如何设置共享帐户

内容
cminder12901cn
内容
共享帐户管理 (SAM) 是一种进程,企业可通过该进程保护、管理和跟踪与企业中权限最高的帐户关联的所有活动。 在开始使用共享帐户密码之前,需要完成几个步骤来为 SAM 设置
Privileged Identity Manager
企业控制台。 用户随后即可开始使用您定义的共享帐户。
以下过程说明企业中的用户为设置共享帐户而必须完成的任务。 用户必须具有指定角色才能完成流程的每个步骤。 具有“系统管理员”管理角色的用户可以执行此流程中的每个任务。
注意:
在开始此流程之前,请启用电子邮件通知。 这有助于在
Privileged Identity Manager
企业控制台无法向用户显示密码时,以电子邮件形式将密码发送至用户。
要设置共享帐户,用户需执行以下操作:
  1. SAM 目标系统管理员角色创建密码策略。 密码策略为共享帐户设置密码规则和限制。
  2. SAM 目标系统管理员在
    Privileged Identity Manager
    企业控制台中创建端点。 端点是由共享帐户管理的设备。 您可以在
    Privileged Identity Manager
    企业控制台中创建端点,或使用 SAM 导送程序导入端点。
  3. SAM 目标系统管理员为每个端点创建共享帐户。 通过创建共享帐户,SAM 可以管理这些帐户。 您可以在
    Privileged Identity Manager
    企业控制台中创建共享帐户,或使用 SAM 导送程序导入共享帐户。
  4. (可选)系统管理员创建登录应用程序,SAM 目标系统管理员修改 SAM 端点以使用此登录应用程序。 登录应用程序允许用户通过
    Privileged Identity Manager
    企业控制台登录到共享帐户。
  5. SAM 策略管理员修改特权访问角色的成员策略。 成员策略定义了可以执行某一角色的任务的用户。
    注意:
    如果使用 Active Directory 作为用户存储,建议您修改每个成员策略,使其与相应的 Active Directory 组对应。 随后可以通过从相应的 Active Directory 组添加或删除用户,在角色中添加或删除用户。 这会降低管理开销。
  6. (嵌入式用户存储)SAM 用户管理员为每个用户指定管理员。
    注意:
    只有管理员才能批准用户提出的共享帐户请求。 如果使用 Active Directory 作为用户存储,请确认已在 Active Directory 中指定了每名用户的管理员。
  7. (可选)系统管理员配置到 CA Service Desk Manager 的连接。
    通过与 CA Service Desk Manager 集成,可以为特权帐户请求创建多个审批流程。
下图说明执行每个流程步骤的特权访问角色:
How privileged access roles affect shared account request tasks
发现特权帐户
建议您按固定时间间隔运行特权帐户发现过程,以扫描端点上的新特权帐户。 通过发现特权帐户过程您可以同时创建多个特权帐户。
Privileged Identity Manager
企业控制台会将所发现的帐户显示在一个表中,这样您便可轻松了解您已使用 SAM 管理了哪些帐户。
第一次在某个端点类型上发现特权帐户时,CA Privileged Identity Manager 企业控制台会自动创建一个特权访问角色。 例如,您第一次在 Windows Agentless 端点上发现特权帐户时,
Privileged Identity Manager
企业控制台会自动创建 Windows Agentless 连接端点特权访问角色。
发现特权帐户
  1. Privileged Identity Manager
    企业控制台中,单击“特权帐户”、“帐户”、“发现特权帐户向导”。
    此时出现“发现特权帐户向导: 选择特权帐户”页面。
  2. 从列表中选择“端点类型”。
  3. 选择搜索属性,键入筛选器值,然后单击“搜索”。
    此时将显示匹配筛选条件的端点的列表。
  4. 选择要管理的特权帐户。
    下表列标题需加以说明:
    • 发现的帐户
      指定该帐户对于
      Privileged Identity Manager
      企业控制台是否为已知帐户。 已知帐户包括
      Privileged Identity Manager
      管理控制台已经管理的帐户,以及用来管理端点的管理员帐户。
    • 是端点管理员
      指定
      Privileged Identity Manager
      企业控制台是否使用该帐户管理端点。
      重要信息!
