Sicherstellen, dass unbefugte Benutzer keine Einträge lesen können

Folgen

Es gibt einen häufigen Fehler, den PD Server-Administratoren machen, wenn sie versuchen, den gemeinsamen und exklusiven Zugriff auf verschiedene Objekte in einer einzigen Datenbank für verschiedene Benutzer gleichzeitig zu organisieren.

Sie richten für User1 einen Vollzugriff auf die gesamte Datenbank ein und verwenden dann das Flag Verweigern, um einige Objekte vor dem Zugriff des Benutzers auszuschließen, wie im folgenden Bild gezeigt:

mceclip0.png

Eine weitere Variante dieses Fehlers ist, wenn der Lese-Zugriff auf ALLE Datenbanken allen Benutzern in den Richtlinien des Standardservers, wie hier, zur Verfügung gestellt wird:

Der obige Ansatz ist falsch, da er standardmäßig den vollen Lesezugriff zulässt, d.h., ein eingeschränkter Benutzer (User1) hat vollen Lesezugriff auf alle neuen Objekte, die im Stammordner der Datenbank von anderen Benutzern absichtlich oder aus Versehen erstellt wurden.

Es wird auch dringend empfohlen, das Verweigern-Flag für die routinemäßige Rechtevergabe wegen seiner Besonderheiten nicht zu verwenden. Normalerweise können alle Aufgaben der Zuweisung von üblichen Rechten ohne Verwendung des Verweigern-Flags durchgeführt werden.

Betrachten wir ein einfaches Beispiel: In einer einzigen Datenbank müssen die Benutzer User1 und User2 private Ordner für den exklusiven Zugriff und einen gemeinsamen Ordner für den gemeinsamen Zugriff haben. Dann gewähren wir für die gesamte Datenbank User1 und User2 nur den Zugriff, aber in keinem Fall den Lesen/Ändern/Hinzufügen/Löschen-Zugriff:

mceclip1.png

mceclip2.png 

Jetzt vergeben wir Rechte für einzelne Ordner in der Datenbank:
User1 erhält vollen Zugriff auf den Ordner für User1 und den gemeinsamen Ordner.
User2 erhält vollen Zugriff auf den Ordner für User2 und den gemeinsamen Ordner.

 mceclip3.png

mceclip4.png

Anstelle von User1 und User2 können natürlich auch Gruppenobjekte verwendet werden, sodass alle Mitglieder dieser Gruppen nur Zugriff auf ihre eigenen oder gemeinsamen Ordner und keinen Zugriff auf andere neu angelegte Einträge oder Ordner innerhalb derselben Datenbank haben.

 

4 von 4 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.