Gruppenrichtlinien: Benutzerberechtigungen auf Benutzergruppen anwenden

Benutzer und Sicherheit

Gruppenrichtlinien

Gruppenrichtlinien

Mit der Seite Gruppenrichtlinien können Sie Benutzergruppen mit gemeinsamen Berechtigungen einrichten.

Neue Richtlinie hinzufügen, bearbeiten, löschen

Erstellen Sie eine neue Richtlinie, bearbeiten Sie eine bestehende Richtlinie oder entfernen Sie eine bestehende Richtlinie.

Wenn Sie die als Standard für den lokalen Anbieter oder für lokale Administratorbenutzer eingerichtete Gruppenrichtlinie bearbeiten und Administratorrechte entfernen, wird eine Warnmeldung angezeigt. Vergewissern Sie sich, dass andere Benutzer über Administratorrechte verfügen, ehe Sie fortfahren.

Reihenfolge ändern

Klicken Sie auf die Schaltfläche Reihenfolge ändern, um die Priorität von Gruppenrichtlinien per Drag and Drop festzulegen. Klicken Sie auf Reihenfolge speichern. Dadurch treten die Priorisierungsänderungen in Kraft. Finden auf einen bestimmten Benutzer mehrere Richtlinien Anwendung, gelten diese ab dem ersten Eintrag der Liste Gruppenrichtlinien und dann absteigend weiter. Steht eine Berechtigung in Widerspruch mit einer von einer Gruppenrichtlinie weiter oben in der Liste angewendeten Berechtigung, überschreibt die weiter unten stehende Berechtigung die weiter oben stehende, es sei denn, die höhere wurde als Endgültig eingestuft. Zusammengefasst: Gruppenrichtlinien weiter unten in der Liste haben eine höhere Priorität als weiter oben stehende Gruppenrichtlinien.

Gruppenrichtlinien durchsuchen

Um eine vorhandene Richtlinie in der Liste der Gruppenrichtlinien schnell zu finden, geben Sie den Namen oder einen Teil des Namens ein. Die Einträge der Liste werden nach allen Richtlinien mit einem Namen gefiltert, der den eingegebenen Suchbegriff enthält. Die Liste wird so lange mit gefilterten Einträgen angezeigt, bis der Suchbegriff entfernt wird, selbst wenn der Benutzer andere Seiten aufruft oder sich abmeldet. Um den Suchbegriff zu entfernen, klicken Sie auf das X zur Rechten des Suchfeldes.

Wenn Sie nach der Suche auf der Liste auf die Schaltfläche Reihenfolge ändern klicken, werden alle Gruppenrichtlinien angezeigt. Sie können die Gruppenrichtlinien ziehen und ablegen, um ihre Priorität festzulegen. Wenn Sie auf Reihenfolge speichern klicken, werden die Änderungen übernommen, und die Liste wird wieder mit Richtlinien mit einem Namen angezeigt, die den Suchbegriff enthalten.

Alle ausklappen/ Alle zuklappen

Um die Gruppenrichtlinien leichter suchen und durch diese navigieren zu können, klicken Sie auf den Link Alle ausklappen über dem Raster, um die Details aller aufgeführten Gruppenrichtlinien auszuklappen. Klicken Sie auf Alle zuklappen, um zur zugeklappten Liste der Gruppenrichtlinien zurückzukehren.

Kopieren

Um die Erstellung ähnlicher Gruppenrichtlinien zu beschleunigen, klicken Sie auf Kopieren, um eine neue Richtlinie mit identischen Einstellungen zu erstellen. Anschließend können Sie diese neue Richtlinie so bearbeiten, dass sie Ihre jeweiligen Anforderungen erfüllt.

Richtlinie hinzufügen oder bearbeiten

Richtlinienname

Erstellen Sie einen eindeutigen Namen, um diese Richtlinie leichter zu identifizieren.

Verfügbare Mitglieder und Richtlinienmitglieder

Um Mitglieder zuzuweisen, wählen Sie ein Mitglied aus der Liste Verfügbare Mitglieder und klicken Sie auf Hinzufügen, um es in das Feld Richtlinienmitglieder zu verschieben. Verwenden Sie das Suchfeld, um bestehende Mitglieder zu finden.

