none
Ограничение время жизни NTFS прав на каталоги. RRS feed

  • Вопрос

  • Добрый день!
    Вопрос следующего характера:
    Есть сетевая шара. Есть некоторое кол-во пользователей.
    Если механизм позволяющий выдавать права на каталоги с ограничением по времени.
    О том, что время жизни учетной записи как таковой можно ограничить это известно, но в данном случае блокируется учетная запись целиком, что не совсем подходит.
    Спасибо!

    29 августа 2019 г. 11:12

Ответы

  • В 2012 R2 подходящих механизмов нет.

    В AD в Windows server 2016 появилось ограниченное по времени членство в группах (технически - ссылочные атрибуты с ограниченным врменем действия), и его можно использовать для решения вашей задачи: разрешения даются на группы, а пользователи включаются в эти группы с ограниченным временем действия.

    Штатное решение на базе этого механизма от Microsoft - Privileged Access Management - весьма громоздко, оно требует дополнительного леса AD. Но если в варианте "для бедных" добавлять временных членов в группы вручную, через Powershell, то можно обойтись и одним лесом.


    Слава России!

    29 августа 2019 г. 12:08
  • Есть временное членство в группах как раз для этой задачи (но такого функционала нет ещё в WS2012R2). Поэтому вы можете скриптом реализовать это временное членство, либо ещё вам может быть полезен функционал Claims & Dynamic Access Control.
    29 августа 2019 г. 12:09

Все ответы

  • В 2012 R2 подходящих механизмов нет.

    В AD в Windows server 2016 появилось ограниченное по времени членство в группах (технически - ссылочные атрибуты с ограниченным врменем действия), и его можно использовать для решения вашей задачи: разрешения даются на группы, а пользователи включаются в эти группы с ограниченным временем действия.

    Штатное решение на базе этого механизма от Microsoft - Privileged Access Management - весьма громоздко, оно требует дополнительного леса AD. Но если в варианте "для бедных" добавлять временных членов в группы вручную, через Powershell, то можно обойтись и одним лесом.


    Слава России!

    29 августа 2019 г. 12:08
  • Есть временное членство в группах как раз для этой задачи (но такого функционала нет ещё в WS2012R2). Поэтому вы можете скриптом реализовать это временное членство, либо ещё вам может быть полезен функционал Claims & Dynamic Access Control.
    29 августа 2019 г. 12:09