MOSS 2007 és least privilege

A least privilege azon elvek közé tartozik, melyek követése nem egyszerű, különösen eleinte okoz némi fáradtságot, de hosszú távon biztosan megéri. Aki esetleg nem ismerné, annak röviden: ne légy admin, csak baj lehet belőle! Tökéletesen lehet levelezni, netezni, fejleszteni, debuggolni, doksit írni, olvasni, telefont szinkronizálni, CD-t írni – szinte mindent, mezei felhasználóként. Igaz, telepítéshez, üzemeltetéshez, driver debuggolásához néha elengedhetetlen, na de ki az, aki mást sem csinál, csak drivert ír és telepítget a gépén?

Úgy emlékszem a Windows 2000 idején hallottam először erről és akkor még elég sok alkalmazást kellett Run As-zel indítani ahhoz, hogy jól működjön. Mára ez megváltozott, könnyen lehet boldogulni normál jogosultságú felhasználóként. Ez mutatja, hogy változik a világ, az igényes fejlesztők igyekeznek úgy megírni az alkalmazásaikat, hogy minimális jogosultságokkal tudjanak működni. Mondom, az igényesek.

Mi a helyzet az üzemeltetőkkel?

Az igényes rendszergazdák már régóta követik ezt az elvet, elég nekik részletes doksit adni és boldogan beállítanak mindent korrektül. (Megint, az igényesek.) Ami a SharePointot illeti, bizony nem vagyunk alaposan ellátva információval arról, hogy az egyes felhasználói fiókoknak milyen jogosultságok szükségesek, ráadásul jó sok van belőlük. Hetek óta olvasgatok a neten ezekről és számos egymásnak ellentmondó információt találtam. Arra nem vállalkoztam, hogy kiderítsem mi igaz, arra viszont igen, hogy mindet összeszedjem egyetlen táblázatba és kiegészítsem a saját tapasztalataimmal. A végeredmény letölthető innen:

Office SharePoint Server Security Account Requirements

Egy jótanács a SharePoint fejlesztőknek: ne domain admint állítsunk be minden felhasználói fióknak, amire a SharePoint telepítő rákérdez. Igen, először szokatlan, sőt szokatlanul nagy fáradságnak is tűnik, de így legalább biztosan nem telepítés után fog kiderülni, ha a kódunk jogosultsági problémák miatt nem működik.

 

(P.S. Mióta magam sem rendszergazdai jogokkal dolgozom és látom, hogy működik, próbálok másokat is meggyőzni ennek az elvnek a követéséről. Biztosan bennem van a hiba, de eddig még egyetlen fejlesztőt sem sikerült. Mindenki atyaúristen akar lenni a gépén folyamatosan a nap minden percében. Mondja már meg valaki mi ez, valami kompenzáció, mint a feleslegesen nagy és feltűnően drága autók?)

 

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s