L’assegnazione dei permessi

Per assegnare i permessi di gestione e accesso remoto si reiterano le seguenti azioni:

  • selezione della cartella o del dispositivo

  • associazione del gruppo/utente alla cartella o dispositivo selezionato

  • assegnazione dei profili a ciascun gruppo/utente associato alla cartella o dispositivo

Per associare un gruppo o un utente a una cartella, aprire la vista “MANAGE”, selezionare la cartella, visualizzare l’area “Permissions” sulla destra e cliccare sul pulsante “Add”.

Selezionare l’utente o il gruppo da aggiungere e confermare con OK.

Una volta assegnati i permessi a un utente è possibile visualizzare un’anteprima delle cartelle, degli utenti e delle regole di Firewall a cui l’utente ha accesso, cliccando sull’utente e aprendo la vista “Show permissions” nel pannello di destra.

Suggerimento

Il permesso Access Users è condizionato al permesso Manage Users, seguendo il principio per cui se un utilizzatore può agire sugli utenti deve essere in grado di vederli. Se si clicca su Allow Manage Users automaticamente viene attribuito anche il diritto di Access Users. È sempre possibile in seguito negare il permesso di «Manage users» mantenendo la flessibilità legata all’ereditarietà. Se viene esplicitato il deny del permesso di «Access Users» viene automaticamente rimosso il diritto di «Manage Users». Per motivi di sicurezza, ogni utente, una volta dotato del permesso di Manage users, non può revocarlo a se stesso.

Per fare un esempio, è possibile associare il gruppo “Italy” alla cartella “Italy”.

Questo implica che gli utenti appartenenti al gruppo “Italy” avranno accesso ai dispositivi contenuti nella cartella “Italy” sulla base dei permessi assegnati.

Vanno ora determinati quali permessi accordare al gruppo.

I permessi sono assegnati utilizzando le caselle di selezione nell’area “Permissions” sotto la lista degli utenti e gruppi.

Ad ogni livello la tabella dei permessi mostra la risultante dei diritti per l’elemento selezionato; si noti che per un dato diritto l’assenza di spunta su entrambe le colonne (Allow/Deny) corrisponde di fatto ad un “Deny”.

image12

Nell’esempio sopra riportato il gruppo “Italy” ha il permesso di eseguire l’accesso ai dispositivi remoti contenuti all’interno della cartella.

Nell’ipotesi che si voglia operare un’ulteriore restrizione sull’accesso remoto, è possibile espandere “Device access” e togliere la spunta dalle funzioni che si desiderano bloccare. Si veda il capitolo sui Profili per ulteriori informazioni.

Gli utenti del gruppo “Italy” ereditano i permessi e ottengono quindi la possibilità di eseguire assistenza sui dispositivi contenuti nella cartella “Italy” e nelle relative sottocartelle.

Cliccando per esempio sul dispositivo contenuto all’interno della sottocartella, la sezione “Permissions” mostra il riassunto completo di tutti gli utenti e gruppi che possono accedere ad esso con i relativi profili assegnati.

La colonna “Deny” permette di bloccare una certa azione per il gruppo o per l’utente selezionato.

Per citare un esempio, la cartella “Reseller XYZ” ha ereditato dalla cartella padre i permessi assegnati al gruppo “Italy”.

Control Center supporta la specifica di eccezioni a livello utente. Questo è utile nel caso in cui si voglia gestire in modo differente un utente rispetto allo standard del gruppo di appartenenza.

Suggerimento

La priorità con la quale vengono valutati i permessi è la seguente:

  • Deny esplicito

  • Allow esplicito

  • Deny ereditato

  • Allow ereditato

È possibile per esempio specificare una restrizione per l’utente “Pietro” rispetto al suo gruppo di appartenenza e relativa alla cartella “Reseller XYZ”.

Per individuare un’eccezione è necessario prima di tutto aggiungere l’utente alla lista e successivamente specificare in cosa consistono le differenze.

Nel momento in cui un permesso è negato in modo “esplicito” non compare a fianco del nome utente la scritta “inherited”. La negazione è applicata spuntando la casella di selezione “Deny” per l’operazione di “Device Access” una volta che l’utente “Pietro” viene selezionato nella lista “Users and Groups”.

Assumendo quindi che l’utente “Pietro” appartenga al gruppo “Italy”, potrà accedere a tutti i dispositivi all’interno della cartella “Italy”, fatta eccezione per quelli all’interno della cartella “Reseller XYZ”.

Qualora la restrizione dovesse riguardare un singolo dispositivo piuttosto che una intera cartella, sarà sufficiente cliccare sul dispositivo prima di specificare il diniego.

Accedendo al sistema con l’utente “Pietro” è possibile verificare che la cartella alla quale non ha accesso non risulta visibile.