Sie können Benutzer Ihres lokalen Systems auswählen oder Benutzer oder gesamte Gruppen von konfigurierten Sicherheitsanbietern wählen. Um Benutzer oder Gruppen über einen externen Verzeichnisspeicher wie LDAP, RADIUS oder Kerberos hinzuzufügen, müssen Sie zunächst die Verbindung auf der Seite /login > Benutzer und Sicherheit > Sicherheitsanbieter konfigurieren. Ist der Versuch, einen Benutzer von einem konfigurierten Sicherheitsanbieter hinzuzufügen, ungültig, erscheint hier die Fehlermeldung des Synchronisierungsprotokolls (ebenfalls wird sie im Protokoll hinzugefügt).

Kontoeinstellungen

Welche Kontoeinstellungen soll diese Gruppenrichtlinie regeln?

Wählen Sie für jede Einstellung, ob sie in dieser Richtlinie definiert werden oder für die Konfiguration für einzelne Benutzer verfügbar bleiben soll. Ist sie definiert, können Sie diese Berechtigung nicht mehr für einen einzelnen Benutzer über dessen Benutzerkontoseite ändern.

Falls Sie eine Richtlinie verwenden, die eine Berechtigung definiert, und nicht möchten, dass eine Richtlinie diese Berechtigung ersetzen können soll, müssen Sie auswählen, dass die Berechtigung nicht überschrieben werden kann. Die Richtlinie muss dann höhere Priorität als andere Richtlinien haben durch die diese Einstellung zusätzlich definiert wird.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) nutzt eine Authentifikator-App, um einen zeitbasierten, einmaligen Code zur Anmeldung in der Verwaltungsschnittstelle und der Zugriffskonsole bereitzustellen. Wenn Erforderlich gewählt wird, wird der Benutzer bei der nächsten Anmeldung aufgefordert, sich für 2FA zu registrieren und diese Methode zu nutzen. Wenn Optional gewählt wird, hat der Benutzer die Option, 2FA zu nutzen, ist aber nicht dazu verpflichtet.

Kontoablauf

Ist ein Haken gesetzt, läuft das Konto nie ab. Ist kein Haken gesetzt, muss ein Ablaufdatum für das Konto festgelegt werden.

Konto deaktiviert

Dadurch wird das Konto deaktiviert, sodass der Benutzer sich nicht anmelden kann. Durch das Deaktivieren wird das Konto NICHT gelöscht.

Kommentare

Fügen Sie Kommentare hinzu, die den Zweck dieses Objekts deutlich machen.

Allgemeine Berechtigungen

Welche allgemeinen Einstellungen soll diese Gruppenrichtlinie regeln?

Wählen Sie für jede Einstellung, ob sie in dieser Richtlinie definiert werden oder für die Konfiguration für einzelne Benutzer verfügbar bleiben soll. Ist sie definiert, können Sie diese Berechtigung nicht mehr für einen einzelnen Benutzer über dessen Benutzerkontoseite ändern.

Falls Sie eine Richtlinie verwenden, die eine Berechtigung definiert, und nicht möchten, dass eine Richtlinie diese Berechtigung ersetzen können soll, müssen Sie auswählen, dass die Berechtigung nicht überschrieben werden kann. Die Richtlinie muss dann höhere Priorität als andere Richtlinien haben durch die diese Einstellung zusätzlich definiert wird.

Verwaltung

Administratorrechte

Erteilt dem Benutzer volle Administratorrechte.

Vault-Administratorrechte

Ermöglicht dem Benutzer den Zugriff auf Vault.

Passworteinstellung

Ermöglicht es dem Benutzer, für nicht-administrative lokale Benutzer Kennwörter festzulegen und Benutzerkonten freizuschalten.

Bearbeiten des Jumpoint

Ermöglicht es dem Benutzer, Jumpoints zu erstellen oder zu bearbeiten. Diese Option wirkt sich nicht darauf aus, ob der Benutzer auf Remote-Computer über Jumpoints zugreifen kann, die einzeln oder über Gruppenrichtlinien konfiguriert werden.

Bearbeiten von Teams

Ermöglicht es dem Benutzer, Teams zu erstellen oder zu bearbeiten.

Bearbeiten der Jump-Gruppe

Ermöglicht es dem Benutzer, Jump-Gruppen zu erstellen oder zu bearbeiten.

Bearbeitung vordefinierter Skripts

Damit kann der Benutzer vordefinierte Skripts für die Verwendung in Bildschirmfreigabe- oder Befehlsshell-Sitzungen erstellen oder bearbeiten.

Bearbeiten von benutzerdefinierten Links

Ermöglicht es dem Benutzer, benutzerdefinierte Links zu erstellen oder zu bearbeiten.

