Berechtigungssätze
Ein Berechtigungssatz definiert die Berechtigungen eines Benutzers für den Zugriff auf die ESET PROTECT-Web-Konsole. Sie legen fest, was der Benutzer in der Web-Konsole anzeigen bzw. welche Aktionen er ausführen kann. Systembenutzer verfügen über eigene Berechtigungen. Domänenbenutzer haben die Berechtigungen ihrer zugeordneten Sicherheitsgruppe. Jeder Berechtigungssatz hat einen eigenen Anwendungsbereich (statische Gruppen). Die im Bereich Funktion ausgewählten Berechtigungen gelten für Objekte in den Gruppen, die im Bereich Statische Gruppen für alle Benutzer festgelegt sind, die zu diesem Berechtigungssatz zugewiesen sind. Der Zugriff auf eine bestimmte statische Gruppe umfasst automatisch auch den Zugriff auf alle Untergruppen. Mit den richtigen Einstellungen für statische Gruppen können Sie separate Verzweigungen für lokale Administratoren erstellen (siehe Beispiel).
Sie können Berechtigungssätze zu Benutzern zuweisen, ohne dass die Benutzer diese sehen können. Ein Berechtigungssatz ist ebenfalls ein Objekt und wird automatisch in der Stammgruppe des Benutzers gespeichert, der ihn erstellt hat. Wenn Sie ein Benutzerkonto erstellen, wird der Benutzer als Objekt in der Stammgruppe des erstellenden Benutzers gespeichert. Benutzer werden normalerweise von Administratoren erstellt und daher in der Gruppe Alle gespeichert.
Berechtigungssätze werden additiv angewendet. Wenn Sie einem Benutzer mehrere Berechtigungssätze zuweisen, dann ergibt sich der Zugriff des Benutzers aus der Summe dieser Berechtigungssätze.
Kombinieren mehrerer Berechtigungssätze
Der tatsächliche Zugriff eines Benutzers auf ein Objekt ergibt sich aus der Kombination sämtlicher Berechtigungssätze, die dem Benutzer zugewiesen wurden. Beispiel: Ein Benutzer hat zwei Berechtigungssätze, einen für die Stammgruppe mit vollen Berechtigungen und einen für eine Gruppe von Computern mit Berechtigungen zum Lesen und Verwenden für Computer und Gruppen. Dieser Benutzer kann alle Tasks aus der Stammgruppe auf Computern in der anderen Gruppe ausführen.
Normalerweise kann ein Benutzer Objekte aus einer statischen Gruppe auf Objekte in einer anderen statischen Gruppe ausführen, wenn der Benutzer Berechtigungen für einen bestimmten Objekttyp in der entsprechenden Gruppe hat.
Mit der Filterschaltfläche für Zugriffsgruppen können Sie eine statische Gruppe auswählen und angezeigte Objekte nach der übergeordneten Gruppe filtern.
Sie können Markierungen verwenden, um die angezeigten Elemente zu filtern.
Empfehlungen für die Arbeit mit Berechtigungen: •Erteilen Sie unerfahrenen Benutzern niemals Zugriff auf die ESET PROTECT Servereinstellungen. Dieser Zugriff sollte Administratoren vorbehalten sein. •Schränken Sie den Zugriff auf Client-Tasks > Befehl ausführen nach Möglichkeit ein. Dieser Task bietet umfangreiche Möglichkeiten und kann missbraucht werden. •Benutzer ohne Administratorzugriff sollten keine Berechtigungen für Berechtigungssätze, Systembenutzer und Servereinstellungen erhalten. •Falls Sie ein komplexeres Berechtigungsmodell brauchen, können Sie jederzeit weitere Berechtigungssätze erstellen und entsprechend zuweisen. |
Mit der Berechtigung für das Audit-Log kann der Benutzer die geloggten Aktionen aller anderen Benutzer und Domänen anzeigen, selbst für jene Geräte, für die der Benutzer keine ausreichenden Berechtigungen zur Ansicht hat. |
Nachdem Sie die Berechtigungen für die ESET PROTECT On-Prem-Funktionen festgelegt haben, können Sie auch Lese-, Verwendungs- und Schreibzugriff für Benutzergruppen erteilen.
Duplikation
Ein Benutzer benötigt Leseberechtigungen für das Ursprungsobjekt und Schreibberechtigungen in seiner Stammgruppe, um Objekte duplizieren zu können. John hat die Stammgruppe Johns Gruppe und möchte Policy 1 duplizieren, die ursprünglich von Larry erstellt wurde und sich daher in Larrys Stammgruppe Larrys Gruppe befindet. 1.Erstellen Sie eine neue statische Gruppe. Geben Sie der Gruppe beispielsweise den Namen Gemeinsame Policies. 2.Weisen Sie John und Larry mit Leseberechtigungen für Policies zur Gruppe Gemeinsame Policies zu. 3.Larry verschiebt Policy 1 in die Gruppe Gemeinsame Policies. 4.Weisen Sie John mit Schreibberechtigungen für Policies zu seiner Stammgruppe zu. 5.John kann Policy 1 jetzt duplizieren. Das Duplikat wird in seiner Stammgruppe abgelegt. |
Unterschied zwischen Verwenden und Schreiben
Wenn der Administrator nicht möchte, dass John die Policies in der Gruppe Gemeinsame Policies bearbeiten darf, kann er den folgenden Berechtigungssatz erstellen: •Funktion Policies: Lese- und Verwendungsberechtigungen ausgewählt •Statische Gruppen: Gemeinsame Policies Mit diesen Berechtigungen kann John die Policies ausführen, aber nicht bearbeiten, löschen oder neue Policies erstellen. Wenn ein Administrator die Schreibberechtigung hinzufügt, kann John Policies in der ausgewählten statischen Gruppe (Gemeinsame Policies) erstellen, bearbeiten und löschen. |