总览

作为管理员,您可能经常感觉到常规网络工作太多而影响了对关键任务的关注。Endpoint DLP Plus的用户和角色管理模块可以很好地解决这一问题。将常规任务委派给定义明确权限级别的所选用户。您可以轻松地管理用户,并定义他们的范围来管理一组特定的计算机。

角色管理

在“预定义角色”下指定了一些最常用的角色。但是,您还可以灵活地在“用户定义的角色”下定义最适合您要求的角色,并授予适当的权限。下面分别简要介绍了预定义和用户定义的角色:

 

用户定义的角色

您可以使用Endpoint DLP Plus自定义任意数量的角色,并根据您的个性化需求为其选择权限。这些自定义角色属于“用户定义”类别。为了更好地理解,让我们在以下部分中快速了解如何创建用户定义的角色。

请按照下面提到的步骤创建新的用户定义角色:

1.选择“管理员”选项卡,然后单击“全局设置”下的“用户管理”。这将打开“用户管理”页面。
2.选择“角色”选项卡,然后单击“添加角色”按钮。
3.指定角色名称和有关它的简短描述。
4.您可以在“选择控制”部分中为角色定义模块权限级别。
权限级别大致分为:
完全控制-对特定模块执行与管理员一样的所有操作
写入-除以下表中所述的少数限制外,执行所有操作
读取-仅查看该模块中的详细信息
无权访问-向用户隐藏该模块
5.单击“添加”按钮。/p>

您已成功创建一个新角色。您刚刚创建的角色现在将在用户创建模块的“角色”列表中可用。只要该角色与用户关联,即使是单个用户,也无法执行角色删除。但是,您可以修改所有用户定义角色的权限级别。

 

预定义角色

您将在“预定义”类别中找到以下角色:

  1. 管理员
  2. 访客
  3. 技术员
  4. 终端DLP经理

管理员角色:管理员角色表示在所有模块上行使完全控制权的超级管理员。一个组织只能有一个超级管理员,如果超级管理员离开公司,您可以将其他管理员重新分配为超级管理员,但这只能以超级管理员身份登录才能完成。超级管理员还有权将用户从一个组织转移到另一个组织。

管理选项卡下列出的操作包括:

    1. 定义或修改管理范围
    2. 添加非活动用户
    3. 更改代理设置
    4. 个性化选项,例如更改主题,设置会话到期时间等。
    5. 具有执行所有与Endpoint DLP Plus相关的任务的写入权限

访客角色:访客角色保留对所有模块的只读权限。与访客角色相关联的用户将有权扫描和查看有关不同模块的各种信息,但是严格禁止进行更改。访客角色还具有查看有关终端DLP的详细信息的“只读”权限。

技术员角色:技术员角色具有一组定义明确的权限,可以执行特定操作。技术员角色的用户无法执行“管理”选项卡下列出的所有操作。与技术员角色相关联的用户可以执行的操作包括:

  1. 可以定义和部署所有与终端DLP相关的任务
  2. 可以查看所有终端DLP任务,包括其他用户创建的任务、报表等。
  3. 可以挂起、修改或重新部署它们定义的配置/任务。
  4. 可以执行扫描操作。
  5. 具有执行终端DLP任务的写入权限

审计员:审计员角色是专为审计目的而设计的。该角色将帮助您授予审计员查看与应用相关的概要和报表的详细信息的权限。具有“审计员角色”的用户仅限于只读访问。

终端DLP经理终端DLP经理角色有Endpoint DLP Plus完全访问权限。他们还具有访问权限以执行任务(如“局域网唤醒”)和计划报表的权限。

用户角色和权限级别

定义范围

Endpoint DLP Plus为您提供了为用户定义范围的特权,这意味着您可以定义目标计算机,该目标计算机可以映射到每个用户。通过将用户的权限限制为特定的计算机组,可以确保该用户具有执行其角色足够的权限,而又不会因权限太高而渎职。

您定义为范围的目标可以是以下之一:

所有计算机

当目标定义为“所有计算机”时,用户将有权对所有计算机执行角色中定义的所有特权。尽管范围是所有计算机,但是权限级别仅由用户映射到的角色确定。

静态唯一组

您可以出于管理目的创建特定的自定义组,并将其与用户相关联。您创建的自定义组应该是唯一的,以便计算机不会属于一个以上的自定义组。这些是基于计算机的自定义组,为用户管理目的而创建,被定义为用户的“范围”。参考此处以了解有关创建自定义组的更多信息 。

 

远程办公室

您可以创建特定的远程办公室,也可以使用现有的远程办公室定义为用户的范围。多个用户可以管理相同的远程办公室。同样,可以将多个远程办公室映射到同一用户,但是,不能将远程办公室和唯一组的组合作为范围的一部分。

 

共享范围

多个用户可以共享同一范围。在这种情况下,应用于范围的配置/任务可以由多个用户管理。要了解更多信息,请参阅此处: 注意事项

 

修改范围

修改用户范围后,用户将无法管理由他创建的配置/任务。他有权复制不带目标的配置,以便将其重新用于当前范围。修改范围内的计算机不算作修改范围。

3.用户管理

创建用户并关联角色

您可以在创建新用户时将用户与角色关联。要创建用户,请遵循以下步骤:

  1. 以管理员身份登录到Endpoint DLP Plus客户端
  2. 单击“全局设置”类别下可用的“用户管理”链接
  3. 将身份验证类型指定为活动目录身份验证或本地身份验证
  4. 指定用户名和密码并确认密码
  5. 从下拉列表中指定角色。您可以看到所有预定义的角色,您创建的角色也将在此处列出
  6. 从下拉列表中指定角色。您可以看到所有预定义的角色,您创建的角色也将在此处列出
  7. 为用户定义范围后,您可以指定需要由用户管理的计算机。您可以选择向用户提供管理所有计算机、远程办公室或特定唯一自定义组的访问权限。如果您没有唯一的自定义组,则可以创建一个。如果自定义组不是唯一的,将不会在此处列出。

您已成功创建用户并将角色与需要管理的计算机范围相关联。当您选择通过活动目录对用户进行身份验证时,该用户应具有从安装Endpoint DLP Plus服务器的计算机登录到域的特权。

修改用户详细信息

Endpoint DLP Plus提供了修改用户角色的灵活性,以最适合您不断变化的需求。您可以随时执行诸如更改用户角色和重置用户密码之类的操作。

 

删除用户

有时您发现用户已不再使用,可以从用户列表中删除该用户。被删除的用户将不再执行“模块权限”。

 

启用双因素验证

启用双因素身份验证将确保对Endpoint DLP Plus Web控制台的访问安全。系统将提示用户输入一次性密码(OTP)及其默认密码。您可以配置设置以保存特定浏览器的OTP。如果启用此选项,则在天数内将不会提示用户输入OTP,在此处指定:管理-> 用户管理-> 双因素验证。您可以选择双因素身份验证的模式,可以是电子邮件或Google Authenticator。

电子邮件

一次性密码将通过电子邮件发送给每个用户。如果一个或多个用户的电子邮件地址未映射到Endpoint DLP Plus服务器,则不能启用“双因素身份验证”。您必须确保所有用户的电子邮件地址都已在Endpoint DLP Plus服务器中注册。

启用双因素身份验证后,用户将收到一封包含OTP详细信息的电子邮件。每个OTP在生成后的15分钟内有效。OTP将是一个自动生成的6位数字。您还可以允许用户将OTP保存在其Web浏览器上。您必须指定允许保存在Web浏览器上的天数。如果用户选择将OTP保存在浏览器中,则不会提示用户输入OTP。如果将天数指定为0,则将不允许用户在Web浏览器上保存OTP。每次用户尝试登录Endpoint DLP Plus Web控制台时都会生成OTP。

Google Authenticator

您可以选择Google Authenticator生成OTP。您需要在手机上安装Google Authenticator。可以根据移动设备的操作系统下载对应Google Authenticator,如下所述:

在移动设备上下载并安装Google Authenticator。当您首次登录Endpoint DLP Plus Web控制台时,会显示一个二维码。您必须打开Google Authenticator应用并扫描二维码以创建Endpoint DLP Plus帐户。您可以看到Endpoint DLP Plus现在已添加到Google Authenticator应用中,并且会自动生成OTP。

您可以使用在Google Authenticator中生成的OTP作为二次验证,然后登录到Endpoint DLP Plus。

     
    • 如果用户已删除Google Authenticator上的Endpoint DLP Plus帐户,则该用户应与管理员联系,以恢复使用Google Authenticator进行双因素身份验证。管理员可以从此处重新发送二维码以恢复Google Authenticator:管理员->用户管理->操作(在适当的用户下)->重新发送二维码。

     

     

注意事项

  1. 唯一的自定义组可以由多个用户管理
  2. 同一台计算机不能属于多个“唯一自定义组”
  3. 只有管理员有权修改用户的范围
  4. 为用户定义的范围不能是自定义组和远程办公室的组合,只能是所有计算机或特定的唯一组或远程办公室
  5. 修改用户范围后,不会通知用户对其范围所做的更改
  6. 从唯一的自定义组中添加或删除计算机不会影响用户的范围
  7. 请参考以下情景和操作:
    用户A的范围:静态唯一组1
    用户B的范围:静态唯一组2
    用户C的范围:静态唯一组2和静态唯一组3
    用户D的范围:静态唯一组1,静态唯一组2,静态唯一组3和静态唯一组4
    1. 用户A创建配置/任务并将其应用于静态唯一组1。由于用户A和用户D共享相同的范围(静态唯一组1),因此该配置对用户A和用户D是可见的。用户A和用户D可以修改此配置。当用户D修改此配置时,此配置的目标将仅列出用户A和用户D共享的范围。
    2. 用户D创建一个配置并将其应用于静态唯一组2,然后用户B、用户C和用户D可以查看此配置。这三个用户都能够管理该配置。
    3. 用户D创建一个配置并将其应用于静态唯一组3和静态唯一组4。在这种情况下,用户C和用户D能够查看此配置。用户C无法对此配置进行任何更改。
    4. 用户A创建一个配置并将其应用于静态唯一组1,然后,用户A的范围被修改,则该配置只能由他查看,或作为没有目标的新配置复制。