Nous allons vous donner ici un exemple de structure de sécurité qui devrait être pertinent pour les petites et moyennes entreprises.
Dans ce scénario, toutes les options de la section Privilèges des propriétés de l'utilisateur seront laissées désactivées.
Bien que cet exemple puisse convenir à de nombreuses entreprises, gardez à l'esprit que tout privilège ne doit être accordé que si nécessaire. Soyez extrêmement prudent lors de l'octroi de permissions à un utilisateur ou un groupe d'utilisateurs.
Cette fonctionnalité est uniquement disponible lors de l'utilisation d'une Source de Données Avancée.
Notre entreprise fictive Windjammer a un HelpDesk (en bleu) et un département ServiceDesk, un administrateur et un MontrealConsultant. Nous pouvons également voir deux clients : Downhill Pro et Telemark (en rouge).
Voici une vue de la structure de l'arborescence de la source de données :
Voici un exemple de configurations d'utilisateur.
L'administrateur :
Lors de la création de l'utilisateur, sélectionner Administrateur dans le menu déroulant pour lui donner accès à tout.
Le ServiceDesk :
Ajouter
Modifier
Le HelpDesk :
Ajouter
Le MontrealConsultant a un accès en lecture seule. Il ne peut voir aucun mot de passe ou détail d'entrée.
Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons plus tard les permissions. Nous avons juste besoin des groupes d'utilisateurs pour leur attribuer des utilisateurs. Pas besoin de leur accorder des privilèges.
ServiceDesk
HelpDesk
MontrealConsultant
Maintenant tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.
Le ServiceDesk aura l'autorisation de visualiser et ouvrir toutes les entrées mais pourra modifier uniquement les entrées dans les groupes/dossiers clients.
Le HelpDesk aura la permission de visualiser et ouvrir les entrées uniquement sur les groupes/dossiers clients et ne pourra pas les modifier.
Le MontréalConsultant aura la permission d'afficher et d'ouvrir les entrées sur le groupe/dossier Montréal uniquement et ne pourra ni le modifier ni ses éléments enfants.
Nous commencerons avec les groupes/dossiers de niveau racine : Downhill Pro, Telemark et Windjammer.
Pour Downhill Pro, nous octroyons des autorisations au ServiceDesk et au HelpDesk.
Afficher : HelpDesk, ServiceDesk
Ajouter : ServiceDesk
Modifier: ServiceDesk
Supprimer : Puisqu'aucun utilisateur n'a le droit de suppression, nous pouvons laisser cette permission à Hérité.
Nous avons déjà un bon exemple de la flexibilité de la Sécurité de Remote Desktop Manager. Un utilisateur du ServiceDesk peut afficher et ouvrir toutes les entrées dans le dossier Downhill Pro, même l'entrée d'identifiants, mais il ne pourra jamais voir de mot de passe.
Ensuite, pour le dossier Telemark, nous octroyons des autorisations au ServiceDesk, au HelpDesk et au MontrealConsultant. C'est ici que les choses se compliquent. Si nous voulons que le MontrealConsultant puisse voir uniquement le dossier Montréal qui est un élément enfant de Telemark, nous devons octroyer au consultant l'autorisation de voir l'intégralité du contenu de Telemark. Ensuite, nous octroyons des autorisations sur les éléments enfants uniquement au groupe d'utilisateurs qui doit avoir accès à ces éléments. Cette dernière étape refusera l'autorisation de vue pour le consultant sur les éléments enfants.
Afficher : HelpDesk, MontréalConsultant, ServiceDesk
Ajouter : ServiceDesk
Modifier: ServiceDesk
Supprimer : Hérité
Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiant, nous accorderons au ServiceDesk et au HelpDesk la permission de visualiser le dossier Identifiants. De cette façon, ils pourront utiliser les entrées sans pouvoir visualiser les mots de passe.
Les autorisations Ajouter et Modifier peuvent être laissées à Hérité car le ServiceDesk est le seul groupe d'utilisateurs auquel ces autorisations ont été octroyées dans le dossier parent.
Afficher : HelpDesk, ServiceDesk
Ajouter : Hérité
Modifier: Hérité
Supprimer : Hérité
Nous voulons que le ServiceDesk puisse utiliser l'entrée d'identifiants domaine Admin mais pas le HelpDesk. Pour cela, nous devons octroyer l'autorisation Afficher uniquement au ServiceDesk et changer l'autorisation Ajouter et Modifier à Jamais. Le ServiceDesk pourra toujours modifier l'entrée d'identifiants mais ne verra jamais le mot de passe. Si vous préférez, vous pouvez définir l'autorisation Modifier pour un utilisateur ou un groupe d'utilisateurs Administrateur pour le refuser au ServiceDesk.
Afficher : ServiceDesk
Ajouter: Hérité (ServiceDesk)
Modifier : Hérité ou utilisateur/groupe d'utilisateurs Administrateur
Supprimer : Hérité
La dernière étape pour les éléments enfants de Telemark serait de définir la permission Afficher pour le ServiceDesk et le HelpDesk sur le dossier Boston et de laisser toutes les autres permissions à Hérité.
Désormais, le MontrealConsultant pourra voir et ouvrir les entrées uniquement dans le dossier Montréal. Chaque fois qu'un nouveau dossier est ajouté, l'autorisation Afficher doit être définie pour le ServiceDesk et le HelpDesk pour cacher le nouveau dossier et son contenu au consultant.
Afficher : HelpDesk, ServiceDesk
Ajouter: Hérité (ServiceDesk)
Modifier : Hérité (ServiceDesk)
Supprimer : Hérité
Il n'est pas nécessaire de définir les autorisations sur le dossier Montréal, car elles sont héritées des dossiers parents.
Enfin, l'autorisation de voir le dossier Windjammer sera définie uniquement pour le ServiceDesk car nous voulons qu'ils puissent utiliser ses entrées enfants. Nous ne voulons pas qu'ils ajoutent ou modifient quoi que ce soit, nous allons donc définir les autorisations Ajouter et Modifier pour l'utilisateur Administrateur ou le groupe d'utilisateurs.
Les autorisations sont maintenant correctement définies. Notez que chaque entrée ajoutée au-dessus des groupes/dossiers de niveau racine n'aura aucune sécurité par défaut. Cela signifie qu'elles seront disponibles pour tout le monde, même le consultant. Cela peut être confirmé en regardant la capture d'écran ci-dessous dans laquelle l'entrée Routine quotidienne est disponible pour tous. Voici ce que chaque utilisateur devrait voir dans l'arborescence :
Vous pouvez aller plus loin avec l'octroi de permissions en utilisant les onglets Sécurité et Pièces jointes de la section des permissions. Comme toujours, il faut faire très attention lors de l'octroi de permissions et les utilisateurs doivent avoir des privilèges très stricts.
Donnez-nous vos commentaires