Visão geral da administração com base em funções

Ivanti® Endpoint Manager permite gerenciar usuários de console com um conjunto extenso de recursos administrativos baseados em função. Você pode:

  • Atribuir permissões de grupo baseada em recurso granular
  • Atribuir facilmente permissões para múltiplos usuários através de grupos de usuários locais ou LDAP
  • Sincronizar configurações de usuário de console entre múltiplos servidores núcleos

Você pode criar funções de acordo com as responsabilidades do usuário, com as tarefas administrativas que deseja que eles possam executar e com os dispositivos que deseja que eles possam ver, acessar e gerenciar. O acesso aos dispositivos pode ser restrito a uma localização geográfica, como um país, uma região, um Estado, uma cidade ou, até mesmo, um único escritório ou departamento. Ou, pode ser restrito a uma plataforma de dispositivo específica, a um tipo de processador ou a algum outro atributo de hardware ou software. A administração com base em funções, possibilita o controle total sobre o número de funções diferentes que você deseja criar, sobre que usuários poderão atuar nessas funções e sobre o escopo do acesso aos dispositivos. Por exemplo, você pode ter um ou mais usuários cuja função seja "gerente de distribuição de software", outro usuário responsável por operações de controle remoto, um usuário que executa relatórios, e assim por diante.

Se não tiver muitos usuários de console ou se não quiser limitar os usuários do console existentes, você pode ignorar completamente a administração baseada em função e apenas adicionar usuários ao grupo Administradores LANDESK do servidor-núcleo. Os membros deste grupo tem acesso pleno ao console e pode gerenciar todos os dispositivos. Por padrão, a conta usada para instalar o Endpoint Manager é colocada no grupo Administradores LANDESK.

A administração com base em funções é suficientemente flexível para permitir a criação de tantas funções personalizadas quanto necessárias. É possível atribuir as mesmas poucas permissões a diferentes usuários, mas restringir seu acesso a um conjunto limitado de dispositivos com um escopo reduzido. Até mesmo um administrador pode ter seu escopo limitado, tornando-o, essencialmente, um administrador de uma região geográfica específica ou de um tipo de dispositivo gerenciado. A forma como a administração com base em funções será aproveitada depende dos recursos de rede e pessoal, além das suas necessidades específicas.

NOTE: Os requisitos adicionais do console do Endpoint Manager foram alterados na versão 2024. Usuários adicionais do console que não sejam membros do grupo "Administradores LANDesk" do Windows no servidor núcleo exigirão que você configure contas de usuário de banco de dados separadas para eles. Para mais informações, consulte a Comunidade Ivanti.

O seguinte é o processo básico para uso da administração baseada em função:

  1. Criar funções para usuários do console.
  2. Use a ferramenta Usuários e Grupos Locais do Windows para adicionar usuários do console aos grupos apropriados do Windows LANDESK.
  3. Criar autenticações para cada Diretório ativo (Active directory) que você estará usando para designar usuários de console.
  4. Opcionalmente usar escopos para limitar a lista de dispositivos que usuários do console podem gerenciar.
  5. Opcionalmente usar equipes para categorizar mais os usuários de console.

Endpoint Manager Os usuários do podem fazer login no console e realizar determinadas tarefas em dispositivos específicos da rede. O usuário que está logado no servidor durante a instalação do Endpoint Manager é colocado automaticamente no grupo Administradores LANDesk do Windows, o que lhe concede permissões administrativas completas. Esse indivíduo é responsável pela adição de grupos ao console e pela atribuição de permissões e escopos. Quando outros administradores forem criados, eles poderão realizar as mesmas tarefas administrativas.

Endpoint Manager A configuração do cria vários grupos locais do Windows no servidor núcleo. Esses grupos controlam as permissões do sistema de arquivos para as pastas de programa do Segurança e Gerenciador de Ponto de Extremidade no servidor núcleo. Você precisa adicionar manualmente os usuários do console a um desses grupos locais do Windows:

  • LANDesk Management Suite: este grupo permite acesso básico ao núcleo. As pastas do Endpoint Manager são somente leitura. Os usuários neste grupo não podem gravar no diretório de scripts, portanto eles não podem gerenciar script. O patch de vulnerabilidades e o provisionamento de SO não funcionarão corretamente neste grupo porque ambos usam scripts.
  • Administradores LANDesk: este é o grupo à prova de falhas para acesso ao console. Qualquer um nesse grupo tem direitos totais no console, inclusive o de gravar script. Como padrão, a conta de usuário que instalou o Endpoint Manager é adicionada a este grupo. Se não tiver muitos usuários de console ou se não quiser limitar os usuários do console existentes, você pode ignorar completamente a administração baseada em função e apenas adicionar usuários a este grupo.

Ao adicionar administradores totais ao console, você pode incluí-los no grupo local de Administradores LANDesk do servidor núcleo ou em outro grupo que tenha o direito de "Administrador" LANDesk. A única diferença é que os usuários no grupo Administradores LANDesk do Windows não podem ser excluídos a partir do console até que sejam removidos do grupo Administradores LANDesk.

A árvore Usuários e grupos da ferramenta de usuários exibe a lista com os usuários de console autorizados. É possível exibir o último acesso de um usuário de console, seu grupo, função, escopo, status de limite de tempo de controle remoto e a equipe. Você também pode usar essa árvore para ver se os usuários estão nos grupos LANDesk locais do Windows. Os usuários não poderão fazer logon até que você os tenha adicionando a um dos grupos LANDESK descritos nesta seção.

Os usuários são armazenados no banco de dados por identificadores de segurança únicos (SIDs). Se o nome da conta de um usuário do active directory for alterado, por exemplo, se ele se casar, o SID permanecerá o mesmo e suas permissões do Endpoint Manager ainda serão válidas.

IMPORTANT: Os consoles adicionais e o servidor núcleo precisam fazer parte do mesmo domínio ou workgroup (grupo de trabalho). Os usuários de console não conseguirão autenticar no servidor núcleo que estiver em um diferente domínio ou grupo de trabalho.

Para adicionar usuários a um grupo LANDesk na caixa de diálogo Gerenciamento de Computador Windows
  1. Navegue até o utilitário do servidor Ferramentas administrativas > Gerenciamento de computadores > Usuários e Grupos locais > Grupos.
  2. Clique com o botão direito no grupo LANDesk desejado e clique em Adicionar ao grupo.
  3. Na caixa de diálogo Propriedades do grupo, clique em Adicionar.
  4. Na caixa de diálogo Selecionar os usuários e grupos, selecione os usuários (e grupos) desejados da lista e clique em Adicionar.
  5. Clique em OK.
Para adicionar um usuário ou grupo ao console do Endpoint Manager
  1. Clique em Ferramentas > Administração > Gerenciamento de usuários.
  2. Na árvore Usuários e grupos, clique com o botão direito na origem da autenticação contendo o usuário ou grupo desejado e clique em Novo usuário ou grupo
  3. No diretório de origem da autenticação, selecione o usuário ou o grupo que você deseja adicionar e clique em Adicionar. Se você quiser selecionar usuários individuais dentro de um grupo, clique com o botão direito no grupo e clique em Selecionar usuários para adicionar. Em seguida, você pode selecionar os usuários que você deseja e clique em Adicionar usuários selecionados.
  4. Na caixa de diálogo que lembra a você para adicionar manualmente o usuário ou grupo selecionado ao grupo LANDesk apropriado do Windows, clique em OK.
  5. Clique em Fechar.
  6. Caso ainda não tenha feito, use a ferramenta Usuários e Grupos Locais do Windows para adicionar o novo usuário ou grupo ao apropriado grupo LANDesk local do Windows, conforme descrito anteriormente nesta seção.
  7. Atribua funções e escopos ao novo usuário ou grupo.

Você também pode usar a árvore Gerenciamento de usuários para excluir usuários do console ou grupos. Quando exclui um usuário ou grupo, você é solicitado a decidir o modo como deseja lidar com os itens do console que pertencem a eles, por exemplo, consultas, tarefas agendadas, etc. Você pode fazer o console excluir automaticamente qualquer item pertencente aos usuário ou pode fazer o console atribuir novamente esses itens a outros usuários ou grupos que selecionar. Observe que a exclusão de um usuário ou grupo apenas exclui esse usuário ou grupo do banco de dados de usuários do Endpoint Manager. Você também precisará remover manualmente o usuário ou grupo dos grupos LANDesk locais do Windows. Se não fizer isso, o usuário excluído ainda poderá fazer login no console.

Para excluir um usuário do console
  1. Clique em Ferramentas > Administração > Gerenciamento de usuários.
  2. Na árvore Gerenciamento de usuários, clique em Usuários e grupos.
  3. Selecione o usuário ou grupo que você quer excluir e pressione a tecla Delete.
  4. Se você quiser excluir objetos associados ao usuário, clique em OK.
  5. Se você quiser atribuir objetos associados novamente ao usuário do console, selecione Atribuir objetos ao seguinte usuário/grupo ou equipe e clique no usuário, grupo ou equipe que você deseja que receba os objetos e clique em OK.
  6. Remova o usuário do grupo LANDesk local do Windows ou do grupo do Active Directory que lhe dá acesso ao console.

Na árvore Administração > Gerenciamento de usuários, você pode clicar com o botão direito em um usuário ou grupo no painel direito e clicar em Propriedades. Esta caixa de diálogo de propriedades exibe todas as propriedades e permissões válidas este usuário. A caixa de diálogo Propriedades contém as seguintes páginas:

  • Resumo: resume as funções, escopos, equipes, participação em grupos e direitos efetivos desse usuário/grupo.
  • Permissões válidas: Apresenta uma exibição mais detalhada das permissões válidas do usuário/grupo.
  • Funções: Exibe as funções herdadas e explícitas. Você pode selecionar quais funções explícitas se aplicam a esse usuário ou grupo.
  • Escopos: Exibe os escopos herdados e explícitos. Você pode selecionar quais escopos explícitos se aplicam a esse usuário ou grupo.
  • Equipes: Exibe as equipes herdadas e explícitas. Você pode selecionar quais equipes explícitas se aplicam a esse usuário ou grupo.
  • Limites de tempo do controle remoto: Permite que você aplique e modifique os limites de tempo do controle remoto. Para obter mais informações, consulte Uso de restrições de tempo do controle remoto.
  • Membro de grupo: Exibe os grupos dos quais o usuário é membro.
  • Membros do grupo: Exibe os membros de um grupo se um grupo estiver selecionado. Exibe o grupo do qual um usuário é membro se o usuário estiver selecionado.

Se você fizer alterações nas páginas editáveis, precisará clicar em OK para aplicá-las. Em seguida, é possível reabrir a caixa de diálogo propriedades, se for necessário.