إمكانية التمييز بين حقوق الوصول إلى الشبكة. معيار لإدارة حقوق الوصول إلى موارد معلومات ملفات الشركة

05.04.2019

صلاحية التحكم صلاحية الدخول

اسم المعلمة معنى
موضوع المقال: صلاحية التحكم صلاحية الدخول
الموضوع (الفئة الموضوعية) الحرب

الشكل 8.2. تكلفة ومستوى تقنيات المصادقة

4. أحدث اتجاه في المصادقة هو إثبات صحة المستخدم البعيد عن طريق الموقع . وتعتمد آلية الحماية هذه على استخدام نظام الملاحة الفضائية مثل نظام تحديد المواقع العالمي (GPS). يقوم المستخدم المزود بمعدات نظام تحديد المواقع (GPS) بإرسال إحداثيات الأقمار الصناعية المحددة الموجودة في خط الرؤية بشكل متكرر. ويمكن لنظام المصادقة الفرعي، الذي يعرف مدارات القمر الصناعي، تحديد موقع المستخدم بدقة تصل إلى متر واحد. معدات نظام تحديد المواقع العالمي (GPS) بسيطة وموثوقة في الاستخدام وغير مكلفة نسبيًا. وهذا يسمح باستخدامه في الحالات التي يجب أن يتواجد فيها مستخدم بعيد معتمد في موقع محدد.

تلخيص قدرات آليات ووسائل المصادقة، وبحسب مستوى أمن المعلومات سنميز بين ثلاثة أنواع من المصادقة: 1) ثابت. 2) مستدامة؛ 3) ثابت.

المصادقة الثابتةيوفر الحماية فقط ضد الوصول غير المصرح به في الأنظمة التي لا يستطيع المهاجم فيها قراءة معلومات المصادقة أثناء جلسة العمل. من أمثلة أدوات المصادقة الثابتة كلمات المرور التقليدية المستمرة. وتعتمد فعاليتها في المقام الأول على صعوبة تخمين كلمات المرور ومدى حمايتها. لاختراق المصادقة الثابتة، يمكن للمهاجم التطفل على بيانات المصادقة أو تخمينها أو تخمينها أو اعتراضها.

مصادقة قويةيستخدم بيانات المصادقة الديناميكية التي تتغير مع كل جلسة. تطبيقات المصادقة القوية هي الأنظمة التي تستخدم كلمات المرور والتوقيعات الإلكترونية لمرة واحدة. توفر المصادقة القوية الحماية ضد الهجمات حيث يمكن للمهاجم اعتراض معلومات المصادقة واستخدامها في الجلسات اللاحقة. في الوقت نفسه، لا توفر المصادقة القوية الحماية ضد الهجمات النشطة، والتي يمكن خلالها للمهاجم المقنع أن يعترض بسرعة (أثناء جلسة المصادقة) المعلومات وتعديلها وإدراجها في دفق البيانات المرسلة.

المصادقة المستمرةيضمن تحديد كل كتلة من البيانات المرسلة، مما يحميها من التعديل أو الإدراج غير المصرح به. مثال على تنفيذ هذا النوع من المصادقة هو استخدام الخوارزميات لإنشاء التوقيعات الإلكترونية لكل بت من المعلومات المرسلة.

بعد الانتهاء من تحديد الهوية والمصادقة، من المهم للغاية تحديد صلاحيات (مجموعة الحقوق) للموضوع للتحكم اللاحق في الاستخدام المصرح به لموارد الحوسبة المتوفرة في AS. عادة ما تسمى هذه العملية التمايز (التحكم المنطقي) في الوصول.

عادة، يتم تمثيل صلاحيات الموضوع من خلال: قائمة الموارد المتاحة للمستخدم، وحقوق الوصول إلى كل مورد من القائمة. تشمل موارد الحوسبة البرامج والبيانات والأجهزة المنطقية والذاكرة ووقت المعالج والأولوية وما إلى ذلك.

يمكن تمييز ما يلي طرق التحكم في الوصول: 1) حسب القوائم؛ 2) استخدام مصفوفة إنشاء السلطة. 3) حسب مستويات وفئات الخصوصية؛ 4) كلمة المرور.

1. متى التحكم في الوصول على أساس القوائمتم تحديد المراسلات التالية: لكل مستخدم - قائمة بالموارد وحقوق الوصول إليها، أو لكل مورد - قائمة بالمستخدمين وحقوق الوصول الخاصة بهم إلى مورد معين. تسمح لك القوائم بتعيين الحقوق للمستخدم. ليس من الصعب إضافة حقوق أو رفض الوصول بشكل صريح هنا. تُستخدم القوائم في معظم أنظمة التشغيل وأنظمة إدارة قواعد البيانات.

2. استخدام مصفوفة السلطةيتضمن استخدام مصفوفة الوصول (جدول السلطة). في المصفوفة المحددة، الصفوف هي معرفات الأشخاص الذين لديهم حق الوصول إلى AS، والأعمدة هي الكائنات (موارد المعلومات) في AS. يمكن أن يحتوي كل عنصر من عناصر المصفوفة على اسم وحجم المورد المقدم، وحق الوصول (القراءة، والكتابة، وما إلى ذلك)، ورابط إلى بنية معلومات أخرى تحدد حقوق الوصول، ورابط إلى برنامج يدير حقوق الوصول، وما إلى ذلك. .
نشر على المرجع.rf
(الجدول 8.3). توفر هذه الطريقة طريقة أكثر توحيدًا وملاءمة، حيث يتم تخزين جميع المعلومات المتعلقة بالأذونات في شكل جدول واحد، وليس في شكل أنواع مختلفة من القوائم. تتمثل عيوب المصفوفة في ضخامة حجمها وعدم تحسينها (معظم الخلايا فارغة).

الجدول 8.3

التحكم في الوصول – المفهوم والأنواع. تصنيف ومميزات فئة "التحكم في الوصول" 2017، 2018.

أمن الشبكات والمعلومات هو شيء بدونه يكون عمل أي مؤسسة مستحيلاً. على سبيل المثال، لديك قسم مالي وسكرتيرات وقسم مبيعات. لا تريد أن يتمكن السكرتيرون أو قسم المبيعات من الوصول إلى المستندات والخوادم من الإدارة المالية. وفي الوقت نفسه، يجب أن يكون الوصول إلى المتخصصين الماليين فقط. بالإضافة إلى ذلك، فأنت تريد إما ألا يمكن الوصول إلى مخازن الملفات المهمة من الإنترنت، ولكن من الشبكة المحلية فقط. نأتي للإنقاذ.

قيود وصول المستخدم

التمييز بين حقوق الوصول لمستخدمي الشبكة هو الإعدادات المتعلقة بالتقسيم إلى أجزاء منفصلة وتحديد قواعد تفاعل هذه الأجزاء مع بعضها البعض. من الناحية الفنية، هذه هي عملية إنشاء شبكات VLAN لكل قسم محدد، وتكوين إمكانية الوصول إلى شبكات VLAN هذه مع بعضها البعض.

شبكة محلية ظاهرية(الشبكة المحلية الافتراضية) هي تقسيم افتراضي للشبكة إلى أجزاء (شبكات محلية). افتراضيًا، يعتبر المحول أن جميع واجهاته (منافذه) موجودة على نفس الشبكة المحلية. باستخدام التكوين الإضافي، يمكنك إنشاء شبكات فرعية منفصلة وتخصيص منافذ تبديل محددة للعمل على هذه الشبكات. أفضل تعريف لشبكة VLAN هو أن شبكة VLAN هي مجال بث واحد.

