Введение
Безопасность - отдельная большая тема. В настоящем разделе под безопасностью понимается только предотвращение удаления и копирования базы данных. В этом случае безопасность обеспечивается ограничением прав доступа пользователей.
В нашем распоряжении есть, по крайней мере, три независимых средства ограничения прав доступа:
1. | на уровне ОС; |
2. | на уровне сервера базы данных ADS; |
3. | на уровне приложения "Фабиус". |
Поскольку "Фабиус" использует базу данных ADS на платформе серверов MS Windows, то все пояснения даны именно для этой платформы на примере ОС Windows Server 2003 R2.
Безопасность на уровне ОС
Цель
Предотвратить удаление, изменение и копирование данных средствами управления файлами ОС.
Директории "Фабиус"
Fabius\Etalon - данные эталонной конфигурации;
Fabius\Opdata - база данных документов;
Fabius\Opdata\Delete - удаленные документы;
Fabius\Reflis - база данных справочников;
Fabius\Reflis\Delete - удаленные записи справочников;
Fabius\Reflis\Lastupd - откат обновления версии;
Fabius\Reflis\Private.bln - частные бланки печатных форм документов;
Fabius\Reflis\Template - бланки печатных форм документов.
Fabius\Program - приложение "Фабиус" и клиентская часть сервера ADS;
Fabius\Start - пакеты на запуск "Фабиус";
Fabius\Temp - временные файлы.
Из перечисленных директорий для восстановления нормальной работы предприятия необходимы только Fabius\Opdata и Fabius\Reflis. Директории Fabius\Opdata\Delete, Fabius\Reflis\Delete, Fabius\Reflis\Lastupd не значимы, поскольку содержат "отработанный материал". Содержимое директорий Fabius\Etalon, Fabius\Program могут быть получены из "дистрибутивов" разработчиков, а Fabius\Start легко создается заново вручную.
Группа fabius
Для назначения прав доступа к директориям Opdata и Reflis следует создать отдельную группу fabius пользователей "Фабиус". Назначение прав встроенным группам типа Пользователи не даст желаемого результата.
Права доступа группы fabius для директорий Opdata, Reflis
На вкладке "Безопасность" свойств Opdata удалить группы Все и Пользователи.
В дополнительных параметрах безопасности для Opdata наследование разрешений от родительского объекта должно быть снято.
Используя кнопку "Изменить", задать группе fabius запрещения и разрешения, как показано ниже.
Запретить
Разрешить
В результате, члены групп Пользователи, Все не смогут даже открыть директории Opdata и Reflis, а члены группы fabius смогут только просматривать содержимое директорий, но не смогут его копировать и удалять.