Petite et moyenne entreprise

Sur cette page

Cet article présente un exemple de structure qui devrait être pertinent pour les petites et moyennes entreprises. Dans ce scénario, toutes les options de la section Privilèges des propriétés utilisateur seront laissées désactivées.

Bien que cet exemple puisse convenir à de nombreuses entreprises, gardez à l'esprit que tout privilège ne devrait être octroyé que si nécessaire, selon le principe de moindre privilège (PoLP). Soyez extrêmement prudent lors de l'octroi des permissions à un utilisateur ou un groupe d'utilisateurs.

Cette fonctionnalité est uniquement disponible lors de l'utilisation d'une source de données avancée.

Étapes

Notre entreprise fictive Windjammer a un HelpDesk (en bleu) et un département ServiceDesk, un administrateur et un MontrealConsultant. Nous pouvons également voir deux clients : Downhill Pro et Telemark (en rouge).

Voici une vue de la structure de l'arborescence de la source de données :

Windjammer tree view structure
Windjammer tree view structure

Configuration utilisateur

Voici un exemple de configuration utilisateur :

L'administrateur :

  • Lors de la création de l'utilisateur, sélectionnez Administrateur dans le menu déroulant pour lui donner accès à tout.

Administrator permission
Administrator permission

Le ServiceDesk :

  • Ajouter

  • Modifier

ServiceDesk rights
ServiceDesk rights

Le HelpDesk :

  • Ajouter

HelpDesk rights
HelpDesk rights

Le MontrealConsultant a un accès en lecture seule. Il ne peut voir aucun mot de passe ou détail d'entrée.

MontrealConsultant rights
MontrealConsultant rights

Configuration des groupes d'utilisateurs

Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons plus tard les permissions. Nous avons juste besoin des groupes d'utilisateurs pour leur attribuer des utilisateurs. Pas besoin de leur accorder des privilèges.

  • ServiceDesk

  • HelpDesk

  • MontrealConsultant

Configuration des entrées

Maintenant tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.

  • Le ServiceDesk aura l'autorisation de visualiser et ouvrir toutes les entrées mais pourra modifier uniquement les entrées dans les groupes/dossiers clients.

  • Le HelpDesk aura la permission de visualiser et ouvrir les entrées uniquement sur les groupes/dossiers clients et ne pourra pas les modifier.

  • Le MontréalConsultant aura la permission d'afficher et d'ouvrir les entrées sur le groupe/dossier Montréal uniquement et ne pourra ni le modifier ni ses éléments enfants.

Nous commencerons avec les groupes/dossiers de niveau racine : Downhill Pro, Telemark et Windjammer.

Pour Downhill Pro, nous allons octroyer les permissions au ServiceDesk et au HelpDesk.

Downhill Pro - Permissions
Downhill Pro - Permissions

  • Afficher : HelpDesk, ServiceDesk

  • Ajouter : ServiceDesk

  • Modifier: ServiceDesk

  • Supprimer : Puisqu'aucun utilisateur n'a le droit de suppression, nous pouvons laisser cette permission à Hérité.

Nous avons déjà un bon exemple de la flexibilité de la Sécurité de Remote Desktop Manager. Un utilisateur du ServiceDesk peut afficher et ouvrir toutes les entrées dans le dossier Downhill Pro, même l'entrée d'identifiants, mais il ne pourra jamais voir de mot de passe.

Ensuite, pour le dossier Télémark, nous octroierons des permissions au ServiceDesk, au HelpDesk et au ConsultantMontréal. C'est là que les choses se compliquent. Si nous voulons que le ConsultantMontréal puisse uniquement voir le dossier Montréal qui est un élément enfant de Télémark, nous devons octroyer au consultant la permission de voir l'ensemble du contenu de Télémark. Ensuite, nous octroierons des permissions sur les éléments enfants uniquement au groupe d'utilisateurs qui devrait avoir accès à ces éléments. Cette dernière étape refusera la permission de voir au consultant sur les éléments enfants.

