Conjuntos de permisos

Un conjunto de permisos representa los permisos de los usuarios que acceden a ESMC Web Console. Estos permisos definen lo que pueden hacer o ver los usuarios en Web Console. Los usuarios nativos tienen sus propios permisos, mientras que los usuarios de dominio tienen los permisos de su grupo de seguridad asignado. Cada conjunto de permisos tiene su dominio de aplicación (grupos estáticos). Los permisos seleccionados en la sección Funcionalidad se aplicarán a los objetos de los grupos configurados en la sección Grupos estáticos para cada usuario que tenga asignado dicho conjunto de permisos. Tener acceso a un grupo estático determinado significa tener acceso a todos sus subgrupos. Configurando adecuadamente los grupos estáticos es posible crear sucursales independientes para los administradores locales (ver el ejemplo).

Un usuario puede tener un conjunto de permisos asignado aunque no pueda verlo. Un conjunto de permisos también es un objeto que se almacena automáticamente en el grupo principal del usuario que lo creó. Cuando se crea una cuenta de usuario, el usuario se almacena como objeto en el grupo principal del usuario que la creó. Normalmente es el administrador el que crea usuarios, por lo que se almacenan en el grupo Todo.

Los conjuntos de permisos se suman. Si asigna más conjuntos de permisos a un mismo usuario, el acceso resultante del usuario será la suma de todos los conjuntos de permisos.

Combinación de más conjuntos de permisos

El acceso definitivo que un usuario tiene para un objeto es el resultado de la combinación de todos los conjuntos de permisos que el usuario tiene asignados. Por ejemplo, un usuario cuenta con dos conjuntos de permisos: uno para el grupo doméstico con todos los permisos, y otro para un grupo con ordenadores solo con los permisos Lectura, Usar para ordenador y grupos. Este usuario puede ejecutar todas las tareas desde el grupo doméstico en ordenadores del otro grupo.

En términos generales, un usuario puede ejecutar objetos de un grupo estático sobre objetos de otro grupo estático, siempre que el usuario tenga permisos para un tipo de objeto determinado del grupo en cuestión.

access_group El botón de filtrado de Grupo de acceso permite a los usuarios seleccionar un grupo estático y filtrar los objetos vistos según el grupo en el que se encuentran.

Puede usar etiquetas para filtrar los elementos mostrados.

admin_AR_permissions

important

IMPORTANTE

Práctica recomendada para trabajar con permisos:

No otorgar acceso a la configuración del servidor a usuarios sin experiencia: solo el administrador debe tener este acceso.

Debe estudiarse la restricción del acceso a Tareas del cliente > Ejecutar comando: es una tarea muy potente que puede utilizarse mal.

Los usuarios que no sean administradores no deben tener permisos en Conjuntos de permisos, Usuarios nativos y Configuración del servidor.

Si es necesario un modelo de permisos más complicado, no dude en crear más conjuntos de permisos y asignarlos como corresponda.

Además de los permisos relativos a las funciones de ESMC, también puede asignar acceso de Lectura, Uso y Escritura a Grupos de usuarios.

Duplicación

example

Ejemplo

Para duplicar un objeto, el usuario debe tener permiso de Lectura del objeto original y permiso de Escritura en su Grupo principal para este tipo de acción.

John, cuyo grupo principal es Grupo de John, quiere duplicar Política 1 creada por Larry; por lo tanto, la política está en el grupo principal de Larry, Grupo de Larry.

1.Cree un grupo estático nuevo. Llámelo, por ejemplo, Políticas compartidas.

2.Asigne a John y a Larry permisos de Lectura de las Políticas del grupo Políticas compartidas.

3.Larry mueve Política 1 al grupo Políticas compartidas.

4.Asigne a John permisos de Escritura en Políticas en su grupo principal.

5.John ya puede Duplicar la Política 1: el duplicado aparecerá en su grupo principal.

Diferencia entre Uso y Escritura

example

Ejemplo

Si el administrador no quiere permitir que el usuario John modifique políticas en el grupo Políticas compartidas, debe crear el siguiente conjunto de permisos:

Funcionalidad Políticas: permisos de Lectura y Uso seleccionados

Grupos estáticos: Políticas compartidas

Si se asignan estos permisos a John, John podrá ejecutar esas políticas, pero no podrá modificarlas o eliminarlas, ni crear nuevas políticas. Si un administrador añade el permiso de Escritura, John podrá crear nuevas políticas, modificarlas y eliminarlas dentro del grupo estático seleccionado (Políticas compartidas).