Jogosultságkezelés – I.

Íme az ígért jogosultság kezelési módszertan.

Az MS tankönyvek így írják le a jogosultságadást: Az erőforrásokhoz hozzunk létre Domain Local csoportokat. A szervezet leképezéséhez hozzunk létre Global csoportokat. Ezekbe a global csoportokba helyezzük el a felhasználókat. A jogosultság megadásához a global csoportokat adjuk a megfelelő Domain Local csoportokhoz. (Vannak bonyolultabb esetek is, de ez a lényeg.)

Az én módszer a Microsoft javaslatának továbbfejlesztése. Vegyük sorra az objektumokat. Erőforrások

Definíció: A jelenlegi kontextusban erőforrás lehet mindaz, amit a felhasználók a hálózaton keresztül igénybe vesznek, tipikusan egy megosztott mappát, megosztott nyomtatót, de erőforrás lehet egy vállalaton kívüli POP3 fiók is.

Nevezéktan: Ékezet és szóköz nélkül szó vagy szöveg. Például: „tozsdei-ugyletek”

Az erőforrások sok mindenhez képződhetnek, egyelőre maradjunk a megosztott mappáknál, mert azok a legösszetettebbek. Ezekből legalább kétfajta van. Az egyik a "szervezeti" mappa, amikor egy szervezet (és csak annak a!) tagjai hasznáják a mappát. A másik típust nevezzük "team" mappának, amikor több szervezet tagja hsználja a ugyanazt a mappát. A dolgot ennél is továbbgondoltam, és majd még visszatérek rá, de most haladjunk tovább az objektumokkal.

Erőforrás hozzáférést szabályozó csoportok

Definíció: Azok a (Domain Local) csoportok, amelyeket közvetlenül a megosztáshoz rendelünk, majd hozzáférési szabályt állítunk be nekik.

Nevezéktan: RES – <Erőforrásnév> – <jogosultságkód>. Például: RES – tozsdei-ugyletek – RX

A RES ez esetben arra utal, hogy a csoport egy erőforráshoz tartozik, mégpedig ahhoz, ami a nevében van. Az RX azt mutatja, hogy a csoporttagok milyen joggal rendelkeznek az adott erőforráson. Az RX értelemszerűen „Read and Execute”. Egy megosztott mappához így három Domain local csoport létrehozását javaslom: egy RX (olvasás), egy CHG (módosítás) és egy NoA (hozzáférés letiltás).

Adott tehát egy megosztásunk, és hozzá három csoport:

RES – tozsdei-ugyletek – RX

RES – tozsdei-ugyletek – CHG

RES – tozsdei-ugyletek – NoA

Nagyon fontos, hogy a beszédes név mellett a csoport tulajdonságainak kitöltése is. Mellékelek majd képeket is, hogy lássátok a módszert. A Description mezőben meg kell adni, hogy melyik szerveren van a megosztás, esetleg milyen DFS hivatkozás van rá. A Notes mezőben az erőforráscsoport megszűntetésének feltételeit szoktam írni, ami nem más, mint a megosztás törlése.

Ahogy olvashattátok, a Microsoft azt javasolja, hogy az erőforráscsoportba globális csoportot helyezzünk. Ez azonban nem mindig helyes megoldás. Az MS megközelítése ugyanis az, hogy egy erőforráshoz azért férhetünk hozzá, mert valamilyen szervezeti egység tagjai vagyunk, amely szerep minket erre feljogosít. Csakhogy erőforráshoz nem csak így férhetünk. Ha pl. az internet böngészés jogát erőforrásnak tekintjük és egy csoporttagsággal szabályozzuk, tovább egyedileg döntjük el, hogy ki internetezhet és ki nem, akkor a jog megítélése egyedi, ergo az erőforráscsoportba accounttok kerülnek, nem globális csoportok.

Szerepazonosító csoportok

Definíció: Olyan Domain Global csoport, amellyel a szervezet egy vagy több tagjának a szervezetben betöltött szerepét definiáljuk.

Nevezéktan: ROLE – <szerepmegnevezés> Például: ROLE – Vezérigazgató; ROLE – Pénzügyi főmunkatársak

A ROLE itt a csoport elején jelzi, hogy az adott csoportot mire használjuk. A csoportnak nem csak egy tagja lehet, de általában csak egy van. A szerepazonosító csoportok jobbára munkakör megnevezések, illetve beosztások megnevezése, vagyis a legkönnyebben úgy állíthatók elő, ha a humánpolitikáról beszerezzük a munkakörök listáját.

Szervezetleképező csoportok

Definíció: Olyan Domain Global csoportok, amely a vállalat szervezeti felépítését modellezik.

