Permissions

Cette section permet de définir la liste des opérateurs autorisés à administrer UserLock. Vous pouvez préciser le périmètre fonctionnel attribué à chaque compte utilisateur ou groupe d’utilisateurs de votre domaine Active Directory. Les accès peuvent être configurés en mode lecture et/ou écriture.

Publié le 29 août 2025
Note

  • Pour accéder à cette page, allez dans Paramètres du serveur ▸ Permissions.

  • Vous devez disposer d’au moins une autorisation de lecture sur les permissions du serveur pour afficher cette page.

Vue d’ensemble

La page Permissions définit qui peut administrer UserLock et quelles actions chaque opérateur est autorisé à effectuer.
Les permissions sont attribuées à des comptes ou groupes du domaine Active Directory, chaque autorisation étant accordée en mode lecture et/ou écriture.

Cela permet de :

  • Appliquer des permissions cohérentes à des groupes AD (par exemple Administrators, Helpdesk).

  • Restreindre l’accès aux fonctionnalités sensibles en limitant les droits d’écriture.

  • Garantir la traçabilité en définissant précisément quels comptes AD peuvent effectuer quelles actions.

La colonne Détails de l’interface décrit le périmètre exact de chaque permission.

Configuration par défaut

  • Lors de l’installation, le groupe Administrators est automatiquement ajouté avec toutes les permissions.

  • Lorsque vous ajoutez un nouvel opérateur, la permission Lecture sur Activité / Rapports est activée par défaut.

Gestion des opérateurs

  • Utilisez le bouton Ajouter pour ajouter des utilisateurs ou groupes du domaine comme opérateurs.

  • Utilisez le bouton Supprimer l’opérateur pour retirer un opérateur (les changements prennent effet après enregistrement).

  • Le bouton Mettre à jour les autorisations propose des raccourcis pour tout autoriser, tout refuser, ou définir uniquement les droits de lecture.

Règles de permissions

  • Si vous cochez Refusé pour une permission de lecture, la permission d’écriture correspondante est automatiquement définie sur Refusé.

  • Si vous cochez Autorisé pour une permission d’écriture, la permission de lecture correspondante est automatiquement définie sur Autorisé.

  • Si vous cochez Refusé lors de l’ajout ou de la mise à jour d’un opérateur, un avertissement s’affiche.

Important

⚠️ Le refus a toujours la priorité sur l’autorisation, même si l’opérateur appartient à un autre groupe qui accorde ce droit.

Bonnes pratiques et mises en garde

Comme les permissions d’opérateur donnent des droits d’administration dans UserLock, elles doivent être gérées avec précaution.

  • Appliquez le principe du moindre privilège
    N’accordez que les permissions strictement nécessaires. Préférez la lecture seule si l’écriture n’est pas indispensable.

  • Séparez les responsabilités
    Exemple :

    • Helpdesk : lecture sur les sessions, écriture sur les actions de session

    • Équipe sécurité : écriture sur les stratégies d’accès et MFA

    • Conformité / Audit : lecture seule sur les rapports et journaux

  • Utilisez les groupes Active Directory
    Attribuez les permissions aux groupes AD plutôt qu’aux comptes individuels. Cela simplifie la gestion et évite les comptes oubliés avec des droits excessifs.

  • Révisez régulièrement les permissions
    Vérifiez que les droits correspondent toujours aux responsabilités effectives des opérateurs.

  • Attention avec Refusé
    Un refus a toujours la priorité sur une autorisation, même héritée d’un autre groupe. Utilisez-le uniquement pour bloquer explicitement un droit sensible.