Sécurité

Dans la vue Sécurité, sélectionnez le bouton de navigation Sécurité pour configurer et gérer les permissions d'utilisateur et de groupe dans . Les rôles de sécurité spécifient différents niveaux d'accès. Ils vous permettent d'allouer des permissions de sécurité applicables à l'ensemble du serveur ou d'affecter des permissions de sécurité d'objet dans certaines zones de la console de gestion. Par exemple, il peut être nécessaire de verrouiller l'accès à des groupes de déploiement spécifiques pour les administrateurs dispersés au niveau géographique, afin qu'ils ne puissent gérer que leurs postes client gérés locaux, tout en étant quand même autorisés à afficher (accès Lecture seule) les autres groupes de déploiement.

Dans cette section :

Permissions de serveur

Les permissions de serveur vous permettent de définir le niveau d'accès d'utilisateurs et de groupes spécifiques, dans l'ensemble de Management Center, et de spécifier des droits pour la modification des paramètres et l'exécution d'actions.

Vous pouvez ajouter des groupes ou des utilisateurs en parcourant l'ordinateur local ou le domaine, et allouer un niveau de sécurité à partir de la liste des rôles de sécurité prédéfinis ou affecter des rôles personnalisés que vous créez.

Vous pouvez ajouter des permissions de serveur à des groupes ou des utilisateurs Active Directory.

Ajout par groupe

Sélectionnez Permissions de serveur > Groupes > Ajouter un groupe. La boîte de dialogue Sélectionner des groupes s'affiche.

Cliquez sur Parcourir et sélectionnez l'entrée voulue dans l'ordinateur local ou le domaine.

Ajout par utilisateur

Sélectionnez Permissions de serveur > Utilisateurs > Ajouter un utilisateur. La boîte de dialogue Sélectionner des utilisateurs s'affiche.

Cliquez sur Parcourir et sélectionnez l'entrée voulue dans l'ordinateur local ou le domaine.

Modification des rôles affectés

Pour modifier les rôles affectés aux groupes ou aux utilisateurs, sélectionnez Permissions de serveur > Groupes ou utilisateurs > Modifier les rôles. La boîte de dialogue Rôles de sécurité globale s'affiche.

La boîte de dialogue Rôles de sécurité globale contient la liste des rôles de serveur par défaut, avec tous les autres

rôles de serveur créés.

Sélectionnez Autoriser pour affecter un rôle au groupe ou à l'utilisateur.

Ajouter un utilisateur/Ajouter un groupe - Ouvre la boîte de dialogue Sélectionner des utilisateurs ou Sélectionner des groupes, qui permet d'ajouter des utilisateurs ou des groupes à la liste.

Modifier les rôles - Ouvre la boîte de dialogue Rôles de sécurité globale, qui permet de changer les paramètres Autoriser/Refuser dans la liste des rôles de sécurité disponibles.

Supprimer – Supprime de la liste les groupes et utilisateurs mis en surbrillance.

Permissions d'objet

Les permissions d'objet sont des droits d'accès alloués aux utilisateurs et aux groupes pour l'affichage ou la modification d'éléments, ou l'exécution d'actions dans des zones spécifiques de Management Center.Les objets incluent tous les éléments, zones ou paramètres de Management Center, notamment :

  • Groupes – Affichage et modification.
  • Paquets – Gestion des agents et des configurations.
  • Rapports – Affichage et génération de tous les rapports, ou de certains rapports spécifiques.
  • Règles d'alerte – Affichage et modification de toutes les règles d'alertes, ou de règles spécifiques.

Les permissions d'objet sont attribuées aux utilisateurs et aux groupes pour des objets spécifiques, par allocation de rôles de sécurité ou l'affectation de droits de propriété.

Propriétaire

Affiche la liste des objets et le propriétaire affecté à l'objet. Vous pouvez changer le propriétaire actuellement affecté à chaque objet.

Les objets suivants sont contrôlés :

  • Groupe – Affichage et modification.
  • Paquet – Gestion des agents et des configurations.
  • Rapport – Affichage et génération de tous les rapports, ou de certains rapports spécifiques.
  • Règle d'alerte – Affichage et modification de toutes les règles d'alertes, ou de règles spécifiques.

