Conjuntos de permisos

Un conjunto de permisos representa los permisos para usuarios que acceden a la consola web ESMC. Definen qué puede hacer o ver un usuario dentro de la consola web. Los usuarios nativos cuentan con sus propios permisos, mientras que los usuarios de dominio cuentan con los permisos correspondientes a su grupo de seguridad asignado. Cada conjunto de permisos cuenta con su propio dominio de aplicación (grupos estáticos). Los permisos que se seleccionan en la sección Funcionalidad afectarán a los objetos en los grupos configurados en la sección de Grupos estáticos para cada usuario asignado por este conjunto de permisos. Tener acceso a un determinado Grupo estático automáticamente implica tener acceso a cada uno de los subgrupos. Con una configuración adecuada de los grupos estáticos es posible crear diferentes secciones para los admins locales (ver el ejemplo).

Se le puede asignar un conjunto de permisos a un usuario sin ser capaz de verlo. Un conjunto de permisos también es un objeto almacenado automáticamente en el grupo hogar del usuario que lo crea. Cuando se crea una cuenta de usuario, el usuario se almacena como un objeto en el grupo hogar del usuario que lo creó. Generalmente el administrador crea usuarios, por lo que se almacenan en el grupo Todos.

Los conjuntos de permisos son acumulativos. Si asigna más de un conjunto de permisos a un solo usuario, la suma de todos los conjuntos de permisos es el acceso resultante que tiene el usuario.

Combinar más conjuntos de permisos

El acceso final que tiene un usuario a un objeto es el resultado de la combinación de todos los conjuntos de permisos asignados al usuario. Por ejemplo, un usuario tiene dos conjuntos de permisos, uno para el grupo doméstico con permisos completos y otro para un grupo con computadoras, con permisos únicamente a Lectura, Uso del equipo y Grupos. Este usuario puede ejecutar todas las tareas desde el grupo doméstico en los equipos del otro grupo.

En general, un usuario puede ejecutar objetos desde un grupo estático sobre objetos en otro grupo estático, siempre y cuanto el usuario tenga permisos para ciertos tipos de objetos en un grupo determinado.

Filtro de Grupo de acceso

El botón de filtro Grupo de acceso le permite a los usuarios seleccionar un grupo estático y filtrar los objetos mostrados en función del grupo en el que se encuentran.

access_group

admin_AR_permissions

 

validation-status-icon-warning IMPORTANTE

Buena práctica para trabajar con permisos:

Nunca le otorgue acceso a la Configuración del servidor a usuarios in experiencia; solo el administrador debería tener este acceso.

Considerar restringir el acceso a las Tareas del cliente > Ejecutar comando: se trata de una tarea muy poderosa que podría ser abusada.

Los usuarios sin nivel de admin no deberían tener permisos para Conjuntos de permisos, Usuarios nativos, Configuración del servidor.

Si se necesita un modelo de permisos más complejo, no dude en crear más conjuntos de permisos y asignarlos según corresponda.

 

Luego de configurar los permisos para la funcionalidad de ESMC, también puede asignar acceso de Lectura, Uso, Escritura a Grupos de usuarios.

light-bulbEJEMPLO: Duplicación

Para duplicar un objeto, el usuario necesita contar con permisos de Lectura sobre el objeto original y permisos de Escritura sobre su Grupo hogar para este tipo de acción.

John, cuyo grupo hogar es Grupo de John, desea duplicar la Política 1, que fue creada originalmente por Larry, por lo que se encuentra automáticamente en el grupo hogar de Larry, Grupo de Larry.

1.Creación de un nuevo grupo estático. Nombrarlo, por ejemplo, Políticas compartidas.

2.Asignarle a John y a Larry permisos de Lectura para las Políticas en el grupo Políticas compartidas.

3.Larry mueve la Política 1 al grupo Políticas compartidas.

4.Asignarle a John permisos de Escritura para las Políticas en su grupo hogar.

5.John ahora puede Duplicar la Política 1: el duplicado aparecerá en su grupo hogar.

light-bulbEJEMPLO: Diferencia entre Uso y Escritura

Si el Administrador no desea que el usuario John pueda modificar políticas en el grupo Políticas compartidas creará un conjunto de permisos con:

Funcionalidad Políticas: Permisos de Lectura y Uso seleccionados

Grupos estáticos: Políticas compartidas

Con estos permisos asignados a John, John es capaz de ejecutar estas políticas pero no puede editarlas, eliminarlas ni crear nuevas políticas. Si un administrador agregara permisos de Escritura, John podría crear nuevas políticas, duplicarlas, editarlas y borrarlas dentro del grupo estático seleccionado (Políticas compartidas).