Tetszoleges szamu emailt meg lehet adni
De egy user csak 1 csoportba tartozhat.
Egy litvan felhasznalo hamarosan megkopkodi, hogy <100 user eseten ez mennyire eletszeru es mukodokepes naluk.
update: jeleztetek, hogy mekkora gagyi, ha 1 user csak 1 csoportba tartozhat. Modositottam a dolgon, es mostmar akar tobb csoportba is tartozhat.
A "search groups" egy autocomplete mezo, ami a letezo csoportok neveit dobja fel, ha min. 2 karaktert tudsz belole, de akar ezt kihagyva kezzel is vehetsz fel csoportneveket. A csoportba tartozo emaileket is hasonlo (autocomplete) modon lehet felvenni, vagy akar begepelve is.
update2:
Szoba kerult az is, hogy az meg milyen mar, hogy a rendszergazda (ha akarja) megnezheti barmelyik a rendszeren athalado levelet. Modositottam ezert a jogosultsagokon, es a beepitett admin user az a rendszer menedzselesere jo/valo, mig ha valakinek az osszes levelet latnia kell (pl. jogi osztaly), akkor annak "auditor" jogot kell adni, mig szegeny beepitett admin csak annyi levelet lat, mint a takaritono (=semennyit). Mondjuk mivel o menedzseli a rendszert es igy a felhasznalokat is, letre hozhat maganak egy auditor jogu usert, viszont akarki is nezzen meg egy levelet, az loggolva lesz.
- sj blogja
- A hozzászóláshoz be kell jelentkezni
- 890 megtekintés
Hozzászólások
Jujj, most maszik elo belolem... mar itt is van... a fordito enem.
A zarojelezett tobbeszam rossz otlet. Ilyet nem illik csinalni. Ird ki siman a tobbesszamot. Viszont hint-be ala ird oda, hogy soronkent egy, mert kulonben lesz olyan marha, aki siman, vesszovel fogja elvalasztani a cimeket.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"De egy user csak 1 csoportba tartozhat."
Nem jó ötlet ;)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
miert nem? Ugy ertem, miert kell x atlagbelanak a sajat csoportjan kivul masok levelezeset is latnia?
- A hozzászóláshoz be kell jelentkezni
Pl. egy vezeto rendszergazda jo ha latja azt a csoportot is, amelyik az abuse levelekt kezeli, ugyanakkor nem kellene full controlt adni neki, hogy a vezetosegi levelezesbe is belelasson. Vagy akar a marketingebe.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
mondjuk akinek admin joga van (feltetelezem, hogy a vezeto rendszergazda ilyen) a rendszerben, az kb. mindent lathat, nincs szuksege extra csoportjogokra.
En azonban sima userekre gondoltam volna, akiknek szoritana ez a cipo...
- A hozzászóláshoz be kell jelentkezni
Lehet olyan policy egy cegben, hogy a vezeto rendszergazda az email archivalo cuccban nem rendelkezik admin jogosultsaggal, pont azert, hogy NE lasson bele minden levelezesbe.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
Igazából, ennek alapnak kellene lennie mindenhol. Rendszergazda != mindenes. Legalább annyira semmi köze pl. az eladásokhoz, partnerekhez, árakhoz pl. egy kereskedőcégnél, mint amennyire egy takarítónak. Neki az a dolga, hogy működjön a rendszer.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
vegul is lehet. Mondjuk azon lehet vitatkozni, hogy x atlag cegnel vajon kihez szalad a ceo vagy a ceg jogasza, amikor valamit nagyon elo kene keresni (az emailek kozul). Meg ugyan csinalhatok egy define('ADMIN_USER_CAN_SEE_EVERYTHING', 1|0) valtozot, ami alapjan minden cegnel be lehet allitani, hogy az admin user lathassa-e masok levelet, vagy sem, de ez valoszinuleg csak snake-oil megoldas lenne, es aligha allitana meg barkit, arrol nem is beszelve, hogy probald megfogni a rendszergazdadat, aki a mail szerverrol is snoop-olhatja a leveleket (valoszinuleg nem az az atlag, hogy a userek pgp-vel titkositjak a leveleiket). Szerintem a rendszergazdad egyaltalan nem a takaritoval van egy pikszisben, hanem az ugyvededdel meg az orvosoddal.
Szoval mindezek alapjan inkabb eleve ugy reklamozom a pilert, hogy a rendszergazdad mindenbe belelat, es inkabb az audit reszere fekszem ra, hogy vissza lehessen kovetni, ki (ide ertve a rendszergazdadat is) mit csinalt, mit nezett meg.
Igazan korrekt modon ugy lehetne megoldani ezt a policy-t, ha az archivalo gep egy fekete doboz lenne, amihez a felhasznalok (ide ertve a rendszergazdat is) kapnak egy gui-t, es csokolom. En azonban annyiban hatranyban vagyok ezen a teren, hogy ez egy nyilt forrasu termek, amibe akarmilyen trukkot is teszel, az bypass-olhato.
Mindenesetre megnezem majd par kereskedelmi termek adatlapjat, hogy milyen hozzaferest biztosit az admin usereknek.
- A hozzászóláshoz be kell jelentkezni
Akkor tisztazzunk par dolgot.
- Atlag cegnel a CEO-nak full admin joga van egy ilyen rendszerben, o nem fog sehova se rohangalni, hogy keress meg neki valamit. A jogaszokat meg el lehet zavarni a CEO-hoz.
