PAM360 中的超级管理员角色

默认情况下， PAM360 附带了五个预定义的用户角色，这些角色提供一组特定的权限级别:

特权管理员
管理员
密码管理员
密码审核员
密码用户

除此之外，我们还规定将任何管理用户的权限提升到 PAM360中的超级管理员的权限。超级管理员不是用户管理角色，而是特权提升，如果提供，则为用户提供对 PAM360 中所有资源的无限制访问。请注意，只有具有管理员级别角色的用户（如特权管理员/管理员/密码管理员）或具有自定义管理角色的用户才能获得超级管理员权限。管理员成为超级管理员后，他们将无条件、完全享有访问权限，访问其他管理员创建和拥有的所有资源。

我们建议创建一个超级管理员角色作为专用的玻璃帐户在紧急情况下。出于安全原因，最好只创建一个超级管理员角色，并限制在组织层次结构顶部的管理员。

从 PAM360 的用户界面将管理员提升为超级管理员角色的两种方法:

通过用户选项卡
通过从管理员自定义角色创建自定义角色。

1）通过用户选项卡:

现有管理员用户可以从用户选项卡提升为超级管理员角色。在这里，选择所需的用户，然后单击用户操作编辑用户。

在下拉菜单中，将访问范围更改为系统中的所有密码。现在，此用户将被提升为超级管理员，并将通过电子邮件通知他们。

2）通过创建自定义角色:

您可以创建自定义用户角色，并授予其超级管理员权限，以及您选择的其他功能。为此，请导航到管理 >> 自定义角色，然后单击"添加角色"。通过选择启用超级管理员权限复选框，您将启用将特定角色提升到 PAM360 中的超级管理员的选项。但是，在将来将此角色分配给用户时，您仍然需要使用"编辑使用 r"选项（如上一步中详细说明）授予他们访问所有密码的访问权限，以便向该用户提供超级管理员功能。

可能需要超级管理员帐户的两种可能方案:

当组织中的顶级经理需要最终访问所有资产时
作为紧急情况的预防性碎玻璃帐户

当组织中的顶级经理需要最终访问所有资产时:

顶级经理（如组织的 CIO/CEO 的活动目录（AD）或 LDAP 帐户）可以提升为 PAM360 中的超级管理员，以防他们需要访问 PAM360 系统中存储的所有内容。在这种情况下，最好为此帐户启用双因素验证（ TFA ）。这样，即使他们的 AD 帐户遭到破坏，也无法使用它访问资源而不绕过 PAM360 中的 TFA。

作为预防性的碎玻璃帐户:

我们建议创建一个超级管理员帐户，作为紧急情况（如具有管理员权限的员工突然死亡）的预防措施，在管理员休假时在服务器中执行安全措施，这可能会导致您的用户无法访问其帐户。在这种情况下，您可能需要访问所有资源才能恢复对本地帐户的访问权限。但是，必须为此只创建一个超级管理员帐户，并且对该帐户的访问受到高度限制。 PAM360 提供条款，禁止添加多个超级管理员，然后限制对现有超级管理员帐户的登录访问权限。此设置可用于防止 PAM360 系统内的特权滥用，并且只能由超级管理员执行。为此，请创建一个新的管理员帐户在 PAM360。从活动目录导入帐户后，您可以将此新管理员帐户提升为超级管理员。要禁用创建进一步的超级管理员，使用超级管理员帐户登录，导航到管理 >> 身份验证 >> 超级管理员并选择"拒绝管理员创建超级管理员"选项。

现在，为了限制超级管理员帐户的使用，您可以通过导航到管理 >> 全局设置 >> 用户管理 >> 禁用本地身份验证来禁用其本地身份验证选项。

禁用此选项后，默认管理员帐户不能用于登录到 PAM360 ，因为本地身份验证选项将不再在登录页上可用。若要在紧急情况下重新获得对此帐户的访问权限，请联系我们支持团队，将本地身份验证选项带回登录页，并使用默认管理员帐户恢复您的密码。


