Groepsbeleidslijnen: Gebruikersmachtigingen op groepen gebruikers toepassen

Gebruikers en beveiliging

Groepsbeleidslijnen

Groepsbeleidslijnen

Op de pagina Groepsbeleidslijnen kunt u groepen gebruikers instellen die dezelfde rechten delen.

Nieuw beleid toevoegen, bewerken, verwijderen

Maak een nieuw beleid aan, wijzig een bestaand beleid of verwijder een bestaand beleid.

Er verschijnt een waarschuwing als u het groepsbeleid bewerkt dat het standaard beleid is voor de lokale provider of als de groep beheerdergebruikers heeft en u beheerdersmachtigingen verwijdert. Zorg ervoor dat andere gebruikers beheerdersmachtigingen hebben voordat u verdergaat.

Volgorde veranderen

Klik op de knop Volgorde wijzigen om groepsbeleidslijnen te slepen en neer te zetten om de prioriteiten ervan in te stellen. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren. Als meerdere beleidslijnen van toepassing zijn voor een bepaalde gebruiker, gelden de machtigingen beginnend vanaf de bovenkant van de lijst Groepsbeleidslijnen, en vervolgens verderop in de lijst. Als een machtiging conflicteert met een machtiging uit een groepsbeleid dat hoger in de lijst staat, dan overschrijft de lagere machtiging de hogere machtiging, tenzij de hogere als Definitief stond ingesteld. Kort gezegd: groepsbeleidslijnen die lager in de lijst staan, hebben een hogere functionele prioriteit dan groepsbeleidslijnen die hoger in de lijst staan.

Groepsbeleidslijnen zoeken

U kunt een bestaand beleid snel vinden in de lijst Groepsbeleid door de naam of een deel van de naam in te voeren. De lijst filtert alle beleidsregels waarvan de naam de ingevoerde zoekterm bevat. De lijst blijft gefilterd totdat de zoekterm wordt verwijderd – ook als de gebruiker andere pagina's bezoekt of zich afmeldt. Klik op de X rechts in het zoekvak om de zoekterm te verwijderen.

Als u op de knop Volgorde veranderen klikt nadat u in de lijst hebt gezocht, worden alle groepsbeleidslijnen weergegeven. U kunt de groepsbeleidslijnen verslepen om hun prioriteit te bepalen. Als u op Volgorde opslaan klikt, worden de wijzigingen toegepast en retourneert de lijst alle beleidslijnen waarvan de naam de ingevoerde zoekterm bevat.

Alles uitvouwen/Alles samenvouwen

Klik op de link Alles uitvouwen boven het raster om de details van alle getoonde groepsbeleidslijnen uit te vouwen, zodat u gemakkelijker kunt zoeken en navigeren. Klik op Alles samenvouwen om terug te keren naar de niet-uitgevouwen lijst met groepsbeleidslijnen.

Kopiëren

Om het aanmaken van gelijksoortige beleidslijnen te versnellen, kunt u op Kopiëren klikken om een nieuwe beleidslijn aan te maken met identieke instellingen. U kunt deze nieuwe beleidslijn dan bewerken om aan uw wensen te voldoen.

Beleid toevoegen of bewerken

Naam beleid

Maak een unieke naam aan om dit beleid te identificeren.

Beschikbare leden en beleidsleden

Om leden toe te wijzen, selecteert u een lid uit de lijst met Beschikbare leden en klikt u op Toevoegen om het lid te verplaatsen naar het vak met Beleidsleden. Gebruik het vak Zoeken om bestaande leden te vinden.

U kunt gebruikers van uw lokale systeem of gebruikers of hele groepen van geconfigureerde beveiligingsproviders selecteren. Om gebruikers of groepen vanuit een extern adreslijstarchief toe te voegen zoals LDAP, RADIUS of Kerberos, moet u eerst op de pagina /login > Gebruikers en beveiliging > Beveiligingsproviders de verbinding configureren. Als een poging om een gebruiker van een geconfigureerde beveiligingsprovider toe te voegen ongeldig is, dan verschijnt er hier en in de logboekregistratie een melding van een synchronisatiefout.

Accountinstellingen

Welke accountinstellingen moet dit groepsbeleid beheren?