      在选择端点管理员帐户时要慎重。
      Privileged Identity Manager
      企业控制台可以自动更改其管理的特权帐户的密码。 如果选择端点管理员帐户,您可能无法登录到端点上的特权帐户,也无法对其进行管理。
    单击“下一步”。
    此时出现“发现特权帐户向导: 常规帐户详细信息”页面。
  5. 完成该对话框中的字段: 以下字段没有自带说明:
    • 断开系统
      指定帐户是否起源于断开的系统。
      如果选择此选项,SAM 不管理该帐户。 而会仅充当断开系统的特权帐户的密码存储库。 每次更改密码时,还需要在受管端点上手动更改帐户密码。
    • 密码策略
      指定要应用于特权帐户或服务帐户的密码策略。
    • 签出到期
      定义签出帐户到期之前的持续时间(分钟)。
    • 独占帐户
      指定是否任何时候只有单个用户可以使用该帐户。
      独占帐户
      是对特权帐户施加的限制,限制每次只允许单个用户使用该帐户。
      如果端点上当前没有正在运行的打开会话,那么独占会话则指定只有单个用户可以使用帐户。
    • 签出时更改密码
      指定是否要在每次签出特权帐户时更改帐户密码。
      注意:
      该选项不适用于服务帐户。
    • 签入时更改密码
      指定是否要在每次用户或程序签入特权帐户或在签出周期到期时更改特权帐户的密码。
      注意:
      如果帐户不是独占帐户,则新的特权帐户密码仅在
      所有
      用户都已签入该帐户后生成。
    • 服务帐户
      指定发现的帐户是否是服务帐户。
      注意:
      您也可以使用“发现服务帐户向导”来发现服务帐户。
    单击“完成”。
    您已创建特权帐户。
创建特权或服务帐户
可创建特权帐户和服务帐户来在受管和断开的系统上管理帐户密码。 可以将特权帐户和服务帐户用于以下几个不同用途:
  • 要允许用户签出和签入特权帐户密码,请创建特权帐户。
  • 要设置 CLI、数据库或 Windows RunAs 密码使用方,需创建特权帐户。
  • 要设置 Windows 服务和 Windows 排定任务密码使用方,需创建服务帐户。
    注意:
    不能签出和签入服务帐户密码。
要创建多个帐户,请使用发现特权帐户向导和发现服务帐户向导在端点上搜索特权帐户和服务帐户。 要创建一个帐户,请在该窗口中提供特权帐户详细信息或服务帐户详细信息。
请按下列步骤操作:
  1. Privileged Identity Manager
    企业控制台中,单击“特权帐户”、“ 帐户”、 “创建特权帐户”。
    此时出现“创建特权帐户: 选择特权帐户”页面。
  2. (可选)按如下方式选择一个现有特权帐户来创建特权帐户作为其副本:
    1. 选择“创建类型为‘特权帐户’的对象副本”。
    2. 选择搜索属性,键入筛选器值,然后单击“搜索”。
      此时将显示匹配筛选条件的特权帐户的列表。
    3. 选择要用作新特权帐户基础的对象。
  3. 单击“确定”。
    此时出现“创建特权帐户”任务页面的“常规”选项卡。 如果特权帐户是从现有对象创建的,则对话框字段中会预先填充来自现有对象的值。
  4. 填写常规选项卡中的以下字段:
    • 帐户名称
      定义要用来指代此特权帐户的名称。
      注意:
      大型机系统(例如 RACF、ACF 和 Top Secret)使用的用户名区分大小写。 以大写字母输入帐户名称。
    • 断开帐户
      指定帐户是否起源于断开的系统。
      如果选择此选项,SAM 不管理该帐户。 而会仅充当断开系统的特权帐户的密码存储库。 每次更改密码时,还需要在受管端点上手动更改帐户密码。
    • 帐户类型
      指定帐户是共享(特权)帐户还是服务帐户。
      注意:
      在创建服务帐户时,SAM 不会尝试更改帐户密码。
    • 端点名称
      指定特权帐户或服务帐户所在的已定义端点的名称。 您可以查看属于您指定类型的端点的列表。
    • 端点类型
      指定特权帐户或服务帐户所在的端点的类型。
    • 容器
      指定特权帐户或服务帐户的容器的名称。
      容器
      是一个类,其实例是其他对象的集合。 容器采用一种遵循特定访问规则的有组织的方式来存储对象。
    • 密码策略
      指定要应用于特权帐户或服务帐户的密码策略。
    • 密码
      定义要用于新特权帐户的密码。
      注意:
      新密码必须遵守指定的密码策略。
    • 签出到期
      定义签出帐户到期之前的持续时间(分钟)。
    • 独占帐户
      指定是否任何时候只有单个用户可以使用该帐户。
      独占帐户
      是对特权帐户施加的限制,限制每次只允许单个用户使用该帐户。
      如果端点上当前没有正在运行的打开会话,那么独占会话则指定只有单个用户可以使用帐户。
    • 签出时更改密码
      指定是否要在每次签出特权帐户时更改帐户密码。
      注意:
      该选项不适用于服务帐户。
    • 签入时更改密码
      指定是否要在每次用户或程序签入特权帐户或在签出周期到期时更改特权帐户的密码。
      注意:
      如果帐户不是独占帐户,则新的特权帐户密码仅在
      所有
      用户都已签入该帐户后生成。
    • 仅登录应用程序签出
      指定是否仅在为端点定义了登录应用程序时才允许密码签出。
      注意:
      在启用了该选项时,用户无法显示密码,也无法将密码复制到剪贴板。
  5. (可选)移到“密码使用方”选项卡。
    如果配置,则显示使用特权帐户的密码使用方。
  6. (可选)单击“信息”选项卡,并填写该选项卡中的字段。
    您可以在该选项卡中指定端点特有的属性,并在定义或修改特权访问角色时使用这些属性。
    当访问特权角色的成员登录到
    Privileged Identity Manager
    企业控制台时,用户将根据在特权访问角色中定义的属性获取对特权访问帐户的访问权限。
    • 所有者
      指定端点所有者的名称。
    • 部门
      指定部门名称。
      示例
      :开发部
    • 自定义 1...5
      指定最多五个自定义的端点特定属性。
    注意:
    在特权访问角色的“成员”选项卡“成员策略”部分的“成员规则”窗口中,指定自定义属性。
  7. 单击“提交”。
    您已创建新的特权帐户或服务帐户。