Группа (вычисления)
Эта статья нуждается в дополнительных цитатах для проверки . ( январь 2024 г. ) |
В вычислительной технике термин «группа» обычно относится к группе пользователей . В принципе, пользователи могут принадлежать ни одной, одной или многим группам (хотя на практике некоторые системы накладывают на это ограничения). Основная цель групп пользователей — упростить контроль доступа к компьютерным системам.
Предположим, что на факультете информатики есть сеть , которой пользуются студенты и преподаватели . Кафедра составила список каталогов , к которым разрешен доступ студентам, и еще один список каталогов, к которым разрешен доступ сотрудникам. Без групп администраторы предоставили бы каждому учащемуся разрешение на доступ к каждому каталогу учащихся, а каждому сотруднику — разрешение на доступ к каждому каталогу сотрудников. На практике это было бы совершенно неосуществимо: каждый раз, когда приходил студент или сотрудник, администраторам приходилось бы назначать разрешения для каждого каталога.
С группами задача намного проще: [1] создайте группу студентов и группу сотрудников, поместив каждого пользователя в соответствующую группу. Доступ к соответствующему каталогу может быть предоставлен всей группе. [1] Чтобы добавить или удалить учетную запись, нужно сделать это только в одном месте (в определении группы), а не в каждом каталоге. Этот рабочий процесс обеспечивает четкое разделение задач: изменить политику доступа, изменить разрешения каталога; изменить лиц, подпадающих под политику, изменить определения групп.
Использование групп
[ редактировать ]Основное использование групп:
- Контроль доступа
- Учет — распределение общих ресурсов, таких как дисковое пространство и пропускная способность сети.
- Профили конфигурации для каждого пользователя по умолчанию — например, по умолчанию каждая учетная запись сотрудника может иметь определенный каталог в своем PATH.
- Выбор контента — отображать только контент, имеющий отношение к членам группы — например, этот канал портала предназначен для студентов, этот список рассылки предназначен для шахматного клуба.
Делегируемое администрирование группы
[ редактировать ]Многие системы предоставляют возможности делегирования группового администрирования. В этих системах при создании группы один или несколько пользователей могут быть назначены администраторами группы. Эти администраторы групп затем могут добавлять и удалять других пользователей из группы, не полагаясь на системного администратора.
Некоторые системы также предоставляют присоединяемые группы, то есть группы, в которые пользователи могут добавлять себя. Присоединяемые группы предназначены не для управления доступом, а для таких целей, как электронные списки рассылки .
Статические и динамические группы
[ редактировать ]Многие системы (особенно системы LDAP ) предлагают возможность создания динамических групп. Традиционно группы статичны: группу определяют путем индивидуального выбора ее членов. Однако в динамических группах администратор может указать критерии поиска. Все пользователи, соответствующие критериям поиска, будут считаться членами этой динамической группы.
Например, можно создать каталог LDAP, используя исходные данные из системы управления студентами. Студенческая система может предоставить атрибут DegreeCode , который может представлять собой числовой код, идентифицирующий программу получения степени , на которую зачислен студент. Предположим, что код степени 55 — это степень бакалавра компьютерных наук . Затем мы могли бы определить группу «BCS-Students» как «(gradeCode=55)» — определив группу, нам не нужно вручную изменять ее членство — ее членство будет меняться автоматически по мере прохождения обновлений через систему. Можно построить еще более сложные определения: «BCS-Students-1» может быть «(&(gradeCode=55)(enrollmentYear=1))» (что означает: пользователь является членом группы «BCS-Students-1»). если это правда, то они зачислены на программу бакалавриата по компьютерным наукам и учатся на первом курсе, т. е. на первом курсе компьютерных наук ).
Роли
[ редактировать ]Некоторые системы (например, серверы LDAP Sun / Netscape / iPlanet ) различают группы и роли. Эти концепции по большей части эквивалентны: основное отличие состоит в том, что в группе ее членство сохраняется как атрибут группы; тогда как в случае с ролями членство сохраняется внутри пользователей в виде списка ролей, которым они принадлежат. Разница, по сути, заключается в компромиссе в производительности: какой тип доступа будет быстрее: процесс перечисления членства в данной коллекции (быстрее для групп) или процесс перечисления того, к каким коллекциям принадлежит этот пользователь ( быстрее для ролей).
См. также
[ редактировать ]- Группа (база данных) — база данных службы имен в Unix-подобных операционных системах.
- Идентификатор группы (Unix) – номер группы учетных записей системы Unix/POSIX; числовое значение, используемое для обозначения определенной группы.
Ссылки
[ редактировать ]- ^ Перейти обратно: а б Гарн, Дэймон (14 октября 2021 г.). «Как управлять пользователями и группами в Linux» . Красная шляпа . Проверено 29 января 2024 г.