Selecteer voor elke instelling of die in dit beleid moet worden gedefinieerd of dat de instelling voor individuele gebruikers moet worden geconfigureerd. Als de instelling hier moet worden gedefinieerd, dan kunt u die machtiging niet voor een individuele gebruiker vanaf diens accountpagina wijzigen.

Als u een beleid hebt dat een machtiging definieert en u wilt dat geen enkel beleid die machtiging kan overschrijven, dan moet u selecteren dat dat beleid niet kan worden overschreven en moet het beleid een hogere prioriteit hebben dan andere beleidslijnen die ook die instelling definiëren.

Verificatie in twee stappen

Bij verificatie in twee stappen (two-factor authentication of 2FA) wordt gebruik gemaakt van een verificatie-app waarmee een op tijd gebaseerde eenmalig code wordt gegenereerd. Met deze code kunt u vervolgens bij de beheerinterface en de toegangsconsole inloggen. Als Vereist is geselecteerd, worden gebruikers gevraagd te registreren en de volgende keer dat ze inloggen 2FA te gebruiken. Als Optioneel is geselecteerd, krijgen gebruikers de keuze om 2FA te gebruiken, maar zijn ze dat niet verplicht.

Verlopen van account

Account vervalt nooit als dit is aangevinkt. Er moet een vervaldatum voor het account zijn ingesteld als dit niet is aangevinkt.

Account uitgeschakeld

Hiermee kunt u het account uitschakelen, zodat de gebruiker niet kan inloggen. Als een account wordt uitgeschakeld, wordt dit NIET verwijderd.

Opmerkingen

Voeg commentaar toe om aan te geven wat het doel is van dit object.

Algemene machtigingen

Welke algemene instellingen moet dit groepsbeleid beheren?

Selecteer voor elke instelling of die in dit beleid moet worden gedefinieerd of dat de instelling voor individuele gebruikers moet worden geconfigureerd. Als de instelling hier moet worden gedefinieerd, dan kunt u die machtiging niet voor een individuele gebruiker vanaf diens accountpagina wijzigen.

Als u een beleid hebt dat een machtiging definieert en u wilt dat geen enkel beleid die machtiging kan overschrijven, dan moet u selecteren dat dat beleid niet kan worden overschreven en moet het beleid een hogere prioriteit hebben dan andere beleidslijnen die ook die instelling definiëren.

Beheer
Beheerdersrechten

Hierdoor krijgt de gebruiker volledige beheerdersrechten.

Beheerdersrechten Vault

Stelt gebruikers in staat om toegang te krijgen tot de Vault.

Instelling voor wachtwoord

Hierdoor kan de gebruiker wachtwoorden instellen en accounts ontgrendelen voor lokale gebruikers die geen beheerder zijn.

Jumpoint bewerken

Hierdoor mogen gebruikers Jumpoints aanmaken of bewerken. Deze optie heeft geen invloed op de mogelijkheid voor de gebruikers om via Jumpoints toegang tot externe computers te krijgen. Dat wordt via beleid op Jumpoint- of groepsniveau geconfigureerd.

Bewerking van team

Hierdoor kunnen gebruikers teams aanmaken of bewerken.

Jumpgroep bewerken

Biedt gebruikers de mogelijkheid Jumpgroepen aan te maken of te bewerken.

Standaard script bewerken

Hierdoor kan de gebruiker standaard scripts aanmaken of bewerken die worden gebruikt in sessies met scherm delen of met opdrachtshell.

Bewerking van aangepaste link

Hierdoor kan de gebruiker aangepaste koppelingen aanmaken of bewerken.

Rapportage
Toegang tot sessie- en teamrapporten

Stelt de gebruiker in staat om rapporten van toegangssessies te bekijken. Afhankelijk van de geselecteerde optie kunnen gebruikers hun eigen sessies, hun Jumpgroepsessies of alle sessies bekijken.

Mag rapporten van toegangssessies bekijken

Hierdoor kan de gebruiker rapporten maken over toegangssessie-activiteiten, alleen sessies weergeven waarvan hij of zij de primaire sessie-eigenaar is, alleen sessies weergeven voor eindpunten die tot een Jumpgroep behoren waarvan de gebruiker een lid is, of alle sessies weergeven.

Mag Toegangssessie-opnamen bekijken

Hierdoor kan een gebruiker opnames bekijken van sessies met scherm delen en van sessies met opdrachtshell.

