Planificación de los grupos de usuarios El primer paso del proceso de planificación, decidir la estrategia global de seguridad, es como establecer la política de la empresa. Ahora ya está preparado para planificar los grupos de usuarios, que es como decidir la política de los departamentos.

¿Qué es un grupo de usuarios? Un grupo de usuarios es exactamente lo que su nombre indica: un conjunto de personas que necesitan utilizar las mismas aplicaciones de la misma forma. Normalmente un grupo de usuarios está formado por personas que trabajan en el mismo departamento y tienen responsabilidades de trabajo parecidas. Para definir un grupo de usuarios, debe crear un perfil de grupo.

¿Qué hace un perfil de grupo? Un perfil de grupo cumple dos cometidos en el sistema: Herramienta de seguridad Herramienta de personalización

Herramienta de seguridad: Un perfil de grupo es una forma sencilla de organizar quién puede utilizar determinados objetos del sistema (autorizaciones sobre objetos). Puede definir autorizaciones sobre objetos para todo un grupo en lugar de para cada uno de los miembros del grupo de forma individual.

Herramienta de personalización: Puede utilizar un perfil de grupo como patrón para la creación de perfiles de usuario individuales. La mayoría de las personas que forman parte del mismo grupo tienen las mismas necesidades de personalización (por ejemplo, menú inicial e impresora por omisión). Puede definir estas necesidades en el perfil de grupo y copiarlas a los perfiles de usuario individuales. Los perfiles de grupo facilitan el mantenimiento de un esquema sencillo y coherente tanto para la seguridad como para la personalización.

Para planificar los grupos de usuarios, necesita estos formularios: Formulario de identificación de grupos de usuarios Formulario de descripción de grupo de usuarios

Formulario de identificación de grupos de usuarios Este formulario ayuda a identificar los grupos de usuarios que tienen necesidades de aplicaciones similares. Se necesitará un formulario de descripción de grupo de usuarios para cada uno de los grupos de usuarios del sistema.

Formulario de descripción de grupo de usuarios Nombre de perfil de grupo: Descripción del grupo: Aplicación primaria del grupo: Indique otras aplicaciones que necesite el grupo: Indique cada una de las bibliotecas que necesita el grupo. Marque (X) cada una de las bibliotecas que deben estar en la lista inicial de bibliotecas del grupo:

Una vez que haya identificado los grupos de usuarios, ya está preparado para planificar un perfil para cada uno de los grupos. Muchas de las decisiones que tome afectan tanto a la seguridad como a la personalización. Por ejemplo, cuando especifique un menú inicial, puede hacer que un usuario únicamente pueda acceder a ese menú. Pero también puede asegurarse de que el usuario vea el menú correcto tras iniciar la sesión. La seguridad y la personalización del sistema iSeries se han diseñado para proporcionar una gran flexibilidad. El método de planificación de este tema ofrece una buena forma de diseñar perfiles de grupo y descripciones de trabajo, pero el programador o el proveedor de aplicaciones puede recomendarle otro método.

Denominación de los perfiles de grupo Dado que un perfil de grupo actúa como un tipo especial de perfil de usuario,tiene que asignarles nombres especiales. Para que aparezcan juntos en las listas, los perfiles de grupo deben empezar por los mismos caracteres, como GRP (grupo) o DPT (departamento). Siga estas directrices cuando denomine grupos de usuarios: Los nombres de grupos de usuarios pueden tener hasta 10 caracteres de longitud. El nombre puede contener letras, números y los siguientes caracteres especiales: #, $ (dólar), _ (subrayado) (signo de arroba). El nombre no puede empezar por un número.

La aplicación incluye las bibliotecas en la lista inicial de bibliotecas de un usuario. La aplicación ejecuta un programa de configuración que coloca las bibliotecas en la lista de bibliotecas del usuario. No es necesario que las bibliotecas estén en la lista de bibliotecas. Los programas de aplicación siempre especifican la biblioteca.

Utilización de una descripción de trabajo Cuando un usuario inicia la sesión en el sistema, la descripción de trabajo del usuario define numerosas características del trabajo, entre ellas cómo se imprime el trabajo, cómo se ejecutan los trabajos de proceso por lotes y la lista inicial de bibliotecas. El sistema se distribuye con una descripción de trabajo, denominada QDFTJOBD, que se puede utilizar al crear perfiles de grupo. Sin embargo, QDFTJOBD especifica el valor del sistema QUSRLIBL como la lista inicial de bibliotecas. Si quiere que diferentes grupos de usuarios tengan acceso a diferentes bibliotecas al iniciar la sesión, debe crear descripciones de trabajo exclusivas para cada grupo.

Elección de los valores del sistema que afectan al inicio de sesión Contraseña Programa inicial y procedimiento inicial Menú inicial y biblioteca del menú inicial Elección de los valores que limitan lo que puede hacer un usuario Limitar posibilidades Clase de usuario Si personaliza el sistema correctamente, los usuarios sólo tendrán que entrar el ID de usuario y la contraseña en la pantalla de inicio de sesión. Los perfiles de usuario de los mismos proporcionarán los demás valores de inicio de sesión, los valores que se modifican son los siguientes:

Contraseña Se establece la contraseña en un perfil de grupo en *NONE. Esto hace que nadie pueda iniciar la sesión utilizando el perfil de grupo. Posteriormente, cuando copie el perfil de grupo para crear perfiles de usuario individuales, establezca una contraseña para cada uno de los usuarios.

Programa inicial y procedimiento inicial El programa inicial de un usuario, denominado también programa de inicio de sesión, se ejecuta antes de que el sistema muestre el primer menú. Los programas o procedimientos iniciales se utilizan por uno de estos motivos : Algunas aplicaciones utilizan un programa inicial para configurar el entorno de la aplicación. Esto evita riesgos para la seguridad en una estación de trabajo situada en un lugar público. Al establecer el campo Limitar posibilidades para un usuario en *YES o *PARTIAL, se impide que el usuario cambie el programa inicial en la pantalla de inicio de sesión.

Menú inicial y biblioteca del menú inicial El menú inicial, denominado también primer menú, es el primer menú que ve el usuario tras iniciar la sesión. El programa inicial se ejecuta antes de que se muestre el menú inicial. Si el programa inicial muestra alguna pantalla, el usuario la ve antes de que el sistema muestre el menú inicial. Como norma general, el menú inicial de un grupo debe ser el menú primario de la aplicación principal del grupo. Especifique el nombre de menú y la biblioteca del mismo. Al establecer el campo Limitar posibilidades para un usuario en *YES, el usuario no puede cambiar el menú inicial en la pantalla de inicio de sesión. Al establecer el campo Limitar posibilidades para un usuario en *PARTIAL, se permite al usuario cambiar el menú inicial en la pantalla de inicio de sesión.

Elección de los valores que limitan lo que puede hacer un usuario Tras entrar las opciones elegidas para los valores que afectan al inicio de sesión, debe plantearse la conveniencia de limitar lo que un usuario puede hacer en el sistema. Puede interesarle limitar lo que pueden hacer los usuarios por varios motivos: Para impedir que utilicen mandatos de CL. Podrían tener la tentación de experimentar y ocasionar daños de forma no intencionada. Para restringir a los usuarios a aplicaciones y funciones específicas. Para proporcionar un entorno sencillo donde los usuarios no se confundan con opciones innecesarias.

Son muchos los factores que determinan cuánto pueden hacer los usuarios: El diseño de las aplicaciones. Los valores del sistema. La seguridad por recursos. Los perfiles de grupo. Los perfiles de usuario. Las descripciones de trabajo. Dos campos del perfil de grupo o usuario, Limitar posibilidades y Clase de usuario, determinan hasta qué punto un usuario puede eludir las decisiones que nosotros tomemos.

Limitar posibilidades El campo Limitar posibilidades se denomina Uso restringido de la línea de mandatos. Puede limitar si los usuarios pueden modificar los valores de la pantalla de inicio de sesión, entrar mandatos y cambiar el programa de manejo de la tecla de atención. Puede elegir entre establecer limitaciones estrictas (*YES), limitaciones medias (*PARTIAL) y ninguna limitación (*NO). La tabla siguiente muestra lo que permite cada uno de estos valores:

Clase de usuario La clase de usuario, denominada también tipo de usuario, determina las opciones que ve el usuario en los menús de Operational Assistant y del sistema. Asimismo, determina las funciones del sistema que puede llevar a cabo un usuario, salvo que indique autorizaciones en el campo Autorización especial.