文件服務(wù)器權(quán)限設(shè)計實用招數(shù)

字號:

文件服務(wù)器是企業(yè)用得最多的應(yīng)用服務(wù)器之一。因為文件服務(wù)器可以在一個統(tǒng)一的平臺上對企業(yè)的重要文件進(jìn)行備份、訪問控制、權(quán)限管理等等,從而可以全方位的提高企業(yè)數(shù)據(jù)的安全性。所以,文件服務(wù)器在企業(yè)信息化辦公中的影響已經(jīng)越來越大。
    不過,說實話,文件服務(wù)器要在企業(yè)中開花結(jié)果,重要的是權(quán)限設(shè)計。如果,權(quán)限設(shè)計的不合理的話,則文件服務(wù)器會變成企業(yè)的雞肋,食之無味,棄之可惜。
    多個企業(yè)部署過文件服務(wù)器,在這方面還是有點心得。在這里考試大就把他總結(jié)一下,或許能夠給大家?guī)硪稽c幫助。
    一、 利用組或者角色來進(jìn)行權(quán)限管理。
    在文件服務(wù)器的權(quán)限設(shè)置過程中,考試大不建議網(wǎng)絡(luò)管理員直接對用戶進(jìn)行授權(quán)。若直接對用戶進(jìn)行授權(quán)的話,則權(quán)限管理的工作量會很大。如一個采購部門,有十幾位甚至更多的員工。則要對他們進(jìn)行分別的授權(quán),那么,這個維護(hù)的工作量就可想而知了。而且,這工作量一大的話,就難免為出現(xiàn)紕漏。
    所以,考試大一般在選擇文件服務(wù)器軟件的時候,一般都要求文件服務(wù)器能夠根據(jù)組或者角色來進(jìn)行授權(quán)。也就是說,現(xiàn)在網(wǎng)絡(luò)管理員先建立一個組,如采購組。然后給這個組賦予相關(guān)的文件夾訪問權(quán)限。其次,把采購員用戶加入到這個組中,采購員就自動繼承了采購組的相關(guān)文件夾訪問權(quán)限。如此的話,就可以避免給所有的采購員用戶進(jìn)行授權(quán),就可以提高權(quán)限管理的效率。同時,采購員的相關(guān)權(quán)限只要賦予一次,則可以提高權(quán)限管理的準(zhǔn)確率。這些優(yōu)勢,都是考試大傾向采用組或者角色進(jìn)行權(quán)限管理的重要原因。
    另外,除了可以讓用戶繼承某個組的權(quán)限之外,我們可以設(shè)置用戶特殊的權(quán)限。如在企業(yè)文件服務(wù)器上,有一個文件夾,存放著各個供應(yīng)商的應(yīng)付帳款明細(xì)表。作為普通采購員來說,只能夠查看這些文件,而不能夠進(jìn)行修改。這些文件一般都是財務(wù)根據(jù)付款條件等內(nèi)容整理出來的。但是,作為采購經(jīng)理來說,則可以對其中相關(guān)的內(nèi)容,如付款日期等等進(jìn)行必要的維護(hù)。為此,采購經(jīng)理需要對這些文件具有讀寫的權(quán)限,而其他采購員對于這些文件只具有只讀的權(quán)限。為此,我們不必要再為采購經(jīng)理去建立一個組。我們只需要把他加入到采購員組,讓其具有采購員組的相關(guān)權(quán)限。然后,再給這個采購經(jīng)理用戶,賦予這些文件寫的權(quán)限。也就是說,不僅可以對組或者角色進(jìn)行權(quán)限的賦予,而且,在必要的時候,我們還可以給用戶進(jìn)行授權(quán)。如此的話,這個特定的用戶除了組繼承下來的權(quán)限之外,還具有一些自身的特殊權(quán)限。
    二、 一個部門不要使用一個賬戶。
    據(jù)考試大的了解,有不少企業(yè)在部署文件服務(wù)器的使用,常常會采用一些簡單的權(quán)限控制。如對于一個部門就建立一個賬戶,然后這個部門中的所有員工都采用這個賬戶進(jìn)行文件服務(wù)器的訪問。如考試大以前碰到過一個企業(yè),他們就是如此處理的。如一個采購部門,就一個賬號。網(wǎng)絡(luò)管理員給這個賬號進(jìn)行授權(quán),然后所有的采購部門員工都使用這個賬號??荚嚧髮@種做法不敢茍同。
    一是無法對用戶訪問文件服務(wù)器上的文件進(jìn)行稽核。如當(dāng)文件被意外修改或者文件服務(wù)器日至顯示有非法用戶多次試圖訪問未經(jīng)授權(quán)的機(jī)密文件的時候,在文件服務(wù)器的日志中只能夠顯示某個部門,如采購部門的員工做的。但是,具體是哪個員工做的呢,則無從查起??梢姡粢粋€部門共享一個賬戶名的話,會使得文件服務(wù)器的安全性大打折扣。
    二是權(quán)限無法進(jìn)行更細(xì)的控制。如有時會我們之允許用戶更改刪除自己的文件,而對于其他員工,即使是同一個部門的員工所創(chuàng)建的文件或者文件夾,也不具有修改的權(quán)限的時候,若采用這種權(quán)限控制的原則,就不能夠?qū)崿F(xiàn)。