يعد التمييز بين حقوق وصول المستخدم أمرًا مطلوبًا عندما يكون لدى مؤسستك موارد مخصصة لمتخصصين محددين (تقارير المحاسبة، على سبيل المثال). وبالتالي، يمكنك إنشاء شبكة محلية ظاهرية (VLAN) منفصلة لمتخصصي المحاسبة، مما يمنع الوصول إلى التقارير من الأقسام الأخرى.

تقييد الوصول إلى الشبكات الاجتماعية

إذا كنت لا تريد أن يتمكن موظفوك من الوصول إلى موارد معينة (الشبكات الاجتماعية، والمواقع المحظورة)، فيمكننا تقديم 4 طرق متاحة للقيام بذلك:

— رفض الوصول محليًا على جهاز كمبيوتر محدد. يمكن القيام بذلك من خلال الملف /etc/hosts.

- تكوين ACL (قائمة التحكم في الوصول) على جهاز التوجيه الحدودي. النقطة المهمة هي منع الوصول من شبكة فرعية معينة إلى عناوين محددة.

- إعداد خادم DNS (نظام اسم المجال). جوهر الطريقة هو حظر إذن أسماء النطاقات المحددة. وهذا يعني أنه عند إدخال موقع vk.com في شريط العناوين في متصفحك، على سبيل المثال، لن يتم تحويل اسم النطاق هذا إلى عنوان IPv4، ولن يتمكن المستخدم من الوصول إلى هذا الموقع.

- برامج خاصة. نحن نقدم برامج خاصة (مكافحة الفيروسات) من شركائنا.

أمن الشبكات

في بعض الأحيان، حتى صفحة الويب المفتوحة عن طريق الخطأ على الإنترنت يمكن أن تشكل تهديدًا لشبكة الشركة بأكملها، وتحتوي على تعليمات برمجية ضارة. في مثل هذه الحالات نقترح استخدام الحلول المقدمة من قادة سوق أمن تكنولوجيا المعلومات - شركائنا.

إحدى أكثر أساليب الهجمات السيبرانية شيوعًا هي "التصيد الاحتيالي"، والغرض منها هو الحصول على معلومات تسجيل الدخول وكلمة المرور الخاصة بالمستخدم. يوفر برنامج شركائنا الحماية ضد الهجمات ويدعم أمان شبكة المؤسسة.

التصيد- طريقة للهجمات السيبرانية التي يكون الهدف الرئيسي فيها هو الحصول على بيانات ترخيص المستخدم. على سبيل المثال، يمكن أن تكون هذه بيانات تسجيل الدخول وكلمة المرور لتسجيل الدخول إلى الحساب الشخصي للبنك الذي تتعامل معه، وبيانات من حساب SIP، وما إلى ذلك.

ستضمن البرامج المتخصصة المقدمة من شركائنا مستوى عالٍ من أمن المعلومات:

- حماية المعلومات الموجودة على أجهزة الكمبيوتر الشخصية.

- التأكد من أمن تخزين البيانات على الخوادم.

— حماية المعلومات ضمن الحلول السحابية.

إحصائيات الأمن

أجرت Kaspersky Lab وB2B International بحثًا أظهر أن 98.5% من الشركات الصغيرة والمتوسطة (الشركات الصغيرة والمتوسطة الحجم) تعرضت لتهديدات إلكترونية خارجية. ومن بين هؤلاء، واجه 82% تهديدات داخلية.

الشركات الصغيرة والمتوسطة (الشركات الصغيرة والمتوسطة الحجم) تخسر 780 ألف روبلمن حادثة واحدة لانتهاك أمن المعلومات في المؤسسة.

لنقدم المعونة

الإحصائيات تترك الكثير مما هو مرغوب فيه، ولكن لا داعي للخوف. سيؤدي توفير الإجراءات الأمنية باستخدام حلول من شركائنا إلى إغلاق نقاط الضعف في شبكة الشركة.

سيتم حماية البيانات الشخصية والموارد الداخلية وقواعد البيانات والبريد الإلكتروني وعزلها عن الوصول غير المصرح به. لن تتمكن تصرفات المهاجمين من الإضرار بعملك.


خطة عمل

نحن نفحص البنية التحتية الحالية لشبكتك

كان على كل مسؤول نظام أن يتعامل مع مشكلة توفير الوصول بشكل أو بآخر. هذه هي المهمة الأكثر استهلاكًا للوقت، وذلك فقط بسبب العدد الكبير من الموارد والمستخدمين الذين يحتاجون إلى هذا النوع من الوصول. الأمر معقد بسبب التكوين غير المتجانس للموارد. يمكن أن تكون هذه مجلدات على خادم ملفات أو حتى ملفات فردية، وطابعات الشبكة وقوائم انتظار الطباعة، وقواعد البيانات، وكائنات Active Directory، وموارد الإنترنت، وما إلى ذلك. وأخيرًا، من الضروري أن تتمتع الفئات المختلفة من المستخدمين بمستويات مختلفة من الوصول إلى الموارد، على سبيل المثال، يحق لبعض المستخدمين فقط الوصول إلى قاعدة بيانات المرجع والنظام القانوني ("Garant"، "Consultant-Plus"، "Code"، "حقك"، وما إلى ذلك)، بينما يحق للآخرين تثبيت التحديثات المستلمة عن طريق الاشتراك.

قام كل مسؤول بحل هذه المشكلة بطريقته الخاصة: إما أنه استخدم الأساليب القياسية، أو تصرف "كما تم تدريسه"، أو قام بإجراء تغييراته الخاصة على الأساليب القياسية. تم تخصيص العديد من المقالات لهذه المشكلة، على سبيل المثال، "التحكم الفعال في الوصول في شبكات Windows 2000 وNT" بقلم راندي فرانكلين سميث (). أريد أن أتحدث عن نهج آخر لحل هذه المشكلة الصعبة.

"كما علمت"

أرز. 1. النهج القياسي لإدارة الوصول إلى الموارد - AGLP

يتم اختصار النهج القياسي الذي تقدمه Microsoft في جميع دورات الإدارة بـ AGLP. وكما تعلم فإن هذا الاختصار يرمز إلى ما يلي: "الحساب - المجموعة العالمية - المجموعة المحلية - الأذونات". يتم التعبير عن هذا النهج على النحو التالي (انظر الشكل 1).

كل مورد، باستثناء كائنات Active Directory، موجود على جهاز الكمبيوتر. لتنظيم الوصول إلى هذا المورد، يتم إنشاء مجموعات محلية على هذا الكمبيوتر أو مجموعات المجال المحلي في مجال Active Directory. تظهر هذه المجموعات المحلية فقط في قوائم الأذونات للكائنات التي يتكون منها المورد. يتوافق عدد المجموعات المحلية مع عدد مستويات الوصول المطلوبة لمورد معين. هناك مستويان على الأقل من هذا القبيل: لإدارة الموارد والاستخدام اليومي.

من الممكن تضمين المستخدمين بشكل فردي في قوائم الوصول إلى الكائنات، لكن هذا الأمر معقد للغاية. يمكنك تضمين المستخدمين في المجموعات المحلية المناسبة، كل شيء سيعمل، ولكن هذا الخيار أيضًا بعيد عن المثالية. أولا، يتم فقدان القدرة على مركزية جميع الإجراءات. سيتعين عليك القيام بذلك لكل مجال على حدة إذا كانت الكائنات التي يتكون منها المورد موجودة على أجهزة كمبيوتر من مجالات مختلفة. ثانيًا، إذا قمت بنقل مورد إلى مجال آخر (إذا كنت تستخدم مجموعات المجال المحلية) أو حتى إلى كمبيوتر آخر (إذا كنت تستخدم مجموعات الكمبيوتر المحلية)، فسيتعين عليك اتباع العديد من الخطوات لتضمين كافة المستخدمين في مجموعة مختلفة من المجموعات المحلية.

