Comments 7
вы действительно используете слово «разрешение» в смысле permission в реальной жизни?
ABE в основном нужен для удобства пользования: в моем случае вместо 120 папок верхнего уровня пользователь видит в среднем 10-15.
Deny access — это перестраховка на случай ошибок, применять для информации, с которой лучше потратить время на поиск по принципу «почем нет доступа», чем писать объяснительную на тему: почему «менеджер среднего звена» смог удалить фин отчет за год.
Deny access — это перестраховка на случай ошибок, применять для информации, с которой лучше потратить время на поиск по принципу «почем нет доступа», чем писать объяснительную на тему: почему «менеджер среднего звена» смог удалить фин отчет за год.
После нескольких применений Deny Access вы потратите на поиск причины почему нет достпа внутри какого-то каьалога в два раза больше времени. Любые разрешения на доступ необходимо тщательно планировать, тогда и использовать Deny access не приходится.
Немного времени потраченного на дизайн и проектирование сохраняют очень много времени которое тратится на поддержку.
Немного времени потраченного на дизайн и проектирование сохраняют очень много времени которое тратится на поддержку.
Вроде всё логично, но совершенно непонятно, как же вы всё-таки реализуете разный уровень доступа? — только линейный список? или внутри расшаренного поддерева открываете дополнительные шары?
Для этого рекомендую использовать вот эти три правила:
Иначе говоря для каждого каталога которому необходим отдельный доступ отличный от наследуемого создается отдельная группа пользователей по заранее определенному дизайну, моделируются разрешения на каталоге с учетом наследования и после опеределяется каких пользователей стоит добавить в члены группы.
- Для предоставления доступа к каталогам рекомендуется использовать отдельные группы пользователей которые следует размещать в отдельном от остальных групп контейнере
- Все группы для предоставления доступа должны иметь единый заранее определенный дизайн именования
- Разрешения на каталоги можно выдавать только через включение в члены группы которая соответствует данному каталогу(никогда отдельному пользователю напрямую)
Иначе говоря для каждого каталога которому необходим отдельный доступ отличный от наследуемого создается отдельная группа пользователей по заранее определенному дизайну, моделируются разрешения на каталоге с учетом наследования и после опеределяется каких пользователей стоит добавить в члены группы.
Sign up to leave a comment.
Правила хорошего тона для дизайна разрешений на файловых серверах