    三是普通員工跟部門管理員的權(quán)限無法分開,降低了文件服務(wù)器上文件的安全性。一般來說,部門管理員比普通員工具有更高的權(quán)限。如部門管理員可以訪問自己部門下面各個小組的相關(guān)文件;還可以訪問企業(yè)管理層的相關(guān)數(shù)據(jù)。若給一個部門共享一個賬戶的話,則部門普通員工跟部門管理員的權(quán)限就無法進(jìn)行區(qū)分。要么部門管理員遷就普通員工,只具有普通員工的文件服務(wù)器訪問權(quán)限;要么就是犧牲文件服務(wù)器的安全性,讓普通員工具有更高的文件訪問權(quán)限。
    所以,一個部門共享一個賬戶的話,會降低文件服務(wù)器的安全性;同時,也會減低靈活性。故,考試大對于這種權(quán)限管理的方法,是比較反對的。特別是企業(yè)對于安全性要求比較高的話,還是不要采用這種權(quán)限管理方法為好。不然很可能會搬起石頭,砸自己的腳。
    三、 用戶級別的三個排除原則。
    有時候,就算是同一個組的員工,也有權(quán)限上的差異。如有些企業(yè),可能不允許其他用戶修改自己的文件,而只能看;再嚴(yán)格一點的話,其他用戶連閱讀的權(quán)限都沒有;但是,可能部門的負(fù)責(zé)人可以查看自己的文件,等等。這就是權(quán)限管理中的排除原則。
    這雖然可以通過對用戶進(jìn)行權(quán)限的設(shè)置來實現(xiàn),但是,這么處理的話工作量特別的大,;維護(hù)起來也是困難重重。所以,一般情況下,考試大是不建議手工的去進(jìn)行維護(hù)??荚嚧笤诳紤]文件服務(wù)器選型的時候,若企業(yè)現(xiàn)在或者未來有這種需求的話,會評估文件服務(wù)器軟件中有否現(xiàn)成的解決方案。
    第一個排除原則:其他用戶只能夠查詢自己的文件而不能夠進(jìn)行修改。
    也就是說,采購員A建立的文件,即使是同一個部門的采購員B,也只能對其進(jìn)行查看,而不能夠進(jìn)行修改或者刪除的操作。這主要是為了保障數(shù)據(jù)的統(tǒng)一性。如我們在用戶信息設(shè)置出,可以選中“不允許他人修改我的文件”,則其他用戶,即使是同一個部門或者是系統(tǒng)管理員,也不能夠?qū)ψ约旱奈募M(jìn)行修改或者刪除動作。
    第二個排除原則:其他用戶只能夠看到文件的名字,但是不能夠打開或者刪除。
    有些企業(yè)的話,安全要求比較高。以前遇到過化工企業(yè)的采購部門,他們要求各個采購員相互之間的采購單要保密。因為若采購內(nèi)容知道了,則可以知道具體的產(chǎn)品配方信息。為此,其他員工不僅不能夠修改彼此的文件,即使查看也不行。為此,就需要在用戶建立的時候,選中“不允許他人閱讀自己的文件”。通過這種方式,系統(tǒng)就會自動進(jìn)行控制。
    第三個排除原則:特定的人可以突破以上兩種限制。
    有時會,一些具有特殊權(quán)限的人,可以突破這種限制。如采購經(jīng)理可以修改或者刪除采購員的任何文件,即使他們做了如上的排除原則。若不經(jīng)過特殊處理的話,采購經(jīng)理也受到上面兩個原則的限制。但是,我們在采購經(jīng)理用戶設(shè)置的時候,若選中“突破個人限制”選型的話,則采購經(jīng)理就不受上面兩種限制的約束,可以沒有任何限制的訪問自己手下的文件;并且在必要的時候還可以進(jìn)行修改。
    所以,以上的三個排除選擇,只需要選中某個選項,就可以實現(xiàn)了。而不需要再對用戶進(jìn)行復(fù)雜的權(quán)限設(shè)計。故對于用戶權(quán)限的例外,我是希望在系統(tǒng)中能夠具有比較成熟的現(xiàn)成解決方案。這可以節(jié)省我們網(wǎng)路管理員維護(hù)的工作量;而且,其準(zhǔn)確性也會大大的提高。從而增強(qiáng)文件服務(wù)器的安全性。
    四、 開啟訪問日志稽核功能。
    某個用戶在什么時候訪問了什么文件,是修改呢還只是閱讀;哪個用戶多次試圖訪問未經(jīng)授權(quán)的文件,等等。這些信息,企業(yè)網(wǎng)絡(luò)管理員若能夠及時了解的話,則對于提高文件服務(wù)器的安全性是非常必要的,也是權(quán)限管理中的一個重要舉措。無論對于事先控制,還是對于事后追蹤都具有非常關(guān)鍵的作用。
    所以,我們在選擇文件服務(wù)器系統(tǒng)的時候,需要關(guān)注一下,系統(tǒng)是否有這方面的功能。如系統(tǒng)能否自動記錄某個用戶的訪問文件記錄;如系統(tǒng)當(dāng)用戶多次試圖訪問未經(jīng)授權(quán)的信息時,能否記錄他們訪問失敗的歷史。這可以讓我們網(wǎng)絡(luò)管理員了解,有哪些用戶在試圖訪問未經(jīng)授權(quán)的信息,我們可以及時的采取相關(guān)的措施,保障文件服務(wù)器的安全性。
    以上這些權(quán)限設(shè)計的招數(shù),不僅是我們在文件服務(wù)器權(quán)限管理中需要注意的內(nèi)容;而且,我們在文件服務(wù)器選型的時候,也需要適當(dāng)關(guān)注這方面的內(nèi)容,以簡化我們后續(xù)的權(quán)限管理的工作量