Práva k operacím

Tlačítko Práva k operacím na kartě SPRÁVA nabízí dva příkazy:

  • Práva k operacím – rozhraní pro prohlížení, přidělování a odebírání jednotlivých práv. Popisuje podkapitola Práva k operacím.

  • Práva na nových objektech – rozhraní pro prohlížení, přidělování a odebírání jednotlivých práv pro nové objekty. Popisuje podkapitola Práva na nových objektech.

Rozdělení práv

Seznam existujících práv a jejich stručný popis je k dispozici v kapitole Seznam práv k operacím.

Pro každou z vyjmenovaných systémových operací lze navíc přidělit tři různá práva:

  • EXECUTE – právo provést danou operaci;

  • GRANT – právo přidělit právo k provedení operace jiným uživatelům;

  • REVOKE – právo odebrat právo k provedení operace jiným uživatelům.

U některých operací, které se týkají určitých objektů (například uživatelů), je navíc možné se rozhodnout, zda právo přidělit jen pro vybraný typ objektů (například uživatelů v určité doméně) nebo pro všechny. Kromě toho lze právo zvlášť přidělit jen „pro nové objekty“, tedy pro typ objektů, který ještě neexistuje (například pro uživatele v doménách, které teprve v budoucnu vzniknou).

Ve výchozím nastavení systému existují čtyři administrátorské role, mezi něž jsou rozděleny různé oblasti práv:

  • Security Administrator – může přidělovat (grant) a odebírat (revoke) práva ostatním, ale sám nic neprovádí.

  • Entity Administrator – správa uživatelů, skupin a rolí (přidávání, mazání i úprava vlastností), správa domén.

  • Membership Administrator – přiřazování uživatelů/skupin do skupin a rolí.

  • Configuration Administrator – obecná nastavení serveru.

Konkrétní přidělení jednotlivých práv je uvedeno v kapitole Seznam práv k operacím.

Pro funkcionalitu vzdáleného podepisování je důležité právo k operaci administrace vzdáleného podepisováníRSM_SIGNING_ADMINISTRATOR. Toto právo mají ve výchozím nastavení role Security Administrator, Configuration Administrator a dále uživatel ffs_system_account.

  • Uživatel mající právo na operaci RSM_SIGNING_ADMINISTRATOR má oprávnění na schvalování a administraci podpisových certifikátů obou certifikačních autorit – PostSignum i SignMaster. V případě SignMaster CA dochází k vygenerování podpisového certifikátu schválením žádosti o vydání.

  • Právo RSM_SIGNING_USER umožňuje povolení vzdáleného podepisování uživateli – zpřístupňuje GUI ribbon / Podpisové certifikáty (není možné žádat o vydání certifikátu, pokud uživatel nějaký certifikát má, může jej používat)

  • Právo RSM_SIGNING_USER_POSTSIGNUM umožňuje žádat o vydání certifikátu od kvalifikované certifikační autority PostSignum.

  • Právo RSM_SIGNING_USER_SIGNMASTER umožňuje žádat o vydání certifikátu od nekvalifikované certifikační autority SignMaster CA.