如何设置密码使用方
内容
cminder12901cn
内容
以下过程说明企业中的用户为设置密码使用方而必须完成的任务。 用户必须具有指定角色才能完成流程的每个步骤。 具有“系统管理员”管理角色的用户可以执行此流程中的每个
Privileged Identity Manager
企业控制台任务。要设置密码使用方,用户需执行以下操作:
- 系统管理员按如下方式配置端点:
- 在使用数据库、Windows 运行身份和软件开发工具包密码使用方的端点上安装Privileged Identity Manager。系统管理员在安装过程中会启用 SAM 集成功能。注意:无需在端点上安装Privileged Identity Manager即可使用 Windows 排定任务或 Windows 服务密码使用方。
- 在使用以下密码使用方的端点上,执行其他配置步骤:
- 数据库 (JDBC): 配置端点以便使用数据库 (JDBC) 密码使用方
- 数据库(ODBC、OLEDB、OCI): 配置端点以便使用数据库(ODBC、OLEDB、OCI)密码使用方
- 数据库 (.NET): 配置端点以便使用数据库 (.NET) 密码使用方
- 软件开发工具包 (CLI): 配置端点以便使用 CLI 密码使用方
- 软件开发工具包 (SDK): 配置端点以便使用密码使用方 SDK 应用程序
- 软件开发工具包(Web 服务 SDK): 配置端点以便使用 Web 服务 SAM SDK 应用程序
- SAM 目标系统管理员角色在Privileged Identity Manager企业控制台中创建密码策略。 密码策略为特权帐户和服务帐户设置密码规则和密码到期时间间隔。
- SAM 目标系统管理员在Privileged Identity Manager企业控制台中创建端点。 端点是由特权帐户和服务帐户所管理的设备。 您可以在Privileged Identity Manager企业控制台中创建端点,或使用 SAM 导送程序导入端点。注意:如果在您设置特权帐户时已创建端点,则不执行该步骤。
- 要创建数据库、Windows 运行身份或软件开发工具包密码使用方,用户应执行以下操作:
- SAM 目标系统管理员在Privileged Identity Manager企业控制台中发现或创建特权帐户。该用户可以在Privileged Identity Manager企业控制台中发现和创建特权帐户,或使用 SAM 导送程序导入特权帐户。
- 系统管理员在Privileged Identity Manager企业控制台中创建数据库、Windows 运行身份和软件开发工具包密码使用方。系统管理员将数据库、Windows 运行身份和软件开发工具包密码使用方与特权帐户相关联,这属于创建密码使用方任务的组成部分。
- 为了创建 Windows 排定任务或 Windows 服务密码使用方,SAM 目标系统管理员会发现服务帐户。对于发现的每个服务和排定任务,Privileged Identity Manager企业控制台都会为其创建密码使用方。注意:Privileged Identity Manager企业控制台仅发现由您可以更改密码的帐户运行的服务。 例如,Privileged Identity Manager企业控制台发现由您的计算机管理员帐户或域帐户运行的服务,但不发现由 NT AUTHORITY\Local Service 帐户运行的服务。现在便为您的企业设置了密码使用方。
下图说明执行每个流程步骤的特权访问角色:

发现服务帐户
服务帐户
是 Windows 服务所使用的内部帐户。 这些服务为计算机提供核心操作系统和其他功能。 利用 Privileged Identity Manager
企业控制台管理服务帐户密码,可以保护这些服务,使其免受潜在的攻击。您可以发现在 Windows Agentless 端点上管理服务和排定任务的服务帐户。 发现服务帐户允许您在
Privileged Identity Manager
企业控制台中同时创建多个服务帐户,并将密码使用方分配给这些服务帐户。 如果您不想为服务帐户创建密码使用方,则使用“创建特权或服务帐户”任务来创建服务帐户。注意:
要发现特权帐户,请使用“发现特权帐户向导”。“发现服务帐户向导”不发现端点上的所有服务。 仅发现由您可以更改密码的帐户所运行的服务。 例如,
Privileged Identity Manager
企业控制台发现由您的计算机管理员帐户或域帐户运行的服务,但不发现由 NT AUTHORITY\Local Service 帐户运行的服务。请按下列步骤操作:
- (可选)要发现为域帐户的服务帐户,请验证是否在Privileged Identity Manager企业控制台中定义了帐户所在域控制器 (DC) 的以下属性:
- 端点类型 - Windows Agentless
- 为 Active Directory - True
- 主机域 - DC 所属的域名
- 用户域 - DC 上定义的用户所属的域名注意:仅当管理帐户来自的域不同于这些帐户所在的域时才会指定用户域。
- 在Privileged Identity Manager企业控制台中,单击“特权帐户”、“发现”、“发现服务帐户向导”。将打开“发现服务帐户向导”窗口。注意:“端点类型”字段的值是 Windows Agentless,因为 SAM 仅管理 Windows Agentless 端点上的服务帐户。
