Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 1 reply
  • Subscribers 0 subscribers
  • Views 1037 views
  • Users 0 members are here
Options
Suggested

[2.060][DOCUMENTATION] User with the right Configuration is not able to configure

quasar3c279
Hi,

i have a user which has all rights except Useradmin on two devices. Although he has the right to configure he's not able to make Global Definitions or VPNs. But i think with the configuration role he should have access or am i wrong?

Regards, Mario
  • 0
    Hi Mario,

    I see that you guys are now doing some serious testing [:$]

    I think this is another case for some additional information required in the manual. There is a subtle but important difference when using either device-based configuration role or OU based configuration role ...

    The essential behavior of the OU based configuration role is: 


    • An OU based configuration role allows you to completely manage (edit, create, delete) global definitions within an OU - granting you central/device-spanning global control
    • It additionally grants you the ability to deploy/remove those definitions to/from all devices within this OU
    • Lastly, it allows you to deploy/remove definitions from the global/shared special OU to/from all devices within the current OU (hierarchical usage-paradigm)

    Whereas the behavior of a device-based configuration role is limited:


    • You cannot manage (create/edit/delete) objects within an OU, as your right does not pertain to this area
    • But, you are allowed to deploy/remove objects to/from devices where the OU of the objects and devices is the same - granting you local/device specific configuration control (part of the hierarchical usage-paradigm)
    • Lastly, you are again allowed to deploy/remove definitions from the global/shared special OU to/from all devices for which you a a device specific configuration role (hierarchical usage-paradigm)

    For VPN configuration it is irrelevant whether your rights are bound to an OU or to specific devices as long as all devices which you plan to interconnect in a VPN are either contained in the OU or the list of single configuration rights.

    For instance, there are three Devices A, B, C. Devices A and B are contained in OU X. If you grant your user the configuration role to OU X, this user can create VPNs between device A and B, but not between A and C or B and C, as device B is not contained in OU X.

    Hope that makes some sense for you ... trying to put some more explanations in the documentation during the next weeks.

    And to be fair, you will receive a point for this report ...

    Thanks and regards,
    Henning
Unfiltered HTML