Sady oprávnění

Pomocí oprávnění můžete umožnit nebo naopak zakázat uživatelům přístup do ESMC Web Console. Jinými slovy definují, jakou část Web Console si mohou uživatelé zobrazit, a akce, které mohou provádět. Nativní uživatelé mají přiřazenou konkrétní sadu oprávnění, zatímco oprávnění doménových uživatelů se přebírá z oprávnění, kterou má přiřazena namapovaná doménová bezpečnostní skupina. Rozsah platnosti sady oprávnění definuje statická skupina. Přístupová oprávnění (definovaná v sekci Funkce) se aplikují na objekty, které se nacházejí ve vybraných Statických skupinách a má k nim mít uživatel přístup. Přidělením přístupu ke statické skupině uživatel automaticky získá přístup také k jejím podskupinám. Díky tomuto principu jste schopni vytvořit strukturu statických skupin podle jednotlivých lokalit a lokálním administrátorům přidělit oprávnění pouze pro přístup k jejich počítačům/objektům. Více informací naleznete v tomto příkladu.

Uživateli můžete přidělit takové oprávnění, že si jej nebude schopen zobrazit a ani neuvidí další vytvořené uživatele. Všechny objekty, které jakýkoli uživatel vytváří, se ukládají do jeho domovské skupiny. Objekt, reprezentující nového uživatele, se vytvoří v domovské skupině uživatele, který jej vytvořil. Protože uživatele zpravidla vytváří Administrator, uloží se do skupiny Všechna zařízení.

Sady oprávnění se sčítají. Pokud uživateli přiřadíte více sad oprávnění, výsledná zásada vznikne jejich sečtením.

Sloučení sad oprávnění

Výsledná zásada definující oprávnění pro přístup k objektu vznikne sloučením všech sad oprávnění přiřazených uživateli. Mějte příklad, kdy uživatel má přiřazeny dvě sady oprávnění. Jednu s úplným oprávněním do jeho domovské skupiny a druhou, v níž má pouze oprávnění pro čtení a použití u položky Skupiny a počítače. To znamená, že bude schopen nad počítači z druhé skupiny spouštět úlohy vytvořené ve své domovské skupině.

Obecně, uživatel může spouštět objekty z jedné statické skupiny nad jinou statickou skupinou, za předpokladu, že má oprávnění ke konkrétnímu typu objektu v dané skupině.

Přístup skupiny

Prostřednictvím filtru Přístup skupiny si můžete vybrat konkrétní statickou skupinu a zjistit, jaké objekty vidí uživatelé, kteří jsou členem dané skupiny.

access_group

admin_AR_permissions

 

validation-status-icon-warning DŮLEŽITÉ

Níže uvádíme několik důležitých tipů:

Nikdy nepřiřazujte oprávnění pro změnu nastavení serveru nezkušeným uživatelům. Pouze administrátor by měl mít možnost měnit tato nastavení.

Zamyslete se nad tím, zda všichni uživatelé potřebují přístup ke klientské úloze pro spuštění příkazu. Jedná se o velmi účinnou úlohu, ale v nesprávných rukách může být zneužita.

Uživatelé, kteří nejsou administrátoři, by neměli mít přístup k sadám oprávnění, nativním uživatelům a nastavení serveru.

Pokud vyžadujete komplexní model oprávnění, neváhejte a vytvořte více sad oprávnění. Uživatelům můžete přidělit libovolné množství sad oprávnění.

 

Při práci s oprávněními můžete uživatelům přidělit rozdílnou úroveň přístupu. K dispozici máte tyto možnosti: Čtení, Použít a Zápis.

light-bulbPříklad: Aplikace

Pro duplikování objektů musí mít uživatel oprávnění pro čtení originálních objektů a zápis daného typu objektu ve své domovské skupině.

Filip, jehož domovskou skupinou je Filipova skupina, si chcete zkopírovat (zduplikovat) Politiku 1. Protože politiku vytvořil Petr, je umístěna v jeho domovské skupině s názvem Petrova skupina.

1.Pro dosažení je nutné: Vytvořit novou statickou skupinu, například Sdílené politiky.

2.Přiřadit oběma uživatelům (Filipovi a Petrovi) oprávnění pro čtení politik ve skupině Sdílené politiky.

3.Petr musí přesunout Politiku 1 do skupiny Sdílené politiky.

4.Filip nyní v seznamu politik uvidí Politiku 1 a může si ji zduplikovat. Následně se mu zobrazí v jeho domovské skupině.

5.(Uživatel Filip musí mít oprávnění pro vytvoření politik ve své domovské skupině)

light-bulbPříklad: Rozdíl mezi Použít a Zápis

Pokud nechcete, aby mohl Filip modifikovat politiky umístěné ve skupině Sdílené politiky, vytvořte pro něj sadu oprávnění, ve které:

nastavte Čtení a Použít v případě Politik

jako Statickou skupinu vyberte Sdílené politiky

Poté, co tuto sadu oprávnění přiřadíte Filipovi, a odeberete mu oprávnění pro vytváření politik ve své domovské skupině, bude schopen si sdílené politiky zobrazit a používat je (přiřazovat). Nedokáže je však modifikovat ani mazat. Pokud budete chtít, aby Filip mohl vytvářet politiky ve skupině Sdílené politiky, přiřaďte mu oprávnění pro zápis.