Gebruikers en beveiliging

Gebruikers: Accountmachtigingen toevoegen voor een gebruiker of beheerder

Gebruikers en beveiliging

Gebruikers

Gebruikersaccounts

Bekijk informatie over alle gebruikers die toegang tot uw B Series Appliance hebben, inclusief alle lokale gebruikers en de gebruikers die toegang hebben via integratie met een beveiligingsprovider.

Gebruiker toevoegen, bewerken, verwijderen

Maak een nieuwe account aan, wijzig een bestaande account of verwijder een bestaande account. U kunt uw eigen account niet verwijderen.

Naar gebruikers zoeken

Zoek naar een specifiek gebruikersaccount op basis van gebruikersnaam, schermnaam of e-mailadres.

Beveiligingsprovider

Selecteer een type beveiligingsprovider in het vervolgkeuzemenu om de lijst met gebruikers te filteren op beveiligingsprovider.

Synchroniseren

Synchroniseer de gebruikers en groepen die met een externe beveiligingsprovider geassocieerd zijn. De synchronisatie wordt eenmaal per dag automatisch uitgevoerd. Als u op deze knop klikt, wordt de synchronisatie handmatig uitgevoerd.

Mislukte inlogpogingen opnieuw instellen en account deblokkeren

Als een gebruiker een of meer mislukte aanmeldpogingen heeft gedaan, kunt u op de knop Opnieuw instellen naast het gebruikersaccount klikken om het aantal terug te zetten op 0.

Als een gebruiker vanwege te veel achtereenvolgende mislukte aanmeldpogingen wordt geblokkeerd, kunt u op de knop Account deblokkeren naast het gebruikersaccount klikken om het aantal terug te zetten op 0 en het account te deblokkeren.

Gebruiker toevoegen of bewerken

Gebruikersnaam

Unieke identificatie om in te loggen.

Schermnaam

De naam van de gebruiker zoals deze in teamchats, rapporten e.d. wordt weergegeven.

E-mailadres

Stel het e-mailadres in waarnaar e-mailberichten moeten worden verzonden, zoals voor het opnieuw instellen van het wachtwoord of waarschuwingen over de modus voor uitgebreide beschikbaarheid.

Wachtwoord

Wachtwoord dat in combinatie met de gebruikersnaam wordt gebruikt om aan te melden. U kunt het wachtwoord net zo instellen als u wilt, als de tekenreeks maar voldoet aan het beleid zoals het gedefinieerd is op de pagina /login > Beheer > Beveiliging.

E-mail voor het opnieuw instellen van het wachtwoord naar gebruiker verzenden

Wanneer deze optie is ingeschakeld, kunnen beheerders een link naar een gebruiker sturen waarmee deze het wachtwoord opnieuw kan instellen.

Moet wachtwoord opnieuw instellen bij volgende login

Als deze optie geselecteerd is, moet de gebruiker zijn of haar wachtwoord bij de volgende login opnieuw instellen.

Het wachtwoord vervalt nooit

Vink dit selectievakje aan om in te stellen dat het wachtwoord van de gebruiker nooit vervalt.

Verloopdatum wachtwoord

Stel een vervaldatum in voor het wachtwoord.

Lidmaatschappen

Op het moment dat de nieuwe gebruiker wordt aangemaakt, wordt het gedeelte Lidmaatschappen nog niet weergegeven. Zodra de nieuwe gebruiker echter is opgeslagen, verschijnt er een nieuw gedeelte Lidmaatschappen met eventuele groepsbeleidslijnen of teams waar de gebruiker wellicht aan toegevoegd is.

Lidmaatschappen van groepsbeleid

Overzicht van de groepsbeleidslijnen waar deze gebruiker toe behoort.

Teamlidmaatschappen

Overzicht van de teams waar de gebruiker toe behoort.

Jumpoint-lidmaatschappen

Overzicht van de Jumpoints waar de gebruiker toe behoort.

Lidmaatschappen van Jumpgroepen

Overzicht van de Jumpgroepen waar de gebruiker toe behoort.

Accountinstellingen

Verificatie in twee stappen

ABij verificatie in twee stappen (2FA) wordt gebruik gemaakt van een verificatie-app waarmee een op tijd gebaseerde, eenmalige code wordt gegenereerd. Met deze code kunt u vervolgens bij de beheerinterface en de toegangsconsole inloggen. Als Vereist is geselecteerd, worden gebruikers gevraagd te registreren en de volgende keer dat ze inloggen 2FA te gebruiken. Als Optioneel is geselecteerd, krijgen gebruikers de keuze om 2FA te gebruiken, maar zijn ze dat niet verplicht. Klik op Huidige verificatie-app verwijderen als u wilt dat een gebruiker een bepaalde verificator niet meer gebruikt.

Account vervalt nooit

Account vervalt nooit als dit is aangevinkt. Er moet een vervaldatum voor het account zijn ingesteld als dit niet is aangevinkt.

Verloopdatum account

Hierdoor vervalt het account na een ingestelde datum.

Account uitgeschakeld

Hiermee kunt u het account uitschakelen, zodat de gebruiker niet kan inloggen. Als een account wordt uitgeschakeld, wordt dit NIET verwijderd.

Opmerkingen

Voeg commentaar toe om aan te geven wat het doel is van dit object.

Algemene machtigingen

Beheer
Beheerdersrechten

Hierdoor krijgt de gebruiker volledige beheerdersrechten.

Mag Vault beheren

Stelt gebruikers in staat om toegang te krijgen tot de Vault.

Instelling voor wachtwoord

Hierdoor kan de gebruiker wachtwoorden instellen en accounts ontgrendelen voor lokale gebruikers die geen beheerder zijn.

Jumpoint bewerken

Hierdoor mogen gebruikers Jumpoints aanmaken of bewerken. Deze optie heeft geen invloed op de mogelijkheid voor de gebruikers om via Jumpoints toegang tot externe computers te krijgen. Dat wordt via beleid op Jumpoint- of groepsniveau geconfigureerd.

Bewerking van team

Hierdoor kunnen gebruikers teams aanmaken of bewerken.

Jumpgroep bewerken

Biedt gebruikers de mogelijkheid Jumpgroepen aan te maken of te bewerken.

Standaard script bewerken

Hierdoor kan de gebruiker standaard scripts aanmaken of bewerken die worden gebruikt in sessies met scherm delen of met opdrachtshell.

Bewerking van aangepaste link

Hierdoor kan de gebruiker aangepaste koppelingen aanmaken of bewerken.

Mag rapporten van toegangssessies bekijken

Hierdoor kan de gebruiker rapporten maken over toegangssessie-activiteiten, alleen sessies weergeven waarvan hij of zij de primaire sessie-eigenaar is, alleen sessies weergeven voor eindpunten die tot een Jumpgroep behoren waarvan de gebruiker een lid is, of alle sessies weergeven.

Mag Toegangssessie-opnamen bekijken

Hierdoor kan een gebruiker opnames bekijken van sessies met scherm delen en van sessies met opdrachtshell.

Mag Vault-rapporten zien

Hiermee kan de gebruiker zijn of haar eigen Vault-gebeurtenissen of alle Vault-gebeurtenissen weergeven.

Mag syslog-rapporten bekijken

Hiermee kan de gebruiker een zip-bestand downloaden dat alle op het apparaat beschikbare syslog-bestanden bevat. Beheerders hebben automatisch machtigingen om dit rapport te openen. Gebruikers zonder beheerdersrechten moeten toegang aanvragen om dit rapport te kunnen weergeven.

Toegangsmachtigingen

Toegang
Mag eindpunten benaderen

Hierdoor mag de gebruiker de toegangsconsole gebruiken om sessies uit te voeren. Als toegang tot een eindpunt is ingeschakeld, dan zijn er ook opties beschikbaar die betrekking hebben op toegang tot een eindpunt.

Sessiebeheer
Mag sessies delen met teams waarvan hij/zij geen deel uitmaakt

Hierdoor kan de gebruiker behalve zijn of haar teamleden ook een minder beperkte groep gebruikers uitnodigen om sessies te delen. Samen met de machtiging Uitgebreide beschikbaarheid vormt deze machtiging een uitbreiding van de mogelijkheden om sessies te delen.

Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.

Mag externe gebruikers uitnodigen

Hierdoor kan de gebruiker een gebruiker van een derde partij uitnodigen eenmalig aan een sessie deel te nemen.

Raadpleeg Een externe gebruiker uitnodigen om een toegangssessie bij te wonen voor meer informatie.

Toegestaan om uitgebreide beschikbaarheid-modus in te schakelen

Hierdoor kan de gebruiker e-mailuitnodigingen van andere gebruikers ontvangen met het verzoek een sessie te delen, ook als hij of zij niet bij de toegangsconsole is ingelogd.

Zie voor meer informatie Uitgebreide beschikbaarheid gebruiken om beschikbaar te blijven als u niet bent ingelogd.

Mag de externe code bewerken

Staat de gebruiker toe om de externe sleutel te wijzigen vanaf het informatiedeelvenster van een sessie binnen de toegangsconsole.

Raadpleeg Overzicht en hulpmiddelen voor toegangssessies voor meer informatie.

Scherm delen van gebruiker tot gebruiker

Raadpleeg Uw scherm delen met een andere gebruiker voor meer informatie.

Mag scherm tonen aan andere gebruikers

Hierdoor kan een gebruiker zijn of haar scherm delen met een andere gebruiker zonder dat de ontvanger zich voor een sessie hoeft aan te melden. Deze optie is zelfs beschikbaar als de gebruiker niet in een sessie is.

Mag besturing geven tijdens tonen van scherm aan andere gebruikers

Hierdoor kan de gebruiker tijdens scherm delen de besturing over muis en toetsenbord aan de gebruiker geven die zijn of haar scherm bekijkt.

Jump-technologie
Toegestane Jumpitem-methodes

Hiermee kan de gebruiker een Jump uitvoeren naar computers via Jump-clients, Lokale Jump op het lokale netwerk, Externe Jump via een Jumpoint, Externe VNC via een Jumpoint, Extern RDP via een Jumpoint, Web Jump via een Jumpoint, Shell Jump via een Jumpoint en Jump via tunnelprotocol via een Jumpoint.

Jumpitem-rollen

Een Jumpitem-rol is een van te voren gedefinieerde reeks machtigingen voor het beheer en gebruik van Jumpitems. Klik voor elke optie op Tonen om de Jumpitem-rol in een nieuw tabblad te openen.

De Standaard rol wordt alleen gebruikt als Standaard van gebruiker toepassen is ingesteld voor een bepaalde gebruiker in een Jumpgroep.

De Persoonlijke rol is alleen van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van de gebruiker.

De Teams-rol is van toepassing op Jumpitems die zijn vastgespeld aan de persoonlijke lijst met Jumpitems van een teamlid met een lagere rol. Een teammanager kan bijvoorbeeld de persoonlijke Jumpitems van teamleiders en teamleden bekijken. En een teamleider kan de persoonlijke Jumpitems van teamleden bekijken.

De Systeem-rol is van toepassing op alle andere Jumpitems in het systeem. Voor de meeste gebruikers moet dit worden ingesteld op Geen toegang. Als een andere optie is ingesteld, worden gebruikers toegevoegd aan Jumpgroepen waar ze normaal niet aan zouden worden toegewezen. Ook kunnen zij in de toegangsconsole de lijst met persoonlijke Jumpitems van niet-leden zien.

Een nieuwe Jumpitem-rol, Auditor geheten, wordt automatisch aangemaakt op nieuwe site-installaties. Op bestaande installaties moet deze rol worden aangemaakt. Deze rol heeft slechts één Rapporten weergeven-machtiging ingeschakeld, die de beheerder de optie biedt om een gebruiker toestemming te verlenen Jumpitem-rapporten uit te voeren, zonder dat er een andere machtiging verleend hoeft te worden.

Raadpleeg Jumpitem-rollen gebruiken om machtigingssets te configureren voor Jumpitems voor meer informatie.

Sessietoestemmingen

Stel de prompts en de machtigingsregels in die voor de sessies van deze gebruiker moeten gelden. Kies een bestaand sessiebeleid of definieer aangepaste machtigingen voor deze gebruiker. Als u Niet gedefinieerd specificeert, dan wordt het algemene standaard beleid gebruikt. Deze machtigingen kunnen door een beleid met hogere prioriteit worden overschreven.

Beschrijving

Bekijk de beschrijving van een vooraf gedefinieerd beleid voor sessietoestemming.

Scherm delen
Regels voor scherm delen

Selecteer de toegang tot het externe systeem voor de ondersteuningstechnicus en de externe gebruiker:

  • In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
  • Weigeren schakelt scherm delen uit.
  • Met Alleen weergeven mag de ondersteuningstechnicus het scherm weergeven.
  • Met Weergeven en besturen mag de ondersteuningstechnicus het systeem bekijken en acties uitvoeren. Als deze optie is geselecteerd, kunnen er beperkingen voor het eindpunt worden ingesteld om inmenging door de externe gebruiker te voorkomen:
    • Geen stelt geen beperkingen in voor het externe systeem.
    • Beeldscherm, muis en toetsenbord schakelt deze invoer uit. Als deze optie is geselecteerd, wordt er een selectievakje weergegeven voor Automatisch een privacyscherm aanvragen bij start van sessie. Het privacyscherm is alleen beschikbaar voor sessies die zijn gestart vanaf een Jump-client, een extern Jumpitem of een lokaal Jumpitem. We adviseren om het privacyscherm te gebruiken bij sessies zonder deelname. Het externe systeem moet het privacyscherm ondersteunen.

Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.

Klembordsynchronisatierichting

Selecteer hoe uitwisseling van klembordinhoud tussen gebruikers en eindpunten verloopt. De opties zijn:

  • Niet toegestaan: De gebruiker mag het klembord niet gebruiken, er worden geen klembordpictogrammen weergegeven in de toegangsconsole, en knippen en plakken werkt niet.
  • Van ondersteuningstechnicus naar klant toegestaan: De gebruiker kan klembordinhoud naar het eindpunt versturen, maar kan geen klembordinhoud van het eindpunt kopiëren en plakken. Alleen het klembordpictogram Verzenden wordt weergegeven in de toegangsconsole.
  • In beide richtingen toegestaan: Klembordinhoud kan in beide richtingen worden verzonden. De klembordpictogrammen Verzenden en Ontvangen worden weergegeven in de toegangsconsole.

Ga voor meer informatie over de Klembordsynchronisatiemodus naar Beveiliging: Beveiligingsinstellingen beheren.

Beperkingen voor het delen van een toepassing

Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.

Deze functie is alleen van toepassing op Windows-besturingssystemen.

Nieuwe uitvoerbare bestanden toevoegen

Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.

Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.

Voer bestandsnamen of SHA-256 hashes in, één per regel

Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Naar een of meer bestanden bladeren

Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.

Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.

Toegestane eindpuntbeperkingen

Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het extern bureaublad niet wordt weergegeven.

Raadpleeg Het externe eindpunt beheren met scherm delen voor meer informatie.

Annotaties
Regels voor annotaties

Hierdoor kan de gebruiker hulpmiddelen voor annotaties gebruiken om op het externe scherm te tekenen. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Zie voor meer informatie Annotaties gebruiken om op het externe scherm van het eindpunt te tekenen.

Bestandsoverdracht
Regels voor bestandsoverdracht

Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegankelijke paden op het bestandssysteem van het eindpunt

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.

Toegankelijke paden op het bestandssysteem van de gebruiker

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.

Zie voor meer informatie Bestandsoverdracht naar en van het externe eindpunt.

Opdrachtshell
Regels voor opdrachtshell

Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.

Configureer opdrachtfiltering om het per ongeluk gebruiken van opdrachten die schadelijk kunnen zijn voor de eindpuntsystemen te voorkomen.

Raadpleeg Shell-jump gebruiken om toegang tot een apparaat in een extern netwerk te krijgen voor meer informatie over het filteren van opdrachten.

Zie voor meer informatie De opdrachtshell op het externe eindpunt openen met behulp van de toegangsconsole.

Systeeminformatie
Regels voor systeeminformatie

Hiermee kan de gebruiker systeeminformatie over de externe computer weergeven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Mag systeeminformatie-acties gebruiken

Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.

Raadpleeg Systeeminformatie bekijken op het externe eindpunt voor meer informatie.

Register-toegang
Regels voor register-toegang

Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.

Zie voor meer informatie Toegang tot de register-editor op het externe eindpunt.

Standaard scripts
Regels voor standaard scripts

Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Raadpleeg De opdrachtshell op het externe eindpunt openen met behulp van de Toegangsconsole voor meer informatie.

Gedrag voor beëindigen van sessie

U kunt kiezen wat er moet worden gedaan als u binnen de in Time-out voor nieuwe verbinding ingestelde periode niet opnieuw verbinding kunt krijgen. Om ervoor te zorgen dat de eindgebruiker geen niet-geautoriseerde rechten krijgt na een opgewaardeerde sessie, moet u de client zo instellen dat bij het beëindigen van een sessie met een externe Windows-computer de eindgebruiker automatisch wordt uitgelogd, de externe computer op slot gaat of dat er niets gebeurt. Deze regels gelden niet voor sessies waarin de browser wordt gedeeld.

Hiermee kunnen gebruikers deze instelling per sessie overschrijven

U kunt tijdens een sessie vanaf het tabblad Samenvatting in de console een gebruiker toestaan de instelling voor het afsluiten van de sessie te overschrijven.

Beschikbaarheidsinstellingen

Inlogschema
Beperk inloggen van gebruiker aan de hand van het volgende rooster

Stel een schema in om te bepalen wanneer gebruikers kunnen inloggen bij de toegangsconsole. Stel de tijdzone in die u voor dit rooster wilt gebruiken en voeg vervolgens een of meer roostervermeldingen toe. Stel voor elke vermelding de startdatum en -tijd en de einddatum en -tijd in.

Als bijvoorbeeld de begintijd is ingesteld op 08.00 uur en de eindtijd op 17.00 uur, dan kan een gebruiker op elk tijdstip in deze periode inloggen en kan blijven doorwerken tot na de eindtijd. De gebruiker kan echter na 17.00 uur niet opnieuw inloggen.

Forceer uitloggen als het schema inloggen niet toestaat

Als strengere toegangscontrole is vereist, dan moet u deze optie aanvinken. Hierdoor wordt de gebruiker geforceerd op de geplande eindtijd uit te loggen. In dit geval ontvangt de gebruiker herhaalde berichten vanaf 15 minuten voordat de sessie wordt beëindigd. Wanneer de gebruiker uitgelogd wordt, volgen eventuele eigen sessies de sessieterugval-regels.

Rapport gebruikersaccount

Exporteer gedetailleerde informatie over uw gebruikers voor controledoeleinden. Verzamel gedetailleerde informatie over alle gebruikers, gebruikers van een bepaalde beveiligingsprovider of alleen lokale gebruikers. De verzamelde informatie bevat gegevens die onder de knop 'Gegevens weergeven' worden weergegeven, alsook groepsbeleid, teamlidmaatschappen en machtigingen.