À propos de l'administration basée sur les rôles
Ivanti® Endpoint Manager vous permet de gérer les utilisateurs de la console à l'aide de fonctions avancées d'administration basée sur les rôles. Vous pouvez :
- Affecter des permissions de groupe granulaires basées sur les fonctions
- Affecter facilement des permissions à plusieurs utilisateurs via des groupes d'utilisateurs locaux ou LDAP
- Synchroniser des configurations d'utilisateurs de la console sur plusieurs serveurs principaux
Vous pouvez créer des rôles basés sur les responsabilités des utilisateurs, les tâches de gestion qu'ils doivent effectuer et les périphériques qu'ils peuvent visualiser et gérer, et auxquels ils ont accès. L'accès aux périphériques peut être restreint à un emplacement géographique tel qu'un pays, une région, un département, une ville ou même un service ou bureau unique. Ou bien, l'accès peut être limité à une plateforme de périphérique donnée, un type de processeur ou tout autre attribut de matériel ou de logiciel de périphérique. Grâce à l'administration basée sur les rôles, vous pouvez décider du nombre de rôles différents à créer, des utilisateurs qui peuvent agir dans ces rôles et de l'étendue de leur étendue d'accès aux périphériques. Par exemple, vous pouvez avoir un ou plusieurs utilisateurs chargés de la distribution de logiciels, un autre responsable des opérations de contrôle à distance, un autre de l'exécution de rapports, etc.
Si vos utilisateurs de la console sont peu nombreux ou si ne voulez pas limiter leurs droits, vous pouvez ignorer totalement l'administration basée sur les rôles et simplement ajouter des utilisateurs au groupe local Administrateurs LANDESK du serveur principal. Les membres de ce groupe ont des droits d'accès complets sur la console et peuvent gérer tous les périphériques. Par défaut, le compte employé pour installer Endpoint Manager est ajouté au groupe Administrateurs LANDESK.
L'administration basée sur les rôles est suffisamment souple pour vous permettre de créer autant de rôles personnalisés que vous le souhaitez. Vous pouvez affecter les mêmes permissions à différents utilisateurs mais restreindre leur accès à un ensemble limité de périphériques, en réduisant leur étendue. Même un administrateur peut être restreint par une étendue, en faisant essentiellement de celui-ci un administrateur sur une région géographique ou un type de périphérique géré spécifique. La manière dont vous tirez parti de l'administration basée sur les rôles dépend des ressources de réseau et de personnel, ainsi que de vos besoins particuliers.
NOTE: La configuration requise pour les consoles Endpoint Manager supplémentaires a changé dans la version 2024. Pour les utilisateurs de console supplémentaire non membres du groupe Windows « Administrateurs LANDesk » sur le serveur principal, vous devez configurer des comptes d'utilisateur de base de données séparés. Pour en savoir plus, reportez-vous au site de la communauté Ivanti.
Voici le processus de base pour l'utilisation de l'administration basée sur les rôles :
- Créez des rôles pour les utilisateurs de la console.
- Utilisez l'outil Windows Utilisateurs et groupes locaux pour ajouter des utilisateurs de la console aux groupes Windows LANDESK appropriés.
- Créez des authentifications pour chaque annuaire Active Directory que vous prévoyez d'utiliser pour sélectionner des utilisateurs de la console.
- (Facultatif) Utilisez des étendues pour limiter la liste des périphériques que les utilisateurs de la console peuvent gérer.
- (Facultatif) Utilisez des équipes pour mieux classifier les utilisateurs de la console.
Les utilisateurs Endpoint Manager peuvent se connecter à la console et réaliser des tâches spécifiques pour des périphériques donnés sur le réseau. L'utilisateur connecté au serveur pendant l'installation de l'application Endpoint Manager est automatiquement placé dans le groupe d'utilisateurs Windows Administrateurs LANDesk, ce qui lui donne des permissions d'administrateur complètes. Cet utilisateur est responsable de l'ajout de groupes d'utilisateurs supplémentaires à la console, ainsi que de l'affectation de permissions et d'étendues. Une fois les autres administrateurs créés, ils peuvent réaliser les mêmes tâches administratives.
