none
Многоуровневая структура папок и управление разрешениями. RRS feed

  • Вопрос

  • Добрый день господа.

    В моей организации используется файловый сервер на Windows 2003 STD R2.  На файловом сервере выделено две шары, которые подключаются у всех пользователей в сеансе Logon на своих ПК как сетевые диски, пускай с буквами S и P. Диск S используется как хранилище документов конкретных отделов, а диск P - как хранилище документов общекорпоративных документов.

    Организована следующая структура папок и разрешений:

    Возьмем диск S (папки отделов).

    I.На каждом из дисков по заявке пользователя может быть создано 2 (два) уровня папок.

         1-ый уровень - S:\OKK (папка отдела контроля качества)

         2-ой уровень - S:\OKK\Instructions,  или  S:\OKK\Standarts.

    II.Разрешения задются посредством создания нескольких групп безопасности и внесением пользователей в эти группы, напрмер:

        LGS_Disk_S_OKK_R

        LGS_Disk_S_OKK_Instructions_R

        LGS_Disk_S_OKK_Instructions_RW

    Тоесть, присутсвут группа пользователей которая имеет право читать и группа пользователй которая имеет право модифицировать. В разрешениях присутсвует запрет на удаление первого и второго уровней. Как именно задаются разрешения писать не буду, лишь скажу что используется стандартное средство - закладка "безопастность" на папках первого и второго уровней. Так же существует роль владельца ресурса - как правило, это руководитель.

    Служба ИТ предоставляет доступ по заявке к первому и второму уровню, а дальше сотрудники отдела как хотят так и организовуют структуру папок, могут создавать сколь угодно подпапок и файлов. Возможно, я что-то упускаю, но не углубляясь в детали, думаю, структура файлового сервиса и управление доступом всем понятна. Ну а если не понятна - задавайте вопросы.

    Даная структура хранения файлов и предотсавления доступа очень долго жила и выполняла свою роль. Пользователи обращались с заявками, которые проходили стадию утверждения и спокойно себе выполнялись. Велся учет по предоставлению доступа и все имели только те права которые им были необходимы. Но, в рамках начавшегося процесса управления информационной безопасностью, компания провела классификацию всей информации и выставила каждому типу документу соответсвенный уровень конфиденциальности, целостности и достпности.

    В связи с чем, возникла необходимость более жестко структурировать файлы, папки и разрешения доступа к ним. Начали поступать заявки на создания папок и предоставление разрешений на более глубоких уровнях, вплоть до 5 (пятого) уровня. Например - S:\Finance\Sales\2009\05\product01\.

    Для службы ИТ это сздает сложности, так как это влечет за собой временные затраты и плодит кучу групп в которые входят пользорватели (в компании работает около 2000 сотрудников). Нам уже пришлось изменить умолчания для размера маркера Kerberos. Пока разгарничение до 5-ти уровней работает в порядке исключения лишь для нескольких служб, но запросы поступают и это может превратится в очень большую и сложную проблему.

    А теперь вопросы:

       Что можно использовать для управления разрешениями многоуровневой струтктуры папок?

       Существуют ли инструменты, которые облегчают выполнение описаных задач?

       Какая структура хранения файлов является оптимальной? Возможно есть какието практики или рекомендации?

       Возможно, я не в том направлении двигаюсь, и решение проблемы лежит в другой плоскости? (Системы документооборота, SharePoint, другое...)

    У меня получается ДИЛЕМА - с одной стороны многоуровневая структура обеспечивает жесткое разделение типов документов и прав, а сдругой стороны -  нельзя плодить бесконечное количество групп.

       Что можно посоветовать?

       Заранее всем признателен и благодарен за ответы! Спасибо за ваше время.


    Zender


Ответы

  •    Какая структура хранения файлов является оптимальной? Возможно есть какието практики или рекомендации?

       Возможно, я не в том направлении двигаюсь, и решение проблемы лежит в другой плоскости? (Системы документооборота, SharePoint, другое...)

    У меня получается ДИЛЕМА - с одной стороны многоуровневая структура обеспечивает жесткое разделение типов документов и прав, а сдругой стороны -  нельзя плодить бесконечное количество групп.

       Что можно посоветовать?


    Есть два момента.

    1. Экономическая целесообразность. Служба безопасности может начать защищать все подряд, создавая большие сложности в работе и увеличивая эксплутационное затраты до астрономических величин - вы это ощутили, другие подразделения скорее всего тоже. Будет создано огромное количество нормативной документации, закуплены технические и программное средства... Поэтому надо спросить, а стоит ли это того? Т.е. 10 лет до этого документы никто не защищал до такой степени - сколько компания потеряла из-за этого? сколько могла потерять? Если никто не может дать экономические расчеты, то стоит ли сейчас все так усложнять? Порядок в делах должен быть, но он должен помогать работе и получению доходов, а не создавать только одни препоны и расходы.

