Après avoir déterminé la stratégie de permissions sur les partages et les dossiers et avoir créé les groupes de premier niveau développés dans les 3e et 4e commandements, vous pourriez peupler directement ces groupes avec des noms d’utilisateurs. Toutefois, si vous travaillez en mode natif Windows et pouvez supporter l’imbrication
5. Définir des ensembles de permissions qui reflètent le département ou le job
du groupe local, vous pouvez simplifier l’attribution des permissions en créant un second niveau de groupes locaux qui contiendra les comptes utilisateur. Nommez ces groupes d’après le rôle du département ou du job (SalesManagers, par exemple) puis ajoutez-les aux groupes de sécurité de niveau supérieur.
Par exemple, ajoutez le groupe SalesManagers, contenant les comptes utilisateur de tous les sales managers, au groupe de sécurité SalesAircraft-C (listé au tableau 1) pour accorder à tout sales manager l’accès Change au sous-dossier Aircraft dans le share \\FileServerA\Sales. Bien entendu, les sales managers auront besoin d’accéder à d’autres ressources, d’où la notion d’ensemble de permissions.
Un ensemble de permissions est la totalité du package ou de l’ensemble de permissions dont un utilisateur d’un département et d’un job donné a besoin pour mener à bien son travail. Les ressources auxquelles l’utilisateur devra accéder peuvent se trouver sur de nombreux serveurs et sur divers partages. L’ensemble de permissions peut changer lorsqu’il y a de nouvelles ressources et que les besoins d’accès à ces ressources changent. Par exemple, le management pourrait décider que les consultants de ventes qui auparavant n’avaient besoin que de permissions Read sur une zone ont désormais besoin de permissions Change. Le but d’un ensemble de permissions est de rendre l’attribution des permissions simple et exacte.
Les ensembles de permissions basés sur le département ou sur le job sont utiles quand un nouvel employé est recruté pour un département ou un job spécifique, qui demande l’accès aux zones de partage appropriées. Ainsi, quand la société recrute un nouveau consultant en ventes, on ajoute la personne au groupe SalesConsultants et il ou elle obtient instantanément toutes les permissions liées à sa fonction.
Quand ce consultant est promu au rang de sales manager, on peut changer ses permissions en ajoutant l’utilisateur au groupe SalesManagers et en l’enlevant du groupe SalesConsultants. Le tableau 2 montre un exemple d’ensemble de permissions. Le simple fait d’ajouter des utilisateurs au groupe SalesManagers donne instantanément aux utilisateurs les permissions dont ils ont besoin et leur ôte le moyen d’accéder aux zones sensibles qui leur sont interdites.
Si quelqu’un crée un nouveau share et un groupe de sécurité associé (HRreporting-C, par exemple) qui doit être ajouté à l’ensemble de permissions SalesManagers, il suffit d’ajouter le groupe SalesManagers au groupe HRreporting-C, et tous les sales managers auront les bonnes permissions sans que vous soyez obligés d’ajouter les ID des sales managers individuels au groupe HRreporting-C.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
