1
有一個系統(Windows,asp.net應用程序,Linux操作系統,無論...),在這個系統中多個用戶組存在於系統中。
我們有兩個用戶組A和B.
一個用戶在用戶A組到文件夾XY被允許訪問。
在用戶組B中,文件夾XY的訪問被拒絕。
這樣的衝突如何解決?
避免這種情況的建議/最佳實踐是什麼?一個用戶,兩個用戶組,允許第一組訪問,第二組訪問被拒絕,如何解決衝突?
A
回答
0
Principal of Least Privilege指出最好的做法是確保默認狀態應該是拒絕訪問。用戶權限系統應該用於爲需要它的組添加訪問權限。在最小的特權下,永遠不應該禁止訪問。
當然,雖然它非常難以管理,但有時能夠應用禁止權限也是實用的。爲了有用,否認應該比允許更強。
0
衝突是通過定義(和應用)規則來解決。
大部分時間裏,我只定義權限。因此,只要用戶位於允許訪問的組中的其中一個組中,就可以進行訪問。
但是你可以定義一個規則,說明一個禁令比一個許可更強大,這樣一旦禁令被找到,禁令就被應用,即使其他組允許訪問。這一切都取決於你的規則。
0
如果你有授予或拒絕權限的組合,我會選擇有拒絕的重量比給予更多。在這種情況下,您的問題中的衝突會導致用戶被拒絕訪問。
然而,如果可能的話,我會去爲一個系統,你要麼只授予權限或拒絕的權限,但不能同時使用。我可以想象,從默認的最小權限開始,授予用戶和/或組的特定權限對於許多用戶來說是最容易理解的。
相關問題
- 1. 允許一組用戶訪問Joomla中的一個模塊
- 2. 如何只訪問第二個數組?
- 3. 訪問被拒絕用戶
- 4. 如何解決用戶「root @ localhost」的訪問被拒絕錯誤
- 5. FOSUserBundle access_control允許用戶訪問被拒絕的頁面
- 6. CakePHP Acl混淆 - 拒絕訪問組,但該組的用戶有權訪問
- 7. 使用GIT第一次:允許其他用戶訪問項目
- 8. 訪問任何數組的第一個兩個值由拆分?
- 9. 訪問2010年允許多個用戶/實現組安全
- 10. 訪問被拒絕用戶'root'@'localhost'
- 11. 000 webhost#1045 - 訪問被拒絕用戶
- 12. 訪問被拒絕用戶'root'@'localhost'
- 13. MySQL的 - 訪問被拒絕的用戶
- 14. 用戶訪問被拒絕(NodeJS和MySQL)
- 15. _mysql_exceptions.OperationalError:1045「訪問被拒絕的用戶
- 16. 訪問被拒絕的用戶「根」 Laravel
- 17. 訪問被拒絕用戶debian-sys-maint
- 18. Mysql:訪問被拒絕用戶'root'@'localhost'
- 19. 訪問被拒絕用戶`staging` @`%`
- 20. SQLException:訪問被拒絕用戶'root'@'localhost'
- 21. mysqldump - 用戶訪問被拒絕
- 22. mysql新用戶訪問被拒絕
- 23. mysql_query()拒絕用戶訪問
- 24. 拒絕訪問用戶'root'
- 25. 如何第二次詢問用戶允許訪問當前位置的權限?
- 26. 如何解決「拒絕訪問用戶'drngpasc'@'localhost'」錯誤?
- 27. 如何解決MySQL錯誤:拒絕訪問用戶「根」 @「localhost」的
- 28. 訪問第一個第N個正則表達式組
- 29. 訪問衝突上編組
- 30. PHP - 允許用戶只訪問一次