7、基于角色的访问控制：实现与管理指南

基于角色的访问控制：实现与管理指南

1. 解决方案概述

基于角色的访问控制（RBAC）是将基于角色的管理应用于资源安全的一种方法，这些资源包括文件、文件夹、打印机、SharePoint 列表和库等。本解决方案将为资源集合构建 RBAC 实现，同时介绍基于角色管理的最佳实践。

1.1 解决方案目标

通过规范且精细的组管理来实现基于角色的访问控制，根据用户和计算机角色以及业务需求自动管理资源访问。

1.2 应用场景

以 Contoso 有限公司为例，明年预算相关的文件存放在部门主站点服务器的共享文件夹中。营销、销售、制造和研发部门的服务器都有一个名为“Budget”的共享文件夹，这些文件夹构成了一个资源集合，我们将实现对该资源集合的 RBAC 控制。

2. 角色组

2.1 角色组定义

角色组根据业务驱动的标准（如业务部门、职能、部门、团队或项目成员身份、位置或资历）来定义用户和计算机。例如，James 是悉尼的一名会计师，Janice 是伦敦的财务经理且是特殊项目的成员。

2.2 重要原则

2.2.1 高度信任

角色及其成员应具有高度的可信度。资源所有者会根据定义的角色授予资源相关的权限，因此角色和成员必须值得信赖。例如，特殊项目负责人 William 拥有共享文件夹和 SharePoint 团队站点的所有权，他希望特殊项目组的成员信息准确可靠，这样才能放心地授予该组访问权限。

2.2.2 权威数据源驱动

角色成员资格应尽可能由权威数据源驱动，这样可以提高角色