AGDLP - AGDLP
AGDLP (en forkortelse af "konto, global, domænelokal , tilladelse") opsummerer kort Microsofts anbefalinger til implementering af rollebaseret adgangskontrol (RBAC) ved hjælp af indlejrede grupper i et native-mode Active Directory (AD) domæne: Bruger og computer a ÅRSREGNSKAB er medlemmer af g lobal grupper, der repræsenterer business roller, som er medlemmer af d omain l ocal grupper, der beskriver ressource p ermissions eller brugerrettigheder. AGUDLP (for "konto, global, universal, domæne lokal, tilladelse") og AGLP (for "konto, global, lokal, tilladelse") opsummerer lignende RBAC-implementeringsskemaer i henholdsvis Active Directory-skove og i Windows NT-domæner .
detaljer
Rollebaseret adgangskontrol (RBAC) forenkler rutinemæssig kontoadministration og letter sikkerhedsrevision . Systemadministratorer tildeler ikke tilladelser direkte til individuelle brugerkonti . I stedet får enkeltpersoner adgang gennem deres roller i en organisation, hvilket eliminerer behovet for at redigere et potentielt stort (og ofte skiftende) antal ressourcetilladelser og brugerrettighedsopgaver, når de opretter, ændrer eller sletter brugerkonti. I modsætning til traditionelle adgangskontrolister beskriver tilladelser i RBAC meningsfulde operationer inden for et bestemt program eller system i stedet for de underliggende metoder til adgang til dataobjekt på lavt niveau. Lagring af roller og tilladelser i en central database eller katalogtjeneste forenkler processen med at fastslå og kontrollere rollemedlemskaber og rolletilladelser. Revisorer kan analysere tilladelsestildelinger fra et enkelt sted uden at skulle forstå de ressource-specifikke implementeringsoplysninger for en bestemt adgangskontrol.
RBAC i et enkelt AD-domæne
Microsofts implementering af RBAC udnytter de forskellige omfang af sikkerhedsgrupper, der findes i Active Directory:
- Globale sikkerhedsgrupper
- Domænesikkerhedsgrupper med globalt omfang repræsenterer forretningsroller eller jobfunktioner inden for domænet. Disse grupper kan indeholde konti og andre globale grupper fra det samme domæne, og de kan bruges af ressourcer i ethvert domæne i skoven. De kan ændres ofte uden at forårsage global katalogreplikation.
- Domæne lokale sikkerhedsgrupper
- Domænesikkerhedsgrupper med domæne lokalt omfang beskriver de lave tilladelser eller brugerrettigheder, som de er tildelt. Disse grupper kan kun bruges af systemer i samme domæne. Lokale domænegrupper kan indeholde konti, globale grupper og universelle grupper fra ethvert domæne samt lokale lokale domæner fra samme domæne.
Globale grupper, der repræsenterer forretningsroller, bør kun indeholde bruger- eller computerkonti. Ligeledes skal lokale domæne grupper, der beskriver ressourcetilladelser eller brugerrettigheder, kun indeholde globale grupper, der repræsenterer forretningsroller. Konti eller forretningsrolle skal aldrig gives tilladelser eller rettigheder direkte, da dette komplicerer efterfølgende rettighedsanalyse.
RBAC i AD skove
I miljøer med flere domæner kan de forskellige domæner i en AD-skov kun forbindes med WAN- links eller VPN- forbindelser, så specielle domænecontrollere kaldet globale katalogservere cache bestemte katalogobjektklasser og attributtyper for at reducere dyre eller langsomme interdomæner katalogopslag. Objekter, der caches af de globale katalogservere, inkluderer universelle grupper, men ikke globale grupper, hvilket gør medlemsopslag hos universelle grupper meget hurtigere end lignende forespørgsler fra globale grupper. Enhver ændring af en universel gruppe udløser (potentielt dyr) global katalogreplikation, og ændringer af universelle grupper kræver imidlertid skovdækkende sikkerhedsrettigheder, der er upassende i de fleste store virksomheder. Disse to begrænsninger forhindrer universelle sikkerhedsgrupper i fuldstændigt at erstatte globale sikkerhedsgrupper som de eneste repræsentanter for en virksomheds forretningsroller. I stedet bruger RBAC-implementeringer i disse miljøer universelle sikkerhedsgrupper til at repræsentere roller på tværs af virksomheden, mens domænespecifikke globale sikkerhedsgrupper bevares, som illustreret af forkortelsen AGUDLP .
RBAC i ikke-AD-domæner
Domæner i Windows NT 4.0 og tidligere har kun globale (domæneniveau) og lokale (ikke-domæne) grupper og understøtter ikke gruppeindlejring på domæneniveau. Forkortelsen AGLP refererer til disse begrænsninger anvendt på RBAC implementeringer i ældre domæner: G lobal grupper repræsenterer business roller, mens l ocal grupper (oprettet på domænet medlemsservere selv) repræsenterer tilladelser eller brugerrettigheder.
Eksempel
Givet en delt mappe, \\ nyc-ex-svr-01 \ grupper \ bizdev ; en forretningsudviklingsgruppe inden for organisationens marketingafdeling, repræsenteret i Active Directory som den (eksisterende) globale sikkerhedsgruppe "Business Development Team Member"; og et krav om, at hele gruppen har læse- / skriveadgang til den delte mappe, kan en administrator, der følger AGDLP, muligvis implementere adgangskontrollen som følger:
- Opret et nyt domæne lokal sikkerhedsgruppe i Active Directory med navnet "Skift tilladelse på \\ nyc-ex-svr-01 \ grupper \ bizdev".
- Giv den lokale domæne gruppen NTFS "ændre" tilladelsessættet (læs, skriv, udfør / rediger, slet) i mappen "bizdev". (Bemærk, at NTFS-tilladelser adskiller sig fra aktierettigheder .)
- Gør den globale gruppe "Business Development Team Member" til medlem af domænet lokal gruppe "Skift tilladelse på \\ nyc-ex-svr-01 \ groups \ bizdev".
For at fremhæve fordelene ved RBAC ved hjælp af dette eksempel, hvis Business Development Team krævede yderligere tilladelser til "bizdev" -mappen, behøver en systemadministrator kun at redigere en enkelt adgangskontrolpost (ACE) i stedet for i værste fald redigering så mange ACE'er, som der er brugere med adgang til mappen.