กลุ่มและบทบาท (ความแตกต่างจริงหรือไม่)

ใครช่วยบอกหน่อยความแตกต่างที่แท้จริงระหว่างกลุ่มและบทบาทคืออะไร? ฉันพยายามหาข้อมูลนี้มาระยะหนึ่งแล้วและยิ่งฉันอ่านข้อมูลมากเท่าไหร่ฉันก็ยิ่งรู้สึกได้ว่าสิ่งนี้ถูกนำมาใช้เพื่อสร้างความสับสนให้กับผู้คนและไม่มีความแตกต่างอย่างแท้จริง ทั้งสองสามารถทำงานของอีกฝ่ายได้ ฉันใช้กลุ่มเพื่อจัดการผู้ใช้และสิทธิ์การเข้าถึงมาโดยตลอด

เมื่อเร็ว ๆ นี้ฉันเจอซอฟต์แวร์การดูแลระบบซึ่งมีผู้ใช้จำนวนมากอยู่ที่ไหน ผู้ใช้แต่ละคนสามารถกำหนดโมดูลได้ (ทั้งระบบแบ่งออกเป็นสองสามส่วนที่เรียกว่าโมดูลเช่นโมดูลการดูแลระบบโมดูลแบบสำรวจโมดูลคำสั่งซื้อโมดูลลูกค้า) นอกจากนี้แต่ละโมดูลยังมีรายการฟังก์ชันที่สามารถอนุญาตหรือปฏิเสธได้สำหรับผู้ใช้แต่ละคน สมมติว่าผู้ใช้ John Smith สามารถเข้าถึงคำสั่งซื้อของโมดูลและสามารถแก้ไขคำสั่งซื้อใด ๆ แต่ไม่ได้รับสิทธิ์ในการลบคำสั่งซื้อใด ๆ

หากมีผู้ใช้ที่มีความสามารถเดียวกันมากขึ้นฉันจะใช้กลุ่มเพื่อจัดการสิ่งนั้น ฉันจะรวมผู้ใช้ดังกล่าวเป็นกลุ่มเดียวกันและกำหนดสิทธิ์การเข้าถึงโมดูลและฟังก์ชันให้กับกลุ่ม ผู้ใช้ทั้งหมดในกลุ่มเดียวกันจะมีสิทธิ์เข้าถึงเหมือนกัน

ทำไมถึงเรียกว่ากลุ่มไม่ใช่บทบาท? ฉันไม่รู้ฉันแค่รู้สึกแบบนั้น สำหรับฉันแล้วดูเหมือนว่ามันไม่สำคัญจริงๆ:] แต่ฉันก็ยังอยากจะรู้ความแตกต่างที่แท้จริง

ข้อเสนอแนะใด ๆ ที่ทำไมจึงควรเรียกว่าบทบาทมากกว่ากลุ่มหรือในทางกลับกัน?

Google คือเพื่อนของคุณ :)

อย่างไรก็ตามการแบ่งระหว่างบทบาทและกลุ่มมาจากแนวคิดเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ (ตรงข้ามกับการจัดการทรัพยากรเพียงอย่างเดียว) ศ. ราวีแซนด์ฮูให้เนื้อหาเกี่ยวกับความแตกต่างทางความหมายระหว่างบทบาทและกลุ่มต่างๆ

http://profsandhu.com/workshop/role-group.pdf

กลุ่มคือกลุ่มของผู้ใช้ที่มีชุดของสิทธิ์ที่กำหนดให้กับกลุ่ม (และส่งผ่านไปยังผู้ใช้) บทบาทคือชุดของสิทธิ์และผู้ใช้จะสืบทอดสิทธิ์เหล่านั้นได้อย่างมีประสิทธิภาพเมื่อเขาดำเนินการภายใต้บทบาทนั้น

