管理角色
使用管理 > 用户管理 > 角色树来定义和维护管理角色及与之相关联的控制台权限。控制台权限基于 Endpoint Manager 功能。例如,可以创建帮助中心角色并给予其远程支持权限。
可以根据需要,添加任意数量的附加角色。新角色不会自动分配到用户或组。一旦创建角色,它将与组权限树中的用户或组相关联。
由于可以分配多个角色给用户或组,因此请确定分配权限的方式。可以分配基于作业说明的权限,如“帮助中心”,或者分配基于控制台功能的权限,如“远程支持”。根据组织可能拥有的控制台用户的类型和数量,其中一种方式可会比另一种方式更好。
可以为用户或 Active Directory 组分配多个角色。如果所选角色中存在权限冲突,则组权限包含组合角色和范围的权限之和。例如,如果其中的一个角色允许远程支持,而另一个角色则禁止远程支持,那么最终的组权限将允许远程支持。打开用户或组的属性并查看有效权限页面即可看到其有效权限。
通常,您应该避免将角色分配给默认的本地组:LANDesk Management Suite 和 LANDesk 管理员。分配角色到某个组将影响组中的所有成员。由于所有控制台用户都必须是这三个组中某个组的成员,因此可能会无意中限制所有用户访问控制台功能的权限。LANDesk 管理员组已拥有默认的管理员角色,您无法进一步对其进行限制。
对已登录用户的权限更改将在下次登录时生效。
如需详细了解各个 RBA 权限允许和不允许的内容,请参阅 Ivanti 社区中的这篇文章。
了解默认角色
在“角色”树下有许多默认角色。可以编辑或删除这些默认角色,“Ivanti 管理员”除外。
- 代理设置
- 审核配置
- 审核人
- Data Analytics 管理员
- 诊断
- 搜寻
- Environment Manager
- 检查器查看器
- IT 支持人员
- LANDesk 管理员
- 移动设备管理
- 修补程序管理
- 电源管理
- 部署
- 安全性
- 软件分发
- 软件许可
IMPORTANT: LANDesk 管理员拥有完整权限
LANDesk 管理员对所有范围和权限拥有完整权限。他们同样可以完全访问“用户”工具并作出任何想要的更改。此外,只有拥有管理员权限的用户才能配置运行在核心服务器上的 Ivanti 服务。
了解权限和状态
用户可以拥有四种权限:
- 查看:允许用户访问控制台工具。
- 编辑:允许用户在相关的控制台工具中作出更改。包含查看权限。
- 部署:允许用户创建、修改或删除与相关控制台工具相关联的任意计划任务。
- 编辑公共:允许用户创建、更改或删除控制台工具的公共文件夹中的项。
并非所有权限支持所有类型。例如,“公共查询管理”权限仅拥有“编辑公共”类型。再拥有“查看”、“编辑”或“部署”类型将没有意义。
权限可以拥有三种状态:
- 选中标记:
- X:
- 不适用的符号:
单击选中标记或 X 将切换其状态。
如果用户没有某个工具的权限,则他们在登录控制台后将不会看到此工具。此工具将不会在工具箱或工具菜单中显示。
计划任务工具仅对拥有“部署”权限的用户可见,在这种情况下,他们仅能运行与他们拥有部署权限的工具相关联的任务。其他所有任务为只读。
了解“编辑公共”权限
工具的“公共”组对所有用户可见。公共组中的项为只读,除非拥有“编辑公共”权限。拥有此功能上“编辑公共”权限的用户仅能编辑此功能的公共项。其他公共项将为只读。只读项仍然有用,因为用户可以复制这些项到“我的...”树组,然后在那里编辑它们。
计划任务工具的“公共”组的工作方式稍有不同。“公共”组中的所有任务对拥有“部署”权限的用户可见,包括用户可能无访问权限的功能的任务。但是,只有用户拥有“部署”权限的任务可以编辑。其余任务为只读。
如果拥有“编辑公共”和“部署”权限类型,则可以在“公共”组中创建、添加和删除任务。
创建并分配角色
使用角色来定义和维护管理角色以及与之相关联的控制台权限。
创建并分配角色
- 在用户管理工具中,右键单击角色,然后单击新建角色。
- 在角色属性对话框中,输入角色名称。
- 通过单击相应列中的符号来启用或禁用所需权限。每次单击都将切换权限的状态。
- 在树中单击用户和组然后选择将有新角色的用户和组。
分配现有角色给用户和组
- 在用户管理工具中,右键单击角色,然后单击属性。也可双击某个角色以编辑其属性。
- 在用户和组页面,选择想要让其拥有该角色的组。
- 单击确定。