Jeux d’autorisations

Un ensemble d'autorisations représente les autorisations des utilisateurs qui ont accès à la console Web de ESMC. Il définit les tâches que l'utilisateur peut effectuer ou les informations qu'il peut afficher dans la console Web. Les utilisateurs natifs possèdent leurs propres autorisations, tandis que les utilisateurs du domaine disposent des autorisations de leur groupe de sécurité mappé. Chaque jeu d'autorisations possède son domaine d'application (groupes statiques). Les autorisations sélectionnées dans la section Fonctionnalités s'appliquent aux objets dans les groupes définis de la section Groupes statiques de chaque utilisateur à qui cet ensemble d'autorisations est attribué. L'accès à un groupe statique donné donne automatiquement accès à tous ses sous-groupes. Lorsque les groupes statiques sont bien définis, il est possible de créer des filiales distinctes pour les administrateurs locaux (voir l'exemple).

Un utilisateur peut se voir attribuer un jeu d'autorisations sans qu'il soit en mesure de l'afficher. Un jeu d'autorisations est également un objet qui est automatiquement stocké dans le groupe résidentiel de l'utilisateur qui l'a créé. Lorsqu'un compte d'utilisateur est créé, l'utilisateur est stocké en tant qu'objet dans le groupe résidentiel de l'utilisateur créateur. En règle générale, comme l'administrateur crée les utilisateurs, ces derniers sont stockés dans le groupe Tous.

Les ensembles d'autorisations sont additifs. Si vous attribuez des ensembles d'autorisations à un utilisateur, les droits d'accès de cet utilisateur seront définis par la somme des ensembles d'autorisations.

Combinaison de plusieurs ensembles d'autorisations

L'accès final à un objet que l'utilisateur possède est le résultat de la combinaison de tous les ensembles d'autorisations attribués à cet utilisateur. Par exemple, un utilisateur dispose de deux ensembles d'autorisations, un pour le groupe d'accueil avec des autorisations complètes et un autre pour un groupe avec des ordinateurs, uniquement avec les autorisations Lecture, Utilisation pour Ordinateurs et groupes. Cet utilisateur peut exécuter toutes les tâches du groupe d'accueil sur les ordinateurs de l'autre groupe.

En général, un utilisateur peut exécuter des objets d'un groupe statique sur des objets d'un autre groupe statique, s'il dispose des autorisations nécessaires pour certains types d'objet appartenant à certains groupes.

access_group Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient.

Vous pouvez utiliser les balises pour filtrer les éléments affichés.

admin_AR_permissions

important

IMPORTANT

Bonne pratique relative à l'utilisation des autorisations :

N'autorisez jamais les utilisateurs inexpérimentés à accéder aux paramètres du serveur. Seul un administrateur peut être autorisé à y accéder.

Envisagez de limiter l'accès à Tâches client > Exécuter une commande. Il s'agit d'une tâche très puissante qui peut être utilisée à mauvais escient.

Les utilisateurs qui ne sont pas administrateurs ne doivent pas disposer d'autorisations pour Jeux d'autorisations, Utilisateurs natifs et Paramètres du serveur.

Si un modèle plus complexe d'autorisations est nécessaire, n'hésitez pas à créer d'autres ensembles d'autorisations et à les attribuer en conséquence.

Après les autorisations sur la fonctionnalité ESMC, il est possible d'accorder les accès en Lecture, en Utilisation, en Écriture aux groupes d'utilisateurs.

Duplication

example

Exemple

Pour une duplication d'objet, l'utilisateur doit avoir l'autorisation de lecture sur l'objet original et l'autorisation d'écriture dans son groupe d'accueil pour cette action.

John, dont le groupe résidentiel est Groupe de John, souhaite dupliquer la Politique 1 qui a été créée à l'origine par Larry et qui est automatiquement contenue dans le groupe résidentiel de Larry, appelé Groupe de Larry.

1.Créez un groupe statique. Appelez-le Politiques partagées, par exemple.

2.Attribuez à John et à Larry l'autorisation Lire pour Politiques dans le groupe Politiques partagées.

3.Larry doit déplacer Politique 1 vers le groupe Politiques partagées.

4.Attribuez à John l'autorisation Écrire pour Politiques dans son groupe résidentiel.

5.John peut à présent dupliquer la Politique 1. Le doublon apparaîtra dans son groupe résidentiel.

Différence entre l'utilisation et l'écriture

example

Exemple

Si l'administrateur ne veut pas autoriser l'utilisateur Jean à modifier les politiques du groupe Politiques partagées, il devra créer un ensemble d'autorisations avec :

Fonctionnalité Politiques : Autorisations de lecture et d'utilisation sélectionnées

Groupes statiques : Politiques partagées

Avec ces autorisations, Jean peut exécuter ces politiques, mais il ne peut pas les modifier, en créer de nouvelles ou les supprimer. Si un administrateur ajoute l'autorisation Écrire, John peut créer, modifier et supprimer les politiques au sein du groupe statique sélectionné (Politiques partagées).