โดยปกติการเป็นสมาชิกกลุ่มของคุณจะยังคงอยู่ในช่วงระยะเวลาของการเข้าสู่ระบบของคุณ ในทางกลับกันบทบาทสามารถเปิดใช้งานได้ตามเงื่อนไขเฉพาะ หากหน้าที่ปัจจุบันของคุณคือ "บุคลากรทางการแพทย์" คุณอาจสามารถดูเวชระเบียนของผู้ป่วยรายหนึ่งได้ อย่างไรก็ตามหากบทบาทของคุณคือ 'แพทย์' เช่นกันคุณอาจสามารถดูข้อมูลทางการแพทย์เพิ่มเติมนอกเหนือจากที่บุคคลที่มีบทบาทเพียงแค่ 'เจ้าหน้าที่ทางการแพทย์' สามารถมองเห็นได้

สามารถเปิดใช้งานบทบาทได้ตามช่วงเวลาของวันสถานที่เข้าถึง นอกจากนี้ยังสามารถเพิ่มบทบาท / เชื่อมโยงกับแอตทริบิวต์ คุณอาจดำเนินการในฐานะ "แพทย์" แต่ถ้าคุณไม่มีคุณลักษณะหรือความสัมพันธ์ "แพทย์หลัก" กับฉัน (ผู้ใช้ที่มีบทบาท "ผู้ป่วย") คุณจะไม่เห็นประวัติทางการแพทย์ทั้งหมดของฉัน

คุณสามารถทำทุกอย่างกับกลุ่มได้ แต่อีกครั้งกลุ่มมักจะมุ่งเน้นไปที่ตัวตนไม่ใช่บทบาทหรือกิจกรรม และประเภทของแง่มุมด้านความปลอดภัยที่อธิบายไว้มักจะสอดคล้องกับความปลอดภัยมากกว่าในอดีต

สำหรับหลาย ๆ กรณีสำหรับการใช้การจัดประเภทสิ่งต่าง ๆ เข้าด้วยกัน (และไม่มีอะไรเพิ่มเติม) กลุ่มและบทบาทจะทำงานเหมือนกัน อย่างไรก็ตามกลุ่มจะขึ้นอยู่กับเอกลักษณ์ในขณะที่บทบาทมีไว้เพื่อแบ่งเขตกิจกรรม น่าเสียดายที่ระบบปฏิบัติการมักจะเบลอความแตกต่างโดยปฏิบัติตามบทบาทเป็นกลุ่ม

คุณจะเห็นความแตกต่างที่ชัดเจนมากขึ้นกับแอปพลิเคชันหรือบทบาทระดับระบบซึ่งถือแอปพลิเคชันหรือความหมายเฉพาะระบบ (เช่นในบทบาทของ Oracle ) ซึ่งตรงข้ามกับ 'บทบาท' ที่ใช้งานในระดับระบบปฏิบัติการ (ซึ่งโดยทั่วไปจะมีความหมายเหมือนกันกับกลุ่ม)

อาจมีข้อ จำกัด สำหรับบทบาทและรูปแบบการควบคุมการเข้าถึงตามบทบาท (เช่นเดียวกับทุกอย่าง):

http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx

ประมาณทศวรรษที่แล้วฉันได้เห็นงานวิจัยเกี่ยวกับการควบคุมการเข้าถึงตามแอตทริบิวต์และตามความสัมพันธ์ซึ่งให้รายละเอียดที่ดีกว่าการควบคุมการเข้าถึงตามบทบาท น่าเสียดายที่ฉันไม่ได้เห็นกิจกรรมมากมายในดินแดนนั้นมาหลายปีแล้ว

ความแตกต่างที่สำคัญที่สุดระหว่างบทบาทและกลุ่มคือโดยทั่วไปแล้วบทบาทจะใช้กลไกบังคับการเข้าถึง (MAC) คุณไม่ต้องมอบหมายบทบาทให้ตัวเอง (หรือคนอื่น ๆ ) ผู้ดูแลบทบาทหรือวิศวกรบทบาททำเช่นนั้น

