Groepsbeleidslijnen: Gebruikersmachtigingen op groepen gebruikers toepassen
Gebruikers en beveiliging
Groepsbeleidslijnen
Groepsbeleidslijnen
Op de pagina Groepsbeleidslijnen kunt u groepen gebruikers instellen die dezelfde rechten delen.
Nieuw beleid toevoegen, bewerken, verwijderen
Maak een nieuw beleid aan, wijzig een bestaand beleid of verwijder een bestaand beleid.
Er verschijnt een waarschuwing als u het groepsbeleid bewerkt dat het standaard beleid is voor de lokale provider of als de groep beheerdergebruikers heeft en u beheerdersmachtigingen verwijdert. Zorg ervoor dat andere gebruikers beheerdersmachtigingen hebben voordat u verder gaat.
Volgorde veranderen
Klik op de knop Volgorde wijzigen om groepsbeleidslijnen te slepen en neer te zetten om de prioriteiten ervan in te stellen. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren. Als meerdere beleidslijnen van toepassing zijn voor een bepaalde gebruiker, gelden de machtigingen beginnend vanaf de bovenkant van de lijst Groepsbeleidslijnen, en vervolgens verderop in de lijst. Als een machtiging conflicteert met een machtiging uit een groepsbeleid dat hoger in de lijst staat, dan overschrijft de lagere machtiging de hogere machtiging, tenzij de hogere als Definitief stond ingesteld. Kort gezegd: groepsbeleidslijnen die lager in de lijst staan, hebben een hogere functionele prioriteit dan groepsbeleidslijnen die hoger in de lijst staan.
Kopiëren
Om het aanmaken van gelijksoortige beleidslijnen te versnellen, kunt u op Kopiëren klikken om een nieuwe beleidslijn aan te maken met identieke instellingen. U kunt deze nieuwe beleidslijn dan bewerken om aan uw wensen te voldoen.
Beleid toevoegen of bewerken
Naam beleid
Maak een unieke naam aan om dit beleid te identificeren.
Beschikbare leden en beleidsleden
Om leden toe te wijzen, selecteert u een lid uit de lijst met Beschikbare leden en klikt u op Toevoegen om het lid te verplaatsen naar het vak met Beleidsleden. Gebruik het vak Zoeken om bestaande leden te vinden.
U kunt gebruikers van uw lokale systeem of gebruikers of hele groepen van geconfigureerde beveiligingsproviders selecteren. Om gebruikers of groepen vanuit een extern adreslijstarchief toe te voegen zoals LDAP, RADIUS of Kerberos, moet u eerst op de pagina /login > Gebruikers en beveiliging > Beveiligingsproviders de verbinding configureren. Als een poging om een gebruiker van een geconfigureerde beveiligingsprovider toe te voegen ongeldig is, dan verschijnt er hier en in de logboekregistratie een melding van een synchronisatiefout.
Accountinstellingen
Welke accountinstellingen moet dit Groepsbeleid beheren?
Selecteer voor elke instelling of die in dit beleid moet worden gedefinieerd of dat de instelling voor individuele gebruikers moet worden geconfigureerd. Als de instelling hier moet worden gedefinieerd, dan kunt u die machtiging niet voor een individuele gebruiker vanaf diens accountpagina wijzigen.
Als u een beleid hebt dat een machtiging definieert en u wilt dat geen enkel beleid die machtiging kan overschrijven, dan moet u selecteren dat dat beleid niet kan worden overschreven en moet het beleid een hogere prioriteit hebben dan andere beleidslijnen die ook die instelling definiëren.
Verificatie in twee stappen
Bij verificatie in twee stappen (two-factor authentication of 2FA) wordt gebruik gemaakt van een verificator-app waarmee een op tijd gebaseerde eenmalig code wordt gegenereerd. Met deze code kunt u vervolgens bij de beheerinterface en de toegangsconsole inloggen. Als Vereist is geselecteerd, worden gebruikers gevraagd te registreren en de volgende keer dat ze inloggen 2FA te gebruiken. Als Optioneel is geselecteerd, krijgen gebruikers de keuze om 2FA te gebruiken, maar zijn ze dat niet verplicht.
Gebruikers die al eerder inlogcodes hebben ontvangen, worden automatisch geüpgraded naar 2FA, hoewel ze e-mailcodes mogen blijven gebruiken tot ze hun app hebben geregistreerd. Op het moment dat ze 2FA gaan gebruiken, wordt de optie voor e-mailcodes permanent uitgeschakeld.
Verlopen van account
Account vervalt nooit als dit is aangevinkt. Er moet een vervaldatum voor het account zijn ingesteld als dit niet is aangevinkt.
Account uitgeschakeld
Hiermee kunt u het account uitschakelen, zodat de gebruiker niet kan inloggen. Als een account wordt uitgeschakeld, wordt deze NIET verwijderd.
Opmerkingen
Voeg commentaar toe om aan te geven wat het doel is van dit object.
Algemene machtigingen
Welke algemene instellingen moet dit groepsbeleid beheren?
Selecteer voor elke instelling of die in dit beleid moet worden gedefinieerd of dat de instelling voor individuele gebruikers moet worden geconfigureerd. Als de instelling hier moet worden gedefinieerd, dan kunt u die machtiging niet voor een individuele gebruiker vanaf diens accountpagina wijzigen.
Als u een beleid hebt dat een machtiging definieert en u wilt dat geen enkel beleid die machtiging kan overschrijven, dan moet u selecteren dat dat beleid niet kan worden overschreven en moet het beleid een hogere prioriteit hebben dan andere beleidslijnen die ook die instelling definiëren.
Beheer
Beheerdersrechten
Hierdoor krijgt de gebruiker volledige beheerdersrechten.
Beheerdersrechten Vault
Stelt gebruikers in staat om toegang te krijgen tot de Vault.
Instelling voor wachtwoord
Hierdoor kan de gebruiker wachtwoorden instellen en accounts ontgrendelen voor lokale gebruikers die geen beheerder zijn.
Jumpoint bewerken
Hierdoor mogen gebruikers Jumpoints aanmaken of bewerken. Deze optie heeft geen invloed op de mogelijkheid voor de gebruikers om via Jumpoints toegang tot externe computers te krijgen. Dat wordt via beleid op Jumpoint- of groepsniveau geconfigureerd.
Bewerking van team
Hierdoor kunnen gebruikers teams aanmaken of bewerken.
Jumpgroep bewerken
Biedt gebruikers de mogelijkheid jumpgroepen aan te maken of te bewerken.
Standaard script bewerken
Hierdoor kan de gebruiker standaard scripts aanmaken of bewerken die worden gebruikt in sessies met scherm delen of met opdrachtshell.
Bewerking van aangepaste link
Hierdoor kan de gebruiker aangepaste koppelingen aanmaken of bewerken.
Rapportage
Toegang tot sessie- en teamrapporten
Stelt de gebruiker in staat om rapporten van toegangssessies te bekijken. Afhankelijk van de geselecteerde optie kunnen gebruikers hun eigen sessies, hun Jumpgroepsessies of alle sessies bekijken.
Mag rapporten van toegangssessies bekijken
Hierdoor kan de gebruiker rapporten maken over access session-activiteiten, alleen sessies weergeven waarvan hij of zij de primaire sessie-eigenaar is, alleen sessies weergeven voor eindpunten die tot een Jumpgroep behoren waarvan de gebruiker een lid is, of alle sessies weergeven.
Mag Access Session-opnamen bekijken
Hierdoor kan een gebruiker opnames bekijken van sessies met scherm delen en van sessies met opdrachtshell.
Toegang tot Vault-rapporten
Stelt de gebruiker in staat om Vault-rapporten te bekijken. Afhankelijk van de geselecteerde optie kunnen gebruikers hun eigen sessies of alle sessies bekijken.
