Sécurité simplifiée

Notre entreprise fictive, Windjammer, a quatre groupes d'utilisateurs : HelpDesk, ServiceDesk, Administration et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.

La structure arborescente suivante représente les entrées auxquelles les utilisateurs ont accès une fois toutes les permissions configurées : \n

Voici un exemple de configuration utilisateur. Pour créer des utilisateurs, naviguer vers Administration – Utilisateurs – Ajouter un utilisateur.

La sélection de droits suivante est disponible lors de la définition d'un utilisateur en tant que Utilisateur restreint.\n

Administrateurs : les administrateurs disposent de beaucoup plus d'accès que les utilisateurs réguliers. Lors de la création de ces utilisateurs, définir le type d'utilisateur sur Administrateur pour leur donner accès à tout. L'administrateur peut accéder à toutes les entrées, quel que soit leur permission.\n

Utilisateurs réguliers (Utilisateur) : ces utilisateurs ont moins de droits que les administrateurs. Ils ont essentiellement tous les droits de base (sauf Voir Mot de Passe) mais sont susceptibles à toutes les permissions refusées. Plus tard, nous refuserons ces droits en spécifiant quels utilisateurs peuvent réellement effectuer ces actions.

Consultants : les consultants peuvent uniquement voir un sous-ensemble d'entrées, ceux-ci seront définis en tant que Lecture seule. Ils ne peuvent pas ajouter, éditer ou modifier l'information de quelque manière que ce soit.

Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons les permissions par la suite. Nous devons créer les groupes d'utilisateurs pour leur assigner des utilisateurs. Il n'est pas nécessaire d'octroyer de privilèges à ces groupes d'utilisateurs.

• ServiceDesk

• HelpDesk

• Consultants\n

Maintenant, tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.

• Le ServiceDesk aura la permission de voir et d'ouvrir toutes les entrées mais pourra seulement éditer les entrées dans les groupes/dossiers clients.

• Le HelpDesk aura la permission de voir et d'ouvrir des entrées uniquement dans les groupes/dossiers clients et ne pourra pas les éditer.

• Les Consultants auront la permission de voir et d'ouvrir des entrées uniquement dans le dossier Montréal mais ne pourront ni l'éditer ni ses éléments enfants.

Commencer au niveau des dossiers du coffre : Downhill Pro, Telemark et Windjammer.

La permission d'afficher le dossier Windjammer sera définie uniquement pour le ServiceDesk, puisqu'on veut qu'ils puissent utiliser ses sous-entrées. On ne veut pas que le ServiceDesk ajoute ou modifie quoi que ce soit. Définir les permissions Ajouter, Modifier et Supprimer sur Jamais. Seul l'administrateur pourra ajouter ou modifier des entrées dans le dossier Windjammer.\n

• Vue : Personnalisée; ServiceDesk.

• Ajouter : Jamais ; Seul l'administrateur peut ajouter des entrées.

• Édition : Jamais; Seul l'administrateur peut éditer les entrées.

• Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.

• Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.

• Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.

• Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Pour Downhill Pro, accorder les permissions au ServiceDesk et au HelpDesk.\n

• Vue : Personnalisée; HelpDesk, ServiceDesk.

• Ajouter : Personnalisée; ServiceDesk.

• Édition : Personnalisée; ServiceDesk.

• Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.

• Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.

• Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.

• Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

On a déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Un utilisateur ServiceDesk peut voir et utiliser toutes les entrées du dossier Downhill Pro, même les entrées d'identifiant, mais il ne pourra jamais voir aucun mot de passe puisque Voir le mot de passe est refusé (depuis le dossier du coffre).

Ensuite, pour le dossier Telemark, accorder les permissions au ServiceDesk, au HelpDesk et aux Consultants. C'est ici que les choses deviennent complexes. Si vouloir que les Consultants puissent uniquement afficher le dossier Montréal, qui est un sous-élément de Telemark, accorder la permission d'afficher tout le contenu Telemark aux consultants. Ensuite, accorder les permissions sur les éléments enfants seulement au groupe d'utilisateurs devant y accéder. Cette dernière étape refuse la permission d'affichage aux consultants sur les éléments enfants.\n

• Voir : Personnalisé ; Consultants, HelpDesk, ServiceDesk.

• Ajouter : Personnalisée; ServiceDesk.

• Édition : Personnalisée; ServiceDesk.

• Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.

• Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.

• Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.

• Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiants, nous octroyons au ServiceDesk et au HelpDesk l'autorisation de voir le dossier des identifiants. De cette façon, le ServiceDesk et le HelpDesk pourront utiliser les entrées dans le dossier sans révéler les mots de passe. En conséquence, en spécifiant que seuls le HelpDesk et le ServiceDesk ont l'autorisation Voir, nous refusons l'accès à la vue à tout groupe d'utilisateurs ou utilisateur qui n'est pas dans la liste de l'autorisation.

Laisser les permissions Ajouter, Modifier et Supprimer sur Hérité puisqu'elles héritent des paramètres du dossier parent Telemark. Le ServiceDesk est le seul groupe d'utilisateurs à qui accorder la permission Ajouter et Modifier sur le dossier parent et la permission Supprimer hérite du paramètre Jamais.\n

• Vue : Personnalisée; HelpDesk, ServiceDesk.

• Ajouter : Hérité ; ServiceDesk hérité du dossier Telemark.

• Édition : Héritée; ServiceDesk héritée du dossier Telemark.

• Supprimer : Héritée; Jamais hérité du dossier Telemark.

• Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.

• Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.

• Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Vouloir aussi que le ServiceDesk puisse utiliser l'entrée d'identifiants Domain Admin, mais pas le HelpDesk. Pour ceci, il faut accorder la permission Afficher au ServiceDesk. Le ServiceDesk pourra toujours modifier l'entrée d'identifiants mais ne verra jamais le mot de passe. La permission de suppression est définie sur Jamais.\n

La dernière étape pour les éléments enfants de Telemark consiste à définir la permission Afficher au ServiceDesk et au HelpDesk sur le dossier Boston et à laisser toutes les autres permissions de ce dossier sur Hérité. Cela refuse aux Consultants la permission d'afficher le dossier Boston. Désormais, les Consultants pourront uniquement voir et ouvrir les entrées du dossier Montréal.\n

Aucune nécessité de définir des permissions sur le dossier Montréal, car elles sont héritées des dossiers parents.\n

Les permissions sont désormais correctement définies. Noter que chaque entrée ajoutée au niveau du coffre n'aura aucune sécurité par défaut. Cela signifie qu'elles seront disponibles à tous, même aux consultants. Ceci peut être confirmé en regardant la capture d'écran ci-dessous où l'entrée Routine quotidienne est disponible à tout le monde. Voici ce que chaque utilisateur devrait voir dans l'arborescence : \n

Personnaliser davantage vos autorisations en utilisant l'onglet Paramètres de sécurité lors de l'édition des entrées, ou l'onglet Journaux pour ajouter plus de traces de passages. Comme toujours, accorder des permissions avec grande précaution.