Petite et moyenne entreprise

Sur cette page

Nous allons vous donner ici un exemple de structure de sécurité qui devrait être pertinent pour les petites et moyennes entreprises.

Dans ce scénario, toutes les options de la section Privilèges des propriétés de l'utilisateur seront laissées désactivées.

Bien que cet exemple puisse convenir à de nombreuses entreprises, gardez à l'esprit que tout privilège ne doit être accordé que si nécessaire. Soyez extrêmement prudent lors de l'octroi de permissions à un utilisateur ou un groupe d'utilisateurs.

Cette fonctionnalité est uniquement disponible lors de l'utilisation d'une source de données avancée.

Étapes

Notre entreprise fictive Windjammer a un HelpDesk (en bleu) et un département ServiceDesk, un administrateur et un MontrealConsultant. Nous pouvons également voir deux clients : Downhill Pro et Telemark (en rouge).

Voici une vue de la structure de l'arborescence de la source de données:

Windjammer tree view structure
Windjammer tree view structure

Configurations Utilisateurs

Voici un exemple de configurations d'utilisateur.

L'administrateur :

  • Lors de la création de l'utilisateur, sélectionner l'Administrateur dans le menu déroulant pour lui donner accès à tout.
    Administrator Permission
    Permission de l'Administrateur

Le ServiceDesk :

  • Ajouter
  • Modifier
    ServiceDesk Rights
    Droits du ServiceDesk

Le HelpDesk :

  • Ajouter
    HelpDesk Rights
    Droits du HelpDesk

Le MontrealConsultant a un accès en lecture seule. Il ne peut voir aucun mot de passe ou détail d'entrée.

MontrealConsultant Rights
MontrealConsultant Rights

Configuration des Groupes d'Utilisateurs

Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons plus tard les permissions. Nous avons juste besoin des groupes d'utilisateurs pour leur attribuer des utilisateurs. Pas besoin de leur accorder des privilèges.

  • ServiceDesk
  • HelpDesk
  • MontrealConsultant

Configuration des Entrées

Maintenant tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.

  • Le ServiceDesk aura l'autorisation de visualiser et ouvrir toutes les entrées mais pourra modifier uniquement les entrées dans les groupes/dossiers clients.
  • Le HelpDesk aura la permission de visualiser et ouvrir les entrées uniquement sur les groupes/dossiers clients et ne pourra pas les modifier.
  • Le MontréalConsultant aura la permission d'afficher et d'ouvrir les entrées sur le groupe/dossier Montréal uniquement et ne pourra ni le modifier ni ses éléments enfants.

Nous commencerons avec les groupes/dossiers de niveau racine : Downhill Pro, Telemark et Windjammer.

Pour Downhill Pro, nous accorderons des permissions au ServiceDesk et au HelpDesk.

Downhill Pro - Permissions
Downhill Pro - Permissions

  • Afficher : HelpDesk, ServiceDesk
  • Ajouter : ServiceDesk
  • Modifier: ServiceDesk
  • Supprimer : Puisqu'aucun utilisateur n'a le droit de suppression, nous pouvons laisser cette permission à Hérité.

Nous avons déjà un bon exemple de la flexibilité de la Sécurité de Remote Desktop Manager. Un utilisateur du ServiceDesk peut afficher et ouvrir toutes les entrées dans le dossier Downhill Pro, même l'entrée d'identifiants, mais il ne pourra jamais voir de mot de passe.

Ensuite, pour le dossier Telemark, nous accorderons les permissions au ServiceDesk, au HelpDesk et au MontrealConsultant. C'est là que les choses se compliquent. Si nous voulons que MontrealConsultant puisse voir uniquement le dossier Montréal qui est un élément enfant de Telemark, nous devons accorder au consultant la permission de voir tout le contenu de Telemark. Ensuite, nous accorderons des permissions sur les éléments enfants uniquement au groupe d'utilisateurs qui doit avoir accès à ces éléments. Cette dernière étape refusera la permission de visualiser les éléments enfants au consultant.