Mag Vault-rapporten zien
Stelt de gebruiker in staat om zijn of haar eigen Vault-gebeurtenissen of alle Vault-gebeurtenissen te bekijken.
Toegangsmachtigingen
Mag eindpunten benaderen
Hierdoor mag de gebruiker de access console gebruiken om sessies uit te voeren. Als toegang tot een eindpunt is ingeschakeld, dan zijn er ook opties beschikbaar die betrekking hebben op toegang tot een eindpunt.
Sessiebeheer
Mag sessies delen met teams waarvan hij/zij geen deel uitmaakt
Hierdoor kan de gebruiker behalve zijn of haar teamleden ook een minder beperkte groep gebruikers uitnodigen om sessies te delen. Samen met de machtiging Uitgebreide beschikbaarheid vormt deze machtiging een uitbreiding van de mogelijkheden om sessies te delen.
Mag externe gebruikers uitnodigen
Hierdoor kan de gebruiker een gebruiker van een derde partij uitnodigen eenmalig aan een sessie deel te nemen.
Toegestaan om uitgebreide beschikbaarheid-modus in te schakelen
Hierdoor kan de gebruiker e-mailuitnodigingen van andere gebruikers ontvangen met het verzoek een sessie te delen, ook als hij of zij niet bij de access console is ingelogd.
Mag de externe code bewerken
Staat de gebruiker toe om de externe sleutel te wijzigen vanaf het informatiedeelvenster van een sessie binnen de access console.
Scherm delen van gebruiker tot gebruiker
Mag scherm tonen aan andere gebruikers
Hierdoor kan een gebruiker zijn of haar scherm delen met een andere gebruiker zonder dat de ontvanger aan een sessie hoeft aan te melden. Deze optie is zelfs beschikbaar als de gebruiker niet in een sessie is.
Mag besturing geven tijdens tonen van scherm aan andere gebruikers
Hierdoor kan de gebruiker tijdens scherm delen de besturing over muis en toetsenbord aan de gebruiker geven die zijn of haar scherm bekijkt.
Jump-technologie
Toegestane Jumpitem-methodes
Hiermee kan de gebruiker een Jump uitvoeren naar computers via Jump-clients, Lokale Jump op het lokale netwerk, Externe Jump via een Jumpoint, Externe VNC via een Jumpoint, Extern RDP via een Jumpoint, Web Jump via een Jumpoint, Shell Jump via een Jumpoint en Jump via tunnelprotocol via een Jumpoint.
Jumpitem-rollen
Een Jumpitem-rol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van Jumpitems. Klik voor elke optie op Tonen om de Jumpitem-rol in een nieuw tabblad te openen.
De Standaard rol wordt alleen gebruikt als Standaard van gebruiker toepassen is ingesteld voor een bepaalde gebruiker in een Jumpgroep.
De Persoonlijke rol is alleen van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van de gebruiker.
De Teams-rol is van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van een teamlid met een lagere rol. Een teammanager kan bijvoorbeeld de persoonlijke Jumpitems van teamleiders en teamleden bekijken. En een teamleader kan de persoonlijke Jumpitems van teamleden bekijken.
De Systeem rol is van toepassing op alle andere Jumpitems in het systeem. Voor de meeste gebruikers moet dit worden ingesteld op Geen toegang. Als een andere optie is ingesteld, worden gebruikers toegevoegd aan Jumpgroepen waar ze normaal niet aan zouden worden toegewezen. Ook kunnen zij in de access console de lijst met persoonlijke Jumpitems van niet-leden zien.
Sessietoestemmingen
Stel de prompts en de machtigingsregels in die voor de sessies van deze gebruiker moeten gelden. Kies een bestaand sessiebeleid of definieer aangepaste machtigingen voor deze gebruiker. Als u Niet gedefinieerd specificeert, dan wordt het algemene standaard beleid gebruikt. Deze machtigingen kunnen door een beleid met hogere prioriteit worden overschreven.
