PAM360 中的超级管理员角色

默认情况下， PAM360 与五个预定义的用户角色捆绑在一起，这些角色提供一组特定的权限级别:

特权管理员
管理员
密码管理员
密码审核员
密码用户

除此之外，我们还规定将任何管理用户的权限提升到 PAM360中的超级管理员的权限。超级管理员不是用户管理角色，而是特权提升，如果提供，则为用户提供对 PAM360 中所有资源的无拘无束访问。请注意，只有具有管理员级角色（如特权管理员/管理员/密码管理员）的用户或具有自定义管理角色的用户才能获得超级管理员权限。管理员成为超级管理员后，他们将具有无条件、完全权限的访问权限，访问其他管理员创建和拥有的所有资源。

我们建议创建一个超级管理员角色，作为紧急情况的专用碎玻璃帐户。出于安全原因，最好只创建一个超级管理员角色，并限制在组织层次结构顶部的经理。

从 PAM360 的用户界面将管理员提升为超级管理员角色的两种方法:

通过用户选项卡
通过管理 >> 自定义 >> 角色。

1）通过"用户"选项卡:

现有管理员用户可以从"用户"选项卡提升为超级管理员角色。在这里，选择所需的用户，然后单击用户操作 >> 编辑用户。

在下拉菜单中，将"访问范围"更改为系统中的所有密码。现在，此用户将被提升为超级管理员，并将通过电子邮件通知他们。

2）通过创建自定义角色:

您可以创建自定义用户角色，并授予其超级管理员权限，以及您选择的其他功能。要做到这一点，请导航到管理 >> 自定义角色然后单击添加角色。通过选择启用超级管理员权限复选框，您将启用将特定角色提升到 PAM360 中的超级管理员的选项。但是，当将来将此角色分配给用户时，您仍然需要使用编辑使用 r"选项授予他们访问所有密码的访问权限（如上一步中详述），以便为用户提供超级管理员功能。

可能需要超级管理员帐户的两种可能方案:

当组织中的顶级经理需要最终访问所有资产时
作为紧急情况的预防性碎玻璃帐户

当组织中的顶级经理需要最终访问所有资产时:

顶级经理（如组织的 CIO/CEO 的活动目录（AD）或 LDAP 帐户）可以提升为 PAM360 中的超级管理员，以防他们需要访问 PAM360 系统中存储的所有内容。在这种情况下，最好为此帐户启用双因素验证（ TFA ）。这样，即使他们的AD帐户遭到破坏，也不可能在不绕过 PAM360 中的 TFA 的情况下访问资源。

作为预防性的碎玻璃帐户:

我们建议创建一个超级管理员帐户，作为紧急情况的预防措施，例如具有管理员权限的员工突然死亡，在管理员休假时在服务器中执行安全措施，这可能会导致您的用户无法访问其帐户。在这种情况下，您可能需要访问所有资源以恢复对本地帐户的访问权限。但是，必须为此只创建一个超级管理员帐户，并且对该帐户的访问受到高度限制。 PAM360offers 预配禁用添加多个超级管理员，然后限制对现有超级管理员帐户的登录访问。此设置可用于防止 PAM360 系统内的特权滥用，并且只能由超级管理员执行。为此，在 PAM360 中创建新的管理帐户。从活动目录导入帐户后，您可以将此新管理员帐户提升为超级管理员。要禁用创建进一步的超级管理员，使用超级管理员帐户登录，导航到管理 >> 身份验证 >> 超级管理员并选择拒绝由管理员创建超级管理员。

现在，为了限制超级管理员帐户的使用，您可以通过导航到管理 >> 全局设置 >> 用户管理 >> 禁用本地身份验证来禁用其本地身份验证选项。

禁用此选项后，默认管理员帐户不能用于登录到 PAM360 ，因为本地身份验证选项将不再在登录页上可用。若要在紧急情况下重新获得对此帐户的访问权限，请联系我们支持团队，将本地身份验证选项带回登录页面，并使用默认管理员帐户恢复您的密码。


