Cette fonctionnalité est uniquement disponible lors de l'utilisation d'une Source de Données Avancée.
Bien que le scénario suivant concerne les petites et moyennes entreprises, il n'est pas recommandé pour une entreprise de plus grande envergure. Pour un scénario mieux adapté aux grandes entreprises, veuillez consulter le scénario Sécurité Avancée.
Notre entreprise fictive, Windjammer, a quatre groupes d'utilisateurs : HelpDesk, ServiceDesk, Administration et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.
La structure d'arborescence suivante représente les entrées auxquelles les utilisateurs ont accès une fois que toutes les permissions sont définies:
Voici un exemple de configuration utilisateur. Pour créer des utilisateurs, naviguer vers Administration – Utilisateurs – Ajouter un utilisateur.
La sélection des droits suivants est disponible lors de la configuration d'un utilisateur en tant que utilisateur restreint.
Administrateurs : les administrateurs ont beaucoup plus d'accès que les utilisateurs réguliers. Lors de la création de ces utilisateurs, définir le type d'utilisateur sur Administrateur pour leur donner accès à tout. L'administrateur peut accéder à toutes les entrées, indépendamment des permissions.
Utilisateurs réguliers (Utilisateur) : ces utilisateurs ont moins de droits que les administrateurs. Ils ont essentiellement tous les droits de base (sauf Voir Mot de Passe) mais sont susceptibles à toutes les permissions refusées. Plus tard, nous refuserons ces droits en spécifiant quels utilisateurs peuvent réellement effectuer ces actions.
Consultants : les consultants peuvent uniquement voir un sous-ensemble d'entrées, ceux-ci seront définis en tant que Lecture seule. Ils ne peuvent pas ajouter, éditer ou modifier l'information de quelque manière que ce soit.
Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons les permissions par la suite. Nous devons créer les groupes d'utilisateurs pour leur assigner des utilisateurs. Il n'est pas nécessaire d'octroyer de privilèges à ces groupes d'utilisateurs.
ServiceDesk
HelpDesk
Consultants
Maintenant, tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.
Le ServiceDesk aura la permission de voir et d'ouvrir toutes les entrées mais pourra seulement éditer les entrées dans les groupes/dossiers clients.
Le HelpDesk aura la permission de voir et d'ouvrir des entrées uniquement dans les groupes/dossiers clients et ne pourra pas les éditer.
Les Consultants auront la permission de voir et d'ouvrir des entrées uniquement dans le dossier Montréal mais ne pourront ni l'éditer ni ses éléments enfants.
Commencer au niveau des dossiers du coffre : Downhill Pro, Telemark et Windjammer.
La permission de visualiser le dossier Windjammer sera configurée uniquement pour le ServiceDesk puisque nous voulons qu'ils puissent utiliser ses sous-entrées. Nous ne voulons pas que le ServiceDesk ajoute ou édite quoi que ce soit. Nous réglerons les permissions Ajouter, Éditer et Supprimer sur Jamais. Seul l'administrateur sera capable d'ajouter ou d'éditer des entrées dans le dossier Windjammer.
Vue : Personnalisée; ServiceDesk.
Ajouter : Jamais ; Seul l'administrateur peut ajouter des entrées.
Édition : Jamais; Seul l'administrateur peut éditer les entrées.
Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
Pour Downhill Pro, nous octroierons des permissions au ServiceDesk et au HelpDesk.
Vue : Personnalisée; HelpDesk, ServiceDesk.
Ajouter : Personnalisée; ServiceDesk.
Édition : Personnalisée; ServiceDesk.
Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
On a déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Un utilisateur ServiceDesk peut voir et utiliser toutes les entrées du dossier Downhill Pro, même les entrées d'identifiant, mais il ne pourra jamais voir aucun mot de passe puisque Voir le mot de passe est refusé (depuis le dossier du coffre).
Ensuite, pour le dossier Telemark, nous octroierons des permissions au ServiceDesk, au HelpDesk et aux Consultants. C'est ici que les choses se compliquent. Si nous voulons que les Consultants puissent visualiser uniquement le dossier Montréal qui est un élément enfant de Telemark, nous devons octroyer aux consultants la permission de visualiser le contenu entier de Telemark. Ensuite, nous octroierons des permissions sur les éléments enfants uniquement au groupe d'utilisateurs qui devrait avoir accès à ces éléments. Cette dernière étape refusera la permission de visualisation pour les consultants sur les éléments enfants.
Voir : Personnalisé ; Consultants, HelpDesk, ServiceDesk.
Ajouter : Personnalisée; ServiceDesk.
Édition : Personnalisée; ServiceDesk.
Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiants, nous octroyons au ServiceDesk et au HelpDesk l'autorisation de voir le dossier des identifiants. De cette façon, le ServiceDesk et le HelpDesk pourront utiliser les entrées dans le dossier sans révéler les mots de passe. En conséquence, en spécifiant que seuls le HelpDesk et le ServiceDesk ont l'autorisation Voir, nous refusons l'accès à la vue à tout groupe d'utilisateurs ou utilisateur qui n'est pas dans la liste de l'autorisation.
Les permissions Ajouter, Éditer et Supprimer peuvent être laissées à Hérité puisqu'elles héritent les paramètres du dossier parent Telemark. Le ServiceDesk est le seul groupe d'utilisateurs à qui l'on a octroyé la permission Ajouter et Éditer dans le dossier parent et la permission Supprimer hérite du réglage Jamais.
Vue : Personnalisée; HelpDesk, ServiceDesk.
Ajouter : Hérité ; ServiceDesk hérité du dossier Telemark.
Édition : Héritée; ServiceDesk héritée du dossier Telemark.
Supprimer : Héritée; Jamais hérité du dossier Telemark.
Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.
Nous voulons que le ServiceDesk puisse utiliser l'entrée identifiant Domain Admin aussi mais pas le HelpDesk. Pour cela, nous devons octroyer la permission Visualiser au ServiceDesk. Le ServiceDesk sera néanmoins capable d'éditer l'entrée identifiant mais ne verra jamais le mot de passe. La permission de suppression est réglée sur Jamais.
La dernière étape pour les éléments enfants de Telemark est de configurer la permission Visualiser pour le ServiceDesk et le HelpDesk sur le dossier Boston et laisser toutes les autres permissions de ce dossier à Hérité. Cela empêche les Consultants de visualiser le dossier Boston. Maintenant, les Consultants pourront visualiser et ouvrir des entrées uniquement dans le dossier Montréal.
Chaque fois qu'un nouveau dossier est ajouté, la permission de Visionner doit être définie pour ServiceDesk et HelpDesk pour cacher le nouveau dossier et son contenu aux Consultants.
Pas besoin de définir de permissions sur le dossier Montréal, puisqu'elles sont héritées des dossiers parents.
Les permissions sont maintenant correctement configurées. Notez que chaque entrée ajoutée au niveau du coffre n'aura aucune sécurité par défaut. Cela signifie qu'elles seraient disponibles pour n'importe qui, même les consultants. Cela peut être confirmé en regardant la capture d'écran ci-dessous dans laquelle l'entrée Routine quotidienne est disponible pour tout le monde. Voici ce que chaque utilisateur devrait voir dans l'arborescence:
Personnaliser davantage vos autorisations en utilisant l'onglet Paramètres de sécurité lors de l'édition des entrées, ou l'onglet Journaux pour ajouter plus de traces de passages. Comme toujours, accorder des permissions avec grande précaution.