6.2. Gestion des ressources de l'utilisateur

La création de comptes utilisateur représente seulement une des tâches faisant partie du travail d'un administrateur système. La gestion des ressources de l'utilisateur est également une tâches essentielle. À cet égard, trois aspects doivent être pris en considération :

Les sections suivantes passent brièvement en revue chacun des ces aspects.

6.2.1. Qui peut avoir accès aux données partagées ?

L'accès d'un utilisateur à une application, fichier ou répertoire spécifiques est déterminé par les permissions appliquées à l'application, au fichier ou au répertoire en question.

De plus, il est souvent utile de pouvoir appliquer des permissions différentes à des classes d'utilisateurs différentes. Par exemple, la mémoire temporaire partagée devrait permettre d'éviter la suppression accidentelle (ou malveillante) des fichiers d'un utilisateur par tout autre utilisateur que lui-même, tout en garantissant un accès complet au propriétaire des fichiers.

L'accès octroyé au répertoire personnel (parfois appelé home ou maison) d'un utilisateur constitue un autre exemple. Seul le propriétaire du répertoire personnel devrait être en mesure de créer ou examiner des fichiers dans cet emplacement. L'accès de tout autre utilisateur devrait être refusé (du moins sans l'autorisation du propriétaire). Cette différenciation au niveau de l'autorisation de l'accès permet non seulement d'augmenter la confidentialité de l'utilisateur mais permet également d'empêcher le détournement de fichiers personnels.

Ceci étant, de nombreuses situations nécessitent l'accès de multiples utilisateurs aux mêmes ressources d'un ordinateur. Dans ce cas précis, la création minutieuse de groupes partagés sera peut-être nécessaire.

6.2.1.1. Groupes et données partagés

Comme nous l'avons mentionné dans l'introduction, les groupes sont des entités logiques pouvant être utilisés pour regrouper des comptes utilisateurs oeuvrant dans un but précis.

Lors de la gestion des utilisateurs au sein d'une entreprise, il est sage d'identifier les données particulières auxquelles certains services devraient avoir accès, celles dont l'accès devrait être refusé à d'autres services et celles qui devraient être partagées par tout le personnel de l'entreprise. En déterminant préalablement ces points précis, il sera plus facile non seulement de créer une structure de groupe appropriée, mais également d'octroyer les permissions adéquates devant s'appliquer aux données partagées.

Par exemple, imaginez que le service des finances doivent tenir une liste des comptes des mauvais payeurs. Cette liste doit être également disponible au service de recouvrement de dettes. Si les personnel des deux services fait partie du même groupe appelé comptes, ces informations peuvent être placées dans le même répertoire (dont le groupe comptes est propriétaire) soumis à des permissions en lecture et écriture s'appliquant à l'ensemble du groupe.

6.2.1.2. Établissement d'une structure de groupe

Parmi les défis auxquels les administrateurs système doivent faire face lors de la création de groupes partagées figurent points suivants :

  • Quels groupes créer

  • Qui inclure dans un groupe donné

  • Quel types de permissions donner à ces ressources partagées

Pour faire face à ces défis, il est utile d'adopter une approche basée sur le bon sens. Une possibilité consiste à copier la structure de votre organisation lors de la création de groupes. Par exemple, si votre entreprise a un service des finances, créez un groupe appelé finances auquel tous les membres du personnel de ce service appartiendront. Si les informations financières sont trop confidentielles pour être disponibles dans toute l'entreprise mais sont absolument essentielles pour les échelons supérieurs de la direction de l'entreprise, il suffit d'accorder à la direction des permissions de groupe afin que ses membres puissent avoir accès aux répertoires et données utilisés par le service des finances ; pour ce faire, ajoutez au groupe finances tous les membres des échelons supérieurs de la direction de l'entreprise.

Il est également bon d'adopter une approche très prudente lors de l'octroi de permissions aux utilisateurs. De cette manière, il y a moins de risques que des informations confidentielles ne tombent entre de mauvaises mains.

En traitant la création de la structure des groupes de votre entreprise de la sorte, vous serez plus à même de satisfaire de manière sûre et efficace, les besoins d'accès aux données partagées au sein de votre entreprise.

