Après avoir déterminé la stratégie de permissions sur les partages et les dossiers et avoir créé les groupes de premier niveau développés dans les 3e et 4e commandements, vous pourriez peupler directement ces groupes avec des noms d’utilisateurs. Toutefois, si vous travaillez en mode natif Windows et pouvez supporter l’imbrication
5. Définir des ensembles de permissions qui reflètent le département ou le job
du groupe local, vous pouvez simplifier l’attribution des permissions en créant un second niveau de groupes locaux qui contiendra les comptes utilisateur. Nommez ces groupes d’après le rôle du département ou du job (SalesManagers, par exemple) puis ajoutez-les aux groupes de sécurité de niveau supérieur.
Par exemple, ajoutez le groupe SalesManagers, contenant les comptes utilisateur de tous les sales managers, au groupe de sécurité SalesAircraft-C (listé au tableau 1) pour accorder à tout sales manager l’accès Change au sous-dossier Aircraft dans le share \\FileServerA\Sales. Bien entendu, les sales managers auront besoin d’accéder à d’autres ressources, d’où la notion d’ensemble de permissions.
Un ensemble de permissions est la totalité du package ou de l’ensemble de permissions dont un utilisateur d’un département et d’un job donné a besoin pour mener à bien son travail. Les ressources auxquelles l’utilisateur devra accéder peuvent se trouver sur de nombreux serveurs et sur divers partages. L’ensemble de permissions peut changer lorsqu’il y a de nouvelles ressources et que les besoins d’accès à ces ressources changent. Par exemple, le management pourrait décider que les consultants de ventes qui auparavant n’avaient besoin que de permissions Read sur une zone ont désormais besoin de permissions Change. Le but d’un ensemble de permissions est de rendre l’attribution des permissions simple et exacte.
Les ensembles de permissions basés sur le département ou sur le job sont utiles quand un nouvel employé est recruté pour un département ou un job spécifique, qui demande l’accès aux zones de partage appropriées. Ainsi, quand la société recrute un nouveau consultant en ventes, on ajoute la personne au groupe SalesConsultants et il ou elle obtient instantanément toutes les permissions liées à sa fonction.
Quand ce consultant est promu au rang de sales manager, on peut changer ses permissions en ajoutant l’utilisateur au groupe SalesManagers et en l’enlevant du groupe SalesConsultants. Le tableau 2 montre un exemple d’ensemble de permissions. Le simple fait d’ajouter des utilisateurs au groupe SalesManagers donne instantanément aux utilisateurs les permissions dont ils ont besoin et leur ôte le moyen d’accéder aux zones sensibles qui leur sont interdites.
Si quelqu’un crée un nouveau share et un groupe de sécurité associé (HRreporting-C, par exemple) qui doit être ajouté à l’ensemble de permissions SalesManagers, il suffit d’ajouter le groupe SalesManagers au groupe HRreporting-C, et tous les sales managers auront les bonnes permissions sans que vous soyez obligés d’ajouter les ID des sales managers individuels au groupe HRreporting-C.
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
