有一个系统(windows,asp.net应用程序,linux,等等......),在这个系统中,系统中存在很多用户组。
我们在两个用户组A和B中有一个用户
在用户组中,允许访问文件夹XY
在用户组B中,拒绝访问文件夹XY
这样的冲突如何解决?
避免这种情况的建议/最佳做法是什么?
答案 0 :(得分:0)
通过定义(和应用)规则来解决冲突。
大多数时候,我只定义权限。因此,只要用户位于允许访问的其中一个组中,就允许访问。
但是你可以定义一条规则,规定禁令强于许可,这样一旦发现禁令,即使其他组允许访问,也会应用禁令。这一切都取决于你的规则。
答案 1 :(得分:0)
如果您混合授予和拒绝权限,我会选择拒绝权重超过授权。在这种情况下,您的问题中的冲突将导致用户被拒绝访问。
但是,如果可能的话,我会选择一个只授予权限或拒绝权限的系统,而不是两者。我认为,默认情况下从最小的权限集开始并向用户和/或组授予特定权限对于许多用户来说是最容易理解的。
答案 2 :(得分:0)
Principal of Least Privilege表示最佳做法是确保默认状态应该是拒绝访问。应使用用户权限系统向需要它的组添加访问权限。在最低限度的特权下,永远不必禁止访问。
当然,虽然它很难管理,但有时能够应用禁止权限也是实用的。为了有用,拒绝应该比允许更强。