20 сентября, четверг 10:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Структура каталогов на сетевых дисках и разграничение прав доступа

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Структура каталогов на сетевых дисках и разграничение прав доступа

    Здравствуйте!

    Возник вопрос как лучше реализовать структуру каталогов на сетевых дисках и раздачу прав на них.

    На сегодняшний день в автоматизации имеется единая файлопомойка (где черт ногу сломит) безо всяких ограничений, меня (как безопасника) такая ситуация не очень устраивает.

    Собственно, хотелось бы обязать пользователей работать только на сетевых дисках (случаи когда бух сохраняет важный документ на локальном диске, после чего тот летит уже были). В каком документе оформить такую обязанность?

    И как собственно организованна сама структура? Пока в голову приходит вариант создания отдельных каталогов для каждого подразделения (доступ на чтение и запись только для учеток сотрудников данного подразделения), внутри каталоги для каждой учетки (аналогично), у учетки начальника подразделения доступ ко всем подпапкам своего подразделения. Но возникает вопрос как оформить папки для совместных документов (между подразделениями)? Как написать документ, где бы эта структура описывалась?

    Пожалуйста, какие будут советы? Как у вас реализовано?

  • #2
    О, мой случай. Второй месяц такую помойку разгребаю.
    Сошлись с айтишниками на следующем (пока на словах, бумаги пишу и писать буду еще долгj). На сетевом диске три папки: public, departments, exchange.

    public - помойка, всем полный доступ.

    departments - сотрудникам депертамента полный доступ кроме исзменения прав и ownershpip'а. Если нужно ограничить доступ сотрудников департамента к одной из вложенных папок, сотрудник департамента пишет заявку в helpdesk. Helpdesk перебрасывает заявку мне, я связываюсь с инициатором, если нужно - с его руководителем, и мы сообща решаем, какие права лучше поставить.

    exchange - папка для обмена документами. Как только возникает необходимость обмениваться файлами между департаментами, инициатор отправляет заявку в helpdesk. Дальше, опять-таки я разбираюсь, зачем и кому это нужно и мы вместе придумываем, как лучше это организовать.

    Соответственно, в итоге у меня есть полная информация для кого какая папка создана, зачем, почему именно такие права выставлены. Пользователи самодеятельностью не занимаются, иначе хлопот не оберешься. Helpdesk выставляет ровно те права, которые указал им я, поэтому ответственность на мне, что их вполне устраивает.

    Что касается public'а, то его я время от времени просматриваю, и если нахожу что-нибудь непубличное, связываюсь с owner'ом, и файлы мигрируют либо в departments, либо в exchange.

    Комментарий


    • #3
      to yuyup
      Запрет на хранение доков на локальном диске в "Правилах работы ..." или в "Инструкции пользователя ИС".
      У каждого сотрудника есть свой сетевой диск + сетевой диск подразделения. На диске подразделения есть индивидуальные папки (запись у владельца, остальные только чтение), папки проектов, обмена и т.д. Права на них по запросу, где какие нужно определяет руководитель. Доступ между подразделениями дает владелец. Согласование: владелец, IT , ИБ и ...
      В итоге помойка стала - структурированной помойкой

      Комментарий


      • #4
        Сообщение от box_roller Посмотреть сообщение
        to yuyup
        Запрет на хранение доков на локальном диске в "Правилах работы ..." или в "Инструкции пользователя ИС".
        У каждого сотрудника есть свой сетевой диск + сетевой диск подразделения. На диске подразделения есть индивидуальные папки (запись у владельца, остальные только чтение), папки проектов, обмена и т.д. Права на них по запросу, где какие нужно определяет руководитель. Доступ между подразделениями дает владелец. Согласование: владелец, IT , ИБ и ...
        В итоге помойка стала - структурированной помойкой
        Господи, да почему на локальном диске нельзя хранить??
        Какой кошмар, фотки любимой собаки главбухши или заявление в ЖЭК пропадут при крахе винта!

        У меня без всяких бумаг было на файловом сервере разделение по подразделениям и всем было понятно, что кто где работает тот туда и пишет. И читает.

        А вообще, оптимально, на мой взгляд так.
        При поступлении на работу известно в какой отдел идет чел. То есть он в кадрах заполняет бумагу на доступ к сети где указывается отдел. Бумага идет на согласование к безопаснику, который там (в бумаге) пишет админу на какие директории дать доступ и ОДНОВРЕМЕННО помечает у себя в базе какие права у данного юзера.
        Затем, с этой бумагой юзер идет к админу, который собственно и дает права в соответсвии с тем, что написал безопасник.
        А безопасник в соответсвии со своей базой всегда может проверить правильно ли даны права.
        Все довольны.
        Админ дает права, безопасник - бдит.

        Комментарий


        • #5
          Сообщение от Berrimor Посмотреть сообщение
          Господи, да почему на локальном диске нельзя хранить??
          Какой кошмар, фотки любимой собаки главбухши или заявление в ЖЭК пропадут при крахе винта!
          Потому что для сетевых папок есть ццентрализованный бэкап. И пользоватьель должен быть официально предупрежден, что на локальных дисках нельзя хранить ничего серьезнее фоток любимой собаки и заявления в ЖЭК.

          Сообщение от Berrimor Посмотреть сообщение
          У меня без всяких бумаг было на файловом сервере разделение по подразделениям и всем было понятно, что кто где работает тот туда и пишет. И читает.
          Это когда обмен внутри подразделения. А если между? С шаблонами договоров у нас работают четыре департамента - куда их выкладывать прикажете?
          Последний раз редактировалось malotavr; 11.03.2008, 14:44.