Toegang tot Vault-rapporten

Stelt de gebruiker in staat om Vault-rapporten te bekijken. Afhankelijk van de geselecteerde optie kunnen gebruikers hun eigen sessies of alle sessies bekijken.

Mag Vault-rapporten zien

Hiermee kan de gebruiker zijn of haar eigen Vault-gebeurtenissen of alle Vault-gebeurtenissen weergeven.

Mag syslog-rapporten bekijken

Hiermee kan de gebruiker een zip-bestand downloaden dat alle op het apparaat beschikbare syslog-bestanden bevat. Beheerders hebben automatisch machtigingen om dit rapport te openen. Gebruikers zonder beheerdersrechten moeten toegang aanvragen om dit rapport te kunnen weergeven.

Toegangsmachtigingen
Mag eindpunten benaderen

Hierdoor mag de gebruiker de toegangsconsole gebruiken om sessies uit te voeren. Als toegang tot een eindpunt is ingeschakeld, dan zijn er ook opties beschikbaar die betrekking hebben op toegang tot een eindpunt.

Sessiebeheer
Mag sessies delen met teams waarvan hij/zij geen deel uitmaakt

Hierdoor kan de gebruiker behalve zijn of haar teamleden ook een minder beperkte groep gebruikers uitnodigen om sessies te delen. Samen met de machtiging Uitgebreide beschikbaarheid vormt deze machtiging een uitbreiding van de mogelijkheden om sessies te delen.

Mag externe gebruikers uitnodigen

Hierdoor kan de gebruiker een gebruiker van een derde partij uitnodigen eenmalig aan een sessie deel te nemen.

Toegestaan om uitgebreide beschikbaarheid-modus in te schakelen

Hierdoor kan de gebruiker e-mailuitnodigingen van andere gebruikers ontvangen met het verzoek een sessie te delen, ook als hij of zij niet bij de toegangsconsole is ingelogd.

Mag de externe code bewerken

Staat de gebruiker toe om de externe sleutel te wijzigen vanaf het informatiedeelvenster van een sessie binnen de toegangsconsole.

Scherm delen van gebruiker tot gebruiker
Mag scherm tonen aan andere gebruikers

Hierdoor kan een gebruiker zijn of haar scherm delen met een andere gebruiker zonder dat de ontvanger zich voor een sessie hoeft aan te melden. Deze optie is zelfs beschikbaar als de gebruiker niet in een sessie is.

Mag besturing geven tijdens tonen van scherm aan andere gebruikers

Hierdoor kan de gebruiker tijdens scherm delen de besturing over muis en toetsenbord aan de gebruiker geven die zijn of haar scherm bekijkt.

Jump-technologie
Toegestane Jumpitem-methodes

Hiermee kan de gebruiker een Jump uitvoeren naar computers via Jump-clients, Lokale Jump op het lokale netwerk, Externe Jump via een Jumpoint, Externe VNC via een Jumpoint, Extern RDP via een Jumpoint, Web Jump via een Jumpoint, Shell Jump via een Jumpoint en Jump via tunnelprotocol via een Jumpoint.

Jumpitem-rollen

Een Jumpitem-rol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van Jumpitems. Klik voor elke optie op Tonen om de Jumpitem-rol in een nieuw tabblad te openen.

De Standaard rol wordt alleen gebruikt als Standaard van gebruiker toepassen is ingesteld voor een bepaalde gebruiker in een Jumpgroep.

De Persoonlijke rol is alleen van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van de gebruiker.

De Teams-rol is van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van een teamlid met een lagere rol. Een teammanager kan bijvoorbeeld de persoonlijke Jumpitems van teamleiders en teamleden bekijken. En een teamleider kan de persoonlijke Jumpitems van teamleden bekijken.

De Systeem-rol is van toepassing op alle andere Jumpitems in het systeem. Voor de meeste gebruikers moet dit worden ingesteld op Geen toegang. Als een andere optie is ingesteld, worden gebruikers toegevoegd aan Jumpgroepen waar ze normaal niet aan zouden worden toegewezen. Ook kunnen zij in de toegangsconsole de lijst met persoonlijke Jumpitems van niet-leden zien.

Sessietoestemmingen

Stel de prompts en de machtigingsregels in die voor de sessies van deze gebruiker moeten gelden. Kies een bestaand sessiebeleid of definieer aangepaste machtigingen voor deze gebruiker. Als u Niet gedefinieerd specificeert, dan wordt het algemene standaard beleid gebruikt. Deze machtigingen kunnen door een beleid met hogere prioriteit worden overschreven.

