使用 AD 通讯​​组控制对程序功能的访问时有哪些安全问题？

Question

我对使用 AD 比较陌生，并且我使用组成员资格来控制给定用户在 Web 和桌面应用程序中加载/可见哪些特性和功能。

AD 有安全组和分发组，我正在使用其中的一些来获得角色之间的细粒度区分。

以这种方式使用通讯组应该担心什么？

Answer 1

您可以考虑查看AzMan（授权管理器）。

它可以与活动目录帐户绑定并完全存储在 AD 中。 AzMan 对角色甚至允许的操作提供了更细粒度的控制。简而言之，您将编写应用程序来测试用户是否有权执行特定操作。创建角色时，您可以向该角色分配一项或多项操作。

这将允许您根据需要混合和匹配各种角色的操作，而无需更改代码库。我已经广泛使用它并且效果非常好。

仅使用常规 AD 组的缺点是，您最终可能会拥有数十个甚至数百个（取决于应用程序的复杂性）角色，从而污染 AD 空间。

例如，假设您希望在允许删除帐户之前进行安全检查。在 AzMan 中，您可以创建一个 AccountDelete 操作，并将该操作分配给一个或多个角色，例如管理员、帐户管理员等。

在 AD 中，您必须创建一个新组并将其分配出去。这很快就会变得非常复杂。