Много было высказываний о том, что это Зло. Хотелось услышать почему? Меня, например, это очень часто выручало, очобенно в случаях, когда организации отдают слишком много прав пользователям, а те удаляют всех, кроме себя из ACL. Или когда админы на местах слишком умными оказываются, а потом все перестает работать. Конечно, как всякое сильнодействующее средство, оно требует сбалансированной секьюрити (что тоже было бы неплохо обсудить) . Но это уже вопрос, не касающийся того хорошее само средство или нет. Ведь от того, что некоторые оставляют дырки в системе, мы не говорим, что сама система г.... А для новичков это будет полезно для понимания выработки правильной политики безопасности.
-
15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby
За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.
Запись на курс до 25 апреля. Получить промодоступ ...
Full Access Administration - За и Против
- Автор темы puks
- Дата начала
Вот от этого как раз и зАКРЫТЬ по полной программе
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->А для новичков это будет полезно для понимания выработки правильной политики безопасности
ФА зло не потому что он есть, а потому что один клик мышки может привести к самым непредсказуеммым последстиям - режим без ограничений наоборот убивает само понимание человеком режимов безопасости.
ФА - нужная вещь с прямыми руками и светлым мосКОМ!! Пользоваться только в случае ядерной войны
Причина
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->когда организации отдают слишком много прав пользователям
Следстие
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->Меня, например, это очень часто выручало
А тут вы сами виноваты
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->А для новичков это будет полезно для понимания выработки правильной политики безопасности
[snapback]75810" rel="nofollow" target="_blank[/snapback]
[/quote]ФА зло не потому что он есть, а потому что один клик мышки может привести к самым непредсказуеммым последстиям - режим без ограничений наоборот убивает само понимание человеком режимов безопасости.
ФА - нужная вещь с прямыми руками и светлым мосКОМ!! Пользоваться только в случае ядерной войны
Причина
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->когда организации отдают слишком много прав пользователям
[snapback]75810" rel="nofollow" target="_blank[/snapback]
[/quote]Следстие
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->Меня, например, это очень часто выручало
[snapback]75810" rel="nofollow" target="_blank[/snapback]
[/quote]А тут вы сами виноваты
Когда у конторы нет денег на нормального админа, и даже этот админ потом увольняется, и у какой-то важной БД не прописаны правильно права - тут единственный выход FAA.
Знаете, клик мыши делает человек, и значит действия человека могут привести к самым непредсказуеммым последстиям. А опция это только средство. BTW такой человек может и удалить все базы с диска, и тут вам уже никакие опции не помогут
P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
Знаете, клик мыши делает человек, и значит действия человека могут привести к самым непредсказуеммым последстиям. А опция это только средство. BTW такой человек может и удалить все базы с диска, и тут вам уже никакие опции не помогут
P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
<!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->Знаете
Знаю, я же написал
<!--QuoteBegin-Morpheus+21:08:2007, 10:17 -->
<span class="vbquote">(Morpheus @ 21:08:2007, 10:17 )</span><!--QuoteEBegin-->ФА - нужная вещь с прямыми руками и светлым мосКОМ!
<!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
link removed
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->Знаете
[snapback]75862" rel="nofollow" target="_blank[/snapback]
[/quote]Знаю, я же написал
<!--QuoteBegin-Morpheus+21:08:2007, 10:17 -->
<span class="vbquote">(Morpheus @ 21:08:2007, 10:17 )</span><!--QuoteEBegin-->ФА - нужная вещь с прямыми руками и светлым мосКОМ!
[snapback]75850" rel="nofollow" target="_blank[/snapback]
[/quote]<!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
[snapback]75862" rel="nofollow" target="_blank[/snapback]
[/quote]<!--QuoteBegin-Morpheus+21:08:2007, 03:17 -->
<span class="vbquote">(Morpheus @ 21:08:2007, 03:17 )</span><!--QuoteEBegin-->А тут вы сами виноваты
Ни в чем я не виноват. Вы забываете, что в 99 процентах админы не являются решающим голосом при создании политики. Есть исторически сложившаяся практика, есть политические причины, есть тупость менеджмента, который считает, что он все знает, есть ... (добавить, исходя из собственного опыта). И вот в таких условиях нам приходится работать и выкручиваться. Как говорится, ты виноват лишь тем, что хочется мне кушать. И часто ФА - единственный вариант.
