आप अपनी अनुमतियों को कैसे दस्तावेज़ / ट्रैक करते हैं

मैं एक विंडोज एडमिन हूं, इसलिए विंडोज के साथ इंटीग्रेट होने की संभावना सबसे ज्यादा मददगार होगी। इस बिंदु पर मेरी मुख्य चुनौती सिर्फ फ़ाइल शेयरों के साथ है लेकिन जैसे ही SharePoint उपयोग बढ़ता है यह केवल इसे कठिन बना देगा।

मुझे अपने सभी निर्देशिका सेटअप और कई सुरक्षा समूह मिले हैं जो कि आवश्यक न्यूनतम पहुंच की नीति के साथ सेटअप किए गए हैं। मेरी समस्या एचआर और अनुपालन कारणों के लिए यह सब ट्रैक कर रही है।

उपयोगकर्ता A को संसाधन 1 की अनुमति की आवश्यकता है। उसे संसाधन 1 के प्रबंधक से अनुमोदन प्राप्त करने की आवश्यकता है और फिर प्रबंधकों के प्रबंधक को इस पहुंच को भी अनुमोदित करने की आवश्यकता है। एक बार यह सब पूरा हो जाने के बाद मैं बदलाव कर सकता हूं। इस बिंदु पर हम इसे केवल कागज़ पर ट्रैक कर रहे हैं, लेकिन यह ऐसा बोझ है और अनुपालन से बाहर होने की संभावना है जब उपयोगकर्ता ए को फिर से सौंपा गया है और अब अन्य परिदृश्यों में संसाधन 1 तक पहुंच नहीं होनी चाहिए।

मुझे पता है कि मैं जो देख रहा हूं वह पहले से मौजूद होना चाहिए, लेकिन मुझे नहीं पता है कि मुझे कहां देखना है और मैं समुदाय तक पहुंच रहा हूं।

संपादित करें:

प्रतिक्रियाओं के लिए धन्यवाद। मुझे लगता है कि वे तकनीकी पक्ष को छूते हैं और उम्मीद है कि मेरा सवाल ऑफ-टॉपिक नहीं है। मुझे अपने लक्ष्य पर खुद को स्पष्ट कर देना चाहिए था। एक ऑडिटर को दिखाने के लिए आप किन प्रणालियों का उपयोग करते हैं कि एक्स तारीख पर उपयोगकर्ता ए को अनुमति दी गई / हटा दी गई थी और इसे प्रबंधक वाई द्वारा अनुमोदित किया गया था? वर्तमान में मेरे पास एक बुनियादी टिकटिंग प्रणाली है, लेकिन मैं इसे प्रारूप को समझने में आसान नहीं है।
मेरे दिमाग में मैं एक ऐसी चीज़ का चित्रण कर रहा हूँ जिसमें उपयोगकर्ता A की रिपोर्ट होगी जो उन सभी परिवर्तनों को दिखाएगी जो उनकी अनुमति के लिए किए गए थे। आदर्श रूप से सक्रिय निर्देशिका से जुड़ने वाला कुछ आदर्श होगा लेकिन इस बिंदु पर मैं कुछ और बुनियादी खोजने की उम्मीद कर रहा हूं। मुझे उम्मीद है कि इसके लिए विशेष रूप से एक आवेदन है।

धन्यवाद!

आपको एक टिकटिंग सिस्टम चाहिए जो 3 चीजें प्रदान करे:

1. जब किसी विशेष उपयोगकर्ता के लिए अनुमतियाँ बदली (जोड़ी या हटाई गईं) का टाइमस्टैम्प है
2. उन्हें क्यों बदला गया
3. इन परिवर्तनों की खोज करने की क्षमता

बहुत सारे टिकट सिस्टम पहले से ही आपको टिकट निर्माण की तारीख, संशोधित तिथि आदि के रूप में # 1 प्रदान करते हैं, # 2 टिकट में दस्तावेज करने के लिए आप पर निर्भर है। आमतौर पर यह टिकट में चिपकाए गए संसाधन प्रबंधक से एक अनुमोदन ई-मेल है जिसमें कहा जाता है कि उनकी पहुंच हो सकती है (या पहुंच को हटा दिया जाना चाहिए) और किस तरह का है। # 3 सबसे महत्वपूर्ण है और टिकट प्रणाली पर निर्भर करता है, लेकिन अगर आपके पास एक ऐसी प्रणाली है जिसे खोजना आसान नहीं है, तो आपका काम आपके लिए कट जाता है। यदि आप उपयोगकर्ता द्वारा बस खोज कर सकते हैं ताकि सभी अनुमति टिकट टिकटिंग सिस्टम में उनकी संपर्क जानकारी से बंधे हों तो आप अच्छे हैं, अन्यथा आप अनिवार्य रूप से एक ब्लैक होल में अपने परिवर्तनों का दस्तावेजीकरण कर रहे हैं।