لتوفير الوقت، يمكنك التصرف بشكل مختلف. جنبًا إلى جنب مع المجموعات المحلية، لتنظيم الوصول إلى المورد، يتم إنشاء مجموعات عالمية مقابلة، ويتم تضمين هذه الأخيرة في المجموعات المحلية، ولتوفير الوصول، يصبح المستخدمون أعضاء في المجموعات العالمية المقابلة. عند نقل مورد، يتم تقليل كل الجهود إلى توزيع أذونات الوصول إلى الكائنات على مجموعات محلية جديدة وتضمين المجموعات العالمية القديمة فيها، والتي تظل دون تغيير. والنتيجة هي سلسلة من العلاقات: الحساب - المجموعة العالمية - المجموعة المحلية - أذونات الوصول إلى الكائنات.

هذا النهج جيد، ولكن هناك مشكلة واحدة: لأداء واجباته الوظيفية، يحتاج المستخدم إلى الوصول إلى العديد من الكائنات، لذلك يجب إدراجه في عدة مجموعات عالمية تنظم الوصول إلى هذه الكائنات. إذا تغيرت المسؤوليات، فإن نهج AGLP القياسي يتطلب مراجعة دقيقة لعضويات مجموعة المستخدم. كقاعدة عامة، في الممارسة العملية، يتعلق الأمر كله بإضافة مستخدم إلى مجموعات جديدة حتى يتمكن من الوصول إلى الموارد الأخرى.

ونتيجة لذلك، يتمكن المستخدمون من الوصول إلى كل من الموارد المطلوبة في الموقع الجديد وتلك التي لم تعد مطلوبة. وهذا يمكن أن يؤدي إلى جميع أنواع سوء الفهم على الأقل: الحذف الخاطئ للملفات، والطباعة على الطابعة في الطرف الآخر من المبنى، وما إلى ذلك. ويمكن أن تكون العواقب أكثر خطورة، حتى تسرب المعلومات السرية.

لتجنب مثل هذه التطورات، عند تغيير مسؤوليات المستخدم، من الضروري ليس فقط إدراجه في المجموعات المناسبة، ولكن أيضًا استبعاده من المجموعات الأخرى، حيث أعطته العضوية فيها الحق في الوصول إلى الموارد المطلوبة مسبقًا. لا تعد المراجعة الكاملة لعضوية مجموعة المستخدم عند تغيير مسؤوليات الوظيفة مهمة سهلة ويصعب تشغيلها تلقائيًا ضمن نهج AGLP القياسي.

التعديلات المحتملة على المخطط القياسي

يحدد نطاق مسؤوليات المستخدمين مجموعة الموارد التي يحتاجون إليها مع المستوى المقابل للوصول إلى الموارد ويتم وصفها عادةً من خلال وثيقة تنظيمية خاصة للشركة - الوصف الوظيفي. يتغير منصب الموظف - يتغير الوصف الوظيفي، وتصف التعليمات الجديدة نطاقًا جديدًا من المهام التي يتعين حلها، والتي تتوافق مع مجموعة من الموارد الضرورية مع مستويات الوصول الضرورية. بالإضافة إلى ذلك، قد يشغل العديد من المستخدمين نفس المناصب، ويحكمها وصف وظيفي مشترك. لذلك، إذا كان نظام المعلومات لدينا يصف مناصب الموظفين، لكل منها مجموعة من الموارد مع مستوى الوصول المطلوب، فكل ما تبقى هو ربط المستخدمين بالمناصب، والتي سيرثون منها الحقوق والأذونات المقابلة.

يمكنك إنشاء حساب مستخدم لكل منصب، ثم مطالبة الموظفين بتسجيل الدخول باستخدام الحساب المطابق لمنصبهم عند تسجيل الدخول إلى شبكة الشركة. ثم يتم ملاحظة نهج AGLP التقليدي، ولكن لم يتم ملاحظة مبدأ أساسي آخر لأمن المعلومات - مبدأ الفصل بين المسؤوليات. وهذا هو، مرة أخرى، من الممكن حدوث سوء فهم: إذا تم ارتكاب الانتهاكات، فلن يكون من الممكن تحديد سجلات Windows التي انتهكها الموظف القواعد.

يقترح تعديل مخطط AGLP ليشمل التوصيف الوظيفي وربط المستخدمين بالوظائف. للقيام بذلك، يجب عليك إطالة سلسلة العلاقات المذكورة أعلاه عن طريق إضافة رابط آخر إليها، مجموعة عمومية للمجال آخر.

أي أنه ينبغي عليك:

  • إنشاء مجموعات عالمية تتوافق مع المواقف؛
  • تضمين مجموعات العمل العالمية في المجموعات العالمية التي تنظم الوصول إلى الموارد. يتم تحديد اختيار هذه المجموعات من خلال المسؤوليات الوظيفية الموضحة في الوصف الوظيفي؛
  • تضمين المستخدمين في مجموعات تتوافق مع المناصب.

يتم تشكيل سلسلة من العلاقات: الحساب - المجموعة العامة لمسؤوليات الوظيفة - مجموعة الوصول إلى الموارد العالمية - مجموعة الوصول إلى الموارد المحلية - أذونات الكائنات. يمكن كتابة هذا كاختصار AGGLP، انظر الشكل. 2.

من أجل تنفيذ هذا المخطط، يجب نشر خدمة Active Directory على شبكة الشركة، وليس في وضع التوافق مع Windows NT (الوضع المختلط لا يسمح بعضوية المجموعة المتداخلة، وبالتالي فإن الإجراءات الموصوفة مستحيلة ببساطة)، ولكن في Windows الأصلي وضع 2000 أو وضع Windows Server 2003.

أرز. 2. إدارة الوصول إلى الموارد وفقا لمخطط AGGLP أرز. 3. إدارة الوصول إلى الموارد وفقا لمخطط AUULP

قيد آخر: كما هو موضح أعلاه، فإن النهج المقترح لن يعمل إلا ضمن مجال واحد. الحقيقة هي أن مجموعات المجال العمومية يمكن أن تتضمن فقط مجموعات عمومية أخرى من نفس المجال ومستخدمين من نفس المجال. بالنسبة للشبكة التي تحتوي على العديد من المجالات التي تشكل جزءًا من مجموعة تفرعات واحدة (وإذا كان Active Directory يعمل في وضع Windows Server 2003، فإن عدة غابات متصلة بعلاقات ثقة)، فإن هذا الخيار غير مناسب. ولكن لا شيء يمنعك من استخدام المجموعات العالمية بدلاً من المجموعات العمومية الخاصة بالمجال. نظرًا للقيود المفروضة على العضوية المتداخلة المسموح بها (يمكن أن تتضمن المجموعة العالمية مجالًا عموميًا، ولكن ليس العكس)، يجب أن تكون المجموعات العالمية موجودة في كلا المنصبين - للتحكم في الوصول والتوصيف الوظيفي.

وهكذا نحصل على الخيار التالي لتنظيم الوصول إلى الموارد.

