AGDLP

AGDLP(аббревиатура "account, global , локальный домен, разрешение ") кратко резюмирует рекомендации Microsoft по реализации управления доступом на основе ролей (RBAC) с использованием вложенных групп в основном режиме Active Directory (AD) домен: учетные записи пользователей и компьютеров aявляются членами gлокальных групп, которые представляют бизнес-роли, которые являются членами окальных групп domain l, которые описывают разрешения ресурсов pили назначения прав пользователей.. AGUDLP(для «учетная запись, глобальная, универсальная, локальная для домена, разрешение») и AGLP(для «учетная запись, глобальная, локальная, разрешение») обобщают аналогичные схемы реализации RBAC в Леса Active Directory и в доменах Windows NT соответственно.

• 1 Подробности
  • 1.1 RBAC в одном домене AD
  • 1.2 RBAC в лесах AD
  • 1.3 RBAC в доменах без AD
• 2 Пример
• 3 Ссылки

Контроль доступа на основе ролей (RBAC) упрощает рутинные операции по управлению учетными записями и облегчает аудит безопасности. Системные администраторы не назначают разрешения напрямую отдельным учетным записям пользователей. Вместо этого люди получают доступ через свои роли в организации, что устраняет необходимость редактировать потенциально большое (и часто меняющееся) количество разрешений на ресурсы и назначений прав пользователей при создании, изменении или удалении учетных записей пользователей. В отличие от традиционных списков управления доступом , разрешения в RBAC описывают значимые операции в конкретном приложении или системе, а не лежащие в основе низкоуровневые методы доступа к объектам данных. Хранение ролей и разрешений в централизованной базе данных или службе каталогов упрощает процесс определения и контроля членства в ролях и разрешений ролей. Аудиторы могут анализировать назначения разрешений из одного места, не разбираясь в деталях реализации конкретного управления доступом для конкретных ресурсов.

RBAC в одном домене AD

Реализация RBAC Microsoft использует различные области групп безопасности, представленные в Active Directory:

Глобальные группы безопасности

Группы безопасности домена с глобальными область представляет собой бизнес-роли или должностные функции в домене. Эти группы могут содержать учетные записи и другие глобальные группы из того же домена, и они могут использоваться ресурсами в любом домене в лесу. Их можно часто менять, не вызывая репликации глобального каталога.

Локальные группы безопасности домена

Группы безопасности домена с локальной областью действия описывают низкоуровневые разрешения или права пользователей, которым они назначены. Эти группы могут использоваться только системами в одном домене. Локальные группы домена могут содержать учетные записи, глобальные группы и универсальные группы из любого домена, а также локальные группы домена из того же домена.

Глобальные группы, представляющие бизнес-роли, должны содержать только учетные записи пользователей или компьютеров. Аналогичным образом, локальные группы домена, которые описывают разрешения ресурсов или права пользователей, должны содержать только глобальные группы, представляющие бизнес-роли. Учетным записям или бизнес-ролям никогда не следует предоставлять разрешения или права напрямую, так как это усложняет последующий анализ прав.

RBAC в лесах AD

В многодоменных средах разные домены в лесу AD могут быть связаны только с помощью WAN ссылок или VPN соединений, поэтому специальные контроллеры домена, называемые серверами глобального каталога, кэшируют определенные классы объектов каталога и типы атрибутов, чтобы сократить дорогостоящий или медленный поиск в каталоге между доменами. Объекты, кэшируемые серверами глобального каталога, включают универсальные группы, но не глобальные группы, что делает поиск членства в универсальных группах намного быстрее, чем аналогичные запросы глобальных групп. Однако любое изменение универсальной группы запускает (потенциально дорогостоящую) репликацию глобального каталога, а для изменения универсальных групп требуются права безопасности на уровне леса, неприемлемые для большинства крупных предприятий. Эти два ограничения не позволяют универсальным группам безопасности полностью заменить глобальные группы безопасности в качестве единственных представителей бизнес-ролей предприятия. Вместо этого реализации RBAC в этих средах используют универсальные группы безопасности для представления ролей в масштабе предприятия, сохраняя при этом глобальные группы безопасности для конкретных доменов, как показано аббревиатурой AGUDLP.

RBAC в доменах, отличных от AD

Домены в Windows NT 4.0 и более ранних версиях имеют только глобальные (уровень домена) и локальные (не доменные) группы и не поддерживают вложение групп на уровне домена. Аббревиатура AGLPотносится к этим ограничениям применительно к реализациям RBAC в старых доменах: Gлобальные группы представляют бизнес-роли, а lокальные группы (созданные на самих серверах-членах домена) представляют разрешения или пользователя. прав.

Для общей папки \\ nyc-ex-svr-01 \ groups \ bizdev ; группа развития бизнеса в отделе маркетинга организации, представленная в Active Directory как (существующая) глобальная группа безопасности «Член группы развития бизнеса»; и требование, чтобы вся группа имела доступ для чтения / записи к общей папке, администратор, следующий за AGDLP, может реализовать управление доступом следующим образом:

1. Создать новую локальную группу безопасности домена в Active Directory с именем «Изменить разрешение на \\ nyc -ex-svr-01 \ groups \ bizdev ".
2. Предоставить этой локальной группе домена набор разрешений NTFS на« изменение »(чтение, запись, выполнение / изменение, удаление) в папке« bizdev ». (Обратите внимание, что разрешения NTFS отличаются от разрешений общего доступа.)
3. Сделать глобальную группу «Член группы развития бизнеса» членом локальной группы домена »Изменить разрешение на \\ nyc-ex-svr -01 \ groups \ bizdev ".

Чтобы подчеркнуть преимущества RBAC на этом примере, если группе бизнес-развития потребовались дополнительные разрешения для папки" bizdev ", системному администратору потребуется только отредактировать одну запись управления доступом ( ACE) вместо того, чтобы, в худшем случае, редактировать столько ACE, сколько есть пользователей с доступом к папке.