企业管理指南 › 规划您的 SAM 实施 › 特权访问角色和特权帐户 › 使用特权访问角色
使用特权访问角色
为企业设置 SAM 之前,您应当考虑下列几点:
- 建议您使用 Active Directory 作为用户存储,并修改每个角色的成员策略以便指向 Active Directory 中的组。 要将用户添加到您以这种方式设置的角色或将其从中删除,可将用户添加到 Active Directory 组或从中删除用户。 这会降低管理上的开销。
- 如果使用 Active Directory 作为用户存储,则无法使用 CA ControlMinder 企业管理 来创建或删除用户或组。 您只能在 Active Directory 中创建和删除用户和组。
- 如果角色定义了成员策略,而当 SAM 用户管理器将此特定角色分配给用户,但是该用户不适合成员策略的范围时,那么 CA ControlMinder 不会将此角色分配给该用户。 在成员策略中定义的规则优先于 SAM 用户管理器的分配。
- 要回应特权帐户请求,用户必须有“SAM 批准人”角色,并且是提出请求的用户的经理。 如果使用嵌入式用户存储,您可以在 CA ControlMinder 企业管理 中的“创建用户”和“修改用户”任务中指定用户的经理。
- 在预先设置中,CA ControlMinder 会将“紧急情况”、“SAM 批准人”、“特权帐户请求”以及“SAM 用户”角色分配给所有用户。 要更改该行为,请修改每个角色的成员策略。
- 您可以修改角色的范围规则以定义该角色可以访问的特定端点和特权帐户。 通过范围规则,您可以在整个企业中实施对特权帐户的细化访问。 范围规则在角色的成员策略中进行定义。
更多信息:
成员策略
版权所有 © 2013 CA。
保留所有权利。
|
|