- 选择搜索属性,键入筛选器值,然后单击“搜索”。此时将显示匹配筛选条件的服务帐户的列表,以及使用这些服务帐户的 Windows 服务和排定任务的列表。 如果向导发现来自未知域的帐户,将显示一条警告消息。注意:完成该过程会花费一些时间。 服务和排定任务列在“密码使用方”列中。 通过该列中的图标可以看出哪些密码使用方是服务,哪些是排定任务。
- 选择想要密码使用方来管理的服务和排定任务,然后单击下一步。此时出现“常规帐户属性”窗口。
- 选择要分配给服务和排定任务的密码策略,然后单击下一步。此时出现“摘要”窗口。
- 查看摘要然后单击完成。如果没有出错,Privileged Identity Manager企业控制台会提交任务并添加服务帐户。 在Privileged Identity Manager企业控制台添加服务帐户之后,会自动为您选择的每项服务和排定任务创建密码使用方。 您可以使用合适的密码使用方任务来查看和修改密码使用方。
创建密码使用方
密码使用方是使用特权帐户和服务帐户来执行脚本、连接到数据库或管理 Windows 服务、排定任务或 RunAs 命令的应用程序、Windows 服务和 Windows 排定任务。
有两组密码使用方:
- 按需获得密码的密码使用方 - 软件开发工具包、数据库、Windows 运行身份
注意:
必须在已启用共享帐户管理集成功能的共享帐户管理端点上安装 Privileged Identity Manager
,才能使用按需获得密码的密码使用方。- 密码更改时获得密码的密码使用方 - Windows 排定任务、Windows 服务
请提供不同信息以从各个组创建密码使用方。 默认情况下,您必须有系统管理员角色才能创建密码使用方。
注意
:如果您创建类型为软件开发工具包、数据库和 Windows 运行身份的密码使用方,则需要完成该任务。 建议您使用“发现服务帐户向导”来创建 Windows 排定任务或 Windows 服务密码使用方。请按下列步骤操作:
- 在Privileged Identity Manager企业管理中,单击“特权帐户”、“密码使用方”、“创建密码使用方”。创建密码使用方:“密码使用方搜索”页面出现。
- (可选)按如下方式选择一个现有密码使用方来创建密码使用方作为其副本:
- 选择创建类型为“密码使用方”的对象副本。
- 选择搜索属性,键入筛选器值,然后单击“搜索”。此时将显示匹配筛选条件的密码使用方的列表。
- 选择要用作新密码使用方基础的对象。
- 单击“确定”。此时出现“创建密码使用方”任务页面。 如果密码使用方是从现有对象创建的,则对话框字段中会预先填充来自现有对象的值。
- 填写常规选项卡中的以下字段:
- 名称定义要用来指代此密码使用方的名称。
- 说明(可选)定义要为该密码使用方记录的信息(自由文本)。
- 使用方类型指定该密码使用方的类型。
- 应用程序路径(软件开发工具包、数据库、Windows 运行身份、Windows 排定的任务)在端点上定义密码使用方的完整路径名。
- 对于软件开发工具包密码使用方,指定执行密码请求的应用程序的路径名。
- 对于数据库密码使用方,指定连接到数据库的应用程序的路径名。
- 对于 Windows 运行身份密码使用方,指定用户执行的应用程序的路径名。
- 对于 Windows 排定任务密码使用方,指定排定任务的路径名。
注意:您可以在路径名中使用通配符 (*) 和 CA ControlMinder 变量,例如,<!AC_ROOT_PATH>\bin\acpwd.exe。 - 服务名称(Windows 服务)定义 Windows 服务的路径名。 指定路径名,使之与 Windows 服务属性页面中的路径名完全相同。
- 已启用指定密码使用方已启用,即,共享帐户管理接受来自此使用方的请求或对此使用方强制实施密码更改。
- 状态(Windows 排定任务或 Windows 服务)指出上次密码更改成功还是失败。
- 最后的同步日期(Windows 排定任务或 Windows 服务)显示最后成功的密码同步。
- 重新启动(Windows 服务)指定是否在密码更改之后重新启动 Windows 服务。
- 单击特权帐户选项卡,并指定与密码使用方相关联的特权帐户。如果您创建软件开发工具包、数据库或 Windows 运行身份类型的密码使用方,该密码使用方可以获得您指定的特权帐户的密码。如果创建 Windows 排定任务或 Windows 服务的密码使用方,共享帐户管理会在这些特权帐户的密码发生更改时,强制为密码使用方更改密码。
- 指定可以使用密码使用方的实体。 请执行下列操作之一:
- 要创建软件开发工具包、数据库或 Windows 运行身份类型的密码使用方,请执行以下操作:
- 单击“主机”选项卡,并选择“全部主机”授予所有主机或主机组访问特权帐户密码的权限。注意:您可以在“名称”字段中键入主机或主机组的名称,或单击“...”搜索 CA ControlMinder 主机或主机组(HNODE 或 GHNODE 对象)。
- 单击“用户”选项卡,并指定可以请求特权帐户密码的用户或组,或选择“所有用户”,以使每个用户都请求特权帐户密码。指定端点上显示的用户或组的名称,例如:DOMAIN\user1。 请不要指定 CA ControlMinder 企业管理用户或组。
