Обзор ролевого администрирования

Ivanti® Endpoint Manager позволяет управлять пользователями консоли с помощью целого набора функций ролевого администрирования. Возможные действия:

  • Назначение выборочных групповых разрешений на основе функций
  • Удобное назначение разрешений нескольким пользователям через локальные группы или группы пользователей LDAP
  • Синхронизация конфигураций пользователей консоли на нескольких главных серверах

Можно создавать роли в зависимости от обязанностей пользователей, задач управления, которые они должны выполнять, и устройств, которые они могут видеть, к которым могут обращаться и которыми могут управлять. Доступ к устройствам можно ограничить географическим положением, например, страна, регион, штат, город или даже отдельный офис или отдел. Можно также ограничить доступ конкретной платформой устройства, типом процессора или каким-либо другим атрибутом оборудования или программного обеспечения. При использовании ролевого администрирования вы сами решаете, сколько различных ролей нужно создать, какие пользователи могут действовать в этих ролях, насколько велика или мала должна быть область действия их устройств. Например, у вас может быть один пользователь или более, ответственный (менеджер) за распространение ПО, другой - ответственный за действия дистанционного управления, еще один - ответственный за получение отчетов и т.д.

Если у вас немного пользователей консоли или вы не хотите их ограничивать, можете полностью отказаться от ролевого администрирования и просто добавить пользователей в локальную группу администраторов LANDESK на главном сервере. Участники этой группы имеют полный доступ к консоли и могут управлять всеми устройствами. По умолчанию учетная запись, которая используется для установки Endpoint Manager, помещается в группу администраторов LANDESK.

Функция ролевого администрирования является достаточно гибкой для создания необходимого количества выборочных ролей. Можно назначить несколько одинаковых разрешений различным пользователям, но ограничить им доступ к определенному набору устройств с помощью более узкой области действия. Даже область действия администратора можно ограничить отдельным географическим регионом или типом управляемых устройств. Оптимальная работа с функцией ролевого администрирования зависит от вашей сети и штатных ресурсов, а также от ваших потребностей.

NOTE: В версии 2024 изменились требования к консоли Endpoint Manager. Для дополнительных пользователей консоли, не являющихся членами группы администраторов LANDesk в Windows на главном сервере, потребуется сконфигурировать отдельные учетные записи пользователей базы данных. Для получения дополнительной информации перейдите в Сообщество пользователей Ivanti.

Далее описывается основной процесс применения ролевого администрирования.

  1. Создайте роли для пользователей консоли.
  2. С помощью утилиты Windows "Локальные пользователи и группы" добавьте пользователей консоли в соответствующие группы Windows LANDESK.
  3. Создайте аутентификации для каждой службы Active Directory, которая будет использоваться для определения пользователей консоли.
  4. По желанию можно с помощью областей действия ограничить список устройств, которыми могут управлять пользователи консоли.
  5. По желанию можно использовать рабочие группы для дополнительной классификации пользователей консоли.

Endpoint Manager Пользователи могут осуществлять вход на консоль и выполнять определенные задачи для определенных устройств в сети. Пользователь, выполнивший вход на сервер во время установки Endpoint Manager, автоматически помещается в группу пользователей Windows Администраторы LANDesk (LANDesk Administrators) и получает все разрешения администратора. Этот пользователь отвечает за добавление дополнительных групп пользователей на консоль и назначение им разрешений и областей действия. Созданные позднее другие администраторы могут выполнять те же задачи администрирования.

Endpoint Manager В процессе настройки создается несколько локальных групп Windows на главном сервере. Эти группы определяют системные разрешения в папках программ Endpoint Manager and Security на главном сервере. Необходимо вручную добавить пользователей консоли в одну из следующих локальных групп Windows:

  • LANDesk Management Suite: Эта группа предоставляет базовый доступ к главному серверу. Папки Endpoint Manager доступны только для чтения. Пользователи, входящие в эту группу, не могут выполнять запись в каталог сценариев, поэтому они не могут управлять сценариями. Для пользователей из этой группы не могут корректно выполняться операции устранения уязвимостей и подготовки ОС, поскольку в них используются сценарии.
  • Администраторы LANDesk (LANDesk Administrators): Эта группа заведомо обеспечивает доступ к консоли. Каждый участник этой группы имеет все права на консоли, включая право на запись сценариев. По умолчанию в эту группу добавляется учетная запись пользователя, установившего Endpoint Manager. Если у вас немного пользователей консоли или вы не хотите их ограничивать, можете полностью отказаться от ролевого администрирования и просто добавлять пользователей в эту группу.

Когда администраторы с полными правами добавляются на консоль, их можно добавить в локальную группу администраторов LANDesk главного сервера или в другую группу, у которой имеется право "Администратор" LANDesk. Единственное отличие заключается в том, что пользователей в группе администраторов LANDesk в Windows нельзя удалить с консоли, пока они не удалены из группы администраторов LANDesk.

В дереве Пользователи и группы (Users and groups) утилиты "Пользователи" (Users) отображается список авторизованных пользователей консоли. Здесь можно посмотреть время последнего входа пользователя консоли, его группу, роль, область действия, состояние ограничения на время удаленного управления и рабочую группу. С помощью этого дерева можно также посмотреть, входят ли пользователи в локальные группы LANDesk в Windows. Пользователи не могут войти на консоль, пока вы не добавите их в одну из групп LANDesk, описанных в данном разделе.