    Движение к "порядку" можно  и нужно делать проще. Например, дополнить существующую у вас систему. В соответствии с требованиями СБ в шапку каждого документа вставлять сведения о безопасности описывающие круг лиц имеющих право работать с этим документом - все! Остальное делаю сами сотрудники под контролем СБ.

    Если позднее будет приобретено какое-то ПО документооборота, то вы уже будете точно знать, что вам от него требуется, и сможете перенести в него свои политики безопасности.

    2. Техническая сторона. Нет ничего универсального. Всегда будет компромисс. А чтобы его достичь надо очень хорошо отработать систему документооборота и безопасности, о чем сказано выше.

    Что касается файловой системы и папок с документами: это одномерная система - вы очень быстро достигните насыщения в сложной системе доступа, которая у вас складывается. Она выродится в то, что доступ надо будет настраивать на каждый документ. (Это наиболее дешевый вариант с точки зрения кап. затрат, но экспл. затраты могут расти как снежный ком.)

    И это логично: доступ к документу определяется из его содержания!

    Настраивать такой доступ в файловой системе невозможно.

    Вариант Sharepoint. Но это в какой-то степени вариант файловой системы - доступ на уровне библиотек. Но есть возможность изменить принципы работы - от документов к приложениям. Это решит не только вопрос безопасности и доступа, но и автоматизации производственной деятельности. Требует лицензирования и немалых затрат.

    Более продвинутый вариант RMS - права доступа можно установить на уровне документа. Требует лицензирования и затрат.

    СЭД - в какой-то степени может решить многие вопросы. Но это вещь в себе - я еще не слышал, чтобы существовала хорошая система документооборота - каждая имеет свои "приколы". Требуют лицензирования и немалых затрат.

     


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор

Все ответы

  • у нас сотрудников меньше, но тоже было пару ресурсов с заранее заданной четкой структурой подпапок и с четкой струкуторой групп для них. выполнялось все скриптами, то есть ответственный сотрудник скриптом создает папку и всю структуру подпапок в ней со всеми правами. но это все не вариант. в случае четкого разграничения по ролям и большим количеством документов нужны ЭДО порталы и подобные решения. там уже не ит решает кому давать доступ а хозяин ресурса или документа.
  •    Какая структура хранения файлов является оптимальной? Возможно есть какието практики или рекомендации?

       Возможно, я не в том направлении двигаюсь, и решение проблемы лежит в другой плоскости? (Системы документооборота, SharePoint, другое...)

    У меня получается ДИЛЕМА - с одной стороны многоуровневая структура обеспечивает жесткое разделение типов документов и прав, а сдругой стороны -  нельзя плодить бесконечное количество групп.

       Что можно посоветовать?


    Есть два момента.

    1. Экономическая целесообразность. Служба безопасности может начать защищать все подряд, создавая большие сложности в работе и увеличивая эксплутационное затраты до астрономических величин - вы это ощутили, другие подразделения скорее всего тоже. Будет создано огромное количество нормативной документации, закуплены технические и программное средства... Поэтому надо спросить, а стоит ли это того? Т.е. 10 лет до этого документы никто не защищал до такой степени - сколько компания потеряла из-за этого? сколько могла потерять? Если никто не может дать экономические расчеты, то стоит ли сейчас все так усложнять? Порядок в делах должен быть, но он должен помогать работе и получению доходов, а не создавать только одни препоны и расходы.

    Движение к "порядку" можно  и нужно делать проще. Например, дополнить существующую у вас систему. В соответствии с требованиями СБ в шапку каждого документа вставлять сведения о безопасности описывающие круг лиц имеющих право работать с этим документом - все! Остальное делаю сами сотрудники под контролем СБ.

    Если позднее будет приобретено какое-то ПО документооборота, то вы уже будете точно знать, что вам от него требуется, и сможете перенести в него свои политики безопасности.

    2. Техническая сторона. Нет ничего универсального. Всегда будет компромисс. А чтобы его достичь надо очень хорошо отработать систему документооборота и безопасности, о чем сказано выше.

    Что касается файловой системы и папок с документами: это одномерная система - вы очень быстро достигните насыщения в сложной системе доступа, которая у вас складывается. Она выродится в то, что доступ надо будет настраивать на каждый документ. (Это наиболее дешевый вариант с точки зрения кап. затрат, но экспл. затраты могут расти как снежный ком.)

    И это логично: доступ к документу определяется из его содержания!

    Настраивать такой доступ в файловой системе невозможно.

    Вариант Sharepoint. Но это в какой-то степени вариант файловой системы - доступ на уровне библиотек. Но есть возможность изменить принципы работы - от документов к приложениям. Это решит не только вопрос безопасности и доступа, но и автоматизации производственной деятельности. Требует лицензирования и немалых затрат.

    Более продвинутый вариант RMS - права доступа можно установить на уровне документа. Требует лицензирования и затрат.

    СЭД - в какой-то степени может решить многие вопросы. Но это вещь в себе - я еще не слышал, чтобы существовала хорошая система документооборота - каждая имеет свои "приколы". Требуют лицензирования и немалых затрат.

     


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор