システム(Windows、asp.netアプリケーション、linux、何でも...)があります。このシステムでは、多くのユーザーグループがシステムに存在します。
2人のユーザーグループAとBに1人のユーザーがいます。
ユーザーグループAでは、フォルダXYへのアクセスが許可されています。
ユーザグループBでは、フォルダXYへのアクセスが拒否されました。
このような競合はどのように解決されましたか?
このような状況を回避するための推奨事項やベストプラクティスはありますか?1人のユーザー、2人のユーザーグループ、最初のグループアクセスが許可され、2番目のグループアクセスが拒否されました。
Principal of Least Privilegeには、デフォルトの状態でアクセスを拒否するようにすることをお勧めします。ユーザー権利システムを使用して、必要なグループにアクセス権を追加する必要があります。少なくともアクセス権を禁止する必要はありません。
もちろん、管理が非常に難しく、時に禁止許可を適用できることも実用的です。有用であるためには、拒否は許可よりも強くなければなりません。
競合は、ルールを定義(および適用)することによって解決されます。
ほとんどの場合、私はアクセス許可のみを定義します。したがって、ユーザーがアクセスが許可されているグループの1つに入るとすぐに、アクセスが許可されます。
しかし、一度禁止が見つかると、他のグループがアクセスを許可しても、禁止が適用されるように、禁止が許可よりも強いというルールを定義できます。それはあなたのルールに依存します。
許可と拒否が混在している場合は、拒否の重みが付与以上になることを選択します。その場合、あなたの質問に矛盾があると、ユーザーはアクセスを拒否されます。
しかし、可能であれば、私はあなたに許可または拒否のいずれかの権限しか与えないシステムのために行くつもりですが、両方ではありません。私は、デフォルトで最小限の権限セットから始め、ユーザーやグループに特定の権限を与えることは、多くのユーザーにとって理解しやすいだろうと思います。