АГДЛП - AGDLP

АГДЛП (ан сокращение of "account, global, domain local, permission") кратко резюмирует Microsoft рекомендации по внедрению управление доступом на основе ролей (RBAC) с использованием вложенных групп в собственном режиме Active Directory (AD) домен: Пользователь и компьютер аccounts являются членами граммлобальные группы, которые представляют бизнес-роли, которые являются членами dдомен лобычные группы, которые описывают ресурс празрешения или назначения прав пользователей. АГУДЛП (для «учетная запись, глобальная, универсальная, локальная для домена, разрешение») и AGLP (для «учетная запись, глобальный, локальный, разрешение») резюмируйте аналогичные схемы реализации RBAC в Леса Active Directory И в Домены Windows NT, соответственно.

Подробности

Контроль доступа на основе ролей (RBAC) упрощает рутинные операции по управлению учетными записями и упрощает аудит безопасности.[1] Системные администраторы не назначают разрешения напрямую отдельным лицам. учетные записи пользователей. Вместо этого люди получают доступ через свои роли внутри организации, что устраняет необходимость редактировать потенциально большое (и часто меняющееся) количество разрешений на ресурсы и назначений прав пользователей при создании, изменении или удалении учетных записей пользователей. В отличие от традиционных списки контроля доступа, разрешения в RBAC описывают значимые операции в конкретном приложении или системе, а не лежащие в основе низкоуровневые методы доступа к объектам данных. Хранение ролей и разрешений в централизованном база данных или же справочная служба упрощает процесс определения и контроля членства в ролях и разрешений ролей.[2] Аудиторы могут анализировать назначения разрешений из одного места, не разбираясь в деталях реализации конкретного управления доступом для конкретных ресурсов.

RBAC в одном домене AD

Реализация Microsoft RBAC использует различные области групп безопасности, представленные в Active Directory:[3][4]

Глобальные группы безопасности
Группы безопасности домена с глобальной областью действия представляют бизнес-роли или должностные функции в домене. Эти группы могут содержать учетные записи и другие глобальные группы из того же домена, и они могут использоваться ресурсами в любом домене в лесу. Их можно часто менять, не вызывая репликации глобального каталога.
Локальные группы безопасности домена
Группы безопасности домена с локальной областью действия описывают низкоуровневые разрешения или права пользователей, которым они назначены. Эти группы могут использоваться только системами в одном домене. Локальные группы домена могут содержать учетные записи, глобальные группы и универсальные группы из любого домена, а также локальные группы домена из того же домена.

Глобальные группы, представляющие бизнес-роли, должны содержать только учетные записи пользователей или компьютеров. Аналогичным образом, локальные группы домена, которые описывают разрешения ресурсов или права пользователей, должны содержать только глобальные группы, представляющие бизнес-роли. Учетным записям или бизнес-ролям никогда не следует предоставлять разрешения или права напрямую, так как это усложняет последующий анализ прав.

RBAC в лесах AD

В многодоменных средах разные домены в лесу AD могут быть связаны только WAN ссылки или VPN соединений, поэтому специальные контроллеры домена, называемые серверами глобального каталога, кэшируют определенные классы объектов каталога и типы атрибутов, чтобы сократить дорогостоящий или медленный поиск в каталоге между доменами.[5] Объекты, кэшируемые серверами глобального каталога, включают универсальные группы, но не глобальные группы, что делает поиск членства в универсальных группах намного быстрее, чем аналогичные запросы глобальных групп. Однако любое изменение универсальной группы запускает (потенциально дорогостоящую) репликацию глобального каталога, а для изменения универсальных групп требуются права безопасности на уровне леса, неприемлемые для большинства крупных предприятий. Эти два ограничения не позволяют универсальным группам безопасности полностью заменить глобальные группы безопасности в качестве единственных представителей бизнес-ролей предприятия. Вместо этого реализации RBAC в этих средах используют универсальные группы безопасности для представления ролей в масштабе предприятия, сохраняя при этом глобальные группы безопасности для конкретных доменов, как показано сокращением АГУДЛП.

RBAC в доменах, отличных от AD

Домены в Windows NT 4.0 и более ранних версиях имеют только глобальные (уровень домена) и локальные (не доменные) группы и не поддерживают вложение групп на уровне домена.[6] Аббревиатура AGLP относится к этим ограничениям применительно к реализациям RBAC в старых доменах: граммлобальные группы представляют бизнес-роли, а лобычные группы (созданные на самих серверах-членах домена) представляют собой разрешения или права пользователей.

Пример

Учитывая общую папку, nyc-ex-svr-01группы издев; группа развития бизнеса в отделе маркетинга организации, представленная в Active Directory как (существующая) глобальная группа безопасности «Член группы развития бизнеса»; и требование, чтобы вся группа имела доступ для чтения / записи к общей папке, администратор, следующий за AGDLP, может реализовать управление доступом следующим образом:

  1. Создайте новую локальную группу безопасности домена в Active Directory с именем «Изменить разрешение на nyc-ex-svr-01groups izdev».
  2. Предоставьте этой локальной группе домена набор разрешений NTFS на «изменение» (чтение, запись, выполнение / изменение, удаление) в папке «bizdev». (Обратите внимание, что Разрешения NTFS отличаются от поделиться разрешениями.)
  3. Сделайте глобальную группу «Член команды по развитию бизнеса» членом локальной группы домена «Изменить разрешение на nyc-ex-svr-01groups izdev».

Чтобы подчеркнуть преимущества RBAC на этом примере, если группе развития бизнеса потребовались дополнительные разрешения для папки «bizdev», системному администратору нужно было бы отредактировать только одну запись управления доступом (ACE) вместо, в худшем случае, редактирования столько ACE, сколько пользователей с доступом к папке.

Рекомендации

  1. ^ Ferraiolo, D.F .; Кун, Д. (Октябрь 1992 г.). «Контроль доступа на основе ролей» (PDF ). 15-я Национальная конференция по компьютерной безопасности. С. 554–563.
  2. ^ Sandhu, R .; Coyne, E.J .; Файнштейн, H.L .; Юман, К.Э. (август 1996 г.). «Модели управления доступом на основе ролей» (PDF ). IEEE Computer. 29 (2): 38–47. CiteSeerX  10.1.1.50.7649. Дои:10.1109/2.485845.
  3. ^ Корпорация Microsoft (16 марта 2007 г.). «Области действия группы: Active Directory». Microsoft Technet. В архиве из оригинала 14 марта 2009 г.. Получено 2009-04-28.
  4. ^ Мелбер, Дерек (18.05.2006). «Как вкладывать пользователей и группы в разрешения». WindowsSecurity.com. Получено 2009-04-28.
  5. ^ Корпорация Microsoft (21 января 2005 г.). «Понимание глобального каталога: Active Directory». Microsoft Technet. Получено 2005-10-21.
  6. ^ Станек, Уильям Р. «Общие сведения об учетных записях пользователей и групп». Microsoft Technet. В архиве из оригинала 27 апреля 2009 г.. Получено 2009-04-28.