Groepsbeleidslijnen: Gebruikersmachtigingen op groepen gebruikers toepassen
Op de pagina Groepsbeleidslijnen kunt u groepen gebruikers instellen die dezelfde rechten delen.
Nieuw beleid aanmaken, bewerken, verwijderen
Maak een nieuw beleid aan, wijzig een bestaand beleid of verwijder een bestaand beleid.
Kopiëren
Om het aanmaken van gelijksoortige beleidslijnen te versnellen, kunt u op Kopiëren klikken om een nieuwe beleidslijn aan te maken met identieke instellingen. U kunt deze nieuwe beleidslijn dan bewerken om aan uw wensen te voldoen.
Volgorde veranderen
Klik op deze knop om groepsbeleidslijnen te slepen en neer te zetten om de prioriteiten ervan in te stellen. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren. Voor beheerdoeleinden is de aanbevolen prioriteitsvolgorde om beleidslijnen te definiëren voor meer specifieke gebruikersgroepen als een hogere prioriteit (zodat deze niet kunnen worden overschreven) en vandaar naar lagere prioriteiten te werken en bredere groepen als een lagere prioriteit in te stellen.
Naam beleid
Maak een unieke naam aan om dit beleid te identificeren.
Beleidsleden
Als u nieuwe leden wilt toewijzen, moet u op de knop Toevoegen klikken om een keuzevak te openen. Selecteer gebruikers van uw lokale systeem of selecteer gebruikers of hele groepen van geconfigureerde beveiligingsproviders. Om gebruikers of groepen vanuit een extern adreslijstarchief toe te voegen zoals LDAP, RADIUS of Kerberos, moet u eerst op de pagina /login > Gebruikers en beveiliging > Beveiligingsproviders de verbinding configureren. Als een poging een gebruiker van een geconfigureerde beveiligingsprovider toe te voegen ongeldig is, dan verschijnt er hier en in de logboekregistratie een melding van een synchronisatiefout.
Gedefinieerd in dit beleid
Selecteer voor elke instelling of die in dit beleid moet worden gedefinieerd of dat de instelling voor individuele gebruikers moet worden geconfigureerd. Als de instelling hier moet worden gedefinieerd, dan kunt u die machtiging niet voor een individuele gebruiker vanaf diens accountpagina wijzigen.
Als u een beleid hebt dat een machtiging definieert en u wilt dat geen enkel beleid die machtiging kan overschrijven, dan moet u selecteren dat dat beleid niet kan worden overschreven en moet het beleid een hogere prioriteit hebben dan andere beleidslijnen die ook die instelling definiëren.
Tweeledige verificatie
Bij tweeledige verificatie (two-factor authentication of 2FA) wordt gebruik gemaakt van een verificator-app waarmee een op tijd gebaseerde eenmalig code wordt gegenereerd. Met deze code kunt u vervolgens bij de beheerinterface en de toegangsconsole inloggen. Als Vereist is geselecteerd, worden gebruikers gevraagd te registreren en de volgende keer dat ze inloggen 2FA te gebruiken. Als Optioneel is geselecteerd, krijgen gebruikers de keuze om 2FA te gebruiken, maar zijn ze dat niet verplicht.
Gebruikers die al inlogcodes ontvingen, worden automatisch geüpgraded naar 2FA, hoewel ze e-mailcodes mogen blijven gebruiken tot ze hun app hebben geregistreerd. Op het moment dat ze 2FA gaan gebruiken, worden de e-mailcodes permanent uitgeschakeld.
Raadpleeg voor meer informatie over 2FA Tweestapsverificatie gebruiken met BeyondTrust Privileged Remote Access.
Account vervalt op
Hierdoor vervalt de account na een bepaalde datum of vervalt deze nooit.
Account uitgeschakeld
Hierdoor wordt de account uitgeschakeld zodat de gebruiker niet kan inloggen. Als een account wordt uitgeschakeld, wordt deze NIET verwijderd.
Opmerkingen
Voeg commentaar toe om aan te geven wat het doel is van dit object.
Admin
Hierdoor krijgt de gebruiker volledige beheerdersrechten.
Mag wachtwoorden instellen
Hierdoor kan de gebruiker wachtwoorden instellen en accounts ontgrendelen voor lokale gebruikers die geen beheerder zijn.
Mag Jumpoints bewerken
Hierdoor mogen gebruikers Jumpoints aanmaken of bewerken. Deze optie heeft geen invloed op de mogelijkheid voor de gebruikers om via Jumpoints toegang tot externe computers te krijgen. Dat wordt via beleid op Jumpoint- of groepsniveau geconfigureerd.
Mag eindpunt-analyse gebruiken
Hiermee kunnen gebruikers scans van open poorten op jumpsnelkoppelingen instellen en bekijken.
Toestemmingen voor toegangssessierapportage: Mag rapporten van toegangssessies bekijken
Hierdoor kan de gebruiker rapporten maken over activiteiten tijdens toegangssessies, alleen sessies weergeven waarvan hij of zij de primaire sessie-eigenaar is, alleen sessies weergeven voor eindpunten die tot een jump-groep behoren waarvan de gebruiker een lid is, of alle sessies weergeven.
Mag opnames van toegangssessies bekijken
Hierdoor kan een gebruiker opnames bekijken van sessies met scherm delen en van sessies met opdrachtshell.
Mag rapportage API gebruiken
Hierdoor kunnen de inloggegevens van de gebruiker worden gebruikt om via de API XML-rapporten op te halen.
Vanaf 16.1 gaat de voorkeur uit naar het gebruik van API-accounts die zijn aangemaakt op Beheer > API-configuratie.
Mag opdracht API gebruiken
Hierdoor kunnen de inloggegevens van de gebruiker worden gebruikt om via de API opdrachten te geven.
Vanaf 16.1 gaat de voorkeur uit naar het gebruik van API-accounts die zijn aangemaakt op Beheer > API-configuratie.
Mag teams bewerken
Hierdoor kunnen gebruikers teams aanmaken of bewerken.
Mag jumpgroepen bewerken
Biedt gebruikers de mogelijkheid jumpgroepen aan te maken of te bewerken.
Toestemming voor bewerken standaard scripts
Hierdoor kan de gebruiker standaard scripts aanmaken of bewerken die worden gebruikt in sessies met scherm delen of met opdrachtshell.
Mag aangepaste links bewerken
Hierdoor kan de gebruiker aanpasbare koppelingen aanmaken of bewerken.
Toestemming voor toegang tot eindpunten
Hierdoor mag de gebruiker de toegangsconsole gebruiken om sessies uit te voeren. Als toegang tot een eindpunt is ingeschakeld, dan zijn er ook opties beschikbaar die betrekking hebben op toegang tot een eindpunt.
Mag sessies delen met teams waar hij of zij geen deel van uitmaakt
Hierdoor kan de gebruiker behalve zijn of haar teamleden ook een minder beperkte groep gebruikers uitnodigen om sessies te delen. Samen met de machtiging Uitgebreide beschikbaarheid vormt deze machtiging een uitbreiding van de mogelijkheden om sessies te delen.
Mag externe gebruikers uitnodigen
Hierdoor kan de gebruiker een gebruiker van een derde partij uitnodigen eenmalig aan een sessie deel te nemen.
Toegestaan om uitgebreide beschikbaarheid-modus in te schakelen
Hierdoor kan de gebruiker e-mailuitnodigingen van andere gebruikers ontvangen met het verzoek een sessie te delen, ook als hij of zij niet op de toegangsconsole is ingelogd.
Toestemming voor bewerken van de externe code
Staat gebruikers toe om de externe code te wijzigen vanaf het informatiedeelvenster van een sessie binnen de toegangsconsole.
Mag scherm tonen aan andere gebruikers
Hierdoor kan een gebruiker zijn of haar scherm delen met een andere gebruiker zonder dat de ontvanger aan een sessie hoeft aan te melden. Deze optie is zelfs beschikbaar als de gebruiker niet in een sessie is.
Mag besturing geven tijdens tonen van scherm aan andere gebruikers
Hierdoor kan de gebruiker tijdens scherm delen de besturing over muis en toetsenbord aan de gebruiker geven die zijn of haar scherm bekijkt.
Toegestane Jump-methodes
Hierdoor kan de gebruiker een Jump uitvoeren naar computers via Jump-clients, Lokale Jump op het lokale netwerk, Externe Jump via een Jumpoint, Externe VNC via een Jumpoint, Extern bureaublad op afstand (RDP) via een Jumpoint, Web Jump via een Jumpoint, Shell Jump via een Jumpoint en/of Jump via tunnelprotocol via een Jumpoint.
Jumpsnelkoppelingsrollen
Een jumpsnelkoppelingsrol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van jumpsnelkoppelingen. Klik voor elke optie op Tonen om de jumpsnelkoppelingsrol in een nieuw tabbad te openen.
De Standaard rol wordt alleen gebruikt als Standaard van gebruiker toepassen is ingesteld voor een bepaalde gebruiker in een Jumpgroep.
De Persoonlijke rol is alleen van toepassing op jumpsnelkoppelingen die zijn vastgespeld aan de persoonlijke lijst met jumpsnelkoppelingen van de gebruiker.
De Team rol is van toepassing op jumpsnelkoppelingen die zijn vastgespeld aan de persoonlijke lijst met jumpsnelkoppelingen van een teamlid met een lagere rol. Een teammanager kan bijvoorbeeld de persoonlijke jumpsnelkoppelingen van teamleiders en teamleden bekijken. En een teamleader kan de persoonlijke jumpsnelkoppelingen van teamleden bekijken.
