TechBlog

Teknik och filosofi

Den perfekta implementeringen av katalogbehörigheter

inga kommentarer

När man tar över en ansvaret för en Windows-miljö från någon annan är det ofta lite problem med rättigheter för delade mappar. Ofta får man en fråga i stil med

–Praktikanten Eva skall komma åt avtalsmappen.

När jag kontrollerar behörigheterna som krävs för mappen “Avtal” ser jag att endast medlemmar av gruppen “Ledning” kommer åt mappen.

image

Nu har jag två val: Lägga till praktikanten i gruppen ledning (säkert inte en särskilt bra ide) eller lägga till Eva i behörighetslistan för mappen. Problemet är att jag har inte någon aning om vilka andra behörigheter som gruppen “Ledning” har tilldelats.

Naturligtvis finns det inte någon dokumentation om hur personen som har satt upp behörigheterna har tänkt. Förmodligen har någon helt bett en IT-administratör att sätta upp en mapp och begränsa tillgången till den till endast ledningen och administratören har helt enkelt gjort som han/hon blev tillsagt.

Det finns en enkel lösning på detta, jag har valt att kalla det resursgrupper. För varje mapp som skall begränsas skapar jag två grupper, en för läsbehörighet och en för skrivbehörighet. Därefter lägger jag med gruppen “Ledning” i gruppen “Folder Avtal RW” och så har jag löst det ursprungliga önskemålet.

image

Varför är då detta så mycket bättre? Hemligheten ligger i att Active Directory är en databas. Genom fliken "Member of” på gruppen “Ledning” kan vi med denna modell få svaret på frågan vilka behörigheter som är tilldelade för gruppen. Vi ser enkelt att den enda behörigheten gruppen har är läs och skriv i till mappen “Avtal”.

image

Sammanfattning

  • För varje resurs (mappar, skrivare, databaser, etc) som du vill kontrollera behörigheten för skapar du en resursgrupp. Varje resursgrupp skall i möjligaste mån peka en behörighet för en resurs.
  • Använd i möjligaste mån roller för att tilldela behörigheter. Det kan finnas många olika slags roller, t ex organisatoriska (Ledning, Försäljning) eller funktionella (Projektledare, Avdelningssekreterare).
  • Bli inte för rabiat, det är helt OK att lägga in användare direkt i resursgrupperna. Det viktiga är återigen den externa kopplingen utanför Active Directory.image

Slutligen vill jag påpeka att det är inte är något nytt, detta talade man ganska ofta om redan på NT4-tiden. Jag tycker dock att det har kommit av sig något i och med friheten med Active Directory…

Av kalle

december 11th, 2009 at 12:04 f m

Postat i Filosofi

Kommentera