<span class="vbquote">(Morpheus @ 21:08:2007, 03:17 )</span><!--QuoteEBegin-->А тут вы сами виноваты
[snapback]75850" rel="nofollow" target="_blank[/snapback]
[/quote]Ни в чем я не виноват. Вы забываете, что в 99 процентах админы не являются решающим голосом при создании политики. Есть исторически сложившаяся практика, есть политические причины, есть тупость менеджмента, который считает, что он все знает, есть ... (добавить, исходя из собственного опыта). И вот в таких условиях нам приходится работать и выкручиваться. Как говорится, ты виноват лишь тем, что хочется мне кушать. И часто ФА - единственный вариант.
Constantin A Chervonenko
Green Team
Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
Т.е. человеку (админу/злоумышленнику), имеющему физический доступ к носителям баз, ФА не нужен, в этом случае и так весь ACL идет лесом.
Никакие компутерные защиты не могут повысить безопасность сверх того, что обеспечено организационными мерами (охрана, печать на дверях, ключи под расписку, 1й отдел etc), дай бог, что-б не понизили.
А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
И что тебе даст локальный доступ при ACL на локальной копии? И как ты будешь открывать локально, если у тебя нет доступа к удаленной консоли?
И чем ФА отличается от удаленной консоли сисадмина со всеми правами в домене?
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
Ты так говоришь, как-будто все время сидишь и работаешь под ФА. И я не поверю, что ты не знаешь, что на самом деле ОЧЕНЬ сложно (то есть нужно иметь огромный опыт и знания), чтобы не оставить следов. Да и любое включение ФА отражается в логе.
И потом. Вы что хотите сказать, что как админы не имеете полного доступа и без ФА к пользовательским почтовым файлам (в то время, как они имеют Editor), почти всем приложениям и PAB?
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
[snapback]75890" rel="nofollow" target="_blank[/snapback]
[/quote]И что тебе даст локальный доступ при ACL на локальной копии? И как ты будешь открывать локально, если у тебя нет доступа к удаленной консоли?
И чем ФА отличается от удаленной консоли сисадмина со всеми правами в домене?
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
[snapback]75890" rel="nofollow" target="_blank[/snapback]
[/quote]Ты так говоришь, как-будто все время сидишь и работаешь под ФА. И я не поверю, что ты не знаешь, что на самом деле ОЧЕНЬ сложно (то есть нужно иметь огромный опыт и знания), чтобы не оставить следов. Да и любое включение ФА отражается в логе.
И потом. Вы что хотите сказать, что как админы не имеете полного доступа и без ФА к пользовательским почтовым файлам (в то время, как они имеют Editor), почти всем приложениям и PAB?
А если базы шифрованы? А если админ имеет возможность только удаленно иметь доступ к Lotus-серверу и не имеет к машине?
В целом я согласен - бесконтрольный доступ с этой опцией - проблема в слабоорганизованном процессе администрирования, но вот я не думаю, что эта проблема серьезная.
P.S. Тем кому эта опция помогала сохранить время - ей рады, те кому она доставила проблемы потребовавшие кучу времени - ей не рады. ИМХО такая ситуация всегда и везде возникает когда человек использует какие-то технические средства.
Constantin A Chervonenko
Green Team
Я говорил только об ACL
Так для того и сделали (админы, которые мышей не ловят, вынудили). Но безопасность данных понижается
FA по определению бесконтрольный. Где есть ответственные данные - проблема серьезная.
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:24 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:24 )</span><!--QuoteEBegin-->FA по определению бесконтрольный.
Поясни, пожалуйста, что именно не контролируется.
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:24 )</span><!--QuoteEBegin-->FA по определению бесконтрольный.
