Uživatelé

Přístup uživatelům k ERA Web Console můžete omezit pomocí sad oprávnění. Nejvíce oprávnění a přístup ke všem nastavením má výchozí předdefinovaný uživatel Administrator, který je jako jediný dostupný po dokončení instalace ERA.

Správu uživatelů naleznete v hlavním menu na záložce Administrace > Přístupová oprávnění > Uživatelé.

Nový bezpečnostní model představený v ESET Remote Administrator 6.5

V ESET Remote Administrator 6.5 byl představen přepracovaný bezpečnostní model, který mění přístup uživatelů k jednotlivým objektům ERA Web Console. Níže uvádíme jeho principy:

Každý uživatel má jednu domovskou skupinu.

Každý objekt (zařízení, úloha, šablona, ...) vytvořená uživatel se uloží do jeho domovské skupiny.

Sady oprávnění se aplikují na definované skupiny objektů, tedy statické skupiny.

Uživateli můžete přiřadit libovolné množství sad oprávnění. Tímto způsobem byste měli uživatelům přidělovat oprávnění pro přístup ke konkrétním objektům.

Uživatel jehož domovskou skupinou jsou Všechna zařízení a má přiřazena administrátorská oprávnění, je plnohodnotný administrátor. Standardně má takový přístup předdefinovaný účet Administrator.

Objekty jsou umístěné ve statických skupinách, proto přístup k nim závisí na tom, zda má uživatel oprávnění pro přístup do dané statické skupiny. Jedinou výjimku představují serverové úlohy a oznámení, které využívají koncept "executing user" (úlohy a oznámení jsou spouštěny pod uživatelským účtem).

Přístup skupiny

access_group

Prostřednictvím filtru Přístup skupiny si můžete vybrat konkrétní statickou skupinu a zjistit, jaké objekty vidí uživatelé kteří jsou členem dané skupiny.

light-bulbPŘÍKLAD: Firma s více pobočkami

Společnost má dvě pobočky a správu každé zajišťuje jiný administrátor. Každý z nich tedy potřebuje oprávnění k odlišným skupinám.

Představte si dva administrátory, Filipa v Praze a Jiřího v Brně. Oba potřebují mít v ERA přístup ke stanicím, které spravují a chtějí používat nástěnku, politiky, přehledy a šablony dynamických skupin. Administrator musí podniknout tyto kroky:

1.Vytvořit nové statické skupiny: Praha a Brno.

2.Vytvořit nové sady oprávnění:

a.S názvem Sada oprávnění pro pobočku v Praze, přístupem ke statické skupině Praha a úplným oprávněním kromě Nastavení serveru.

b.S názvem Sada oprávnění pro pobočku v Brně, přístupem ke statické skupině Brně a úplným oprávněním kromě Nastavení serveru.

c.S názvem Všechna zařízení / Nástěnka, přístupem ke statické skupině Všechna zařízení a níže uvedenými oprávnění:

Čtení u položky Klientské úlohy

Použít u položky Šablony dynamických skupin

Použít u položky Přehledy a nástěnka

Použít u položky Politiky

Použít u položky Odeslat e-mail

Použít u položky Odeslat SNMP Trap

Použít u položky Exportovat přehled do souboru

Použít u položky Licence

Zápis u položky Oznámení

3.Vytvořit uživatele Filip, nastavit mu domovskou skupinu Praha a přiřadit Sadu oprávnění pro pobočku v Praze a Všechna zařízení / Nástěnka.

4.Vytvořit uživatele Jiří, nastavit mu domovskou skupinu Brno a přiřadit Sadu oprávnění pro pobočku v Brně a Všechna zařízení / Nástěnka.

Po provedení výše uvedených kroků mohou oba uživatelé (Filip a Jiří) používat stejné úlohy, politiky, přehledy a šablony dynamických skupin, ale vždy je mohou aplikovat pouze na své stanice, resp. v přehledech uvidí jen data ze stanic, ke kterých mají přístup.

Doménové bezpečnostní skupiny

Pokud používáte Active Directory, můžete namapovat doménovou bezpečnostní skupinu, a umožnit tak existujícím uživatelům přístup do ERA bez toho, aniž byste museli v ERA vytvářeli nové nativní uživatele. Mějte na paměti, že v případě doménové skupiny přiřazená sada oprávnění platí pro všechny uživatele, kteří jsou členem skupiny.

Sdílení objektů

Pokud jako administrátor chcete přidělit přístup k vámi vytvořeným nebo předdefinovaným objektům (šablonám dynamických skupin, přehledům, politikám, ...), můžete to udělat dvěma způsoby:

Přesunout objekty do sdílené skupiny, do které mají přístup všichni uživatelé.

Vytvořit kopii objektů a přesunout je do statické skupiny, do které má konkrétní uživatel přístup (viz příklad níže).

light-bulbPŘÍKLAD: Sdílení prostřednictvím kopie objektů

Pro zobrazení duplikovaných objektů musí mít uživatel oprávnění pro čtení originálních objektů. Aby si uživatel mohl objekt zkopírovat, musí mít ke konkrétnímu typu objektu oprávnění Zápis ve své domovské skupině.

Administrator, jehož domovskou skupinou jsou Všechna zařízení, chce Filipovi přidělit přístup k Šabloně A. Protože šablonu vytvořil Administrator, šablona je umístěna v jeho domovské skupině (Všechna zařízení). Administrator musí provést tyto kroky:

1.V hlavním menu ERA Web Console přejde do sekce Administrace > Šablony dynamických skupin.

2.Vybrat Šablonu A a z kontextového menu vybrat možnost Duplikovat. V případě potřeby změní název a šablon uloží kliknutím na tlačítko Dokončit.

3.Kopie objektu se opět vytvoří ve statické skupině Všechna zařízení (domovské skupině uživatele Administrator).

4.Následně Administrator vyberte kopii šablony, v kontextovém menu klikne na move_defaultPřístup skupiny > move_default Přesunout a vyberte Filipovu statickou skupinu.

 

Jak sdílet objekty s více uživateli prostřednictvím sdílené skupiny

Pro lepší pochopení nového bezpečnostního modelu jsme připravili názorné schéma. V níže uvedeném příkladu máme dva uživatelské účty. Každý z nich má vlastní domovskou skupinu, ve které si může vytvářet objekty. Filip má přiřazenou Sadu oprávnění pro pobočku v Praze. Obdobně je na tom Jiří. V případě, že si uživatelé chtějí vyměňovat mezi sebou objekty (politiky, přehledy, ...), použijí k tomu statickou skupinu Sdílená skupina. Oba uživatelské účty mají přiřazenou Sdílenou sadu oprávnění .

security_model

 

icon_details_hoverPoznámka:

Po dokončení čisté instalace existuje pouze jeden uživatelský účet. Administrator a jeho domovskou skupinou je statická skupina Všechna zařízení.

Vysvětlení logického modelu přístupových oprávnění (klikněte pro zobrazení)