Автор: GVBH | 94331 | 07.06.2018 12:43 |
Коллеги,
ввиду растущей инфраструктуры, IT-отдел стал плохо справляться с администрированием матрицы доступа. На поверхности лежит два решения: распределить обязанности по структурным подразделениям или автоматизировать процесс. Если кто сталкивался с такой задачей, подскажите, плз, решение для автоматизации. На выходе хочу видеть обычную картинку объекты доступа / субъекты доступа / права. |
Автор: Artem, CRB | 94355 | 07.06.2018 15:02 |
Как вариант. PowerMatrix
|
Автор: GVBH | 94416 | 08.06.2018 08:44 |
То Artem,
Видел я эту вещь, но при ближайшем рассмотрении она не только сканирует и выдает матрицу, но и умеет менять что-то в системе. Как говорил один известный персонаж "что-то я очкую..." |
Автор: oko | 94438 | 08.06.2018 14:45 |
to GVBH
Если у вас банальная ситуация "есть права доступа и сотрудники - надо оформить на бумаге", то автоматизируй не автоматизируй, все равно все будет упираться во ввод данных ответственным лицом. Единственное, что можно автоматизировать - это раздельное ведение таких "матриц" ответственными лицами (руководителям) подразделений/отделов. Чтобы потом все это сливалось в одну базу, которую главные ответственный проверяет, дополняет и печатает... Если же у вас имеется перечень софта, каждый из которого позволяет делать выписки в своем формате по правам доступа (например, выписки из AD, выписки из СУБД, выписки из какой-то спецпрограммы обработки ИОД), установленным к защищаемым данным для пользователей внутри этого софта, то: - либо искать готовые решения под каждый софт и как-то их связывать между собой, чтобы на выходе получить опять-таки единую базу (см. выше); - либо писать скрипты выгрузки данных из этого софта, декодирования (приведения к единому формату) и формирования единой базы. Уточните задачу для себя в первую очередь. И тогда станет ясно, что же вам конкретно нужно. Универсальных (и безопасных, ага) решений под формирование "матрицы" не существует. Как минимум, потому что у каждого обычно "свое видение" оной матрицы... |
Автор: GVBH | 94457 | 09.06.2018 09:59 |
То oko,
Да, все примерно так и обстоит. Спецпроги для обработки ИОДа нет. Есть выгрузки из AD и т.д. Есть права пользователей... И на бумагу выводить тоже заставляют. Пришли к выводу, что ничего безопасного из готового мы не найдем и надо писать скрипт, чем и занялись. Спасибо за помощь, господа. Ваши посты были полезны для осмысления и постановки задачи. С уважением, GVBH. |
Автор: PTX, NTKS | 94522 | 11.06.2018 10:22 |
Не соглашусь с вами.
Во-первых, есть решения класса IDM, в которых вы можете связать в единую ролевую модель и права доступа в AD, и права, например, в 1С, в CRM, в кадровую БД и много чего еще. При этом кадровые изменения - прием на работу, увольнение, перевод буду отображаться в автоматическом изменении ролей в связанных ИС. Во вторых, если у вас фокус - именно AD, то существуют превосходные средства аудита, связывающие в единую БД и информацию о правах пользователей из AD, и права NTFS, и события доступа к файлам на файловых серверах. А потом "сверху" - любая мыслимая аналитика, например: "Кто удалял в прошлый четверг с сервера файлы с расширением xls?" "Правда ли, что Иванов всю прошлую неделю работал с документам в такой-то папке, или он притронулся к ним только в пятницу?" "Кто в юридическом отделе пользуется доступом к папке с договорами по теме N, а кому этот доступ так и не понадобился?" "Что будет, если отозвать доступ у такой-то группы безопасности к такой-то папке? Вроде бы они ей не пользуются. Или пользуются?" "К каким папкам размером больше 10 Гигов никто не обращался уже полгода? Может, их убрать с серверов и освободить места, которого все время не хватает" И т,д, |
Просмотров темы: 4353