作为管理员,您可能经常感觉到常规网络工作太多而影响了对关键任务的关注。Application Control Plus的用户和角色管理模块可以很好地解决这一问题。将常规任务委派给定义明确权限级别的所选用户。您可以轻松地管理用户,并定义他们的范围来管理一组特定的计算机。
在“预定义角色”下指定了一些最常用的角色。但是,您还可以灵活地在“用户定义的角色”下定义最适合您要求的角色,并授予适当的权限。下面分别简要介绍了预定义和用户定义的角色:
您可以使用Application Control Plus自定义任意数量的角色,并根据您的个性化需求为其选择权限。这些自定义角色属于“用户定义”类别。为了更好地理解,让我们在以下部分中快速了解如何创建用户定义的角色。
请按照下面提到的步骤创建新的用户定义角色:
1.选择“管理员”选项卡,然后单击“全局设置”下的“用户管理”。这将打开“用户管理”页面。
2.选择“角色”选项卡,然后单击“添加角色”按钮。
3.指定角色名称和有关它的简短描述。
4.您可以在“选择控制”部分中为角色定义模块权限级别。
权限级别大致分为:
完全控制-对特定模块执行与管理员一样的所有操作
写入-除以下表中所述的少数限制外,执行所有操作
读取-仅查看该模块中的详细信息
无权访问-向用户隐藏该模块
5.单击“添加”按钮。
您已成功创建一个新角色。您刚刚创建的角色现在将在用户创建模块的“角色”列表中可用。只要该角色与用户关联,即使是单个用户,也无法执行角色删除。但是,您可以修改所有用户定义角色的权限级别。
您将在“预定义”类别中找到以下角色:
管理员角色: 管理员角色表示在所有模块上行使完全控制权的超级管理员。一个组织只能有一个超级管理员,如果超级管理员离开公司,您可以将其他管理员重新分配为超级管理员,但这只能以超级管理员身份登录才能完成。超级管理员还有权将用户从一个组织转移到另一个组织。
管理选项卡下列出的操作包括:
访客角色: 访客角色保留对所有模块的只读权限。与访客角色相关联的用户将有权扫描和查看有关不同模块的各种信息,但是严格禁止进行更改。访客角色还具有查看有关应用控制的详细信息的“只读”权限。
技术员角色: 技术员角色具有一组定义明确的权限,可以执行特定操作。技术员角色的用户无法执行“管理”选项卡下列出的所有操作。与技术员角色相关联的用户可以执行的操作包括:
审计员: 审计员角色是专为审计目的而设计的。该角色将帮助您授予审计员查看与应用相关的概要和报表的详细信息的权限。具有“审计员角色”的用户仅限于只读访问。
应用管理员: 应用管理员角色具有对应用控件的完全访问权限。他们还具有访问权限以执行任务(如“局域网唤醒”)和计划报表的权限。
Application Control Plus为您提供了为用户定义范围的特权,这意味着您可以定义目标计算机,该目标计算机可以映射到每个用户。通过将用户的权限限制为特定的计算机组,可以确保该用户具有执行其角色足够的权限,而又不会因权限太高而渎职。
您定义为范围的目标可以是以下之一:
当目标定义为“所有计算机”时,用户将有权对所有计算机执行角色中定义的所有特权。尽管范围是所有计算机,但是权限级别仅由用户映射到的角色确定。
您可以出于管理目的创建特定的自定义组,并将其与用户相关联。您创建的自定义组应该是唯一的,以便计算机不会属于一个以上的自定义组。这些是基于计算机的自定义组,为用户管理目的而创建,被定义为用户的“范围”。参考此处以了解有关创建自定义组的更多信息 。
您可以创建特定的远程办公室,也可以使用现有的远程办公室定义为用户的范围。多个用户可以管理相同的远程办公室。同样,可以将多个远程办公室映射到同一用户,但是,不能将远程办公室和唯一组的组合作为范围的一部分。
多个用户可以共享同一范围。在这种情况下,应用于范围的配置/任务可以由多个用户管理。要了解更多信息,请参阅此处: 注意事项
修改用户范围后,用户将无法管理由他创建的配置/任务。他有权复制不带目标的配置,以便将其重新用于当前范围。修改范围内的计算机不算作修改范围。
您可以在创建新用户时将用户与角色关联。要创建用户,请遵循以下步骤:
您已成功创建用户并将角色与需要管理的计算机范围相关联。当您选择通过活动目录对用户进行身份验证时,该用户应具有从安装Application Control Plus服务器的计算机登录到域的特权。
Application Control Plus提供了修改用户角色的灵活性,以最适合您不断变化的需求。您可以随时执行诸如更改用户角色和重置用户密码之类的操作。
有时您发现用户已不再使用,可以从用户列表中删除该用户。被删除的用户将不再执行“模块权限”。
启用双因素身份验证将确保对Application Control Plus Web控制台的访问安全。系统将提示用户输入一次性密码(OTP)及其默认密码。您可以配置设置以保存特定浏览器的OTP。如果启用此选项,则在天数内将不会提示用户输入OTP,在此处指定:管理-> 用户管理-> 双因素验证。您可以选择双因素身份验证的模式,可以是电子邮件或Google Authenticator。
一次性密码将通过电子邮件发送给每个用户。如果一个或多个用户的电子邮件地址未映射到Application Control Plus服务器,则不能启用“双因素身份验证”。您必须确保所有用户的电子邮件地址都已在Application Control Plus服务器中注册。
启用双因素身份验证后,用户将收到一封包含OTP详细信息的电子邮件。每个OTP在生成后的15分钟内有效。OTP将是一个自动生成的6位数字。您还可以允许用户将OTP保存在其Web浏览器上。您必须指定允许保存在Web浏览器上的天数。如果用户选择将OTP保存在浏览器中,则不会提示用户输入OTP。如果将天数指定为0,则将不允许用户在Web浏览器上保存OTP。每次用户尝试登录Application Control Plus Web控制台时都会生成OTP。
您可以选择Google Authenticator生成OTP。您需要在手机上安装Google Authenticator。可以根据移动设备的操作系统下载对应Google Authenticator,如下所述:
在移动设备上下载并安装Google Authenticator。当您首次登录Application Control Plus Web控制台时,会显示一个二维码。您必须打开Google Authenticator应用并扫描二维码以创建Application Control Plus帐户。您可以看到Application Control Plus现在已添加到Google Authenticator应用中,并且会自动生成OTP。
您可以使用在Google Authenticator中生成的OTP作为二次验证,然后登录到Application Control Plus。
|