  • لكل مورد، يتم إنشاء مجموعات المجال المحلي التي تتوافق مع مستويات مختلفة من الوصول إلى المورد. يجب تعيين هذه المجموعات الأذونات اللازمة للوصول إلى الكائنات. في هذه الحالة، ليست هناك حاجة للمجموعات المحلية على أجهزة الكمبيوتر، حيث يمكنك منح أذونات الوصول إلى الموارد مباشرة إلى مجموعة المجال المحلي.
  • لكل مورد، يتم إنشاء مجموعات عالمية تنظم الوصول إلى الكائنات. لكل مجموعة محلية تتوافق مع مستوى معين من الوصول إلى كائن ما، يتم إنشاء مجموعة عالمية مقابلة وإدراجها في هذه المجموعة المحلية.
  • يتم تشكيل مجموعة عالمية لكل منصب. يتم تضمين هذه المجموعة في المجموعات العالمية التي تنظم الوصول إلى الموارد وفقًا للوصف الوظيفي.
  • تتم إضافة حسابات المستخدمين إلى المجموعات العامة وفقًا لموضعهم.

يمكن كتابة سلسلة العلاقات الناتجة على النحو التالي: الحساب - مجموعة الموضع العالمي - مجموعة الوصول إلى الموارد العالمية - مجموعة المجال المحلي - أذونات الوصول إلى الكائنات. يمكن الإشارة إلى هذه السلسلة بالاختصار AUULP، انظر الشكل. 3.

خيار AUULP أيضًا لا يخلو من عيوبه. يتم توزيع معلومات المجموعة العامة كجزء من بيانات الكتالوج العمومي، لذا فإن إضافة عدد كبير من المجموعات العالمية سيؤدي تلقائيًا إلى زيادة حركة النسخ المتماثل. أما بالنسبة لمعالجة هذه البيانات بواسطة وحدات تحكم المجال، فلا ينبغي أن تكون هناك مشاكل في هذا الجانب - فالقوة الحاسوبية لأجهزة الكمبيوتر المعروضة للبيع حاليًا تغطي الاحتياجات الضرورية بهامش. لكن حركة النسخ المتماثل هي عنصر تكلفة إضافي لمؤسسة موزعة جغرافيًا، حيث ترتبط شبكاتها الفرعية الفردية ببعضها البعض عبر VPN باستخدام القنوات العامة.

ومع ذلك، سيتم إرسال كميات كبيرة من البيانات في الوقت الذي يتم فيه تقديم هيكل المجموعة حسب المنصب؛ بعد ذلك، يتم إنشاء حركة المرور فقط من خلال التغييرات في البيانات: تعديل هيكل المجموعات العالمية المرتبطة بالتغييرات في التوظيف والوصف الوظيفي، والتغييرات في عضوية المجموعة المرتبطة بحركة الموظفين ودورانهم.

وهناك مشكلة أكثر خطورة تتعلق بالحاجة إلى التمييز بين حقوق إدارة الهيكل الناتج في بيئة تتسم بالإدارة اللامركزية. يمكنك إنشاء مجموعة خاصة من المسؤولين المصرح لهم بإدارة العضوية في مجموعات تصف المسميات الوظيفية، ويشترط على جميع المسؤولين الميدانيين الاتصال بهؤلاء المسؤولين المصرح لهم كلما انتقل المستخدمون ضمن نطاق مسؤوليتهم من منصب إلى آخر، ولكن بعد ذلك النتيجة ستكون شبكة مؤسسية ذات تحكم مركزي. من الممكن منح جميع المسؤولين المحليين إذن إضافة/إزالة الأعضاء إلى المجموعات العالمية التي تصف المناصب حتى يتمكنوا هم أنفسهم من إجراء التغييرات المناسبة، ولكن بعد ذلك سيكونون قادرين على استبعاد المستخدمين "الأجانب" من هذه المجموعة، أي المستخدمين الذين هم ضمن نطاق مسؤولية مسؤول آخر

لتجنب منح المسؤولين الميدانيين صلاحيات مفرطة، يُقترح تقديم مستوى آخر من تداخل المجموعة الذي ينظم العضوية في مجموعات الوصف الوظيفي العالمية، ولكن لكل مسؤول ميداني على حدة.

لكل مجال من مجالات مسؤولية المسؤول "المحلي"، يجب عليك:

  • إنشاء مجموعة عالمية (كقاعدة عامة، تتضمن منطقة مسؤولية المسؤولين المحليين أي مجال أو كائن واحد - وحدة تنظيمية، لذلك للعمل داخل هذه المنطقة، يكفي التعامل مع مجموعات المجال العالمية)، المقابلة لـ مجموعة عالمية تصف الموقف؛
  • تضمين هذه المجموعات العالمية في المجموعات العالمية المقابلة؛
  • تخويل المسؤولين المحليين لإدارة العضوية في هذه المجموعات العمومية. وفي الوقت نفسه، سيكونون قادرين على إدارة العضوية في مثل هذه المجموعة فقط للمستخدمين من منطقة مسؤوليتهم.

وبالتالي، بالنسبة للشبكات ذات التحكم اللامركزي، يُقترح مخطط العلاقة التالي: الحساب - مجموعة المجال العالمية "المحلية" - مجموعة الموضع العالمي - مجموعة الوصول إلى الموارد العالمية - مجموعة المجال المحلي - أذونات الوصول إلى الكائنات. الاختصار المقابل هو AGUULP، انظر أرز. 4 .

وضع الكائن والتحكم الإضافي

تطرح أسئلة إضافية: أين يتم وضع الكائنات الضرورية في بنية خدمة الدليل - حسابات المستخدمين والمجموعة، بحيث يعمل الحل المقترح بأكبر قدر ممكن من الكفاءة، وما هو التحكم الإضافي الممكن في الإعدادات المحددة.

يجب وضع الأشياء بحيث يمكن العثور عليها بسهولة أثناء تناولها. للقيام بذلك، يُنصح بإنشاء هيكل للكائنات في أحد المجالات (نظرًا لاستخدام المجموعات العالمية، يمكن أن يكون هذا أي مجال من مجالات الغابة) - الوحدات التنظيمية، التي تعيد إنتاج الهيكل التنظيمي للمؤسسة. يجب أن تكون المجموعات العالمية المقابلة للمناصب موجودة داخل الوحدات التنظيمية المقابلة للتقسيمات الإدارية للمؤسسة.

في الشبكات ذات الإدارة المركزية، يمكنك أن تقتصر على إنشاء مثل هذا الهيكل. إذا كانت الإدارة لا مركزية، فإلى جانب هيكل المجموعات العالمية التي تعيد إنتاج هيكل الأقسام، يجب إنشاء هياكل مماثلة للأقسام التي تعيد إنتاج الهيكل الإداري، مع تضمين المجموعات العالمية فيها المقابلة للمجموعات العالمية للمناصب، لكل منطقة من مجالات الإدارة. ​​​​​مسؤولية مسؤول منفصل أو مجموعة من المسؤولين.

على أية حال، تنتهي المعلومات المتعلقة بالوحدات التنظيمية والحسابات الموجودة بها في الكتالوج العمومي وتكون متاحة لجميع أجهزة الكمبيوتر في كافة المواقع في الغابة، وبالتالي فإن وضع المجموعات هذا لن يؤثر على أداء النظام.

يجب وضع مجموعات المجال المحلية والمجموعات العالمية المقابلة لها والتي تنظم الوصول إلى الموارد في المجالات بحيث تكون قريبة من المورد الذي تنظم هذه المجموعات الوصول إليه.

من الممكن التحكم الإضافي في كافة الإعدادات التي تم تعيينها كجزء من تنفيذ نهج AUULP/AGUULP باستخدام سياسات المجموعة. إذا كان المورد عبارة عن مجموعة ثابتة من المجلدات و/أو الملفات، فمن المستحسن التحكم في قوائم الأذونات على هذه المجلدات والملفات باستخدام نهج المجموعة: قسم إعدادات الكمبيوتر - إعدادات الأمان - نظام الملفات. يجب تطبيق كائن نهج المجموعة (GPO) المناسب على الخادم الذي يستضيف المورد، ولكن في نفس الوقت لا يؤثر على تلك الخوادم التي لا تتأثر بهذا الإعداد. لذلك، يُنصح بوضع كائن نهج المجموعة (GPO) هذا في الكائن - الوحدة التنظيمية التي يوجد بها هذا الخادم مباشرةً، بالإضافة إلى تكوين قائمة الأذونات على كائن نهج المجموعة (GPO) بحيث لا يؤثر الإعداد على الخوادم الأخرى الموجودة هنا.