สิ่งนี้คล้ายกับกลุ่ม UNIX อย่างผิวเผินที่ผู้ใช้สามารถ / อาจสามารถกำหนดตัวเองให้กับกลุ่มได้ (ผ่าน sudo แน่นอน) เมื่อกลุ่มถูกกำหนดตามกระบวนการวิศวกรรมความปลอดภัยความแตกต่างจะพร่าเลือนเล็กน้อย

ลักษณะสำคัญอีกประการหนึ่งคือแบบจำลอง RBAC ที่แท้จริงสามารถให้แนวคิดของบทบาทที่ไม่เหมือนกัน ในทางตรงกันข้ามกลุ่มตามเอกลักษณ์เป็นส่วนเสริม - เอกลักษณ์ของหลักคือผลรวม (หรือการรวม) ของกลุ่ม

ลักษณะเฉพาะอีกประการหนึ่งของรูปแบบการรักษาความปลอดภัยที่ใช้ true-RBAC คือองค์ประกอบที่สร้างขึ้นสำหรับบทบาทเฉพาะโดยทั่วไปไม่สามารถเข้าถึงได้โดยบุคคลที่ไม่ได้ทำหน้าที่ภายใต้บทบาทนั้น

ในทางกลับกันภายใต้โมเดลการควบคุมการเข้าถึง (DAC) ตามดุลยพินิจ (โมเดลเริ่มต้นใน Unix) คุณไม่สามารถรับการรับประกันประเภทนั้นด้วยกลุ่มเพียงอย่างเดียว BTW นี่ไม่ใช่ข้อ จำกัด ของกลุ่มหรือ Unix แต่เป็นข้อ จำกัด ของโมเดล DAC ตามเอกลักษณ์ (และสกรรมกริยากับกลุ่มตามเอกลักษณ์)

หวังว่าจะช่วยได้

=======================

เพิ่มอีกบางส่วนหลังจากเห็นการตอบสนองที่ดีของ Simon บทบาทช่วยคุณจัดการสิทธิ์ กลุ่มช่วยคุณจัดการวัตถุและหัวเรื่อง ยิ่งไปกว่านั้นเราอาจคิดว่าบทบาทเป็น 'บริบท' บทบาท 'X' สามารถอธิบายบริบทความปลอดภัยที่กำหนดวิธีการเข้าถึงวัตถุ Y (หรือไม่เข้าถึง) วัตถุ Z

ความแตกต่างที่สำคัญอีกประการหนึ่ง (หรือในอุดมคติ) คือมีบทบาทวิศวกรบุคคลที่วิศวกรกำหนดบทบาทบริบทที่จำเป็นและ / หรือเห็นได้ชัดในแอปพลิเคชันระบบหรือระบบปฏิบัติการ โดยทั่วไปแล้ว Role Engineer จะเป็น (แต่ไม่จำเป็นต้องเป็น) เช่นเดียวกับผู้ดูแลระบบ (หรือ sysadmin) ยิ่งไปกว่านั้นบทบาทที่แท้จริง (ไม่ได้ตั้งใจจะเล่นสำนวน) ของวิศวกรที่มีบทบาทอยู่ในขอบเขตของวิศวกรรมความปลอดภัยไม่ใช่การบริหาร

นี่คือกลุ่มนวนิยายที่เป็นทางการโดย RBAC (แม้ว่าจะไม่ค่อยมีใครใช้) ซึ่งโดยทั่วไปแล้วจะไม่ปรากฏในระบบที่รองรับกลุ่มได้

กลุ่มคือวิธีการจัดระเบียบผู้ใช้ในขณะที่บทบาทมักเป็นวิธีการจัดระเบียบสิทธิ์

สิ่งนี้มีประโยชน์หลายวิธี ตัวอย่างเช่นชุดของสิทธิ์ที่จัดกลุ่มเป็นบทบาทอาจถูกกำหนดให้กับกลุ่มหนึ่งหรือกลุ่มผู้ใช้โดยไม่ขึ้นอยู่กับกลุ่มของตน

