组
内容
cminder12901cn
内容
组是通常共享相同访问授权的一组用户。 管理员可以将用户添加到组,从组中删除用户以及分配或拒绝组对系统资源的访问。 本地操作系统和
Privileged Identity Manager
中均存在此类型的组。组记录包含有关组的信息。 组记录中存储的最重要信息是为该组成员的用户的列表。
重要信息!
组记录的授权规则以递归方式应用于该组层次结构中的每个用户。例如,组 A 有两个成员:用户 X 和组 B。用户 Y 是组 B 的成员。当您更改组 A 的授权规则时,CA Privileged Identity Manager 会将更改的授权规则应用于组 A 层次结构中的所有用户和组,即用户 X、 组 B 和用户 Y。
组记录中的信息存储在
属性
中。在
Privileged Identity Manager
中,组管理员可以管理在其中定义组管理员的特定组的组功能。 组密码管理员可以更改组成员的密码。安全策略和组
在制定组织的安全策略时,您应该决定:
- 为实现安全管理目标需要创建的组
- 每个组中要加入哪些用户
- 是否要定义组管理员和组密码管理员,如果是,向哪些用户授予这些管理角色
预定义的用户组
Privileged Identity Manager
包括用户可以加入的预定义组。 一个此类组是 _restricted 组。 对于 _restricted 组中的用户,所有文件和注册表项都由 Privileged Identity Manager
保护。 如果没有为文件或注册表项显式定义访问规则,访问权限将由该类(FILE 或 REGKEY)的 _default 记录定义。请慎用 _restricted 组。 _restricted 组中的用户可能没有足够的授权来执行他们的工作。 如果您打算向 _restricted 组添加用户,请考虑在开始就使用警告模式。 在警告模式下,审核日志显示用户执行其工作需要哪些文件和注册表项。 检查审核日志之后, 您可以授予适当的权限,并关闭警告模式。
资源访问的预定义组
Privileged Identity Manager
中其他类型的预定义组可定义对于特定资源而言允许或禁止的访问类型。 这些组包括:- _network(仅 Windows)_network 组定义从网络到特定资源的访问权限。 所有用户都被视为该组的成员;没有必要将任何用户显式添加到该组。例如:可以指定只能从网络读取特定资源。 使用 selang,按如下方式定义新资源:newres FILE c:\temp\readonly defaccess(none)然后指定允许通过网络进行的访问:authorize FILE c:\temp\readonly gid(_network) access(read)还可以使用Privileged Identity Manager端点控制台执行此操作。现在,从网络访问 c:\temp\readonly 时,用户仅可以从网络读取文件。
- _interactive_interactiv 组定义允许从特定资源所在的计算机对该资源进行的访问。 例如:虽然不允许从网络访问该资源,但是可以从定义文件的计算机授予该文件的“读取”访问权限。
以下几点非常重要:
- 在Privileged Identity Manager中,_network 组和 _interactive 组之间没有连接。 这意味着在 _network 组中可以有定义从网络访问特定资源的规则。 _ interactive 组中的另一个规则可以定义对相同资源的访问。
- 不必将用户添加到 _network 组和 _interactive 组。
- 这些组可以保护数据库中定义的所有 Windows 资源。