, особенно для обеспечения безопасности в организациях со сложной структурой. Цель статьи – обеспечить возможность совместного использования структуры предприятия и списков контроля доступа. Защита основных элементов информационной системы должна осуществляться преимущественно на основе организационной структуры предприятия. Изначально строится модель структуры, и распределяются права (случаи, когда доступ к объектам имеют все сотрудники определенного отдела, очень распространены). Затем главной задачей администратора должна стать поддержка адекватной модели структуры организации. Другими словами при переходе пользователя из одного отдела в другой системный администратор не должен вручную переназначать ему все необходимые права – достаточно переместить объект пользователя в нужную организационную единицу. Еще одно требование к разрабатываемым механизмам: они не должны препятствовать использованию стандартных процедур назначения прав при реализации прав доступа, не соответствующих структуре предприятия.

Оставшая часть статьи доступна только подписчикам. Если вы желаете продолжить чтение этой статьи, то вам необходимо подписаться на эту статью или весь номер.

Подписаться на весь номер

Зарегистриванные пользователи, пожалуйста следуйте по этой ссылке