以角色為基礎的管理概觀

Ivanti® Endpoint Manager 可讓您透過各種以角色為基礎的管理功能管理控制台使用者。分別是︰

  • 指派以精細功能為基礎的群組權限
  • 透過本機或 LDAP 使用者群組輕鬆將權限指派給多位使用者
  • 同步多個核心伺服器的控制台使用者

您可以根據使用者的職責、您希望他們能執行的管理工作,以及想讓他們看到、存取和管理的裝置來為他們建立角色。您可以將使用者能存取的裝置限定在某個地理位置,例如國家、地區、州 (省)、城市甚至一個辦公室或部門。也可以將存取限定為特定的裝置平台、處理器類型或某些其他裝置硬體或軟體屬性。藉由使用以角色為基礎的管理,您可以全權掌握要建立多少個不同的角色,哪些使用者可以充當這些角色,他們的裝置存取範圍應該有多大或多小。例如,您可以指定一個或多個使用者充當軟體分發管理員,指定另一個使用者負責遠端遙控作業,再指定一個使用者負責執行報告,等等。

如果沒有多位控制台使用者或不要限制擁有的控制台使用者,您可完全忽略以角色為基礎的管理,直接將使用者新增到核心伺服器的本機 LANDESK 管理員群組。此群組的成員可完全存取控制台,並且可管理所有的裝置。用來安裝 Endpoint Manager 的帳戶預設位在 LANDESK 管理員群組中。

以角色為基礎的管理非常彈性,因此,您可以根據自己的需要建立任意多個自訂角色。您可以給不同的使用者指派一些相同的權限,但將他們的存取權限限製為範圍較窄的一群組裝置。甚至可以用範圍來限制管理員,使他們實際上只是某地理欄位或某類受管裝置的管理員。如何利用以角色為基礎的管理取決於您的網路、人力資源以及您的具體需要。

NOTE: 如果已從 Endpoint Manager 8 升級,安裝程式會建立名稱為 ..\LANDesk\Management Suite\RBAUpgradeReport.txt 的記錄檔案。此檔案含有可協助將 8.x 角色對應到 9.x 的資訊。

下列是以角色為基礎的管理適用的基本程序:

  1. 建立控制台使用者的角色。
  2. 使用 Windows「本機使用者和群組」工具,將控制台使用者新增至適當的 Windows LANDESK 群組中。
  3. 針對各個用來指定控制台使用者的 Active Directory 建立身份驗證。
  4. 另外也可使用範圍來限制控制台使用者可以管理的裝置清單。
  5. 另外也可使用組進一步將控制台使用者分類。

Endpoint Manager 使用者可以登入至控制台,並且在網路特定裝置上執行特定工作。在 Endpoint Manager 安裝期間登入伺服器的使用者,將被自動置入 Windows LANDesk 管理員 使用者群組,並將獲得完整的管理員權限。該使用者負責將其他使用者群組新增到控制台,並指派權限和範圍。一旦建立其他管理員,他們也可執行相同的管理工作。

Endpoint Manager 設定程式可在核心伺服器上建立數個本機 Windows 群組。這些群組可控制核心伺服器上 Endpoint Manager 和 Endpoint Security 程式資料夾的檔案系統權限。您必須將控制台使用者手動新增到其中一個本機 Windows 群組:

  • LANDesk Management Suite: 此群組允許基本的核心存取。Endpoint Manager 資料夾為唯讀。此群組中的使用者無法寫入到指令檔目錄,因此無法管理指令檔。無法針對此群組的使用者正確修補弱點和執行作業系統部署,因為這兩項功能都使用指令檔。
  • LANDesk 管理員: 這是控制台存取的故障保險群組。此群組的任何成員在控制台中都擁有完整權限,包括指令檔寫入。依預設,會將安裝 Endpoint Manager 的使用者帳戶新增至此群組。如果控制台使用者不多,或不想要限制您擁有的控制台使用者,則可完全略過以角色為基礎的管理,而只要將使用者新增到此群組。

將完整的管理員新增到控制台時,您可以將其新增至核心伺服器的本機 LANDesk 管理員群組,或將其新增至具有 LANDesk「管理員」權限的其他群組。唯一的差異是從 LANDesk 管理員群組移除 Windows LANDesk 管理員群組中的使用者之前,無法從控制台中刪除這些使用者。

「使用者」工具的使用者和群組樹會顯示授權控制台使用者的清單。您可以檢視上次控制台使用者登入的時間、其群組、角色、範圍、遠端遙控時間限制狀態及組。您也可以使用此樹狀結構查看使用者是否位於 LANDesk 本機 Windows 群組。使用者將無法登入,直到您將使用者新增至本小節所述的其中一個 LANDesk 群組為止。

