PHP Inside

 
   
 

Главная


Начало
страница1
страница2
страница3
страница4
страница5
страница6
страница7
страница8
страница9
страница10
страница11
страница12
страница13
страница14
страница15
страница16
страница17
страница18
страница19
страница20
страница21
страница22
страница23
страница24
страница25
страница26
страница27
страница28
страница29
страница30
страница31
страница32
страница33
страница34
страница35
страница36
страница37
страница38
страница39
страница40
страница41
страница42
страница43
страница44
страница45
страница46
страница47
страница48
страница49
страница50
страница51
страница52
страница53
страница54
страница55
страница56
страница57
страница58
страница59
страница60
страница61
страница62
страница63
страница64
страница65
страница66
страница67
страница68
страница69
страница70
страница71
страница72
страница73
страница74
страница75
страница76
страница77
страница78
страница79
страница80
страница81
страница82
страница83
страница84
страница85
страница86
страница87
страница88
страница89

 
 
 

 

 

в этом цикле статей будет рас­ смотрено расширение стан­ дартного механизма делегиро­вания полномочий управления учет-


ными записями пользователей на при­мере операционной системы Windows Server 2003. Данная надстройка бу­ дет удобна прежде всего для круп-


ных организаций со сложной струк­ турой и частыми миграциями персо­ нала в пределах компании . Реализо­ ванный в операционной системе механизм делегирования полномочий неудобен в случаях , когда требуется перенести объект пользователя из од­ ной организационной единицы в дру­ гую . Эта операция отражает перевод сотрудника в другой отдел . Для ее ус­ пешного осуществления требуется иметь право управления объектами типа «Пользователь» как в организа­ ционной единице - источнике , так и по­ лучателе .

В то же время в сложной организа­ ции с отделами , для которых существу­ ют особые правила безопасности , хо­ телось бы иметь возможность более тонкого распределения прав , не пре­ доставляя их , грубо говоря , «всем на все» . То есть администратор орга­ низационной единицы должен иметь возможность администрировать свое и , возможно , дочерние подразделения , но не более того . Перенос же пользо­ вателей должен осуществляться двумя администраторами : один удалит поль­ зователя из своего подразделения и поставит в очередь в целевое , а дру­ гой , просмотрев очередь , - завершит или отменит операцию переноса .

Для начала определим базовый механизм реализации надстройки . К каждой организационной единице будет прикреплен специальный объ­ект типа «Комната ожидания» . Active Directory не содержит такого клас­ са , поэтому его нужно будет предва­ рительно создать . При переносе объ­екта пользователя он будет попадать не в целевую организационную едини­ цу , а в эту «комнату» .

Главная функция надстройки - уп­ равление переходами пользователей между отделами организации . Эта опе­ рация должна выполняться сотрудни­ ками , занимающими определенную должность . Назовем ее «Менеджер по персоналу» . Под словом менеджер в дальнейшем в статье будет подра­ зумеваться именно это понятие , если явно не указано другое . Вполне воз­ можна ситуация , когда на предприятии за миграцией персонала между под­ разделениями отвечает по нескольку человек в одном подразделении . Од­нако было принято решение несколь­ ко упростить задачу , чтобы не перегру­ жать статью незначительными , но объ­ емными тонкостями реализации .

Итак , если менеджер обладает достаточными правами как в исход -

Рисунок 1. Диаграмма классов

ной , так и целевой организационных единицах , он может просто перенести пользователя , не используя расширен­ ный механизм надстройки . В против­ном случае он может только «вывес­ ти» пользователя из своего подраз­ деления и поставить в комнату ожи­ дания целевого .

Важно не превратить разрабаты­ваемый механизм в дыру в системе безопасности . Перенос пользователя из одной организационной единицы в другую может выводить его из об­ ласти действия одних глобальных по­ литик безопасности и вводить в об­ ласть других . Возможны еще более се­ рьезные последствия , если использу­ется надстройка , подобная описывае­ мой в [1]. В этом случае смена подраз­ деления может привести к переходу из одной группы безопасности в дру­ гую . Поэтому необходимо ввести сле­ дующее правило : в комнате ожидания не может находиться активных поль­зователей . Другими словами , объект частично перенесенного пользовате­ ля должен быть отключен (disabled). Это наиболее логичное решение : по­ ка человек не прошел все формаль­ ности по переводу , он не может попа­ дать под действие политик безопас­ ности целевого отдела и пользовать­ся его информационными ресурсами . В то же время и из отдела источника он уже ушел , поэтому и доступа к не­ му иметь не должен .