Jump to content

АГДЛП

Edit links

AGDLP ( аббревиатура от «учетная запись, глобальная, локальная доменная, разрешение») кратко обобщает контроля рекомендации Microsoft по реализации доступа на основе ролей в собственном режиме (RBAC) с использованием вложенных групп в домене Active Directory (AD) : Пользователь и компьютер. Учетные записи являются членами глобальных групп, которые представляют бизнес-роли, которые являются членами групп домена локальных , которые описывают разрешения на ресурсы или назначения прав пользователей. AGUDLP (от «учетная запись, глобальная, универсальная, локальная, доменная, разрешение») и AGLP (от «учетная запись, глобальная, локальная, разрешение») обобщают схожие схемы реализации RBAC в лесах Active Directory и в доменах Windows NT соответственно.

Подробности

[ редактировать ]

Управление доступом на основе ролей (RBAC) упрощает рутинные операции по управлению учетными записями и упрощает аудит безопасности . [1] Системные администраторы не назначают разрешения непосредственно отдельным учетным записям пользователей . Вместо этого отдельные пользователи получают доступ через свои роли в организации, что устраняет необходимость редактирования потенциально большого (и часто меняющегося) количества разрешений на ресурсы и назначений прав пользователей при создании, изменении или удалении учетных записей пользователей. В отличие от традиционных списков управления доступом , разрешения в RBAC описывают значимые операции внутри конкретного приложения или системы, а не базовые методы доступа к объектам данных низкого уровня. Хранение ролей и разрешений в централизованной базе данных или службе каталогов упрощает процесс определения и контроля членства в ролях и разрешений ролей. [2] Аудиторы могут анализировать назначения разрешений из одного места без необходимости разбираться в деталях реализации конкретного контроля доступа для конкретного ресурса.

RBAC в одном домене AD

[ редактировать ]

Реализация RBAC от Microsoft использует различные области групп безопасности, представленные в Active Directory: [3] [4]

Глобальные группы безопасности
Группы безопасности домена с глобальной областью действия представляют бизнес-роли или функции работы в домене. Эти группы могут содержать учетные записи и другие глобальные группы из одного домена и могут использоваться ресурсами в любом домене леса. Их можно часто менять, не вызывая репликации глобального каталога.
Локальные группы безопасности домена
Группы безопасности домена с локальной областью действия домена описывают разрешения низкого уровня или права пользователей, которым они назначены. Эти группы могут использоваться только системами в одном домене. Локальные группы домена могут содержать учетные записи, глобальные группы и универсальные группы из любого домена, а также локальные группы домена из того же домена.

Глобальные группы, представляющие бизнес-роли, должны содержать только учетные записи пользователей или компьютеров. Аналогично, локальные группы домена, описывающие разрешения на ресурсы или права пользователей, должны содержать только глобальные группы, представляющие бизнес-роли. Учетным записям или бизнес-ролям никогда не следует предоставлять разрешения или права напрямую, поскольку это усложняет последующий анализ прав.

RBAC в лесах AD

[ редактировать ]

В многодоменных средах разные домены в лесу AD могут быть соединены только с помощью каналов WAN или VPN- соединений, поэтому специальные контроллеры домена, называемые серверами глобального каталога, кэшируют определенные классы объектов каталога и типы атрибутов, чтобы сократить дорогостоящие или медленные междоменные соединения. поиск по каталогам. [5] Объекты, кэшированные серверами глобального каталога, включают универсальные группы, но не глобальные группы, что делает поиск членства в универсальных группах намного быстрее, чем аналогичные запросы глобальных групп. Однако любое изменение универсальной группы запускает (потенциально дорогостоящую) репликацию глобального каталога, а изменения в универсальных группах требуют прав безопасности на уровне всего леса, что неприемлемо для большинства крупных предприятий. Эти два ограничения не позволяют универсальным группам безопасности полностью заменить глобальные группы безопасности в качестве единственных представителей бизнес-ролей предприятия. Вместо этого реализации RBAC в этих средах используют универсальные группы безопасности для представления ролей в масштабе предприятия, сохраняя при этом глобальные группы безопасности, специфичные для домена, что показано аббревиатурой AGUDLP .

RBAC в доменах, отличных от AD

[ редактировать ]

Домены в Windows NT 4.0 и более ранних версиях имеют только глобальные (на уровне домена) и локальные (недоменные) группы и не поддерживают вложенность групп на уровне домена. [6] Аббревиатура AGLP относится к этим ограничениям применительно к реализациям RBAC в старых доменах: глобальные группы представляют бизнес-роли, а локальные группы (созданные на самих членских серверах домена) представляют разрешения или права пользователей.

Пример

[ редактировать ]

Учитывая общую папку, \\nyc-ex-svr-01\groups\bizdev ; группа развития бизнеса в отделе маркетинга организации, представленная в Active Directory как (существующая) глобальная группа безопасности «Член группы развития бизнеса»; и требование, чтобы вся группа имела доступ на чтение/запись к общей папке, администратор, следующий за AGDLP, может реализовать контроль доступа следующим образом:

  1. Создайте новую локальную группу безопасности домена в Active Directory с именем «Изменить разрешение на \\nyc-ex-svr-01\groups\bizdev».
  2. Предоставьте этой локальной группе домена набор разрешений NTFS «Изменить» (чтение, запись, выполнение/изменение, удаление) в папке «bizdev». (Обратите внимание, что разрешения NTFS отличаются от разрешений общих ресурсов .)
  3. Сделайте глобальную группу «Член группы по развитию бизнеса» членом локальной группы домена «Изменить разрешение на \\nyc-ex-svr-01\groups\bizdev».

Чтобы подчеркнуть преимущества RBAC на этом примере: если группе по развитию бизнеса потребуются дополнительные разрешения для папки «bizdev», системному администратору потребуется отредактировать только одну запись управления доступом (ACE) вместо, в худшем случае, редактирования. столько ACE, сколько пользователей имеют доступ к папке.

Ссылки

[ редактировать ]
  1. ^ Феррайоло, DF; Кун, Д.Р. (октябрь 1992 г.). «Управление доступом на основе ролей» (PDF) . 15-я Национальная конференция по компьютерной безопасности . стр. 554–563.
  2. ^ Сандху, Р.; Койн, Э.Дж.; Файнштейн, Х.Л.; Юман, CE (август 1996 г.). «Модели управления доступом на основе ролей» (PDF) . IEEE-компьютер . 29 (2): 38–47. CiteSeerX   10.1.1.50.7649 . дои : 10.1109/2.485845 . S2CID   1958270 .
  3. ^ Корпорация Microsoft (16 марта 2007 г.). «Области групп: Active Directory» . Майкрософт Технет . Архивировано из оригинала 14 марта 2009 года . Проверено 28 апреля 2009 г.
  4. ^ Мельбер, Дерек (18 мая 2006 г.). «Как объединить пользователей и группы для получения разрешений» . WindowsSecurity.com . Проверено 28 апреля 2009 г.
  5. ^ Корпорация Microsoft (21 января 2005 г.). «Понимание глобального каталога: Active Directory» . Майкрософт Технет . Проверено 21 октября 2005 г.
  6. ^ Станек, Уильям Р. «Понимание учетных записей пользователей и групп» . Майкрософт Технет . Архивировано из оригинала 27 апреля 2009 года . Проверено 28 апреля 2009 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=AGDLP&oldid=1166663969"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 472719f7077682089b03327e37c8150c__1690062660
URL1:https://arc.ask3.ru/arc/aa/47/0c/472719f7077682089b03327e37c8150c.html
Заголовок, (Title) документа по адресу, URL1:
AGDLP - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)