Endpoint Manager Le programme d'installation de crée plusieurs groupes Windows locaux sur le serveur principal. Ces groupes contrôlent les permissions de système de fichiers pour l'accès aux dossiers de programme Endpoint Manager et Security sur le serveur principal. Vous devez ajouter manuellement des utilisateurs de la console aux groupes Windows locaux suivants :
- LANDesk Management Suite : Ce groupe permet un accès de base au serveur principal. Les dossiers Endpoint Manager sont en lecture seule. Les utilisateurs de ce groupe ne peuvent pas écrire dans le répertoire des scripts et ne peuvent donc pas gérer les scripts. La correction des vulnérabilités et le provisioning d'OS ne fonctionnent pas correctement pour les utilisateurs de ce groupe, car ces deux fonctions utilisent des scripts.
- Administrateurs LANDesk : Il s'agit du groupe à sûreté intégrée (Failsafe) pour l'accès à la console. Tous les membres de ce groupe disposent de droits complets sur la console, y compris pour l'écriture de scripts. Par défaut, le compte d'utilisateur employé pour installer Endpoint Manager est ajouté à ce groupe. Si vos utilisateurs de la console sont peu nombreux ou si ne voulez pas limiter leurs droits, vous pouvez ignorer totalement l'administration basée sur les rôles et simplement ajouter des utilisateurs à ce groupe.
Lorsque vous ajoutez à la console des utilisateurs avec des droits d'administrateur complets, vous pouvez soit les ajouter au groupe local Administrateurs LANDesk du serveur principal, soit les ajouter à un autre groupe disposant du droit Administrateur pour LANDesk. La seule différence est que les utilisateurs du groupe Windows Administrateurs LANDesk ne peuvent pas être supprimés de la console tant qu'ils sont membres de ce groupe.
L'arborescence Utilisateurs et groupes de l'outil Utilisateurs présente la liste des utilisateurs de la console autorisés. Vous pouvez consulter la date de dernière connexion de chaque utilisateur de la console, le groupe dont il est membre, son rôle, son étendue, son état de restriction du contrôle à distance et son équipe. Vous pouvez également utiliser cette arborescence pour savoir si les utilisateurs sont membres de groupes Windows locaux LANDesk. Les utilisateurs ne peuvent se connecter que si vous les avez ajoutés à l'un des groupes LANDesk décrits dans cette section.
Les utilisateurs sont stockés dans la base de données avec un identificateur de sécurité unique (SID). Si le nom du compte Active Directory d'un utilisateur change, par exemple en cas de mariage, son SID doit rester identique pour que ses permissions Endpoint Manager restent applicables.
IMPORTANT: Les consoles supplémentaires et le serveur principal doivent être membres du même domaine ou groupe de travail. Les utilisateurs de la console ne peuvent pas s'authentifier auprès d'un serveur principal situé dans un autre domaine ou groupe de travail.
Pour ajouter des utilisateurs à un groupe LANDesk depuis la boîte de dialogue Windows Gestion de l'ordinateur
- Accédez, sur le serveur, à l'utilitaire Outils d'administration > Gestion de l'ordinateur > Utilisateurs et groupes locaux > Groupes.
- Cliquez avec le bouton droit sur le groupe LANDesk voulu, puis cliquez sur Ajouter au groupe.
- Dans la boîte de dialogue Propriétés du groupe, cliquez sur Ajouter.
- Dans la boîte de dialogue Sélectionner les utilisateurs et les groupes, sélectionnez dans la liste les utilisateurs (et groupes) voulus et cliquez sur Ajouter.
- Cliquez sur OK.
Pour ajouter un utilisateur ou un groupe de console Endpoint Manager
- Cliquez sur Outils > Administration > Gestion des utilisateurs.
- Dans l'arborescence Utilisateurs et groupes, cliquez avec le bouton droit sur la source d'authentification qui contient l'utilisateur ou le groupe voulu, puis cliquez sur Nouvel utilisateur ou groupe.
- Dans le répertoire de la source d'authentification, sélectionnez l'utilisateur/le groupe à ajouter, puis cliquez sur Ajouter. Pour sélectionner des utilisateurs particuliers au sein d'un groupe, cliquez avec le bouton droit sur le groupe et choisissez Sélectionner les utilisateurs à ajouter. Vous pouvez ensuite sélectionner les utilisateurs voulus, puis cliquer sur Ajouter les utilisateurs sélectionnés.