PAM360 中的超级管理员角色默认情况下， PAM360 与五个预定义的用户角色捆绑在一起，这些角色提供一组特定的权限级别: 特权管理员管理员密码管理员密码审核员密码用户除此之外，我们还规定将任何管理用户的权限提升到 PAM360中的超级管理员的权限。超级管理员不是用户管理角色，而是特权提升，如果提供，则为用户提供对 PAM360 中所有资源的无拘无束访问。请注意，只有具有管理员级角色（如特权管理员/管理员/密码管理员）的用户或具有自定义管理角色的用户才能获得超级管理员权限。管理员成为超级管理员后，他们将具有无条件、完全权限的访问权限，访问其他管理员创建和拥有的所有资源。我们建议创建一个超级管理员角色，作为紧急情况的专用碎玻璃帐户。出于安全原因，最好只创建一个超级管理员角色，并限制在组织层次结构顶部的经理。从 PAM360 的用户界面将管理员提升为超级管理员角色的两种方法: 通过用户选项卡通过管理 >> 自定义 >> 角色。 1）通过"用户"选项卡: 现有管理员用户可以从"用户"选项卡提升为超级管理员角色。在这里，选择所需的用户，然后单击用户操作 >> 编辑用户。在下拉菜单中，将"访问范围"更改为系统中的所有密码。现在，此用户将被提升为超级管理员，并将通过电子邮件通知他们。 2）通过创建自定义角色: 您可以创建自定义用户角色，并授予其超级管理员权限，以及您选择的其他功能。要做到这一点，请导航到管理 >> 自定义角色然后单击添加角色。通过选择启用超级管理员权限复选框，您将启用将特定角色提升到 PAM360 中的超级管理员的选项。但是，当将来将此角色分配给用户时，您仍然需要使用编辑使用 r"选项授予他们访问所有密码的访问权限（如上一步中详述），以便为用户提供超级管理员功能。可能需要超级管理员帐户的两种可能方案: 当组织中的顶级经理需要最终访问所有资产时作为紧急情况的预防性碎玻璃帐户当组织中的顶级经理需要最终访问所有资产时: 顶级经理（如组织的 CIO/CEO 的活动目录（AD）或 LDAP 帐户）可以提升为 PAM360 中的超级管理员，以防他们需要访问 PAM360 系统中存储的所有内容。在这种情况下，最好为此帐户启用双因素验证（ TFA ）。这样，即使他们的AD帐户遭到破坏，也不可能在不绕过 PAM360 中的 TFA 的情况下访问资源。作为预防性的碎玻璃帐户: 我们建议创建一个超级管理员帐户，作为紧急情况的预防措施，例如具有管理员权限的员工突然死亡，在管理员休假时在服务器中执行安全措施，这可能会导致您的用户无法访问其帐户。在这种情况下，您可能需要访问所有资源以恢复对本地帐户的访问权限。但是，必须为此只创建一个超级管理员帐户，并且对该帐户的访问受到高度限制。 PAM360offers 预配禁用添加多个超级管理员，然后限制对现有超级管理员帐户的登录访问。此设置可用于防止 PAM360 系统内的特权滥用，并且只能由超级管理员执行。为此，在 PAM360 中创建新的管理帐户。从活动目录导入帐户后，您可以将此新管理员帐户提升为超级管理员。要禁用创建进一步的超级管理员，使用超级管理员帐户登录，导航到管理 >> 身份验证 >> 超级管理员并选择拒绝由管理员创建超级管理员。现在，为了限制超级管理员帐户的使用，您可以通过导航到管理 >> 全局设置 >> 用户管理 >> 禁用本地身份验证来禁用其本地身份验证选项。禁用此选项后，默认管理员帐户不能用于登录到 PAM360 ，因为本地身份验证选项将不再在登录页上可用。若要在紧急情况下重新获得对此帐户的访问权限，请联系我们支持团队，将本地身份验证选项带回登录页面，并使用默认管理员帐户恢复您的密码。
© 2021， ZOHO 公司，保留所有权利。