Información general sobre la administración basada en roles

Ivanti® Endpoint Manager le permite administrar usuarios de consola mediante un conjunto amplio de funciones de administración basadas en roles. Se puede:

  • Asignar permisos de grupo con base en funciones granulares
  • Asignar permisos fácilmente a usuarios múltiples mediante grupos de usuario locales o de LDAP
  • Sincronizar configuraciones de usuarios de consola a través de servidores central múltiples

Puede crear roles para los usuarios según sus responsabilidades, las tareas de administración que desea que realicen y los dispositivos a los que desea que tengan acceso, vean y administren. El acceso a los dispositivos se puede limitar a una ubicación geográfica como un país, región, estado, ciudad o incluso una sola oficina o departamento. El acceso también se puede limitar a una plataforma de dispositivo, tipo de procesador o cualquier otro atributo de hardware o software determinado del dispositivo. Con la administración basada en roles, puede elegir cuántos roles desea crear, qué usuarios pueden actuar en dichos roles y qué tan grande o pequeño es el ámbito de acceso al dispositivo. Por ejemplo, puede haber uno o más usuarios cuyo rol sea la de administrador de distribución de software, otro usuario responsable de las operaciones de control remoto, un usuario que ejecute informes, etc.

Si no tiene demasiados usuarios de consola o no quiere limitar la cantidad de usuarios de consola que tiene, puede evitar completamente la administración basada en roles y solamente agregar los usuarios al grupo local de Administradores de LANDESK del servidor central. Los miembros de este grupo tienen acceso pleno a la consola y pueden administrar todos los dispositivos. Como valor predeterminado, la cuenta que se utiliza para instalar Endpoint Manager se coloca en el grupo de Administradores de LANDESK.

La administración basada en roles es lo suficientemente flexible para permitirle crear tantos roles personalizados como sea necesario. Puede asignar los mismos permisos a varios usuarios, aunque deberá restringir el acceso de ellos a una serie limitada de dispositivos con un ámbito reducido. Se puede limitar incluso el ámbito de un administrador, sobre todo si pasa a ser administrador de un área geográfica o un tipo de dispositivo administrado específicos. El modo en que aproveche las ventajas de la administración basada en rolesdepende tanto de los recursos de red y personal como de sus necesidades concretas.

NOTE: Los requisitos de la consola adicional de Endpoint Manager han cambiado en la versión 2024. Los usuarios de consola adicionales que no sean miembros del grupo "Administradores de Ivanti" de Windows en el servidor central requerirán que configure cuentas de usuario de base de datos separadas para ellos. Para obtener más información, consulte la Ivanti Community.

El siguiente es el proceso básico para usar la administración basada en roles:

  1. Crear roles para los usuarios de consola.
  2. Utilizar la herramienta de Usuarios y de grupos locales de Windows para agregar usuarios de consola a los grupos de Windows LANDESK apropiados.
  3. Crear autenticaciones para cada Active directory que se usará para designar usuarios de consola.
  4. Opcionalmente, usar ámbitos para limitar la lista de dispositivos que los usuarios de consola pueden administrar.
  5. Opcionalmente, se pueden usar grupos para también clasificar en categorías a los usuarios de consola.

Endpoint Manager Los usuarios de pueden iniciar una sesión en la consola y realizar tareas concretas en determinados dispositivos de la red. El usuario que inició sesión en el servidor durante la instalación de Endpoint Manager se coloca automáticamente en el grupo de usuarios de Administradores de LANDESK de Windows, que les otorga permisos plenos de administrador. Este individuo es responsable de agregar usuarios de grupo adicionales a la consola y asignar permisos y ámbitos. Una vez que se han creado los demás administradores, estos pueden realizar las mismas tareas administrativas.

Endpoint Manager La instalación de crea varios grupos locales de Windows en el servidor central. Estos grupos controlan los permisos del sistema de archivos en las carpetas del programa de Endpoint Manager y Security del servidor central. Debe agregar manualmente los usuarios de consola a uno de estos grupos locales de Windows:

  • LANDESK Management Suite: este grupo proporciona acceso básico al servidor central. Las carpetas de Endpoint Manager son de sólo lectura. Los usuarios en este grupo no pueden escribir en el directorio de secuencias de comandos, por lo tanto no podrán administrar las secuencias de comandos. La corrección de vulnerabilidades mediante revisiones y el aprovisionamient del SO no trabajarán correctamente para los usuarios de este grupo porque estas dos funciones usan secuencias de comandos.
  • Administradores de LANDESK: este es el grupo a prueba de error para tener acceso a la consola. Algún miembro de este grupo tiene derechos completos en la consola, incluyendo la escritura de secuencia de comandos. Por defecto, la cuenta de usuario que instaló Endpoint Manager se agrega a este grupo. Si no tiene demasiados usuarios de consola o no quiere limitar la cantidad de usuarios de consola que tiene, puede evitar completamente la administración basada en roles y solamente agregar los usuarios a este grupo.

Cuando agregue administradores plenos a la consola, puede agregarlos bien sea al grupo local de Administradores de LANDESK del servidor central o puede agregarlos a un grupo diferente que tenga derechos de "Administrador" LANDESK. La única diferencia es que los usuarios del grupo de Administradores de LANDESK en Windows no se pueden eliminar de la consola hasta que se eliminen del grupo de Administradores de LANDESK.

El árbol de Usuarios y grupos de las Herramientas de usuarios muestra la lista de usuarios de consola autorizados. Se puede ver la última vez que un usuario de consola inició sesión, su grupo, rol, ámbito, estado de restricción de tiempo de control remoto y equipo. También puede utilizar este árbol para ver si los usuarios están en los grupos Windows locales de LANDESK. Los usuarios no podrán iniciar sesión hasta que se hayan agregado a uno de los grupos de LANDESK que se describen en esta sección.