[snapback]75952" rel="nofollow" target="_blank[/snapback]
[/quote]Поясни, пожалуйста, что именно не контролируется.
Constantin A Chervonenko
Green Team
Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует (Enf.consist.ACL легко счищается). Операционка, для которой нет клиента? Расшариваем диск/копируем базу в др.среду/просто отвинчиваем диск.
Да, как в логе отражается чтение документов?
Уд.консоль.. домен.. сисадмин.. Т.е. нет ОС кроме Unix и сисадмин пророк его? ЛаНда: удаленная консоль такое-же зло, как и ФА. Безопасную систему защищенного документооборота с ними построить невозможно (чуть загнул: если не шифровать ВСЕ ПОДРЯД).
ФА не имею, бо не админ уже 5 лет.
В моей конторе админ не имеет Манагерского доступа ко всем ПЯ
Зачем ты открыл этот топик, если не желаешь читать ответы?
Доступ к чужим данным
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Зачем ты открыл этот топик, если не желаешь читать ответы?
Я внимательно читаю все ответы. И стараюсь их понять в меру моей понимаемости. Так что уж извини, если что не понял. Такая уж у меня понимаемость. Топик я открыл для обмена мнениями.
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует
Я так и понял. Создал базу на сервере. Установил себе права не менеджера. Поставил ConsistACL. Скопировал ее файлово локально. Прав - нет. Ничего сделать не могу. В ФА все работает.
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Да, как в логе отражается чтение документов?
А что в логе не отражается включение ФА? А в log.nsf в Usage view? В User Activity в Database Properties - User Detail ?
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->В моей конторе админ не имеет Манагерского доступа ко всем ПЯ
И как решаются проблемы конечных пользователей, когда требуется доступ больший, чем у него есть? Локальным доступом? Кстати, а какой у него доступ?
Какую бы систему ты не строил, тебе нужна отправная точка, построенная на доверии. Иначе у тебя получается система вообще никем не котролируемая. Это может быть одна точка или баланс. Ведь так в любом деле. Каждый имеет полные права в рамках своих обязанностей.
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Зачем ты открыл этот топик, если не желаешь читать ответы?
[snapback]75954" rel="nofollow" target="_blank[/snapback]
[/quote]Я внимательно читаю все ответы. И стараюсь их понять в меру моей понимаемости. Так что уж извини, если что не понял. Такая уж у меня понимаемость.
Топик я открыл для обмена мнениями.<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует
[snapback]75954" rel="nofollow" target="_blank[/snapback]
[/quote]Я так и понял. Создал базу на сервере. Установил себе права не менеджера. Поставил ConsistACL. Скопировал ее файлово локально. Прав - нет. Ничего сделать не могу. В ФА все работает.
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Да, как в логе отражается чтение документов?
[snapback]75954" rel="nofollow" target="_blank[/snapback]
[/quote]А что в логе не отражается включение ФА? А в log.nsf в Usage view? В User Activity в Database Properties - User Detail ?
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->В моей конторе админ не имеет Манагерского доступа ко всем ПЯ
[snapback]75954" rel="nofollow" target="_blank[/snapback]
[/quote]И как решаются проблемы конечных пользователей, когда требуется доступ больший, чем у него есть? Локальным доступом? Кстати, а какой у него доступ?
Какую бы систему ты не строил, тебе нужна отправная точка, построенная на доверии. Иначе у тебя получается система вообще никем не котролируемая. Это может быть одна точка или баланс. Ведь так в любом деле. Каждый имеет полные права в рамках своих обязанностей.
