2022年04月11日
好吧,让我们假设你的活动目录是简洁、中等和正确的:它包含你组织内的所有用户,并且当前他们是被许可的。这种令人高兴的状态要归功于健全的帐户管理生命周期。是否达到这点后你就可以止步不前了呢?不是。
虽然拥有真实反映组织内有哪些账号的活动目录,这让IT系统不断地变得更好(即使节奏缓慢),但它还没有好到能确保这些活跃的身份只具有为完成工作所需要的特权。无论是因为他们的活动目录不支持足够细粒度化的权限,或是由于他们只有少量的职员所以必须授予许多人宽泛的访问权限,或者是因为他们有大量的职员,而人员的职位变更
2022年04月11日
与认证相对应的是授权。认证确定用户身份;授权指定该用户能做什么。通常认为是建立一种对资源的访问方式,例如文件和打印机,授权也能处理用户在系统或者网络上的特权。在最终使用过程中,授权甚至能指定特定的用户是否能访问系统。有各种类型的授权系统,包括用户权限,基于角色的授权,访问控制列表和基于规则的授权。授权通常是描述用户访问资源,如访问文件或行使特权,如关闭系统。然而,授权也专门用于系统的特定区域。例如,许多操作系统分为用户空间和核心空间,在某个空间或其他空间中严格控制操作可执行文件的能力。在核心中运