我在这里要举的具体例子是部署官角色。通常,这个角色由一个特定的员工担任,但该员工可能会生病、被解雇、休假等。因此,从 Windows 安全角度来看,这很简单 - 创建部署者角色,然后就大功告成了。
问题是许多工具不支持基于角色的访问安全性,有些甚至不支持 AD 集成,即它们需要一组完全自定义的凭据。
处理此问题的简单方法是让每个人都登录,但这违背了我想要创建的部署官员角色。
一个稍微好一点的方法是让部署官将控制权转移给另一名员工,但如果他忘记了、生病了、或者特别是被解雇了,就会出现问题。
有什么想法吗?我还没能想出任何灵丹妙药来解决这个问题。
答案1
您是否考虑过使用手动而非自动控制,以及一项规定您不能部署自己编写的代码的政策,但必须获得某人还能做什么?这可以为每个部署隔离角色,但不能全局隔离。