يمكن أيضًا التحكم في عضوية المجموعة المتداخلة من خلال سياسات المجموعة. كل ما عليك فعله هو أن تضع في اعتبارك أنه يجب تطبيق هذه السياسات على كافة وحدات التحكم بالمجال، أو على الأقل إلى وحدة البنية التحتية الرئيسية. يتم إجراء الإعدادات المقابلة في القسم إعدادات الكمبيوتر - إعدادات الأمان - المجموعات المقيدة:

  • مجموعة المجال المحلي التي تنظم الوصول إلى المورد - إعداد الأعضاء، تمكين المجموعة العالمية المقابلة فقط؛
  • مجموعة عالمية تنظم الوصول إلى أحد الموارد - عضو الإعداد، يمكّن فقط مجموعة المجال المحلي المقابلة؛
  • مجموعة عالمية تصف مجموعة حقوق الوصول اللازمة لأداء واجبات الوظيفة - عضو الإعداد، يمكّن المجموعات العالمية المناسبة التي تنظم الوصول إلى الموارد الضرورية.

من الصعب تكوين عمليات التحقق المتبادل ذات الصلة لعضوية المجموعة التي تتوافق مع مسؤوليات الوظيفة في المجموعات التي تنظم الوصول إلى الموارد، في شكل إعدادات الأعضاء للمجموعات العالمية التي تنظم الوصول إلى الموارد، نظرًا لعددها الكبير. ومع ذلك، لا شيء يمنعك من بذل جهود إضافية وإعداد مثل هذه الفحوصات أيضًا. من وجهة نظر مبدأ تقليل الامتيازات، يعد تعيين سمة الأعضاء أكثر فعالية، لأنه يسمح لك بالإشارة بشكل لا لبس فيه إلى من تم تضمينه في مجموعة معينة، في حين أن عضو السمة يسمح لك فقط بالتحقق مما إذا كان الكائن المحدد موجودًا أم لا تضمينها في المجموعة المحددة وإدراجها في المجموعات المحددة، دون تقييد تكوين هذه المجموعات.

بالإضافة إلى ذلك، عند التخطيط لبنية نهج المجموعة التي تنفذ عمليات فحص إضافية لقائمة الوصول إلى الملفات والمجلدات وعمليات فحص عضوية المجموعة، يجب أن تضع ما يلي في الاعتبار. يتم تلخيص الإعدادات الموجودة في قسم إعدادات الكمبيوتر - إعدادات الأمان - نظام الملفات من كائنات نهج المجموعة (GPO) المختلفة، وتنطبق قواعد حل تعارض وراثة كائن نهج المجموعة (GPO) على كل ملف أو مجلد فردي مذكور في هذا القسم. ولذلك، يمكن تكوين الإعدادات المناسبة في أي GPO ينطبق على الكمبيوتر الذي يحتوي على المورد. من المفضل أن يكون هذا آخر GPO تم تطبيقه على الكمبيوتر.

وفي الوقت نفسه، يتم استبدال محتويات قسم إعدادات الكمبيوتر - إعدادات الأمان - المجموعات المقيدة بالكامل، ولن يتم تفعيل سوى الإعدادات المحددة في آخر كائن نهج مجموعة (GPO) تم تطبيقه. ولذلك، يجب مراعاة القيود التالية.

  • إعدادات نهج المجموعة إعدادات الكمبيوتر - إعدادات الأمان - يجب أن تتضمن المجموعات المقيدة بنية عضوية المجموعة بأكملها التي يتم التحقق منها بحثًا عن مجموعات في مجال معين.
  • من غير المقبول أن تكون الإعدادات الناتجة في قسم إعدادات الكمبيوتر - إعدادات الأمان - المجموعات المقيدة مختلفة باختلاف وحدات التحكم بالمجال. وإلا، فإن مزامنة البيانات عبر المجالات عند محاولة تحديد عضوية المجموعة ستؤدي إلى نتيجة غير محددة.
  • حدد إعدادات الكمبيوتر - إعدادات الأمان - إعدادات المجموعات المقيدة في GPO واحد فقط لكل مجال. أدخل معلمات العضوية هناك لجميع المجموعات التي تم إنشاؤها في هذا المجال.
  • ربط كائن نهج المجموعة هذا بكافة كائنات الوحدة التنظيمية التي توجد بها وحدات تحكم المجال.
  • انقل كائن نهج المجموعة هذا إلى الأعلى في قائمة الارتباطات بحيث يتم تطبيقه أخيرًا وتصبح إعداداته سارية المفعول.

إذا قمت بتحديد إعدادات الكمبيوتر - إعدادات الأمان - إعدادات المجموعات المقيدة في العديد من كائنات نهج المجموعة (GPO)، فسيتعين عليك التأكد من أن محتويات الإعدادات هي نفسها دائمًا. ومع ذلك، فإن أي إعادة بناء ستكون صعبة وقد تسبب مشاكل إذا تم نسيان الحالة الجديدة ليتم نسخها إلى أحد كائنات سياسة المجموعة (GPO) المعنية.

الحق في الاختيار

إن النهج المقترح لتقييد الوصول إلى موارد الشبكة على أساس المسؤوليات الوظيفية لا يلغي الحاجة إلى إجراء العديد من العمليات اليدوية، خاصة في المرحلة الأولية أو عند إعادة هيكلة هيكل الموارد أو هيكل المناصب، عندما يكون من الضروري مراجعة كلا الأذونات على الكائنات وسياسات المجموعة حيث يتم تحديد فحص العضوية متعدد المستويات في المجموعات. تأتي الراحة لاحقًا عندما يبدأ النظام في العمل، ولتعيين الحقوق اللازمة يكفي تضمين المستخدم في المجموعة المقابلة لمنصبه.

قد تكون هناك طرق أخرى تنفذ التحكم في الوصول بناءً على مناصب الموظفين أو الأدوار التنظيمية، وهي نفس الشيء من وجهة نظر وظيفية. على سبيل المثال، يتضمن Windows Server 2003 مكون إدارة التفويض الذي يطبق نهجًا مشابهًا، ولكن هناك فقط، لتزويد المستخدم بالمجموعة الضرورية من الحقوق والأذونات، يتم استخدام مجموعة من البرامج النصية في VBScript أو Jscript، والتي يتم من خلالها إنشاء واجهات برمجة تطبيقات النظام يُطلق على هذا التنفيذ العمل مع قوائم الأذونات ومنح حقوق النظام. إذا استخدمته، يجب عليك أولاً تطوير السيناريوهات المناسبة، ولكن مع مجموعة السيناريوهات المناسبة يتم الحصول على نتيجة مضمونة.

ومع ذلك، إذا كان من الصعب على المسؤول، لسبب ما، استخدام البرامج النصية في إدارة التفويض (على سبيل المثال، لم يتم تثبيت Windows Server 2003 بعد أو أن Active Directory لا يزال قيد التشغيل في الوضع الأصلي لـ Windows 2000)، فيمكنك استخدام نهج AUULP المقترح أو الخروج بشيء خاص بك. على أية حال، أتمنى النجاح لجميع الإداريين في عملنا الشاق!

