ProHoster > blog > Utawala > Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Inavyoonekana karma yangu ni hii: kutekeleza kazi za kawaida kwa kila aina ya njia zisizo za kawaida. Ikiwa mtu ana maono tofauti ya tatizo, tafadhali lijadili ili suala hilo liweze kutatuliwa.

Asubuhi moja kazi ya kupendeza iliibuka kusambaza haki kwa vikundi vya watumiaji kwa hisa tofauti zilizo na folda ndogo za miradi iliyo na folda za hati. Kila kitu kilikuwa sawa na hati iliandikwa ili kutoa haki kwa folda. Na kisha ikawa kwamba vikundi vinapaswa kuwa na watumiaji kutoka vikoa tofauti, kutoka kwa misitu tofauti (kwa wale waliosahau ni nini) Wacha tuseme hisa yenyewe iko kwenye media ya Synology, iliyosajiliwa katika kikoa cha FB cha msitu wa PSI. Kazi: kuruhusu watumiaji wa vikoa katika msitu mwingine kupata maudhui ya sehemu hii, na kwa kuchagua sana.

Baada ya muda, maelezo ya kiufundi yalichukua fomu ifuatayo:

  • Misitu 2: Msitu wa PSI, msitu wa TG.

    Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

  • Kila msitu una vikoa 3: PSI (ZG, PSI, FB); TG (TG, HU, KC).
  • Kuna uhusiano wa uaminifu kati ya misitu; Synology inaona vikundi vyote vya Usalama katika misitu yote.
  • Hisa na folda/folda ndogo lazima ziwe na akaunti za msimamizi wa kikoa cha FB zilizo na haki za FullControl
  • Majina ya folda yanapaswa kupangwa. Usimamizi uliratibu vitambulisho vya mradi; niliamua kuunganisha jina la vikundi vya Usalama kwenye Vitambulisho vya mradi.
  • Folda za mradi katika hisa za mfumo lazima ziwe na muundo uliotayarishwa mapema katika faili ya .xlsx, yenye haki za ufikiaji zinazofaa (R/RW/NA, ambapo NA - hakuna ufikiaji)

    Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

  • Inafaa kuwa na uwezo wa kuzuia haki za watumiaji/wanakikundi wa mradi mmoja kwa saraka fulani tu za mradi huo. Mtumiaji anaweza kukosa ufikiaji wa saraka/miradi mingine, kulingana na uanachama wa kikundi.
  • Wakati wa kuunda folda ya mradi, vikundi vinapaswa kuundwa kiotomatiki iwezekanavyo katika vikoa vinavyofaa na majina yanayolingana na Vitambulisho vya mradi.

Vidokezo kwa vipimo vya kiufundi

  • Kuanzisha mahusiano ya uaminifu hakujumuishwa katika upeo wa vipimo vya kiufundi
  • Kitambulisho cha mradi kina nambari na herufi za Kilatini
  • Majukumu ya mtumiaji wa mradi kwa vikoa vyote yana majina ya kawaida
  • Faili ya .xlsx iliyo na folda na haki za ufikiaji (matrix ya ufikiaji) inatayarishwa kabla ya kuanza kwa mradi mzima.
  • Wakati wa kutekeleza miradi, inawezekana kuunda vikundi vya watumiaji katika vikoa vinavyolingana
  • Otomatiki hupatikana kwa kutumia zana za kawaida za usimamizi wa MS Windows

Utekelezaji wa vipimo vya kiufundi

Baada ya kurasimisha mahitaji haya, kusitisha kwa mbinu kulichukuliwa ili kujaribu mbinu za kuunda saraka na kuzipa haki. Ilikusudiwa kutumia PowerShell pekee, ili sio kutatiza mradi. Kama nilivyoandika hapo awali, algorithm ya hati ilionekana kuwa rahisi sana:

  • tunasajili vikundi kwa jina linalotokana na kitambulisho cha mradi (kwa mfano KC40587) na majukumu yanayolingana yaliyobainishwa katika matrix ya ufikiaji: KC40587-EN- kwa mhandisi; KC40587-PM - kwa meneja wa bidhaa, nk.
  • tunapata SID za vikundi vilivyoundwa
  • sajili folda ya mradi na seti inayolingana ya saraka (orodha ya folda ndogo inategemea sehemu ambayo imeundwa na kufafanuliwa kwenye matrix ya ufikiaji)
  • kupeana haki kwa vikundi kwa saraka mpya za mradi kulingana na matrix ya ufikiaji.