ตัวอย่างเช่น CMS อาจมีสิทธิ์บางอย่างเช่นอ่านโพสต์สร้างโพสต์แก้ไขโพสต์ บทบาทผู้แก้ไขอาจสามารถอ่านและแก้ไขได้ แต่ไม่สามารถสร้างได้ (ไม่รู้ว่าทำไม!) โพสต์อาจสามารถสร้างและอ่านได้เป็นต้นกลุ่มผู้จัดการอาจมีบทบาทเป็นผู้แก้ไขในขณะที่ผู้ใช้ในฝ่ายไอทีซึ่งไม่ได้อยู่ในกลุ่มผู้จัดการอาจมีบทบาทเป็นบรรณาธิการด้วยแม้ว่าคนอื่น ๆ กลุ่มไม่

ดังนั้นในขณะที่อยู่ในกลุ่มระบบและบทบาทที่เรียบง่ายมักจะจัดวางอย่างใกล้ชิด แต่ก็ไม่ได้เป็นเช่นนั้นเสมอ

แม้ว่าจะมีความแตกต่างทางความหมายระหว่างบทบาทและกลุ่ม (ตามที่อธิบายไว้ข้างต้นโดยคำตอบอื่น ๆ ) ในทางเทคนิคบทบาทและกลุ่มก็เหมือนกัน ไม่มีสิ่งใดป้องกันไม่ให้คุณกำหนดสิทธิ์ให้กับผู้ใช้และกลุ่มโดยตรง (ถือได้ว่าเป็นการปรับการควบคุมการเข้าถึงแบบละเอียด) เมื่อผู้ใช้ถูกกำหนดบทบาทก็จะถือว่าเป็นสมาชิกของบทบาทในทำนองเดียวกันเมื่อผู้ใช้กลายเป็นสมาชิกของกลุ่ม

ดังนั้นเราจึงสามารถจบลงโดยไม่มีความแตกต่างอย่างแท้จริงระหว่างบทบาทและกลุ่ม สามารถพิจารณาทั้งสองอย่างสำหรับการจัดกลุ่มผู้ใช้และ / หรือสิทธิ์ ดังนั้นความแตกต่างจึงเป็นเพียงความหมายเท่านั้น: - หากใช้ในเชิงความหมายสำหรับการจัดกลุ่มสิทธิ์ก็จะเป็นบทบาท - หากใช้ในเชิงความหมายสำหรับการจัดกลุ่มผู้ใช้จะเป็นกลุ่ม ในทางเทคนิคไม่มีความแตกต่างกัน

"กลุ่ม" คือกลุ่มผู้ใช้ "บทบาท" คือชุดของสิทธิ์ นั่นหมายความว่าเมื่ออัลฟ่ากลุ่มมีเบต้ากลุ่มอัลฟ่าจะได้รับผู้ใช้ทั้งหมดจากเบต้าและเบต้าจะได้รับสิทธิ์ทั้งหมดจากอัลฟ่า ในทางกลับกันคุณสามารถพูดได้ว่าเบต้าบทบาทมีอัลฟ่าและจะใช้ข้อสรุปเดียวกัน

ตัวอย่างที่เป็นรูปธรรมทำให้สิ่งที่ชัดเจนมากขึ้น พิจารณา "การสนับสนุนลูกค้า" และ "การสนับสนุนลูกค้าอาวุโส" หากคุณคิดว่าคอลเลกชันเหล่านั้นเป็นกลุ่มก็เป็นที่ชัดเจนว่าผู้ใช้สนับสนุนลูกค้า "รวมถึง" ผู้ใช้สนับสนุนลูกค้าอาวุโส อย่างไรก็ตามหากคุณมองว่าพวกเขาเป็นบทบาทก็เป็นที่ชัดเจนว่าสิทธิ์การสนับสนุนลูกค้าอาวุโส "รวม" สิทธิ์การสนับสนุนลูกค้า

