Používatelia

Správa používateľov je súčasťou sekcie Správca v ERA Web Console.

Nový bezpečnostný model v ESET Remote Administrator 6.5

ESET Remote Administrator vo verzii 6.5 obsahuje vylepšený bezpečnostný model pre používateľov a sady povolení. Tento nový model je založený na nasledujúcich princípoch:

Každý používateľ má jednu domácu skupinu.

Každý objekt (zariadenie, úloha, šablóna atď.) vytvorený používateľom je automaticky zahrnutý do domácej skupiny daného používateľa.

Sady povolení sa uplatňujú len na objekty zahrnuté v zadefinovaných statických skupinách. Tieto statické skupiny sa nastavujú v sekcii icon_section Statické skupiny pri vytváraní alebo upravovaní sady povolení.

K používateľovi je možné priradiť viacero sád povolení. Ide o preferovaný postup pri udeľovaní prístupových práv k rôznym objektom.

Správca je používateľ s domácou skupinou Všetko a kompletnou sadou povolení viazaných k tejto skupine.

Objekty sú umiestnené v statických skupinách, pričom prístup k objektom je vždy viazaný na skupiny, nie na používateľov (vďaka tomu sú používatelia nahraditeľní, napr. keď je jeden používateľ na dovolenke). Výnimku tvoria úlohy pre server a oznámenia, keďže prístup k týmto objektom je viazaný na takzvaného „vykonávajúceho používateľa“.

Filter prístupovej skupiny

access_group

Tlačidlo filtra s názvom Prístupová skupina umožňuje používateľom zvoliť statickú skupinu a vyfiltrovať zobrazené objekty podľa statickej skupiny, v ktorej sú zahrnuté.

light-bulbPríklad: Prístupové práva pre správcov v jednotlivých pobočkách firmy

Ak má firma dve vzdialené pobočky a každá má svojho lokálneho správcu, je potrebné týmto správcom prideliť sady povolení viazané na rozdielne statické skupiny.

Povedzme, že pre pobočku v San Diegu je lokálnym správcom John a pre pobočku v Sydney je lokálnym správcom Larry. Obaja potrebujú spravovať len tie zariadenia, ktoré spadajú do lokálnej siete ich pobočky, a používať príslušné Politiky, Riadiace panely, Správy a Šablóny dynamických skupín. Z účtu hlavného správcu (Administrator) je potrebné vykonať nasledujúce kroky:

1.Vytvorte nové statické skupiny: Pobočka San Diego, Pobočka Sydney.

2.Vytvorte nové sady povolení:

a.Sada povolení s názvom Sada povolení – Sydney , s priradenou statickou skupinou Pobočka Sydney a s kompletnou sadou prístupových povolení (okrem kategórie povolení Nastavenia servera).

b.Sada povolení s názvom Sada povolení – San Diego , s priradenou statickou skupinou Pobočka San Diego a s kompletnou sadou prístupových povolení (okrem kategórie povolení Nastavenia servera).

c.Sada povolení s názvom Skupina Všetko/Riadiaci panel, s priradenou statickou skupinou Všetko a s nasledujúcimi pridelenými povoleniami:

povolenie na čítanie v rámci kategórie Úlohy pre klienta,

povolenie na použitie v rámci kategórie Šablóny dynamických skupín,

povolenie na použitie v rámci kategórie Správy a riadiace panely,

povolenie na použitie v rámci kategórie Politiky,

povolenie na použitie v rámci kategórie Odoslať e-mail,

povolenie na použitie v rámci kategórie Odoslať SNMP Trap,

povolenie na použitie v rámci kategórie Exportovať správu do súboru,

povolenie na použitie v rámci kategórie Licencie,

povolenie na zápis v rámci kategórie Oznámenia.

3.Vytvorte nového používateľa nazvaného John s domácou skupinou Pobočka San Diego a s priradenými sadami povolení Sada povolení – San Diego a Skupina Všetko / Riadiaci panel.

4.Vytvorte nového používateľa nazvaného Larry s domácou skupinou Pobočka Sydney a s priradenými sadami povolení Sada povolení – Sydney a Skupina Všetko / Riadiaci panel.

S takto nastavenými povoleniami môžu John a Larry používať rovnaké úlohy, politiky, správy a riadiace panely a môžu používať šablóny dynamických skupín bez obmedzení (každý z nich však môže používať iba šablóny pre zariadenia zahrnuté vo vlastnej domácej skupine).

Bezpečnostné skupiny domény

Pre zjednodušenie používania služby Active Directory je možné používateľom patriacim do doménových bezpečnostných skupín povoliť prihlasovanie do ERA. Takíto používatelia môžu existovať súčasne s Natívnymi používateľmi nástroja ERA; sady povolení sú však nastavované pre celú bezpečnostnú skupinu Active Directory (nie pre jednotlivých používateľov, ako je to v prípade Natívneho používateľa).

Zdieľanie objektov

Ak chce správca (Administrator) zdieľať objekty, napr. šablóny dynamických skupín, šablóny správ alebo politiky, s inými používateľmi, môže využiť jednu z nasledujúcich možností:

Požadované objekty presunúť do zdieľaných skupín

Požadované objekty duplikovať a vytvorené duplikáty objektov premiestniť do statických skupín, ku ktorým majú ostatní používatelia prístup (pozrite si príklad uvedený nižšie)

light-bulbPríklad: Ako zdieľať objekty použitím duplikovania

Na duplikovanie určitého objektu musí mať používateľ pridelené povolenie na čítanie pre pôvodný objekt a mať povolenie na zápis v rámci svojej Domácej skupiny pre tento typ akcie.

Správca (Administrator), ktorého domáca skupina je Všetko, chce zdieľať Špeciálnu šablónu s používateľom John. Šablóna bola pôvodne vytvorená hlavným správcom (Administrator), a preto je automaticky zahrnutá v skupine Všetko. Správca musí vykonať nasledujúce kroky:

1.Prejdite do sekcie Správca > Šablóny dynamickej skupiny.

2.Zo zoznamu vyberte Špeciálnu šablónu a kliknite na Duplikovať. V prípade potreby zadajte pre duplikovanú šablónu nový názov a popis a nakoniec kliknite na tlačidlo Dokončiť.

3.Duplikát šablóny bude umiestnený do domácej skupiny Správcu, t. j. do skupiny Všetko.

4.Prejdite do sekcie Správca > Šablóny dynamickej skupiny, vyberte duplikovanú šablónu, kliknite na move_defaultPrístupová skupina > move_default Presunúť a vyberte statickú skupinu, do ktorej má byť šablóna presunutá (vyberte skupinu, do ktorej má John prístup). Kliknite na OK.

 

Ako zdieľať objekty medzi viacerými používateľmi pomocou zdieľanej skupiny

Pre lepšie pochopenie toho, ako nový bezpečnostný model funguje, si pozrite schému uvedenú nižšie. V tomto príklade figurujú dvaja používatelia vytvorení Správcom, konkrétne John a Larry. Každý z týchto používateľov má svoju vlastnú domácu skupinu, ktorá obsahuje všetky objekty vytvorené daným používateľom. Sada povolení – San Diego udeľuje Johnovi oprávnenie narábať s Objektmi umiestnenými v jeho domácej skupine Pobočka San Diego. Situácia je podobná aj v prípade Larryho. Ak títo používatelia potrebujú medzi sebou zdieľať nejaké objekty (napríklad počítače), tieto objekty treba presunúť do statickej skupiny Zdieľaná skupina. K obom používateľom je následne potrebné priradiť Zdieľanú sadu povolení, ktorá má v sekcii icon_section Statické skupiny uvedenú Zdieľanú skupinu.

security_model

 

icon_details_hoverPoznámka:

Po dokončení inštalácie nástroja ERA je dostupný iba jeden používateľský účet – Administrator (natívny používateľ s domácou skupinou Všetko).

Zjednodušený model fungovania prístupových práv v ERA (zobrazí sa po kliknutí)