एक टिकटिंग सिस्टम के बाहर जो परिवर्तन को ट्रैक करने के लिए ऐसा कर सकता है (आप उल्लेख करते हैं कि आपके पास एक बुनियादी टिकटिंग प्रणाली है, इसलिए शायद आपको एक बेहतर प्राप्त करने की आवश्यकता है जो बेहतर खोज / रिपोर्टिंग क्षमता के लिए अनुमति देता है), कोई भी एप्लिकेशन, उपयोगिता, या स्क्रिप्ट जो आप उपयोग करते हैं। केवल अनुमतियों का एक स्नैपशॉट प्रदान करेगा। आप अभी भी "क्यों?" किसकी पहुँच किस तक है, जिसे केवल एप्लिकेशन से अलग से ठीक से दस्तावेज किया जा सकता है क्योंकि आपको संभावित रूप से संसाधन प्रबंधक से मूल ई-मेल या अन्य अनुमोदन पाठ पर कब्जा करने की आवश्यकता होगी। एक बार आपके पास वह है, जहां आप इसे आवेदन के परिणामों के साथ जोड़ने के लिए डालते हैं?

फ़ाइल संरचना में वर्तमान अनुमतियों को निर्धारित करने के लिए एक ऐप या स्क्रिप्ट चलाना भी आपको किसी उपयोगकर्ता के लिए अनुमति परिवर्तनों का एक अच्छा ऑडिट ट्रेल प्रदान नहीं करता है। आप अनिवार्य रूप से एक समय में वर्तमान अनुमतियों के एक बड़े स्नैपशॉट के साथ फंस गए हैं। जब आप इसे फिर से चलाते हैं, तो आपके पास फ़ाइल अनुमतियों का एक और बड़ा स्नैपशॉट होगा। यहां तक ​​कि अगर आपने पहली अनुमतियों पर कब्जा कर लिया है और इसकी तुलना हाल की कैप्चर से की है, और अनुमतियाँ बदल गई हैं, तो आप उसे कैसे बदल सकते हैं? फिर, यह हमें # 1,2 के बाद से टिकटिंग सिस्टम में वापस लाता है, और 3 से ऊपर सभी को एक ही स्थान पर प्रलेखित किया जाएगा।

आपके द्वारा लाया गया एक और मुद्दा अनुमति रेंगना है (जब कोई उपयोगकर्ता किसी अन्य अनुमति के लिए पुन: असाइन किया जाता है और अब संसाधन X तक पहुंच की आवश्यकता नहीं है, लेकिन वैसे भी इसे बरकरार रखता है, क्योंकि तथ्य यह है कि उन्हें संसाधन X तक पहुंच की आवश्यकता नहीं है आईटी द्वारा नहीं चलाया गया था संक्रमण के दौरान विभाग)। इसे नियंत्रित करने का एकमात्र तरीका एचआर या जो कोई भी कर्मचारी पुनर्मूल्यांकन को संभालता है, उसे यह बताना है कि जब किसी कर्मचारी को पुन: असाइन किया जाता है तो आईटी को सूचित करने की आवश्यकता होती है ताकि वे उचित रूप से अनुमतियों को असाइन और निरस्त कर सकें। बस। ऐसा कोई मैजिक एप्लिकेशन नहीं है जो आपको बताएगा कि किसी उपयोगकर्ता के पास संसाधन X तक पहुंच है, लेकिन अब ऐसा नहीं करना चाहिए क्योंकि उनकी नौकरी अब वाई है। किसी भी रूप में मानव सूचना आईटी को दी जानी चाहिए जब ऐसा होता है।

यदि आपके पास पहले से एक टिकटिंग सिस्टम है, तो मैं इस प्रकार के अनुरोधों के लिए आपके आवेदन में एक नया समूह, या टैग आदि बनाने का सुझाव दूंगा और उपयोगकर्ताओं को अनुमति परिवर्तन के लिए टिकटों में भेजना होगा। यदि आपका टिकटिंग सिस्टम आपको अन्य उपयोगकर्ताओं को टिकट अग्रेषित करने या टिकट में जोड़ने की अनुमति देता है, तो आवश्यक प्रबंधकों में जोड़ें और सत्यापित करने के लिए कहें। यह आपको अपने काम को कवर करने के लिए रिकॉर्ड रखने की अनुमति देगा।