ในทางทฤษฎีคุณสามารถมีประเภทคอลเลกชันเดียว แต่มันจะไม่ชัดเจนถ้าคุณจะบอกว่า "คอลเลกชันรวมถึงอัลฟาเบต้าคอลเลกชัน" ในกรณีนี้คุณไม่สามารถบอกได้ว่าผู้ใช้ในอัลฟ่าอยู่ในเบต้า (เช่นบทบาท) หรือผู้ใช้ในเบต้าอยู่ในอัลฟ่า (เช่นกลุ่ม) เพื่อให้คำศัพท์เช่น "รวม" และองค์ประกอบภาพเช่นมุมมองต้นไม้ไม่คลุมเครือระบบ rbac ส่วนใหญ่ต้องการให้คุณระบุว่าคอลเล็กชันที่เป็นปัญหานั้นเป็น "กลุ่ม" หรือ "บทบาท" อย่างน้อยก็เพื่อประโยชน์ในการสนทนา

การเปรียบเทียบบางอย่างอาจช่วยได้ กรอบในแง่ของทฤษฎีเซตเมื่อกลุ่มอัลฟ่าเป็นส่วนย่อยของเบต้ากลุ่มสิทธิ์อัลฟ่าจะเป็นส่วนเหนือของสิทธิ์เบต้า เมื่อเทียบกับลำดับวงศ์ตระกูลแล้วถ้ากลุ่มต่างๆเปรียบเสมือนต้นไม้แห่งลูกหลานบทบาทก็เหมือนต้นไม้แห่งบรรพบุรุษ

หมายเหตุ - การส่งเสียงดังต่อไปนี้จะสมเหตุสมผลก็ต่อเมื่อมีคนพยายามกำหนดความปลอดภัยภายในองค์กรกล่าวคือพยายาม จำกัด การเข้าถึงข้อมูล ...

กลุ่มเป็นเชิงประจักษ์ - ตอบคำถามว่า "อะไร" พวกเขาคือ "คือ" ในความหมายที่สะท้อนถึงความเป็นจริงที่มีอยู่ในการเข้าถึง คนไอทีชื่นชอบกลุ่มต่างๆ - พวกเขามีความหมายตามตัวอักษรและง่ายต่อการกำหนด ในที่สุดการควบคุมการเข้าถึงทั้งหมดก็เปลี่ยนไป (อย่างที่เราเรียนในสมัยมัธยมต้น ... ) เพื่อตอบคำถาม "คุณอยู่ในกลุ่มอะไร"

อย่างไรก็ตามบทบาทเป็นบรรทัดฐานมากกว่า - พวกเขาชี้แนะสิ่งที่ "ควรจะเป็น" ผู้จัดการและทรัพยากรบุคคลที่ดีชอบ "บทบาท" - ไม่ตอบ - ถามคำถามว่า "ทำไม" แต่น่าเสียดายที่บทบาทอาจคลุมเครือและ "ความคลุมเครือ" สามารถผลักดันให้ผู้คน (IT) บ้าคลั่งได้

การใช้ตัวอย่างทางการแพทย์ดังกล่าวข้างต้นถ้าบทบาทของ "แพทย์ดูแลหลัก" มีสิทธิมากขึ้น (การเข้าถึงเช่นไปยังกลุ่มอื่น ๆ อีกมากมายกว่า) บทบาทของ "x-ray ช่าง" นี้เป็นเพราะคน (ผู้บริหารและ HR) ตัดสินใจว่าทำไมว่า จำเป็นต้องเกิดขึ้น ในแง่นั้นพวกเขาคือ "ภูมิปัญญาร่วมกัน" ขององค์กร

