AGDLP

Ролевое управление доступом (RBAC) упрощает выполнение рутинных операций по управлению учётными записями и облегчает проведение аудитов информационной безопасности^[1]. Системные администраторы не назначают права и разрешения напрямую отдельным учётным записям пользователей. Вместо этого доступ предоставляется на основе ролей, закреплённых за пользователем в рамках организации, что избавляет от необходимости редактировать потенциально большой и часто изменяемый список разрешений при создании, изменении или удалении учётных записей. В отличие от классических списков контроля доступа, в RBAC права описывают значимые операции в конкретном приложении или системе, а не низкоуровневые методы доступа к объектам данных. Централизованное хранение ролей и разрешений в базе данных или службе каталогов облегчает анализ и управление членством ролей и их правами^[2]. Аудиторы могут анализировать распределение разрешений из одной точки, не вникая в специфику настроек безопасности отдельных ресурсов.

Реализация RBAC от Microsoft использует различные типы областей действия групп безопасности в Active Directory:^[3][4]

Глобальные группы безопасности

Доменные группы с глобальной областью действия представляют бизнес-роли или должностные функции. В их состав могут входить учётные записи и другие глобальные группы из того же домена; они могут использоваться для контроля доступа к ресурсам в любом домене леса. Состав таких групп может изменяться часто, при этом глобальный каталог не требует полной репликации.

Доменные локальные группы безопасности

Группы домена с локальной областью действия описывают низкоуровневые разрешения или назначения пользовательских прав. Они могут использоваться только для управления доступом к ресурсам внутри того же домена. Доменные локальные группы могут содержать учётные записи, глобальные и универсальные группы из любых доменов, а также локальные группы из своего домена.

Глобальные группы, которые соответствуют бизнес-ролям, должны содержать только учётные записи пользователей или компьютеров. Аналогично, доменные локальные группы, определяющие разрешения, должны включать только глобальные группы, представляющие бизнес-роли. Недопустимо наделять отдельные учётные записи или бизнес-роли доступом напрямую — это затрудняет анализ и аудит прав.

В многодоменных средах разные домены леса Active Directory могут быть связаны лишь через WAN или VPN, поэтому специальные контроллеры — серверы глобального каталога — кэшируют отдельные классы и атрибуты объектов каталога, чтобы снизить нагрузку на междоменный обмен данными^[5]. Среди объектов, кэшируемых глобальным каталогом, есть универсальные группы, но нет глобальных; благодаря этому запросы на членство в универсальных группах выполняются быстрее аналогичных запросов к глобальным группам. Однако любое изменение универсальной группы инициирует междоменною репликацию глобального каталога, что может привести к увеличению нагрузки, а назначение универсальных групп требует наличия административных прав на уровне всего леса, что нежелательно для крупных организаций. Эти ограничения препятствуют использованию универсальных групп как единственных представителей бизнес-ролей на уровне предприятия. Поэтому в подобных случаях для отображения ролей по организации применяются универсальные группы, а на уровне отдельных доменов по-прежнему используются глобальные группы (схема AGUDLP).

В доменах Windows NT 4.0 и более ранних версий реализованы только глобальные (доменные) и локальные (на уровне отдельного сервера) группы, а вложение групп на уровне домена отсутствует^[6]. Сокращение AGLP отражает эти ограничения, присущие RBAC в более старых доменах: Global-группы реализуют бизнес-роли, а local-группы (на серверах-доменных участниках) — права доступа.

Рассмотрим рабочую папку с сетевым путём \\nyc-ex-svr-01\groups\bizdev, бизнес-команду отдела развития организации, которая в Active Directory представлена глобальной группой безопасности «Business Development Team Member», и необходимость предоставить всем её участникам права на чтение/запись в этой папке. Следуя схеме AGDLP, администратор может реализовать контроль доступа следующим образом:

1. В Active Directory создаётся новая доменная локальная группа безопасности с именем «Modify permission on \\nyc-ex-svr-01\groups\bizdev».
2. Этой локальной доменной группе назначается набор NTFS-разрешений «Modify» (чтение, запись, изменение/выполнение, удаление) на папку «bizdev». (Примечание: NTFS-разрешения отличаются от разрешений общего доступа.)
3. Глобальная группа «Business Development Team Member» добавляется в члены локальной доменной группы «Modify permission on \\nyc-ex-svr-01\groups\bizdev».

Преимущества RBAC в данной схеме проявляются, например, если команде потребуется расширить права на «bizdev»: системному администратору достаточно изменить единственную запись управления доступом (ACE), а не редактировать права для каждого пользователя отдельно.