जैसा कि ऊपर बताया गया है, हर शेयर के लिए एक सुरक्षा समूह बनाएं। मेरे परिवेश में, हमारे पास FIN_Yearly, GEN_Public, MGM_Reports (प्रत्येक विभाग का अपना संक्षिप्त नाम है) नाम के शेयर होंगे। सुरक्षा समूहों का नाम तब SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin आदि होगा। उपयोगकर्ता केवल पढ़ा जाता है, व्यवस्थापक पढ़ा / लिखा जाता है।

यहाँ से आप बना सकते हैं, उदाहरण के लिए SG_Fin FinancialsManager; सुरक्षा समूह जो अन्य सुरक्षा समूहों को शामिल करते हैं ताकि वे जो काम करते हैं उसके आधार पर पहुंच को सरल बनाया जा सके। हम व्यक्तिगत रूप से ऐसा नहीं करते हैं क्योंकि यह थोड़ा सा ट्रैकिंग करता है। एक शेयर के एसजी की जांच करने और अनुमतियों के साथ एसजी के एक झुंड को देखने के बजाय, हमारे पास इसके बजाय उपयोगकर्ताओं की एक सूची है। व्यक्तिगत वरीयता, वास्तव में, और आपकी साइट के आकार पर निर्भर करेगी। हम आम तौर पर विशिष्ट पदों पर नए उपयोगकर्ताओं के प्रबंधन के लिए उपयोगकर्ता टेम्पलेट्स का उपयोग करते हैं।

यदि आपका टिकटिंग सिस्टम आपको पिछले टिकटों के माध्यम से खोजने की अनुमति देता है तो आप बहुत अधिक काम कर रहे हैं। यदि कोई आपसे किसी उपयोगकर्ता की अनुमति को हटाने का अनुरोध करता है, तो आप उसे ट्रैक कर सकते हैं। यदि कोई उपयोगकर्ता सवाल करता है कि अब उनकी पहुंच क्यों नहीं है, तो आप उन्हें टिकट प्रदान कर सकते हैं। यदि कोई प्रबंधक आपसे पूछता है कि किसके पास पहुंच है, तो अनुरोधित सुरक्षा समूह को प्रिंट करें।

वास्तव में ऐसा करने के लिए कई व्यावसायिक अनुप्रयोग हैं। क्षेत्र को कभी-कभी "डेटा शासन" के रूप में जाना जाता है।

कुछ उदाहरण:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

क्वेस्ट वन आइडेंटिटी मैनेजर - डेटा गवर्नेंस एडिशन
http://www.quest.com/identity-manager-data-governance

मैं इनका उपयोग नहीं करता हूं, लेकिन इस विषय पर शोध किया है और कुछ डेमो को देखते हुए, जो आवश्यकता हो सकती है, उसके दायरे को बाज़ार को समझाएगा। ये एप्लिकेशन बहुत जटिल हैं, और सस्ती नहीं हैं। उनमें से कुछ के पास एक्सेस कंट्रोल लिस्ट को ट्रैक करने के लिए स्टोरेज प्लेटफॉर्म में हुक करने के बहुत परिष्कृत तरीके हैं। यहां तक ​​कि अगर यह आपके बजट में नहीं है, तो डेमो इस बात का अंदाजा लगाने के लिए उपयोगी हो सकता है कि इस तरह का एप्लिकेशन एक कार्यात्मक दृष्टिकोण से क्या करता है।

इसकी समीक्षा करते समय मेरे पास एक अवलोकन यह है कि वे आम तौर पर फ़ाइल स्तर पर ऑडिट नहीं करते हैं। यदि वे करते हैं, तो ऐसा कोई रास्ता नहीं होगा जो सैकड़ों या अरबों दस्तावेजों को मापेगा। इसलिए वे आमतौर पर केवल निर्देशिका स्तर पर अनुमति ट्रैक करते हैं।

मुझे उनके दस्तावेज / ट्रैकिंग के बारे में पता नहीं है , लेकिन मैं उन्हें समूहों के साथ असाइन करता हूं ।

उपयोगकर्ता A को संसाधन # 1 तक पहुंचने की आवश्यकता है। उन्हें अनुमति मिलती है और मैं उन्हें एक्सेस ग्रुप में शामिल करता हूं।
वे अपने व्यवसाय के बारे में तब तक चलते रहते हैं जब तक कि एक दिन उन्हें पुनः प्राप्त / निकाल नहीं दिया जाता / जो भी हो, जिस बिंदु पर मैं उन्हें एक्सेस समूह से हटा देता हूं।

