概述

作为管理员，您可能多次感到日常例行工作会占用网络中需要重点关注的重要任务。Patch Manager Plus通过其用户与角色管理模块解决了这一问题；将日常活动委托给具有明确定义权限级别的指定用户。您可以轻松管理用户，并定义其管理特定计算机组的范围。

角色管理

最常用的一些角色已在预定义角色中指定。然而，您也可以在用户定义角色中灵活定义最适合您需求的角色并授予适当权限。以下是预定义角色和用户定义角色的简要介绍：

用户定义角色

您可以使用 Patch Manager Plus 定制任意数量的角色，并根据个性化需求赋予所需权限。这些自定义角色归类于用户定义类别。为更好理解，接下来简要说明如何创建用户定义角色。

按照下述步骤创建新的用户定义角色：

1. 选择 Admin 选项卡，然后在全局设置下点击 User Administration，打开用户管理页面。
2. 选择 Role 选项卡，点击添加角色按钮。
3. 指定角色名称及其简短描述。
4. 在选择控件部分，您可以为角色定义各模块的权限等级。
权限等级大致分为：
完全控制 - 在特定模块中执行所有操作，如同管理员一般
写入 - 执行除表中说明的限制外的所有操作
只读 - 仅查看该模块中的详细信息
无权访问 - 对该用户隐藏该模块
5. 点击添加按钮。

您已成功创建一个新角色。该角色现在将显示在用户创建模块的角色列表中。如果该角色已关联至少一个用户，则无法删除该角色。但您可以修改所有用户定义角色的权限级别。

预定义角色

您将在预定义类别中找到以下角色：

管理员
来宾
技术员
补丁管理员

管理员角色： 管理员角色代表超级管理员，对所有模块拥有完全控制权限。每个组织最多只有一名超级管理员，如果超级管理员离职，可以重新指定另一名管理员为超级管理员，但此操作仅限以超级管理员身份登录执行。超级管理员还具备将用户从一个组织转移到另一个组织的权限。

管理选项卡下包含的操作包括：

1. 定义或修改管理范围
2. 添加非活跃用户
3. 更改代理设置
4. 个性化选项，例如更换主题、设置会话过期等
5. 安排漏洞数据库更新
6. 安排补丁管理的扫描设置
7. 查看 Patch Manager Plus 的操作日志
8. 拥有执行所有补丁相关任务的写权限

来宾角色： 来宾角色对所有模块保留只读权限。关联此角色的用户可扫描并查看各模块的多种信息，但严格禁止进行修改。来宾角色在补丁管理详情查看上也仅有只读权限。

技术员角色： 技术员角色具有明确限定的权限以执行特定操作。关联技术员角色的用户不能执行管理员选项卡下的所有操作。技术员角色用户可执行的操作包括：

定义并部署所有补丁配置和任务。
查看所有补丁配置/任务（包括其他用户创建的）、报告等。
可暂停、修改或重新部署自己定义的配置/任务。
更新漏洞数据库。
执行扫描操作。
拥有执行补丁管理任务的写权限。

审计员： 审计员角色专为审计目的设计。此角色允许审计员查看补丁摘要和报告的详细信息。拥有“审计员角色”的用户仅限于只读访问。

补丁管理员： 补丁管理员角色完全访问补丁管理。补丁管理员还有权执行诸如Wake On LAN及安排补丁报告等任务。

用户角色与权限级别

定义范围

Patch Manager Plus 允许您为用户定义管理范围，即定义目标计算机，该目标可映射到每个用户。通过限制用户对特定计算机组的权限，确保用户拥有恰当权限执行职责，避免权限滥用。

您定义的范围目标可以是以下之一：

所有计算机

当目标定义为“所有计算机”时，用户对所有计算机拥有其角色定义的所有权限。虽然范围是所有计算机，但权限级别仅由用户映射的角色决定。

静态唯一组

您可创建特定自定义组用于管理，并关联给用户。自定义组应唯一，确保无计算机属于多个自定义组。这些基于计算机的自定义组作为用户管理的“范围”。了解详情请参阅创建自定义组

远程办公室

您可以创建特定远程办公室或使用现有远程办公室作为用户的管理范围。多个用户可以管理同一远程办公室。同样，一个用户也可映射多个远程办公室，但范围不能混合远程办公室和唯一自定义组。

共享范围

多个用户可以共享相同范围。在此情况下，应用于该范围的配置/任务可由多个用户管理。详情请参见：注意事项

修改范围

当用户的范围被修改时，用户将无法管理其之前创建的已存在配置/任务。用户有权限克隆这些配置，但无目标，以便为当前范围重新使用。修改范围内的计算机不视为修改范围。

3. 用户管理

创建用户并关联角色

您可以在创建新用户时关联角色。创建用户请执行以下步骤：

以管理员身份登录 Patch Manager Plus 客户端
点击全局设置类别下的 User Management 链接
指定身份验证类型为 Active Directory Authentication 或 Local Authentication
指定用户名、密码并确认密码
从下拉列表中选择角色，预定义角色和您创建的角色均会显示
指定用户的电子邮件地址和电话号码（可选）
定义用户范围，可指定需由用户管理的计算机。您可以授权用户管理所有计算机、远程办公室或特定唯一自定义组。若无唯一自定义组，可创建一个。若自定义组非唯一，将不会列出。

您已成功创建用户并为其关联包含需管理计算机范围的角色。若选择使用 Active Directory 认证，用户需具备在安装 Patch Manager Plus 服务器的计算机上登录域的权限。

修改用户详情

Patch Manager Plus 允许灵活修改用户角色，以适应不断变化的需求。您可在任何时候执行更改用户角色和重置用户密码等操作。

删除用户

当发现用户贡献不再需要时，可将其从用户列表中删除。删除的用户将不再拥有模块权限。

启用双因素认证

启用双因素认证可保障访问 Patch Manager Plus Web 控制台的安全。用户需输入一次性密码（OTP）及默认密码。您可配置允许在特定浏览器保存 OTP 的设置。启用该选项后，用户在指定天数内将不被提示输入 OTP（路径：Admin -> User Administration -> Two Factor Authentication）。双因素认证模式可选择通过电子邮件或 Google Authenticator 实现。

电子邮件

一次性密码将通过电子邮件发送给每个用户。若有一个或多个用户未在 Patch Manager Plus 服务器中注册电子邮件地址，则无法启用双因素认证。您需确保所有用户电子邮件已注册。

启用双因素认证后，用户将收到含 OTP 详情的邮件。每个 OTP 自生成时起有效期为15分钟。OTP 会是自动生成的六位数字。您可允许用户在其浏览器上保存 OTP，并需指定允许保存的天数。若用户选择保存，登录时将不再提示输入 OTP。若设置为0天，则用户不能保存 OTP。每次用户登录 Patch Manager Plus Web 控制台时，均会生成新 OTP。

Google Authenticator

您可选择使用 Google Authenticator 生成 OTP。需在智能手机上安装 Google Authenticator。可根据设备操作系统通过以下途径下载：

iOS 设备 - App Store
Android 设备 - Google Play
Windows - Windows Store

在移动设备上下载并安装身份验证器。首次登录 Patch Manager Plus Web 控制台时，将显示二维码。打开 Google Authenticator 应用扫描二维码，即可为 Patch Manager Plus 创建账户。之后，Patch Manager Plus 会显示在 Google Authenticator 应用中，OTP 将自动生成。

您可以使用 Google Authenticator 生成的 OTP 作为二次身份验证登录 Patch Manager Plus。

如果用户删除了 Google Authenticator 中的 Patch Manager Plus 账户，则需联系管理员以恢复 Google Authenticator 双因素认证。管理员可从此处重新发送二维码：Admin -> User Management -> 操作（对应用户下）-> 重新发送二维码。

注意事项

一个唯一自定义组可以由多个用户管理。
同一计算机不得属于多个唯一自定义组。
只有管理员有权限修改用户的范围。
定义的用户范围不能同时包含自定义组和远程办公室，只能是所有计算机、特定唯一组或远程办公室中的一种。
修改用户范围时，用户不会收到关于范围变更的通知。
向唯一自定义组添加或移除计算机不会影响用户范围。
参见以下情形及行为：
用户 A 范围：静态唯一组 1
用户 B 范围：静态唯一组 2
用户 C 范围：静态唯一组 2 和静态唯一组 3
用户 D 范围：静态唯一组 1、静态唯一组 2、静态唯一组 3 和静态唯一组 4
1. 用户 A 创建并应用配置/任务于静态唯一组 1。此配置对用户 A 和用户 D 可见，因为他们共享相同范围（静态唯一组 1）。此配置可被用户 A 和用户 D 修改。用户 D 修改此配置时，配置目标仅列出用户 A 和用户 D 共享的范围。
2. 用户 D 创建并应用配置于静态唯一组 2，该配置可被用户 B、用户 C 和用户 D 查看，三者均能管理该配置。
3. 用户 D 创建并应用配置于静态唯一组 3 和静态唯一组 4，用户 C 和用户 D 可查看此配置，但用户 C 无法修改。
4. 用户 A 创建并应用配置于静态唯一组 1，随后用户 A 范围被修改，则此配置仅能由用户 A 自己查看，或可作为无目标的配置克隆。