国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 部门分权配置指导(E6111 E6112)-5W101

手册下载

1 关于本文档

本文档用来帮助用户了解运维审计系统的部门分权功能,包括部门分权的基本概念、功能影响及相关配置。

本文档对于开启部门分权功能之后的影响和相关配置,只着重介绍差异点,详细的配置请参考运维审计系统Web配置指导

1.1 适用版本分支

与本文档相对应的产品和版本如下表所示。

产品名称 适用版本分支
H3C SecPath A2000-G[AK][V]系列运维审计系统 E6112

1.2 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

2 简介

运维审计系统支持部门分权功能,本节介绍部门分权功能的基本概念和使用场景。

部门分权功能用于满足用户对于实现权限更精细的划分的需要,它允许用户设置多个部门。各个部门的管理员分别管理本部门的用户、资产及子部门,从而实现各部门之间的权限独立。

当用户希望按照部门的维度来独立地管理用户和资产时,可以参照本文档完成配置部门分权。并给用户、资产、权限配置部门属性

部门视图是一个树状结构,其示意图如下:



最上层根部门只有一个,名称默认为ROOT(可以修改)。在这个根部门下可以创建多个子部门。每个部门下面都可以设置属于该部门的用户、资产,以及从属于它的子部门。

运维审计系统的部门层级最多支持9层,第9层的部门无法再继续创建子部门。运维审计系统对于一个部门所属的用户、资产、子部门的数量没有限制,但用户、资产的总量会受到授权数量的限制。

3 功能说明

配置部门分权后,运维审计系统的原有部分功能将受到影响。本节将介绍部门分权对哪些角色的哪些功能会产生影响。

配置部门分权功能后,用户、资产、权限及其他的一些配置将拥有部门属性。管理员需要对这些属性进行设置,请参考配置部门属性。另外,开启部门分权后,在查看用户、资产、变更单、帐号资产和改密计划等配置时,可以对部门属性设置筛选。

配置部门分权后,各角色拥有的权限将被限制在本部门内,请参见本节对于各角色的权限说明。

3.1 超级管理员

超级管理员只能设置在根部门。超级管理员拥有运维审计系统的全部权限,不受部门分权功能的影响。

3.2 配置管理员

配置管理员(包括其他自定义的拥有配置管理功能的角色,下同)只能管理本部门及子部门的用户和资产,具体说明如下表所示。

建议用户在每一个部门节点下都配置一个或多个配置管理员,来管理本部门和子部门的用户和资产。如需管理所有部门的配置,而又不希望其拥有系统设置的权限,可以将其设置为根部门的配置管理员。
表3.1 配置管理员部门权限列表
功能 子功能 说明
用户 用户/用户组 配置管理员只能管理本部门及子部门的用户:
  • 只能查看/新建/编辑/删除本部门及子部门的用户和用户组。
  • 用户组中只能选择本部门及子部门的用户。
资产 资产/资产组 配置管理员只能管理本部门及子部门的资产:
  • 只能查看/新建/编辑/删除本部门及子部门的资产和资产组。
  • 资产组中只能选择本部门及子部门的资产。
动态视图 所有配置管理员都可以配置动态视图。当配置为按部门划分时,配置管理员只能查看当前部门及子部门的视图;否则配置管理员可以查看所有视图。
密钥管理 配置管理员只能配置本部门及子部门的密钥、域、等价配置、资产适配,只能选择本部门及子部门的资产。
Windows域
等价配置
资产适配
权限 动态权限 配置管理员可以查看全部动态权限,只能修改本部门及子部门的权限。
规则模板 配置管理员只能查看规则模板,不能创建和修改。
变更单 配置管理员配置变更单时只能选择本部门及子部门的用户和资产。
权限查看 配置管理员只能查看和导出本部门及子部门的用户和资产的权限。
工单
  • 工单申请人只能指定本部门及子部门的用户和资产。
  • 当超级管理员未手动指定审批人名单时,工单审批人可以是本部门及上级部门的配置管理员。
    Note: 只能是系统内置的配置管理员角色,不包含用户自定义的角色。
高危操作 所有配置管理员都可以查看所有配置,但只有根部门的配置管理员可以修改。
自动化 只有根部门的配置管理员可以使用该功能。
帐号管理
报表
资产访问/文件传输 不受部门分权影响,能够访问哪些资产只取决于权限的设置。

3.3 审计管理员

审计管理员除了事件审计之外,都能只能审计本部门及子部门的数据,具体说明如下。

建议用户在每一个部门节点下都配置一个或多个审计管理员,从而独立地对各部门的操作进行审计。如需审计所有数据,请将该审计管理员配置在根部门节点下。

表3.2 审计管理员部门权限列表
功能 子功能 说明
审计 问题检索
  • 只能查看并检索本部门的用户和资产涉及的操作。
  • 检索结果中无法看到所有会话页签。
操作审计 只能审计本部门的资产涉及的会话。
事件审计 可以审计所有内容。

3.4 自动化管理员

自动化管理员相关功能的影响,请参见配置管理员。

3.5 操作员

操作员的资产访问和文件传输功能需要本部门或上级部门的配置管理员为其配置权限,只能访问本部门或子部门的资产。操作员也可自己通过工单申请权限,超级管理员未手动指定审批人名单时,权限的审批人为本部门或上级部门的配置管理员。

操作员作为工单申请人时,使用人和资产只能指定本部门或子部门的用户和资产。

4 配置部门分权

本节指导超级管理员完成部门分权的开启及部门的基本配置。

运维审计系统默认支持部门分权功能,将预置一个根部门,名称默认为ROOT。管理员只需要在该层部门下创建其他的子部门,就可以完成部门的配置。

  1. 使用超级管理员帐号登录运维审计系统 Web界面。
  2. 单击右上角的用户姓名,选择系统设置 > 系统 > 部门管理


  3. 单击根部门对应的新建,填写部门名称并单击保存,增加一个子部门。


  4. 重复3,直到完成所有部门的添加。
  5. Optional: 如需修改已配置的部门名称,单击编辑,输入新的名称并单击保存。例如可以对根部门ROOT的名称进行修改。


  6. Optional: 如某个部门配置多余,可以单击删除,并单击确定,删除该部门。
    Note: 删除某个部门,必须保证该部门名下没有关联的用户、资产、子部门或其他配置。请先删除相关配置或将相关配置所属部门修改为其他部门,再进行部门删除。
完成配置后的部门视图示例如下图所示:

完成所有部门的添加后,超级管理员需要为每个部门设置对应的管理员,包括配置管理员、审计管理员和自动化管理员。请参考配置用户的部门属性新建用户或修改已存在用户的部门属性,并完成资产和权限的部门属性的配置。
部门管理页面将显示每个部门对应的各种管理员的数量,单击数字之后,可以看到对应管理员的详情:

5 配置部门属性

完成配置部门分权后,需要为用户、资产、权限等配置修改其部门属性,使其从属于正确的部门。

如完成部门配置之前就创建了用户、资产和权限,其部门属性都将默认为根部门。完成部门配置之后,管理员需要将这些已有的用户、资产和权限,分配到不同的部门中。

完成部门配置之后,新创建的用户、资产和权限也都需要设置对应的部门。不同层级的管理员新建的用户、资产和权限,默认为该管理员所属的本部门,可以在其本部门和子部门中进行选择。

本章节仅指导管理员在新建或编辑用户、资产和权限时,配置其部门属性,详细的新建或编辑的指导,请参考运维审计系统Web配置指导

5.1 配置用户的部门属性

本节指导管理员在新建或编辑用户/用户组时,设置部门属性。

用户界面中的用户和用户组都拥有部门属性。本节以修改一个用户和用户组为例,介绍部门属性的配置。
  1. 使用管理员帐号登录运维审计系统 Web界面。

修改用户

  1. 选择用户 > 用户管理 > 用户列表
  2. 对目标用户单击编辑
  3. 单击部门属性对应的图标,修改该用户所属的部门,并单击确定。配置管理员在修改时只能选择当前登录帐号所属的部门或子部门。
  4. 单击保存,保存对部门属性的修改。