Bericht wird erstellt

Zugriff auf Sitzungs- und Teamberichte

Berechtigt den Benutzer, Berichte zu Zugriffssitzungen anzuzeigen. Je nach gewählter Option können Benutzer ihre Sitzungen, die Sitzungen ihrer Jump-Gruppe oder alle Sitzungen anzeigen.

Berechtigt, Berichte zu Zugriffssitzungen anzuzeigen

Ermöglicht dem Benutzer, Berichte zur Zugriffssitzung-Aktivität auszuführen, nur Sitzungen anzuzeigen, bei denen er der primäre Sitzungseigentümer war, nur Sitzungen für Endpunkte anzuzeigen, die zu einer Jump-Gruppe gehören, deren Mitglied er ist, oder alle Sitzungen.

Berechtigt, Zugriffssitzung-Aufzeichnungen anzuzeigen

Damit kann der Benutzer Videoaufzeichnungen der Bildschirmfreigabe und Befehlsshell-Sitzungen anzeigen.

Zugriff auf Vault-Berichte

Berechtigt den Benutzer, Vault-Berichte anzuzeigen. Je nach gewählter Option können Benutzer ihre Sitzungen oder alle Sitzungen anzeigen.

Berechtigt, Vault-Berichte anzuzeigen

Damit kann der Benutzer seine eigenen Vault-Ereignisse oder alle Vault-Ereignisse anzeigen.

Berechtigt, Syslog-Berichte anzuzeigen

Ermöglicht dem Benutzer, eine ZIP-Datei mit allen auf dem Gerät vorhandenen Syslog-Dateien herunterzuladen. Administratoren verfügen automatisch über Berechtigungen für den Zugriff auf diesen Bericht. Nicht-Administratorbenutzer müssen zum Anzeigen dieses Berichts den Zugriff anfordern.

Zugriffsberechtigungen

Berechtigt, auf Endpunkte zuzugreifen

Damit kann der Benutzer die zugriffskonsole verwenden, um Sitzungen durchzuführen. Wenn der Endpunkt-Zugriff aktiviert ist, sind auch Optionen für den Endpunkt-Zugriff verfügbar.

Sitzungsverwaltung

Berechtigt, Sitzungen für Teams freizugeben, denen sie nicht angehören

Ermöglicht es dem Benutzer, eine weniger stark beschränkte Gruppe von Benutzern zur Freigabe von Sitzungen einzuladen; nicht nur ihre Team-Mitglieder. In Kombination mit der Berechtigung Erweiterte Verfügbarkeit werden die Möglichkeiten zur Freigabe von Sitzungen durch diese Berechtigung ausgedehnt.

Berechtigt, externe Benutzer einzuladen

Damit kann der Benutzer Drittbenutzer dazu einladen, einmalig an einer Sitzung teilzunehmen.

Aktivierung des erweiterten Verfügbarkeitsmodus zulassen

Ermöglicht es dem Benutzer, E-Mail-Einladungen von anderen Benutzern zu erhalten, die die Freigabe einer Sitzung anfordern, auch wenn sie nicht in der zugriffskonsole angemeldet sind.

Berechtigt, externen Schlüssel zu bearbeiten

Ermöglicht es dem Benutzer, den externen Schlüssel aus dem Fenster Sitzungsinformationen einer Sitzung innerhalb der zugriffskonsole zu ändern.

Benutzer-zu-Benutzer-Bildschirmfreigabe

Berechtigt, anderen Benutzern den Bildschirm zu zeigen

Ermöglicht es dem Benutzer, seinen Bildschirm für einen anderen Benutzer freizugeben, ohne dass der empfangende Benutzer einer Sitzung beitreten muss. Diese Option ist auch dann verfügbar, wenn sich der Benutzer nicht in einer Sitzung befindet.

Berechtigt, die Steuerung zu gewähren, wenn anderen Benutzern der Bildschirm gezeigt wird

Ermöglicht es dem Benutzer, der seinen Bildschirm freigibt, die Steuerung von Tastatur und Maus dem Benutzer zu überlassen, der seinen Bildschirm anzeigt.

Jump-Technologie

Gestattete Methoden für Jump-Items

Ermöglicht es dem Benutzer, mit Jump Clients, Lokalem Jump im lokalen Netzwerk, Remote-Jump mittels Jumpoint, Remote-VNC mittels Jumpoint, Remote-RDP mittels Jumpoint, Web Jump mittels Jumpoint, Shell Jump mittels Jumpoint und Protokoll-Tunnel-Jump mittels Jumpoint Jumps zu Computern auszuführen.

Jump-Element-Rollen

Eine Jump-Element-Rolle ist ein vordefinierter Berechtigungssatz zur Verwaltung und Nutzung von Jump-Elementen. Klicken Sie für jede Option auf Anzeigen, um die Jump-Element-Rolle in einer neuen Registerkarte zu öffnen.

Die Standard-Rolle wird nur verwendet, wenn Benutzerstandard verwenden für diesen Benutzer in einer Jump-Gruppe festgelegt wurde.

Die Rolle Persönlich gilt nur für Jump-Elemente, die auf der persönlichen Benutzerliste von Jump-Elementen fixiert wurden.

Die Teams-Rolle gilt für Jump-Elemente, die auf der persönlichen Liste von Jump-Elementen eines Teammitglieds mit niedrigerer Rolle fixiert wurden. Ein Team-Manager kann zum Beispiel die persönlichen Jump-Elemente von Teamleitern und Teammitgliedern anzeigen, während ein Teamleiter die persönlichen Jump-Elemente von Teammitgliedern anzeigen kann.

Die System-Rolle gilt für alle anderen Jump-Elemente im System. Für die meisten Benutzer sollte hier Kein Zugriff gewählt werden. Bei Wahl einer anderen Option wird der Benutzer zu Jump-Gruppen hinzugefügt, denen er normalerweise nicht zugeordnet werden würde. In der zugriffskonsole kann dieser dann die persönlichen Listen von Jump-Elementen von Benutzern sehen, die keine Teammitglieder sind.

Sitzungsberechtigungen

Legen Sie die Aufforderungs- und Berechtigungsregeln fest, die für die Sitzungen dieses Benutzers gelten sollen. Wählen Sie eine bestehende Sitzungsrichtlinie oder definieren Sie Ihre eigenen Berechtigungen für diesen Benutzer. Falls Nicht definiert gewählt wurde, wird die globale Standardrichtlinie verwendet. Diese Berechtigungen können von einer Richtlinie mit höherer Priorität überschrieben werden.

Beschreibung

Zeigen Sie die Beschreibung einer vordefinierten Berechtigungsrichtlinie an.

Bildschirmfreigabe

Bildschirmfreigabe-Regeln

Wählen Sie den Zugriff des Support-Technikers und des Remote-Benutzers am Remote-System:

• Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.
• Ablehnen deaktiviert die Bildschirmfreigabe.
• Nur Ansicht ermöglicht es dem Support-Techniker, den Bildschirm zu sehen.
• Ansicht und Steuerung ermöglicht es dem Support-Techniker, das System einzusehen und Maßnahmen zu ergreifen. Wenn diese Option ausgewählt ist, können Endpunktbeschränkungen festgelegt werden, um Störungen durch den Remote-Benutzer zu vermeiden:
  • Keine legt keine Einschränkungen für das Remote-System fest.
  • Bildschirm, Maus und Tastatur deaktiviert diese Eingänge. Wenn diese Option aktiviert ist, steht ein Kontrollkästchen zur Verfügung, um Automatisch den Bildschirm „Privatsphäre“ bei Sitzungsbeginn anzufordern. Der Bildschirm „Privatsphäre“ ist nur für Sitzungen verfügbar, die über einen Jump-Client, ein Remote Jump-Item oder ein lokales Jump-Item gestartet wurden. Wir empfehlen die Verwendung eines „Privatsphäre“-Bildschirms für unbeaufsichtigte Sitzungen. Das Remote-System muss den „Privatsphäre“-Bildschirm unterstützen.

Weitere Informationen finden Sie unter Steuern des Remote-Endpunkts mit der Bildschirmfreigabe.

Synchronisierungsrichtung für Zwischenablage

Wählen Sie, wie der Inhalt der Zwischenablage zwischen Benutzern und Endpunkten ausgetauscht wird. Die Optionen sind:

• Nicht berechtigt: Der Benutzer darf die Zwischenablage nicht verwenden, es werden keine Zwischenablage-Symbole im zugriffskonsole angezeigt, und die Befehle zum Ausschneiden und Einfügen funktionieren nicht.
• Zulässig vom Support-Techniker zum Kunden: Der Benutzer kann den Inhalt der Zwischenablage an den Endpunkt weiterleiten, kann aber nicht aus der Zwischenablage des Endpunkts einfügen. Nur das Zwischenablage-Symbol Senden wird im zugriffskonsole angezeigt.
• Zulässig in beide Richtungen: Der Inhalt der Zwischenablage kann in beide Richtungen übertragen werden. Beide Symbole Zwischenablage senden und abrufen werden im zugriffskonsole angezeigt.

Weitere Informationen über den Zwischenablage-Synchronisationsmodus finden Sie unter Sicherheit: Verwalten der Sicherheitseinstellungen.

Anwendungsfreigabebeschränkungen

Beschränken Sie den Zugriff auf angegebene Anwendungen auf dem Remote-System entweder mit Nur die aufgeführten ausführbaren Dateien gestatten oder Nur die aufgeführten ausführbaren Dateien ablehnen. Ebenfalls können Sie den Desktop-Zugriff zulassen oder verbieten.

Diese Funktion gilt nur für Windows-Betriebssysteme.

Neue ausführbare Dateien hinzufügen

Wenn Anwendungsfreigabebeschränkungen durchgesetzt werden, erscheint eine neue Schaltfläche Neue ausführbare Dateien hinzufügen. Mit Klick auf diese Schaltfläche wird ein Dialogfenster geöffnet, in dem Sie ausführbare Dateien angeben können, die gemäß Ihrer Ziele abgelehnt oder gestattet werden sollen.

Nach dem Hinzufügen von ausführbaren Dateien zeigen eine oder zwei Tabellen die Dateinamen oder Hashes an, die zur Einschränkung ausgewählt wurden. Ein bearbeitbares Kommentarfeld ermöglicht Administrationsnotizen.

Geben Sie Dateinamen oder SHA-256-Hashes ein, einen pro Zeile

Geben Sie bei der Einschränkung von ausführbaren Dateien die Dateinamen oder Hashes der ausführbaren Dateien, die sie gestatten oder verbieten möchten, manuell ein. Klicken Sie auf Ausführbare Datei(en) hinzufügen, wenn Sie fertig sind, um die gewählten Dateien zu Ihrer Konfiguration hinzuzufügen.

Pro Dialog können bis zu 25 Dateien angegeben werden. Wenn Sie mehr hinzufügen müssen, klicken Sie auf Ausführbare Datei(en) hinzufügen und öffnen Sie den Dialog dann erneut.

Navigieren zu einer oder mehreren Dateien

Wählen Sie bei der Beschränkung von ausführbaren Dateien diese Option, um auf Ihrem System zu ausführbaren Dateien zu navigieren und ihre Namen oder Hashes automatisch abzuleiten. Wenn Sie Dateien so auf Ihrer lokalen Plattform bzw. Ihrem lokalen System auswählen, stellen Sie sicher, dass es sich bei den Dateien tatsächlich um ausführbare Dateien handelt. Dies wird auf Browserebene nicht überprüft.

Wählen Sie entweder Dateiname benutzen oder Datei-Hash benutzen, damit der Browser die Dateinamen oder Hashes der ausführbaren Dateien automatisch ableitet. Klicken Sie auf Ausführbare Datei(en) hinzufügen, wenn Sie fertig sind, um die gewählten Dateien zu Ihrer Konfiguration hinzuzufügen.

Pro Dialog können bis zu 25 Dateien angegeben werden. Wenn Sie mehr hinzufügen müssen, klicken Sie auf Ausführbare Datei(en) hinzufügen und öffnen Sie den Dialog dann erneut.

Diese Option ist nur in modernen und nicht in älteren Browsern verfügbar.

Gestattete Endpunkteinschränkungen

Legen Sie fest, ob der Support-Techniker Maus und Tastatur des Remote-Systems vorübergehend deaktivieren kann. Der Benutzer kann den Remote-Desktop auch daran hindern, angezeigt zu werden.

Weitere Informationen finden Sie unter Steuern des Remote-Endpunkts mit der Bildschirmfreigabe.

Anmerkungen

Anmerkungsregeln

Gibt dem Benutzer die Möglichkeit, Anmerkungswerkzeuge zu verwenden, um auf dem Bildschirm des Remote-Benutzers zu zeichnen. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Weitere Informationen finden Sie unter Verwenden von Anmerkungen, um auf dem Remote-Bildschirm des Endpunktes zu zeichnen.

Dateitransfer

Dateitransfer-Regeln

Ermöglicht es dem Benutzer, Dateien auf das Remote-System hochzuladen, Dateien vom Remote-System herunterzuladen oder beides. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Zugängliche Pfade im Dateisystem des Endpunkts

Gestattet es Benutzern, Dateien direkt zu oder von jeglichen oder nur von bestimmten Verzeichnissen auf dem Remote-System zu übertragen.

Zugängliche Pfade im Dateisystem des Benutzers

Gestattet es Benutzern, Dateien direkt zu oder von jeglichen oder nur von bestimmten Verzeichnissen auf seinem lokalen System zu übertragen.

Weitere Informationen finden Sie unter Dateitransfer zum und vom Remote-System-Endpunkt.

Befehlsshell

Befehlsshell-Regeln hier eingeben

Damit kann der Benutzer über eine virtuelle Befehlszeilen-Schnittstelle Befehle auf dem Remote-Computer ausgeben. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Der Zugriff auf Befehlsshells kann in Shell Jump-Sitzungen nicht eingeschränkt werden.

Konfigurieren der Befehlsfilterung, um eine versehentliche Nutzung von Befehlen, die für Endpunkt-Systeme schädlich sein können, zu vermeiden.

Weitere Informationen zur Befehlsfilterung finden Sie unter Shell Jump zum Zugriff auf ein Remote-Netzwerkgerät verwenden.

Für weitere Informationen siehe Öffnen der Befehlsshell am Remote-Endpunkt mithilfe der Zugriffskonsole.

Systeminformationen

Regeln für Systeminformationen

Ermöglicht es dem Benutzer, Systeminformationen zum Remote-Computer anzuzeigen. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Berechtigt, Aktionen zu Systeminformationen zu verwenden

Ermöglicht es dem Benutzer, mit Prozessen und Programmen auf dem Remote-System zu interagieren, ohne dass eine Bildschirmfreigabe erforderlich ist. Es können Prozesse beendet, Dienste gestartet, gestoppt, pausiert, fortgesetzt und neugestartet und Programme deinstalliert werden.

Weitere Informationen finden Sie unter Anzeige von Systeminformationen am Remote-Endpunkt.

Zugriff auf Registrierung

Verzeichniszugriff-Regeln

Ermöglicht es dem Benutzer, mit der Registrierung auf dem Remote-Windows-System zu interagieren, ohne dass eine Bildschirmfreigabe erforderlich ist. Schlüssel können angezeigt, hinzugefügt, gelöscht und bearbeitet, durchsucht und importiert werden.

Weitere Informationen finden Sie unter Zugriff auf den Registrierungseditor am Remote-Endpunkt.

Vordefinierte Skripts

Regeln für vordefinierte Skripts

Damit kann der Benutzer vordefinierte Skripts ausführen, die für seine Teams erstellt wurden. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Für weitere Informationen siehe Öffnen der Befehlsshell am Remote-Endpunkt mithilfe der Zugriffskonsole .

Verhalten beim Beenden der Sitzung

Wenn die Verbindung innerhalb der unter Neuverbindungs-Zeitüberschreitung festgelegten Zeit nicht wiederhergestellt werden kann, legen Sie hier fest, wie verfahren werden soll. Um zu verhindern, dass ein Endbenutzer nach einer heraufgesetzten Sitzung auf unautorisierte Berechtigungen zugreift, stellen Sie den Client so ein, dass der Endbenutzer am Ende der Sitzung automatisch vom Remote-Windows-Computer abgemeldet wird, dass der Remote-Computer gesperrt wird, oder dass nichts getan wird. Diese Regeln gelten nicht für Browser-Freigabesitzungen.

Benutzer berechtigen, diese Einstellung sitzungsweise außer Kraft zu setzen

Sie können einem Benutzer die Übersteuerung der Sitzungsbeendigungseinstellung über die Registerkarte Zusammenfassung in der Konsole während einer Sitzung gestatten.

Verfügbarkeitseinstellungen

Anmeldungszeitplan

Die Benutzeranmeldung auf den folgenden Zeitplan beschränken

Legen Sie einen Zeitplan fest, der definiert, wann sich Benutzer an der zugriffskonsole. Legen Sie die Zeitzone fest, die für diesen Zeitplan verwendet werden soll, und fügen Sie dann einen oder mehrere Zeitplaneinträge hinzu. Geben Sie für jeden Eintrag das Startdatum und die Startuhrzeit an sowie das Enddatum und die Enduhrzeit. anmelden können.

Wenn die Zeit beispielsweise für 8 Uhr (Start) und 17 Uhr (Ende) festgelegt wird, kann sich ein Benutzer jederzeit innerhalb dieses Zeitfensters anmelden und auch nach dem festgelegten Endzeitpunkt weiterarbeiten. Er kann sich nach 17 Uhr allerdings nicht erneut anmelden.

Abmeldung erzwingen, wenn der Zeitplan die Anmeldung nicht gestattet

Wenn eine strengere Zugriffskontrolle erforderlich ist, aktivieren Sie diese Option. Damit wird der Benutzer gezwungen, sich zum geplanten Endzeitpunkt abzumelden. Iin diesem Fall erhält der Benutzer 15 Minuten vor der Trennung der Verbindung wiederholte Benachrichtigungen. Wenn der Benutzer abgemeldet wird, folgen jegliche ihm angehörenden Sitzungen den Regeln zum Sitzungsrückfall.

Mitgliedschaften

Teammitgliedschaft hinzufügen

Suchen Sie nach Teams, denen Mitglieder dieser Gruppenrichtlinie angehören sollen. Sie können die Rolle als Teammitglied, Teamleiter oder Team-Manager festlegen. Diese Rollen spielen in der Dashboard-Funktion der zugriffskonsole eine wichtige Rolle. Klicken Sie auf Hinzufügen.

Hinzugefügte Teams werden in einer Tabelle angezeigt. Sie können die Rolle von Mitgliedern in einem Team bearbeiten oder das Team aus der Liste löschen.

Teammitgliedschaft entfernen

Suchen Sie nach Teams, aus denen Mitglieder dieser Gruppenrichtlinie entfernt werden sollen, und klicken Sie auf Hinzufügen. Entfernte Teams werden in einer Tabelle angezeigt. Sie können ein Team aus der Liste löschen.

Hinzufügen von Jumpoint-Mitgliedschaften

Suchen Sie nach Jumpoints, auf die Mitglieder dieser Gruppenrichtlinie Zugriff haben sollen, und klicken Sie dann auf Hinzufügen. Hinzugefügte Jumpoints werden in einer Tabelle angezeigt. Sie können einen Jumpoint aus der Liste löschen.

Entfernen von Jumpoint-Mitgliedschaft

Suchen Sie nach Jumpoints, von denen Mitglieder dieser Gruppenrichtlinie nicht entfernt werden sollen, und klicken Sie dann auf Hinzufügen. Entfernte Jumpoints werden in einer Tabelle angezeigt. Sie können einen Jumpoint aus der Liste löschen.

Hinzufügen von Jump-Gruppenmitgliedschaften

Suchen Sie nach Jump-Gruppen, denen Mitglieder dieser Gruppenrichtlinie angehören sollen. Sie können die Jump-Element-Rolle jedes Benutzers festlegen, um ihre Berechtigungen für Jump-Elemente in dieser Jump-Gruppe festzulegen. Alternativ können Sie die standardmäßigen Jump-Element-Rollen dieser Gruppenrichtlinie oder die auf der Seite Benutzer und Sicherheit > Benutzer konfigurierten Rollen verwenden. Eine Jump-Element-Rolle ist ein vordefinierter Berechtigungssatz zur Verwaltung und Nutzung von Jump-Elementen.

Weitere Informationen finden Sie unter Verwenden von Jump-Element-Rollen, um Berechtigungen für Jump-Elemente zu konfigurieren.

Sie können auch eine Jump-Richtlinie anwenden, um den Benutzerzugriff auf die Jump-Elemente dieser Jump-Gruppe zu verwalten. Wenn Sie stattdessen Für Jump-Elemente festlegen wählen, wird die Jump-Richtlinie für das Jump-Element selbst verwendet. Jump-Richtlinien werden auf der Seite Jump > Jump-Richtlinien konfiguriert und bestimmen die Zeiten, während denen ein Benutzer Zugriff auf dieses Jump-Element hat. Eine Jump-Richtlinie kann auch eine Benachrichtigung senden, wenn darauf zugegriffen wird, oder kann zum Zugriff eine Genehmigung erfordern. Wird keine Jump-Richtlinie auf den Benutzer oder das Jump-Element angewendet, kann ohne Einschränkung auf dieses Jump-Element zugegriffen werden.

Weitere Informationen finden Sie unter Erstellen von Jump-Richtlinien, um den Zugriff auf Jump-Elemente zu steuern.

Hinzugefügte Jump-Gruppen werden in einer Tabelle angezeigt. Sie können die Einstellungen einer Jump-Gruppe bearbeiten oder die Jump-Gruppe aus der Liste löschen.

Entfernen von Jump-Gruppenmitgliedschaften

Suchen Sie nach Jump-Gruppen, aus denen Mitglieder dieser Gruppenrichtlinie entfernt werden sollen, und klicken Sie auf Hinzufügen. Entfernte Jump-Gruppen werden in einer Tabelle angezeigt. Sie können eine Jump-Gruppe aus der Liste löschen.

Vault-Kontomitgliedschaften hinzufügen

Suchen Sie nach einem Konto, wählen Sie Vault-Kontenrolle und klicken Sie dann auf Hinzufügen, um Mitgliedern der Richtlinie Zugriff auf das ausgewählte Vault-Konto zu gewähren. Die Mitgliedschaften von Benutzern können von anderen Gruppenrichtlinien hinzugefügt werden. Rufen Sie Vault > Konten auf, um alle Mitglieder jedes Kontos anzuzeigen. Benutzer können für die Nutzung des Vault-Kontos einer von zwei Rollen zugewiesen werden:

• Einfügen: (Standardwert) Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden.
• Einfügen und auschecken: Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden und das Konto auf /login auschecken. Die Berechtigung Auschecken hat keinen Einfluss auf generische SSH-Konten.

Aktivieren Sie die Berechtigung Vault-Kontomitgliedschaften hinzufügen, um einem Vault-Konto in einer Gruppenrichtlinie eine Rolle des Vault-Kontos hinzuzufügen. Die Rolle des Rolle des Vault-Kontos wird auf der Liste der der Gruppenrichtlinie hinzugefügten Konten angezeigt.

Vault-Kontogruppenmitgliedschaften hinzufügen

Suchen Sie nach einer Kontogruppe, legen Sie die Vault-Konto-Rolle fest und klicken Sie dann auf Hinzufügen, um Mitgliedern der Richtlinie Zugriff auf die Gruppe der Vault-Konten zu gewähren. Die Mitgliedschaften von Benutzern können von anderen Gruppenrichtlinien hinzugefügt werden. Rufen Sie Vault > Kontogruppen auf, um alle Mitglieder jeder Gruppe anzuzeigen. Benutzern kann für die Verwendung der Gruppe der Vault-Konten eine von zwei Rollen zugewiesen werden:

• Einfügen: (Standardwert) Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden.
• Einfügen und auschecken: Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden und das Konto auf /login auschecken. Die Berechtigung Auschecken hat keinen Einfluss auf generische SSH-Konten.

Aktivieren Sie die Berechtigung Vault-Kontogruppen hinzufügen, um in einer Gruppenrichtlinie eine Rolle des Vault-Kontos hinzuzufügen. Die Rolle des Rolle des Vault-Kontos wird auf der Liste der der Gruppenrichtlinie hinzugefügten Kontengruppen angezeigt.

Speichern

Klicken Sie auf Speichern, damit die Richtlinie wirksam wird.

Richtlinie exportieren

Sie können eine Gruppenrichtlinie von einer Website exportieren und diese Berechtigungen in eine Richtlinie auf einer anderen Website importieren. Bearbeiten Sie die Richtlinie, die Sie exportieren möchten, und rollen Sie zum Ende der Seite. Klicken Sie auf Richtlinie exportieren und speichern Sie die Datei.

Wenn eine Gruppenrichtlinie exportiert wird, werden nur der Richtlinienname, die Kontoeinstellungen und die Berechtigungen exportiert. Richtlinienmitglieder, Support-Mitgliedschaften und Jumpoint-Mitgliedschaften sind nicht im Export enthalten.

Richtlinie importieren

Sie können exportierte Gruppenrichtlinieneinstellungen auf jeder anderen BeyondTrust-Website importieren, die den Import von Gruppenrichtlinien unterstützt. Erstellen Sie eine neue Gruppenrichtlinie oder bearbeiten Sie eine vorhandene Richtlinie, deren Berechtigungen Sie überschreiben möchten, und scrollen Sie dann zum Abschnitt Richtlinie importieren am Ende der Seite. Klicken Sie auf Richtliniendatei auswählen, durchsuchen Sie die Richtliniendatei und klicken Sie dann auf Öffnen. Nachdem die Richtliniendatei hochgeladen wurde, wird die Seite aktualisiert, sodass Sie Änderungen vornehmen können; klicken Sie auf Speichern, damit die Gruppenrichtlinie wirksam wird.

Durch Importieren einer Richtliniendatei in eine bestehende Gruppenrichtlinie werden alle zuvor festgelegten Berechtigungen überschrieben; ausgenommen sind Richtlinienmitglieder, Teammitgliedschaften und Jumpoint-Mitgliedschaften.