Beschrijving
Bekijk de beschrijving van een vooraf gedefinieerd beleid voor sessietoestemming.
Scherm delen
Regels voor scherm delen
Stel de gebruiker in staat om het externe scherm weer te geven of te beheren. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.
Klembordsynchronisatierichting
Selecteer hoe uitwisseling van klembordinhoud tussen gebruikers en eindpunten verloopt. De opties zijn:
- Niet toegestaan: De gebruiker mag het klembord niet gebruiken, er worden geen klembordpictogrammen weergegeven in de access console, en knippen en plakken werkt niet.
- Van ondersteuningstechnicus naar klant toegestaan: De gebruiker kan klembordinhoud naar het eindpunt versturen, maar kan geen klembordinhoud van het eindpunt kopiëren en plakken. Alleen het klembordpictogram Verzenden wordt weergegeven in de access console.
- In beide richtingen toegestaan: Klembordinhoud kan in beide richtingen worden verzonden. De klembordpictogrammen Verzenden en Ontvangen worden weergegeven in de access console.
Ga voor meer informatie over de Klembordsynchronisatiemodus naar Beveiliging: Beveiligingsinstellingen beheren.
Beperkingen voor het delen van een toepassing
Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.
Deze functie is alleen van toepassing op Windows-besturingssystemen.
Nieuwe uitvoerbare bestanden toevoegen
Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.
Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.
Voer bestandsnamen of SHA-256 hashes in, één per regel
Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Naar een of meer bestanden bladeren
Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.
Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.
Toegestane eindpuntbeperkingen
Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het bureaublad op afstand niet wordt weergegeven.
Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.
Annotaties
Regels voor annotaties
Hierdoor kan de gebruiker hulpmiddelen voor annotaties gebruiken om op het externe scherm te tekenen. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Zie voor meer informatie Annotaties gebruiken om op het externe scherm van het eindpunt te tekenen.
Bestandsoverdracht
Regels voor bestandsoverdracht
Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegankelijke paden op het bestandssysteem van het eindpunt
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.
Toegankelijke paden op het bestandssysteem van de gebruiker
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.
Zie voor meer informatie Bestandsoverdracht naar en van het externe eindpunt.
Opdrachtshell
Regels voor opdrachtshell
Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.
Opdrachtfiltering configureren om het per ongeluk gebruiken van opdrachten die schadelijk kunnen zijn voor de eindpuntsystemen te voorkomen.
Raadpleeg Shell-jump gebruiken om toegang tot een apparaat in een extern netwerk te krijgen voor meer informatie over het filteren van opdrachten.
Zie voor meer informatie De opdrachtshell op het externe eindpunt openen met behulp van de toegangsconsole.
Systeeminformatie
Regels voor systeeminformatie
Hiermee kan de gebruiker systeeminformatie over de externe computer weergeven. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Mag systeeminformatie-acties gebruiken
Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.
Raadpleeg Systeeminformatie bekijken op het externe eindpunt voor meer informatie.
Register-toegang
Regels voor registertoegang
Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.
Zie voor meer informatie Toegang tot de register-editor op het externe eindpunt.
Standaard scripts
Regels voor standaard scripts
Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Raadpleeg De opdrachtshell op het externe eindpunt openen met behulp van de Access Console voor meer informatie.
Gedrag voor beëindigen van sessie
U kunt kiezen wat er moet worden gedaan als u binnen de in Time-out voor nieuwe verbinding ingestelde periode niet opnieuw verbinding kunt krijgen. Om ervoor te zorgen dat de eindgebruiker niet-geautoriseerde rechten krijgt na een opgewaardeerde sessie, moet u de client zo instellen dat bij het beëindigen van een sessie met een externe Windows computer de eindgebruiker automatisch wordt uitgelogd, de externe computer op slot gaat of dat er niets gebeurt. Deze regels gelden niet voor sessies waarin de browser wordt gedeeld.
