不過,說實話,文件服務器要在企業中開花結果,重要的是權限設計。如果,權限設計的不合理的話,則文件服務器會變成企業的雞肋,食之無味,棄之可惜。
筆者幫助多個企業部署過文件服務器,在這方面還是有點心得。在這里筆者就把他總結一下,或許能夠給大家帶來一點幫助。
一、 利用組或者角色來進行權限管理。
在文件服務器的權限設置過程中,筆者不建議網絡管理員直接對用戶進行授權。若直接對用戶進行授權的話,則權限管理的工作量會很大。如一個采購部門,有十幾位甚至更多的員工。則要對他們進行分別的授權,那么,這個維護的工作量就可想而知了。而且,這工作量一大的話,就難免為出現紕漏。
所以,我一般在選擇文件服務器軟件的時候,一般都要求文件服務器能夠根據組或者角色來進行授權。也就是說,現在網絡管理員先建立一個組,如采購組。然后給這個組賦予相關的文件夾訪問權限。其次,把采購員用戶加入到這個組中,采購員就自動繼承了采購組的相關文件夾訪問權限。如此的話,就可以避免給所有的采購員用戶進行授權,就可以提高權限管理的效率。同時,采購員的相關權限只要賦予一次,則可以提高權限管理的準確率。這些優勢,都是筆者傾向采用組或者角色進行權限管理的重要原因。
另外,除了可以讓用戶繼承某個組的權限之外,我們可以設置用戶特殊的權限。如在企業文件服務器上,有一個文件夾,存放著各個供應商的應付帳款明細表。作為普通采購員來說,只能夠查看這些文件,而不能夠進行修改。這些文件一般都是財務根據付款條件等內容整理出來的。但是,作為采購經理來說,則可以對其中相關的內容,如付款日期等等進行必要的維護。為此,采購經理需要對這些文件具有讀寫的權限,而其他采購員對于這些文件只具有只讀的權限。為此,我們不必要再為采購經理去建立一個組。我們只需要把他加入到采購員組,讓其具有采購員組的相關權限。然后,再給這個采購經理用戶,賦予這些文件寫的權限。也就是說,不僅可以對組或者角色進行權限的賦予,而且,在必要的時候,我們還可以給用戶進行授權。如此的話,這個特定的用戶除了組繼承下來的權限之外,還具有一些自身的特殊權限。
二、 一個部門不要使用一個賬戶。
據筆者的了解,有不少企業在部署文件服務器的使用,常常會采用一些簡單的權限控制。如對于一個部門就建立一個賬戶,然后這個部門中的所有員工都采用這個賬戶進行文件服務器的訪問。如筆者以前碰到過一個企業,他們就是如此處理的。如一個采購部門,就一個賬號。網絡管理員給這個賬號進行授權,然后所有的采購部門員工都使用這個賬號。筆者對這種做法不敢茍同。
一是無法對用戶訪問文件服務器上的文件進行稽核。如當文件被意外修改或者文件服務器日至顯示有非法用戶多次試圖訪問未經授權的機密文件的時候,在文件服務器的日志中只能夠顯示某個部門,如采購部門的員工做的。但是,具體是哪個員工做的呢,則無從查起。可見,若一個部門共享一個賬戶名的話,會使得文件服務器的安全性大打折扣。
二是權限無法進行更細的控制。如有時會我們之允許用戶更改刪除自己的文件,而對于其他員工,即使是同一個部門的員工所創建的文件或者文件夾,也不具有修改的權限的時候,若采用這種權限控制的原則,就不能夠實現。
三是普通員工跟部門管理員的權限無法分開,降低了文件服務器上文件的安全性。一般來說,部門管理員比普通員工具有更高的權限。如部門管理員可以訪問自己部門下面各個小組的相關文件;還可以訪問企業管理層的相關數據。若給一個部門共享一個賬戶的話,則部門普通員工跟部門管理員的權限就無法進行區分。要么部門管理員遷就普通員工,只具有普通員工的文件服務器訪問權限;要么就是犧牲文件服務器的安全性,讓普通員工具有更高的文件訪問權限。
