6.2. Управление ресурсами пользователей

Создание учётных записей пользователей — это только часть работы системного администратора. Не менее важная задача — управление ресурсами пользователей. Поэтому необходимо рассмотреть следующие вопросы:

Эти вопросы будут кратко рассмотрены в следующих разделах.

6.2.1. Кому разрешён доступ к общим данным?

Доступ пользователя к конкретному приложению, файлу или каталогу определяется разрешениями, заданными для этого ресурса.

Кроме того, часто полезно иметь возможность назначать разные разрешения разным классам пользователей. Например, в общем временном хранилище стоит предотвратить случайное (или злонамеренное) удаление файлов пользователя другими пользователями, и при этом разрешить владельцу файла общий доступ.

Другой пример — доступ к домашнему каталогу пользователя. Создание или просмотр файлов в домашнем каталоге должен быть разрешён только его владельцу. Другим пользователям доступ должен быть запрещён (если только владелец каталога не захочет обратного). Это помогает сохранять данные пользователя в секрете и предотвращает хищение личных файлов.

Но очень часто бывает, что нескольким пользователям требуется доступ к одному ресурсу компьютера. В таких случаях может возникнуть необходимость в создании соответствующих общих групп.

6.2.1.1. Общие группы и данные

Как было сказано во введении, группы — это логические конструкции, с помощью которых можно объединить учётные записи пользователей для какой-то определённой цели.

Управляя пользователями в организации, рекомендуется определить, какие данные должны быть доступны конкретным отделам, какие данные должны быть закрыты для других и какие данные должны быть доступны всем. Это поможет создать подходящую структуру групп и соответствующим образом распределить доступ к общим данным.

Например, предположим, что отдел, обрабатывающий поступающие счета, должен вести список счётов, не оплаченных вовремя. Этот список также должен быть доступен отделу по работе с задолженностью. Если сотрудники и отдела обработки поступающих счетов, и отдела по работе с задолженностью являются членами группы accounts, этот список можно поместить в общий каталог (владельцем которого будет группа accounts) и разрешить в нём этой группе чтение и запись.

6.2.1.2. Определение структуры групп

Когда системные администраторы начинают создавать общие группы, перед ними встают разные вопросы, в частности:

  • Какие группы создавать?

  • Кого включить в конкретную группу?

  • Какие разрешения должны быть назначены для заданных общих ресурсов?

Ответить на эти вопросы поможет здравый смысл. Во-первых, создавая группы можно отразить структуру вашей организации. Например, если у вас есть финансовый отдел, создайте группу finance и включите в эту группу всех сотрудников данного отдела. Если финансовая информация не должна быть доступна всей компании, но руководство организации должно иметь к ней доступ, разрешите ему доступ к файлам и каталогам финансового отдела, добавив всех руководителей в группу finance.

Разрешая пользователям доступ, следует проявлять осмотрительность, чтобы важная информация случайно не попала в чужие руки.

Подходя к созданию структуры групп организации таким образом, можно безопасно и эффективно удовлетворить требования к предоставлению совместного доступа к данным.

6.2.2. Куда пользователи обращаются за общими данными?

Для организации доступа пользователей к общим данным обычно используется центральный сервер или группа серверов, которые предоставляют определённые каталоги другим компьютерам в сети. Это позволяет хранить данные в одном месте, синхронизация данных между разными компьютерами не нужна.

Прежде чем внедрить это на практике, вы должны определить, какие компьютеры будут обращаться к централизованным данным. Для этого следует учесть, какие операционные системы работают на ваших компьютерах. Это может повлиять на практическую реализацию данного подхода, так как ваш сервер хранения должен быть способен предоставлять данные всем операционным системам, используемым в вашей организации.

К сожалению, если данные совместно используется несколькими компьютерами в сети, это может приводить к конфликтам владения файлами.

6.2.2.1. Вопросы глобального владения

Централизованное хранение данных и доступ к ним по сети нескольких компьютеров имеет свои преимущества. Однако, предположим на минуту, что на каждом из этих компьютеров есть локальный список учётных записей пользователей. Как всё это будет работать, если список пользователей на отдельных компьютерах не будет совпадать со списком пользователей на центральном сервере? Или эти списки пользователей на разных компьютерах вообще не будут соответствовать друг другу?

Во многом это зависит от того, как в каждой системе реализованы пользователи и права доступа, но в некоторых случаях возможно, что пользователь A в одной системе окажется пользователем B в другой. Это становится настоящей проблемой, когда эти системы совместно используют данные, так как данные, которые разрешено прочитать пользователю A одной системы, также будут доступны пользователю B другой системы.

Поэтому во многих организациях используется централизованная база данных пользователей, которая позволяет решить проблему пересечения списков пользователей в разных системах.

6.2.2.2. Домашние каталоги

Ещё один вопрос, возникающий перед системными администраторами — хранить ли домашние каталоги пользователей централизованно.

Основное преимущество централизованного хранения домашних каталогов на сетевом сервере состоит в том, что пользователь может обращаться к файлам в своём домашнем каталоге с любого компьютера в сети.

Но у этого подхода есть и недостаток — если работа сети будет нарушена, все пользователи потеряют доступ к своим файлам. В некоторых ситуациях (например, если в организации широко используются ноутбуки), иметь централизованные домашние каталоги может быть нежелательно. Но если это имеет смысл в вашей организации, развёртывание централизованных домашних каталогов может сильно упростить жизнь системного администратора.

6.2.3. Каким образом предотвращается нецелевое использование ресурсов?

Самое основное, что может сделать системный администратор для предотвращения нецелевого использования ресурсов пользователями — тщательно продумать организацию групп и осмотрительно распределять доступ к ресурсам. Таким образом, те, кто не должен иметь доступа к важным ресурсам, его не получат.

Но вне зависимости от того, как работает ваша организация, лучшая защита от злоупотребления ресурсами — постоянная бдительность системного администратора. Часто единственный способ избежать неприятного сюрприза, который может ожидать вас на рабочем месте в одно прекрасное утро — всегда быть начеку.