Hiermee kunnen gebruikers deze instelling per sessie overschrijven
U kunt tijdens een sessie vanaf het tabblad Samenvatting in de console een gebruiker toestaan de instelling voor het afsluiten van de sessie te overschrijven.
Beschikbaarheidsinstellingen
Inlogschema
Beperk inloggen van gebruiker aan de hand van het volgende rooster
Stel een schema in om te bepalen wanneer gebruikers kunnen inloggen bij de access console. Stel de tijdzone in die u voor dit rooster wilt gebruiker en voeg vervolgens een of meer roostervermeldingen toe. Stel voor elke vermelding de startdatum en -tijd en de einddatum en -tijd in.
Als bijvoorbeeld de begintijd is ingesteld op 08.00 uur en de eindtijd op 17.00 uur, dan kan een gebruiker op elk tijdstip in deze periode inloggen en kan blijven doorwerken tot na de eindtijd. De gebruiker kan echter na 17.00 uur niet opnieuw inloggen.
Forceer uitloggen als het schema inloggen niet toestaat
Als strengere toegangscontrole is vereist, dan moet u deze optie aanvinken. Hierdoor wordt de gebruiker geforceerd op de geplande eindtijd uit te loggen. In dit geval ontvangt de gebruiker herhaalde berichten vanaf 15 minuten voordat de sessie wordt beëindigd. Wanneer de gebruiker uitgelogd wordt, volgen eventuele eigen sessies de sessieterugval-regels.
Lidmaatschappen
Lidmaatschap van teams toevoegen
Zoek naar teams waartoe leden van dit groepsbeleid moeten behoren. U kunt de rol op Teamlid, Teamleider of Teammanager instellen. Deze rollen spelen een belangrijke rol in de Dashboard-functie van de access console. Klik op Toevoegen.
De toegevoegde leden worden in een tabel weergegeven. U kunt de rol van teamleden bewerken of het team van de lijst verwijderen.
Lidmaatschap van teams verwijderen
Zoek naar teams waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde teams worden in een tabel weergegeven. U kunt een team van de lijst verwijderen.
Jumpoint-lidmaatschap toevoegen
Zoek naar Jumpoints waartoe leden van dit groepsbeleid toegang moeten hebben en klik vervolgens op Toevoegen. De toegevoegde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.
Jumpoint-lidmaatschap verwijderen
Zoek naar Jumpoints waarvan leden van dit groepsbeleid niet mogen worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.
Jumpgroep-lidmaatschappen toevoegen
Zoek naar Jumpgroepen waar leden van dit groepsbeleid bij moeten horen. U kunt voor elke gebruiker de Jumpitemrol instellen zodat hun machtigingen specifiek zijn ingesteld voor Jumpitems in deze Jumpgroep. Of u gebruikt de standaard Jumpitemrollen van de gebruiker die in dit groepsbeleid of op de pagina Gebruikers en beveiliging > Gebruikers zijn ingesteld. Een Jumpitem-rol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van Jumpitems.
Raadpleeg Jump-itemrollen gebruiken om machtigingssets te configureren voor Jump-items voor meer informatie.
U kunt ook een Jumpbeleid toepassen om de toegang van gebruikers tot de Jumpitems in deze Jumpgroep te beheren. Als u in plaats hiervan Op Jumpitem ingesteld selecteert, wordt het Jumpbeleid toegepast op het Jumpitem zelf. Jump-beleidslijnen worden op de pagina Jump > Jump-beleidslijnen geconfigureerd en bepalen welke periodes een gebruiker toegang heeft tot dit Jumpitem. Er kan ook een kennisgeving worden verzonden als het Jumpbeleid wordt benaderd of er kan toestemming moeten worden gevraagd om het te benaderen. Als er op de gebruiker of het Jumpitem geen Jumpbeleid is toegepast, is de toegang tot dit Jumpitem onbeperkt.
