vrijdag 2 maart 2012 09:59

Acties:
  • 0 Henk 'm!
  • CasGas
  • Registratie: November 1999
  • Laatst online: 10-09 15:00

CasGas

.

Topicstarter
Op dit moment zijn wij op het werk in een traject beland om onze eigen programmatuur dmv AD rechten te verlenen binnen applicaties. Eigenlijk RBAC voor eigen applicaties..

Hierbij willen wij via AD alle security groepen aanmaken, maar dit kunnen er natuurlijk al makkelijk 100 per applicatie worden. Eigenlijk willen wij als beheerders er zo min mogelijk mee van doen hebben, maar wel op een goede manier.

Het idee is om ze een eigen OU te geven met een bepaalde structuur en men mag daar de rechten gaan aanpassen richting de gebruikers/applicaties etc..
Dmv een soort cockpit zullen bepaalde keyusers hier rechten kunnen uitdelen. Ik kan mij niet voorstellen dat er nog niet zoiets bestaat.. We hebben geen zin om het wiel opnieuw uit te vinden uiteraard..

Ik heb zelf al zitten zoeken, maar het enige wat ik vind zijn pakketten die voornamelijk reporting tools of om attributen toe te voegen aan AD.

Ik zoek dus echt een pakket om op een gebruiksvriendelijke manier mensen aanpassingen te laten doen binnen AD op een bepaalde plek, zonder dat zij verdere structuur hoeven te zien of dat het er voor hun "moeilijk" uit ziet.

Iemand enig idee welke kant ik op kan gaan hiermee?

Sony A7III | Sony a6300 | Sony ZV-E1 | 12 2.0 | 21 1.4 | 24 1.4 | 35 2.8 | 50 1.4 | 135 1.8 | 16-28 2.8 | 16-70 4 | 28-75 2.8 | 70-200 2.8 II |

vrijdag 2 maart 2012 10:42

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Je kunt gewoon een custom mmc aanmaken: How To Create Custom MMC Snap-in Tools Using Microsoft Management Console

Dit, in combinatie met delegation of control zodat deze mensen enkel op de juiste plaatsen wijzigingen kunnen doorvoeren zou moeten zijn wat je zoekt.

Voor de rest vraag ik me af hoe je aan 100 security groepen per applicatie komt. Kun je dit niet af met een aantal standaard applicatie-rollen?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 2 maart 2012 11:04

Acties:
  • 0 Henk 'm!
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 08-09 10:17

bazkar

Question Mark schreef op vrijdag 02 maart 2012 @ 10:42:
Voor de rest vraag ik me af hoe je aan 100 security groepen per applicatie komt. Kun je dit niet af met een aantal standaard applicatie-rollen?
Als je applicatie bijvoorbeeld een document management systeem is, kan ik me dat prima voorstellen als je de toegang tot (sets van) documenten op deze manier gaat regelen. Of je dat wilt is vers 2 uiteraard...

vrijdag 2 maart 2012 11:47

Acties:
  • 0 Henk 'm!
  • CasGas
  • Registratie: November 1999
  • Laatst online: 10-09 15:00

CasGas

.

Topicstarter
Question Mark schreef op vrijdag 02 maart 2012 @ 10:42:
Je kunt gewoon een custom mmc aanmaken: How To Create Custom MMC Snap-in Tools Using Microsoft Management Console

Dit, in combinatie met delegation of control zodat deze mensen enkel op de juiste plaatsen wijzigingen kunnen doorvoeren zou moeten zijn wat je zoekt.

Voor de rest vraag ik me af hoe je aan 100 security groepen per applicatie komt. Kun je dit niet af met een aantal standaard applicatie-rollen?
Voor elk onderdeel binnen een applicatie, dus per tab bijvoorbeeld heb je al 2 groepen, een read en een write versie. Onder die tab hebben zij ook meerdere onderdelen die wel of niet beschikbaar moeten zijn dus, zo kom je er wel snel aan een heleboel groepen.

Ik weet dat je het met een MMC'tje kan ondervangen, maar dat is mij niet user friendly genoeg.. een mooi grafisch schilletje eromheen doet wonderen bij simpele gebruikers..

Sony A7III | Sony a6300 | Sony ZV-E1 | 12 2.0 | 21 1.4 | 24 1.4 | 35 2.8 | 50 1.4 | 135 1.8 | 16-28 2.8 | 16-70 4 | 28-75 2.8 | 70-200 2.8 II |

vrijdag 2 maart 2012 12:16

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 08:15

Rolfie

kost wat, maar dan heb je ook wat: ActiveRoles Server

vrijdag 2 maart 2012 12:57

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

CasGas schreef op vrijdag 02 maart 2012 @ 11:47:
[...]
Voor elk onderdeel binnen een applicatie, dus per tab bijvoorbeeld heb je al 2 groepen, een read en een write versie. Onder die tab hebben zij ook meerdere onderdelen die wel of niet beschikbaar moeten zijn dus, zo kom je er wel snel aan een heleboel groepen.
Maar kun je deze rechten dan niet beter rechstreeks toekennen aan je rbac-groepen of rollen? Je wilt nl. niet dat een user lid wordt van teveel groepen: New resolution for problems with Kerberos authentication when users belong to many groups

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 3 maart 2012 20:33

Acties:
  • 0 Henk 'm!
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 08:52

Milmoor

Footsteps and pictures.

Wij werken al een tijd met een RBAC gebaseerd systeem met heel veel groepen, en de praktijk leert dat het uiteindelijk wel mee valt hoeveel je nodig hebt per individuele medewerker. Grofweg 10 per gebruiker voldoet meestal. Door daar weer groepen onder te hangen krijg je toch een fijnmazig systeem dat goed genoeg aansluit op het gewenste rechten resultaat. We hebben aardig wat getest met wat nog werkt, en daar komen we lang niet bij in de buurt. Ik heb de getallen zo niet paraat, dit is door een collega gebeurd. De grootste uitdaging zit in het gestructureerd krijgen van de huidige situatie. Qua tooling ben ik ook nog zoekende.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq