Privilèges d’accès pour les utilisateurs de plusieurs groupes
Un utilisateur peut appartenir à plusieurs groupes. Dans le même temps, l’accès peut être autorisé ou refusé à n’importe quel groupe. Une logique bien définie s’applique à cette situation afin que vous puissiez déterminer si l’utilisateur a accès ou non. La règle est la suivante : Les privilèges d’accès les plus proches de l’utilisateur prévalent. Ce concept est expliqué plus en détail ci-dessous.
Supposons que l’utilisateur A appartienne à plusieurs groupes, comme indiqué dans l’illustration suivante. Plus précisément, l’utilisateur A et l’utilisateur B sont tous deux membres du groupe Tous les collaborateurs et d’un autre groupe connu sous le nom de groupe Modèle. L’utilisateur C, cependant, n’est pas membre du groupe de modèles. Que se passe-t-il lorsque l’accès est refusé à ces groupes ? Tout d’abord, nous refuserons l’accès au groupe Tous les collaborateurs, puis au groupe Modèle.
Avant d’entrer dans le vif du sujet, cependant, établissons une base de référence en examinant le cas suivant. L’illustration suivante est une version de l’onglet Permissions des utilisateurs qui a été modifié pour afficher simultanément les permissions de tous les utilisateurs et groupes répertoriés dans la zone. (En réalité, vous devez sélectionner le nom dans la case pour voir si cet utilisateur ou ce groupe a été autorisé ou refusé.) Dans ce cas, Tous les collaborateurs, le groupe de modèles et l’utilisateur A sont tous explicitement autorisé. Bien que l’utilisateur B et l’utilisateur C ne soient pas affichés dans la zone ci-dessous, ils le sont également implicitement autorisés, car ils sont membres de Tous les collaborateurs et du groupe de modèles.
Supposons maintenant que vous ne souhaitiez pas que tous les membres de la société aient accès à ce modèle. Vous refusez donc la permission à Tous les collaborateurs. L’onglet Permissions utilisateur ressemble maintenant à l’illustration suivante. Tous les membres du groupe de modèles sont autorisés à y accéder. L’utilisateur A n’est pas seulement membre du groupe de modèles (implicite), mais il est également listé explicitement dans la boîte. L’utilisateur A est donc autorisé à accéder à la fois explicitement et implicitement. L’utilisateur B est membre du groupe de modèles et a accès implicitement à ce groupe, mais n’a pas d’accès explicite.
Mais vous vous souvenez de l’utilisateur C qui avait auparavant accès à ce modèle ? L’utilisateur C est uniquement membre de Tous les collaborateurs et, comme l’accès au groupe Tous les collaborateurs s’est vu refuser, l’utilisateur C ne peut plus accéder à ce modèle.
Enfin, supposons que vous refusiez l’accès au groupe de modèles parce que vous souhaitez qu’ils utilisent un autre modèle. Cependant, vous souhaitez que l’utilisateur A continue à utiliser ce même modèle. L’utilisateur A a toujours accès car l’utilisateur A est explicitement répertorié ici, et l’accès est donc autorisé.
Vous vous souvenez maintenant de l’utilisateur B qui avait auparavant accès à ce modèle ? Étant donné que l’utilisateur B est membre du groupe de modèles et que l’accès à ce groupe lui est refusé, l’utilisateur B ne peut plus accéder à ce modèle. La seule personne qui peut accéder au modèle est l’utilisateur A.
Dans le cas de deux hiérarchies de groupe de niveau supérieur, le processus a une tournure supplémentaire. Un même utilisateur pourrait être autorisé à accéder à l’un et pas à l’autre. Un exemple de ce cas est illustré dans l’illustration suivante. La même règle s’applique : Les privilèges d’accès les plus proches de l’utilisateur prévalent. Dans l’illustration suivante, l’utilisateur A a toujours accès.
En cas d’égalité, l’utilisateur autorisé l’accès gagne. Dans l’illustration suivante, supposons que vous refusez l’accès à l’utilisateur A dans le groupe de modèles, mais que vous autorisez l’accès à l’utilisateur A dans le groupe Tous les collaborateurs. L’utilisateur A y aura toujours accès.
