一个用户,两个用户组,允许第一组访问,拒绝第二组访问,如何解决冲突?

时间:2011-02-07 11:32:38

标签: asp.net windows linux macos user-management

有一个系统(windows,asp.net应用程序,linux,等等......),在这个系统中,系统中存在很多用户组。
我们在两个用户组A和B中有一个用户 在用户组中,允许访问文件夹XY 在用户组B中,拒绝访问文件夹XY 这样的冲突如何解决? 避免这种情况的建议/最佳做法是什么?

3 个答案:

答案 0 :(得分:0)

通过定义(和应用)规则来解决冲突。

大多数时候,我只定义权限。因此,只要用户位于允许访问的其中一个组中,就允许访问。

但是你可以定义一条规则,规定禁令强于许可,这样一旦发现禁令,即使其他组允许访问,也会应用禁令。这一切都取决于你的规则。

答案 1 :(得分:0)

如果您混合授予和拒绝权限,我会选择拒绝权重超过授权。在这种情况下,您的问题中的冲突将导致用户被拒绝访问。

但是,如果可能的话,我会选择一个只授予权限或拒绝权限的系统,而不是两者。我认为,默认情况下从最小的权限集开始并向用户和/或组授予特定权限对于许多用户来说是最容易理解的。

答案 2 :(得分:0)

Principal of Least Privilege表示最佳做法是确保默认状态应该是拒绝访问。应使用用户权限系统向需要它的组添加访问权限。在最低限度的特权下,永远不必禁止访问。

当然,虽然它很难管理,但有时能够应用禁止权限也是实用的。为了有用,拒绝应该比允许更强。