6.2.2. Où les utilisateurs peuvent-ils avoir accès aux données partagées ?

Lors du partage de données parmi des utilisateurs, il est courant d'avoir un serveur central (ou un groupe de serveurs) mettant certains répertoires à disposition d'autres ordinateurs sur le réseau. De la sorte, les données sont stockées en un seul endroit et la synchronisation des données entre de multiples ordinateurs n'est par conséquent pas nécessaire.

Avant d'adopter cette approche, vous devez d'abord déterminer les systèmes qui devront avoir accès aux données stockées localement. Lors de ce processus, prenez note des systèmes d'exploitation utilisés par les différents systèmes. Ces informations influenceront la facilité avec laquelle vous implémenterez une telle approche étant donné que votre serveur de stockage doit être en mesure de transférer ses données à chacun des systèmes d'exploitation utilisés dans votre entreprise.

Malheureusement, dès l'instant où des données sont partagées entre de multiples ordinateurs d'un même réseau, des risques de conflit au niveau de la propriété des fichiers apparaissent.

6.2.2.1. Problèmes de propriété globale

Le stockage central de données auxquelles de multiples ordinateurs d'un réseau peuvent avoir accès offre un certain nombre d'avantages. Toutefois, supposez pour un instant que chacun de ces ordinateurs ait une liste de comptes utilisateur maintenue localement. Que se passe-t-il si la liste des utilisateurs maintenue sur chacun de ces systèmes n'est pas semblable à celle présente sur le serveur central ? Pis encore, que se passe-t-il si les différentes listes d'utilisateurs présentes sur chacun de ces systèmes ne sont pas homogènes entre elles ?

La situation dépend certes de la manière selon laquelle les utilisateurs et permissions d'accès sont implémentés sur chacun des systèmes, mais dans certains cas, il est fort possible que l'utilisateur A d'un système soit connu en tant qu'utilisateur B sur un autre système. Une telle situation devient vraiment problématique lorsque des données sont partagées entre ces systèmes dans la mesure où celles auxquelles l'utilisateur A peut avoir accès depuis un système particulier peuvent également être lues par l'utilisateur B d'un autre système.

C'est la raison pour laquelle de nombreuses entreprises utilisent une base de données d'utilisateurs centrale. De cette manière, les listes d'utilisateurs ne se chevauchent pas sur différents systèmes.

6.2.2.2. Répertoires personnels

Un autre aspect auquel les administrateurs système sont confronté est la possibilité offerte ou non aux utilisateurs d'avoir des répertoires personnels stockés localement.

L'avantage essentiel de la centralisation des répertoires personnels sur un serveur branché au réseau réside dans le fait que si un utilisateur se connecte à tout ordinateur du réseau, il pourra avoir accès aux fichiers contenus dans son répertoire personnel.

L'inconvénient est que si le réseau tombe en panne, les utilisateurs de toute l'entreprise n'auront plus accès à leurs fichiers. Dans certains cas (par exemple dans des entreprises où l'utilisation des ordinateurs portables est très répandue), il n'est pas recommandé d'avoir des répertoires personnels centralisés. Ceci étant, si le déploiement de répertoires personnels centralisés est une option appropriée dans votre situation particulière, votre travail d'administrateur système n'en sera que simplifié.

6.2.3. Quelles barrières sont mises en place afin d'éviter la mauvaise utilisation des ressources ?

L'organisation minutieuse des groupes et l'attribution des permissions pour les ressources partagées représentent certaines des tâches les plus importantes qu'un administrateur système puisse effectuer afin d'éviter la mauvaise utilisation des ressources par les utilisateurs au sein d'une entreprise. Grâce à cette minutie, il est possible de cibler l'interdiction de l'accès aux ressources confidentielles et donc de refuser l'accès aux personnes non autorisées.

Quelle que soit l'approche adoptée par votre entreprise, la meilleure façon de vous protéger contre la mauvaise utilisation des ressources est toujours une vigilance soutenue de la part de l'administrateur système. En surveillant bien la situation, vous éviterez souvent d'être accueilli au bureau un beau matin par une pile de mauvaises surprises en attente de résolution.