Пользователи

Управление пользователями является частью раздела Администратор веб-консоли ERA.

Новая модель безопасности в ESET Remote Administrator 6.5

В версии ESET Remote Administrator 6.5 улучшена модель безопасности для пользователей и наборов разрешений. Ключевые принципы новой модели следующие:

У каждого пользователя есть одна домашняя группа.

Каждый объект (устройство, задача, шаблон и т. д.), созданный пользователем, автоматически сохраняется в домашней группе этого пользователя.

Наборы разрешений применяются только к объектам в определенных группах. Эти статические группы задаются в разделе icon_section Статические группы при создании или редактировании набора изменений.

Пользователю можно назначить несколько наборов разрешений. Это предпочтительный способ распределения доступа к объектам.

Пользователь с домашней группой Все и полным набором разрешений для этой группы фактически является администратором.

Объекты располагаются в статических группах, а доступ к объектам всегда привязан к группам, а не пользователям (это делает пользователей заменяемыми, например, если у одного из них выходной). К исключениям относятся серверные задачи и уведомления, в которых применяется концепция «исполняющего» пользователя.

Фильтр «Группа доступа»

access_group

Кнопка фильтра Группа доступа позволяет пользователям выбрать статическую группу и фильтровать просматриваемые объекты в соответствии с группой, где они содержатся.

light-bulbПРИМЕР. Решение для администраторов филиала

Если у компании есть два офиса, в каждом из которых есть локальные администраторы, им требуется назначить дополнительные наборы разрешений для разных групп.

Предположим, имеются администраторы Иван в Санкт-Петербурге и Леонид в Сочи. Обоим нужно обслуживать только свои локальные компьютеры, использовать панель мониторинга, политики, отчеты и шаблоны динамических групп со своими компьютерами. Главный администратор должен выполнить следующие действия:

1.Создать новые статические группы: Офис Санкт-Петербург, Офис Сочи.

2.Создать новые наборы разрешений:

a.Набор разрешений с именем Набор разрешений Сочи, со статической группой Офис Сочи и с разрешениями на полный доступ (за исключением параметров сервера).

b.Набор разрешений с именем Набор разрешений Санкт-Петербург, со статической группой Офис Санкт-Петербург и с разрешениями на полный доступ (за исключением параметров сервера).

c.Набор разрешений с именем Группа Все / панель мониторинга со статической группой Все и со следующими разрешениями:

Чтение для объекта Клиентские задачи;

Использование для объекта Шаблоны динамических групп;

Использование для объекта Отчеты и панель мониторинга;

Использование для объекта Политики;

Использование для объекта Отправка электронной почты;

Использование для объекта Отправка SNMP-ловушки;

Использование для объекта Экспорт отчета в файл;

Использование для объекта Лицензии;

Запись для объекта Уведомления.

3.Создайте нового пользователя Иван с домашней группой Офис Санкт-Петербург и назначьте ему наборы разрешений Набор разрешений Санкт-Петербург и Группа Все / панель мониторинга.

4.Создайте нового пользователя Леонид с домашней группой Офис Сочи и назначьте ему наборы разрешений Набор разрешений Сочи и Группа Все / панель мониторинга.

Если задать разрешения подобным образом, Иван и Леонид смогут использовать одни и те же задачи, политики, отчеты и панель мониторинга. Они также смогут без ограничений пользоваться шаблонами динамических групп, однако каждый только для компьютеров в пределах своей домашней группы.

Группы безопасности домена

Для облегчения использования в Active Directory пользователям из групп безопасности домена может быть предоставлено право входа в ERA. Такие пользователи могут существовать наряду с основными пользователями ERA. Однако наборы разрешений задаются для группы безопасности Active Directory (а не для отдельных пользователей, как в случае основного пользователя).

Предоставление общего доступа к объектам

Если администратору требуется предоставить общий доступ к объектам, например шаблонам динамических групп, шаблонам отчетов или политикам, доступны следующие возможности:

переместить эти объекты в общие группы;

создать дубликаты объектов и переместить их в статические группы, которые доступны другим пользователям (см. пример ниже).

light-bulbПРИМЕР. Предоставление общего доступа путем дублирования

Для дублирования объекта пользователю необходимо иметь разрешение Чтение для исходного объекта и разрешение Запись для своей домашней группы на такой тип действия.

Администратор, домашняя группа которого — Все, хочет предоставить специальный шаблон пользователю с именем Иван. Изначально шаблон был создан администратором, поэтому он автоматически содержится в группе Все. Необходимые действия для администратора следующие:

1.Перейдите в раздел Администрирование > Шаблоны динамических групп.

2.Выберите Специальный шаблон и нажмите кнопку Дублировать, при необходимости задайте имя и описание и нажмите кнопку Готово.

3.Дублированный шаблон будет содержаться в домашней группе администратора — Все.

4.Перейдите в раздел Администрирование > Шаблоны динамических групп и выберите дублированный шаблон, а затем щелкните move_defaultГруппа доступа > move_default Переместите и выберите статическую группу назначения (где у пользователя Иван есть разрешение). Нажмите кнопку ОК.

 

Предоставление общего доступа к объектам большему количеству пользователей с помощью общей группы

Чтобы лучше понять работу новой модели безопасности, рассмотрим приведенную ниже схему. Предположим, администратор создал двух пользователей. У каждого пользователя есть собственная домашняя группа с объектами, которые он создал. Набор разрешений Санкт-Петербург дает пользователю Иван права на манипулирование объектами в его домашней группе. Для пользователя Леонид ситуация аналогична. Если этим пользователям нужно совместно использовать какие-либо объекты (например, компьютеры), такие объекты следует переместить в общую группу (статическую). Обоим пользователям следует назначить общий набор разрешений, в котором Общая группа указана в разделе icon_section Статические группы.

security_model

 

icon_details_hoverПРИМЕЧАНИЕ.

После новой установки ERA есть единственная учетная запись Администратор (основной пользователь с домашней группой Все).

Описание прав доступа ERA в логической модели (щелкните, чтобы развернуть)