有一个系统(windows、asp.net 应用程序、linux 等等……),在这个系统中,系统中存在许多用户组。
我们在两个用户组 A 和 B 中有一个用户。
在用户组 A 中,允许访问文件夹 XY。
在用户组 B 中,对文件夹 XY 的访问被拒绝。
这样的冲突如何解决?
避免这种情况的建议/最佳做法是什么?
问问题
288 次
3 回答
0
通过定义(和应用)规则来解决冲突。
大多数时候,我只定义权限。因此,只要用户在允许访问的组之一中,就允许访问。
但是您可以定义一条规则,说明禁令强于许可,这样一旦发现禁令,就会应用禁令,即使其他组允许访问。这一切都取决于你的规则。
于 2011-02-07T11:38:15.570 回答
0
如果您同时有授予和拒绝权限,我会选择拒绝比授予更重要。在这种情况下,您问题中的冲突将导致用户被拒绝访问。
但是,如果可能的话,我会选择一个系统,你要么只授予权限,要么拒绝权限,但不能两者兼而有之。我想,对于许多用户来说,从默认的最小权限集开始并向用户和/或组授予特定权限将是最容易理解的。
于 2011-02-07T11:42:32.520 回答
0
最小特权原则指出,最佳实践是确保默认状态应该是拒绝访问。用户权限系统应该用于向需要它的组添加访问权限。在最低权限下,永远不需要禁止访问。
当然,虽然它很难管理,但有时也能够应用禁止权限在实用上很有用。为了有用,拒绝应该比允许强。
于 2011-02-07T12:23:45.403 回答