#1: Вовращаясь к вопросу безопасности (ACL) для Б4. Author: Magistr, Location: Петрунин Д.Н.Posted: 01 Nov 2005 16:14 — У меня на предприятии жесточайшая политика безопасности - везде NTFS, пользователи могут писать только в каталог "Мои документы" и temp, запускать ничего не могут, кроме того, что установил и разрешил я (в соответствии с указаниями начальников предприятия ).
Ну так вот, мне хочется задать права доступа к многочисленным каталогам Б4, чтобы нечайно не удалили что-нибудь, чтобы вирусы не прописались в исполняемые файлы Б4 и проч.
К каким каталогам нужно предоставлять право на запись?
Достаточно ли предоставить доступ на запись только к каталогу с БД, а к другим (BIN, PRO и проч.) только на чтение?
К каким файлам (каталогам) нужно предоставить право на запуск?
Моя давняя мечта, это чтобы средство авторизации Б4 было интегрировано с Active Directory, тогда пользователь проходит аутентификацию ОДИН РАЗ при входе в Windows, а при входе в Б4 уже не нужно было бы проверять кто есть кто. При инсталяции Б4 в домене Windows, автоматом на контроллере домена создавались бы группы пользователей, этим группам предоставлялись бы соответствующие права доступа (ACL) к каталогам Б4 (право должно предоставляться группе, а не конкретному пользователю), а штатное средство настройки авторизации использовало бы список пользователей из Active Directory и при назначении прав доступа к каким-либо модулям, автоматом добавляло пользователя в нужную группу.
Вот это будет безопасность! Каталог с зарплатой даже ПРОЧИТАТЬ никто не сможет, кроме тех, кому в Б4 разрешено настройкой. А сейчас - копируй БД кто хошь, неси домой, открывай dbf файлы и все данные у тебя в руках.
У меня сейчас с безопасностью все OK, т.к БЭСТ крутится на терминальном сервере - пользователи никак не могут получить доступ к файлам Б4, кроме как через саму программу Б4, т.е не могут их удалить или скопировать каким-либо образом.
Но хочется хорошее решение и для обычного файлового сервера.
).