企业管理指南 › 实施共享帐户 › 如何设置共享帐户

如何设置共享帐户

共享帐户管理 (SAM) 是一种进程，企业可通过该进程保护、管理和跟踪与企业中权限最高的帐户关联的所有活动。 在开始使用共享帐户密码之前，您需要完成几个步骤来为 SAM 设置 CA ControlMinder 企业管理。 用户随后即可开始使用您定义的共享帐户。

以下过程说明企业中的用户为设置共享帐户而必须完成的任务。 用户必须具有指定角色才能完成流程的每个步骤。 具有“系统管理员”管理角色的用户可以执行此流程中的每个 CA ControlMinder 企业管理 任务。

注意：在开始该流程之前，请确认已在 CA ControlMinder 企业管理 中启用了电子邮件通知。 如果 CA ControlMinder 企业管理 无法为用户显示密码，它会将密码通过电子邮件发送给用户。

要设置共享帐户，用户需执行以下操作：

1. SAM 目标系统管理员创建密码策略。 密码策略为共享帐户设置密码规则和限制。
2. SAM 目标系统管理员在 CA ControlMinder 企业管理 中创建端点。 端点是由共享帐户管理的设备。 您可以在 CA ControlMinder 企业管理 中创建端点，或使用 SAM 导送程序来导入端点。
3. SAM 目标系统管理员为每个端点创建共享帐户。 通过创建共享帐户 SAM 可以管理这些帐户。 您可以在 CA ControlMinder 企业管理 中创建共享帐户，或使用 SAM 导送程序来导入共享帐户。
4. （可选）系统管理员创建登录应用程序，SAM 目标系统管理员修改 SAM 端点以使用此登录应用程序。 登录应用程序允许用户从 CA ControlMinder 企业管理 登录到共享帐户。
5. SAM 策略管理员修改特权访问角色的成员策略。 成员策略定义了可以执行某一角色的任务的用户。

   注意：如果使用 Active Directory 作为用户存储，建议您修改每个成员策略，使其与相应的 Active Directory 组对应。 随后可以通过从相应的 Active Directory 组添加或删除用户，在角色中添加或删除用户。 这会降低管理开销。

6. （嵌入式用户存储）SAM 用户管理员为每个用户指定了管理员。

   注意：只有管理员才能批准用户提出的共享帐户请求。 如果使用 Active Directory 作为用户存储，请确认已在 Active Directory 中指定了每名用户的管理员。

7. （可选）系统管理员配置到 CA Service Desk Manager 的连接。

   与 CA Service Desk Manager 相集成您可为特权帐户请求创建多个审批流程。

下图说明执行每个流程步骤的特权访问角色：