Constantin A Chervonenko
Green Team
Constantin A Chervonenko
Green Team
На! "Возьмите люди, пользуйтесь.."(с)
Код:
'RemoveEnfC_ACL:
Option Declare
Declare Function NSFDbOpen Lib "nnotes.dll" (Byval pathName As String, hDB As Long) As Integer
Declare Function NSFDbReadACL Lib "nnotes.dll" (Byval hDB As Long, hACL As Long) As Integer
Declare Function ACLGetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
Declare Function ACLSetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
Declare Function NSFDbStoreACL Lib "nnotes.dll" (Byval hDB As Long, Byval hACL As Long, objectID As Long, method As Long) As Integer
Declare Function NSFDbClose Lib "nnotes.dll" (Byval hDB As Long) As Integer
Const ACL_UNIFORM_ACCESS = 1
Sub Initialize
Const msg = "Enter the path to the local database:"
Dim choice As String
Dim db As NotesDatabase
Dim filePath As String
Dim result As Integer
Dim hDB As Long
Dim hACL As Long
Dim flags As Long
Dim ws As New NotesUIWorkspace
Dim session As New NotesSession
choice = session.GetEnvironmentString("Directory", True) & "\"
choice = ws.Prompt(3, "Enter Path", msg, choice, "")
If choice = "" Then Exit Sub
If Instr(choice, session.GetEnvironmentString("Directory", True)) <> 0 Then
choice = Strright(choice, session.GetEnvironmentString("Directory", True))
End If
While Left(choice, 1) = "\"
choice = Mid(choice, 2)
Wend
result = NSFDbOpen(filePath, hDB)
result = NSFDbReadACL(hDB, hACL)
result = ACLGetFlags(hACL, flags)
If flags And ACL_UNIFORM_ACCESS Then
flags = flags Xor ACL_UNIFORM_ACCESS
result = ACLSetFlags(hACL, flags)
result = NSFDbStoreACL(hDB, hACL, 0, 0)
Else
Print "The flag is not set. Nothing changed."
End If
result = NSFDbClose(hDB)
End SubНе в курсе. Не админю давно. Логи наши админы прячут. Да и подделать их (при наличии физического доступа/ФА) - легкое движение левой задней ноги.
Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
Какое может быть ДОверие к власти? К абсолютной (которая развращает абсолютно) - абсолютно никакого. Разве что - вера в бого-данность монарха.
К демократической власти доверия тоже мало, но есть Уверенность в действии механизмов сдержек и противовесов. Основной механизм - разделение властей.
LND позволяет построить аналогичный механизм, например:
- сисадмин: единственный, кто может настраивать сервер (Server/Administrator), создавать базы имеет доступ к АК более, чем автор. Отвечает за работоспособность сервака
- офицер(ы) безопасности: единственный держатель cert.id соотв.уровня. Отвечает за доступ людей в сеть.
- прикладной админ: единственный Manager конкретной базы данных. Отвечает за доступ к конкретным данным
Константин, а кто мешает недобросовестному админу задаунить сервак, открыть локально нужную базу любой тулзой игнорирующей права, добавить себя, нахимичить, убрать себя, подчистить логи?
Я сам не пробовал, но думаю сбросить всю базу в DXL а потом воссоздать обратно с изменениями которые ни в каких логах не будут видны - дело нехитрое.
FAA не единственное средство позволяющее админу влезть в базу к которой у него не было прав. Оно просто самое простое. Т.е. экономящее время. Если вы в некоей вашей организации не доверяете админам - это чисто организационная проблема, не имеющая никакой связи с функционалом администраторского клиента. Вы согласны?
кстати, не поленился и посмотрел в админском хелпе - опцию FAA можно отключать, есть параметр в Notes.ini.
Я сам не пробовал, но думаю сбросить всю базу в DXL а потом воссоздать обратно с изменениями которые ни в каких логах не будут видны - дело нехитрое.
FAA не единственное средство позволяющее админу влезть в базу к которой у него не было прав. Оно просто самое простое. Т.е. экономящее время. Если вы в некоей вашей организации не доверяете админам - это чисто организационная проблема, не имеющая никакой связи с функционалом администраторского клиента. Вы согласны?
кстати, не поленился и посмотрел в админском хелпе - опцию FAA можно отключать, есть параметр в Notes.ini.
Constantin A Chervonenko
Green Team
Отсутствие наличия физического доступа. Если на серваке лежат критически важные/юридически значимые данные, то он сам стоит в отдельном помещении, под охраной
М.б.. Но правА потребуются Манагерские
Конечно. 1-е и самое ломовое - физический доступ. A ФА - это back-door в охраняемое помещение.