Shida zinazopatikana katika hatua ya 1:

  • kutokuelewana kwa mbinu ya kubainisha matrix ya ufikiaji katika hati (safu ya pande nyingi sasa inatekelezwa, lakini njia ya kuijaza inatafutwa kulingana na yaliyomo kwenye .xlsx faili/access matrix)

    Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

  • kutowezekana kwa kuweka haki za ufikiaji katika hisa za SMB kwenye hifadhi za synolojia kwa kutumia PoSH ( https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell), kwa sababu ambayo muda mwingi ulipotea na kila kitu kilipaswa kurekebishwa kwa hati kwa kutumia shirika la uhariri wa haki za kufikia icacls, ambalo lilihitaji uundaji wa hifadhi ya kati ya maandishi na faili za cmd.

Katika hali ya sasa, utekelezaji wa faili za cmd unadhibitiwa kwa mikono, kulingana na hitaji la kusajili folda kwa mradi huo.

Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Pia iligeuka kuwa script inapaswa pia kutekelezwa kusajili vikundi katika misitu mingine (neno la Cross-domains lilitumiwa), na uwiano hauwezi tu 1 hadi moja, lakini pia 1 kwa wengi.

Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Hii ina maana kwamba vikundi kutoka kwa vikoa vingine, ikiwa ni pamoja na msitu wa jirani, sasa wanaweza kudai ufikiaji wa rasilimali za kikoa chochote. Ili kufikia usawa, iliamuliwa kuunda muundo wa ulinganifu katika OU ya nyanja zote zinazohudumiwa za misitu yote (ovals nyeusi wima). Kama wanasema, katika jeshi kila kitu kinapaswa kuwa mbaya, lakini sare:

Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Kwa hivyo, wakati wa kusajili mradi 80XXX kwenye kikoa cha TG, hati hufanya:

1. kuundwa kwa OU inayofanana (ovals nyekundu ya usawa) katika kikoa hiki na vikoa vya msalaba, yaani, vikoa hivyo ambavyo wafanyakazi wao wanapaswa kupata rasilimali hii.

2. kujaza OU na vikundi vilivyo na majina kama -, ambapo:

  • Kikoa cha SRC_ - kikoa tofauti ambacho wafanyikazi wake watapata rasilimali za kikoa cha DST
  • DST_domain - uwanja ambao rasilimali, kwa kweli, ufikiaji unapaswa kutolewa, yaani, kwa ajili ya ambayo kila kitu kilianzishwa.
  • β€” nambari ya mradi
  • MAJUKUMU - majina ya majukumu yaliyoorodheshwa katika matrix ya ufikiaji.

3. kusoma safu ya SID za vikundi vyote vya vikoa vyote vinavyohusika na kuihifadhi kwa uhamishaji wa data unaofuata kwenye faili ambayo inafafanua haki za folda mahususi ya mradi.

4. kuzalisha faili za chanzo (parameta /rejesha) na seti ya haki za kutumiwa na shirika la iacKC katika hali ya faili inayoweza kutekelezwa "icacKC "as-nasNNKCProjects" /rejesha C:TempKCKC40XXKC40XX.txt"

5. kuunda faili ya CMD inayochanganya icacls zote zilizozinduliwa kwa folda zote za mradi

Ugawaji mkubwa wa haki kwa watumiaji wa kikoa kutoka misitu tofauti

Kama ilivyoandikwa hapo awali, kuzindua faili inayoweza kutekelezwa hufanywa kwa mikono na tathmini ya matokeo ya utekelezaji pia hufanywa kwa mikono.

Shida ambazo tulilazimika kukabiliana nazo mwishowe:

  • ikiwa folda ya mradi tayari imejazwa na idadi kubwa ya faili, basi kukimbia amri ya icacls kwenye kiasi kilichopo inaweza kuchukua muda mwingi, na katika baadhi ya matukio imesababisha kushindwa (kwa mfano, wakati kuna njia za faili ndefu);
  • kwa kuongeza / kurejesha parameter, tulipaswa kuongeza mistari na / reset parameter ikiwa folda hazikuundwa, lakini zilihamishwa kutoka kwa folda zilizopo hapo awali, na haki za urithi kutoka kwa mizizi imezimwa;
  • Sehemu ya hati ya kuunda vikundi ilibidi itekelezwe kwa dc holela ya kila msitu, tatizo linahusu hesabu za kiutawala kwa kila mti.

Hitimisho la jumla: inashangaza sana kwamba hakuna huduma zilizo na utendaji sawa kwenye soko bado. Inaonekana inawezekana kutekeleza utendakazi sawa kulingana na lango la Sharepoint.
Pia haieleweki kuwa haiwezekani kutumia huduma za PoSH kwa kuweka haki za folda kwenye vifaa vya sinolojia.

Ikiwa inataka, niko tayari kushiriki hati kwa kuunda mradi fulani kwenye github ikiwa kuna mtu anayevutiwa.

Chanzo: mapenzi.com

Kuongeza maoni