Telemark - Permissions
Telemark - Permissions

  • Afficher : HelpDesk, MontréalConsultant, ServiceDesk
  • Ajouter : ServiceDesk
  • Modifier: ServiceDesk
  • Supprimer : Hérité

Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiant, nous accorderons au ServiceDesk et au HelpDesk la permission de visualiser le dossier Identifiants. De cette façon, ils pourront utiliser les entrées sans pouvoir visualiser les mots de passe.

Les permissions Ajouter et Modifier peuvent être laissées sur Hérité car le ServiceDesk est le seul groupe d'utilisateurs qui a reçu ces permissions dans le dossier parent.

Telemark/Credentials - Permissions
Telemark/Credentials - Permissions

  • Afficher : HelpDesk, ServiceDesk
  • Ajouter : Hérité
  • Modifier: Hérité
  • Supprimer : Hérité

Nous voulons que le ServiceDesk puisse utiliser l'entrée d'identifiant Admin de Domaine également, mais pas le HelpDesk. Pour cela, nous devons accorder la permission Afficher uniquement au ServiceDesk et changer la permission Ajouter et Modifier pour Jamais. Le ServiceDesk pourra toujours modifier l'entrée d'identifiant mais ne verra jamais le mot de passe. Si vous préférez, vous pouvez définir la permission Modifier pour un utilisateur Administrateur ou un groupe d'utilisateurs pour la refuser au ServiceDesk.

Telemark/Credentials/Admin - Permissions
Telemark/Credentials/Admin - Permissions

  • Afficher : ServiceDesk
  • Ajouter: Hérité (ServiceDesk)
  • Modifier : Hérité ou utilisateur/groupe d'utilisateurs Administrateur
  • Supprimer : Hérité

La dernière étape pour les éléments enfants de Telemark serait de définir la permission Afficher pour le ServiceDesk et le HelpDesk sur le dossier Boston et de laisser toutes les autres permissions à Hérité.

Maintenant, le MontrealConsultant pourra voir et ouvrir des entrées uniquement dans le dossier Montréal. Chaque fois qu'un nouveau dossier est ajouté, la permission Afficher doit être définie pour le ServiceDesk et le HelpDesk pour masquer le nouveau dossier et son contenu au consultant.

Telemark/Boston - Permissions
Telemark/Boston - Permissions

  • Afficher : HelpDesk, ServiceDesk
  • Ajouter: Hérité (ServiceDesk)
  • Modifier : Hérité (ServiceDesk)
  • Supprimer : Hérité

Pas besoin de définir de permissions sur le dossier Montréal, puisqu'elles sont héritées des dossiers parents.

Telemark/Montreal - Permissions
Telemark/Montreal - Permissions

Enfin, la permission de voir le dossier Windjammer sera définie uniquement pour le ServiceDesk puisque nous voulons qu'ils puissent utiliser ses sous-entrées. Nous ne voulons pas qu'ils ajoutent ou modifient quoi que ce soit, nous définirons donc les permissions Ajouter et Modifier pour l'utilisateur/groupe d'utilisateurs Administrateur.

Windjammer - Permissions
Windjammer - Permissions

En Conclusion

Les permissions sont maintenant correctement configurées. Notez que chaque entrée ajoutée au-dessus des groupes/dossiers de niveau racine n'aura aucune sécurité par défaut. Cela signifie qu'elles seraient disponibles pour tout le monde, y compris le consultant. Cela peut être confirmé en regardant la capture d'écran ci-dessous où l'entrée

Side by side tree views
Side by side tree views

Vous pouvez aller plus loin avec l'octroi de permissions en utilisant les onglets Sécurité et Pièces jointes de la section des permissions. Comme toujours, il faut faire très attention lors de l'octroi de permissions et les utilisateurs doivent avoir des privilèges très stricts.

Devolutions Forum logo Donnez-nous vos commentaires