PAM360 中的超级管理员角色默认情况下， PAM360 附带了五个预定义的用户角色，这些角色提供一组特定的权限级别: 特权管理员管理员密码管理员密码审核员密码用户除此之外，我们还规定将任何管理用户的权限提升到 PAM360中的超级管理员的权限。超级管理员不是用户管理角色，而是特权提升，如果提供，则为用户提供对 PAM360 中所有资源的无限制访问。请注意，只有具有管理员级别角色的用户（如特权管理员/管理员/密码管理员）或具有自定义管理角色的用户才能获得超级管理员权限。管理员成为超级管理员后，他们将无条件、完全享有访问权限，访问其他管理员创建和拥有的所有资源。我们建议创建一个超级管理员角色作为专用的玻璃帐户在紧急情况下。出于安全原因，最好只创建一个超级管理员角色，并限制在组织层次结构顶部的管理员。从 PAM360 的用户界面将管理员提升为超级管理员角色的两种方法: 通过用户选项卡通过从管理员自定义角色创建自定义角色。 1）通过用户选项卡: 现有管理员用户可以从用户选项卡提升为超级管理员角色。在这里，选择所需的用户，然后单击用户操作编辑用户。在下拉菜单中，将访问范围更改为系统中的所有密码。现在，此用户将被提升为超级管理员，并将通过电子邮件通知他们。 2）通过创建自定义角色: 您可以创建自定义用户角色，并授予其超级管理员权限，以及您选择的其他功能。为此，请导航到管理 >> 自定义角色，然后单击"添加角色"。通过选择启用超级管理员权限复选框，您将启用将特定角色提升到 PAM360 中的超级管理员的选项。但是，在将来将此角色分配给用户时，您仍然需要使用"编辑使用 r"选项（如上一步中详细说明）授予他们访问所有密码的访问权限，以便向该用户提供超级管理员功能。可能需要超级管理员帐户的两种可能方案: 当组织中的顶级经理需要最终访问所有资产时作为紧急情况的预防性碎玻璃帐户当组织中的顶级经理需要最终访问所有资产时: 顶级经理（如组织的 CIO/CEO 的活动目录（AD）或 LDAP 帐户）可以提升为 PAM360 中的超级管理员，以防他们需要访问 PAM360 系统中存储的所有内容。在这种情况下，最好为此帐户启用双因素验证（ TFA ）。这样，即使他们的 AD 帐户遭到破坏，也无法使用它访问资源而不绕过 PAM360 中的 TFA。作为预防性的碎玻璃帐户: 我们建议创建一个超级管理员帐户，作为紧急情况（如具有管理员权限的员工突然死亡）的预防措施，在管理员休假时在服务器中执行安全措施，这可能会导致您的用户无法访问其帐户。在这种情况下，您可能需要访问所有资源才能恢复对本地帐户的访问权限。但是，必须为此只创建一个超级管理员帐户，并且对该帐户的访问受到高度限制。 PAM360 提供条款，禁止添加多个超级管理员，然后限制对现有超级管理员帐户的登录访问权限。此设置可用于防止 PAM360 系统内的特权滥用，并且只能由超级管理员执行。为此，请创建一个新的管理员帐户在 PAM360。从活动目录导入帐户后，您可以将此新管理员帐户提升为超级管理员。要禁用创建进一步的超级管理员，使用超级管理员帐户登录，导航到管理 >> 身份验证 >> 超级管理员并选择"拒绝管理员创建超级管理员"选项。现在，为了限制超级管理员帐户的使用，您可以通过导航到管理 >> 全局设置 >> 用户管理 >> 禁用本地身份验证来禁用其本地身份验证选项。禁用此选项后，默认管理员帐户不能用于登录到 PAM360 ，因为本地身份验证选项将不再在登录页上可用。若要在紧急情况下重新获得对此帐户的访问权限，请联系我们支持团队，将本地身份验证选项带回登录页，并使用默认管理员帐户恢复您的密码。
© 2021， ZOHO 公司，保留所有权利。