分类:
2008-10-15 13:46:45
文件是企业用得最多的应用之一。因为文件服务器可以在一个统一的平台上对企业的重要文件进行备份、访问控制、权限管理等等,从而可以全方位的提高企业数据的性。所以,文件服务器在企业信息化办公中的影响已经越来越大。
不过,说实话,文件服务器要在企业中开花结果,重要的是权限设计。如果,权限设计的不合理的话,则文件服务器会变成企业的鸡肋,食之无味,弃之可惜。
笔者帮助多个企业部署过文件服务器,在这方面还是有点心得。在这里笔者就把他总结一下,或许能够给大家带来一点帮助。
一、 利用组或者角色来进行权限管理。
在文件服务器的权限设置过程中,笔者不建议网络管理员直接对用户进行授权。若直接对用户进行授权的话,则权限管理的工作量会很大。如一个采购部门,有十几位甚至更多的员工。则要对他们进行分别的授权,那么,这个维护的工作量就可想而知了。而且,这工作量一大的话,就难免为出现纰漏。
所以,我一般在选择文件服务器软件的时候,一般都要求文件服务器能够根据组或者角色来进行授权。也就是说,现在网络管理员先建立一个组,如采购组。然后给这个组赋予相关的文件夹访问权限。其次,把采购员用户加入到这个组中,采购员就自动继承了采购组的相关文件夹访问权限。如此的话,就可以避免给所有的采购员用户进行授权,就可以提高权限管理的效率。同时,采购员的相关权限只要赋予一次,则可以提高权限管理的准确率。这些优势,都是笔者倾向采用组或者角色进行权限管理的重要原因。
另外,除了可以让用户继承某个组的权限之外,我们可以设置用户特殊的权限。如在企业文件服务器上,有一个文件夹,存放着各个供应商的应付帐款明细表。作为普通采购员来说,只能够查看这些文件,而不能够进行修改。这些文件一般都是财务根据付款条件等内容整理出来的。但是,作为采购经理来说,则可以对其中相关的内容,如付款日期等等进行必要的维护。为此,采购经理需要对这些文件具有读写的权限,而其他采购员对于这些文件只具有只读的权限。为此,我们不必要再为采购经理去建立一个组。我们只需要把他加入到采购员组,让其具有采购员组的相关权限。然后,再给这个采购经理用户,赋予这些文件写的权限。也就是说,不仅可以对组或者角色进行权限的赋予,而且,在必要的时候,我们还可以给用户进行授权。如此的话,这个特定的用户除了组继承下来的权限之外,还具有一些自身的特殊权限。
二、 一个部门不要使用一个账户。
据笔者的了解,有不少企业在部署文件服务器的使用,常常会采用一些简单的权限控制。如对于一个部门就建立一个账户,然后这个部门中的所有员工都采用这个账户进行文件服务器的访问。如笔者以前碰到过一个企业,他们就是如此处理的。如一个采购部门,就一个账号。网络管理员给这个账号进行授权,然后所有的采购部门员工都使用这个账号。笔者对这种做法不敢苟同。
一是无法对用户访问文件服务器上的文件进行稽核。如当文件被意外修改或者文件服务器日至显示有非法用户多次试图访问未经授权的机密文件的时候,在文件服务器的日志中只能够显示某个部门,如采购部门的员工做的。但是,具体是哪个员工做的呢,则无从查起。可见,若一个部门共享一个账户名的话,会使得文件服务器的性大打折扣。
二是权限无法进行更细的控制。如有时会我们之允许用户更改删除自己的文件,而对于其他员工,即使是同一个部门的员工所创建的文件或者文件夹,也不具有修改的权限的时候,若采用这种权限控制的原则,就不能够实现。
三是普通员工跟部门管理员的权限无法分开,降低了文件服务器上文件的安全性。一般来说,部门管理员比普通员工具有更高的权限。如部门管理员可以访问自己部门下面各个小组的相关文件;还可以访问企业管理层的相关数据。若给一个部门共享一个账户的话,则部门普通员工跟部门管理员的权限就无法进行区分。要么部门管理员迁就普通员工,只具有普通员工的文件服务器访问权限;要么就是牺牲文件服务器的安全性,让普通员工具有更高的文件访问权限。
所以,一个部门共享一个账户的话,会降低文件服务器的安全性;同时,也会减低灵活性。故,笔者对于这种权限管理的方法,是比较反对的。特别是企业对于安全性要求比较高的话,还是不要采用这种权限管理方法为好。不然很可能会搬起石头,砸自己的脚。
[1]