          Комментарий


          • #6
            шаблонами договоров у нас работают четыре департамента - куда их выкладывать прикажете?
            Шаблоны договоров у меня потихоньку плавно переходят в систему электронного документооборота. В мечтах - по минимуму оставить файловую помойку, все в ЭДО. Но это - лирика. Что касается прав доступа, как говорили выше, все по ролям Положено редактировать шаблоны - получай права.
            И цепочка как у Berrimor - ИБ смотрит какие права дать, IT права выдает.
            Чем больше связей, тем меньше степеней свободы.

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              Потому что для сетевых папок есть ццентрализованный бэкап. И пользоватьель должен быть официально предупрежден, что на локальных дисках нельзя хранить ничего серьезнее фоток любимой собаки и заявления в ЖЭК.
              Да зачем бумаги-то плодить? А просто сказать? Я всем пользователям просто сказал про это, но главное - сказал почему я не смогу восстановить их данные. И этого было достаточно.

              Сообщение от malotavr Посмотреть сообщение
              Это когда обмен внутри подразделения. А если между? С шаблонами договоров у нас работают четыре департамента - куда их выкладывать прикажете?
              Да уйма решений! Можно сделать некую общую директорию только на чтение, можно сделать общие папки в почте где тоже держать всякую общую байду, можно сделать что-то типа SharePoint-а (интранет) где тоже держать такие файлы.
              Решений море, каждый выбирает то, что ему по вкусу.
              По-моему, проблема, если конечно не приплетать к ней всякие бумажки и политики, выеденного яйца не стоит.

              Комментарий


              • #8
                Сообщение от Berrimor Посмотреть сообщение
                Да зачем бумаги-то плодить? А просто сказать? Я всем пользователям просто сказал про это, но главное - сказал почему я не смогу восстановить их данные. И этого было достаточно.
                У меня этьих пользователей сейчас 400 человек в двух городах. Три месяца назад было 250. Летом будет около 600 в трех городах. И так далее ближайшую пару лет. Я физически не смогу "каждому сказать".

                Сообщение от Berrimor Посмотреть сообщение
                Можно сделать некую общую директорию только на чтение
                А нужны чтение и запись.

                Сообщение от Berrimor Посмотреть сообщение
                можно сделать общие папки в почте где тоже держать всякую общую байду, можно сделать что-то типа SharePoint-а (интранет) где тоже держать такие файлы.
                Вы мне рассказываете как организовать доступ. Вопрос был другой - как организовать раздачу прав так, чтобы была возможность совместно работы между департаментами. Принципиальной разницы между этими двумя решениями и сетевыми папками нет, проблемы одинаковые.

                По-моему, проблема, если конечно не приплетать к ней всякие бумажки и политики, выеденного яйца не стоит.
                По той же причине я не люблю писать комменты к программному коду. Там же все очевидно, зачем документировать? Увы, нужно

                Комментарий


                • #9
                  2malotavr - не правильно понял сначала.
                  Последний раз редактировалось barmalei; 11.03.2008, 15:48.

                  Комментарий


                  • #10
                    Еще раз про постановку задачи. Есть ФАЙЛ или ПАПКА С ФАЙЛАМИ, который пользователи хотят совместно редактировать. Задача - раздать права, так, чтобы читать и/или редактировать могли бы только авторизованные пользователи.

                    С какого перепуга я (безопасник) должен заявлять "Нет так нельзя, вы по почте его передавайте (SharePoint купите)"? Прекрасно можно организовать раздачу прав. Это небольшой геморрой для безопасника - но вообще-то ему именно за это зарплату платят

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Еще раз про постановку задачи. Есть ФАЙЛ или ПАПКА С ФАЙЛАМИ, который пользователи хотят совместно редактировать. Задача - раздать права, так, чтобы читать и/или редактировать могли бы только авторизованные пользователи.
                      А это разве сложно?
                      разве в ОС нет для этого средств?
                      Совершенно не понимаю в чем проблема!
                      Проложить для пользователя тропу куда от кого он должен бегать с бумажками?

                      Сообщение от malotavr Посмотреть сообщение
                      какого перепуга я (безопасник) должен заявлять "Нет так нельзя, вы по почте его передавайте (SharePoint купите)"?
                      Он бесплатный.

                      Сообщение от malotavr Посмотреть сообщение
                      Прекрасно можно организовать раздачу прав. Это небольшой геморрой для безопасника - но вообще-то ему именно за это зарплату платят
                      Так чего мы тогда обсуждаем?
                      В чем проблема-то?

                      Комментарий


                      • #12
                        Сообщение от Berrimor Посмотреть сообщение
                        Проложить для пользователя тропу куда от кого он должен бегать с бумажками?
                        Я чего-то не понял? В моем случае пользователь просто обращается в хелпдеск. Что логично, поскольку за пределами департаментской рабочей папки он ничего сделать не может. Дальше все происходит прозрачно для него - я связываюсь с ним, и мы решаем, какие права на эту папку поставить. Это тоже логично, потому что большинство пользователей даже не знают, что это такое - права на доступ.

                        Сообщение от Berrimor Посмотреть сообщение
                        Он бесплатный.
                        Убедили - не купить, а выделить на него ресурсы Он крутится на железе, его нужно саппортить, пользователей нужно учить с им пользоваться, их тоже нужно саппортить. При том, что можно прекрасно обойтись без него.

                        Сообщение от Berrimor Посмотреть сообщение
                        Так чего мы тогда обсуждаем?
                        В чем проблема-то?
                        Нет проблем. Просто предложение "сделать папки по департаментам" проблему решает не полностью, нужно чуть больше работы А вот дополнительный софт совсем не нужен

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X