Beschrijving

Bekijk de beschrijving van een vooraf gedefinieerd beleid voor sessietoestemming.

Scherm delen
Regels voor scherm delen

Selecteer de toegang tot het externe systeem voor de ondersteuningstechnicus en de externe gebruiker:

  • In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
  • Weigeren schakelt scherm delen uit.
  • Met Alleen weergeven mag de ondersteuningstechnicus het scherm weergeven.
  • Met Weergeven en besturen mag de ondersteuningstechnicus het systeem bekijken en acties uitvoeren. Als deze optie is geselecteerd, kunnen er beperkingen voor het eindpunt worden ingesteld om inmenging door de externe gebruiker te voorkomen:
    • Geen stelt geen beperkingen in voor het externe systeem.
    • Beeldscherm, muis en toetsenbord schakelt deze invoer uit. Als deze optie is geselecteerd, wordt er een selectievakje weergegeven voor Automatisch een privacyscherm aanvragen bij start van sessie. Het privacyscherm is alleen beschikbaar voor sessies die zijn gestart vanaf een Jump-client, een extern Jumpitem of een lokaal Jumpitem. We adviseren om het privacyscherm te gebruiken bij sessies zonder deelname. Het externe systeem moet het privacyscherm ondersteunen.

Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.

Klembordsynchronisatierichting

Selecteer hoe uitwisseling van klembordinhoud tussen gebruikers en eindpunten verloopt. De opties zijn:

  • Niet toegestaan: De gebruiker mag het klembord niet gebruiken, er worden geen klembordpictogrammen weergegeven in de toegangsconsole, en knippen en plakken werkt niet.
  • Van ondersteuningstechnicus naar klant toegestaan: De gebruiker kan klembordinhoud naar het eindpunt versturen, maar kan geen klembordinhoud van het eindpunt kopiëren en plakken. Alleen het klembordpictogram Verzenden wordt weergegeven in de toegangsconsole.
  • In beide richtingen toegestaan: Klembordinhoud kan in beide richtingen worden verzonden. De klembordpictogrammen Verzenden en Ontvangen worden weergegeven in de toegangsconsole.

Ga voor meer informatie over de Klembordsynchronisatiemodus naar Beveiliging: Beveiligingsinstellingen beheren.

Beperkingen voor het delen van een toepassing

Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.

Deze functie is alleen van toepassing op Windows-besturingssystemen.

Nieuwe uitvoerbare bestanden toevoegen

Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.

Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.

Voer bestandsnamen of SHA-256 hashes in, één per regel

Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Naar een of meer bestanden bladeren

Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.

Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.

Toegestane eindpuntbeperkingen

Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het extern bureaublad niet wordt weergegeven.

Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.

Annotaties
Regels voor annotaties

Hierdoor kan de gebruiker hulpmiddelen voor annotaties gebruiken om op het externe scherm te tekenen. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Zie voor meer informatie Annotaties gebruiken om op het externe scherm van het eindpunt te tekenen.

Bestandsoverdracht
Regels voor bestandsoverdracht

Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegankelijke paden op het bestandssysteem van het eindpunt

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.

Toegankelijke paden op het bestandssysteem van de gebruiker

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.

Zie voor meer informatie Bestandsoverdracht naar en van het externe eindpunt.

Opdrachtshell
Regels voor opdrachtshell

Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.

Configureer opdrachtfiltering om het per ongeluk gebruiken van opdrachten die schadelijk kunnen zijn voor de eindpuntsystemen te voorkomen.

Raadpleeg Shell-jump gebruiken om toegang tot een apparaat in een extern netwerk te krijgen voor meer informatie over het filteren van opdrachten.

Zie voor meer informatie De opdrachtshell op het externe eindpunt openen met behulp van de toegangsconsole.

Systeeminformatie
Regels voor systeeminformatie

Hiermee kan de gebruiker systeeminformatie over de externe computer weergeven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Mag systeeminformatie-acties gebruiken

Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.

Raadpleeg Systeeminformatie bekijken op het externe eindpunt voor meer informatie.

Register-toegang
Regels voor register-toegang

Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.

Zie voor meer informatie Toegang tot de register-editor op het externe eindpunt.

Standaard scripts
Regels voor standaard scripts

Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Raadpleeg De opdrachtshell op het externe eindpunt openen met behulp van de Toegangsconsole voor meer informatie.

