文件服务器权限设计实用招数(2)
三、 用户级别的三个排除原则。
有时候,就算是同一个组的员工,也有权限上的差异。如有些企业,可能不允许其他用户修改自己的文件,而只能看;再严格一点的话,其他用户连阅读的权限都没有;但是,可能部门的负责人可以查看自己的文件,等等。这就是权限管理中的排除原则。
这虽然可以通过对用户进行权限的设置来实现,但是,这么处理的话工作量特别的大,;维护起来也是困难重重。所以,一般情况下,笔者是不建议手工的去进行维护。笔者在考虑文件服务器选型的时候,若企业现在或者未来有这种需求的话,则笔者会评估文件服务器软件中有否现成的解决方案。
第一个排除原则:其他用户只能够查询自己的文件而不能够进行修改。
也就是说,采购员A建立的文件,即使是同一个部门的采购员B,也只能对其进行查看,而不能够进行修改或者删除的操作。这主要是为了保障数据的统一性。如我们在用户信息设置出,可以选中“不允许他人修改我的文件”,则其他用户,即使是同一个部门或者是系统管理员,也不能够对自己的文件进行修改或者删除动作。
第二个排除原则:其他用户只能够看到文件的名字,但是不能够打开或者删除。
有些企业的话,安全要求比较高。如笔者以前遇到过化工企业的采购部门,他们要求各个采购员相互之间的采购单要保密。因为若采购内容知道了,则可以知道具体的产品配方信息。为此,其他员工不仅不能够修改彼此的文件,即使查看也不行。为此,就需要在用户建立的时候,选中“不允许他人阅读自己的文件 ”。通过这种方式,系统就会自动进行控制。
第三个排除原则:特定的人可以突破以上两种限制。
有时会,一些具有特殊权限的人,可以突破这种限制。如采购经理可以修改或者删除采购员的任何文件,即使他们做了如上的排除原则。若不经过特殊处理的话,采购经理也受到上面两个原则的限制。但是,我们在采购经理用户设置的时候,若选中“突破个人限制”选型的话,则采购经理就不受上面两种限制的约束,可以没有任何限制的访问自己手下的文件;并且在必要的时候还可以进行修改。
所以,以上的三个排除选择,只需要选中某个选项,就可以实现了。而不需要再对用户进行复杂的权限设计。故对于用户权限的例外,我是希望在系统中能够具有比较成熟的现成解决方案。这可以节省我们网路管理员维护的工作量;而且,其准确性也会大大的提高。从而增强文件服务器的安全性。
四、 开启访问日志稽核功能。
某个用户在什么时候访问了什么文件,是修改呢还只是阅读;哪个用户多次试图访问未经授权的文件,等等。这些信息,企业网络管理员若能够及时了解的话,则对于提高文件服务器的安全性是非常必要的,也是权限管理中的一个重要举措。无论对于事先控制,还是对于事后追踪都具有非常关键的作用。
所以,我们在选择文件服务器系统的时候,需要关注一下,系统是否有这方面的功能。如系统能否自动记录某个用户的访问文件记录;如系统当用户多次试图访问未经授权的信息时,能否记录他们访问失败的历史。这可以让我们网络管理员了解,有哪些用户在试图访问未经授权的信息,我们可以及时的采取相关的措施,保障文件服务器的安全性。
以上这些权限设计的招数,不仅是我们在文件服务器权限管理中需要注意的内容;而且,我们在文件服务器选型的时候,也需要适当关注这方面的内容,以简化我们后续的权限管理的工作量。
网友评论