Групи безпеки на підприємстві - Планування та розгортання служби доступу до інформаційних ресурсів підприємства

"Active Directory" включає в себе два типи груп (безпеки і поширення) домену з трьома областями дії (локальна в домені, глобальна і універсальна) в кожній з них.

Групи безпеки - відносяться до принципалів безпеки з SID-ідентифікаторами [3]. У зв'язку з цим даний тип групи вважається найпоширенішим і групи такого типу можна використовувати для управління безпекою та призначення дозволів доступу до мережевих ресурсів в списках "ACL" [3]. У свою чергу, група поширення спочатку використовується додатками електронної пошти, і вона не може бути принципалом безпеки.

У "Active Directory" існує три області дії груп [3]:

    - локальна група в домені - призначена для управління дозволами доступу до ресурсів. Локальну групу в домені можна додавати в списки "ACL" будь-якого ресурсу на будь-якому звичайному комп'ютері домену. У локальну групу в домені можуть входити користувачі, комп'ютери, глобальні та локальні групи в поточному домені, будь-якому іншому домені лісу, а також універсальні групи в будь-якому домені лісу. У зв'язку з цим, локальні групи в домені зазвичай використовують для надання правил доступу у всьому домені, а також для членів довірчих доменів. - глобальна група - основною метою даної групи безпеки є визначення колекції об'єктів доменів на підставі бізнес-правил і управління об'єктами, які вимагають щоденного використання. Глобальна група може містити користувачів, комп'ютери та інші глобальні групи тільки з одного домену. Незважаючи на це, глобальні групи можуть бути членами будь-яких універсальних і локальних груп як у своєму домені, так і недовірливому домені. Крім цього, глобальні групи можна додавати в списки "ACL" в домені, лісі і в недовірливому домені, що робить управління групами більш простим і раціональним. - універсальна група - дозволяє управляти ресурсами, розподіленими на декількох доменах, тому універсальні групи вважаються найбільш гнучкими. Універсальні групи визначаються в одному домені, але реплікуються в глобальний каталог. Універсальна група може бути членом іншої універсальної або локальної групи домену в лісі, а також може використовуватися для управління ресурсами. Ці групи доцільно задіяти тільки в лісах, що складаються з безлічі доменів для їх об'єднання.

Групи безпеки спрощують надання дозволів користувачам, оскільки встановити дозволи групі і додати користувачів в цю групу набагато простіше, ніж окремо призначати дозволу численним користувачам і управляти цими дозволами, а коли користувачі входять в групу, для зміни того чи іншого дозволу всіх цих користувачів достатньо однієї операції. У зв'язку з цим для управління дозволами доступу до ресурсів виробничої компанії "ANTLERS&;HOOFS" прийняті наступні рішення:

    1) Оскільки верховний адміністративний менеджмент підприємства повинен мати необмежений доступ до інформаційних ресурсів підприємства від президента до начальників регіональних центрів компанії, до групи безпеки, до якої повинні входити облікові записи цих користувачів пред'являються наступні вимоги:
      - призначені дозволи повинні діяти при спробі доступу до ресурсів декількох доменів; - група повинна існувати поза меж доменів; - в групу можуть входити користувачів і інші групи в межах лісу.

Цим вимогам повною мірою відповідає універсальні група безпеки, у зв'язку з чим, для верховного адміністративного менеджменту підприємства пропонується створити в центральному домені універсальну групу "Президенти".

    2) Оскільки вимоги до безпеки, а також дозволу доступу до ресурсів компанії для керівників відділів відрізняються від дозволів надаються верховному адміністративного менеджменту, але в той же час їм передбачається дозволений доступ до ряду конфіденційних даних, що функціонує в компанії для них пропонується створити окрему глобальну групу безпеки "Керівники відділів". Облікові записи користувачів, яким також дозволений доступ до конфіденційної інформації підприємства, які є співробітниками відділу інформаційної безпеки, також пропонується додати до групи, оскільки вони мають той же рівень доступу і, як наслідок до них висуваються ідентичні вимоги політики безпеки компанії. 3) Оскільки рядовий персонал центрального офісу і підрозділів не потрібно доступ до ресурсів компанії поза межами їх домену, для них пропонується створювати локальну групу безпеки "Робітники".

Похожие статьи




Групи безпеки на підприємстві - Планування та розгортання служби доступу до інформаційних ресурсів підприємства

Предыдущая | Следующая