Sady oprávnění
Sada oprávnění jsou oprávnění přiřazená uživateli, který přistupuje k webové konzoli ESET PROTECT. Určují, jakou část webové konzole mohou uživatelé zobrazit a jaké akce mohou provádět. Rozsah platnosti sady oprávnění definuje statická skupina. Přístupová oprávnění (definovaná v sekci Funkce) se aplikují na objekty, které se nacházejí ve vybraných Statických skupinách a má k nim mít uživatel přístup. Přidělením přístupu ke statické skupině uživatel automaticky získá přístup také k jejím podskupinám. Při správném nastavení statických skupin můžete vytvořit oddělené větve pro lokální administrátory (viz příklad).
Uživateli můžete přidělit takové oprávnění, že si jej nebude schopen zobrazit a ani neuvidí další vytvořené uživatele. Všechny objekty, které jakýkoli uživatel vytváří, se ukládají do jeho domovské skupiny. Objekt, reprezentující nového uživatele, se vytvoří v domovské skupině uživatele, který jej vytvořil. Protože uživatele zpravidla vytváří Administrator, uloží se do skupiny Všechna zařízení.
Sady oprávnění se sčítají. Pokud uživateli přiřadíte více sad oprávnění, výsledná zásada vznikne jejich sečtením.
Sloučení sad oprávnění
Výsledná zásada definující oprávnění pro přístup k objektu vznikne sloučením všech sad oprávnění přiřazených uživateli. Mějte příklad, kdy uživatel má přiřazeny dvě sady oprávnění. Jednu s úplným oprávněním do jeho domovské skupiny a druhou, v níž má pouze oprávnění pro čtení a použití u položky Skupiny a počítače. To znamená, že bude schopen nad počítači z druhé skupiny spouštět úlohy vytvořené ve své domovské skupině.
Obecně, uživatel může spouštět objekty z jedné statické skupiny nad jinou statickou skupinou, za předpokladu, že má oprávnění ke konkrétnímu typu objektu v dané skupině.
Prostřednictvím filtru Přístup skupiny si můžete vybrat konkrétní statickou skupinu a zjistit, jaké objekty vidí uživatelé, kteří jsou členem dané skupiny.
Pro filtrování zobrazených objektů můžete využít štítky.
Níže uvádíme několik důležitých tipů: •Zamyslete se nad tím, zda všichni uživatelé potřebují přístup ke klientské úloze pro spuštění příkazu. Jedná se o velmi účinnou úlohu, ale v nesprávných rukách může být zneužita. •Uživatelé, kteří nejsou administrátoři, by neměli mít přístup k sadám oprávnění, namapovaným uživatelským účtům. •Pokud potřebujete vytvořit komplexnější model oprávnění, vytvořte si více sad oprávnění a dle povahy je přidělujte. |
Oprávněním pro přístup k audit logu získá uživatel možnost zobrazit si všechny zaznamenané akce (všech uživatelů a ze všech domén auditu) – i takových, k nimž nemá daný uživatel oprávnění pro přístup. |
Při práci s oprávněními můžete uživatelům přidělit rozdílnou úroveň přístupu. K dispozici máte tyto možnosti: Čtení, Použít a Zápis.
Aplikace
Pro duplikování objektů musí mít uživatel oprávnění pro čtení originálních objektů a zápis daného typu objektu ve své domovské skupině. Filip, jehož domovskou skupinou je Filipova skupina, si chcete zkopírovat (zduplikovat) Politiku 1. Protože politiku vytvořil Petr, je umístěna v jeho domovské skupině s názvem Petrova skupina. 1.Pro dosažení je nutné: Vytvořit novou statickou skupinu, například Sdílené politiky. 2.Přiřadit oběma uživatelům (Filipovi a Petrovi) oprávnění pro čtení politik ve skupině Sdílené politiky. 3.Petr musí přesunout Politiku 1 do skupiny Sdílené politiky. 4.Uživatel Filip musí mít oprávnění pro vytvoření politik ve své domovské skupině. 5.Filip nyní v seznamu politik uvidí Politiku 1 a může si ji zduplikovat. Následně se mu zobrazí v jeho domovské skupině. |
Rozdíl mezi Použít a Zápis
Pokud nechcete, aby mohl Filip modifikovat politiky umístěné ve skupině Sdílené politiky, vytvořte pro něj sadu oprávnění, ve které v sekci: •Funkce Politiky: vyberte pouze možnost Čtení a Použít •Statické skupiny: vyberte Sdílené politiky Poté, co tuto sadu oprávnění přiřadíte Filipovi, bude schopen si sdílené politiky zobrazit a aplikovat. Nedokáže je však modifikovat ani mazat. Pokud budete chtít, aby Filip mohl vytvářet, upravovat a mazat politiky ve skupině Sdílené politiky, přiřaďte mu oprávnění pro zápis. |