أليكسي سوتسكي- مدرس بمركز التدريب حاصل على شهادات MCSE وMCT. ويمكن الاتصال به على:

هدف:إتقان تقنيات تبادل الملفات بين مستخدمي شبكة الكمبيوتر المحلية؛ تنفيذ حماية المعلومات.

معلومات من النظرية

1. أنواع شبكات الحاسوب.

أحد أهم إنجازات القرن الماضي هو تطوير تكنولوجيا المعلومات - تقنيات الكمبيوتر لتخزين المعلومات وتحويلها ونقلها. لقد لعب إنشاء شبكات الكمبيوتر للاتصالات الدور الأكثر أهمية في القفزة المعلوماتية للبشرية.

تسمى مجموعة أجهزة الكمبيوتر المترابطة عن طريق قنوات نقل المعلومات والموزعة على منطقة معينة بشبكة الكمبيوتر. أنظمة الكمبيوتر العديدة الموجودة حاليًا يتم تقسيم الشبكات عادةً وفقًا لما يسمى بالأساس الإقليمي:

    GAN (شبكة المنطقة العالمية)، وهو اتصال كوكبي مشترك لشبكات الكمبيوتر - الإنترنت؛

    WAN (شبكة واسعة النطاق)، وهي رابطة قارية لشبكات الكمبيوتر على مستوى الدولة؛

    MAN (شبكة منطقة العاصمة - شبكة بين المدن)، والرابطة الإقليمية لشبكات الكمبيوتر بين المدن؛

    LAN (شبكة المنطقة المحلية) عبارة عن اتصال شبكة يعمل عادةً داخل جدران مؤسسة واحدة.

WAN وMAN هما شبكتان إقليميتان. يعد التقسيم إلى شبكات الكمبيوتر WAN و MAN تعسفيًا للغاية حاليًا، حيث أصبحت كل شبكة إقليمية الآن، كقاعدة عامة، جزءًا من بعض الشبكات العالمية.

تقوم العديد من المنظمات المهتمة بحماية المعلومات من الوصول غير المصرح به (على سبيل المثال، المؤسسات العسكرية والمصرفية وما إلى ذلك) بإنشاء ما يسمى بشبكات الشركات الخاصة بها. يمكن لشبكة الشركة توحيد آلاف وعشرات الآلاف من أجهزة الكمبيوتر الموجودة في بلدان ومدن مختلفة (مثال على ذلك شبكة Microsoft Corporation، MSN).

2. شبكة الكمبيوتر المحلية.

من السمات المميزة المهمة لأي شبكة محلية أنه لتوصيل أجهزة الكمبيوتر في مثل هذه الشبكة، لا تحتاج إلى استخدام شبكة هاتف - حيث تقع أجهزة الكمبيوتر بالقرب من بعضها البعض ومتصلة بواسطة الكابل.

من خلال الشبكة المحلية (LAN)، يجمع النظام بين أجهزة الكمبيوتر الشخصية الموجودة في العديد من محطات العمل البعيدة، والتي تتشارك في المعدات والبرامج والمعلومات. لم تعد أماكن عمل الموظفين معزولة وتم دمجها في نظام واحد.

دعونا نفكر الفوائد التي يتم الحصول عليها عن طريق ربط أجهزة الكمبيوتر الشخصية في شكل شبكة كمبيوتر داخل الصناعة.

    مشاركة الموارد: تسمح لك مشاركة الموارد باستخدام الموارد بشكل مقتصد، مثل إدارة الأجهزة الطرفية مثل طابعة الليزر من جميع محطات العمل المتصلة.

    تقسيم البيانات: يوفر تقسيم البيانات القدرة على الوصول إلى قواعد البيانات وإدارتها من محطات العمل الطرفية التي تحتاج إلى معلومات.

    فصل البرامج: يسمح فصل البرامج بالاستخدام المتزامن للبرامج المركزية المثبتة مسبقًا.

    مشاركة موارد المعالج: عندما تتم مشاركة موارد المعالج، يمكن استخدام طاقة الكمبيوتر لمعالجة البيانات بواسطة أنظمة أخرى على الشبكة. الفرصة المتاحة هي أن الموارد المتاحة لا يتم "الهجوم عليها" على الفور، ولكن فقط من خلال معالج خاص متاح لكل محطة عمل.

    وضع تعدد المستخدمين: تسهل ميزات تعدد المستخدمين في النظام الاستخدام المتزامن لبرنامج التطبيق المركزي الذي تم تثبيته وإدارته مسبقًا، على سبيل المثال، إذا كان مستخدم النظام يعمل على مهام أخرى، فسيتم نقل العمل الحالي الجاري إلى الخلفية.

    البريد الإلكتروني: يستخدم البريد الإلكتروني لتبادل المعلومات بشكل تفاعلي بين محطة العمل والمحطات الأخرى المثبتة على شبكة الكمبيوتر.


في اتساع روسيا، لا يوجد لدى العديد من الشركات والمؤسسات الصغيرة مسؤول نظام بين موظفيها بشكل دائم أو يأتي من وقت لآخر. تنمو الشركة، وعاجلاً أم آجلاً، يصبح مجلد واحد مشترك على الشبكة، حيث يمكن لأي شخص أن يفعل ما يريد، غير كاف. التحكم في الوصول مطلوب لمستخدمين مختلفين أو مجموعات مستخدمين على النظام الأساسي لـ MS Windows. يرجى من مستخدمي Linux والمسؤولين ذوي الخبرة عدم قراءة المقال.

الخيار الأفضل هو تعيين مسؤول ذو خبرة والتفكير في شراء خادم. سيقرر المسؤول ذو الخبرة على الفور ما إذا كان سيتم تثبيت MS Windows Server مع Active Directory أو استخدام شيء ما من عالم Linux.

لكن هذه المقالة مكتوبة لأولئك الذين قرروا المعاناة بمفردهم في الوقت الحالي، دون استخدام الحلول البرمجية الحديثة. سأحاول أن أشرح على الأقل كيفية تنفيذ التمايز بين الحقوق بشكل صحيح.

قبل أن نبدأ، أود أن أتطرق إلى نقطتين:

  • أي نظام تشغيل "يتعرف" و"يميز" ​​الأشخاص الحقيقيين من خلال حساباتهم. يجب أن يكون مثل هذا: شخص واحد = حساب واحد.
  • توضح المقالة الموقف المتمثل في أن الشركة ليس لديها مسؤول خاص بها ولم تشتر، على سبيل المثال، MS Windows Server. لا يخدم أي نظام تشغيل MS Windows عادي أكثر من 10 أشخاص لنظام WinXP و20 شخصًا لنظام Win7 عبر الشبكة في نفس الوقت. تم القيام بذلك بواسطة Microsoft خصيصًا حتى لا يعبر عملاء Windows مسار خوادم Windows ولا تفسد أعمال Microsoft. تذكر الرقم 10-20 وعندما يكون لدى شركتك أكثر من 10-20 شخصًا، سيتعين عليك التفكير في شراء MS Windows Server أو مطالبة شخص ما بتثبيت خادم Linux Samba مجاني لك، والذي لا يحتوي على مثل هذه القيود.
  • نظرا لعدم وجود مسؤول مختص، فإن جهاز الكمبيوتر العادي الخاص بك مع عميل MS Windows سوف يتظاهر بأنه خادم ملفات. ستضطر إلى تكرار حسابات المستخدمين عليه من أجهزة كمبيوتر أخرى من أجل الوصول إلى الملفات المشتركة. بمعنى آخر، إذا كان هناك محاسب Olya في PC1 مع حساب Olya، فأنت على هذا "الخادم" (المشار إليه فيما يلي باسم WinServer) تحتاج إلى إنشاء حساب Olya بنفس كلمة المرور الموجودة على PC1.
  • الناس يأتون ويذهبون. إن تبديل الموظفين موجود في كل مكان، وإذا كنت الشخص الفقير الذي ليس مسؤولاً وتم تعيينه (إجباريًا) لدعم مشكلات تكنولوجيا المعلومات في الشركة، فإليك بعض النصائح لك. إنشاء حسابات غير مرتبطة بشخص.إنشاء للمديرين - manager1، manager2. للمحاسبين - buh1، buh2. أو شيئا من هذا القبيل. هل غادر الشخص؟ لن يتعرض شخص آخر للإهانة إذا استخدم manager1. أوافق، إنه أفضل من استخدام Semyon لحساب Olya، لأنه معطل أو لا يوجد من يعيده وكل شيء يعمل منذ 100 عام.
  • انسَ كلمات مثل: "قم بإنشاء كلمة مرور للمجلد". لقد ولت الأيام التي تم فيها فرض كلمات المرور على الموارد منذ فترة طويلة. لقد تغيرت فلسفة العمل مع الموارد المختلفة. الآن يقوم المستخدم بتسجيل الدخول إلى نظامه باستخدام حساب (تعريف)، مؤكدا نفسه بكلمة المرور الخاصة به (المصادقة)، ويتم منحه حق الوصول إلى جميع الموارد المعتمدة. قم بتسجيل الدخول مرة واحدة وتمتع بإمكانية الوصول إلى كل شيء - هذا ما تحتاج إلى تذكره.
  • يُنصح بتنفيذ الإجراءات التالية من حساب المسؤول المضمن أو من الحساب الأول في النظام، والذي يتم تضمينه افتراضيًا في مجموعة المسؤولين.

تحضير.

في Explorer، قم بإزالة الوصول المبسط إلى الأشياء التي نحتاجها.

  • مايكروسوفت ويندوز إكس بي.أدوات القائمة - خيارات المجلد - عرض. قم بإلغاء التحديد استخدم معالج المشاركة
  • مايكروسوفت ويندوز 7.اضغط على البديل. أدوات القائمة - خيارات المجلد - عرض. قم بإلغاء التحديد استخدم مشاركة الملفات البسيطة.

قم بإنشاء مجلد على جهاز الكمبيوتر الخاص بك WinServer والذي سيقوم بتخزين ثروتك في شكل ملفات أوامر وعقود وما إلى ذلك. بالنسبة لي، على سبيل المثال، سيكون C:\dostup\. يجب إنشاء المجلد على قسم به NTFS.

الوصول إلى الشبكة.

في هذه المرحلة تحتاج إتاحتها عبر الشبكة(مشاركة) مجلد ليعمل عليه المستخدمون الآخرون على أجهزة الكمبيوتر الخاصة بهم على هذه الشبكة المحلية.

والشيء الأكثر أهمية! شارك المجلد بإذن كامل للجميع!نعم نعم! لقد سمعت الحق. ولكن ماذا عن التحكم في الوصول؟

نحن نسمح للجميع بالاتصال بالمجلد عبر الشبكة المحلية، ولكننا سنحد من الوصول باستخدام إجراءات الأمان المخزنة في نظام الملفات NTFS الذي يوجد عليه دليلنا.

  • مايكروسوفت ويندوز إكس بي.في المجلد المطلوب (C:\dostup\) انقر بزر الماوس الأيمن وحدد خصائص. علامة تبويب الوصول - الوصول الكامل.
  • مايكروسوفت ويندوز 7.في المجلد المطلوب (C:\dostup\) انقر بزر الماوس الأيمن وحدد خصائص. علامة التبويب "الوصول" - الإعدادات المتقدمة. ضع علامة شارك هذا المجلد. املأ الملاحظة. انقر فوق إذن. يجب أن يكون لدى مجموعة "الجميع" حقوق الشبكة الوصول الكامل.

المستخدمون ومجموعات الأمان.

تحتاج إلى إنشاء حسابات المستخدمين الضرورية. اسمحوا لي أن أذكرك أنه إذا كانت أجهزة الكمبيوتر الشخصية العديدة لديك تستخدم حسابات مستخدمين مختلفة، فيجب إنشاؤها جميعًا على "الخادم" الخاص بك وبنفس كلمات المرور. لا يمكن تجنب ذلك إلا إذا كان لديك مسؤول مختص وأجهزة كمبيوتر في Active Directory. لا؟ ثم قم بإنشاء حساباتك بعناية.

  • مايكروسوفت ويندوز إكس بي.
    المستخدمون والمجموعات المحلية - المستخدمون. قائمة الإجراء - مستخدم جديد.
  • مايكروسوفت ويندوز 7.لوحة التحكم - الإدارة - إدارة الكمبيوتر.
    المستخدمون والمجموعات المحلية - المستخدمون. إجراء القائمة - إنشاء مستخدم.

الآن حان الوقت لأهم شيء - المجموعات! تسمح لك المجموعات بتضمين حسابات المستخدمين وتبسيط عمليات المعالجة من خلال إصدار الحقوق والتحكم في الوصول.

سيتم شرح "فرض الحقوق" على الدلائل والملفات أدناه، ولكن في الوقت الحالي الشيء الرئيسي هو فهم فكرة واحدة. سيتم منح حقوق المجلدات أو الملفات للمجموعات، والتي يمكن مقارنتها مجازيًا بالحاويات. وستقوم المجموعات بالفعل "بنقل" الحقوق إلى الحسابات المضمنة فيها. أي أنك بحاجة إلى التفكير على مستوى المجموعات، وليس على مستوى الحسابات الفردية.

  • مايكروسوفت ويندوز إكس بي.لوحة التحكم - الإدارة - إدارة الكمبيوتر.
  • مايكروسوفت ويندوز 7.لوحة التحكم - الإدارة - إدارة الكمبيوتر.
    المستخدمون والمجموعات المحلية - المجموعات. إجراء القائمة - إنشاء مجموعة.

تحتاج إلى تضمين الحسابات الضرورية في المجموعات المطلوبة. على سبيل المثال، في مجموعة المحاسبين، انقر بزر الماوس الأيمن وهناك إضافة إلى المجموعةأو خصائص وهناك زر إضافة. في الميدان أدخل أسماء الكائنات المحددةأدخل اسم الحساب المطلوب وانقر فوق التحقق من الأسماء. إذا كان كل شيء صحيحًا، فسيتغير الحساب إلى النموذج SERVER NAME\account_entry. في الصورة أعلاه، تم تعيين حساب Buh3 إلى WINSERVER\buh3.

لذلك، تم إنشاء المجموعات الضرورية وتم تضمين حسابات المستخدمين في المجموعات الضرورية. ولكن قبل مرحلة تعيين الحقوق للمجلدات والملفات باستخدام المجموعات، أود مناقشة بضع نقاط.

هل يستحق الاهتمام بالمجموعة إذا كان بها حساب واحد فقط؟ اعتقد ان ذلك يستحق! توفر المجموعة المرونة والقدرة على المناورة. ستحتاج غدًا إلى منح شخص آخر "ب" نفس الحقوق التي يتمتع بها شخص معين في حسابه "أ". ستضيف ببساطة الحساب "ب" إلى المجموعة التي لديها "أ" بالفعل وهذا كل شيء!

يكون الأمر أسهل بكثير عندما يتم منح حقوق الوصول للمجموعات وليس للأفراد. كل ما عليك فعله هو التعامل مع المجموعات وإدراج الحسابات الضرورية فيها.

حقوق الوصول.