Vous pouvez basculer l'affichage afin de regrouper les objets par type (valeur par défaut) ou par propriétaire. Sélectionnez Regrouper par Propriétaire ou Regrouper par Type dans le volet Actions pour changer d'affichage.

Les droits de propriété sur un objet vous donnent un contrôle total et permettent de passer outre à toutes les restrictions susceptibles de s'appliquer également à l'utilisateur ou au groupe.

Pour changer le propriétaire de l'objet, mettez l'objet en surbrillance et sélectionnez Changer de propriétaire dans le volet Actions. La boîte de dialogue Formulaire de sécurité apparaît. Sélectionnez un groupe ou un utilisateur dans la liste. Sinon, pour sélectionner un groupe ou un utilisateur non répertorié, cliquez sur Ajouter pour afficher la boîte de dialogue Sélectionner des utilisateurs ou des groupes, puis entrez le nom du groupe/de l'utilisateur à désigner comme propriétaire de l'objet ou utilisez Parcourir pour le trouver.

Accès utilisateur

Affiche la liste des objets dont l'accès utilisateur a été modifié.

Vous pouvez basculer l'affichage afin de regrouper les objets par type (valeur par défaut) ou par utilisateur. Sélectionnez Regrouper par Utilisateur ou Regrouper par Type dans le volet Actions pour changer d'affichage.

Pour changer l'accès utilisateur, mettez un objet en surbrillance et sélectionnez Modifier les rôles dans le volet Actions. La boîte de dialogue Sécurité pour [nom-type-d'objet] s'affiche.

La boîte de dialogue Sécurité pour [nom-type-d'objet] contient les deux onglets suivants :

  • Permissions - Ajoutez ou supprimez des permissions de groupe ou d'utilisateur pour l'accès à l'objet. Si vous affectez des permissions à un groupe/utilisateur qui n'a aucun droit sur la zone d'objet dans la console de gestion, un message d'avertissement s'affiche.

    Cliquez sur Oui pour autoriser l'utilisateur à se connecter.

    Sélectionnez le rôle de sécurité à affecter au groupe ou à l'utilisateur pour le type d'objet.

    Les rôles de sécurité d'objet sont créés sous Sécurité > Rôles de sécurité > Objet.

  • Propriétaire - Changez le propriétaire de l'objet. Vous pouvez sélectionner un propriétaire dans la liste, ou ajouter un nouveau groupe ou utilisateur. Le propriétaire reçoit des droits d'accès complets sur l'objet.

Actions Propriétaire

Regrouper par Propriétaire - Trie la liste des objets par propriétaire.

Regrouper par Type - Trie la liste des objets par type d'objet.

Changer de propriétaire - Vous permet d'affecter un propriétaire à l'objet actuel ou de changer son propriétaire.

Actions Accès utilisateur

Regrouper par Utilisateur - Trie la liste des objets par utilisateur.

Regrouper par Type - Trie la liste des objets par type d'objet.

Supprimer – Supprime de la liste les groupes et utilisateurs mis en surbrillance.

Modifier les rôles - Ouvre la boîte de dialogue Sécurité pour {ObjectName}, qui vous permet de changer les paramètres Autoriser/Refuser dans la liste des rôles de sécurité disponibles et de changer le propriétaire de l'objet actuel.

Rôles de sécurité

Rôles de sécurité du serveur

Les rôles de sécurité du serveur sont des paramètres globaux applicables à l'ensemble du serveur de gestion.

Rôles de sécurité serveur prédéfinis

Éditeur — Permission de modifier les groupes, paquets, rapports et alertes. Vous ne pouvez pas créer de nouveaux groupes, paquets, rapports ou alertes.

Administrateur de serveur — Permissions d'accès complet. Vous pouvez afficher tous les objets, et ajouter, modifier ou supprimer des objets même si vous n'en êtes pas propriétaire. Ce rôle est affecté par défaut à l'utilisateur qui installe Management Center et pour lequel les permissions Administrateur de serveur sont activées. Voir « Définition d'un rôle ».