Gedrag voor beëindigen van sessie

U kunt kiezen wat er moet worden gedaan als u binnen de in Time-out voor nieuwe verbinding ingestelde periode niet opnieuw verbinding kunt krijgen. Om ervoor te zorgen dat de eindgebruiker geen niet-geautoriseerde rechten krijgt na een opgewaardeerde sessie, moet u de client zo instellen dat bij het beëindigen van een sessie met een externe Windows-computer de eindgebruiker automatisch wordt uitgelogd, de externe computer op slot gaat of dat er niets gebeurt. Deze regels gelden niet voor sessies waarin de browser wordt gedeeld.

Hiermee kunnen gebruikers deze instelling per sessie overschrijven

U kunt tijdens een sessie vanaf het tabblad Samenvatting in de console een gebruiker toestaan de instelling voor het afsluiten van de sessie te overschrijven.

Beschikbaarheidsinstellingen

Inlogschema
Beperk inloggen van gebruiker aan de hand van het volgende rooster

Stel een schema in om te bepalen wanneer gebruikers kunnen inloggen bij de toegangsconsole. Stel de tijdzone in die u voor dit rooster wilt gebruiken en voeg vervolgens een of meer roostervermeldingen toe. Stel voor elke vermelding de startdatum en -tijd en de einddatum en -tijd in.

Als bijvoorbeeld de begintijd is ingesteld op 08.00 uur en de eindtijd op 17.00 uur, dan kan een gebruiker op elk tijdstip in deze periode inloggen en kan blijven doorwerken tot na de eindtijd. De gebruiker kan echter na 17.00 uur niet opnieuw inloggen.

Forceer uitloggen als het schema inloggen niet toestaat

Als strengere toegangscontrole is vereist, dan moet u deze optie aanvinken. Hierdoor wordt de gebruiker geforceerd op de geplande eindtijd uit te loggen. In dit geval ontvangt de gebruiker herhaalde berichten vanaf 15 minuten voordat de sessie wordt beëindigd. Wanneer de gebruiker uitgelogd wordt, volgen eventuele eigen sessies de sessieterugval-regels.

Lidmaatschappen

Lidmaatschap van teams toevoegen

Zoek naar teams waartoe leden van dit groepsbeleid moeten behoren. U kunt de rol op Teamlid, Teamleider of Teammanager instellen. Deze rollen spelen een belangrijke rol in de Dashboard-functie van de toegangsconsole. Klik op Toevoegen.

De toegevoegde leden worden in een tabel weergegeven. U kunt de rol van teamleden bewerken of het team van de lijst verwijderen.

Lidmaatschap van teams verwijderen

Zoek naar teams waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde teams worden in een tabel weergegeven. U kunt een team van de lijst verwijderen.

Jumpoint-lidmaatschap toevoegen

Zoek naar Jumpoints waartoe leden van dit groepsbeleid toegang moeten hebben en klik vervolgens op Toevoegen. De toegevoegde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.

Jumpoint-lidmaatschap verwijderen

Zoek naar Jumpoints waarvan leden van dit groepsbeleid niet mogen worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpoints worden in een tabel weergegeven. U kunt een Jumpoint van de lijst verwijderen.

Jumpgroep-lidmaatschappen toevoegen

Zoek naar Jumpgroepen waar leden van dit groepsbeleid bij moeten horen. U kunt voor elke gebruiker de Jumpitem-rol instellen zodat hun machtigingen specifiek zijn ingesteld voor Jumpitems in deze Jumpgroep. Of u gebruikt de standaard Jumpitem-rollen van de gebruiker die in dit groepsbeleid of op de pagina Gebruikers en beveiliging > Gebruikers zijn ingesteld. Een Jumpitem-rol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van Jumpitems.

Raadpleeg Jumpitem-rollen gebruiken om machtigingssets te configureren voor Jumpitems voor meer informatie.

U kunt ook een Jump-beleid toepassen om de toegang van gebruikers tot de Jumpitems in deze Jumpgroep te beheren. Als u in plaats hiervan Op Jumpitem ingesteld selecteert, wordt het Jump-beleid toegepast op het Jumpitem zelf. Jump-beleidslijnen worden op de pagina Jump > Jump-beleidslijnen geconfigureerd en bepalen welke periodes een gebruiker toegang heeft tot dit Jumpitem. Er kan ook een kennisgeving worden verzonden als het Jump-beleid wordt benaderd of er kan toestemming moeten worden gevraagd om het te benaderen. Als er op de gebruiker of het Jumpitem geen Jump-beleid is toegepast, is de toegang tot dit Jumpitem onbeperkt.