- Azert van kulonbseg, ugyanis ha nem egy darab rendszergazda van, akkor a snoop eleg hamar kiderulhet, es ha a beosztottja kicsit is becsuletesebb, fogja magat, es megkeruli a vezeto rendszergazdat, es elmegy a CEO-hoz egy ilyennel.
- Nem biztos, hogy akar meg a vezeto rendszergazda hozzafer a levelezoszerverhez, kulonosen, ha nem az insource uzemelteti. Attol, mert valaki egy cegben vezeto rendszergazda, meg nem jelenti azt, hogy minden az o hataskorebe tartozik, amiben processzor es memoria van.
- A mail snooping nem a piler hataskore, a kerdes szempontjabol irrelevans, hogy lehet-e ilyet vagy sem. Neked ugy kell megszerkeszteni a rendszert, hogy a te hataskorodben ilyet ne lehessen. Pont.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
+1. Attól, hogy a népek fejébe beleneveltek ilyen "root" féle superuser féle hülyeséget, attól még az adminnak egyáltalán nem kellene valami kiemelt félistennek lennie. Legyen csak szépen ugyanolyan user, mint az összes többi, aztán legyen a megfelelő adminisztrátori csoport tagja, amelynek a megfelelő helyen a megfelelő jogosultságok vannak beállítva.
Konkrét példa: nálunk is megvannak a megfelelő megosztások. Van minden gépre root jogosultságom, illetve Domain Administrator. Salesesek dolgaihoz még sincs jogom hozzáférni. Ugyanígy oka van annak, hogy nem veszek részt a leltárban és a többi és a többi és a többi.
Jól hangzik ez a "super user" megnevezés, de nem: éppen annyira van köze a cég profiljába tartozó dolgoknak, mint egy takarítónak. Ugyanúgy bejárhat ide vagy oda, de semmi köze ahhoz, hogy ki mivel foglalkozik.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
A legtobbunknek erre amugy sincsen igenye. Mi elvezetes van a sales levelezeseben? Semmi. A leltarban? Detto. Ha nagyon unatkozok, akkor is elobb talalok a rendszeren belul elfoglaltsagot magamnak, mintsem hogy nekiuljek ezeket olvasgatni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
Elvezetes? Tobbnyire semmi. Uzleti titok? Annal tobb.
Szerinted X ceg mit meg nem adna Y ceg beszerzesi forrasaiert, araiert, vevoiert? Persze, ezt a cegvezetes altalaban addig nem fogja fel, mig meg nem tortent a baj. (Tudnek peldat hozni hazon belulrol.)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Ez a masik ok, persze. Mondjuk en minden ilyes embert elhajtanek, akarmennyi penzt ajanl fel, de ez mar en vagyok.
Amire ra akartam vilagitani: ha valaki attol fel, hogy felhorgad a nepharag, hogy marpedig a rendszergazda igenis automatikusan legyen benne az Atyauristens csoportban - nos, ettol nem kell tartani.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal - A hozzászóláshoz be kell jelentkezni
Hozzal erveket: minek legyen benne? Haszna nincs, ellenben (nem kicsi) biztonsagi kockazat.
Ugyanez volt elozo melohelyemen is: ha jott egy uj ember, szinte automatikusan hozzafert mindenhez. Ha egy kulsos, akkor is. Aztan feltettem a kerdest, hogy erre mi szukseg? (Mondjuk azok a projektek, amelyek mar SVN-ben kezdodtek ( :D ), ott nem volt ilyen problema.)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
automatikusan hozzafert mindenhez. Ha egy kulsos, akkor is.
azert ilyen veszely a piler eseten nem valoszinu. Viszont modositottam a jogokon, igy az admin user csak menedzselni tudja a rendszert, ld. a blog update a vegen.
- A hozzászóláshoz be kell jelentkezni
És ha y_atlagbela fele munkaidőben a marketingnél van, fele munkaidőben a sales-nél, z_atlagonfelulibela meg fél munkaidőben fejlesztő, fél munkaidőben level3 support?
- A hozzászóláshoz be kell jelentkezni
lehet y-nak es z-nek is olyan csoportot csinalni, amiben benne vannak a szukseges email cimek. Mar amennyiben ez egyaltalan realis es tomeges igeny...
- A hozzászóláshoz be kell jelentkezni
Elég, ha csak egyszer kell átadni valakinek egy csoportot, vagy összevonni kettőt.
Tapasztalat azt mutatja, hogy a legjobb jogosultságkezelés az, ha csoportokat szabadon lehet létrehozni, jogotultságokat, engedélyeket a csoportokhoz kötni, és az usereket szabadon dobálni a csoportokba. ("admin-user-etc" szintezéses baromságot meg elfelejteni a picsába)
Ezzel egy KKV-től kezdve egy nagyobbacska vállalatig le lehet feddni az igényeket. Feljebb már nem árt, ha van mondjuk egy csoportba bele lehet tolni egy másik csoportot is.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
ok, atgondolom a dolgot
- A hozzászóláshoz be kell jelentkezni
Pedig valós igény, multiknál, ahol nem 20 ember dolgozik, s nem 3 csoport van, simán szükséges. Egy sok száz fős cég esetén rengeteg oszály van, ahol átfedéssel dolgoznak, s kapják egymás leveleit is (központi címekre gondolok).
- A hozzászóláshoz be kell jelentkezni
ok, immar tobb csoportba is tartozhat egy user
- A hozzászóláshoz be kell jelentkezni