Afficheur — Permission d'afficher uniquement l'objet. 

Rôles de sécurité serveur personnalisés

Sélectionnez Nouveau rôle de serveur dans le volet Actions pour définir un nouveau rôle. La boîte de dialogue Définition de rôle apparaît.

La boîte de dialogue Définition de rôle répertorie toutes les permissions de rôle de serveur. Sélectionnez les options voulues pour activer les permissions à affecter au nouveau rôle. Les permissions suivantes sont disponibles :

  • Administrateur de serveur - Affectées au rôle Administrateur de serveur.
  • Administrateur de serveur de basculement
  • Éditeur de serveur de basculement
  • Administrateur de déploiement

Les éléments suivants peuvent disposer de permissions Administrateur, Créateur, Éditeur et Afficheur :

  • Groupe
  • Sécurité
  • Paquet
  • Rapport
  • Règle d'alerte

Exemple 1

Si un administrateur veut déléguer l'administration des groupes

à une autre personne, il peut créer un rôle Administrateur de groupe restreint avec les

permissions suivantes :

  • Administrateur de groupe
  • Afficheur de paquet
  • Créateur de paquet
  • Afficheur de rapport
  • Afficheur de règle d'alerte
  • Administrateur de déploiement

Un utilisateur doté du rôle Administrateur restreint peut effectuer les opérations suivantes :

  • Créer, modifier et supprimer des groupes, et affecter des ordinateurs à ces groupes.
  • Déployer l'agent de déploiement sur des ordinateurs.
  • Afficher tous les paquets et les affecter à des groupes.
  • Ajouter de nouveaux paquets et les supprimer.
  • Générer des rapports.

Cependant, l'utilisateur ne peut pas effectuer les opérations suivantes :

  • Supprimer les paquets existants.
  • Supprimer des alertes ou des événements.
  • Supprimer ou ajouter des rapports.
  • Modifier la sécurité d'objets autres que ceux que cette personne a créés ou ajoutés.

Exemple 2

Si certaines personnes sont responsables de la création et de la maintenance des configurations de produit, mais qu'elles

n'ont pas besoin d'un accès à la console de gestion proprement dite, l'administrateur peut créer un rôle Éditeur de paquet avec la permission suivante :

  • Administrateur de paquets

Un utilisateur doté de ce rôle peut ouvrir, modifier et enregistrer des configurations sur le serveur de gestion à l'aide des consoles de produit.

Rôles de sécurité d'objet

Les rôles de sécurité d'objet sont propres à certains objets.

Rôles de sécurité d'objet prédéfinis

  • Afficheur — Permission d'afficher l'objet uniquement.
  • Éditeur — Permission d'appliquer des actions de modification, mais aucune action de suppression, à l'objet.
  • Contrôle total — Permission d'exécuter des opérations de modification et de suppression sur l'objet.

Les rôles de serveur sont prioritaires sur les rôles d'objet.

Rôles de sécurité d'objet personnalisés

Sélectionnez Nouveau rôle d'objet dans le volet Actions pour définir un nouveau rôle. La boîte de dialogue Définition de rôle apparaît.

La boîte de dialogue Définition de rôle répertorie toutes les permissions de rôle d'objet. Sélectionnez les options voulues pour activer les permissions à affecter au nouveau rôle. Les permissions suivantes sont disponibles :

  • Contrôle total
  • Sécurité
  • Afficher
  • Modifier
  • Changer de propriétaire
  • Exportation du rapport
  • Affectation d'ordinateur
  • Affectation de règle d'alerte
  • Vue Événement
  • Modifier la planification d'installation
  • Affectation de paquets

Si un administrateur veut déléguer la responsabilité de l'affectation de paquets à un groupe particulier, il peut créer un rôle d'objet Gestionnaire de paquets avec les permissions suivantes :

  • Afficher
  • Affectation de paquets

Si un utilisateur reçoit ensuite la permission supplémentaire Sécurité pour un groupe et le rôle Gestionnaire de paquets, l'utilisateur peut uniquement afficher ce groupe (à condition qu'aucun autre rôle ne lui soit affecté). Il peut voir tous les paramètres du groupe mais la seule chose qu'il peut changer est la liste des paquets affectés au groupe.

