Conjuntos de permisos
Un conjunto de permisos representa los permisos de los usuarios que acceden a ESET PROTECT Web Console. Estos permisos definen lo que pueden hacer o ver los usuarios en Web Console. Cada conjunto de permisos tiene su dominio de aplicación (grupos estáticos). Los permisos seleccionados en la sección Funcionalidad se aplicarán a los objetos de los grupos configurados en la sección Grupos estáticos para cada usuario que tenga asignado dicho conjunto de permisos. Tener acceso a un grupo estático determinado significa tener acceso a todos sus subgrupos. Configurando adecuadamente los grupos estáticos es posible crear sucursales independientes para los administradores locales (ver el ejemplo).
Un usuario puede tener un conjunto de permisos asignado aunque no pueda verlo. Un conjunto de permisos también es un objeto que se almacena automáticamente en el grupo principal del usuario que lo creó. Cuando se crea una cuenta de usuario, el usuario se almacena como objeto en el grupo principal del usuario que la creó. Normalmente es el administrador el que crea usuarios, por lo que se almacenan en el grupo Todo.
Los conjuntos de permisos se suman. Si asigna más conjuntos de permisos a un mismo usuario, el acceso resultante del usuario será la suma de todos los conjuntos de permisos.
Combinación de más conjuntos de permisos
El acceso definitivo que un usuario tiene para un objeto es el resultado de la combinación de todos los conjuntos de permisos que el usuario tiene asignados. Por ejemplo, un usuario cuenta con dos conjuntos de permisos: uno para el grupo doméstico con todos los permisos, y otro para un grupo con ordenadores solo con los permisos Lectura, Usar para ordenador y grupos. Este usuario puede ejecutar todas las tareas desde el grupo doméstico en ordenadores del otro grupo.
En términos generales, un usuario puede ejecutar objetos de un grupo estático sobre objetos de otro grupo estático, siempre que el usuario tenga permisos para un tipo de objeto determinado del grupo en cuestión.
El botón de filtrado de Grupo de acceso permite a los usuarios seleccionar un grupo estático y filtrar los objetos vistos según el grupo en el que se encuentran.
Puede usar etiquetas para filtrar los elementos mostrados.
Práctica recomendada para trabajar con permisos: •Debe estudiarse la restricción del acceso a Tareas del cliente > Ejecutar comando: es una tarea muy potente que puede utilizarse mal. •Los usuarios que no sean administradores no deben tener permisos en Conjuntos de permisos y Cuentas asignadas. •Si es necesario un modelo de permisos más complicado, no dude en crear más conjuntos de permisos y asignarlos como corresponda. |
Con el permiso Registro de auditoría, el usuario puede ver las acciones registradas del resto de usuarios y dominios, incluso las relacionadas con los activos que el usuario no tiene permisos suficientes para ver. |
Además de los permisos relativos a las funciones de ESET PROTECT, también puede asignar acceso de Lectura, Uso y Escritura a Grupos de usuarios.
Duplicación
Para duplicar un objeto, el usuario debe tener permiso de Lectura del objeto original y permiso de Escritura en su Grupo principal para este tipo de acción. John, cuyo grupo principal es Grupo de John, quiere duplicar Política 1 creada por Larry; por lo tanto, la política está en el grupo principal de Larry, Grupo de Larry. 1.Cree un grupo estático nuevo. Llámelo, por ejemplo, Políticas compartidas. 2.Asigne a John y a Larry permisos de Lectura de las Políticas del grupo Políticas compartidas. 3.Larry mueve Política 1 al grupo Políticas compartidas. 4.Asigne a John permisos de Escritura en Políticas en su grupo principal. 5.John ya puede Duplicar la Política 1: el duplicado aparecerá en su grupo principal. |
Diferencia entre Uso y Escritura
Si el administrador no quiere permitir que el usuario John modifique políticas en el grupo Políticas compartidas, debe crear el siguiente conjunto de permisos: •Funcionalidad Políticas: permisos de Lectura y Uso seleccionados •Grupos estáticos: Políticas compartidas Si se asignan estos permisos a John, John podrá ejecutar esas políticas, pero no podrá modificarlas o eliminarlas, ni crear nuevas políticas. Si un administrador añade el permiso de Escritura, John podrá crear nuevas políticas, modificarlas y eliminarlas dentro del grupo estático seleccionado (Políticas compartidas). |