基于角色的管理概述

Ivanti® Endpoint Manager 可以通过各种基于角色的管理功能来管理控制台用户。分别是:

  • 分配详细的基于功能的组权限
  • 通过本地或 LDAP 用户组,将权限轻松地分配到多个用户
  • 在多个核心服务器之间同步控制台用户配置

可以根据用户的职责、希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为他们创建角色。可以将用户能访问的设备限定在某个地理位置,例如国家、地区、州(省)、城市甚至一个办公室或部门。也可以将访问限定为特定的设备平台、处理器类型或某些其他设备硬件或软件属性。通过使用基于角色的管理,可以全权掌握要创建多少个不同的角色,哪些用户可以充当这些角色,他们的设备访问范围应该有多大或多小。例如,可以指定一个或多个用户充当软件分发管理员,指定另一个用户负责远程支持操作,再指定一个用户负责运行报告,等。

如果管理的控制台用户不多,或者不希望限制拥有的控制台用户数量,可以完全排除基于角色的管理,并将用户添加到核心服务器的本地 LANDESK 管理员组。该组的成员拥有控制台的完全访问权限,并可管理所有设备。默认情况下,用于安装 Endpoint Manager 的帐户位于 LANDESK 管理员组。

基于角色的管理非常灵活,因此可以根据自己的需要创建任意多个自定义角色。可以给不同的用户分配一些相同的权限,但将他们的访问权限限制为范围较窄的一组设备。甚至可以用范围来限制管理员,使他们实质上只是某地理区域或某类未管理设备的管理员。如何利用基于角色的管理取决于网络、人力资源以及具体需要。

NOTE: Endpoint Manager 其他控制台要求在版本 2024 中已发生变化。对于不是核心服务器上 Windows LANDesk 管理员组成员的其他控制台用户,需要为他们配置单独的数据库用户账户。有关详细信息,请参阅 Ivanti 社区。

以下为使用基于角色的管理的基本流程:

  1. 为控制台用户创建角色。
  2. 使用 Windows“本地用户和组”工具将控制台用户添加到适当的 Windows LANDESK 组。
  3. 对每个用以指定控制台用户的 Active Directory 创建身份验证。
  4. 可以选择使用范围来限制控制台用户可以管理的设备列表。
  5. 可以选择使用团队对控制台用户进一步分类。

Endpoint Manager 用户可以登录到控制台并为网络中的特定设备执行特定任务。安装 Endpoint Manager 期间登录服务器的用户将自动置于 Windows LANDesk 管理员用户组中,从而拥有完整的管理员权限。此人负责向控制台添加其他用户组并分配权限和范围。一旦创建其他管理员,他们也能执行相同的管理任务。

Endpoint Manager 安装将在核心服务器上创建本地 Windows 组。这些组控制着核心服务器上 Endpoint Manager 和 Endpoint Security 程序文件夹的文件系统权限。必须手动将控制台用户添加到其中一个本地 Windows 组:

  • LANDesk Management Suite:该组允许基本的核心访问。Endpoint Manager 文件夹为只读文件夹。该组的用户不能向脚本目录写入数据,因此不能管理脚本。对于该组用户,修补漏洞和操作系统部署将无法正确运行,因为这两个功能均使用脚本。
  • LANDesk 管理员:该组是用于控制台访问的防故障组。此组的用户在控制台中拥有完整的权限,包括写入脚本。默认情况下,安装 Endpoint Manager 的用户帐户将添加到此组。如果您没有许多控制台用户或您不想限制您拥有的控制台用户,您可以完全忽略基于角色的管理,而仅把用户添加到此组即可。

将拥有完整权限的管理员添加到控制台后,您还可以将其添加到核心服务器的本地 LANDesk 管理员组,或者添加到具有 LANDesk“管理员”权限的其他组。唯一的区别是,Windows LANDesk 管理员组中的用户只有从 LANDesk 管理员组移除后,才能在控制台中对其进行删除。