Serveur

  • Nouveau rôle de serveur - Définit un nouveau rôle de serveur.
  • Propriétés - Afficher les détails du rôle.

Objet

  • Nouveau rôle d'objet - Définit un nouveau rôle d'objet.
  • Propriétés - Afficher les détails du rôle.

Configuration de la sécurité

Vous pouvez configurer la sécurité des groupes ou des utilisateurs autorisés à se connecter à la console de gestion. Vous pouvez attribuer la permission Administrateur de serveur (permissions complètes), Éditeur ou Afficheur.

  1. Sélectionnez le bouton Sécurité dans le volet de navigation.
  2. Pour configurer la sécurité d'un groupe, développez le nœud Permissions de serveur et sélectionnez le nœud Groupes.
  3. Pour configurer la sécurité d'un utilisateur, développez le nœud Permissions de serveur et sélectionnez le nœud Utilisateurs.
  4. Sélectionnez un groupe ou un utilisateur.
  5. Sélectionnez Modifier les rôles dans le volet Actions.La boîte de dialogue Rôles de sécurité globale s'affiche.
  6. Choisissez d'accorder ou de refuser les permissions Éditeur, Administrateur de serveur ou Afficheur.
  7. Cliquez sur OK.

Vous pouvez configurer la sécurité des groupes autorisés à se connecter à la console de gestion. Vous pouvez leur donner la permission d'afficher uniquement les éléments de la console.

  1. Sélectionnez le bouton Sécurité dans le volet de navigation.
  2. Développez le nœud Permissions de serveur et sélectionnez le nœud Groupes.
  3. Sélectionnez Ajouter un groupe dans le menu Actions. La boîte de dialogue Sélectionner des groupes s'affiche.
  4. Repérez le groupe pour lequel vous voulez définir des permissions d'affichage et cliquez sur OK.
  5. Sélectionnez le groupe dans la zone de travail.
  6. Sélectionnez Modifier les rôles dans le menu Actions.La boîte de dialogue Rôles de sécurité globale s'affiche.
  7. Sélectionnez l'option Afficheur dans la colonne Autoriser.
  8. Sélectionnez les options Éditeur et Administrateur de serveur dans la colonne Refuser.

  9. Cliquez sur OK.

Vous pouvez configurer la sécurité des utilisateurs autorisés à se connecter à la console de gestion. Vous pouvez donner à un groupe/utilisateur la permission nécessaire pour accéder uniquement à un groupe de déploiement particulier.

  1. Sélectionnez le bouton Sécurité dans le volet de navigation.
  2. Développez le nœud Permissions de serveur et sélectionnez le nœud Utilisateurs.
  3. Cliquez sur Ajouter un utilisateur dans le menu Actions. La boîte de dialogue Sélectionner des utilisateurs s'affiche.
  4. Repérez l'utilisateur qui doit pouvoir accéder à un groupe de déploiement spécifique et cliquez sur OK.
  5. Sélectionnez le bouton Accueil dans le volet de navigation.
  6. Naviguez jusqu'au nœud [Serveur] > Groupes de déploiement.
  7. Sélectionnez le groupe de déploiement auquel vous voulez donner accès.
  8. Sélectionnez Sécurité dans le volet Actions.La boîte de dialogue Sécurité pour [Groupe de déploiement] s'ouvre.
  9. Sélectionnez l'onglet Permissions et cliquez sur Ajouter. La boîte de dialogue Sélectionner des utilisateurs/Sélectionner des groupes s'affiche.
  10. Repérez l'utilisateur spécifié à l'étape 4 et cliquez sur OK.
  11. Dans la zone Rôles, sélectionnez les options Afficheur, Éditeur et Contrôle total dans la colonne Autoriser.
  12. Cliquez sur OK.

Rubriques connexes

Groupes de déploiement

Paquets

Alertes

Rapports