Пользователи сохраняются в базе данных по уникальным идентификаторам безопасности (security ID, SID). Если имя учетной записи Active Directory пользователя изменится, например, после смены фамилии, его SID следует оставить прежним, тогда его разрешения будут по-прежнему применяться в Endpoint Manager.

IMPORTANT: Дополнительные консоли и главный сервер должны быть участниками одного домена или рабочей группы. Пользователи консоли не смогут выполнить аутентификацию в главном сервере, находящемся в другом домене или рабочей группе.

Для добавления пользователей в группу LANDesk из диалога "Управление компьютерами Windows" (Windows Computer Management) выполните следующие действия:
  1. Перейдите в утилиту сервера Администрирование > Управление компьютерами > Локальные пользователи и группы > Группы (Administrative Tools > Computer Management > Local Users and Groups > Groups).
  2. Нажмите правой кнопкой мыши нужную группу LANDesk и выберите Добавить в группу (Add to group).
  3. В диалоговом окне группы Свойства (Properties) щелкните Добавить (Add).
  4. В диалоговом окне Выбор пользователей и групп (Select the users and groups) выберите нужных пользователей (и группы) из списка и щелкните Добавить (Add).
  5. Нажмите OK.
Для добавления пользователя или группы консоли Endpoint Manager выполните следующие действия:
  1. Щелкните Сервис > Администрирование > Управление пользователями (Tools > Administration > User Management).
  2. В дереве Пользователи и группы (Users and groups) щелкните правой кнопкой мыши источник аутентификации, содержащий нужного пользователя или группу, и выберите Создать пользователя или группу (New user or group).
  3. В каталоге источника аутентификации выберите нужного пользователя или группу и щелкните Добавить (Add). Чтобы выбрать отдельных пользователей из группы, щелкните правой кнопкой мыши группу и выберите Выбор пользователей для добавления (Select users to add). Затем можно выбрать нужных пользователей и щелкнуть Добавить выбранных пользователей (Add selected users).
  4. В диалоге с напоминанием о необходимости вручную добавить пользователя или группу в соответствующую локальную группу LANDesk в Windows нажмите OK.
  5. Щелкните Закрыть (Close).
  6. С помощью утилиты Windows Локальные пользователи и группы (Local Users and Groups) добавьте пользователя или группу (если это еще не сделано) в подходящую локальную группу LANDesk в Windows (см. описание ранее в данном разделе).
  7. Назначьте роли и области действия новому пользователю или группе.

В дереве Управление пользователями можно также удалять пользователей и группы консоли. При удалении пользователя или группы вам предлагается решить, что делать с элементами консоли (запросами, запланированными задачами и т. д.), владельцами которых являются эти пользователи. Вы можете указать, чтобы консоль автоматически удалила все элементы, принадлежащие этим пользователям, или переназначила элементы другому пользователю или группе по вашему выбору. Помните, что при удалении пользователь или группа удаляется только из базы данных пользователей Endpoint Manager. Потребуется также вручную удалить пользователя или группу из локальных групп LANDesk в Windows, участниками которых они являются. В противном случае удаленный пользователь по-прежнему сможет входить на консоль.

Для удаления пользователя консоли выполните следующие действия:
  1. Щелкните Сервис > Администрирование > Управление пользователями (Tools > Administration > User Management).
  2. В дереве Управление пользователями (Users management) щелкните Пользователи и группы (Users and groups).
  3. Выберите пользователя или группу и нажмите клавишу удаления.
  4. Чтобы удалить объекты, связанные с пользователем, щелкните ОК.
  5. Чтобы переназначить объекты, связанные с пользователем консоли, выберите Назначить объекты пользователю/группе или рабочей группе (Assign objects to the following user/group or team), затем выберите пользователя, группу или рабочую группу, которая получит объекты, и щелкните ОК.
  6. Удалите пользователя из локальной группы LANDesk в Windows или группы Active Directory, предоставляющей ему доступ к консоли.

В дереве Администрирование > Управление пользователями (Administration > Users management) нажмите правой кнопкой мыши пользователя или группу на правой панели и выберите Свойства (Properties). В этом диалоге свойств отображаются все свойства и действующие права данного пользователя. В диалоге свойств представлены следующие страницы:

  • Сводка (Summary): Содержит краткие сведения о ролях, областях действия, рабочих группах, участии в группах и действующих правах данного пользователя или группы.
  • Действующие права (Effective rights): Показывает более подробные сведения о действующих правах пользователя или группы.
  • Роли (Roles): Показывает явно задаваемые и наследуемые роли. Вы можете выбрать явно задаваемые роли, которые следует применить к пользователю или группе.
  • Области действия (Scopes): Показывает явно задаваемые или наследуемые области действия. Вы можете выбрать явно задаваемые области действия, которые следует применить к пользователю или группе.
  • Рабочие группы (Teams): Показывает явно задаваемые и наследуемые рабочие группы. Вы можете выбрать явно задаваемые рабочие группы, которые следует применить к пользователю или группе.
  • Ограничения времени удаленного управления (RC time restrictions): Позволяет применить и изменить ограничения времени для удаленного управления. Для получения дополнительной информации см. раздел Использование ограничений времени удаленного управления.
  • Участие в группе (Group membership): Показывает группы, в которые включен пользователь.
  • Члены группы (Group members): Показывает участников группы, если выбрана группа. Показывает группу, участником которой является пользователь, если выбран пользователь.

Если вы вносите изменения на редактируемых страницах, необходимо нажать OK для применения изменений. Затем можно снова открыть диалоговое окно свойств при необходимости.