使用者會以唯一安全性 ID (SID) 儲存於資料庫中。如果使用者的 Active Directory 帳戶名稱變更,例如,它們相結合,使用者的 SID 應該維持不變,而且使用者的 Endpoint Manager 權限仍將適用。

IMPORTANT: 其他控制台和核心伺服器必須是相同網域或工作群組的成員。控制台使用者無法驗證至不同網域或工作群組中的核心伺服器。

從「Windows 電腦管理」對話方塊將使用者新增到 LANDesk 群組
  1. 瀏覽到伺服器的系統管理工具 > 電腦管理 > 本機使用者和群組 > 群組公用程式。
  2. 以滑鼠右鍵按一下所需的 LANDesk 群組,然後按一下新增至群組
  3. 在群組的內容對話方塊中,按一下新增
  4. 選擇使用者和群組對話方塊中,從清單中選擇所需的使用者 (和群組),然後按一下新增
  5. 按一下確定
新增 Endpoint Manager 控制台使用者或群組
  1. 按一下工具 > 管理 > 使用者管理。
  2. 使用者和群組樹中,以滑鼠右鍵按一下含有所需使用者或群組的身份驗證來源,然後按一下新增使用者或群組
  3. 在身份驗證來源目錄中,選擇所需新增的使用者或群組,然後按一下新增。如果您要選擇群組中個別的使用者,請以滑鼠右鍵按一下群組,然後按一下選擇要新增的使用者。然後您即可選擇所需的使用者,並且按一下新增選擇的使用者
  4. 在提醒您手動將所選擇的使用者或群組新增至適當本機 LANDesk Windows 群組的對話方塊中,按一下確定
  5. 按一下關閉
  6. 否則,請使用 Windows 本機使用者和群組工具,將新的使用者或群組新增至適當的本機 LANDesk Windows 群組,如本節稍早所述。
  7. 將角色及範圍指派給新的使用者或群組。

您也可以使用使用者管理樹狀結構來刪除控制台使用者或群組。刪除使用者或群組時,系統會提示您決定要如何處理使用者所擁有的控制台項目,例如查詢、排程工作等等。您可以讓控制台自動刪除其擁有的任何項目,也可以讓控制台將它們具有的項目重新指派給您選擇的另一個使用者或群組。請注意,刪除使用者或群組時,只會從 Endpoint Manager 使用者資料庫刪除該使用者或群組。您也將需要手動從使用者或群組所屬的本機 LANDesk Windows 群組中移除使用者或群組。如果不這麼做,則刪除的使用者仍可登入控制台。

刪除控制台使用者
  1. 按一下工具 > 管理 > 使用者管理。
  2. 使用者管理樹中,按一下使用者和群組
  3. 選擇要刪除的使用者或群組,並且按 Delete 鍵。
  4. 若要刪除使用者的相關物件,請按一下確定
  5. 若要重新指派控制台使用者的相關物件,請選擇指派物件給下列使用者/群組或組,然後按一下要接收物件的使用者、群組或組,並且按一下確定
  6. 從授與使用者控制台存取權的本機 LANDesk Windows 群組或 Active Directory 群組中,移除該使用者。

管理 > 使用者管理樹狀結構中,您可以在右窗格中以滑鼠右鍵按一下使用者或群組,然後按一下內容。此內容對話方塊將顯示該使用者的所有內容及有效權限。內容對話方塊包含下列頁面:

  • 摘要:摘要說明使用者/群組的角色、範圍、組、群組成員資格及有效權限。
  • 有效權限:顯示使用者/群組有效權限的詳細檢視。
  • 角色:顯示明確繼承的角色。您可以選擇哪些明確角色套用於該使用者或群組。
  • 範圍︰顯示明確繼承的範圍。您可以選擇哪些明確範圍套用於該使用者或群組。
  • 組:顯示明確繼承的組。您可以選擇哪些明確的組套用於該使用者或群組。
  • RC 時間限制:允許您套用和修改 RC 時間限制。如需詳細資訊,請參閱使用遠端遙控時間限制
  • 群組成員資格:顯示該使用者所屬的群組。
  • 群組成員:如果選取群組,顯示群組的成員。如果選取使用者,顯示使用者所屬的群組。

如果變更可編輯的頁面,您需要按一下確定以套用變更。然後,您可以在必要時重新開啟內容對話方塊。