서버 기반 응용 프로그램 설치 관리자가 새 그룹을 만들 수 있습니까?

Question

우리는 Windows 기반 서버에서 실행되도록 설계된 응용 프로그램을 빌드하고 있습니다. 현재 우리가 조사하고있는 고려 사항 중 하나는 "백엔드"서비스를 구성하고 제어 할 수있는 응용 프로그램의 GUI에 대한 액세스를 제어하는 ​​방법입니다.

응용 프로그램을 제대로 보호하려면 파일, 디렉토리, 레지스트리 키, 명명 된 파이프, 서비스 등 ACL을 적용해야하는 몇 가지 객체가 있습니다. 관리자에게 ACL을 구성 할 수있는 방법을 제공해야합니다. 승인 된 사용자에게만 액세스를 제한 할 수 있습니다.

우리가 고려한 한 가지 접근 방법은 이러한 모든 개체의 ACL을 동시에 수정할 수있는 도구를 만드는 것이지만, 이는 상당한 양의 작업 일 수 있으며 취약 할 수 있습니다.

다른 가능한 접근법은 맞춤 그룹 (예 : '내 앱 사용자')을 만들어 해당 그룹에 각 개체에 대한 적절한 권한을 부여 할 수있게하는 것입니다. 즉, 관리자는 익숙한 Windows 그룹 구성원 도구를 사용하여 권한이 부여 된 사용자를 추가/제거 할 수 있습니다.

So : 허용 할 때 설치시 그룹을 만들거나 관리자를 화나게 할 가능성이 있습니까? 솔직히 말해서 서버 기반 응용 프로그램이 어느 정도 그룹을 만들 것으로 예상되는 유닉스 세계에 더 익숙하지만 Windows 생태계의 예절에 대해서는 잘 모릅니다.

기타 : 놓친 적이있는 더 나은 해결책이 있습니까?

미리 감사드립니다.

Answer 1

질문은 두 가지 기술 - 기술 및 정치적인 질문입니다. 기술적으로 로컬 그룹은 괜찮습니다. AD 또는 도메인 사용자를 로컬 그룹에 추가하면 모두가 행복합니다. 앱이 서버의 보안 '태도'를 망쳐야하는지에 관해서는 합리적인 유일한 대답은 사용자에게 당신이 무엇을 하려는지 알려주고 허가를 요청하는 일종의 요청을 팝업하는 것입니다. 어떤 종류의 로그 또는 항목). 이것은 또한 "아니오, 내 앱 보안 해제"를 클릭하고 해킹당하는 경우 모든 사용자의 법적 $ $$를 해결합니다.

UNIX 접근 방식을 사용하면 사용자에게 필요한 것을 알리고 로컬 그룹을 제안하고 사용자에게 다른 로컬 또는 도메인/AD 그룹을 선택할 기회를 제공 할 수 있습니다. 오라클이 UNIX에 설치하는 방법 (예)을 살펴보십시오.

서버 응용 프로그램이므로 자동/무인 설치를 지원해야 할 수 있으므로 설치 스크립트에서 동작을 지정할 수 있고 스크립트의 동작이 문서화되어 있는지 확인하십시오. 설치 프로그램이 구현하는 보안 정책의 변경을 인식하지 않고 프로그램을 설치합니다.

Answer 2

이 목적을 위해 로컬 그룹을 만드는 것이 완벽하다고 생각합니다.

나는 더 나은 해결책을 내놓은 후에도 그것을 생각해 내지 못했습니다.

Answer 3

구현의 크기에 따라 그룹이 갈 수 있습니다. 그러나 디렉토리 및 레지스트리에 대한 관련 ACL을 설정해야합니다. 그룹에 한 번 설정 한 다음 그룹 구성원이 액세스 제어를 유지하도록 동의합니다. klausbyskov의 답변에 관해서는 로컬 그룹이 좋다고 생각하지만 대신 LDAP를 사용하는 것이 좋습니다. 보안 관점에서 인증 프로세스를 분리하고 Directory가 처리하도록합니다. kerberos를 사용합니다.