- Dans la boîte de dialogue qui vous rappelle d'ajouter manuellement l'utilisateur ou le groupe sélectionné au groupe Windows local LANDesk approprié, cliquez sur OK.
- Cliquez sur Fermer.
- Si vous ne l'avez pas fait, utilisez l'outil Windows Utilisateurs et groupes locaux pour ajouter le nouvel utilisateur/groupe au groupe Windows local LANDesk approprié, comme indiqué plus haut dans cette section.
- Affectez des rôles et des étendues au nouvel utilisateur ou groupe.
Vous pouvez également utiliser l'arborescence Gestion des utilisateurs pour supprimer des utilisateurs ou des groupes de console. Lorsque vous supprimez un utilisateur ou un groupe, vous êtes invité à choisir le mode de gestion des éléments de la console dont il est propriétaire (requêtes, tâches planifiées, etc.). Vous pouvez configurer la console pour qu'elle supprime automatiquement les éléments dont cet utilisateur/ce groupe est propriétaire et pour qu'elle les réaffecte à un autre utilisateur/groupe de votre choix. Notez que la suppression d'un utilisateur ou d'un groupe élimine seulement ce dernier de la base de données des utilisateurs Endpoint Manager. Vous devez également supprimer manuellement l'utilisateur ou le groupe des groupes Windows locaux LANDesk dont il est membre. Si vous ne le faites pas, l'utilisateur supprimé peut toujours se connecter à la console.
Pour supprimer un utilisateur de la console
- Cliquez sur Outils > Administration > Gestion des utilisateurs.
- Dans l'arborescence Gestion des utilisateurs, cliquez sur Utilisateurs et groupes.
- Sélectionnez l'utilisateur ou le groupe à supprimer, puis appuyez sur la touche Suppr du clavier.
- Pour supprimer les objets associés à cet utilisateur, cliquez sur OK.
- Pour réaffecter les objets associés à l'utilisateur de la console, sélectionnez Affecter des objets à l'équipe ou l'utilisateur/groupe suivant, puis cliquez sur l'utilisateur/le groupe/l'équipe qui doit recevoir ces objets. Cliquez ensuite sur OK.
- Supprimez l'utilisateur du groupe local Windows LANDesk ou Active Directory qui lui donne accès à la console.
Dans l'arborescence Administration > Gestion des utilisateurs, vous pouvez cliquer avec le bouton droit sur un utilisateur ou un groupe, puis sélectionner Propriétés. La boîte de dialogue affiche toutes les propriétés et tous les droits effectifs de l'utilisateur concerné. La boîte de dialogue Propriétés comporte les pages suivantes :
- Récapitulatif : Récapitule les rôles, étendues, équipes, appartenances aux groupes et droits effectifs de l'utilisateur ou du groupe concerné.
- Droits effectifs : Affiche une vue plus détaillée des droits effectifs de l'utilisateur ou du groupe.
- Rôles : Affiche les rôles explicites et hérités. Vous pouvez sélectionner les rôles explicites applicables à cet utilisateur ou groupe.
- Étendues : Affiche les étendues explicites et héritées. Vous pouvez sélectionner les étendues explicites applicables à cet utilisateur ou groupe.
- Équipes : Affiche les équipes explicites et héritées. Vous pouvez sélectionner les équipes explicites applicables à cet utilisateur ou groupe.
- Restrictions d'heure RC : Permet d'appliquer et de modifier les restrictions d'heure pour le contrôle à distance (RC). Pour en savoir plus, reportez-vous à « Utilisation des restrictions horaires du contrôle à distance ».
- Appartenance au groupe : Répertorie les groupes auxquels l'utilisateur appartient.
- Membres du groupe : Si vous avez sélectionné un groupe, affiche les membres de ce groupe. Si vous avez sélectionné un utilisateur, affiche le groupe dont l'utilisateur est membre.
Si vous apportez des changements dans les pages modifiables, vous devez cliquer sur OK pour les appliquer. Vous pouvez ensuite rouvrir la boîte de dialogue des propriétés si nécessaire.