если права урезать в АСЛ, включить Єнфорс, то когда админ филиала откорректирует АСЛ - база не будет реплицироваться вообще, так как нарушится целостность АСЛ
если права урезать в АСЛ, включить Єнфорс, то когда админ филиала откорректирует АСЛ - база не будет реплицироваться вообще, так как нарушится целостность АСЛ
если явно указан доступ "нет доступа", то группы ничего не расширят
при правильном подходе ФА можно ограничить
допустим ві ограничили Иванова - нет доступа
Админ Иванов генерирует себе еще одну ИД - Петров
Всталвяет Петрова в группу LocalDomainAdmin (которая есть в проблемной базе)
Делает под учетко Петрова себе нормальную реплику, или прямо под новой гадит главному админу, что изменилось то?
в это время СБ получает уведомление о вмешательстве админа в группу и проверяет. Иванову ппц. Это в простом случае.
В сложном - у Иванова нет возможности изменить эту группу просто так. Или нет прав генерить учётные записи. Или порезано по оргюниту...
Если бы защить было нельзя - грош цена была бы домине
Но лучше, конечно, не разводить лишних админов Klido
А значит выгрузить агент менеджер и роутер ему под силу, запусть и прервать в дебагере код - тоже, а значит факт изменения группы тоже скрыть сможет
Как по мне от достаточно опытного админа/дизайнера вообще средствами домино уберечься нереально..
Мы изначально ставимся к задаче, что он таки админ а не просто глупый юзер
А значит выгрузить агент менеджер и роутер ему под силу, запусть и прервать в дебагере код - тоже, а значит факт изменения группы тоже скрыть сможет
Как по мне от достаточно опытного админа/дизайнера вообще средствами домино уберечься нереально..
Не зря данный вопрос вызвал столько обсуждений... В самом деле не совсем как-то ровно в Домине разруливаются такие моменты...
По поводу Энфорса АЦЛ напрягает тот факт, что база просто перестает реплицироваться! Почему не накатывается "родительский" АЦЛ?!
Получается, что стоит удаленному админу добавить себя Управляющим и всё... Удаленные механизмы воздействия бессильны (перманентно не склонен обсуждать вопросы привлечения Службы Безопасности, т.к. это совсем другая история и к данному обсуждению не имеет никакого отношения. Администрирование системы должно строиться на том факте, что абсолютно все - жулики и единственной целью их является - получение несанкционированного доступа к информации)
К тому же, на сколько я понимаю, реплицироваться не будет в автоматическом режиме... Но если у пользователя после изменения прав остались права на репликацию, то "руками" запустить репликацию он в общем-то может... ИМХО, Энфорс АЦЛ довольно бесполезная вещь... Или, может, я просто не умею его готовить )))
По поводу Энфорса АЦЛ напрягает тот факт, что база просто перестает реплицироваться! Почему не накатывается "родительский" АЦЛ?!
Получается, что стоит удаленному админу добавить себя Управляющим и всё... Удаленные механизмы воздействия бессильны (перманентно не склонен обсуждать вопросы привлечения Службы Безопасности, т.к. это совсем другая история и к данному обсуждению не имеет никакого отношения. Администрирование системы должно строиться на том факте, что абсолютно все - жулики и единственной целью их является - получение несанкционированного доступа к информации)
К тому же, на сколько я понимаю, реплицироваться не будет в автоматическом режиме... Но если у пользователя после изменения прав остались права на репликацию, то "руками" запустить репликацию он в общем-то может... ИМХО, Энфорс АЦЛ довольно бесполезная вещь... Или, может, я просто не умею его готовить )))
коллеги, всё там разруливается... просто надо правильно построить модель безопасности в конкретном случае...
в данном случае надо грамотно ограничить права филиального админа во всём - от физического доступа к серверному .id до возможностей регистрировать только своих оргюнитовцев и запрета изменения админских групп. Вместе с энфорсом АЦЛ и прочим (шифрование документов, сокрытие дизайнов приложений) всё достигается. Можем обсудить полный набор в другой ветке
описанный подход очень и очень верный.
другой вопрос, что иногда без админ-доступа к базе на том берегу нельзя исправить или анализировать некоторые проблемы, например, с той же репликацией (историю почистить и т.п.). или я не умею еще
дык а кто мешает реальному админу зайти на филиальный сервер и порешать проблемы?
а вообще я сторонник централизованного администрирования - лучше 2-3 админа на 10+ филиалов, чем 10 филиальных админов+гемор с обеспечением доступов и прав
хех, а тебе не знакомо такое понятие как децентрализованное управление коммуникациями?
я тоже думал, что в больших компаниях все классно должно быть настроено, а в маленьких чаще все лучше в разы...
конечно, знакомо
вопрос в том - это данность или тебе предстоит построить как необходимо систему?и даже если данность - я в любом случае имею необходимый уровень доверия к коллегам "на другом конце", особенно если мне позволят привлечь тех, кого необходимо, а не дадут из отдела по борьбе с персоналом
случаи разные бывают
в больших конторах обычно очень неохотно идут на помощь с развитием при мегарасширении зоны отвественности (особенно, если ИТ не в фаворе и продавить некак)... а в маленьких - тут много и не надо... аналогично, но я у нас не админ, и все строилось до меня давно, и... не так как я себе это представлялтож согласен, просто я имею опыт работы в некоторых распределенных конторах, и вот получается так, что при схожем объеме покрытия коммуникациями более мелкая конторка была построена более правильно, а придя в большую, я был очень поражен устройством управления коммуникациями...
Обучение наступательной кибербезопасности в игровой форме. Начать игру!