สมมติว่าแพทย์ได้รับสิทธิ์ในการเข้าถึง (เป็นสมาชิกของกลุ่มที่สามารถเข้าถึงได้) เพื่อบันทึกทางการเงินของผู้ป่วย โดยปกติแล้วสิ่งนี้อยู่นอก "บทบาท" ของแพทย์และควรได้รับการถกเถียงกัน ดังนั้นจึงไม่มีใคร (ไม่ว่าจะมีคุณสมบัติเพียงใด) ที่จะสามารถเข้าถึงทุกกลุ่มได้อย่างเต็มที่ - มันเชิญชวนให้ใช้อำนาจในทางมิชอบ นี่คือเหตุผลว่าทำไม "วิศวกรรมบทบาท" จึงมีความสำคัญ - หากไม่มีสิ่งนี้คุณก็มีสิทธิ์เข้าถึงแบบกลุ่มเหมือนขนมมากมาย ผู้คนจะรวบรวมการเข้าถึงกลุ่ม (และบางครั้งเป็นฝูง) โดยไม่มีการอภิปรายเกี่ยวกับอันตรายของอำนาจที่มากเกินไป

สรุปได้ว่าภูมิปัญญาของบทบาทที่กำหนดไว้อย่างดีจะช่วยลดอันตรายจากการเข้าถึงกลุ่มที่หลบหนี ทุกคนในองค์กรสามารถโต้แย้งเพื่อเข้าถึงกลุ่มใดกลุ่มหนึ่งได้ แต่เมื่อมีการเข้าถึงแล้วก็แทบจะไม่ได้รับ วิศวกรรมบทบาท (พร้อมกับแนวทางปฏิบัติที่ดีที่สุดเช่นคำอธิบายกลุ่มที่กำหนดไว้อย่างดีและผู้จัดการการเข้าถึงกลุ่มที่ได้รับอำนาจ) สามารถ จำกัด ผลประโยชน์ทับซ้อนภายในองค์กรกระจายอำนาจการตัดสินใจและช่วยให้การจัดการความปลอดภัยมีเหตุผลมากขึ้น

คำตอบก่อนหน้านี้ล้วนยอดเยี่ยม ตามที่ระบุไว้แนวคิดของ Group vs Role เป็นแนวคิดมากกว่าทางเทคนิค เรามีจุดยืนที่ใช้กลุ่มสำหรับบรรจุผู้ใช้ (ผู้ใช้สามารถอยู่ในกลุ่มได้มากกว่าหนึ่งกลุ่มกล่าวคือโจอยู่ในกลุ่มผู้จัดการเช่นเดียวกับกลุ่มไอที [เขาเป็นผู้จัดการด้านไอที]) และในการกำหนดสิทธิ์แบบกว้าง ๆ (กล่าวคือระบบแม็กการ์ดของเราอนุญาตให้ผู้ใช้ทุกคนในกลุ่มไอทีเข้าถึงห้องเซิร์ฟเวอร์ได้) ขณะนี้มีการใช้บทบาทเพื่อเพิ่มสิทธิ์ให้กับผู้ใช้ที่ระบุ (เช่นบุคคลในกลุ่มไอทีสามารถ RDP ไปยังเซิร์ฟเวอร์ได้ แต่ไม่สามารถกำหนดผู้ใช้หรือเปลี่ยนสิทธิ์ได้บุคคลในกลุ่มไอทีที่มีบทบาทผู้ดูแลระบบสามารถกำหนดผู้ใช้และเปลี่ยนสิทธิ์ได้) บทบาทสามารถประกอบขึ้นจากบทบาทอื่น ๆ ได้เช่นกัน (Joe มีบทบาท Admin เพื่อเพิ่มผู้ใช้ / สิทธิ์และยังมีบทบาท DBA เพื่อทำการเปลี่ยนแปลงฐานข้อมูลไปยัง DBMS บนเซิร์ฟเวอร์) บทบาทอาจมีความเฉพาะเจาะจงมากเช่นกันที่เราสามารถสร้างบทบาทผู้ใช้แต่ละคน (เช่น JoesRole) ที่เฉพาะเจาะจงสำหรับผู้ใช้ ดังนั้นในการสรุปเราใช้ Groups เพื่อจัดการผู้ใช้และกำหนดบทบาทและบทบาททั่วไปเพื่อจัดการสิทธิ์ นี้ยังเป็นแบบสะสม กลุ่มที่ผู้ใช้อยู่อาจมีการกำหนดบทบาท (หรือรายการบทบาทที่มีอยู่) ซึ่งจะให้สิทธิพิเศษทั่วไป (เช่นผู้ใช้กลุ่มไอทีมีบทบาท ServerRDP ที่อนุญาตให้เข้าสู่ระบบเซิร์ฟเวอร์) เพื่อกำหนดให้กับผู้ใช้ จากนั้นบทบาทใด ๆ ที่ผู้ใช้เป็นสมาชิกจะถูกเพิ่มตามลำดับที่กำหนดด้วยบทบาทสุดท้ายที่มีคำพูดสุดท้าย (บทบาทสามารถอนุญาตปฏิเสธหรือไม่ใช้สิทธิ์เพื่อให้แต่ละบทบาทถูกนำไปใช้มันจะลบล้างการตั้งค่าก่อนหน้าสำหรับสิทธิ์ หรือไม่เปลี่ยนแปลง) เมื่อใช้บทบาทระดับกลุ่มและระดับผู้ใช้ทั้งหมดแล้ว