Nevezéktan: ORG – <szervezet-egyedi-neve> – <hierarchiaszint> Pl: ORG – Humánpolitikai Igazgatóság – 1; ORG – Bérosztály – 2

A példa alapján a bérosztály a humánpolitika része. Az ORG csoportok egymásba ágyazódnak, tehát van egy csoport, amely a teljes szervezetet leírja, az tartalmaz al-szervezeteket leíró csoportokat és így tovább. Nem kell megijedni, hogy így csak szimpla fastruktúrát lehet leképezni, mert minden szervezet fastruktúra alapú, még a divízionális és a mátrix is :-) (a mátrixra majd még visszatérünk.) Fontos, hogy a csoport leírásánál adjuk meg a pontos definíciót, tűntessük fel az esetleges költséghely számot stb., hogy bárki hamar rájöjjön milyen csoporttal áll szemben. A szervezetleképező csoportoknál kérdés szokott lenni a vezető és a vezető titkárnőjének hovatartozása. Javaslatomat egy példán keresztül illusztrálom. Tegyük fel, hogy adott az Informatikai Igazgatóság egy igazgatóval titkárnővel, valamint három osztállyal: Fejlesztés, üzemeltetés, helpdesk. A csoportleképezés a következő lenne:

ORG – Informatikai Igazgatóság – 1

ORG – Informatikai fejlesztés – 2

ORG – Informatikai üzemeltetés – 2

ORG – Helpdesk – 2

Az egymásba ágyazódás értelemszerű. Kétféle kérés szokott megjelenni. Az első, hogy a titkárnő láthasson mindent ugyanúgy, mint az igazgató. Ez nem gond. Ők ketten (az accountjuk révén, vagy a szerepük révén) tagjai lesznek az „ORG – Informatikai Igazgatóság – 1” csoportnak, a többi háromnak pedig nem. Ha ez a csoport bekerül egy erőforráscsoportba, akkor a titkárnő megkapja ugyanazokat a jogokat, mint a főnöke. A második kérés az szokott lenni, hogy a szervezeti hierarchia egyik ága ne férhessen hozzá a másik ág információihoz. A megoldás ilyekor például:

  1. A megosztás CHG csoportjába betesszük az egyik 2-es hierarchiaszámú csoportot
  2. A megosztás RX csoportjába betesszük az 1-es hierarchiaszámú csoportot. (Az igazgató és a titkárnő megkapta a megfelelő jogot, de ekkor a nem kívánt többi 2-es számú csoportok olvasási jogot kaptak, amit úgy küszöbölünk ki, hogy)
  3. a nem kívánt 2-es hierarchiaszámú csoportokat az erőforrás NoA erőforráscsoportjába helyezzük.

Előfordulhat még az is, hogy azt kérik: legyenek olyan megosztások, amihez csak az informatikai vezetés, értsd az IT igazgató (és titkárnő), valamint a három osztályvezető láthat. Erre találtam ki a következő csoporttípust.

A TEAM csoportok

Definíció: minden olyan Domain Global (vagy implementáció és szükség szerint Universal) csoport, amely a szervezeti hierarchia több ágáról tartalmaz felhasználókat, illetve ROLE csoportokat.

Nevezéktan: TEAM – <teammegnevezése> Például: TEAM – Informatikai vezetés

A team csoportnál nagyon fontos a team definíciója, amit a leírás mezőben kell szerepeltetni. A team-nek általában van egy gazdája, az meg tudja mondani, hogy mi legyen a definíció. Egy lehetséges meghatározás a fenti példára: Az informatika igazgatóság vezetője és az informatikai osztályok osztályvezetői. A definíció azért hasznos, mert ha változik a szervezet, például bővül az osztályok száma, akkor könnyű észrevenni, hogy kit kell még az adott TEAM csoportba betenni. A team gazdáját a Notes mezőben érdemes feltűntetni.

Egy team csoportba elvileg bekerülhet egy szimpla felhasználói fiók is, de gyakoribb az, ha szerepcsoportokat tartalmaz. A TEAM  – Informatikai vezetés tagjai például a ROLE – Informatikai Igazgató; ROLE – Informatikai fejlesztési vezető; ROLE – Informatikai üzemeltetési vezető; ROLE – Helpdesk vezető csoportok. Előfordul azonban (magyarországon pedig főleg), hogy egy team-be bekerül valaki azért, mert ért a dologhoz, függetlenül attól, hogy a szervezetben egyébként hol helyezkedik el és milyen szerepei vannak. Ilyenkor a felhasználói fiók tagja a csoportnak.

A fenti definíciók alapján én az alábbi jogosultságkiadási szabályokat állítottam fel:

  1. A felhasználói fiókokat egy vagy több szerepcsoportba kell beosztani
  2. A szerepeket (rajtuk keresztül a felhasználókat) egyetlen szervezetleképező csoportba kell beosztani
  3. Ha több, a szervezet különböző ágáról származó felhasználónak (ill szerepnek) kell azonos jog, és az így kialakított csoport definiálható, akkor létre kell hozni egy TEAM csoportot és a felhasználókat, szerepeket vagy szervezetleképező csoportokat a TEAM tagjává kell tenni.
  4. A szerepeket és/vagy a szervezetleképező csoportokat és/vagy TEAM csoportokat az erőforrás megfelelő erőforráscsoportjához kell rendelni.

 Folyt. köv…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: