用户

内容
cminder12901cn
内容
Privileged Identity Manager
中,有不同类型的用户。 每种类型的用户具有特定级别的权限和特定的限制。 组织的安全策略开发的一部分是决定将哪些特殊权限授予到哪些对象。
Privileged Identity Manager
存储有关用户(如允许用户登录的次数)以及要对该用户执行的审核类型的信息。 有关存储在数据库记录属性中的用户信息。
注意:
有关用户的详细信息,请参阅《
端点管理指南
》。
用户类型
Privileged Identity Manager
支持以下类型的用户,这些用户用于管理
Privileged Identity Manager
数据库中的资源:
  • 常规用户
    组织的内部最终用户,即组织中负责业务实施的人员。 您可以限制常规用户对同时安装本地操作系统和
    Privileged Identity Manager
    的系统的访问。
  • 拥有特殊权限的用户(子管理员)
    被授予可执行一个或多个特定管理任务的能力的常规用户。 如果授予常规用户执行特定管理功能的能力,则管理员的工作量将会减少。 在
    Privileged Identity Manager
    中,这称为任务指派。
  • 管理员
    这些用户在本地操作系统和
    Privileged Identity Manager
    中拥有最高授权。 管理员可以添加、删除和更新用户,还可以执行几乎所有的管理任务。 使用
    Privileged Identity Manager
    ,您可以限制本地超级用户的能力。 可以向无法自动获悉其帐户的特定用户分配管理任务。 这意味着入侵者无法直接搞清楚哪个用户执行管理任务。
  • 组管理员
    这些用户可以在一个特定组内执行大多数管理功能(例如添加、 删除和更新用户)。 在本地 Windows 中找不到此类具有有限的特定权限的用户。
  • 密码管理员
    有权修改其他用户密码的用户。 密码管理员无法更改其他用户属性。 本地操作系统中没有此类用户。
  • 组密码管理员
    有权修改某个特定组中其他用户密码的用户。 组密码管理员无法更改组中用户的其他用户属性。 本地操作系统中没有此类用户。
  • 审核员
    这些用户有权读取审核日志。 还可以决定在每次登录和每次尝试访问资源时执行的审核种类。 本地操作系统中没有此类用户。
  • 组审核员
    这些用户可以读取与其所在组相关的审核日志。 还有权决定在特定组中执行的审核种类。 本地操作系统中没有此类用户。
  • 操作员
    这些用户可以显示(读取)数据库中的所有信息、关闭
    Privileged Identity Manager
    ,以及使用 secons 实用工具来执行任务(如管理
    Privileged Identity Manager
    跟踪和显示运行时统计信息)。 本地操作系统中没有此类用户。
    注意:
    有关 secons 实用工具的详细信息,请参阅《
    参考指南
    》。
  • 组操作员
    这些用户可以在定义他们的组的数据库中显示所有信息。 本地操作系统中没有此类用户。
  • 服务器
    特殊类型的用户,实际上是一个进程,可以请求对其他用户的权限。
安全策略和用户
准备实施时,您应该决定:
  • 向已定义的用户授予哪些特殊权限(如果有)
  • 向定义的用户授予哪些全局授权属性和组授权属性
    例如:您应该决定将哪些用户定义为系统管理员、密码管理员、组密码管理员、审核员和操作员。