Sady oprávnění
Sada oprávnění reprezentuje oprávnění přiřazená uživateli definující přístup k částem ESET PROTECT Web Console. Jinými slovy definují, jakou část Web Console si mohou uživatelé zobrazit, a akce, které mohou provádět. Nativní uživatelé mají přiřazenou konkrétní sadu oprávnění, zatímco oprávnění doménových uživatelů se přebírá z oprávnění, kterou má přiřazena namapovaná doménová bezpečnostní skupina. Rozsah platnosti sady oprávnění definuje statická skupina. Přístupová oprávnění (definovaná v sekci Funkce) se aplikují na objekty, které se nacházejí ve vybraných Statických skupinách a má k nim mít uživatel přístup. Přidělením přístupu ke statické skupině uživatel automaticky získá přístup také k jejím podskupinám. Díky tomuto principu jste schopni vytvořit strukturu statických skupin podle jednotlivých lokalit a lokálním administrátorům přidělit oprávnění pouze pro přístup k jejich počítačům/objektům. Více informací naleznete v samostatném příkladu.
Uživateli můžete přidělit takové oprávnění, že si jej nebude schopen zobrazit a ani neuvidí další vytvořené uživatele. Všechny objekty, které jakýkoli uživatel vytváří, se ukládají do jeho domovské skupiny. Objekt, reprezentující nového uživatele, se vytvoří v domovské skupině uživatele, který jej vytvořil. Protože uživatele zpravidla vytváří Administrator, uloží se do skupiny Všechna zařízení.
Sady oprávnění se sčítají. Pokud uživateli přiřadíte více sad oprávnění, výsledná zásada vznikne jejich sečtením.
Sloučení sad oprávnění
Výsledná zásada definující oprávnění pro přístup k objektu vznikne sloučením všech sad oprávnění přiřazených uživateli. Mějte příklad, kdy uživatel má přiřazeny dvě sady oprávnění. Jednu s úplným oprávněním do jeho domovské skupiny a druhou, v níž má pouze oprávnění pro čtení a použití u položky Skupiny a počítače. To znamená, že bude schopen nad počítači z druhé skupiny spouštět úlohy vytvořené ve své domovské skupině.
Obecně, uživatel může spouštět objekty z jedné statické skupiny nad jinou statickou skupinou, za předpokladu, že má oprávnění ke konkrétnímu typu objektu v dané skupině.
Prostřednictvím filtru Přístup skupiny si můžete vybrat konkrétní statickou skupinu a zjistit, jaké objekty vidí uživatelé, kteří jsou členem dané skupiny.
Pro filtrování zobrazených objektů můžete využít štítky.
Níže uvádíme několik důležitých tipů: •Nikdy nepřiřazujte oprávnění pro změnu nastavení ESET PROTECT serveru nezkušeným uživatelům. Pouze administrátor by měl mít možnost měnit tato nastavení. •Zamyslete se nad tím, zda všichni uživatelé potřebují přístup ke klientské úloze pro spuštění příkazu. Jedná se o velmi účinnou úlohu, ale v nesprávných rukách může být zneužita. •Uživatelé, kteří nejsou administrátoři, by neměli mít přístup k sadám oprávnění, nativním uživatelům a nastavení serveru. •Pokud potřebujete vytvořit komplexnější model oprávnění, vytvořte si více sad oprávnění a dle povahy je přidělujte. |
Oprávněním pro přístup k audit logu získá uživatel možnost zobrazit si všechny zaznamenané akce (všech uživatelů a ze všech domén auditu) – i takových, k nimž nemá daný uživatel oprávnění pro přístup. |
Při práci s oprávněními můžete uživatelům přidělit rozdílnou úroveň přístupu. K dispozici máte tyto možnosti: Čtení, Použít a Zápis.
Aplikace
Pro duplikování objektů musí mít uživatel oprávnění pro čtení originálních objektů a zápis daného typu objektu ve své domovské skupině. Filip, jehož domovskou skupinou je Filipova skupina, si chcete zkopírovat (zduplikovat) Politiku 1. Protože politiku vytvořil Petr, je umístěna v jeho domovské skupině s názvem Petrova skupina. 1.Pro dosažení je nutné: Vytvořit novou statickou skupinu, například Sdílené politiky. 2.Přiřadit oběma uživatelům (Filipovi a Petrovi) oprávnění pro čtení politik ve skupině Sdílené politiky. 3.Petr musí přesunout Politiku 1 do skupiny Sdílené politiky. 4.Uživatel Filip musí mít oprávnění pro vytvoření politik ve své domovské skupině. 5.Filip nyní v seznamu politik uvidí Politiku 1 a může si ji zduplikovat. Následně se mu zobrazí v jeho domovské skupině. |
Rozdíl mezi Použít a Zápis
Pokud nechcete, aby mohl Filip modifikovat politiky umístěné ve skupině Sdílené politiky, vytvořte pro něj sadu oprávnění, ve které v sekci: •Funkce Politiky: vyberte pouze možnost Čtení a Použít •Statické skupiny: vyberte Sdílené politiky Poté, co tuto sadu oprávnění přiřadíte Filipovi, bude schopen si sdílené politiky zobrazit a aplikovat. Nedokáže je však modifikovat ani mazat. Pokud budete chtít, aby Filip mohl vytvářet, upravovat a mazat politiky ve skupině Sdílené politiky, přiřaďte mu oprávnění pro zápis. |