Gestion des rôles
Utilisez l'arborescence Administration > Gestion des utilisateurs > Rôles pour définir et gérer des rôles d'administration et les droits sur la console associés. Les droits sur la console sont basés sur les fonctions Endpoint Manager. Par exemple, vous pouvez créer un rôle de service de support et lui accorder le droit Contrôle à distance.
Vous pouvez ajouter autant de rôles supplémentaires que vous le souhaitez. Les nouveaux rôles ne sont pas automatiquement affectés à des utilisateurs ou groupes d'utilisateurs. Lorsque vous créez un rôle, vous l'associez à un utilisateur ou groupe d'utilisateurs dans l'arborescence Permissions de groupe.
Comme il est possible d'affecter plusieurs rôles à un même utilisateur ou groupe d'utilisateurs, vous devez choisir le mode d'affectation des droits. Vous pouvez affecter des droits en fonction du poste de travail des utilisateurs (comme « centre d'assistance ») ou d'après une fonction de la console (comme « contrôle à distance »). Selon le nombre et la diversité des utilisateurs de la console existant dans votre entreprise, l'une des méthodes peut être plus efficace que l'autre.
Vous pouvez affecter plusieurs rôles à un même utilisateur ou groupe Active Directory. En cas de conflit de droits parmi les rôles sélectionnés, la permission de groupe est la somme de l'ensemble des rôles et étendues. Par exemple, si l'un des rôles inclus comprend le droit Contrôle à distance et qu'un autre des rôles inclus exclut ce droit, la permission de groupe autorisera le contrôle à distance. Pour connaître les droits effectifs d'un utilisateur ou d'un groupe, ouvrez ses propriétés et consultez la page Droits effectifs.
En général, il faut éviter d'affecter un rôle aux groupes locaux par défaut : LANDesk Management Suite et Administrateurs LANDesk. L'affectation d'un rôle à un groupe concerne tous les membres de ce groupe. Comme tous les utilisateurs de la console doivent être membres de l'un des trois groupes ci-dessus, vous risquez, sans le vouloir, d'empêcher tous les utilisateurs d'accéder aux fonctions de la console. Le groupe Administrateurs LANDesk possède déjà par défaut le rôle Administrateur, que vous ne pouvez pas restreindre davantage.
Les changements apportés aux droits d'un utilisateur connecté ne prennent effet que lors de la prochaine connexion de cet utilisateur.
Pour en savoir plus sur ce que chaque droit RBA autorise ou interdit, consultez cet article sur le site de la communauté Ivanti.
L'arborescence Rôles inclut plusieurs rôles par défaut. Vous pouvez modifier ou supprimer ces rôles par défaut, à l'exception du rôle Administrateur Ivanti.
- Paramètres d'agent
- Configuration d'audit
- Auditeur
- Administrateurs Data Analytics
- Diagnostics
- Découverte
- Environment Manager
- Visionneuse de l'inspecteur
- Centre d'assistance informatique
- Administrateur LANDesk
- Gestion des périphériques mobiles
- Gestion des correctifs
- Gestion de l'alimentation
- Provisioning
- Sécurité
- Distribution de logiciels
- Licences logicielles
IMPORTANT: Les administrateurs LANDesk ont des droits complets
Les administrateurs LANDesk disposent de droits complets sur toutes les étendues et tous les droits. Ils disposent aussi d'un accès complet à l'outil Utilisateurs et peuvent apporter toutes les modifications de leur choix. De plus, seuls les utilisateurs dotés du droit Administrateur peuvent configurer les services Ivanti exécutés sur le serveur principal.
Un utilisateur peut disposer de quatre types de droit :
- Afficher : Autorise l'utilisateur à accéder à un outil de la console.
- Modifier : Autorise l'utilisateur à effectuer des modifications dans l'outil de console associé. Inclut le droit Afficher.
- Déployer : Permet à l'utilisateur de créer, modifier ou supprimer toutes les tâches planifiées liées à l'outil de console associé.
- Modifier Public : Permet aux utilisateurs de créer, modifier ou supprimer des éléments dans le dossier Public d'un outil de console.
Certains droits ne prennent pas en charge tous les types. Par exemple, le droit Gestion des requêtes publiques ne peut être associé qu'au type Modifier Public. L'associer aux types Afficher, Modifier ou Déployer n'aurait aucun sens.
Un droit peut avoir trois statuts :
- Coche :
- X :
- Symbole Non applicable :
Un clic sur une coche ou un X vous fait changer de statut.
Si les utilisateurs n'ont aucun droit sur un outil, ils ne voient pas cet outil lorsqu'ils se connectent à la console. Cet outil n'apparaît pas dans la boîte à outils ni dans le menu Outils.
L'outil Tâches planifiées n'est visible que pour les utilisateurs disposant du droit Déployer ; de plus, ils ne peuvent manipuler que les tâches associées à l'outil sur lequel ils disposent de droits Déployer. Toutes les autres tâches sont en lecture seule.
Le groupe Public d'un outil est visible pour tous les utilisateurs. Les éléments du groupe Public sont en lecture seule, sauf si vous disposez du droit Modifier Public. Les utilisateurs possédant le droit Modifier Public sur une fonction ne peuvent modifier que les éléments publics correspondant à cette fonction. Les autres éléments publics sont en lecture seule. Les éléments en lecture seule sont toujours utiles, car les utilisateurs peuvent les copier vers le groupe « Mes.... » de l'arborescence et les modifier à cet endroit.
Le groupe Public de l'outil Tâches planifiées fonctionne d'une façon légèrement différente. Toutes les tâches du groupe Public sont visibles pour les utilisateurs possédant le droit Déployer, y compris les tâches correspondant aux fonctions auxquelles ces utilisateurs n'ont pas accès. Toutefois, seules les tâches pour lesquelles les utilisateurs disposent du droit Déployer sont modifiables. Les autres sont en lecture seule.
Si vous disposez des deux droits Modifier Public et Déployer, vous pouvez créer de nouvelles tâches dans le groupe Public, ainsi que lui ajouter ou en supprimer des tâches.
Utilisez les rôles pour définir et gérer des rôles d'administration et les droits d'accès à la console associés.
Pour créer et affecter un rôle
- Dans l'outil Gestion des utilisateurs, cliquez avec le bouton droit sur Rôles, puis sélectionnez Nouveau rôle.
- Dans la boîte de dialogue Propriétés du rôle, entrez un nom de rôle.
- Activez ou désactivez les droits de votre choix en cliquant sur le symbole dans la colonne appropriée. Chaque clic active/désactive le statut du droit.
- Dans l'arborescence, cliquez sur Utilisateurs et groupes, puis choisissez les utilisateurs et les groupes qui doivent bénéficier du nouveau rôle.
Pour affecter un rôle existant à des utilisateurs et des groupes
- Dans l'outil Gestion des utilisateurs, cliquez avec le bouton droit sur Rôles, puis sélectionnez Propriétés. Vous pouvez également double-cliquer sur un rôle pour modifier ses propriétés.
- Dans la page Utilisateurs et groupes, sélectionnez les groupes qui doivent posséder ce rôle.
- Cliquez sur OK.