يُنصح بتنفيذ الإجراءات التالية من حساب المسؤول المضمن أو من الحساب الأول في النظام، والذي يتم تضمينه افتراضيًا في مجموعة المسؤولين.

لقد وصلنا إلى المرحلة التي يحدث فيها سحر تحديد حقوق الوصول لمجموعات مختلفة، ومن خلالها، للمستخدمين (بتعبير أدق، حساباتهم).

لذلك، لدينا دليل في C:\dostup\، والذي جعلناه متاحًا لجميع الموظفين عبر الشبكة. داخل الدليل C:\dostup\، على سبيل المثال، سنقوم بإنشاء المجلدات Contracts، Orders، MC Accounting. لنفترض أن هناك مهمة يجب القيام بها:

  • يجب أن يكون مجلد الاتفاقية للقراءة فقط للمحاسبين. القراءة والكتابة لمجموعة من المديرين.
  • يجب أن يكون مجلد AccountingMC متاحًا للمحاسبين للقراءة والكتابة. ليس لدى مجموعة المديرين حق الوصول.
  • يجب أن يكون مجلد الطلبات للقراءة فقط للمحاسبين والمديرين.

في مجلد الاتفاقية، انقر بزر الماوس الأيمن فوق علامة التبويب "خصائص" - "الأمان". نرى أن بعض المجموعات والمستخدمين يمكنهم الوصول إليه بالفعل. هذه الحقوق موروثة من الأصل dostup\، وذلك بدوره من الأصل C:

سنقوم بمقاطعة هذا الميراث من الحقوق ونتنازل عن حقوقنا المرغوبة.

انقر فوق الزر "خيارات متقدمة" - علامة التبويب "الأذونات" - الزر تغيير الأذونات.

أولاً، نقوم بمقاطعة وراثة الحقوق من الوالد.قم بإلغاء تحديد المربع إضافة الأذونات الموروثة من الكائنات الأصل.سيتم تحذيرنا من أن الأذونات المقدمة من الشركة الأم لن تنطبق على هذا الكائن (في هذه الحالة، مجلد الاتفاقية). اختر: إلغاء أو حذف أو إضافة. انقر فوق "إضافة" وستظل الحقوق من الوالد ميراثًا لنا، لكن حقوق الوالد لن تنطبق علينا بعد الآن. بمعنى آخر، إذا تم تغيير حقوق الوصول الخاصة بالأصل (مجلد dostup) في المستقبل، فلن يؤثر ذلك على المجلد الفرعي الخاص بالاتفاقية. ملاحظة في المربع موروث منالتكاليف غير موروث. هذا هو الاتصال الوالدين - الطفلممزق.

الآن نقوم بإزالة الحقوق غير الضرورية بعناية، وترك الوصول الكاملللمسؤولين والنظام. نختار بدوره جميع أنواع تم التحققو فقط المستخدمينوحذفه باستخدام زر الحذف.

إضافة زر في هذه النافذة خيارات أمنية إضافيةمخصص للمسؤولين ذوي الخبرة الذين سيكونون قادرين على تعيين أذونات خاصة وخاصة. تهدف المقالة إلى معرفة مستخدم ذي خبرة.

نحن نضع علامة استبدل كافة أذونات الكائن التابع بالأذونات الموروثة من هذا الكائنوانقر فوق موافق. دعنا نعود ونوافق مرة أخرى على العودة إلى عرض الخصائص البسيط.

ستسهل هذه النافذة تحقيق ما تريد.سيعرض الزر "تحرير" نافذة أذونات المجموعة.

انقر فوق إضافة. في النافذة الجديدة، اكتب "المحاسبون" وانقر على "التحقق من الأسماء" - حسنًا. بشكل افتراضي، يتم توفير الوصول "للقراءة" في شكل مبسط. يتم ضبط مربعات الاختيار الموجودة في عمود السماح تلقائيًا على "القراءة والتنفيذ"، و"إدراج محتويات المجلد"، و"القراءة". نحن سعداء بهذا وانقر فوق "موافق".

الآن، وفقًا للمواصفات الفنية الخاصة بنا، نحتاج إلى منح حقوق القراءة والكتابة لمجموعة المديرين. إذا كنا في نافذة الخصائص، فمرة أخرى تغيير - إضافة - أدخل المديرين - التحقق من الأسماء. أضف خانتي الاختيار "تغيير" و"كتابة" في عمود "السماح".

الآن نحن بحاجة للتحقق من كل شيء!

اتبع الفكر. لقد أمرنا بأن مجلد المعاهدة لا يرث الحقوق من مستنده الأصلي. تم ترتيب المجلدات والملفات الفرعية الموجودة داخل مجلد الاتفاقية لوراثة الحقوق منه.

لقد فرضنا حقوق الوصول التالية على مجلد الاتفاقية: يجب على مجموعة المحاسبين فقط قراءة الملفات وفتح المجلدات بداخلها، ويجب على مجموعة المديرين إنشاء الملفات وتعديلها وإنشاء المجلدات.

لذلك، إذا تم إنشاء ملف مستند داخل دليل الاتفاقية، فسيكون لديه أذونات من الأصل الخاص به. سيتمكن المستخدمون الذين لديهم حساباتهم الخاصة من الوصول إلى هذه الملفات والأدلة من خلال مجموعاتهم.

انتقل إلى مجلد الاتفاقيات وقم بإنشاء ملف اختبار الاتفاق1.txt

عليه، انقر بزر الماوس الأيمن وهناك خصائص - علامة تبويب الأمان - خيارات متقدمة - علامة تبويب الأذونات الفعالة.

انقر فوق تحديد واكتب حساب أي محاسب، على سبيل المثال buh1. يمكننا أن نرى بوضوح أن buh1 قد حصل على الحقوق من مجموعة المحاسبين الخاصة به، والتي حصلت على حقوق القراءة لمجلد الاتفاقية الأصلي، والذي "يوسع" أذوناته لتشمل الكائنات الفرعية الخاصة به.

دعونا نجرب manager2 ونرى بوضوح أن المدير يحصل على حق الوصول للقراءة والكتابة، نظرًا لأنه عضو في مجموعة المديرين، التي تمنح هذه الحقوق لهذا المجلد.

بنفس الطريقة تمامًا، وبالقياس على مجلد الاتفاقية، يتم فرض حقوق الوصول للمجلدات الأخرى، وفقًا للمواصفات الفنية الخاصة بك.

الحد الأدنى.

  • استخدم أقسام NTFS.
  • عندما تقوم بتقييد الوصول إلى المجلدات (والملفات)، قم بمعالجة المجموعات.
  • إنشاء حسابات لكل مستخدم. شخص واحد = حساب واحد.
  • تضمين الحسابات في مجموعات. يمكن أن يكون الحساب عضوًا في مجموعات مختلفة في نفس الوقت. إذا كان الحساب في عدة مجموعات وسمحت مجموعة واحدة بشيء ما، فسيتم السماح به للحساب.
  • يكون لعمود الرفض (رفض الحقوق) الأسبقية على السماح. إذا كان الحساب في عدة مجموعات وكانت إحدى المجموعات تحظر شيئًا ما، ومجموعة أخرى تسمح به، فسيتم حظره على الحساب.
  • قم بإزالة حساب من مجموعة إذا كنت تريد رفض الوصول الذي توفره هذه المجموعة.
  • فكر في تعيين مسؤول ولا تسيء إليه بالمال.

اطرح الأسئلة في التعليقات واسأل، صحيح.

يعرض الفيديو حالة خاصة عندما تحتاج فقط إلى رفض الوصول إلى مجلد، مستفيدًا من حقيقة أن رفض القواعد له الأولوية على السماح بالقواعد.



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة