Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet.
|
Hinweis: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount. |
Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
|
Hinweis: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einen definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach denen Anmeldenamen gebildet werden. Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen" als privilegiert gekennzeichnet werden. |
Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.
|
Hinweis: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet. |
|
Hinweis: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen |
Um die Stammdaten eines Benutzerkontos zu bearbeiten
- ODER -
Klicken Sie in der Ergebnisliste .
Um ein Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen
Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.
Eigenschaft | Beschreibung | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Host |
Host des Benutzerkontos. | ||||||||||||||
Person |
Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person erzeugt und in das Benutzerkonto übernommen. | ||||||||||||||
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde. Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
Um das Benutzerkonto manuell über eine Kontendefinition zu erstellen, tragen Sie im Eingabefeld Person eine Person ein. Es können alle Kontendefinitionen ausgewählt werden, die dieser Person zugewiesen sind und über die noch kein Benutzerkonto für diese Person erstellt wurde. | ||||||||||||||
Automatisierungsgrad |
Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. | ||||||||||||||
Login-Shell |
Shell die ausgeführt wird, wenn ein Benutzer sich mittels Terminal-basierter Anmeldung am Unix anmeldet. | ||||||||||||||
Benutzername |
Name des Benutzerkontos zur Anmeldung an einem Unix Host. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch mit dem zentralen Benutzerkonto der Person ausgefüllt. | ||||||||||||||
Benutzer-ID |
Benutzer-ID des Benutzerkontos im Unix Host. | ||||||||||||||
Kennwort |
Kennwort für das Benutzerkonto. Abhängig vom Konfigurationsparameter "Person\UseCentralPassword" wird das zentrale Kennwort der zugeordneten Person auf das Kennwort des Benutzerkontos abgebildet. Wenn Sie ein initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.
| ||||||||||||||
Kennwortbestätigung |
Kennwortwiederholung. | ||||||||||||||
Primäre Gruppe ID | ID der primären Gruppe des Benutzerkontos. | ||||||||||||||
Primäre Gruppe |
Bezeichnung der primären Gruppe des Benutzerkontos. Diese Angabe bestimmt den Gruppenbesitz von Dateien, die vom Benutzer erstellt werden. Die primäre Gruppe eines Benutzerkontos wird folgendermaßen gebildet:
| ||||||||||||||
Homeverzeichnis |
Kompletter Pfad zum Homeverzeichnis des Benutzers, zum Beispiel /home/user001. | ||||||||||||||
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten | ||||||||||||||
Kategorie |
Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. | ||||||||||||||
Kommentar (GECOS) |
Freitextfeld für zusätzliche Erläuterungen. Zusätzliche Informationen über das Benutzerkonto, die im GECOS in /etc/password gefunden werden. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch mit dem internen Namen der Person ausgefüllt. | ||||||||||||||
Identität |
Typ der Identität des Benutzerkontos.
| ||||||||||||||
Gruppen erbbar |
Angabe, ob das Benutzerkonto Gruppen über die Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.
| ||||||||||||||
Privilegiertes Benutzerkonto |
Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt. |
Für Benutzerkonten in einem IBM AIX System können Sie zusätzliche Stammdaten, wie Grenzwerte, Kennwortdaten, Sicherheitsinformationen oder Informationen zum verschlüsselnden Dateisystem erfassen. Diese Daten werden angezeigt, wenn der Host mit der Option AIX System gekennzeichnet ist.
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy