角色
趋势科技服务器深度安全防护系统使用基于角色的访问控制 (Role-Based Access Control, RBAC) 将用户权限限制在趋势科技服务器深度安全防护系统的各个部分。安装趋势科技服务器深度安全防护系统管理中心后,应为每个用户创建单独的帐户并为每个用户分配一个角色,该角色将禁止用户执行完成其职责所需的活动外的所有活动。
趋势科技服务器深度安全防护系统随附了两个预先配置的角色:
- 完全访问权限:“完全访问权限”角色可以授予用户有关管理趋势科技服务器深度安全防护系统系统的所有可能的权限,包括创建、编辑和删除计算机、计算机组、策略、规则、恶意软件扫描配置以及其他项。
- 审计员:“审计员”角色可向用户提供在趋势科技服务器深度安全防护系统中查看所有信息的能力,但不提供修改除其个人设置(例如密码、联系信息、控制台布局首选项以及其他设置)之外的所有设置的能力。
您可以创建新角色来阻止用户编辑甚至查看趋势科技服务器深度安全防护系统对象(例如,特定计算机、安全规则的属性或系统设置)。
创建用户帐户之前,请确定用户将承担的角色,并详细列举这些角色需要访问的趋势科技服务器深度安全防护系统对象以及访问权限的性质(查看、编辑和创建等)。创建角色后,您可以开始创建用户帐户并为其分配特定角色。
在主页面上可以执行下列操作:
- 创建新角色 ()
- 查看或修改现有角色的属性 ()
- 复制(然后修改)现有角色 ()
- 删除角色 ()
单击新建 () 或属性 () 将显示角色属性窗口,该窗口包括六个选项卡(常规、计算机权限、策略权限、用户权限、其他权限和已分配给)。
常规
此角色的名称和描述。
访问类型
选择具有此角色的用户有权访问趋势科技服务器深度安全防护系统管理中心还是趋势科技服务器深度安全防护系统管理中心 Web 服务 API(或两者)。
计算机权限
计算机和组权限
使用计算机和组权限面板可以向具有某个角色的用户授予查看、编辑、删除、解除警报和事件标记的权限。这些权限可应用到所有计算机和计算机组中,也可以将其仅限制到某些计算机。如果希望限制访问权限,请选择选定的计算机单选按钮,并选中具有此角色的用户有权访问的计算机组和计算机旁边的框。
提供以下四个基本选项可供选择:
- 允许查看未选定的计算机和数据:如果限制了具有此角色的用户的编辑、删除或解除警报权限,您仍可以通过选中此框来允许他们查看(但不能更改)有关其他计算机的信息。
- 允许查看与计算机无关的事件和警报:设置此选项可允许具有此角色的用户查看与计算机无关的信息(例如,系统事件,如当前已锁定的用户、创建的新防火墙规则和删除的 IP 列表等)。
以上两项设置会影响用户有权访问的数据。虽然用户对计算机进行更改的能力已受到限制,但这两项设置可控制用户是否可以查看与其无权访问的计算机相关的信息。这包括接收与这些计算机相关的电子邮件通知。
- 允许在选定组中创建新的计算机:设置此选项可允许具有此角色的用户在其有权访问的计算机组中创建新的计算机。
- 允许在选定组中添加/移除子组:设置此选项可允许具有此角色的用户在其有权访问的计算机组中创建和删除子组。
高级权限
- 允许导入计算机文件:允许具有此角色的用户使用通过趋势科技服务器深度安全防护系统管理中心的导出计算机选项创建的文件来导入计算机。
- 允许添加、移除和同步目录:允许具有此角色的用户添加、移除和同步使用基于 LDAP 的目录(如 MS Active Directory)管理的计算机。
- 允许添加、移除和同步 VMware vCenter:允许具有此角色的用户添加、移除和同步 VMware vCenter。(不可用于趋势科技服务器深度安全防护系统即服务)
- 允许添加、移除和同步云提供程序:允许具有此角色的用户添加、移除和同步云提供程序。(不可用于趋势科技服务器深度安全防护系统即服务)
策略权限
确定具有特定角色的用户拥有的创建、删除、修改或导入策略的权限。
使用策略权限面板可以向具有某个角色的用户授予查看、编辑和删除策略的权限。这些权限可应用到所有策略,或者这些权限仅限于某些策略。如果希望限制访问权限,请单击选定策略,然后选中具有此角色的用户有权访问的策略旁边的框。
提供以下两个基本选项可供选择:
- 允许查看未选定的策略:如果限制了具有此角色的用户的编辑或删除权限,您仍可以通过选中此框来允许他们查看(但不能更改)有关其他策略的信息。
- 允许创建新策略:设置此选项可允许具有此角色的用户创建新策略。
高级权限
- 允许策略导入:允许具有此角色的用户使用通过趋势科技服务器深度安全防护系统管理中心的策略选项卡上的导出选项创建的文件来导入策略。
用户权限
使用用户权限选项卡上的选项,可以定义管理员帐户的权限。
- 仅更改自身密码和联系信息:具有此角色的用户仅能更改自己的密码和联系信息。
- 创建和管理具有同等或较低访问权限的用户:具有此角色的用户可以创建和管理具有同等或较低访问权限的任何用户。即使仅有一项权限超出具有此角色的用户的权限,具有此角色的用户也无法创建或管理这些用户。
- 完全控制所有角色和用户:具有此角色的用户可以无限制地创建和编辑用户或角色。
请谨慎使用这最后一个选项。如果为某个角色指定此选项,则可能会为具有受限权限的用户提供以下能力:创建对趋势科技服务器深度安全防护系统管理中心所有方面都具有完全无限制访问权限的用户,然后以该用户身份登录。
定制权限
您可以选择定制并使用定制权限面板中的选项,进一步限制用户查看、创建、编辑或删除用户和角色的能力。如果选择了仅可操控具有同等或较低权限的用户选项,一些用户的某些选项可能受限制(请参阅下面内容)。
委派授权
选择仅可操控具有同等或较低权限的用户选项时,将限制具有此角色的用户的授权。他们仅能对具有同等或较低权限的用户进行更改。
选择此选项时,具有此角色的用户无法创建、编辑或删除角色。
选择此选项还会对定制权限区域中的某些选项进行限制:
- 可以创建新用户:仅能创建具有同等或较低权限的用户。
- 可以编辑用户属性:仅能编辑具有同等或较低权限的用户(或设置或重置密码)。
- 可以删除用户:仅能删除具有同等或较低权限的用户。
其他权限
可以限制角色的权限,以使这些角色仅能访问特定的趋势科技服务器深度安全防护系统功能以及有时仅能使用这些功能执行特定操作。例如,如果您有一组管理员并且想要确保这些管理员不会意外影响其他管理员的工作,则此功能很有用。
缺省情况下,角色对每个功能具有“仅查看”或“隐藏”权限。要授予完全控制或定制访问权限,请从列表中选择定制。
已分配给
已分配给选项卡显示已分配有此角色的用户的列表。