企业管理指南 › 实施特权帐户 › 如何设置特权帐户

如何设置特权帐户

特权用户密码管理 (PUPM) 是一个流程，组织可通过该流程保护、管理和跟踪与组织中权限最高的帐户相关的所有活动。 在开始使用特权帐户密码之前，您需要完成几个步骤来为 PUPM 设置 CA Access Control 企业管理。 用户随后即可开始使用您定义的特权帐户。

以下过程说明企业中的用户为设置特权帐户而必须完成的任务。 用户必须具有指定角色才能完成流程的每个步骤。 具有“系统管理员”管理角色的用户可以执行此流程中的每个 CA Access Control 企业管理 任务。

注意：在开始该流程之前，请确认已在 CA Access Control 企业管理 中启用了电子邮件通知。 如果 CA Access Control 企业管理 无法为用户显示密码，它会将密码通过电子邮件发送给用户。

要设置特权帐户，用户需执行以下操作：

1. PUPM 目标系统管理员创建密码策略。 密码策略为特权帐户设置密码规则和限制。
2. PUPM 目标系统管理员在 CA Access Control 企业管理 中创建端点。 端点是由特权帐户管理的设备。 您可以在 CA Access Control 企业管理 中创建端点，或使用 PUPM 导送程序来导入端点。
3. PUPM 目标系统管理员为每个端点创建特权帐户。 通过创建特权帐户 CA Access Control 企业管理 可以管理这些帐户。 您可以在 CA Access Control 企业管理 中创建特权帐户，或使用 PUPM 导送程序来导入特权帐户。
4. （可选）系统管理员创建登录应用程序，PUPM 目标系统管理员修改 PUPM 端点以使用此登录应用程序。 登录应用程序允许用户从 CA Access Control 企业管理 登录到特权帐户。
5. PUPM 策略管理员修改特权访问角色的成员策略。 成员策略定义了可以执行某一角色的任务的用户。

   注意：如果使用 Active Directory 作为用户存储，建议您修改每个成员策略，使其与相应的 Active Directory 组对应。 随后可以通过从相应的 Active Directory 组添加或删除用户，在角色中添加或删除用户。 这会降低管理开销。

6. （嵌入式用户存储）PUPM 用户管理员为每个用户指定了管理员。

   注意：只有管理员才能批准用户提出的特权帐户请求。 如果使用 Active Directory 作为用户存储，请确认已在 Active Directory 中指定了每名用户的管理员。

7. （可选）系统管理员配置到 CA Service Desk Manager 的连接。

   与 CA Service Desk Manager 相集成您可为特权帐户请求创建多个审批流程。

下图说明执行每个流程步骤的特权访问角色：