Los usuarios se almacenan en la base de datos mediante identificadores de seguridad únicos (SID). Si un usuario de Active Directory cambia el nombre de cuenta, por ejemplo, si se casa, su SID debe seguir siendo el mismo y sus permisos de Endpoint Manager se seguirán aplicando.

IMPORTANT: Las consolas adicionales y el servidor central deben ser miembros del mismo dominio o grupo de trabajo. Los usuarios de consola no se podrán autenticar con un servidor central que esté en un dominio o grupo de trabajo diferente.

Para agregar usuarios a un grupo LANDesk desde el cuadro de diálogo de Windows Computer Management
  1. En el servidor, desplácese hasta la utilidad Herramientas administrativas > Administración de equipos > Usuarios locales y grupos > Grupos.
  2. Haga clic con el botón derecho en el grupo de LANDesk que desee y luego haga clic en Agregar a grupo.
  3. En el cuadro de diálogo Propiedades del grupo, haga clic en Agregar.
  4. En el cuadro de diálogo Seleccionar usuarios y grupos, seleccione los usuarios (y grupos) de la lista que desee y haga clic en Agregar.
  5. Haga clic en Aceptar.
Para agregar un grupo o usuario de la consola de Endpoint Manager
  1. Haga clic en Herramientas > Administración > Administración de usuarios.
  2. En el árbol Usuarios y grupos , haga clic en la fuente de autenticación que contiene el usuario o grupo que desee y haga clic en Nuevo usuario o grupo.
  3. En el directorio de la fuente de autenticación, seleccione el usuario o grupo que desee agregar y haga clic en Agregar. Si desea seleccionar usuarios individuales dentro de un grupo, haga clic con el botón derecho en el grupo y haga clic en Seleccionar usuarios para agregar. A continuación, puede seleccionar los usuarios que desee y hacer clic en Agregar usuarios seleccionados.
  4. En el cuadro de diálogo que le recuerda agregar manualmente el usuario o grupo seleccionado al grupo correspondiente de Windows de LANDesk local, haga clic en Aceptar.
  5. Haga clic en Cerrar.
  6. Si no lo ha hecho, utilice la herramienta Usuarios y grupos locales de Windows para agregar el nuevo usuario o grupo al grupo correspondiente de Windows de LANDesk local como se describió anteriormente en esta sección.
  7. Asignar roles y ámbitos al nuevo usuario o grupo.

También puede utilizar el árbol de Administración de usuarios para eliminar usuarios o grupos de la consola. Cuando se elimina un usuario o grupo, se le solicitará que decida cómo quiere manejar los elementos de consola de los cuales el usuario era propietario, como consultas, tareas programadas, etcétera. Puede hacer que la consola automáticamente elimine los elementos que ésta tenga o puede hacer que la consola los reasigne a otro usuario o grupo que usted seleccione. Observe que la eliminación de un usuario sólo elimina a dicho usuario de la base de datos de usuarios de Endpoint Manager. También tendrá que quitar manualmente al usuario o grupo de los grupos de Windows de LANDesk locales de los cuales son miembros. Si no hace esto, el usuario eliminado de todas maneras podrá iniciar sesión en la consola.

Para eliminar un usuario de consola
  1. Haga clic en Herramientas > Administración > Administración de usuarios.
  2. En el árbol de Administración de usuarios, haga clic en Usuarios y grupos.
  3. Seleccione al usuario o grupo que desee eliminar y presione la tecla Suprimir.
  4. Si desea eliminar objetos asociados con el usuario, haga clic en Aceptar.
  5. Si desea reasignar objetos asociados con el usuario de consola, seleccione Asignar objetos al usuario/grupo o la agrupación siguientes y haga clic en al usuario, equipo o agrupación que desee que reciba los objetos y haga clic en Aceptar.
  6. Elimine el usuario del grupo local de Windows de LANDeks o del grupo de Active Directory que les concede acceso a la consola.

En el árbol de Administración > Administración de usuarios, puede hacer clic con el botón derecho en un usuario o grupo en el panel derecho y hacer clic en Propiedades. Este cuadro de diálogo de propiedades muestra todas las propiedades y derechos efectivos de ese usuario. El cuadro de diálogo Propiedades contiene las siguientes páginas:

  • Resumen: resume los roles, ámbitos, equipos, la pertenencia al grupo y los derechos efectivos de ese usuario o grupo.
  • Derechos efectivos: muestra una vista más detallada de los derechos efectivos de ese usuario o grupo.
  • Roles: muestra los roles explícitos y heredados. Puede seleccionar qué roles explícitos se aplican a ese usuario o grupo.
  • Ámbitos: muestra los ámbitos explícitos y heredados. Puede seleccionar qué ámbitos explícitos se aplican a ese usuario o grupo.
  • Agrupaciones: muestra las agrupaciones explícitas y heredadas. Puede seleccionar qué agrupaciones explícitas se aplican a ese usuario o grupo.
  • Restricciones de tiempo del control remoto: le permite aplicar y modificar las restricciones de tiempo RC. Para obtener más información, consulte Utilización de las restricciones de tiempo de control remoto.
  • Pertenencia a grupos: muestra los grupos a los cuales pertenece ese usuario.
  • Miembros de grupo: si se selecciona un grupo, muestra los miembros del grupo. Si se selecciona un usuario, muestra el grupo del cual el usuario es miembro.

Si se realizan cambios en las páginas editables, debe hacer clic en Aceptar para aplicar los cambios. A continuación, puede volver a abrir el cuadro de diálogo Propiedades si es necesario.