Sady povolení

Sady povolení predstavujú oprávnenia používateľov, ktorí majú prístup do ERA Web Console. Určujú, čo môže používateľ v ERA Web Console vidieť a robiť. Natívni používatelia majú svoje vlastné oprávnenia, kým doménoví používatelia majú oprávnenia, ktoré má pridelená ich namapovaná bezpečnostná skupina domény. Každá sada povolení sa uplatňuje na konkrétne statické skupiny. Povolenia zvolené v sekcii icon_section Oprávnenia k funkciám sa budú viazať len na tie objekty, ktoré sú obsiahnuté v statických skupinách zvolených v sekcii icon_section Statické skupiny. Všetci používatelia, ku ktorým bude táto sada povolení priradená, budú mať pridelené príslušné povolenia v rámci zvolených statických skupín. Mať prístup do statickej skupiny automaticky znamená mať prístup aj do každej jej podskupiny. Pre vzdialene pobočky firmy je možné vytvoriť samostatné statické skupiny, ku ktorým budú mať prístupové povolenia lokálni správcovia daných pobočiek (pozrite si príslušný príklad).

Používateľ môže mať pridelenú určitú sadu povolení aj bez toho, že by ju mohol vidieť. Sada povolení je v štruktúre ERA tiež chápaná ako objekt a je vždy automaticky zahrnutá do domácej skupiny používateľa, ktorý ju vytvoril. To isté platí aj pri vytváraní nového používateľského účtu, používateľ (chápaný ako objekt) je automaticky umiestnený do domácej skupiny používateľa, ktorý tento nový účet vytvára. Používateľov zvyčajne vytvára hlavný správca (Administrator), takže sú zahrnutí v skupine Všetko.

Filter prístupovej skupiny

access_group

Tlačidlo filtra s názvom Prístupová skupina umožňuje používateľom zvoliť statickú skupinu a vyfiltrovať zobrazené objekty podľa statickej skupiny, v ktorej sú zahrnuté.

admin_AR_permissions

 

validation-status-icon-warning Dôležité:

Pri práci s povoleniami je dobré dodržiavať nasledujúce zásady:

Neskúseným používateľom nikdy neprideľujte prístupové práva k Nastaveniam servera – prístup k nim by mal mať iba hlavný správca.

Zvážte obmedzenie prístupu k úlohe Spustiť príkaz v kategórii povolení Úlohy pre klienta – ide o úlohu so širokým využitím a veľkým dosahom, ktorá môže byť potenciálne zneužitá.

Bežní používatelia, ktorí nie sú správcami, by nemali mať pridelené povolenia v rámci kategórií Natívni používatelia, Sady povolení, Nastavenia servera.

Ak je vo vašom prípade potrebná komplexnejšia štruktúra povolení, je dobré vytvoriť väčší počet sád povolení a tie následne prideliť podľa potreby.

 

Okrem oprávnení týkajúcich sa funkcií ERA je možné prideliť oprávnenia aj na prístup ku Skupinám používateľov (je možné zvoliť povolenie na čítanie, použite a zápis).

light-bulbPríklad: Duplikovanie

Na duplikovanie určitého objektu musí mať používateľ pridelené povolenie na čítanie pre pôvodný objekt a mať povolenie na zápis v rámci svojej Domácej skupiny pre tento typ akcie.

John, ktorého domáca skupina je Johnova skupina, chce duplikovať objekt Politika 1, ktorý bol pôvodne vytvorený používateľom Larry, a je preto automaticky zahrnutý v Larryho domácej skupine nazvanej Larryho skupina. Odporúčaný postup duplikovania je v tomto konkrétnom prípade nasledujúci:

1.Vytvorte novú statickú skupinu. Nazvite ju napr. Zdieľané politiky.

2.Obom používateľom, Johnovi aj Larrymu, prideľte sadu povolení, ktorá bude obsahovať povolenie na čítanie pre Politiky zahrnuté v statickej skupine Zdieľané politiky.

3.Larry presunie Politiku 1 do skupiny Zdieľané politiky.

4.Johnovi prideľte povolenie na zápis pre Politiky zahrnuté v jeho domácej skupine.

5.John teraz môže duplikovať Politiku 1 – duplikát tejto politiky sa objaví v jeho domácej skupine.

light-bulbPríklad: Rozdiel medzi povoleniami na použitie a zápis

Ak Správca (Administrator) používateľovi s názvom John nechce povoliť upravovanie politík umiestnených v skupine Zdieľané politiky, musí vytvoriť sadu povolení s nasledujúcimi nastaveniami:

Sekcia Oprávnenia k funkciám: povolenia na čítanie a použitie pre Politiky

Statické skupiny: Zdieľané politiky

Ak má John pridelenú takúto sadu povolení, môže príslušné politiky používať, avšak nemôže ich upravovať, vymazávať a taktiež nemôže vytvárať nové politiky. Ak by správca používateľovi pridelil aj povolenie na zápis, John by v rámci zvolenej statickej skupiny Zdieľané politiky mohol vytvárať nové politiky a existujúce politiky duplikovať, upravovať a vymazávať.