none
Ограничение время жизни NTFS прав на каталоги. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день!
    Вопрос следующего характера:
    Есть сетевая шара. Есть некоторое кол-во пользователей.
    Если механизм позволяющий выдавать права на каталоги с ограничением по времени.
    О том, что время жизни учетной записи как таковой можно ограничить это известно, но в данном случае блокируется учетная запись целиком, что не совсем подходит.
    Спасибо!

    29 августа 2019 г. 11:12
    |

Ответы

  • Question
    Нужно войти
    1
    Нужно войти

    В 2012 R2 подходящих механизмов нет.

    В AD в Windows server 2016 появилось ограниченное по времени членство в группах (технически - ссылочные атрибуты с ограниченным врменем действия), и его можно использовать для решения вашей задачи: разрешения даются на группы, а пользователи включаются в эти группы с ограниченным временем действия.

    Штатное решение на базе этого механизма от Microsoft - Privileged Access Management - весьма громоздко, оно требует дополнительного леса AD. Но если в варианте "для бедных" добавлять временных членов в группы вручную, через Powershell, то можно обойтись и одним лесом.

    Слава России!

    29 августа 2019 г. 12:08
    |
  • Question
    Нужно войти
    1
    Нужно войти
    Есть временное членство в группах как раз для этой задачи (но такого функционала нет ещё в WS2012R2). Поэтому вы можете скриптом реализовать это временное членство, либо ещё вам может быть полезен функционал Claims & Dynamic Access Control.
    29 августа 2019 г. 12:09
    |

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    В 2012 R2 подходящих механизмов нет.

    В AD в Windows server 2016 появилось ограниченное по времени членство в группах (технически - ссылочные атрибуты с ограниченным врменем действия), и его можно использовать для решения вашей задачи: разрешения даются на группы, а пользователи включаются в эти группы с ограниченным временем действия.

    Штатное решение на базе этого механизма от Microsoft - Privileged Access Management - весьма громоздко, оно требует дополнительного леса AD. Но если в варианте "для бедных" добавлять временных членов в группы вручную, через Powershell, то можно обойтись и одним лесом.

    Слава России!

    29 августа 2019 г. 12:08
    |
  • Question
    Нужно войти
    1
    Нужно войти
    Есть временное членство в группах как раз для этой задачи (но такого функционала нет ещё в WS2012R2). Поэтому вы можете скриптом реализовать это временное членство, либо ещё вам может быть полезен функционал Claims & Dynamic Access Control.
    29 августа 2019 г. 12:09
    |