मेरा खाता संशोधन ऑडिट लॉग मुझे बताता है कि जब उन्होंने प्राप्त / खोई हुई पहुँच प्राप्त की है, तो उस का एक रिकॉर्ड है, और संसाधन-पहुंच समूह आम तौर पर विभागीय समूह (एचआर, आईटी, बिक्री, वित्त, आदि) हैं, इसलिए पुनर्मूल्यांकन का प्रबंधन आमतौर पर अपने समूह को बदलने का मतलब है। सदस्यता वैसे भी।

यह छोटे वातावरण में सबसे अच्छा काम करने के लिए जाता है - बड़े वातावरण या उन लोगों के लिए जहां एसीएल को वास्तव में जटिल हो जाता है Zoredache सिस्टम के बारे में एक अच्छी बात करता है जो ACL-tweaking भी कुछ हद तक दस्तावेजीकरण करता है

उपयोग, पुन: असाइन करने वाले उपयोगकर्ताओं को जोड़ने / हटाने के लिए अनुरोध आरंभ करने के लिए, मैं इलेक्ट्रॉनिक पेपर (एक टिकटिंग सिस्टम) का सुझाव दूंगा - यह सुनिश्चित करता है कि उपयोगकर्ता दरार के माध्यम से पर्ची नहीं करेंगे, लेकिन इलेक्ट्रॉनिक प्रणाली का धार्मिक रूप से उपयोग करने के लिए समग्र कॉर्पोरेट खरीद की आवश्यकता है ।
कागज पर फायदा आपको कुछ ऐसा मिल सकता है जिसे आप खोज सकते हैं, और हर कोई अपने डेस्क से प्रक्रिया का हिस्सा कर सकता है (प्रबंधक अधिक तेज़ी से अनुमोदन कर सकते हैं क्योंकि कोई अंतर-कार्यालय मेल लिफाफा चारों ओर घूम रहा है, आईटी जल्द से जल्द पहुंच प्रदान कर सकता है / रद्द कर सकता है) जैसा कि टिकट किसी के बिन में दिखाई देता है, आदि)

परमिशन सेटअप करने का सबसे अच्छा तरीका भूमिका आधारित है।

GG_HR GG_Finance Etc, आमतौर पर स्थिति या व्यावसायिक इकाई के लिए मैप किया जाता है।

वहां से आप स्थानीय समूह बनाते हैं जिनके पास संसाधन पर अनुमति है प्रिंटर, या वित्त निर्देशिका। LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

आप इन स्थानीय समूह LG-> GG के लिए वैश्विक समूह बनाते हैं, फिर अपनी भूमिका आधारित वैश्विक समूहों में आप अनुमति आधारित वैश्विक समूहों को जोड़ते हैं।

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

यह आसान बनाता है जब लोग एक भूमिका में हो जाते हैं, आप सिर्फ एक समूह में अपना खाता जोड़ते हैं और उनकी अनुमति उस भूमिका से प्रवाहित होती है और ट्रैक करना बहुत आसान होता है। (यदि आप किसी प्रकार के आइडेंटिटी मैनेजमेंट सिस्टम का उपयोग करते हैं तो भी बहुत अच्छा है)। बहुत आसान है तो ट्रैक करना कि किसके पास क्या व्यक्तिगत अनुमतियां हैं, आप जानते हैं कि यदि वे एचआर समूह में हैं तो उनके पास एक्स अनुमतियां हैं।

जब आप अपनी नौकरी प्रबंधन प्रणाली के माध्यम से अनुरोध कर सकते हैं या स्क्रिप्ट चला सकते हैं, तो यह पता लगाने के लिए कि वे किस भूमिका आधारित समूह में हैं, आप उनके समूह आंदोलन को ट्रैक कर सकते हैं।

दो महान उपयोगिताओं:

1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum आपको इसके परिणामों को बचाने और फिर भविष्य में उनकी तुलना करने की अनुमति देता है, जो परिवर्तनों की तलाश में उपयोगी होगा।

आपको वास्तव में फ़ाइल / फ़ोल्डर अनुमति परिवर्तनों के ऑडिटिंग को सक्षम करने पर विचार करना चाहिए और फिर फ़ाइल सर्वर सिक्योरिटी लॉग्स (मैन्युअल रूप से या किसी भी इवेंट लॉग मैनेजमेंट टूल या एसईएलएम का उपयोग करके, स्प्लंक की तरह) इकट्ठा करना चाहिए और इसे अपने प्रलेखन के लिए उपयोग करना चाहिए। DACLs फाइल करने के लिए सभी परिवर्तनों का विश्लेषण करें। इसके अलावा आप ऊपर दिए गए सुझाव के अनुसार AccessEnum और AccessChk के साथ इसे पूरक करते हैं।

और यह आपको उचित सुरक्षा अनुमतियां सेट करने और केवल समूहों के माध्यम से असाइन करने से मुक्त नहीं करता है।