私はADを使い始めたばかりで、グループメンバシップを使って、Webアプリケーションとデスクトップアプリケーションの両方で、特定のユーザーに読み込まれる/表示される機能を制御しています。AD配布グループを使用してプログラム機能へのアクセスを制御する際のセキュリティ上の懸念はありますか?
ADには、セキュリティグループと配布グループがあります。私は、ロール間で細かい差別を得るために、いくつかを使用しています。
この方法で配布グループを使用する際の懸念は何ですか?
AzMan(承認マネージャー)を検討するとよいでしょう。
アクティブディレクトリアカウントに結びつけて、AD内に完全に格納することができます。 AzManは、RolesやActionまで許容されています。要するに、ユーザーが特定のアクションに対して許可されているかどうかをテストするようにアプリケーションをコーディングします。ロールを作成するときに、そのロールに1つ以上のアクションを割り当てます。
これにより、コードベースを変更することなく、必要に応じてさまざまな役割のアクションを組み合わせて対応させることができます。私はそれを広範囲に使用しており、それはかなり良いです。
通常のADグループを使用することの欠点は、AD空間を汚染する数十〜数百(アプリケーションの複雑さにもよるが)の役割に終わる可能性があることです。
たとえば、アカウントの削除を許可する前にセキュリティチェックを行いたいとします。 AzManでは、AccountDeleteアクションを作成し、そのアクションをAdministrator、Account Administratorなどの1つ以上のロールに割り当てます。
ADでは、新しいグループを作成して割り当てる必要があります。これは非常に迅速に非常に複雑になります。
+1ありがとう、クリス - 私は実際にADに新しいグループを追加することはありません、私はちょうど既存のグループメンバーシップを使用しています。私はちょうど配布グループを使用している場合、ユーザーが自分自身または何かを追加することができるような特定の問題を抱えているのだろうか? – Jay
Jayがグループメンバーシップに基づいてUIのいくつかの機能を表示/非表示にしたい場合、AzManを使用することに同意する。また、グループメンバーシップがLDAPフィルタによって定義される動的グループを定義することもできます。これは、マネージャが "Jane.Doe"であるすべてのADユーザを含むようなグループを定義する場合に便利です。 –
どのAzManライブラリを使用していますか? AzRoles.dllを使いましたか?私はそれが非常にバギーであることが分かった。お勧めの管理ライブラリがありますか? –
ああ、ちょっと覚えておいてください。あなたの役割の目的でユーザーに割り当てられた多数の異なるグループ(1000を超えるグループ)を定義する場合は、セキュリティグループではなく配布グループを実際に使用する必要があります。その理由は、ユーザーが所属できるセキュリティグループの数に厳しい制限がありますが、ユーザーが属することができる配布グループの数に制限はないためです。 –