用户管理生命周期
概述
有效的用户管理对于维护系统安全和确保适当的访问控制至关重要。本文档概述了用户账户的完整生命周期,详细说明了用户账号的创建、管理及基于角色的系统访问权限。
用户账户可为本地账户或Active Directory账户,均在Central Server中创建,以便授予对端点、自定义组及远程办公室的访问权限。角色定义了一组权限,确定用户在系统中可执行的操作及其可管理的计算机或设备范围。每个用户均被分配一个角色,该角色决定其访问级别。
创建用户的先决条件
配置邮件服务器对于用户账户创建及相关通知(如密码重置、账户激活和安全警报)至关重要。必须正确配置SMTP设置以确保邮件通信顺畅。请参阅邮件服务器配置 文档 以获取详细的设置说明。
本地用户创建
- 导航至 管理员标签页 并选择 用户 在用户管理员下。
- 选择 本地认证 作为认证类型。
- 输入 用户名 并手动输入用户的电子邮件地址。
- 从下拉列表中选择 角色 ,包括预定义角色和用户定义角色。
- 如有必要,输入用户的 联系电话。 选择
- 语言 ,从下拉列表中选取以支持多语言;详情请参阅支持语言文档。 定义用户的
- 范围 ,指定他们需要管理的计算机;请参阅 章节以获取详细说明。 用户范围 点击
- 添加用户 Active Directory认证.
Active Directory (AD) 用户创建
- 导航至 管理员标签页 并选择 用户 在用户管理员下。
- 选择 选择一个 作为认证类型。
- 域名 在 域名字段 中;请参阅添加域文档。 用户名
- 语言 从Active Directory (AD) 中提取。 用户的
- 电子邮件地址 如可用,将自动从Active Directory获取。否则,需手动输入电子邮件地址。 从下拉列表中选择。
- 从下拉列表中选择 角色 ,包括预定义角色和用户定义角色。
- 如有必要,输入用户的 联系电话。 选择
- 语言 ,从下拉列表中选取以支持多语言;详情请参阅支持语言文档。 通过指定他们需要管理的计算机来定义范围。
- 范围 ,指定他们需要管理的计算机;请参阅 注意:
- 添加用户 Active Directory认证.
如果您希望启用SAML认证登录,必须创建一个 本地用户 或一个 AD用户 。详细步骤请参阅SAML认证文档 用户负责管理其在Central Server上分配范围内的计算机。范围可自定义,存在两种类型的范围:.
用户范围
需管理的计算机
- 需管理的设备
- 用户可被分配以下计算机范围类型之一:
需管理的设备
所有计算机:
- 用户可访问Central Server管理的所有计算机。 静态唯一组:
- 用户可访问作为自定义组创建的特定计算机组。请参阅自定义组文档。 远程办公室:
- 用户可完全访问指定远程办公室所属的计算机。请参阅远程办公室文档。 用户可被分配:
用户可被分配以下计算机范围类型之一:
所有设备:
- 用户可访问管理所有设备。 设备组:
- 用户可访问特定设备组。请参阅设备组文档。 注意:只有管理员角色用户拥有用户管理控制台的全部访问权限。
管理员可使用操作按钮修改、删除、重置密码、禁用账户并重新生成用户的二维码。
用户管理操作
1. 修改用户
管理员可修改、添加和删除用户详情,并定义范围。
如何修改用户?
选择
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 操作按钮。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 如果是AD用户,您可以修改域名。
用户名不可修改。
- 修改角色、电子邮件、联系电话和语言。
- 如果您希望启用SAML认证登录,必须创建一个 通过指定用户需要管理的计算机和设备来定义用户范围。
- 修改本地用户
- 转换用户认证类型
您可以通过修改认证类型将AD用户转换为本地用户。
- 修改本地用户
- 如果您希望启用SAML认证登录,必须创建一个 通过指定用户需要管理的计算机和设备来定义用户范围。
- 转换用户认证类型
用户将收到一封包含密码创建链接的电子邮件,允许其作为本地用户登录。
- 您也可以通过修改认证类型将本地用户转换为AD用户。
- 活动目录中必须存在相同的用户名。
- 2. 登录详情
- 如果您希望启用SAML认证登录,必须创建一个 管理员可查看用户的登录详情,以监控其登录活动。
如何查看登录详情?
选择登录详情。
弹出窗口将显示最近10次登录活动详情。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 操作按钮。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 3. 删除用户
- 从Central Server中移除用户将撤销其访问权限。删除操作会永久移除个人信息(例如电子邮件和联系电话)用于通知。如果已生成API密钥,则相关集成将被禁用,除非在删除前生成新的密钥。
如何删除用户?
点击三个点
选择删除用户。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 在确认用户删除弹窗中,可选中复选框提供替代联系信息以作替换。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 移除用于通知的任何次级联系信息。
- 点击
- 删除用户
- 以确认删除。 4. 重置密码 以下步骤描述技术员或管理员使用Central Server web控制台重置密码的过程。请参阅
用户密码重置指南
如何重置密码? 选择重置密码。.
系统将向用户发送包含密码重置说明和链接的邮件。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 在确认用户删除弹窗中,可选中复选框提供替代联系信息以作替换。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 密码重置链接将在30分钟后过期。
- 如果因邮件服务器问题导致邮件未发送,在该用户备注栏将显示“手动发送链接”选项。
- 管理员可复制并手动发送密码重置链接。
- 5. 禁用用户
- 禁用用户账户将阻止登录,直至重新激活,并中断任何启用的集成。此操作有助于管理不活跃账户。有关基于不活跃的禁用,请参阅用户账户策略。
如何禁用用户账户?
选择禁用账户。
在确认弹窗中选择“是,禁用”。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 在确认用户删除弹窗中,可选中复选框提供替代联系信息以作替换。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 6. 重新生成二维码
- 如果通过Authenticator应用启用了安全认证,管理员可重新生成二维码,以便在设备丢失或应用意外卸载后,在新设备上设置OTP。
如何重新生成二维码?
选择重新生成二维码。
在确认弹窗中选择“重新生成二维码”。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 在确认用户删除弹窗中,可选中复选框提供替代联系信息以作替换。 选择修改。用户详情页面将打开,您可以修改、添加和删除信息。 修改AD用户
- 个性化菜单允许用户定制账户设置,以获得个性化体验。它支持会话管理、时区和格式设置、语言偏好和密码更新,以提升安全性和易用性。
- 如何访问个性化设置?
个性化设置
登录Central Server web控制台。
点击位于右上角的用户头像图标,然后选择
- 个性化设置
- 更改会话过期时间 在.
常规设置
- 标签下,找到 会话过期时间 下拉菜单并选择时长。 进入 ...
- Go to the 选择时区 下拉菜单并选择合适的时区。
- 找到 选择时间格式 下拉菜单并选择所需的日期和时间格式。
- 找到 显示语言 下拉菜单并选择您偏好的语言。
- 点击 保存 按钮以应用更改。
更改您的密码
- 打开 在 窗口并点击 更改密码 选项卡。
- 在 旧密码 字段中输入您当前的密码。
- 在 新密码 字段中输入您的新密码,确保符合策略要求。
- 在 确认密码 字段中重新输入新密码以进行验证。
- 以确认删除。 保存 以更新您的密码或 关闭 以取消。有关更多信息,请参阅详细的密码重置文档。
活动会话
用户可以在不同浏览器上同时登录多个会话。
如何查看活动用户会话?
- 导航至 管理员标签页.
- 点击位于右上角的用户头像图标。
- 在用户页面点击操作列中的三个点 活动会话.
管理员可以在 用户账户策略中配置会话过期设置;请参阅相关链接。
通知
通知功能允许管理员在用户执行各种操作时接收警报。要接收这些警报,必须配置管理员的电子邮件地址。
如何配置通知?
- 登录 Central Server。
- 导航至 管理员标签页.
- 在用户页面点击操作列中的三个点 用户 在用户管理员下。
- 在用户页面,选择 通知.
- 如下图所示配置事件通知:
- 管理员电子邮件地址: 输入一个或多个电子邮件地址。
- 管理员移动应用通知: 使用标注为 选择要接收通知的管理员 的下拉菜单选择将接收移动通知的管理员。
- 保存配置: 以确认删除。 保存 以应用更改。
