Sécurité avancée

Bien que cet exemple corresponde aux grandes entreprises, veuillez garder à l'esprit que tout privilège ne doit être octroyé que si nécessaire. Soyez prudent lorsque vous octroyez des permissions à un utilisateur ou un groupe d'utilisateurs. Notre entreprise fictive, Windjammer, a trois groupes d'utilisateurs : HelpDesk, ServiceDesk et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.

La structure d'arborescence suivante représente les entrées auxquelles les utilisateurs ont accès une fois que toutes les permissions sont définies :

Configuration Utilisateur

Voici un exemple de configuration d'utilisateur. Pour créer des utilisateurs, naviguer vers Administration – Utilisateurs – Ajouter un utilisateur.

Ici, nous sélectionnons le type d'utilisateur pour lui donner les droits les plus basiques (Ajouter, Modifier, et Supprimer).

Les utilisateurs du ServiceDesk sont des utilisateurs restreints. Ils ont les droits Ajouter et Modifier. Cependant, ils ne peuvent pas ajouter d'entrées dans le dossier du coffre.

Les utilisateurs du HelpDesk sont également des Utilisateurs restreints. Ils ont uniquement le droit Ajouter. Cependant, ils ne peuvent pas ajouter d'entrées dans le dossier du coffre.

Consultants sont des Utilisateurs en Lecture Seule et ne peuvent voir qu'un sous-ensemble d'entrées. Ils ne peuvent ni ajouter ni modifier quoi que ce soit.

Configuration des Groupes d'Utilisateurs

Maintenant que les utilisateurs sont créés, nous allons ajouter les groupes d'utilisateurs auxquels nous octroyons plus tard les permissions. Nous devons créer les groupes d'utilisateurs et assigner l'utilisateur respectif à chaque groupe d'utilisateurs. Il n'est pas nécessaire d'octroyer des privilèges à ces groupes d'utilisateurs puisqu'il s'agit principalement de coquilles vides utilisées pour regrouper plusieurs utilisateurs. Cela permet de contrôler plusieurs utilisateurs à la fois au lieu d'octroyer des permissions à chaque utilisateur, un à la fois.

• ServiceDesk
• Service d'assistance technique
• Consultants

Pour ajouter un groupe d'utilisateurs, cliquer sur le bouton Ajouter un groupe d'utilisateurs, entrer un nom pour le groupe d'utilisateurs, et cliquer sur Ok.

Pour attribuer des utilisateurs à un groupe d'utilisateurs, sélectionnez un groupe d'utilisateurs et cliquez sur le bouton Assigner les groupes d'utilisateurs. Utilisez les cases Est membre pour ajouter des utilisateurs au groupe d'utilisateurs.

Configuration de l'entrée

Désormais, tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.

• Toutes les permissions des dossiers du coffre sont définies sur Jamais. Par héritage, cela refuse l'accès par défaut aux éléments enfants pour tout le monde.
• Le ServiceDesk a la permission de voir et ouvrir toutes les entrées mais peut modifier seulement les entrées dans les groupes/dossiers du client.
• Le HelpDesk a la permission de voir et d'ouvrir les entrées dans les groupes/dossiers du client uniquement et ne peut pas les modifier.
• Les Consultants ont la permission de voir et d'ouvrir les entrées dans le dossier de Montréal uniquement mais ne peuvent pas le modifier ni ses éléments enfants.

Paramètres du coffre Comme mentionné ci-dessus, TOUTES les permissions des dossiers de paramètres du coffre sont définies sur Jamais. Cela empêche l'accès par défaut aux autres utilisateurs.

Windjammer Downhill Pro, et Telemark, les groupes/dossiers de niveau de coffre La permission de voir le dossier Windjammer est réglée uniquement pour le ServiceDesk puisque nous voulons qu'ils puissent utiliser les entrées enfants. Nous ne voulons pas que le ServiceDesk ajoute, modifie ou supprime quoi que ce soit. Nous laissons les permissions Ajouter, Modifier, et Supprimer à Hérité pour que seuls les administrateurs puissent effectuer ces actions sur le dossier Windjammer et ses éléments enfants.

• Voir : Personnalisé ; ServiceDesk.
• Ajouter : Hérité; Jamais hérité du coffre. Seul l'administrateur peut ajouter des entrées.
• Modifier : Hérité; Jamais hérité du coffre. Seul l'administrateur peut modifier des entrées.
• Supprimer : Hérité ; Jamais hérité du coffre. Seul l'administrateur peut supprimer les entrées.
• Déplacer : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
• Voir les informations sensibles : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
• Connecter (Exécuter) : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent connecter (exécuter).

Pour Downhill Pro, nous octroyons des permissions au ServiceDesk et au HelpDesk.

• Voir : Personnalisé ; HelpDesk, ServiceDesk.
• Ajouter : Personnalisé ; ServiceDesk.
• Modifier : Personnalisé ; ServiceDesk.
• Supprimer : Hérité ; Jamais hérité du coffre. Seul l'administrateur peut supprimer les entrées.
• Déplacer : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.