Telemark - Permissions
Telemark - Permissions

  • Afficher : HelpDesk, MontréalConsultant, ServiceDesk

  • Ajouter : ServiceDesk

  • Modifier: ServiceDesk

  • Supprimer : Hérité

Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiant, nous accorderons au ServiceDesk et au HelpDesk la permission de visualiser le dossier Identifiants. De cette façon, ils pourront utiliser les entrées sans pouvoir visualiser les mots de passe.

Les permissions Ajouter et Modifier peuvent être laissées à Hérité puisque le ServiceDesk est le seul groupe d'utilisateurs ayant ces permissions dans le dossier parent.

Telemark/Credentials - Permissions
Telemark/Credentials - Permissions

  • Afficher : HelpDesk, ServiceDesk

  • Ajouter : Hérité

  • Modifier: Hérité

  • Supprimer : Hérité

Nous voulons que le ServiceDesk puisse également utiliser l'entrée d'identifiants administrateur de domaine, mais pas le HelpDesk. Pour cela, nous devons octroyer la permission Voir uniquement au ServiceDesk et changer la permission Ajouter et Modifier à Jamais. Le ServiceDesk pourra toujours modifier l'entrée d'identifiants mais ne verra jamais le mot de passe. Si vous préférez, vous pouvez définir la permission Modifier pour un utilisateur ou un groupe d'utilisateurs Administrateur afin de la refuser au ServiceDesk.

Telemark/Credentials/Admin - Permissions
Telemark/Credentials/Admin - Permissions

  • Afficher : ServiceDesk

  • Ajouter: Hérité (ServiceDesk)

  • Modifier : Hérité ou utilisateur/groupe d'utilisateurs Administrateur

  • Supprimer : Hérité

La dernière étape pour les éléments enfants de Telemark serait de définir la permission Afficher pour le ServiceDesk et le HelpDesk sur le dossier Boston et de laisser toutes les autres permissions à Hérité.

Maintenant, le ConsultantMontréal pourra voir et ouvrir les entrées uniquement dans le dossier Montréal. Chaque fois qu'un nouveau dossier est ajouté, la permission Voir doit être définie pour ServiceDesk et HelpDesk afin de masquer le nouveau dossier et son contenu au consultant.

Telemark/Boston - Permissions
Telemark/Boston - Permissions

  • Afficher : HelpDesk, ServiceDesk

  • Ajouter: Hérité (ServiceDesk)

  • Modifier : Hérité (ServiceDesk)

  • Supprimer : Hérité

Inutile de définir des permissions sur le dossier Montréal, car elles sont héritées des dossiers parents.

Telemark/Montreal - Permissions
Telemark/Montreal - Permissions

Enfin, la permission de voir le dossier Windjammer sera définie uniquement pour le ServiceDesk car nous voulons qu'ils puissent utiliser ses sous-entrées. Nous ne voulons pas qu'ils ajoutent ou modifient quoi que ce soit, nous allons donc définir les permissions Ajouter et Modifier pour l'utilisateur/groupe Administrateur.

Windjammer - Permissions
Windjammer - Permissions

En conclusion

Les permissions sont maintenant correctement définies. Notez que chaque entrée ajoutée au-dessus des groupes/dossiers de niveau racine n'aura pas de sécurité par défaut. Cela signifie qu'elles seraient disponibles pour quiconque, même le consultant. Cela peut être confirmé en regardant la capture d'écran ci-dessous dans laquelle l'entrée Routine quotidienne est disponible pour tout le monde. Voici ce que chaque utilisateur devrait voir dans l'arborescence :

Side by side tree views
Side by side tree views

Vous pouvez aller plus loin avec l'octroi de permissions en utilisant les onglets Sécurité et Pièces jointes de la section des permissions. Comme toujours, il faut faire très attention lors de l'octroi de permissions et les utilisateurs doivent avoir des privilèges très stricts.

Devolutions Forum logo Donnez-nous vos commentaires