Manuel d'administrationStratégies et rôles personnalisés › Restriction d'accès pour un utilisateur : scénario de l'administrateur Windows

Rubrique précédente: Exemple : Autorisation de gestion des archives par un non-administrateur

Rubrique suivante: Etape 1 : création de l'utilisateur Win-Admin

Restriction d'accès pour un utilisateur : scénario de l'administrateur Windows

Vous pouvez limiter les rapports que les utilisateurs peuvent afficher à ceux possédant une balise spécifiée. Vous pouvez limiter les données que les utilisateurs peuvent afficher dans ces rapports aux données générées à partir de sources d'événements spécifiées. La limitation de l'accès aux rapports associés à une balise donnée s'effectue par le biais d'une stratégie d'accès. La limitation de l'accès aux données pour des événements renvoyés à un serveur CA Enterprise Log Manager particulier s'effectue par le biais d'un filtre d'accès. Avec un filtre d'accès défini, l'affectation d'un rôle est facultative. Vous pouvez donc créer un nouvel utilisateur, ne lui affecter aucun rôle et limiter son accès aux données à l'aide d'un filtre d'accès.

Prenons le cas de l'entreprise ABC avec ses quatre centres de données aux Etats-Unis. L'administrateur souhaite attribuer à l'administrateur Windows de la région de Houston un accès en lecture aux événements Windows traités par le contrôleur de domaine de la zone Houston. Les événements Windows traités par le serveur CA Enterprise Log Manager installé sur le contrôleur de domaine Houston sont envoyés depuis les sources sur lesquelles les noms d'hôtes commencent par la chaîne ABC-HOU-WDC.

Cet exemple vous guide dans la création d'un utilisateur appelé Win-Admin, qui ne doit pouvoir afficher que les rapports avec une balise Accès au système, les données de ces rapports étant limitées aux événements issus de sources d'événements portant des noms d'hôtes commençant par la convention d'attribution de nom connue.

L'exemple fourni détaille chacune des étapes ci-dessous.

  1. Créez le nouvel utilisateur Win-Admin.
  2. Attribuez au rôle Win-Admin un accès de base à CA Enterprise Log Manager. Ajoutez cette identité à la stratégie d'accès aux applications CALM.
  3. Limitez l'accès de Win-Admin aux seuls rapports avec une balise Accès au système. Créez une stratégie de portée avec accès en lecture à AppObject grâce à des filtres qui spécifient le dossier EEM dans lequel les rapports sont stockés et qui exigent que calmTag soit égal à Accès au système. Testez la stratégie.
  4. Limitez les données que Win-Admin peut afficher à celles générées par le contrôleur de domaine dans la région de Win-Admin. Créez un filtre d'accès, nommé Accès aux données Win-Admin, qui limite les données de requêtes et de rapports que Win-Admin peut afficher aux événements Windows issus de sources d'événements portant un nom d'hôte commençant par ABC-HOU-WDC.
  5. Connectez-vous à CA Enterprise Log Manager en qualité d'utilisateur Win-Admin et évaluez l'accès accordé par les stratégies.
  6. Si l'accès est trop limité pour permettre à l'utilisateur d'effectuer les tâches voulues, étendez-le à l'aide de stratégies supplémentaires.

Informations complémentaires

Etape 1 : création de l'utilisateur Win-Admin

Etape 3 : création d'une stratégie d'accès au système Win-Admin

Etape 4 : création du filtre Accès aux données Win-Admin

Etape 6 : extension des actions autorisées