Sicherstellen, dass unbefugte Benutzer keine Einträge lesen können

Folgen

Es gibt einen häufigen Fehler, den PD Server-Administratoren machen, wenn sie versuchen, den gemeinsamen und exklusiven Zugriff auf verschiedene Objekte in einer einzigen Datenbank für verschiedene Benutzer gleichzeitig zu organisieren.

Sie richten für User1 einen Vollzugriff auf die gesamte Datenbank ein und verwenden dann im Bereich Einträge und Ordner das Flag Verweigern , um einige Objekte vor dem Zugriff des Benutzers auszuschließen, wie im folgenden Bild gezeigt:

 

mceclip1.png

 

mceclip2.png

 

Eine weitere Variante dieses Fehlers ist, wenn der Lese-Zugriff auf ALLE Datenbanken allen Benutzern in den Richtlinien des Servers (Verwalten -> Serverrichtlinien) zur Verfügung gestellt wird:

 

mceclip3.png

 

Obiger Ansatz ist falsch, da er standardmäßig den vollen Lesezugriff zulässt, d.h., ein eingeschränkter Benutzer (User1) hat vollen Lesezugriff auf alle neuen Objekte, die im Stammordner der Datenbank von anderen Benutzern absichtlich oder aus Versehen erstellt wurden.

Es wird darüber hinaus auch empfohlen, das Verweigern-Flag für die routinemäßige Rechtevergabe wegen seiner Besonderheiten nicht zu verwenden. Normalerweise können alle Aufgaben der Zuweisung von üblichen Rechten ohne Verwendung des Verweigern-Flags durchgeführt werden.

Betrachten wir ein einfaches Beispiel: In einer einzigen Datenbank müssen die Benutzer User1 und User2 private Ordner für den exklusiven Zugriff und einen gemeinsamen Ordner für den gemeinsamen Zugriff haben. Dann gewähren wir für die gesamte Datenbank User1 und User2 nur den Zugriff, aber in keinem Fall den Lesen/Ändern/Hinzufügen/Löschen-Zugriff:

 

mceclip4.png

mceclip5.png 

Jetzt vergeben wir Rechte für einzelne Ordner in der Datenbank:

  • User1 erhält vollen Zugriff auf Ordner für User1 und den gemeinsamen Ordner.
  • User2 erhält vollen Zugriff auf Ordner für User2 und den gemeinsamen Ordner.

 

mceclip6.png

mceclip8.png

 

Anstelle von User1 und User2 können natürlich auch Gruppenobjekte verwendet werden, sodass alle Mitglieder dieser Gruppen nur Zugriff auf ihre eigenen oder gemeinsamen Ordner und keinen Zugriff auf andere, neu angelegte Einträge oder Ordner innerhalb derselben Datenbank haben. Kommen nun innerhalb der gleichen Datenbank neue Ordner oder Einträge für User1 oder User2 hinzu, so kann der Administrator diese Ordner oder Einträge für den entsprechenden Benutzer oder die entsprechende Gruppe im Bereich Einträge und Ordner einzeln freigeben und zu jeder Zeit sicherstellen, dass nur das gesehen wird, auf das der Admin dem Benutzer oder der Gruppe explizit Zugriff gewährt hat.

 

10 von 10 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.