Utilisez le contrôle d'accès basé sur les rôles de la console d'administration pour déterminer quels privilèges d'administration sont accordés à lequel de vos comptes d’utilisateurs Active Directory.

Ces rôles et leurs droits associés déterminent quelles actions de gestion un utilisateur peut effectuer à l'aide de la console d'administration. La visibilité des fonctionnalités et des éléments de la console d'administration est contrôlée par le rôle attribué au compte Active Directory de la personne. Par exemple, une personne d'un groupe Active Directory qui reçoit le rôle Administrateur du support technique en lecture seule peut accéder aux fiches utilisateurs pour les utilisateurs finaux et afficher les informations, mais ne peut pas effectuer des opérations sur les postes de travail. Une personne d'un groupe Active Directory qui reçoit le rôle Administrateur de support technique peut accéder aux fiches utilisateurs, effectuer des opérations de dépannage et afficher les informations. Vous devez attribuer un rôle aux groupes Active Directory appropriés de votre organisation avant que les utilisateurs de ce groupe puissent se connecter au second écran de connexion de la console d'administration et accéder à des actions de gestion.

Conditions préalables

Attention : Avant d'attribuer des rôles à vos groupes Active Directory existants, examinez l'appartenance au compte d'utilisateur dans les groupes Active Directory pour vous assurer qu'un compte d'utilisateur reçoit uniquement un de ces rôles. Créez des groupes Active Directory spécifiques, si nécessaire. Étant donné que ces rôles sont attribués au niveau du groupe Active Directory, des résultats inattendus peuvent se produire si le compte Active Directory d'un utilisateur appartient à deux groupes Active Directory et qu'un rôle différent est attribué à chaque groupe. Les fonctionnalités de la console d'administration sont visibles en fonction de cet ordre de priorité :
  1. Super administrateur
  2. Administrateur de support technique
  3. Administrateur de démo
  4. Administrateur de support technique en lecture seule

À la suite de cet ordre de priorité, si le compte Active Directory d'un utilisateur appartient à la fois aux groupes Active Directory ADGroup1 et ADGroup2, et que vous attribuez le rôle Super administrateur à ADGroup1 et le rôle Administrateur de support technique en lecture seule à ADGroup2, la console d'administration affiche toutes les fonctionnalités en fonction du rôle Super administrateur, au lieu du sous-ensemble de fonctionnalités pour l'autre rôle, car le rôle Super administrateur est prioritaire.

Attention : Si vous ne disposez que d'un seul groupe Active Directory auquel le rôle Super administrateur est attribué, ne supprimez pas ce groupe du serveur Active Directory. Cela peut entraîner des problèmes avec les connexions futures.

Procédure

  1. Sélectionnez Paramètres > Rôles et autorisations.
    La page Rôles et autorisations s'affiche.
    Il existe quatre rôles par défaut, présentés dans le tableau suivant.
    Rôle Description
    Super administrateur Rôle obligatoire devant être attribué à au moins un groupe dans votre domaine Active Directory et éventuellement à d'autres. Ce rôle accorde toutes les autorisations pour réaliser des actions de gestion dans la console d'administration.
    Important :
    • Assurez-vous que le compte de jonction de domaine que vous avez spécifié lors de l'inscription du domaine Active Directory dans le premier nœud est dans un des groupes ayant le rôle Super administrateur. Pour la réussite complète des opérations impliquant des images et des opérations de jonction de domaines, le rôle Super administrateur doit être attribué à ce compte de jonction de domaine.
    • Le rôle Super administrateur est toujours attribué au compte de liaison de domaine, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console d'administration. Vous devez vous assurer que le compte de liaison de domaine n'est pas accessible aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.
    Administrateur de support technique Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. L’objectif de ce rôle consiste à fournir un accès à la console d'administration afin que vos groupes Active Directory ayant ce rôle puissent utiliser les fonctionnalités de la fiche utilisateur pour :
    • Consulter l'état des sessions d'utilisateurs finaux.
    • Effectuer des opérations de dépannage sur les sessions.
    Administrateur de support technique en lecture seule Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. L’objectif de ce rôle consiste à fournir un accès à la console d'administration afin que vos groupes Active Directory ayant ce rôle puissent utiliser les fonctionnalités de la fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux.
    Administrateur de démo Rôle en lecture seule que vous pouvez éventuellement attribuer à un ou plusieurs groupes. Les administrateurs de démo peuvent consulter les paramètres et sélectionner des options pour voir les choix supplémentaires dans la console, mais les sélections ne changent pas les paramètres de configuration.
  2. Sélectionnez un rôle dans la liste Rôles et cliquez sur Modifier.
  3. Dans la boîte de dialogue Modifier, utilisez la fonction de recherche d'Active Directory pour sélectionner un groupe pour le rôle et cliquez sur Enregistrer.
    Important : Ces rôles ne peuvent être attribués qu'à des groupes. La console d'administration ne permet pas de sélectionner des comptes d'utilisateurs Active Directory individuels pour chaque rôle.

    Ce point est essentiel pour le compte de jonction de domaine. Si le compte de jonction de domaine que vous avez inscrit pour votre nœud initial n’est pas déjà dans un de vos groupes Active Directory, créez-en un pour ce compte afin de vous assurer que le rôle Super administrateur peut être attribué à ce compte de jonction de domaine. Le rôle Super administrateur doit être attribué à ce compte de jonction de domaine.

    Note : N'ajoutez pas le même groupe à plusieurs rôles. Cela peut empêcher certains utilisateurs du groupe d'accéder à toutes les fonctions attendues.