Пользователи

Управление пользователями осуществляется из раздела Дополнительно веб-консоли ESMC.

Модель безопасности

Ключевые термины новой модели:

Термин

Объяснение

Домашняя группа

В домашней группе автоматически сохраняются все объекты (устройства, задачи, шаблоны и т. д.), которые создает пользователь. У каждого пользователя должна быть только одна домашняя группа.

Объект

Объекты располагаются в статических группах. Доступ к объектам осуществляется группами, а не пользователями (это делает пользователей заменяемыми, например, если у одного из них выходной). К исключениям относятся серверные задачи и уведомления, которым требуется «исполняющий» пользователь.

Группа доступа

Группа доступа работает как статическая группа, которая позволяет пользователям фильтровать расположение объекта на основе прав доступа.

Администратор

Пользователь с домашней группой Все и полным набором разрешений для этой группы фактически является администратором.

Право доступа

Право доступа к объекту или выполнения задачи назначается с помощью набора разрешений.

Набор разрешений

Набор разрешений представляет разрешения для пользователей, получающих доступ к веб-консоли ESMC. Они определяют, что может видеть или делать пользователь в веб-консоли ESMC. Пользователю можно назначить несколько наборов разрешений. Наборы разрешений применяются только к объектам в определенных группах. Эти статические группы задаются в разделе Статические группы при создании или редактировании набора разрешений.

Функциональность

Функциональность — это один тип объекта или действия. Обычно, функциональности получают следующие значения: Чтение, Запись, Использование. Сочетание функциональностей, примененных к группе доступа, называется набором разрешений.

Фильтр «Группа доступа»

Кнопка фильтра Группа доступа позволяет пользователям выбирать статическую группу и фильтровать видимые объекты в соответствии с их принадлежностью группе.

access_group

Добавление фильтра и его предварительные настройки

Чтобы добавить критерии фильтрации, выберите команду Добавить фильтр, а затем выберите элементы из списка. Введите строку поискового запроса в поле фильтра. Активные фильтры выделены синим цветом.

Фильтры можно хранить в пользовательском профиле для повторного использования впоследствии. В Предустановках доступны указанные следующие варианты:

Параметры фильтрации — сохраненные вами фильтры, выберите один из вариантов. Примененный фильтр обозначается apply_default галочкой. Выберите Включить видимые колонки, сортировку и постраничное разбиение, чтобы сохранить данные параметры в предустановках.

add_new_defaultСохранить параметры фильтра — сохранить конфигурацию фильтра как новый вариант предустановки. Как только предустановка сохранена, дальнейшее ее редактирование невозможно.

edit_defaultРабота с параметрами фильтрации — удаление или переименование существующих предустановок. Нажмите Сохранить, чтобы применить изменения к предустановкам.

Очистить параметры фильтрования — при нажатии удаляются только текущие значения параметров выбранных фильтров. Сохраненные предустановки не меняются.

Удалить фильтры — нажмите для удаления выбранных фильтров. Сохраненные предустановки не меняются.

Удалить неиспользуемые фильтры — удалить пустые поля фильтра.

light-bulbПРИМЕР. Решение для администраторов филиала

Если у компании есть два офиса, в каждом из которых есть локальные администраторы, им требуется назначить дополнительные наборы разрешений для разных групп.

Предположим, имеются администраторы Иван в Санкт-Петербурге и Леонид в Сочи. Обоим нужно обслуживать только свои локальные компьютеры, использовать панель мониторинга, политики, отчеты и шаблоны динамических групп со своими компьютерами. Главный администратор должен выполнить следующие действия:

1.Создать новые статические группы: Офис Санкт-Петербург, Офис Сочи.

2.Создать новые наборы разрешений:

a.Набор разрешений с именем Набор разрешений Сочи, со статической группой Офис Сочи и с разрешениями на полный доступ (за исключением параметров сервера).

b.Набор разрешений с именем Набор разрешений Санкт-Петербург, со статической группой Офис Санкт-Петербург и с разрешениями на полный доступ (за исключением параметров сервера).

c.Набор разрешений с именем Группа Все / панель мониторинга со статической группой Все и со следующими разрешениями:

Чтение для объекта Клиентские задачи;

Использование для объекта Шаблоны динамических групп;

Использование для объекта Отчеты и панель мониторинга;

Использование для объекта Политики;

Использование для объекта Отправка электронной почты;

Использование для объекта Отправка SNMP-ловушки;

Использование для объекта Экспорт отчета в файл;

Использование для объекта Лицензии;

Запись для объекта Уведомления.

3.Создайте нового пользователя Иван с домашней группой Офис Санкт-Петербург и назначьте ему наборы разрешений Набор разрешений Санкт-Петербург и Группа Все / панель мониторинга.

4.Создайте нового пользователя Леонид с домашней группой Офис Сочи и назначьте ему наборы разрешений Набор разрешений Сочи и Группа Все / панель мониторинга.

Если задать разрешения подобным образом, Иван и Леонид смогут использовать одни и те же задачи, политики, отчеты и панель мониторинга. Они также смогут без ограничений пользоваться шаблонами динамических групп, однако каждый только для компьютеров в пределах своей домашней группы.

Группы безопасности домена

Для облегчения использования в Active Directory пользователям из групп безопасности домена может быть предоставлено право входа в ESMC. Такие пользователи могут существовать наряду с основными пользователями ESMC. Однако наборы разрешений задаются для группы безопасности Active Directory (а не для отдельных пользователей, как в случае основного пользователя).

Предоставление общего доступа к объектам

Если администратору требуется предоставить общий доступ к объектам, например шаблонам динамических групп, шаблонам отчетов или политикам, доступны следующие возможности:

Переместить эти объекты в общие группы.

Создать дубликаты объектов и переместить их в статические группы, которые доступны другим пользователям (см. пример ниже).

light-bulbПРИМЕР. Предоставление общего доступа путем дублирования

Для дублирования объекта пользователю необходимо иметь разрешение Чтение для исходного объекта и разрешение Запись для своей домашней группы на такой тип действия.

Администратор, домашняя группа которого — Все, хочет предоставить специальный шаблон пользователю с именем Иван. Изначально шаблон был создан администратором, поэтому он автоматически содержится в группе Все. Администратор должен выполнить следующие действия:

1.Перейдите в раздел Дополнительно > Шаблоны динамических групп.

2.Выберите Специальный шаблон и нажмите кнопку Дублировать, при необходимости задайте имя и описание и нажмите кнопку Готово.

3.Дублированный шаблон будет содержаться в домашней группе администратора — Все.

4.Перейдите в раздел Дополнительно > Шаблоны динамических групп и выберите дублированный шаблон, а затем щелкните move_defaultГруппа доступа > move_default Переместите и выберите статическую группу назначения (для которой у пользователя Иван есть разрешение). Нажмите кнопку ОК.

 

Предоставление общего доступа к объектам большему количеству пользователей с помощью общей группы

Чтобы лучше понять работу новой модели безопасности, рассмотрим приведенную ниже схему. Предположим, администратор создал двух пользователей. У каждого пользователя есть собственная домашняя группа с объектами, которые он создал. Набор разрешений Санкт-Петербург дает пользователю Иван права на манипулирование объектами в его домашней группе. Для пользователя Леонид ситуация аналогична. Если этим пользователям нужно совместно использовать какие-либо объекты (например, компьютеры), такие объекты следует переместить в общую группу (статическую). Обоим пользователям следует назначить общий набор разрешений, в котором Общая группа указана в разделе Статические группы.

security_model

 

details_hoverПРИМЕЧАНИЕ.

В новой установке ESMC существует единственная учетная запись Администратор (основной пользователь с домашней группой Все).