De Systeem rol is van toepassing op alle andere jumpsnelkoppelingen in het systeem. Voor de meeste gebruikers moet dit worden ingesteld op Geen toegang. Als een andere optie is ingesteld, worden gebruikers toegevoegd aan jumpgroepen waar ze normaal niet aan zouden worden toegewezen. Ook kunnen zij in de toegangsconsole console de lijst met persoonlijke jumpsnelkoppelingen van niet-leden zien.
Stel de prompts en de machtigingsregels in die voor de sessies van deze gebruiker moeten gelden. Kies een bestaand sessiebeleid of definieer aangepaste machtigingen voor deze gebruiker. Als u Niet gedefinieerd specificeert, dan wordt het algemene standaard beleid gebruikt. Deze machtigingen kunnen door een beleid met hogere prioriteit worden overschreven.
Beschrijving
Bekijk de omschrijving van een vooraf gedefinieerd beleid voor sessietoestemming.
Scherm delen
Hierdoor kan de gebruiker het externe scherm bekijken of beheren. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Zie voor meer informatie Extern eindpunt beheren met scherm delen.
Beperkingen voor het delen van een toepassing
Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.
Deze functie geldt alleen voor Windows- en Linux-besturingssystemen en bevat geen sessies met bureaublad op afstand (RDP) of virtueel netwerk computing (VNC).
Nieuwe uitvoerbare bestanden toevoegen
Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.
Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.
Voer bestandsnamen of SHA-256 hashes in, één per regel
Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Naar één of meer bestanden bladeren
Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.
Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.
Toegestane eindpuntbeperkingen
Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het bureaublad op afstand niet wordt weergegeven.
Zie voor meer informatie Extern eindpunt beheren met scherm delen.
Mag inloggen met inloggegevens van een beheerder van verificatiegegevens voor een eindpunt
Activeer een verbinding van een gebruiker naar de beheerder van eindpunt-verificatiegegevens vanaf uw bestaande wachtwoord-opslagplaatsen of -kluizen.
Voor gebruik van Beheerder van verificatiegegevens voor eindpunt is een aparte onderhoudsovereenkomst met BeyondTrust vereist. Als een onderhoudsovereenkomst eenmaal is afgesloten, mag u de benodigde middleware vanuit het BeyondTrust self-service center downloaden.
In eerdere versies dan 15.2 is deze functie alleen beschikbaar in sessies die vanaf een opgewaardeerde Jump-client op Windows® zijn gestart. Vanaf versie 15.2 mag u ook een beheerder van eindpunt-verificatiegegevens gebruiken in sessies met externe Jump, sessies met Microsoft®-bureaublad op afstand, VNC-sessies en sessies met Shell Jump. U kunt deze functie ook gebruiken in een sessie met scherm delen op een Windows® systeem door gebruik te maken van de speciale actie Uitvoeren als.
Zie voor meer informatie Inloggen bij eindpunten met gebruik van injectie van inloggegevens.
Annotaties
Hierdoor kan de gebruiker gereedschappen voor annotaties gebruiken om op het externe scherm te tekenen. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Zie voor meer informatie Annotaties gebruiken om op het externe scherm van het eindpunt te tekenen.
Bestandsoverdracht
Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegankelijke paden op het bestandssysteem van het eindpunt
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.
Toegankelijke paden op het bestandssysteem van de gebruiker:
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.
Zie voor meer informatie Bestandsoverdracht naar en van het externe eindpunt.
Opdrachtshell
Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.
Zie voor meer informatie over opdrachtfiltering Shell Jump gebruiken om toegang te krijgen tot een extern netwerkapparaat.
Zie voor meer informatie De opdrachtshell op het externe eindpunt openen met behulp van de toegangsconsole.
Systeeminformatie
Hiermee kan de gebruiker systeeminformatie over de externe computer zien. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toestemming tot gebruik van systeeminformatie-acties
Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.
Zie voor meer informatie Systeeminformatie bekijken op het externe eindpunt.
Register-toegang
Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.
Zie voor meer informatie Toegang tot de register-editor op het externe eindpunt.
Standaard scripts
Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Zie voor meer informatie De opdrachtshell op het externe eindpunt openen met behulp van de toegangsconsole.
Beperk inloggen van gebruiker aan de hand van het volgende rooster
Stel een rooster in om te definiëren wanneer gebruikers op de toegangsconsole in kunnen loggen. Stel de tijdzone in die u voor dit rooster wilt gebruiker en voeg vervolgens een of meer roostervermeldingen toe. Stel voor elke vermelding de startdatum en -tijd en de einddatum en -tijd in.
Als bijvoorbeeld de begintijd is ingesteld op 08:00 uur en de eindtijd op 17:00 uur, dan kan een gebruiker op elk tijdstip in deze periode inloggen en kan blijven doorwerken tot na de eindtijd. De gebruiker kan echter na 17:00 uur niet opnieuw inloggen.
Forceer uitloggen als het schema inloggen niet toestaat.
Als strengere toegangscontrole is vereist, dan moet u deze optie aanvinken. Hierdoor wordt de gebruiker geforceerd op de geplande eindtijd uit te loggen. In dit geval ontvangt de gebruiker herhaalde berichten vanaf 15 minuten voordat de sessie wordt beëindigd. Wanneer de gebruiker uitgelogd wordt, volgen eventuele eigen sessies de sessieterugval-regels.
Aan teams toevoegen
Zoek naar teams waartoe leden van dit groepsbeleid moeten behoren. U kunt de rol op Teamlid, Teamleider of Teammanager instellen. Deze rollen zijn van groot belang in de Dashboard-functie van de toegangsconsole. Klik op Toevoegen.
De toegevoegde leden worden in een tabel weergegeven. U kunt de rol van teamleden bewerken of het team van de lijst verwijderen.
Van teams verwijderen
Zoek naar teams waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde teams worden in een tabel weergegeven. U kunt een team van de lijst verwijderen.
Aan Jumpoints toevoegen
Zoek naar Jumpoints waartoe leden van dit groepsbeleid toegang moeten hebben en klik vervolgens op Toevoegen. De toegevoegde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.
Van Jumpoints verwijderen
Zoek naar Jumpoints waarvan leden van dit groepsbeleid niet mogen worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.
Aan Jumpgroepen toevoegen
Zoek naar Jumpgroepen waar leden van dit groepsbeleid bij moeten horen. U kunt voor elke gebruiker de Jumpsnelkoppelingsrol instellen zodat hun machtigingen specifiek zijn ingesteld voor jumpsnelkoppelingen in deze Jumpgroep. Of u gebruikt de standaard jumpsnelkoppelingsrollen van de gebruiker die in dit groepsbeleid of op de pagina Gebruikers en beveiliging > Gebruikers zijn ingesteld. Een jumpsnelkoppelingsrol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van jumpsnelkoppelingen.
Zie voor meer informatie Jumpitem-rollen gebruiken om machtigingssets voor Jumpsnelkoppelingen te configureren.
U kunt ook een Jumpbeleid toepassen om de toegang van gebruikers tot de jumpsnelkoppeling in deze Jumpgroep te beheren. Als u in plaats hiervan Op jumpsnelkoppeling ingesteld selecteert, wordt het Jumpbeleid toegepast op de jumpsnelkoppeling zelf. Jump-beleidslijnen worden op de pagina Jump > Jump-beleidslijnen geconfigureerd en bepalen welke periodes een gebruiker toegang heeft tot deze jumpsnelkoppeling. Er kan ook een kennisgeving worden verzonden als het Jumpbeleid wordt benaderd of er kan toestemming moeten worden gevraagd om het te benaderen. Als er op de gebruiker of de jumpsnelkoppeling geen Jumpbeleid is toegepast, is de toegang tot deze jumpsnelkoppeling onbeperkt.
Ga voor meer informatie naar Jump-beleidslijnen maken om toegang tot Jumpsnelkoppelingen te beheren.
De toegevoegde Jumpgroepen worden in een tabel weergegeven. U kunt de instellingen van een Jumpgroep bewerken of de Jumpgroep van de lijst verwijderen.
Van Jumpgroepen verwijderen
Zoek naar Jumpgroepen waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpgroepen worden in een tabel weergegeven. U kunt een Jumpgroep van de lijst verwijderen.
Klik op Beleid opslaan om het beleid te effectueren.
U kunt een groepsbeleid vanuit een site exporteren en die machtigingen naar een beleid op een andere site importeren. Bewerk het beleid dat u wilt exporteren en ga naar de onderkant van de pagina. Klik op Beleid exporteren en sla het bestand op.
Als u een groepsbeleid exporteert worden alleen de beleidsnaam, accountinstellingen en machtigingen geëxporteerd. Beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen worden bij het exporteren niet meegenomen.
U kunt geëxporteerde beleidsinstellingen naar een andere BeyondTrust site importeren die het importeren van groepsbeleid ondersteunt. Maak een nieuw groepsbeleid aan of bewerk een bestaand beleid waarvan u de machtigingen wilt overschrijven en ga naar de onderkant van de pagina. Blader naar het beleidsbestand en klik vervolgens op Beleid importeren. Nadat het beleidsbestand is geüpload wordt de pagina vernieuwd waarna u wijzigingen kunt aanbrengen. Klik op Beleid opslaan om het groepsbeleid te effectueren.
Als u een beleidsbestand in een bestaand groepsbeleid importeert, dan worden eventuele eerder gedefinieerde machtigingen overschreven, met uitzondering van beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen.