Sady povolení

Sady povolení predstavujú oprávnenia používateľov, ktorí majú prístup do ESMC Web Console. Určujú, čo môže používateľ vo Web Console vidieť a robiť. Natívni používatelia majú svoje vlastné oprávnenia, kým doménoví používatelia majú oprávnenia, ktoré má pridelená ich namapovaná bezpečnostná skupina domény. Každá sada povolení sa uplatňuje na konkrétne statické skupiny. Povolenia zvolené v sekcii Oprávnenia k funkciám sa budú viazať len na tie objekty, ktoré sú obsiahnuté v statických skupinách zvolených v sekcii Statické skupiny. Všetci používatelia, ku ktorým bude táto sada povolení priradená, budú mať pridelené príslušné povolenia v rámci zvolených statických skupín. Mať prístup do statickej skupiny automaticky znamená mať prístup aj do každej jej podskupiny. Pre vzdialene pobočky firmy je možné vytvoriť samostatné statické skupiny, ku ktorým budú mať prístupové povolenia lokálni správcovia daných pobočiek (pozrite si príslušný príklad).

Používateľ môže mať pridelenú určitú sadu povolení aj bez toho, že by ju mohol vidieť. Sada povolení je v štruktúre ESMC tiež chápaná ako objekt a je vždy automaticky zahrnutá do domácej skupiny používateľa, ktorý ju vytvoril. To isté platí aj pri vytváraní nového používateľského účtu, používateľ (chápaný ako objekt) je automaticky umiestnený do domácej skupiny používateľa, ktorý tento nový účet vytvára. Používateľov zvyčajne vytvára hlavný správca (Administrator), takže sú zahrnutí v skupine Všetko.

Sady povolení sa sčítavajú. Ak jednému používateľovi pridelíte viacero sád povolení, jeho výsledný prístup bude tvoriť súčet všetkých pridelených sád povolení.

Kombinácia viacerých sád povolení

Výsledný prístup používateľa k objektu tvorí kombinácia všetkých sád povolení pridelených danému používateľovi. Napríklad, používateľ má pridelené dve sady povolení, jednu pre domácu skupinu, kde má úplné povolenia, a druhú pre skupinu s počítačmi, kde má povolenia iba na čítanie a používanie pre Počítače a Skupiny. Tento používateľ môže spúšťať všetky úlohy z domácej skupiny na počítačoch v druhej skupine.

Vo všeobecnosti môže používateľ spúšťať objekty z jednej statickej skupiny na objektoch v druhej statickej skupine za predpokladu, že má povolenia pre konkrétny typ objektu v konkrétnej skupine.

Filter prístupovej skupiny

Tlačidlo filtra s názvom Prístupová skupina umožňuje používateľom zvoliť statickú skupinu a vyfiltrovať zobrazené objekty podľa statickej skupiny, v ktorej sú zahrnuté.

access_group

admin_AR_permissions

 

validation-status-icon-warning Dôležité:

Pri práci s povoleniami je dobré dodržiavať nasledujúce zásady:

Neskúseným používateľom nikdy neprideľujte prístupové práva k Nastaveniam servera – prístup k nim by mal mať iba hlavný správca.

Zvážte obmedzenie prístupu k úlohe Spustiť príkaz v kategórii povolení Úlohy pre klienta – ide o úlohu so širokým využitím a veľkým dosahom, ktorá môže byť potenciálne zneužitá.

Bežní používatelia, ktorí nie sú správcami, by nemali mať pridelené povolenia v rámci kategórií Natívni používatelia, Sady povolení, Nastavenia servera.

Ak je vo vašom prípade potrebná komplexnejšia štruktúra povolení, je dobré vytvoriť väčší počet sád povolení a tie následne prideliť podľa potreby.

 

Okrem oprávnení týkajúcich sa funkcií ESMC je možné prideliť oprávnenia aj na prístup ku Skupinám používateľov (je možné zvoliť povolenie na čítanie, použite a zápis).

light-bulbPríklad: Duplikovanie

Na duplikovanie určitého objektu musí mať používateľ pridelené povolenie na čítanie pre pôvodný objekt a mať povolenie na zápis v rámci svojej Domácej skupiny pre tento typ akcie.

John, ktorého domáca skupina je Johnova skupina, chce duplikovať objekt Politika 1, ktorý bol pôvodne vytvorený používateľom Larry, a je preto automaticky zahrnutý v Larryho domácej skupine nazvanej Larryho skupina.

1.Vytvorte novú statickú skupinu. Nazvite ju napr. Zdieľané politiky.

2.Obom používateľom, Johnovi aj Larrymu, prideľte sadu povolení, ktorá bude obsahovať povolenie na čítanie pre Politiky zahrnuté v statickej skupine Zdieľané politiky.

3.Larry presunie Politiku 1 do skupiny Zdieľané politiky.

4.Johnovi prideľte povolenie na zápis pre Politiky zahrnuté v jeho domácej skupine.

5.John teraz môže duplikovať Politiku 1 – duplikát tejto politiky sa objaví v jeho domácej skupine.

light-bulbPríklad: Rozdiel medzi povoleniami na použitie a zápis

Ak Správca (Administrator) používateľovi s názvom John nechce povoliť upravovanie politík umiestnených v skupine Zdieľané politiky, musí vytvoriť sadu povolení s nasledujúcimi nastaveniami:

Sekcia Oprávnenia k funkciám: povolenia na čítanie a použitie pre Politiky

Statické skupiny: Zdieľané politiky

Ak má John pridelenú takúto sadu povolení, môže príslušné politiky používať, avšak nemôže ich upravovať, vymazávať a taktiež nemôže vytvárať nové politiky. Ak by správca používateľovi pridelil aj povolenie na zápis, John by v rámci zvolenej statickej skupiny Zdieľané politiky mohol vytvárať nové politiky a existujúce politiky duplikovať, upravovať a vymazávať.