Raadpleeg Jump-beleidslijnen maken om toegang tot Jumpitems te beheren voor meer informatie.
De toegevoegde Jumpgroepen worden in een tabel weergegeven. U kunt de instellingen van een Jumpgroep bewerken of de Jumpgroep van de lijst verwijderen.
Jumpgroep-lidmaatschappen verwijderen
Zoek naar Jumpgroepen waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpgroepen worden in een tabel weergegeven. U kunt een Jumpgroep van de lijst verwijderen.
Accountlidmaatschappen voor Vault toevoegen
Zoek een account, selecteer de Vault-accountrol en klik vervolgens op Toevoegen om leden van het beleid toegang te verlenen tot het geselecteerde vault-account. Andere groepsbeleidslijnen kunnen lidmaatschappen van gebruikers toevoegen. Bekijk Vault > Accounts om alle leden binnen elk account te zien. Gebruikers kunnen een van deze twee rollen toegewezen krijgen voor het gebruik van het vault-account:
- Injecteren (standaardwaarde): Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies.
- Injecteren en uitchecken: Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies en het account uitchecken op /login. De machtiging Uitchecken heeft geen invloed op generieke SSH-accounts.
Activeer de machtiging Vault-accountlidmaatschappen toevoegen om een Vault-accountrol aan een vault-account in een groepsbeleid toe te wijzen. De Vault-accountrol is zichtbaar in de lijst met accounts die worden toegevoegd aan het groepsbeleid.
Accountgroepslidmaatschappen voor Vault toevoegen
Zoek een accountgroep, selecteer de Vault-accountrol en klik vervolgens op Toevoegen om leden van het beleid toegang te verlenen tot de groep met vault-accounts. Andere groepsbeleidslijnen kunnen lidmaatschappen van gebruikers toevoegen. Bekijk Vault > Accountgroepen om alle leden binnen elke groep te zien. Gebruikers kunnen een van deze twee rollen toegewezen krijgen voor het gebruik van de groep vault-accounts:
- Injecteren (standaardwaarde): Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies.
- Injecteren en uitchecken: Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies en het account uitchecken op /login. De machtiging Uitchecken heeft geen invloed op generieke SSH-accounts.
Activeer de machtiging Vault-accountgroep toevoegen om een Vault-accountrol aan een groep met vault-accounts in een groepsbeleid toe te wijzen. De Vault-accountrol is zichtbaar in de lijst met accountgroepen die worden toegevoegd aan het groepsbeleid.
Opslaan
Klik op Opslaan om het beleid te effectueren.
Beleid exporteren
U kunt een groepsbeleid vanuit een site exporteren en die machtigingen naar een beleid op een andere site importeren. Bewerk het beleid dat u wilt exporteren en ga naar de onderkant van de pagina. Klik op Beleid exporteren en sla het bestand op.
Als u een groepsbeleid exporteert worden alleen de beleidsnaam, accountinstellingen en machtigingen geëxporteerd. Beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen worden bij het exporteren niet meegenomen.
Beleid importeren
U kunt geëxporteerde beleidsinstellingen naar een andere BeyondTrust-site importeren die het importeren van groepsbeleid ondersteunt. Maak een nieuw groepsbeleid aan of bewerk een bestaand beleid waarvan u de machtigingen wilt overschrijven en ga naar het onderdeel Beleid importeren onderaan de pagina. Klik op Beleidsbestand selecteren, blader naar het beleidsbestand en klik vervolgens op Openen. Nadat het beleidsbestand is geüpload wordt de pagina vernieuwd waarna u wijzigingen kunt aanbrengen. Klik op Opslaan om het groepsbeleid te effectueren.
Als u een beleidsbestand in een bestaand groepsbeleid importeert, dan worden eventuele eerder gedefinieerde machtigingen overschreven, met uitzondering van beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen.