Наборы разрешений

Набор разрешений содержит разрешения для пользователей, получающих доступ к веб-консоли ESMC. Они определяют, что может сделать или увидеть пользователь в веб-консоли. Основные пользователи имеют собственные разрешения, тогда как пользователи домена имеют разрешения сопоставленной группы безопасности, к которой они принадлежат. У каждого набора разрешений есть свой домен применения (статические группы). Разрешения, выбранные в разделе Функциональность, будут применены к объектам в группах, заданных в разделе Статические группы для каждого пользователя, которому назначен данный набор разрешений. Доступ к определенной статической группе означает автоматический доступ ко всем ее подгруппам. При надлежащей настройке статических групп можно построить отдельные филиалы для локальных администраторов (см. пример).

Пользователю можно назначить набор разрешений даже без возможности его увидеть. Набор разрешений также является объектом, который автоматически хранится в домашней группе пользователя, создавшего его. При создании учетной записи пользователя этот пользователь сохраняется в виде объекта в домашней группе создающего пользователя. Обычно пользователи создаются администратором и поэтому хранятся в группе Все.

Наборы разрешений суммируются. Если назначить одному пользователю дополнительные наборы разрешений, то доступ, которым будет обладать этот пользователь, будет определяться суммой всех наборов разрешения.

Комбинирование нескольких наборов разрешений

Итоговый доступ, который пользователь будет иметь к объекту, является результатом комбинирования всех наборов разрешений, назначенных данному пользователю. Например, пользователю назначено два набора разрешений: один для домашней группы с полными правами, а второй для группы с компьютерами, дающий только права на чтение, использование для компьютера и группы. Данный пользователь может выполнять все задачи из домашней группы на компьютерах из второй группы.

В общем случае пользователь может запускать объекты из одной статической группы через объекты другой статической группы, при условии что у пользователя есть права доступа к определенному типу объектов в определенной группе.

Фильтр «Группа доступа»

Кнопка фильтра Группа доступа позволяет пользователям выбирать статическую группу и фильтровать видимые объекты в соответствии с их принадлежностью группе.

access_group

admin_AR_permissions

 

validation-status-icon-warning ВАЖНО!

Рекомендации по работе с разрешениями:

Никогда не предоставляйте доступ к параметрам сервера неопытным пользователям. Таким доступом должен обладать только администратор.

Рекомендуется ограничить доступ к функции Клиентские задачи > Выполнить команду. Это очень мощная задача, которой могут злоупотреблять.

Пользователям неадминистративного уровня не следует предоставлять разрешения Наборы разрешений, Основные пользователи, Параметры сервера.

Если необходима более сложная модель разрешений, создайте и назначьте дополнительные наборы разрешений.

 

После разрешений на функциональность ESMC можно задать доступ к группам пользователей в режиме чтения, использования, записи.

light-bulbПРИМЕР. Дублирование

Для дублирования объекта пользователю необходимо иметь разрешение Чтение для исходного объекта и разрешение Запись для своей домашней группы на такой тип действия.

Иван, домашняя группа которого — Группа Ивана, хочет продублировать политику 1, которая изначально была создана Леонидом, поэтому эта политика автоматически содержится в домашней группе Леонида — Группа Леонида.

1.Создайте статическую группу. Назовите ее, например, Общие политики.

2.Назначьте обоим пользователям, Ивану и Леониду, разрешение Чтение для политик в группе Общие политики.

3.Леонид перемещает политику 1 в группу Общие политики.

4.Назначьте пользователю Иван разрешения Запись для политик в его домашней группе.

5.Теперь Иван может дублировать политику 1. Дубликат появится в его домашней группе.

light-bulbПРИМЕР. Различие между использованием и записью

Если Администратор не хочет разрешать пользователю Иван изменять политики в группе Общие политики, ему следует создать набор разрешений с такими параметрами:

Функциональность Политики: выбраны разрешения Чтение и Использование

Статические группы: Общие политики.

Когда эти разрешения назначены пользователю Иван, Иван может выполнять такие политики, но не может их редактировать, создавать или удалять. Если бы администратор добавил разрешение Запись, Иван мог бы создавать, дублировать, редактировать и удалять политики в пределах выбранной статической группы (Общие политики).