Jeux d'autorisations

Un jeu d'autorisations représente les autorisations des utilisateurs qui ont accès à ESMC Web Console. Il définit les tâches que l'utilisateur peut effectuer ou les informations qu'il peut afficher dans la console Web. Les utilisateurs natifs possèdent leurs propres autorisations, tandis que les utilisateurs du domaine disposent des autorisations de leur groupe de sécurité mappé. Chaque jeu d'autorisations possède son domaine d'application (groupes statiques). Les autorisations sélectionnées dans la section Fonctionnalités s'appliquent aux objets dans les groupes définis dans la section Groupes statiques de chaque utilisateur auquel est attribué un jeu d'autorisations donné. L'accès à un groupe statique donné donne automatiquement accès à tous ses sous-groupes. Lorsque les groupes statiques sont bien définis, il est possible de créer des filiales distinctes pour les administrateurs locaux (voir l'exemple).

Un utilisateur peut se voir attribuer un jeu d'autorisations sans qu'il soit en mesure de l'afficher. Un jeu d'autorisations est également un objet qui est automatiquement stocké dans le groupe résidentiel de l'utilisateur qui l'a créé. Lorsqu'un compte d'utilisateur est créé, l'utilisateur est stocké en tant qu'objet dans le groupe résidentiel de l'utilisateur créateur. En règle générale, comme l'administrateur crée les utilisateurs, ces derniers sont stockés dans le groupe Tous.

Les jeux d'autorisations s'ajoutent. Si vous affectez des jeux d'autorisations supplémentaires à un seul utilisateur, la somme de tous les jeux d'autorisations donne pour résultat l'accès dont il dispose.

Combinaison d'autres jeux d'autorisations

L'accès final à un objet dont dispose un utilisateur est le résultat de la combinaison de tous les jeux d'autorisations qui lui sont attribués. Par exemple, un utilisateur dispose de deux jeux d'autorisations, un pour le groupe résidentiel avec des autorisations complètes et un autre pour un groupe avec des ordinateurs, avec seulement les autorisations de lecture et d'utilisation pour Ordinateurs et groupes. Cet utilisateur peut exécuter toutes les tâches du groupe résidentiel sur les ordinateurs de l'autre groupe.

En règle générale, un utilisateur peut exécuter des objets d'un groupe statique sur des objets d'un autre groupe statique, s'il dispose des autorisations nécessaires pour certains types d'objets appartenant à certains groupes.

Filtre Accéder au groupe

Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient.

access_group

admin_AR_permissions

 

validation-status-icon-warning IMPORTANT

Bonne pratique relative à l'utilisation des autorisations :

N'autorisez jamais les utilisateurs inexpérimentés à accéder aux paramètres du serveur. Seul un administrateur peut être autorisé à y accéder.

Envisagez de limiter l'accès à Tâches client > Exécuter une commande. Il s'agit d'une tâche très puissante qui peut être utilisée à mauvais escient.

Les utilisateurs qui ne sont pas administrateurs ne doivent pas disposer d'autorisations pour Jeux d'autorisations, Utilisateurs natifs et Paramètres du serveur.

Si un modèle plus complexe d'autorisations est nécessaire, n'hésitez pas à créer d'autres jeux d'autorisations et à les attribuer en conséquence.

 

Après avoir défini les autorisations sur la fonctionnalité ESMC, vous pouvez également accorder les accès en Lecture, en Utilisation, en Écriture aux groupes d'utilisateurs.

light-bulbEXEMPLE : Duplication

Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de l'autorisation Écrire sur son groupe résidentiel pour ce type d'action.

John, dont le groupe résidentiel est Groupe de John, souhaite dupliquer la Politique 1 qui a été créée à l'origine par Larry et qui est automatiquement contenue dans le groupe résidentiel de Larry, appelé Groupe de Larry.

1.Créez un groupe statique. Appelez-le Politiques partagées, par exemple.

2.Attribuez à John et à Larry l'autorisation Lire pour Politiques dans le groupe Politiques partagées.

3.Larry doit déplacer Politique 1 vers le groupe Politiques partagées.

4.Attribuez à John l'autorisation Écrire pour Politiques dans son groupe résidentiel.

5.John peut à présent dupliquer la Politique 1. Le doublon apparaîtra dans son groupe résidentiel.

light-bulbEXEMPLE : Différence entre les droits Utiliser et Écrire

Si l'administrateur ne souhaite pas autoriser John à modifier les politiques dans le groupe Politiques partagées, il peut créer un jeu d'autorisations avec la configuration suivante :

Fonctionnalités Politiques : Autorisations de lecture et d'utilisation sélectionnées

Groupes statiques : Politiques partagées

Avec ces autorisations, John peut exécuter ces politiques mais ne peut pas les modifier, en créer de nouvelles ou les supprimer. Si un administrateur ajoute l'autorisation Écrire, John peut créer, dupliquer, modifier et supprimer les politiques au sein du groupe statique sélectionné (Politiques partagées).