基于角色的管理概述

Ivanti® Endpoint Manager 可以通过各种基于角色的管理功能来管理控制台用户。 分别是:

  • 分配详细的基于功能的组权限
  • 通过本地或 LDAP 用户组,将权限轻松地分配到多个用户
  • 在多个核心服务器之间同步控制台用户配置

可以根据用户的职责、希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为他们创建角色。 可以将用户能访问的设备限定在某个地理位置,例如国家、地区、州(省)、城市甚至一个办公室或部门。 也可以将访问限定为特定的设备平台、处理器类型或某些其他设备硬件或软件属性。 通过使用基于角色的管理,可以全权掌握要创建多少个不同的角色,哪些用户可以充当这些角色,他们的设备访问范围应该有多大或多小。 例如,可以指定一个或多个用户充当软件分发管理员,指定另一个用户负责远程支持操作,再指定一个用户负责运行报告,等。

如果管理的控制台用户不多,或者不希望限制拥有的控制台用户数量,可以完全排除基于角色的管理,并将用户添加到核心服务器的本地 LANDESK 管理员组。 该组的成员拥有控制台的完全访问权限,并可管理所有设备。 默认情况下,用于安装 Endpoint Manager 的帐户位于 LANDESK 管理员组。

基于角色的管理非常灵活,因此可以根据自己的需要创建任意多个自定义角色。 可以给不同的用户分配一些相同的权限,但将他们的访问权限限制为范围较窄的一组设备。 甚至可以用范围来限制管理员,使他们实质上只是某地理区域或某类未管理设备的管理员。 如何利用基于角色的管理取决于网络、人力资源以及具体需要。

NOTE: Endpoint Manager 其他控制台要求在版本 2024 中已发生变化。 对于不是核心服务器上 Windows LANDesk 管理员组成员的其他控制台用户,需要为他们配置单独的数据库用户账户。 有关详细信息,请参阅 Ivanti 社区。

以下为使用基于角色的管理的基本流程:

  1. 为控制台用户创建角色。
  2. 使用 Windows“本地用户和组”工具将控制台用户添加到适当的 Windows LANDESK 组。
  3. 对每个用以指定控制台用户的 Active Directory 创建身份验证。
  4. 可以选择使用范围来限制控制台用户可以管理的设备列表。
  5. 可以选择使用团队对控制台用户进一步分类。

Endpoint Manager 用户可以登录到控制台并为网络中的特定设备执行特定任务。 安装 Endpoint Manager 期间登录服务器的用户将自动置于 Windows LANDesk 管理员用户组中,从而拥有完整的管理员权限。 此人负责向控制台添加其他用户组并分配权限和范围。 一旦创建其他管理员,他们也能执行相同的管理任务。

Endpoint Manager 安装将在核心服务器上创建本地 Windows 组。 这些组控制着核心服务器上 Endpoint Manager 和 Endpoint Security 程序文件夹的文件系统权限。 必须手动将控制台用户添加到其中一个本地 Windows 组:

  • LANDesk Management Suite:该组允许基本的核心访问。 Endpoint Manager 文件夹为只读文件夹。 该组的用户不能向脚本目录写入数据,因此不能管理脚本。 对于该组用户,修补漏洞和操作系统部署将无法正确运行,因为这两个功能均使用脚本。
  • LANDesk 管理员:该组是用于控制台访问的防故障组。 此组的用户在控制台中拥有完整的权限,包括写入脚本。 默认情况下,安装 Endpoint Manager 的用户帐户将添加到此组。 如果您没有许多控制台用户或您不想限制您拥有的控制台用户,您可以完全忽略基于角色的管理,而仅把用户添加到此组即可。

将拥有完整权限的管理员添加到控制台后,您还可以将其添加到核心服务器的本地 LANDesk 管理员组,或者添加到具有 LANDesk“管理员”权限的其他组。 唯一的区别是,Windows LANDesk 管理员组中的用户只有从 LANDesk 管理员组移除后,才能在控制台中对其进行删除。

“用户”工具的用户和组树显示了授权控制台用户的列表。 可看到控制台用户上次登录的时间、它们的组、角色、范围、远程支持时间限制状态和团队。 您还可以使用此树来查看用户是否在 LANDesk 本地 Windows 组中。 在您将用户添加到本节中描述的其中一个 LANDesk 组之前,该用户将无法登录。

用户按唯一的安全 ID (SID) 存储在数据库中。 如果用户的 Active Directory 帐户名发生了更改(例如,这些帐户名相互结合),则其 SID 应保持不变且其 Endpoint Manager 权限将仍然适用。

IMPORTANT: 辅助控制台和核心服务器必须在同一个域或工作组中。 控制台用户不能向位于不同域或工作组的核心服务器请求身份验证。

要通过“Windows 计算机管理”对话框将用户添加到 LANDesk 组
  1. 浏览并找到服务器的管理工具 > 计算机管理 > 本地用户和组 > 组实用程序。
  2. 右键单击所需的 LANDesk 组,然后单击添加到组
  3. 在组的属性对话框中,单击添加
  4. 选择用户和组对话框中,从列表选择所需用户(和组)然后单击添加
  5. 单击确定
添加 Endpoint Manager 控制台用户或组
  1. 单击工具 > 管理 > 用户管理。
  2. 用户和组树中,右键单击包含所需用户或组的身份验证源,然后单击新建用户或组
  3. 在身份验证源目录中,选择要添加的用户或组然后单击添加。 如果想要选择组中的单个用户,右键单击组然后单击选择要添加的用户。 然后就可以选择想要的用户并单击添加已选用户
  4. 在提示您手动将所选用户或组添加到适当的本地 LANDesk Windows 组的对话框中,单击确定
  5. 单击关闭
  6. 如果您尚未添加,请按照本节前文所述,使用 Windows 本地用户和组工具将新用户或组添加到适当的本地 LANDesk Windows 组。
  7. 分配角色和范围至新用户或组。

您还可以使用用户管理树删除控制台用户或组。 删除用户或组时,系统将提示决定如何处理其拥有的控制台项,例如查询、计划任务等。 可以让控制台自动删除它们拥有的项,也可让控制台将它们拥有的项重新分配给选择的另一个用户或组。 请注意,删除用户或组只是从 Endpoint Manager 用户数据库中删除该用户或组。 您还需要从用户或组所属的本地 LANDesk Windows 组中对其进行手动删除。 否则,被删除的用户仍可登录控制台。

删除控制台用户
  1. 单击工具 > 管理 > 用户管理。
  2. 用户管理树中,单击用户和组
  3. 选择要删除的用户或组,然后按 Delete 键。
  4. 如果要删除与此用户相关联的对象,请单击确定
  5. 如果要重新分配与控制台用户关联的对象,则选择将对象分配给下列用户/组或团队,然后单击要用来接收这些对象的用户、组或者团队,单击确定
  6. 从提供控制台访问权限的本地 LANDesk Windows 组或 Active Directory 组中删除用户。

管理 > 用户管理树中,您可以右键单击右窗格中的用户或组,然后单击属性。 此属性对话框会显示该用户的所有属性和有效权限。 属性对话框包含以下页:

  • 摘要:简要介绍该用户/组的角色、范围、团队、组成员和有效权限。
  • 有效权限:显示用户/组有效权限的更详细视图。
  • 角色:显示显式和继承的角色。 可选择显式角色以应用到该用户或组。
  • 范围:显示显式和继承的范围。 可选择显式范围以应用到该用户或组。
  • 团队:显示显式和继承的团队。 可选择显式团队以应用到该用户或组。
  • RC 时间限制:用于应用和修改 RC 时间限制。 有关详细信息,请参阅使用远程支持时间限制
  • 组成员身份:显示用户所属的组。
  • 组成员:如果选中了组,显示组中的成员。 如果选中了用户,显示该用户所属的组。

如果您对可编辑页面进行了更改,则需要单击确定来应用这些更改。 如果需要,之后可以重新打开属性对话框。