Nous avons déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Les utilisateurs du ServiceDesk et du HelpDesk peuvent voir et utiliser toutes les entrées du dossier Downhill Pro, même les entrées d'identifiants, mais ils ne verront jamais aucun mot de passe puisque les utilisateurs du ServiceDesk et du HelpDesk n'ont pas le privilège de révéler les mots de passe.

Ensuite, pour le dossier Telemark, nous octroyons des permissions au ServiceDesk, au HelpDesk et aux Consultants. C'est ici que les choses deviennent complexes. Si nous voulons que les Consultants puissent voir uniquement le dossier Montréal, qui est un élément enfant de Telemark, nous devons octroyer aux Consultants la permission de voir le dossier parent, donc tout le contenu de Telemark. Ensuite, nous octroyerons des permissions sur les éléments enfants uniquement au groupe d'utilisateurs qui devrait avoir accès à ces éléments. Cette dernière étape refusera la permission de visionner pour les Consultants sur les éléments enfants.

• Voir : Personnaliser; Consultants, Service d'assistance technique, ServiceDesk.
• Ajouter : Personnalisé ; ServiceDesk.
• Modifier : Personnalisé ; ServiceDesk.
• Supprimer : Hérité ; Jamais hérité du coffre. Seul l'administrateur peut supprimer les entrées.
• Déplacer : Hérité; Jamais hérité du coffre. Seul l'administrateur peut déplacer des entrées.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
• Voir les informations sensibles : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Éléments enfants de Telemark Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiants, nous octroyons au ServiceDesk et au HelpDesk la permission de voir le dossier des identifiants. Par conséquent, le ServiceDesk et le HelpDesk peuvent utiliser les entrées dans le dossier sans révéler les mots de passe. En précisant que seuls le HelpDesk et le ServiceDesk ont la permission Voir, nous refusons l'accès visuel à tout groupe d'utilisateurs ou utilisateur qui n'est pas sur la liste des permissions.

Les permissions Ajouter et Modifier sont définies sur Jamais et la permission Supprimer peut être laissée à Hérité car elle hérite des réglages Jamais du coffre. Seuls les administrateurs peuvent effectuer ces actions dans les groupes/dossiers contenant des identifiants.

• Voir : Personnalisé ; HelpDesk, ServiceDesk.
• Ajouter : Jamais ; Seuls les administrateurs peuvent ajouter des entrées d'identifiants.
• Modifier : Jamais; Seuls les administrateurs peuvent modifier des entrées.
• Supprimer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent supprimer les entrées.
• Déplacer : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
• Voir les informations sensibles : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
• Connecter (Exécuter) : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent connecter (exécuter).

Nous voulons que le ServiceDesk puisse utiliser l'entrée d'identifiants Admin du domaine, mais pas le HelpDesk. Pour cela, nous devons octroyer la permission Voir au ServiceDesk. Le ServiceDesk peut toujours utiliser l'entrée d'identifiants mais ne verra jamais le mot de passe.

• Voir : Personnalisé ; ServiceDesk.
• Ajouter : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent ajouter des entrées d'identifiants.
• Modifier : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent modifier les entrées d'identifiants.
• Supprimer : Hérité ; Jamais hérité de Telemark\Credentials. Seuls les administrateurs peuvent supprimer les entrées d'identifiants.
• Déplacer : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
• Voir les informations sensibles : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
• Connecter (Exécuter) : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent connecter (exécuter).

La dernière étape pour les éléments enfants de Telemark est de définir la permission Voir pour le ServiceDesk et le HelpDesk sur le dossier Boston et de laisser toutes les autres permissions de ce dossier à Hérité. Cela empêche les Consultants de voir le dossier Boston. Désormais, les Consultants peuvent voir et ouvrir des entrées uniquement dans le dossier Montréal.

• Voir : Personnalisé ; HelpDesk, ServiceDesk.
• Ajouter : Hérité; ServiceDesk hérité de Telemark.
• Modifier : Hérité ; ServiceDesk hérité de Telemark.
• Supprimer : Hérité ; Jamais hérité du coffre.
• Voir le mot de passe : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
• Voir les informations sensibles : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Il n'est pas nécessaire de définir des permissions sur le dossier Montréal, car elles héritent toutes des valeurs des dossiers parents.

En Conclusion

Les permissions sont maintenant correctement définies. Notez que chaque entrée ajoutée au niveau du coffre hérite également du coffre. Cela signifie qu'elles seraient disponibles uniquement pour les administrateurs, sauf si leurs permissions étaient modifiées. Cela peut être confirmé en regardant la capture d'écran ci-dessous, dans laquelle l'entrée Routine quotidienne est disponible pour tout le monde (ses permissions ont été modifiées pour Tout le monde). Voici ce que chaque utilisateur devrait voir dans l'arborescence :

Il peut être encore plus personnalisé les permissions en utilisant la section Paramètres de sécurité lors de la modification des entrées. Comme toujours, il faut prendre grand soin lors de l'octroi des permissions.