Raadpleeg Jump-beleidslijnen maken om toegang tot Jumpitems te beheren voor meer informatie.

De toegevoegde Jumpgroepen worden in een tabel weergegeven. U kunt de instellingen van een Jumpgroep bewerken of de Jumpgroep van de lijst verwijderen.

Jumpgroep-lidmaatschappen verwijderen

Zoek naar Jumpgroepen waarvan leden van dit groepsbeleid moeten worden verwijderd en klik vervolgens op Toevoegen. De verwijderde Jumpgroepen worden in een tabel weergegeven. U kunt een Jumpgroep van de lijst verwijderen.

Accountlidmaatschappen voor Vault toevoegen

Zoek een account, selecteer de Vault-accountrol en klik vervolgens op Toevoegen om leden van het beleid toegang te verlenen tot het geselecteerde vault-account. Andere groepsbeleidslijnen kunnen lidmaatschappen van gebruikers toevoegen. Bekijk Vault > Accounts om alle leden binnen elk account te zien. Gebruikers kunnen een van deze twee rollen toegewezen krijgen voor het gebruik van het vault-account:

  • Injecteren: (standaardwaarde) Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies.
  • Injecteren en uitchecken: Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies en het account uitchecken op /login. De machtiging Uitchecken heeft geen invloed op generieke SSH-accounts.

Activeer de machtiging Vault-accountlidmaatschappen toevoegen om een Vault-accountrol aan een vault-account in een groepsbeleid toe te wijzen. De Vault-accountrol is zichtbaar in de lijst met accounts die worden toegevoegd aan het groepsbeleid.

Accountgroepslidmaatschappen voor Vault toevoegen

Zoek een accountgroep, selecteer de Vault-accountrol en klik vervolgens op Toevoegen om leden van het beleid toegang te verlenen tot de groep met vault-accounts. Andere groepsbeleidslijnen kunnen lidmaatschappen van gebruikers toevoegen. Bekijk Vault > Accountgroepen om alle leden binnen elke groep te zien. Gebruikers kunnen een van deze twee rollen toegewezen krijgen voor het gebruik van de groep vault-accounts:

  • Injecteren: (standaardwaarde) Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies.
  • Injecteren en uitchecken: Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies en het account uitchecken op /login. De machtiging Uitchecken heeft geen invloed op generieke SSH-accounts.

Activeer de machtiging Vault-accountgroep toevoegen om een Vault-accountrol aan een groep met vault-accounts in een groepsbeleid toe te wijzen. De Vault-accountrol is zichtbaar in de lijst met accountgroepen die worden toegevoegd aan het groepsbeleid.

Opslaan

Klik op Opslaan om het beleid te effectueren.

Beleid exporteren

U kunt een groepsbeleid vanuit een site exporteren en die machtigingen naar een beleid op een andere site importeren. Bewerk het beleid dat u wilt exporteren en ga naar de onderkant van de pagina. Klik op Beleid exporteren en sla het bestand op.

Als u een groepsbeleid exporteert worden alleen de beleidsnaam, accountinstellingen en machtigingen geëxporteerd. Beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen worden bij het exporteren niet meegenomen.

Beleid importeren

U kunt geëxporteerde beleidsinstellingen naar een andere BeyondTrust-site importeren die het importeren van groepsbeleid ondersteunt. Maak een nieuw groepsbeleid aan of bewerk een bestaand beleid waarvan u de machtigingen wilt overschrijven en ga naar het onderdeel Beleid importeren onderaan de pagina. Klik op Beleidsbestand selecteren, blader naar het beleidsbestand en klik vervolgens op Openen. Nadat het beleidsbestand is geüpload wordt de pagina vernieuwd waarna u wijzigingen kunt aanbrengen. Klik op Opslaan om het groepsbeleid te effectueren.

Als u een beleidsbestand in een bestaand groepsbeleid importeert, dan worden eventuele eerder gedefinieerde machtigingen overschreven, met uitzondering van beleidsleden, teamlidmaatschappen en Jumpoint-lidmaatschappen.