“用户”工具的用户和组树显示了授权控制台用户的列表。可看到控制台用户上次登录的时间、它们的组、角色、范围、远程支持时间限制状态和团队。您还可以使用此树来查看用户是否在 LANDesk 本地 Windows 组中。在您将用户添加到本节中描述的其中一个 LANDesk 组之前,该用户将无法登录。

用户按唯一的安全 ID (SID) 存储在数据库中。如果用户的 Active Directory 帐户名发生了更改(例如,这些帐户名相互结合),则其 SID 应保持不变且其 Endpoint Manager 权限将仍然适用。

IMPORTANT: 辅助控制台和核心服务器必须在同一个域或工作组中。控制台用户不能向位于不同域或工作组的核心服务器请求身份验证。

要通过“Windows 计算机管理”对话框将用户添加到 LANDesk 组
  1. 浏览并找到服务器的管理工具 > 计算机管理 > 本地用户和组 > 组实用程序。
  2. 右键单击所需的 LANDesk 组,然后单击添加到组
  3. 在组的属性对话框中,单击添加
  4. 选择用户和组对话框中,从列表选择所需用户(和组)然后单击添加
  5. 单击确定
添加 Endpoint Manager 控制台用户或组
  1. 单击工具 > 管理 > 用户管理。
  2. 用户和组树中,右键单击包含所需用户或组的身份验证源,然后单击新建用户或组
  3. 在身份验证源目录中,选择要添加的用户或组然后单击添加。如果想要选择组中的单个用户,右键单击组然后单击选择要添加的用户。然后就可以选择想要的用户并单击添加已选用户
  4. 在提示您手动将所选用户或组添加到适当的本地 LANDesk Windows 组的对话框中,单击确定
  5. 单击关闭
  6. 如果您尚未添加,请按照本节前文所述,使用 Windows 本地用户和组工具将新用户或组添加到适当的本地 LANDesk Windows 组。
  7. 分配角色和范围至新用户或组。

您还可以使用用户管理树删除控制台用户或组。删除用户或组时,系统将提示决定如何处理其拥有的控制台项,例如查询、计划任务等。可以让控制台自动删除它们拥有的项,也可让控制台将它们拥有的项重新分配给选择的另一个用户或组。请注意,删除用户或组只是从 Endpoint Manager 用户数据库中删除该用户或组。您还需要从用户或组所属的本地 LANDesk Windows 组中对其进行手动删除。否则,被删除的用户仍可登录控制台。

删除控制台用户
  1. 单击工具 > 管理 > 用户管理。
  2. 用户管理树中,单击用户和组
  3. 选择要删除的用户或组,然后按 Delete 键。
  4. 如果要删除与此用户相关联的对象,请单击确定
  5. 如果要重新分配与控制台用户关联的对象,则选择将对象分配给下列用户/组或团队,然后单击要用来接收这些对象的用户、组或者团队,单击确定
  6. 从提供控制台访问权限的本地 LANDesk Windows 组或 Active Directory 组中删除用户。

管理 > 用户管理树中,您可以右键单击右窗格中的用户或组,然后单击属性。此属性对话框会显示该用户的所有属性和有效权限。属性对话框包含以下页:

  • 摘要:简要介绍该用户/组的角色、范围、团队、组成员和有效权限。
  • 有效权限:显示用户/组有效权限的更详细视图。
  • 角色:显示显式和继承的角色。可选择显式角色以应用到该用户或组。
  • 范围:显示显式和继承的范围。可选择显式范围以应用到该用户或组。
  • 团队:显示显式和继承的团队。可选择显式团队以应用到该用户或组。
  • RC 时间限制:用于应用和修改 RC 时间限制。有关详细信息,请参阅使用远程支持时间限制
  • 组成员身份:显示用户所属的组。
  • 组成员:如果选中了组,显示组中的成员。如果选中了用户,显示该用户所属的组。

如果您对可编辑页面进行了更改,则需要单击确定来应用这些更改。如果需要,之后可以重新打开属性对话框。