如何将用户添加到管理角色中
内容
cminder12901cn
内容
一旦创建管理角色,即可将成员和管理员添加到该角色中。 属于某角色的成员会分配属于该角色的权限。 下列步骤是将成员添加到角色中的先决条件:
- 修改管理角色成员策略定义来定义该规则的成员。通过修改角色成员策略,您可以将属于其他角色成员的用户添加到您正在修改的角色中。示例:其中“登录名”= "Administrator" 或“管理角色”= "SystemManager"
- 确认管理员是否可以将成员添加到该角色或将其从中删除。
- 定义当用户被添加到该角色或将其从中删除时执行的操作。示例:将 SystemManager 添加到“管理角色”中,从“管理角色”中删除 SystemManager。
- 修改管理策略以便将用户作为管理员添加到管理规则中的该角色,并为该用户分配管理员权限。作为角色管理员添加的用户有权将成员添加到该角色中。现在,您可以将成员添加到该角色中。
添加成员和作用域规则
定义角色的配置文件和任务后,可添加成员、管理员和所有者。
请按下列步骤操作:
成员策略
成员策略
定义可以执行某一角色的任务的用户。 成员策略包含以下内容:- 成员规则:定义可以执行该角色的用户
- 范围规则:定义用户可以管理的对象
例如:管理角色、连接、特权帐户以及策略都属于对象。 可以在范围规则中指定许多其他对象。 每个成员策略可以具有多个成员规则,每个成员规则可以具有多个范围规则。
示例:纽约
Privileged Identity Manager
主机管理员的成员策略Don Hailey 是 Forward, Inc 公司的 IT 经理,并且具有“系统管理员”管理角色。 Don 想创建一个管理角色,仅允许具有“
Privileged Identity Manager
主机管理员”管理角色的纽约员工管理 Forward, Inc 纽约办公室中的主机和主机组。 所有纽约员工都是 NY 员工组的成员,纽约的所有主机和主机组的名称均以字母 NY 开头。Don 将创建以下成员策略。 该成员策略包含两个成员规则。 第一个成员规则不包含范围规则。 第二个成员规则包含两个范围规则:
- 成员规则 1:管理角色包含“AC 主机管理员”。
- 成员规则 2:作为“NY 员工”组成员的用户;范围规则:名称以“NY”开头的主机,以及名称以“NY”开头的主机组。
添加和删除操作
如果指定某管理角色的管理员可以在该角色中分配和取消分配用户,那么为该管理角色分配
添加操作
和删除操作
。添加操作
确保用户符合角色成员规则之一的条件。 删除操作
确保用户不再符合角色成员规则之一的条件。管理策略
管理策略
指定身为管理角色的管理员的用户。 管理角色管理员可管理管理角色的成员策略,并可在该管理角色中添加和删除用户和组。管理策略包含以下内容:
- 管理规则:定义身为角色的管理员的用户
- 范围规则:定义管理员可以管理的用户
- 管理员的权限:指定管理员是否可以管理该管理角色的成员和管理员
角色所有者
角色所有者可在管理角色中添加和删除任务。 只能定义一个所有者规则,但可以在该所有者规则中指定不同组的成员。