Автор Тема: А как вообще правильно вести учет доступа к ресурсам?  (Прочитано 8478 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Пока их мало, ну не парит, как только всё начинает расти, взрывается мозг.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн autumn

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 502
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
К каким хоть ресурсам-то ?  :D
Это щто ?

Оффлайн Dr.Night

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 22
  • Пол: Мужской
    • mikhail.penkov
    • Просмотр профиля
  • Откуда: ( ω )
Triangle,
1) Все доступы только через группы.
2) Все наименования групп по шаблонам.
Например, к каждой ключевой папке обязательно 3 группы - Read, Write и List ( для traverse)
3) Из имени группы должно быть понятно, куда эта группа предоставляет доступ. Если так совсем не получается, в description группы это обязательно пропиши. Но это должны быть единичные случаи.
4) Всё только  по заявкам.
5) В идеале у группы прописывать овнера из бизнеса, т.е. того, кто аппрувит доступ к этому ресурсу.
There are ten kinds of people in the world - those who understand binary and those who don't

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
autumn,
различным програмным и аппаратным.

Dr.Night,
1-3 Да, это уже ранее обсудили, в процессе формирования.
4 Да, но вот должно как то это учитываться, а сейчас вроде как по заявке или указанию, но это письмо в почте, а через год начинаешь его откапывать. Бумажный учет не предлагать, не будут.
5 Не удалось добиться. Никак.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн october4

  • Ветеран
  • *****
  • Сообщений: 1001
  • Рейтинг: 6
  • Пол: Мужской
  • Амурская мужская шовинистическая свинья
    • Jabber
    • Skype
    • Просмотр профиля
найт правильно расписал
можно добавить вести "карточку" пользователя: фио, должность, права, дата/номер заявки
чтобы не копаться в мыле ища протухшие письма можно завести отдельное мыло для заявок
Как жаль, что мне не суждено cтать частью этого большого мира.
Я — человек. На мне стоит клеймо: будильник, офис, пиво и квартира.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Софт для этого есть какой? В "офисе" веду, но как то не айс.


Updated: 26 May 2014, 13:42:14

"карточку" пользователя:
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн october4

  • Ветеран
  • *****
  • Сообщений: 1001
  • Рейтинг: 6
  • Пол: Мужской
  • Амурская мужская шовинистическая свинья
    • Jabber
    • Skype
    • Просмотр профиля
2) Все наименования групп по шаблонам.
Например, к каждой ключевой папке обязательно 3 группы - Read, Write и List ( для traverse)
мы не так делали
группа = роль
раздали права на ресурсы/папки в соответствии с ролями
а потом просто пользователей включали в группы по заявке


Updated: 26 May 2014, 13:46:44

Софт для этого есть какой? В "офисе" веду, но как то не айс.


Updated: 26 May 2014, 13:42:14

"карточку" пользователя:

в экселе вели
по колонкам ресурсы
по строкам - фамилии, рядом с фамилией название роли, дата открытия-закрытия доступа
в ячейках - тип доступа (RO, W, ...)
Как жаль, что мне не суждено cтать частью этого большого мира.
Я — человек. На мне стоит клеймо: будильник, офис, пиво и квартира.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
в экселе вели
по колонкам ресурсы
по строкам - фамилии, рядом с фамилией название роли, дата открытия-закрытия доступа
в ячейках - тип доступа (RO, W, ...)
Ну да, практически то же самое. Хотелось как то чтоб прям вот из AD, сижу копаю. Пока что вижу только построители отчетов. И очень тяжелого корпоративного уровня.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
мы не так делалигруппа = рольраздали права на ресурсы/папки в соответствии с ролямиа потом просто пользователей включали в группы по заявке
Для доступа к ресурсу лучше создать группу. Один ресурс - одна группа. А уже в эту группу включать группы сотрудников, сформированнную по вашим внутренним признакам - отделы там, роли и т.п.

Оффлайн october4

  • Ветеран
  • *****
  • Сообщений: 1001
  • Рейтинг: 6
  • Пол: Мужской
  • Амурская мужская шовинистическая свинья
    • Jabber
    • Skype
    • Просмотр профиля
Один ресурс - одна группа.
авотйенг
отдел по борьбе с налогоплательщиками должен только видеть камералки, а камералистам ваще не уперся, тащемто, госреестр
госреестру нужен только госреестр и база недействительных паспортов
недоёмщики должны видеть не только видеть камералку и суды юротдела, но и править их, а так же только видеть госреестр

так что роли


Updated: 26 May 2014, 14:33:54

Хотелось как то чтоб прям вот из AD, сижу копаю
обратитесь к вашему обменестратору безопасносте  :trollface:
100 рыл перелопачиваются одним рылом примерно за 3-5 дней  :blush2:
Как жаль, что мне не суждено cтать частью этого большого мира.
Я — человек. На мне стоит клеймо: будильник, офис, пиво и квартира.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
отдел по борьбе с налогоплательщиками должен видеть камералки, а камералистам ваще не уперся, тащемто, госреестрнедоёмщики должны видеть не только видеть камералку и суды юротдела, но и править их
И как это противоречит тому, что я написал?  ???

Оффлайн october4

  • Ветеран
  • *****
  • Сообщений: 1001
  • Рейтинг: 6
  • Пол: Мужской
  • Амурская мужская шовинистическая свинья
    • Jabber
    • Skype
    • Просмотр профиля
И как это противоречит тому, что я написал?
ты написал один ресурс - одна группа
а я тебе показал что один ресурс - две-три группы и каждая со своими хотелками

_________

ты вот ручками цитаты делаешь однострочными штоле?
Как жаль, что мне не суждено cтать частью этого большого мира.
Я — человек. На мне стоит клеймо: будильник, офис, пиво и квартира.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
З.Ы. Ну скажем для ресурса не одна группа, а например три:

Например, к каждой ключевой папке обязательно 3 группы - Read, Write и List ( для traverse)



Updated: 26 May 2014, 14:39:42

а я тебе показал что один ресурс - две-три группы и каждая со своими хотелками
Вот группы с своими хотелками включать в стандарные группы доступа к ресурсу (про которые сказано выше), что непонятного-то?

Оффлайн october4

  • Ветеран
  • *****
  • Сообщений: 1001
  • Рейтинг: 6
  • Пол: Мужской
  • Амурская мужская шовинистическая свинья
    • Jabber
    • Skype
    • Просмотр профиля
Ну скажем для ресурса не одна группа, а например три:
Я тебе расписал 4 отдела из 18 (на тот момент)
Камералка есть тож двух типов
Есть еще роли начотделов - это вообще пестня
Что помню там еще права на отбор появляются
И права не только на доступ к ресурсу, а к определенным подресурсам ресурса, ну к примеру госреестр видит все паспорта геморройщика, адрес его же, а остальные - последний активный паспорт, адрес ваще нужен только отделам недоемки и ОРНП (уведомления же)

Там этих ресурсов овер 200, полей - матзапрещен
Вашеправилотрех причмокнет
прювет ГНИВЦу  :blush2:


Как жаль, что мне не суждено cтать частью этого большого мира.
Я — человек. На мне стоит клеймо: будильник, офис, пиво и квартира.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
ну к примеру госреестр видит все пспорта геморройщика, адрес его же, а остальные - последний активный паспорт, адрес ваще нужен только отделам недоемки и ОРНП (уведомления же)
Ну да, ты еще к отдельным файлам доступ редактируй, ага.
Нужно немножко документы по разным папкам раскидывать, с разным доступом. И про наследование думать заранее.