所以,一個部門共享一個賬戶的話,會降低文件服務器的安全性;同時,也會減低靈活性。故,筆者對于這種權限管理的方法,是比較反對的。特別是企業對于安全性要求比較高的話,還是不要采用這種權限管理方法為好。不然很可能會搬起石頭,砸自己的腳。
#p#副標題#e#
三、 用戶級別的三個排除原則。
有時候,就算是同一個組的員工,也有權限上的差異。如有些企業,可能不允許其他用戶修改自己的文件,而只能看;再嚴格一點的話,其他用戶連閱讀的權限都沒有;但是,可能部門的負責人可以查看自己的文件,等等。這就是權限管理中的排除原則。
這雖然可以通過對用戶進行權限的設置來實現,但是,這么處理的話工作量特別的大,;維護起來也是困難重重。所以,一般情況下,筆者是不建議手工的去進行維護。筆者在考慮文件服務器選型的時候,若企業現在或者未來有這種需求的話,則筆者會評估文件服務器軟件中有否現成的解決方案。
第一個排除原則:其他用戶只能夠查詢自己的文件而不能夠進行修改。
也就是說,采購員A建立的文件,即使是同一個部門的采購員B,也只能對其進行查看,而不能夠進行修改或者刪除的操作。這主要是為了保障數據的統一性。如我們在用戶信息設置出,可以選中“不允許他人修改我的文件”,則其他用戶,即使是同一個部門或者是系統管理員,也不能夠對自己的文件進行修改或者刪除動作。
第二個排除原則:其他用戶只能夠看到文件的名字,但是不能夠打開或者刪除。
有些企業的話,安全要求比較高。如筆者以前遇到過化工企業的采購部門,他們要求各個采購員相互之間的采購單要保密。因為若采購內容知道了,則可以知道具體的產品配方信息。為此,其他員工不僅不能夠修改彼此的文件,即使查看也不行。為此,就需要在用戶建立的時候,選中“不允許他人閱讀自己的文件”。通過這種方式,系統就會自動進行控制。
第三個排除原則:特定的人可以突破以上兩種限制。
有時會,一些具有特殊權限的人,可以突破這種限制。如采購經理可以修改或者刪除采購員的任何文件,即使他們做了如上的排除原則。若不經過特殊處理的話,采購經理也受到上面兩個原則的限制。但是,我們在采購經理用戶設置的時候,若選中“突破個人限制”選型的話,則采購經理就不受上面兩種限制的約束,可以沒有任何限制的訪問自己手下的文件;并且在必要的時候還可以進行修改。
所以,以上的三個排除選擇,只需要選中某個選項,就可以實現了。而不需要再對用戶進行復雜的權限設計。故對于用戶權限的例外,我是希望在系統中能夠具有比較成熟的現成解決方案。這可以節省我們網路管理員維護的工作量;而且,其準確性也會大大的提高。從而增強文件服務器的安全性。
四、 開啟訪問日志稽核功能。
某個用戶在什么時候訪問了什么文件,是修改呢還只是閱讀;哪個用戶多次試圖訪問未經授權的文件,等等。這些信息,企業網絡管理員若能夠及時了解的話,則對于提高文件服務器的安全性是非常必要的,也是權限管理中的一個重要舉措。無論對于事先控制,還是對于事后追蹤都具有非常關鍵的作用。
所以,我們在選擇文件服務器系統的時候,需要關注一下,系統是否有這方面的功能。如系統能否自動記錄某個用戶的訪問文件記錄;如系統當用戶多次試圖訪問未經授權的信息時,能否記錄他們訪問失敗的歷史。這可以讓我們網絡管理員了解,有哪些用戶在試圖訪問未經授權的信息,我們可以及時的采取相關的措施,保障文件服務器的安全性。
以上這些權限設計的招數,不僅是我們在文件服務器權限管理中需要注意的內容;而且,我們在文件服務器選型的時候,也需要適當關注這方面的內容,以簡化我們后續的權限管理的工作量。