ผู้ใช้จะได้รับมอบหมายบทบาทตามความรับผิดชอบที่เล่นในระบบใด ๆ ตัวอย่างเช่นผู้ใช้ในบทบาทผู้จัดการฝ่ายขายสามารถดำเนินการบางอย่างเช่นให้ส่วนลดเพิ่มเติมสำหรับผลิตภัณฑ์

กลุ่มใช้เพื่อ 'จัดกลุ่ม' ผู้ใช้หรือบทบาทในระบบเพื่อให้ง่ายต่อการจัดการความปลอดภัย ตัวอย่างเช่นกลุ่มที่ชื่อ "กลุ่มผู้นำ" สามารถมีสมาชิกจากบทบาทผู้จัดการผู้อำนวยการและสถาปนิกและผู้ใช้แต่ละคนที่พ้นจากบทบาทเหล่านี้ได้เช่นกัน ตอนนี้คุณควรจะสามารถกำหนดสิทธิ์บางอย่างให้กับกลุ่มนี้ได้

วัตถุประสงค์ของกลุ่มและบทบาทแตกต่างกันไปในแอปพลิเคชัน แต่ส่วนใหญ่สิ่งที่ฉันเข้าใจมีดังต่อไปนี้กลุ่ม (กลุ่มผู้ใช้) เป็นแบบคงที่ในขณะที่บทบาท (ชุดสิทธิ์) เป็นแบบไดนามิกที่มีนโยบายเช่นตามเวลา (9 ถึง 6) ก กลุ่มหรือผู้ใช้อาจมีบทบาทนี้ แต่ไม่ใช่อย่างนั้น

คุณสามารถกำหนดบทบาทให้กับกลุ่ม คุณสามารถกำหนดผู้ใช้ให้กับกลุ่มและคุณสามารถกำหนดบทบาทให้กับผู้ใช้แต่ละคนในผู้ใช้บทบาทใดก็ได้ ความหมาย Jean Doe สามารถอยู่ใน Group of SalesDeptartment โดยมี Role off ReportWritter ซึ่งอนุญาตให้พิมพ์รายงานของเราจาก SharePoint แต่ในกลุ่ม SalesDepartment คนอื่น ๆ อาจไม่มีบทบาทของ ReportWritter - กล่าวอีกนัยหนึ่งบทบาทคือสิทธิพิเศษกับกลุ่มที่ได้รับมอบหมาย หวังว่านี่จะทำให้เกิดฉากต่างๆ

ไชโย !!!