0

Права Администратора - ВСЁ и ВСЕГДА. А надо ли это?

Сергей Попов 12 aastat tagasi uuendaja Foton 12 aastat tagasi 2

Сразу было сделано так что у Администратора и других пользователй, входящих в группу Администраторы есть все права и даже если эти привилегии запретить, всё равно ничего не выйдет.

Для чего это сделано - понятно: защита от дурака. Если бедовый экспериментатор напартачит в базе с привилегиями, то остаётся возможность всё исправить.

Потом добавилась ещё одна привилегия "Многократный вход в систему". Понятно что её желательно включать крайне редко и особенно важно иметь возможность выключить для Администраторов. Это было сделано.

Т.е. произошло небольшое отсупление от начального алгоритма и при этом защита от дурака не пострадала.

 

Моё предложение: продолжить и углубить это начинание, распространить это на все пункты, кроме "Использование проводника" и "Администрирование". Этих двух пунктов (всегда разрешённых администраторам) достаточно для защиты от дурака. Далее все остальные права они смогут сами себе делегировать (включить).

 

Сам собою напрашивается вопрос: - "Зачем это надо?"

 

Я уже сталкивался с ситуацией когда в организации несколько администраторов, при этом в их состав входят и НОМИНАЛЬНЫЕ АДМИСТРАТОРЫ, которые знать ничего не хотят, но блюдут свой статус.

Пусть, так. Я им изначально настрою безопасные привилегии: всё видеть, ничего руками не трогать, а уж если им захочется - придётся подумать, почитать литературу и предпринять действия, которые подтвердят что они всё сделали обдумано.

+1

По мне так пусть корневые Администраторы могут всё и всегда, как щас.
Для понторезов-начальников можно создать группу назвать её "Супер Администраторы", а корневых администраторов переименовать в "Системная группа" (или еще как, чтоб не престижно звучало). И для "Супер Администраторы" настроить права как вам надо.

Путаница в правах чревата последствиями