Full Access Administrators

Oksana

Lotus team
10.01.2006
329
0
#1
Ситуация:
Имеем несколько доменов, на каждый регион своя АК. И в каждом регионе свой админ. Есть базы, которые реплицируются в регионы, в АКЛ баз, админам регионов раздаются права по смыслу БД, например, где-то автор, где-то читатель. Но админ в регионе имеет возможность включить у себя Full Access Administrators, и таким образом акл на их реплике, уже не играет роли.
Можно ли как-то сделать так, чтобы и функции админа не забирать и ограничить доступ к репликам баз с центральных серверов?
 

Cleric-Lviv

Lotus team
03.01.2008
600
0
#2
функции админа мона не забирать но в notes.ini поправить строчку и убрать Full Access Administrators .......
 
30.05.2006
1 345
11
#3
.. админ в регионе имеет возможность включить у себя Full Access Administrators, и таким образом акл на их реплике, уже не играет роли.
Можно ли как-то сделать так, чтобы и функции админа не забирать и ограничить доступ к репликам баз с центральных серверов?
Сколько раз твердили миру: FA - зло! :D

По делу:
1.Физический доступ админов к своим серверам не ограничен? Тогда они и БЕЗ FA ваши базы подломят
2.Юзайте Consistment ACL. Подломить базу это не сильно помешает, но вы хоть выявите большинство "взломов"
3.Регулярно почитывайте ACL Log (он короткий, быстро стирается). -"-
 

Oksana

Lotus team
10.01.2006
329
0
#4
Сколько раз твердили миру: FA - зло! :D

По делу:
1.Физический доступ админов к своим серверам не ограничен? Тогда они и БЕЗ FA ваши базы подломят
2.Юзайте Consistment ACL. Подломить базу это не сильно помешает, но вы хоть выявите большинство "взломов"
3.Регулярно почитывайте ACL Log (он короткий, быстро стирается). -"-
да, физически у человека есть доступ полность, так что и параметр в нотес.ини не решит проблему.
К тому же у них есть свои базы, и может в какой ситуации и нужен полный доступ иногда, впрочем это их проблемы.
А вот ниши реплики хотелось бы защитить, читать логи пост-фактум уже не так интересно.
На данный момент не предполагается каких-то злоумышленных действий с той стороны, скорей хотелось бы избежать случайностей.
 
30.05.2006
1 345
11
#5
На данный момент не предполагается каких-то злоумышленных действий с той стороны, скорей хотелось бы избежать случайностей.
А.. Ну, тогда "Enforce consistent ACL" и региональных админов в ACL не включать (т.е. права - "как всем")
 

Akupaka

А че я?.. О.о
04.10.2007
3 360
1
#6
ребята, такие вопросы нужно юридически решать, главное правильно и все, что нужно, описать ;)