- 要创建 Windows 排定任务或 Windows 服务类型的密码使用方,请单击“端点”选项卡,并指定要在上面创建密码使用方的端点。
- 单击“提交”。
密码使用方示例 Windows 运行身份
通过 Windows RunAs 应用程序,用户可以借用特权帐户的权限以便执行特定任务。 您可以创建“Windows 运行身份”密码使用方,这样当用户执行 RunAs 时,SAM 代理可以直接向 RunAs 应用程序提供特权帐户密码。 “Windows 运行身份”密码使用方免除了用户知晓特权帐户密码来执行管理任务的需要。
您仅可以在 Windows Agentless 端点上创建“Windows 运行身份”密码使用方。
在下列示例中,备份任务被排定为每周运行一次。 该任务位于 C:\backup\backup.exe 并由管理员运行。 如果排定备份失败,系统管理员 Steve 想让用户 John 手工开始备份。 Steve 可以使用“Windows 运行身份”密码使用方让 John 在没有管理员密码的情况下开始备份任务。
以下过程说明了 Steve 和 John 在名为 win123_PUPM 的端点上创建和使用“Windows 运行身份”密码使用方所执行的步骤:
- Steve 在启用了 SAM 集成功能的 win123_PUPM 上安装Privileged Identity Manager。
- Steve 在Privileged Identity Manager企业控制台中执行以下操作:
- 创建名为 win123_PUPM 的 Windows Agentless 端点。
- 在 win123_PUPM 端点上发现 Administrator 特权帐户。
- 使用以下参数创建“Windows 运行身份”密码使用方:
- 名称 - win123_PUPM Backup RunAs
- 使用方类型 - Windows 运行身份
- 应用程序路径 - C:\backup\backup.exe
- 帐户 - Administrator
- 主机 - win123_PUPM
- 用户 - Domain1\John注意:Steve 输入端点上显示的 John 的用户名。
- 排定的备份任务失败,然后 John 登录到 win123_PUPM 手工开始备份。 他使用以下参数执行 RunAs 命令开始备份任务:
- 帐户 - Administrator
- 密码 - no password注意:SAM 代理会忽略 John 针对密码提供的任何值。
Privileged Identity Manager企业控制台检索特权帐户密码,并将其提供给 RunAs 应用程序。 备份任务开始。
密码使用方示例 Windows 排定任务
“Windows 排定任务”和“Windows 服务”密码使用方帮助您自动化服务帐户的密码更改。 服务帐户是 Windows 服务使用的内部帐户。 例如,如果您配置排定任务定期检查软件更新,排定任务则使用服务帐户登录到端点并执行该任务。
您仅可以在 Windows Agentless 端点上创建“Windows 排定任务”和“Windows 服务”密码使用方。 无需在端点上安装
Privileged Identity Manager
即可使用“Windows 服务”和“Windows 排定任务”密码使用方。您仅可以为由您可以更改其密码的帐户运行的服务创建“Windows 服务”密码使用方。 例如,您可以为由您计算机的 Administrator 帐户运行的服务创建密码使用方;您不能为由 NT AUTHORITY\Local Service 帐户运行的服务创建密码使用方。
在下列示例中,系统管理员 Steve 想为某排定任务创建密码使用方,该排定任务检查名为 win456 的 Windows 端点上的软件更新。 排定任务使用 win456\ServiceAdmin 帐户登录到该端点。
Steve 在
Privileged Identity Manager
企业控制台中执行以下操作:- Steve 创建名为 30days 的密码策略。 该密码策略指定,Privileged Identity Manager企业控制台每 30 天为服务帐户更改一次密码,并且仅可在周日的上午 1 点到上午 3 点之间 更改密码。
- Steve 创建名为 win456 的 Windows Agentless 端点。
- Steve 使用服务帐户发现向导来发现 win456 端点上的 win456\ServiceAdmin 帐户,并将 30days 密码策略应用于该服务帐户。
- Privileged Identity Manager企业控制台使用以下参数创建“Windows 排定任务”密码使用方:
- 名称 - win456 上的 UpdateTask (C:\WINDOWS\Tasks\UpdateTask.bat)
- 使用方类型 - Windows 排定任务
- 应用程序路径 - C:\WINDOWS\Tasks\UpdateTask.bat
- 特权帐户 - win456\ServiceAdmin
- 端点 - win456
Privileged Identity Manager企业控制台更改 win456\ServiceAdmin 帐户的密码时,JCS 都会登录到 win456 端点并更改软件更新排定任务的密码。 如果密码更改不成功,Steve 可以使用“同步密码使用方”任务来重试密码更改。