Информация об управлении доступом
Помимо имени и пароля пользователя, учётные записи также содержат
информации об управлении доступом. Эта информация принимает разные формы
в зависимости от используемой операционной системы. Но чаще всего это
следующая информация:
Информация уровня системы о пользователе.
Информация уровня системы о группах.
Список дополнительных групп/сущностей, членом которых является
пользователь.
Информация о доступе по умолчанию, применяемая ко всем создаваемым
пользователем файлам и ресурсам.
В некоторых организациях, информация об управлении доступом может
никогда не меняться. Чаще всего это имеет место на отдельных, личных рабочих
станциях. В других же организациях, особенно в тех, где различные группы
пользователей интенсивно используют общий доступ к сетевым ресурсам,
информация об управлении доступом меняется очень часто.
Нагрузка, необходимая для поддержания информации об управлении
доступом ваших пользователей, зависит от того, насколько интенсивно в вашей
организации
используются
возможности
управления
доступом вашей
операционной системы. Хотя использовать эти возможности вовсе не плохо (и на
самом деле это может быть обязательно), это значит, что окружение вашей системы
может потребовать больше усилий для поддержки и появится больше способов
ошибиться в настройках каждой учётной записи.
Поэтому, если это необходимо в вашей организации, вы должны придать
большое значение точному описанию действий, необходимых для создания и
правильной настройки учётной записи. На самом деле, если существует несколько
типов учётных записей пользователей, вы должны документировать каждую
(создание новой учётной записи для нового пользователя финансового отдела,
операционного отдела и т. д.).
Повседневное управление учётными записями и доступом к ресурсам
Как говорит старая мудрость, «Постоянны только изменения». И это также
касается сообщества ваших пользователей. Одни люди приходят, другие уходят, а
третьи переходят с одной должности на другую. Поэтому системные
администраторы должны быть способны реагировать на изменения, которые
являются обычными явлениями в повседневной работе вашей организации.
Новые сотрудники
136
Когда в организацию приходит новый человек, обычно ему разрешается
доступ к различным ресурсам (в зависимости от его должности). Ему может быть
выделено рабочее место, телефон и ключ от входной двери.
Ему также может быть разрешён доступ к одному или нескольким
компьютерам в вашей организации. Ваша задача, как системного администратора,
проконтролировать, что всё сделано правильно и своевременно. Как же решить эту
задачу?
Прежде чем вы что-нибудь сделаете, вас должны уведомить о приходе нового
сотрудника. В разных организациях это делается по-разному. Например, возможны
следующие варианты:
Разработать процедуру, согласно которой о приходе нового сотрудника вас
уведомляет отдел кадров вашей организации.
Создать форму, которую будет заполнить начальник этого сотрудника и
передавать вам для создания учётной записи.
Разным организациям нужны разные подходы. Как бы это ни было
организовано, крайне важно, чтобы у вас был чёткий порядок уведомлений о
не
обходимост и
выполнения
любых
дейст вий
,
связанных
с
учёт ными
записями
.
Прекращение работы
Уход людей из организации – неизбежное явление. Иногда это происходит
при благоприятных обстоятельствах, а иногда – нет. В любом случае важно, чтобы
вы предусмотрели эту ситуацию и могли предпринять соответствующие действия.
По меньшей мере, это должны быть следующие действия:
Запрет доступа пользователей ко всем системам и связанным ресурсам
(обычно для этого меняется или блокируется пароль пользователя).
Копирование в архив файлов пользователя, если они содержат что-то, что
может понадобится позже.
Координация доступа к файлам начальником пользователя.
Самое главное – защитить ваши системы от пользователя, прекратившего
работу. Это особенно важно, если пользователь покинул организацию при таких
обстоятельствах, при которых у него могло остаться недоброжелательное
отношение к вашей организации. Но даже если обстоятельства более
благоприятные, в интересах вашей организации, чтобы вы быстро и надёжно
запретили доступ пользователю, прекратившему работу.
Это показывает, что вас должны уведомлять обо всех подобных событиях, и
предпочтительнее до того, как сотрудник прекратит работу фактически. Чтобы
получать информацию о предстоящих увольнениях заранее, вам следует
сотрудничать с отделом кадров вашей организации.
После того, как вы запретите доступ, сделайте копию файлов сотрудника,
покидающего организацию. Эта копия может быть сделана в рамках стандартного
резервного копирования, или в рамках специальной процедуры копирования в
архив данных старых учётных записей. В определении наиболее подходящего
способа выполнения резервной копии играют роль разные факторы, в частности,
137
регламент сохранения данных, требования сохранения доказательств на случай
судебных разбирательств и т. д.
В любом случае на данном этапе рекомендуется сделать резервную копию,
так как на следующем этапе (предоставление начальнику доступа к файлам
ушедшего сотрудника) они могут быть случайно удалены. В таких
обстоятельствах, имея текущую копию, можно легко восстановить данные, что
упрощает этот процесс и для начальника, и для вас.
Теперь вы должны определить, какой доступ к файлам ушедшего сотрудника
нужен его начальнику. В зависимости от вашей организации и рода занятий
ушедшего сотрудника, возможно, доступ не следует открывать вовсе, или,
наоборот, разрешить доступ ко всему, что потребуется начальнику.
Если этот человек не только от случая к случаю пользовался почтой, скорее всего
его начальнику придётся отсортировать файлы и определить, что следует оставить,
а что может быть удалено. По завершению этого процесса как минимум некоторые
файлы можно будет передать сотруднику или сотрудникам, которым перешли
обязанности ушедшего сотрудника. Возможно, на этом, последнем этапе всего
процесса потребуется ваша помощь, или начальник сможет справиться с этим сам.
Это зависит от файлов и сущности работы, которую выполняет ваша организация.
Переход на другую должность
Удовлетворение запросов на создание учётных записей для новых
пользователей и отработка последовательности событий для блокировки учётной
записи при уходе сотрудника – достаточно простые процессы. Однако всё не так
однозначно, когда сотрудник организации переходит на другую должность. Иногда
при этом может потребоваться внести изменения в учётную запись, а иногда нет.
Есть как минимум три человека, которые должны обеспечить подходящую
перенастройку учётную записи в соответствии с новой должностью:
Вы.
Предыдущий начальник пользователя.
Новый начальник пользователя.
Между собой вы должны определить, что нужно сделать, чтобы полностью
закрыть старые задачи пользователя, и что нужно сделать, чтобы подготовить
учётную запись пользователю к новому кругу задач. Во многих отношениях этот
процесс можно представить, как отключение существующей учётной записи
пользователя и создание новой. На самом деле в некоторых организациях именно
так и происходят переводы сотрудников с одной должности на другую.
Однако, скорее всего, учётная запись пользователя будет сохранена и
изменена в соответствии с его новым кругом задач. Этот подход означает, что вы
должны внимательно проверить учётную запись, чтобы убедиться в том, что ему
доступны только те ресурсы и назначены только те привилегии, что необходимы
для новых задач.
Ещё больше усложняет эту ситуацию тот факт, что часто в процессе перехода
пользователь временно выполняет задачи, связанные с обеими должностями. Здесь
138
вы можете обратиться к предыдущему и новому начальникам, чтобы они
определили длительность этого переходного периода.
Достарыңызбен бөлісу: |