Správa sdílených složek

Logo BOSS S modulem pro správu sdílených složek (více v červnovém newsletteru) jsme zjevně trefili hřebíček na hlavičku. Ozývá se nám dost zákazníků, kteří chtějí vidět jak vyřešit přidělování práv lidem na sdílených filesystémech aniž by to zahlcovalo IT, byli nuceni přemýšlet zda nastavený stav odpovídá tomu požadovanému, marně dohledávali proč má daný člověk někam přístup nebo se naopak snažili zjistit, kde má kdo přístup a s jakými oprávněními.

Obrázek definice složky a jejích práv v modulu Správa sdílených složek

Správci modulu (většinou IT pracovníci) nadefinují jednotlivé sdílené složky a jejich podsložky do takové hloubky jak je potřeba a každé přiřadí správce, který je za složku zodpovědný. Tento správce potom figuruje ve schvalovacím procesu a podílí se tak na určení, kdo do složky bude mít přístup. Schvalovací proces je navíc možné libovolně rozšířit dle konkrétních potřeb, takže požadavek může schválit nejdříve nadřízený a poté až příslušný správce. Po schválení změny dochází automaticky k nastavení změněných přístupových práv.

Správa sdílených složek je jediným nám známým řešením schopným udělat absolutní pořádek v oprávněních na sdílených složkách při zachování maximální svobody a jednoduchosti pro uživatele. Navíc je možné rozšíření i o správu oprávnění pro aplikace bez zásahu IT. Pokud si dáte tu práci a pochopíte logiku aplikace, objevíte také její kouzlo. (Radovan Čížek, Pražské služby)

Uživatelé potom pomocí jednoduchého formuláře žádají o přidělení či zrušení přístupu. Vyberou si adresář, do kterého chtějí přístup, zadají popis proč, specifikují zda ho chtějí pouze pro sebe nebo pro skupinu uživatelů z Active Directory a nakonec vyberou úroveň na jaké přístup chtějí získat. Současně vidí, na jaké úrovni mají přístup v současné době. Odešlou požadavek do oběhu a čekají na jeho schválení.

Na kartě příslušné složky jsou vidět všechny přístupy, na kartě uživatele je zase vidět kam všude má přístup. Tyto přístupy je možné okamžitě zrušit nebo převést na jinou osobu.

Pro fungování modulu je třeba na všechny fileservery (které mohou být v tuto chvíli pouze na platformě Windows) nainstalovat webovou aplikaci, která zajišťuje nastavování práv a zjišťování jejich aktuálního stavu. Tato aplikace také v pravidelných intervalech nastavuje práva tak jak jsou schválena v aplikaci. Pokud tedy někdo změní nastavení práv přímo na filesystému dojde k jejich vrácení do původního stavu při dalším pravidelném běhu. Aplikace je také kompatibilní s distribuovaným souborovým systémem, při změně práv dochází pouze k nastavení změn, aby docházelo k replikaci minimálního množství dat.

Podívejte se na krátké video, které ukazuje funkcionalitu modulu v praxi.

Zároveň je možné nasadit obdobný modul pro řízení práv k aplikacím. V něm dochází k definici jednotlivých aplikací a rolí v těchto aplikacích. Vlastní seznam práv příslušné role se nadále řeší v konkrétní aplikaci, v našem modulu uživatelé pouze žádají o přidělení příslušné role. Po proběhnutí schvalovacího procesu se informuje vybraný uživatel (helpdesk), aby zajistil nastavení práv v konkrétní aplikaci, pokud je aplikace řízena pomocí skupin z Active Directory dochází přímo ke změně dané skupiny.

Modul je možné případně propojit s Forefront Identity Managerem, který umí nastavovat práva v nejrůznějších systémech. Modul Správa sdílených složek je možné integrovat i se SharePointem a využít ho pro nastavování práv k jednotlivým knihovnám a jejich adresářům.

Leave a Reply