概要服务器-用户管理

概述

随着Endpoint Central概要服务器的加入，网络终端的范围显著扩大。因此，IT管理员的主要关切是定义和管理网络中每个终端的范围。Endpoint Central 通过其用户和角色管理模块解决了这一问题。

安装Endpoint Central概要服务器后，概要服务器管理员必须定义网络中的用户及其角色。

角色管理

一些常用角色列在预定义角色下。但是，在用户定义的角色下，您也可以创建最适合您需求并提供适当访问权限的角色。以下是预定义角色和用户定义角色的简要说明。

预定义角色：

概要服务器管理员：管理员角色代表行使对所有探针和模块完全控制的超级管理员。管理员执行的管理任务影响网络中的所有探针。可以执行的操作包括：

1. 定义或修改管理范围。
2. 添加活跃用户。
3. 更改邮件服务器设置。
4. 更改代理设置。
5. 个性化选项，如更改主题、设置会话过期等。
6. 安排漏洞数据库更新。
7. 查看Endpoint Central的操作日志。
8. 对以下项目具有写权限：库存、报表、配置文件和应用程序、MDM。

管理员 ：管理员角色类似于概要服务器管理员角色，但默认角色范围限制为特定探针。尽管您可以单独指定所有探针给探针管理员，当网络中新添加探针时，新的探针不会自动映射到探针管理员，必须由概要服务器管理员手动映射。

来宾：来宾角色对所有模块拥有只读权限。与来宾角色关联的用户拥有扫描和查看各模块信息的权限，但严格禁止修改。来宾角色也对移动设备的MDM库存详情、报表、配置文件及应用程序拥有只读权限。

技术人员：技术人员角色拥有执行特定操作的一套明确权限。技术人员角色的用户被限制执行管理员标签下列出的所有操作。技术人员角色相关用户可执行的操作包括：

• 可以定义和部署所有类型的配置和集合。
• 可以查看所有配置，包括其他用户创建的配置、报表等。
• 可以暂停、修改或重新部署由其定义的配置。
• 可以更新漏洞数据库。
• 可以对所有模块执行扫描操作。
• 对移动设备管理中的库存、报表、配置文件和应用程序具有写权限。

审计员：审计员角色专为审计目的设计。该角色可授予审计员查看软件库存详情、检查许可合规性以及对MDM报表拥有只读权限。

远程桌面查看器：远程桌面查看器角色允许关联用户启动远程桌面连接并查看连接到特定系统的用户详情。

IT资产管理员：IT资产管理员可完全访问资产管理模块，其他功能不可访问。IT资产管理员还可查看所有移动设备的库存详情。

补丁管理员：补丁管理员角色拥有补丁管理的完全访问权限。补丁管理员还可使用“工具”（如Wake On LAN、远程关机、系统管理器）及安排补丁报表。其他模块/功能不可访问。

移动设备管理员：移动设备管理员角色对移动设备管理模块中的库存、报表、配置文件和应用程序具有写权限。

操作系统部署者：操作系统部署者角色赋予关联用户捕获Windows操作系统映像，并在网络计算机中部署的权限。

用户定义角色：

使用Endpoint Central概要服务器，您可以创建任意数量的角色，并根据具体需求赋予相应权限。这些定制角色被归类为用户定义角色。以下部分将简要介绍如何构建用户定义角色，以帮助理解。

注意：角色只能由管理员创建。

按以下步骤创建新的用户定义角色：

1. 以概要服务器管理员身份登录Endpoint Central。
2. 选择管理员标签，在全局设置下点击用户管理，打开全局管理页面。
3. 选择角色标签，单击添加角色按钮。
4. 指定角色名称及简短描述。
5. 您可以在选择控制部分定义角色的模块级权限。权限等级大致分为：
   • 完全控制：对特定模块执行所有操作，如管理员。
   • 写入：执行除表中说明的限制操作外的所有操作。
   • 只读：仅查看该模块中的详情。
   • 无访问权限：向用户隐藏该模块（详见 用户角色和权限表）。)

7. 点击添加按钮。

您已成功创建了用户定义角色。

范围管理

Endpoint Central允许您为用户设置管理范围，定义可映射给每个用户的目标PC。通过将用户授权限制在特定计算机集，您可以确保用户拥有完成任务所需的权限，但不会有过多权限滥用。概要服务器的加入提供了额外的范围定义层。

• 探针范围
  • 所有探针 - 使用所有探针范围创建的用户可访问网络中所有探针的所有模块。
  • 特定探针 - 使用特定探针范围创建的用户仅能访问网络中指定探针的所有模块。

您定义为范围的目标可以是以下之一：

• 所有计算机
• 唯一自定义组
• 远程办公室

所有计算机

当目标设置为“所有计算机”时，用户可在所有计算机上执行其角色定义的所有权限。虽然范围涵盖所有计算机，但授权级别仅由用户所属角色定义。

唯一自定义组

您可以为管理目的建立自定义组并分配给用户。您创建的自定义组必须是唯一的，不能有计算机属于多个自定义组。这些自定义组基于计算机，专为用户管理构建。

远程办公室

您可以通过创建专门的远程办公室或使用现有远程办公室定义用户范围。多个用户可管理同一个远程办公室。同理，多个远程办公室可映射给同一用户；但远程办公室和唯一自定义组的组合不能包含在同一范围内。

用户管理

如何创建新用户？

新用户只能由概要服务器管理员在所有探针范围下创建。探针管理员不能创建新用户，但可以只读模式查看用户信息。

按以下步骤创建用户：

• 以概要服务器管理员身份登录Endpoint Central。
• 选择管理员标签，在全局设置下点击用户管理，打开用户管理页面。
• 在用户标签下点击添加用户按钮。
• 指定身份验证类型为Active Directory认证或本地认证。
• 指定用户名和用户的电子邮件地址。
• 从下拉菜单中指定角色。您可以看到所有预定义角色及您创建的角色列表。
• 指定用户的电子邮件地址和电话号码。
• 定义用户范围。指定要管理的探针及其内需管理的计算机。您可以选择允许用户管理所有计算机、远程办公室或特定唯一自定义组。如果没有唯一自定义组，您可以在所需探针中创建唯一自定义组。如果自定义组不唯一，则不会在此列出。
• 指定要管理的设备，以启用用户的现代管理功能。
• 您已成功创建用户并关联角色，以及需管理探针的范围。

如何修改用户？

用户仅能由管理员在所有探针视图内修改。按以下步骤修改用户：

1. 以概要服务器管理员身份登录Endpoint Central概要服务器。
2. 在下拉菜单中选择所有探针范围。导航至管理员标签 > 全局设置下的用户管理。
3. 用户列表将显示。在特定用户的操作列选择修改用户。

如何删除用户？

当发现用户贡献已无效时，您可以删除该用户。被删除的用户将无法登录Endpoint Central概要服务器。

安全认证：

Endpoint Central的安全认证功能允许用户通过启用双因素认证和采用密码策略来确保安全。安全认证模块只能由概要服务器的所有探针视图配置，所配置设置应用于网络所有探针。已应用的配置对探针管理员以只读模式可见。

如何启用双因素认证：

1. 以概要服务器管理员身份登录Endpoint Central。
2. 选择管理员标签，在全局设置下点击用户管理，打开全局管理页面。
3. 导航至安全认证标签，再进入双因素认证标签。
4. 点击身份验证字段下的启用，并选择首选的身份验证方式。有两种认证模式：
   • 电子邮件
   • 认证器应用程序
5. 点击保存。

如何创建密码策略 :

1. 以概要服务器管理员身份登录Endpoint Central。
2. 选择管理员标签，在全局设置下点击用户管理，打开全局管理页面。
3. 导航至安全认证标签，再进入密码策略标签。
4. 您可以对用户密码施加以下限制：
   • 最短密码长度
   • 禁止使用之前的密码
   • 密码复杂度
   • 无效登录尝试次数
   • 启用用户账户锁定

注意：配置的密码策略仅在用户更改密码后生效。现有密码不必符合配置的密码策略。