Конечно. Я о том и толкую, как ОРГАНИЗОВАТЬ юридически значимый ЭДО.
Знаю. Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
<!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 05:05 -->
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 05:05 )</span><!--QuoteEBegin-->Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
У нас не так. Практически везде, где я работал, я был единственным админом. Как я уже говорил, что только в ОЧЕНЬ крупных сетях надо несколько админов. Кроме того, это еще и невыгодно в финансовом плане. Если админ не может решить какой-либо проблемы достаточно быстро, то открывается случай с IBM.
Действительно для каждой базы есть админы, но это люди двух типов: разработчики и обычные менеджеры. И те и другие практически всегда не знают хорошо администрирование. Поэтому опять административные задачи лежат на администраторе, который имеет полные права. Просто он не лезет в дизайн и никогда не даст прав без разрешения менеджера (оно ему надо?).
Что касается почтовых файлов, то встречаются два типа прав. Либо пользователю дают менеджера (из-за исторически сложившейся политики и отсутствия знаний), либо редактора (что более разумно). В любом случае, админ имеет полные права на почтовые базы, или может получить такие права, так как ситуация, когда ему удаленно надо исправлять пользовательские проблемы (а вы понимаете, что почта-то по важнее всего остального будет) встречается практически каждый день.
<!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 09:02 -->
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 09:02 )</span><!--QuoteEBegin-->Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
Да. Редактировать можно только через notes.ini .
Попробовал код. Вышибает 6.5.4 клиента стабильно.
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 05:05 )</span><!--QuoteEBegin-->Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
[snapback]76037" rel="nofollow" target="_blank[/snapback]
[/quote]У нас не так. Практически везде, где я работал, я был единственным админом. Как я уже говорил, что только в ОЧЕНЬ крупных сетях надо несколько админов. Кроме того, это еще и невыгодно в финансовом плане. Если админ не может решить какой-либо проблемы достаточно быстро, то открывается случай с IBM.
Действительно для каждой базы есть админы, но это люди двух типов: разработчики и обычные менеджеры. И те и другие практически всегда не знают хорошо администрирование. Поэтому опять административные задачи лежат на администраторе, который имеет полные права. Просто он не лезет в дизайн и никогда не даст прав без разрешения менеджера (оно ему надо?).
Что касается почтовых файлов, то встречаются два типа прав. Либо пользователю дают менеджера (из-за исторически сложившейся политики и отсутствия знаний), либо редактора (что более разумно). В любом случае, админ имеет полные права на почтовые базы, или может получить такие права, так как ситуация, когда ему удаленно надо исправлять пользовательские проблемы (а вы понимаете, что почта-то по важнее всего остального будет) встречается практически каждый день.
<!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 09:02 -->
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 09:02 )</span><!--QuoteEBegin-->Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
[snapback]76060" rel="nofollow" target="_blank[/snapback]
[/quote]Да. Редактировать можно только через notes.ini .
Попробовал код. Вышибает 6.5.4 клиента стабильно.
Кстати, еще один довод в пользу ФА.
В крупных конторах на Западе конфигурация следующая. Есть несколько основных серверов. Они расположены как в главном офисе, так и в других местах для надежности работы. Как-то замучаешься ездить. А что делать с серверами, которые вообще расположены в другом конце света? А тебе надо работать с десятками таких серверов. Конечно, включаешь ФА не каждый день, но у меня раз 5 за месяц набирается.
В крупных конторах на Западе конфигурация следующая. Есть несколько основных серверов. Они расположены как в главном офисе, так и в других местах для надежности работы. Как-то замучаешься ездить. А что делать с серверами, которые вообще расположены в другом конце света? А тебе надо работать с десятками таких серверов. Конечно, включаешь ФА не каждый день, но у меня раз 5 за месяц набирается.
Constantin A Chervonenko
Green Team
Обучение наступательной кибербезопасности в игровой форме. Начать игру!