Pergunta
Por que o usuário-administrador tem permissão para adicionar alguém ao grupo de administradores e como evitar esse comportamento?
Resposta, Resolução
Os usuários-administradores (cada usuário membro do grupo de usuários-administradores) poderá criar usuários e grupos e poderá gerenciar a associação a grupos (isso significa que eles têm a permissão para Modificar e Criar para todos os usuários e grupos).
Por padrão, os usuários-administradores não têm permissão de gravação ACL, portanto, não é possível editar a ACL de um recurso e, dessa forma, não estão habilitados para modificar as permissões concedidas aos usuários ou grupos.
Como os usuários-administradores podem adicionar todos os usuários e grupos a qualquer grupo por padrão, é possível para os usuários-administradores adicionarem qualquer usuário ou grupo (inclusive ele mesmo) a um grupo que receba permissões adicionais.
Se os usuários-administradores não forem capazes de adicionar algum usuário ou grupo a grupos específicos que sejam mais influentes do que os próprios usuários-administradores, os administradores serão responsáveis por ajustar as permissões de forma adequada.
Os administradores (usuário administrador e cada usuário membro do grupo de administradores) poderão fazer isso negando o acesso de gravação ao nó correspondente ao grupo com mais privilégios (grupo de administradores) para todos exceto os que realmente têm permissão (os administradores).
Isso impede (no nosso exemplo) os usuários-administradores de modificarem os membros do grupo de administradores.
Observação: isso não se aplica apenas ao grupo de administradores e poderá ser necessário para qualquer grupo específico de projeto que seja considerado mais influente do que os usuários-administradores.
Exemplo: para o grupo de administradores (o único grupo com mais privilégios que os usuários-administradores na configuração inicial)
- Faça o login como administrador (usuário administrador ou usuário membro do grupo de administradores) para o sistema CRX. Mude o espaço de trabalho para "crx.system".
- Abra o navegador CRX e vá para o nó do grupo de administradores - /rep:security/rep:principals/rep:groups/administrators
- Selecione o nó
administradorese, no menu superior, selecione Segurança -> Editor de ACL. - Troque para a guia
ACLe adicione uma nova permissão comprincipal=user-administratorse negue o acesso para Modificar (set_property). Você também poderá negar todo o acesso. Com a negação do acesso de Leitura, os usuários-administradores não poderão mais ver o grupo de administradores na GUI. Isso impedirá a seleção do grupo de administradores para qualquer manipulação de associação (que não funcionará de qualquer maneira, pois o acesso para Modificar está negado). - Agora efetue logon com um usuário de teste que seja membro do grupo de usuários-administradores. Você não poderá mais adicionar nenhum usuário ou grupo ao grupo de administradores ou ver o grupo de administradores se também tiver negado o acesso de Leitura.
Resumo:
O administrador (ou qualquer outro usuário que seja membro de um grupo que tenha permissão para gravar ACL em qualquer recurso) que modificar as permissões dos grupos deverá estar ciente de que os usuários-administradores estão autorizados a adicionar membros a este grupo. Por conseguinte, poderá ser necessário restringir as permissões dos usuários-administradores para modificar os membros do grupo correspondente.
Isso também se aplica a outros usuários/grupos com permissão para gravar associação de grupo.
Aplica-se a
CQ5.2.0, CQ5.2.1
Fazer logon em sua conta