Todas las acciones de los administradores en el Centro de Control están limitadas por un conjunto de derechos, que se pueden definir tanto para una sola cuenta como para un grupo de administradores.
El sistema de privilegios administrativos incluye las siguientes características de administración de derechos:
•Designación de derechos
Los derechos se asignan cuando se crea un administrador o grupo administrativo. Los derechos se heredan del grupo parental en el que se coloca el administrador o grupo administrativo durante la creación. Cuando se crea, no se proporciona la posibilidad de cambiar los privilegios.
•Herencia de derechos
De manera predeterminada, los derechos de los administradores y grupos administrativos se heredan del grupo principal, pero la herencia se puede deshabilitar.
▫Si la herencia está deshabilitada, el administrador utiliza un conjunto independiente de derechos personales, que se configura directamente para su cuenta. Con esto, los derechos del grupo parental no se consideran.
▫Al heredar los derechos de administrador o grupo, no se reasigna los derechos del grupo parental, sino que se recalcula el derecho asignado basado en todos los derechos de los grupos parentales en dirección ascendente del árbol jerárquico. La tabla para calcular el privilegio resultante de un objeto en función de los derechos asignados y los derechos del grupo parental se proporciona en el p. Unificación de permisos.
•Edición de privilegios
Al crear los administradores y grupos administrativos, no se proporciona la posibilidad de edición de derechos. La edición de derechos solo está disponible para los objetos ya creados y se lleva a cabo en la sección de configuración de la cuenta o grupo. Al editar su propia configuración, solo se permite reducir los derechos. Edición de los derechos del administrador predefinido admin y los grupos predefinidos Administrators y Newbies no se proporciona.
El procedimiento de edición de derechos se proporciona en la sección Edición de privilegios.
Para editar los derechos de administrador o grupo administrativo
1.Seleccione el punto Administración en el menú principal del Centro de Control, en la ventana que se abre, seleccione el punto del menú de control Administradores.
2.En la lista de administradores, seleccione la cuenta que desea editar. Se abrirá la sección de edición de propiedades.
3.En la subsección Permisos puede editar la lista de acciones permitidas para el administrador o grupo administrativo seleccionado.
4.Para controlar la herencia de los privilegios del objeto seleccionado del grupo parental, use el interruptor:
Herencia activada
Herencia desactivada
5.La configuración básica se establece en la tabla de derechos:
a)La primera columna muestra los nombres de los derechos. El encabezado de la columna depende de la sección específica que combina los derechos por tipo.
|
Una breve descripción de los derechos de los administradores y las secciones del Centro de Control administrados por los derechos específicos se proporciona en el documento Anexos, en Anexo C4. Divisiones subordinadas de permisos. |
b)En la columna Permisos se proporciona la configuración de los derechos correspondientes de la primera columna.
Objetos de control |
Lista de configuraciones en la columna Permisos |
El principio de establecimiento de derecho |
|---|---|---|
El derecho se establece para todos los objetos |
||
El derecho no implica división en grupos según los objetos de control. |
Se puede otorgar uno de los siguientes tipos de derechos: •Personal — para este objeto se establece su propia configuración. •Heredado — configuración heredada del grupo parental. |
Marque/desmarque la casilla Conceder en la línea del derecho correspondiente. |
El derecho se establece para una lista de objetos (estaciones, administradores o grupos) |
||
•Otorgado todo — se otorga el derecho para todos los objetos de administración. •Todo concedido — el derecho se otorga a todos los objetos de control. •Concedido para unos objetos. Con esto, se debe establecer una lista de objetos para los que se otorga este derecho. Para todos los demás objetos, el derecho se considera prohibido. •Prohibido para unos objetos. Con esto, se debe establecer una lista de objetos para los que se prohíbe este derecho. Para todos los demás objetos, el derecho se considera otorgado. |
En el caso de combinar configuraciones, los siguientes tipos de derechos se otorgan simultáneamente: •Personal — propia configuración, establecida para este objeto. •Resultante — el resultado de la fusión del derecho personal del objeto y los derechos del grupo parental. En caso de herencia de configuraciones, solo se otorga el tipo de derecho Heredado. |
Haga clic en la lista de objetos (incluso si se establece la opción Todos). Se abrirá una ventana con el árbol de la red antivirus, el árbol de grupos de administradores o un árbol de tarifas, según los derechos que se estén editando. Seleccione los objetos deseados en el árbol. Para seleccionar múltiples objetos use los botones ctrl y shift. Si es necesario, marque la casilla Para todos los derechos de sección, para aplicar esta configuración a todos los derechos enumerados en la misma sección que lo editable. Haga clic en el botón: •Conceder para permitir el derecho a los objetos seleccionados. •Prohibir para prohibir el derecho a los objetos seleccionados. |
|
Para el mismos derecho especificado para una lista de objetos no se pueden establecer simultáneamente las listas de objetos prohibidos y permitidos. Estos conceptos son mutuamente excluyentes. |
c)En la columna Herencia se refleja el estado de este derecho con respecto al grupo principal:
▫Heredar del grupo — se incluye la herencia del grupo parental especificado, no se establecen los derechos personales.
▫Configuración personal — la herencia del grupo parental está deshabilitada, se establecen los derechos personales.
▫Unificación con el grupo — se incluye la herencia del grupo parental especificado, se establecen los derechos personales. El derecho resultante de un objeto se calcula combinando los derechos del grupo parental y los derechos personales (vea el p. Unificación de permisos).
En este caso, los derechos personales del objeto se pueden eliminar. Para hacer esto, haga clic en 
en la columna Herencia. Después de la eliminación de los derechos personales se establecerá Herencia del grupo.
El cálculo del derecho resultantes de un objeto (administrador o grupo de administradores) con la herencia activada depende de los derechos de los grupos parentales y los derechos asignados al objeto mismo. La siguiente tabla describe el principio de obtener el derecho resultante de un objeto:
Derecho de grupo parental |
El derecho del descendiente en consideración |
Derecho resultante |
|---|---|---|
Todo concedido |
Concedido para algunos objetos |
Concedido para los objetos del descendiente |
Concedido para algunos objetos |
Concedido para algunos objetos |
Listas de objetos permitidos se combinan |
Concedido para algunos objetos |
Todo concedido |
Todo concedido |
Los derechos de padre y descendiente prohibitivos, y uno de ellos prohíbe todo |
Todo prohibido |
|
Prohibido para algunos objetos |
Prohibido para algunos objetos |
Las listas de objetos prohibidos se combinan |
Todo prohibido |
Todo concedido |
Todo concedido |
Prohibido para algunos objetos |
Todo concedido |
Prohibido para los objetos de padre |
Prohibido para algunos objetos |
Concedido para algunos objetos |
Se deducen de los objetos prohibidos los objetos permitidos. Si después de esto la lista de objetos prohibidos no está vacía, entonces el resultado es que los objetos restantes están prohibidos. De lo contrario, el resultado es que todos los objetos del descendiente están permitidos |
Concedido para algunos objetos |
Todo prohibido |
Todo prohibido |
Todo concedido |
Prohibido para algunos objetos |
Prohibido para los objetos del descendiente |
Concedido para algunos objetos |
Prohibido para algunos objetos |
Se deducen de los objetos permitidos los objetos prohibidos. Si después de esto la lista de objetos permitidos está vacía, entonces el resultado es que todo está prohibido. De lo contrario, el resultado es que todos los objetos restantes están permitidos. |