Utilisateurs

La gestion des utilisateurs s'effectue dans la section Admin d'ERA Web Console.

Nouveau modèle de sécurité ESET Remote Administrator 6.5

ESET Remote Administrator 6.5 contient un modèle de sécurité amélioré pour les utilisateurs et les jeux d'autorisations. Voici les principes fondamentaux de ce modèle :

Chaque utilisateur dispose d'un groupe résidentiel.

Chaque objet (périphérique, tâche, modèle, etc.) créé par un utilisateur est automatiquement stocké dans le groupe résidentiel de celui-ci.

Les jeux d'autorisations sont uniquement appliqués aux objets de groupes définis. Ces groupes statiques sont définis dans la section icon_section Groupes statiques lors de la création ou de la modification d'un jeu d'autorisations.

Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Il s'agit de la méthode préférée pour répartir l'accès aux objets.

Un utilisateur qui dispose d'un groupe résidentiel Tous et d'un jeu d'autorisations complet sur ce groupe est un administrateur.

Les objets figurent dans des groupes statiques et leur accès est toujours lié aux groupes et non aux utilisateurs (les utilisateurs sont ainsi interchangeables, lorsqu'un utilisateur est en congé, par exemple). Les tâches serveur et les notifications constituent des exceptions, car elles utilisent le concept d'utilisateur « exécutant ».

Filtre Accéder au groupe

access_group

Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient.

light-bulbEXEMPLE : solution pour les administrateurs de filiale

Si une entreprise possède deux bureaux et des administrateurs locaux par bureau, ceux-ci doivent se voir attribuer des jeux d'autorisations supplémentaires pour différents groupes.

L'entreprise compte deux administrateurs : John à San Diego et Larry à Sydney. Les deux administrateurs doivent administrer uniquement les ordinateurs de leur bureau et utiliser les fonctionnalités Tableau de bord, Politiques, Rapports et Modèles de groupe dynamique sur les ordinateurs. L'administrateur principal doit procéder comme suit :

1.Il doit créer des groupes statiques : Bureau de San Diego et Bureau de Sydney.

2.Il doit créer des jeux d'autorisations :

a.Jeu d'autorisations appelé Jeu d'autorisations Sydney, avec le groupe statique Bureau de Sydney, et des autorisations d'accès complet (à l'exclusion des paramètres du serveur).

b.Jeu d'autorisations appelé Jeu d'autorisations San Diego, avec le groupe statique Bureau de San Diego, et des autorisations d'accès complet (à l'exclusion des paramètres du serveur).

c.Jeu d'autorisations appelé Groupe Tous/Tableau de bord, avec le groupe statique Tous, et les autorisations suivantes :

Lire pour Tâches client

Utiliser pour Modèles de groupe dynamique

Utiliser pour Rapports et tableau de bord

Utiliser pour Politiques

Utiliser pour Envoyer l'email

Utiliser pour Envoyer l'interruption SNMP

Utiliser pour Exporter le rapport dans un fichier

Utiliser pour Licences

Écrire pour Notifications

3.Il doit créer l'utilisateur John et attribuer au groupe résidentiel Bureau de San Diego les jeux d'autorisations Jeu d'autorisations San Diego et Groupe Tous/Tableau de bord.

4.Il doit créer l'utilisateur Larry et attribuer au groupe résidentiel Bureau de Sydney les jeux d'autorisations Jeu d'autorisations Sydney et Groupe Tous/Tableau de bord.

Si les autorisations sont définies de cette manière, John et Larry peuvent utiliser les mêmes tâches et politiques, rapports et tableau de bord. Ils peuvent également utiliser des modèles de groupe dynamique sans restrictions. Ils ne peuvent toutefois utiliser que les modèles des ordinateurs contenus dans leur groupe résidentiel.

Groupes de sécurité de domaine

Pour faciliter l'utilisation d'Active Directory, les utilisateurs des groupes de sécurité du domaine peuvent être autorisés à se connecter à ERA. Des utilisateurs de ce type peuvent coexister avec les utilisateurs natifs ERA. Les jeux d'autorisations doivent être toutefois définis pour le groupe de sécurité Active Directory (au lieu de chaque utilisateur, comme dans le cas des utilisateurs natifs).

Partage d'objets

Si un administrateur veut partager des objets tels que des modèles de groupe dynamique, des modèles de rapport ou des politiques, les possibilités suivantes s'offrent à lui :

Il peut déplacer les objets vers des groupes partagés.

Il peut créer des objets en double et les déplacer vers des groupes statiques accessibles par d'autres utilisateurs (voir l'exemple ci-après).

light-bulbEXEMPLE : partage par le biais de la duplication

Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de l'autorisation Écrire sur son groupe résidentiel pour ce type d'action.

L'administrateur, dont le groupe résidentiel est Tous, veut partager Modèle spécial avec l'utilisateur John. Le modèle a été créé à l'origine par l'administrateur. Il est donc automatiquement contenu dans le groupe Tous. L'administrateur doit procéder comme suit :

1.Il doit accéder à Admin > Modèles de groupe dynamique.

2.Il doit sélectionner Modèle spécial et cliquer sur Dupliquer. Il doit définir un nom et une description, si nécessaire, puis cliquer sur Terminer.

3.Le modèle en double sera placé dans le groupe résidentiel de l'administrateur, dans le groupe Tous.

4.Il doit accéder à Admin > Modèles de groupe dynamique, sélectionner le modèle en double, cliquer sur move_defaultAccéder au groupe > move_default Déplacer et sélectionner le groupe statique de destination (sur lequel John a une autorisation). Il doit cliquer sur OK.

 

Partage d'objets avec d'autres utilisateurs via un groupe partagé

Pour mieux comprendre le fonctionnement du nouveau modèle de sécurité, reportez-vous au schéma ci-après. Il existe un cas dans lequel deux utilisateurs sont créés par l'administrateur. Chaque utilisateur dispose d'un groupe résidentiel contenant les objets qu'il a créés. Le Jeu d'autorisations San Diego donne le droit à John de manipulater les objects contenus dans son groupe résidentiel. La situation est identique pour Larry. Si ces utilisateurs doivent partager certains objets (des ordinateurs, par exemple), ces derniers doivent être déplacés vers le Groupe partagé (groupe statique). Les deux utilisateurs doivent se voir attribuer le Jeu d'autorisations partagé pour lequel le Groupe partagé est répertorié dans la section icon_section Groupes statiques.

security_model

 

icon_details_hoverREMARQUE

Une nouvelle installation d’ERA comporte uniquement le compte Administrateur (utilisateur natif avec le groupe résidentiel Tous).

Droits d'accès ERA expliqués dans un modèle logique (cliquez pour développer)