修改用户组

  1. 选择用户 > 用户管理 > 用户组
  2. 对目标用户组单击编辑进行编辑。
  3. 单击部门属性对应的图标,修改该用户组所属的部门,并单击确定。配置管理员在修改时只能选择当前登录帐号所属的部门或子部门。
  4. 单击保存,保存对部门属性的修改。
如果配置部门分权之前存在多个用户或用户组,请依次为其修改部门属性。新建的用户和用户组也应按用户的部门规划对其分配部门。

5.2 配置资产的部门属性

本节指导管理员在新建或编辑资产/资产组及资产相关配置时,设置部门属性。

资产界面中的资产、资产组、Windows域、密钥管理和资产适配都拥有部门属性。配置管理员仅能查看并管理部门属性为本部门或子部门的以上内容,当动态视图配置为按部门划分时,也仅能看到本部门及子部门的视图。另外,在配置等价配置和资产适配时,配置管理员也仅能选择本部门或子部门的资产。

本节指导修改视图配置,并以修改一个主机资产、资产组、Windows域、密钥管理和资产适配为例,介绍部门属性的配置。

  1. 使用管理员帐号登录运维审计系统 Web界面。

修改视图配置

  1. 选择资产 > 配置 > 视图配置
  2. Optional: 当需要设置动态视图按部门结构显示时,修改第1层节点部门,并单击保存
    Note:
    • 所有配置管理员均可以修改动态视图,但修改动态视图后将全局生效,因此建议非顶级部门的配置管理员在修改前和顶级部门的管理员确认。
    • 第1层节点修改为部门后,将无法新增下层节点,修改根节点名称也将不起作用。


修改主机资产

  1. 选择资产 > 资产清单 > 主机
  2. 对目标资产单击编辑


  3. 单击部门属性对应的图标,修改该资产所属的部门,并单击确定。配置管理员在修改时只能选择当前登录帐号所属的部门或子部门。


  4. 单击保存,保存对部门属性的修改。

修改资产组

  1. 选择资产 > 资产清单 > 资产组
  2. 对目标资产组并单击编辑


  3. 单击部门属性对应的图标,修改该资产组所属的部门,单击确定并单击保存

修改Windows域

  1. 选择资产 > 配置 > Windows域
  2. 选择待修改的Windows域配置,并单击编辑


  3. 单击部门属性对应的图标,修改该Windows域生效的部门,单击确定并单击保存

修改密钥管理

  1. 选择资产 > 配置 > 密钥管理
  2. 选择待修改的密钥,并单击编辑


  3. 单击部门属性对应的图标,修改该密钥生效的部门,单击确定并单击保存

修改资产适配

  1. 选择资产 > 配置 > 资产适配
  2. 单击删除,删除待修改部门属性的一条资产适配配置,并单击新建创建一条配置。
    Note: 编辑资产适配不能修改其部门属性,如需修改部门属性必须删除新建,删除前请先记录具体的配置内容以便新建时能进行复原。


  3. 单击部门属性对应的图标,修改该资产适配生效的部门,单击确定并单击保存
如果配置部门分权之前存在多个资产、资产组或其他配置,请依次为其修改部门属性。新建的资产、资产组和其他配置也应按用户的部门规划对其分配部门。

5.3 配置权限的部门属性

本节指导管理员在新建或编辑动态权限时,以及在新建变更单时,设置部门属性。

权限界面中的动态权限拥有部门属性,需要对其进行设置以使动态权限在正确的部门内生效。配置管理员可以查看全部动态权限,但只能修改本部门及子部门的权限。

变更单也拥有部门属性,但已有的变更单不能对部门属性进行修改,只能在上传变更单之前填写变更单所属部门。配置管理员只能查看和管理本部门及子部门的变更单。

本节以修改一条动态权限和上传一个变更单为例,介绍部门属性的配置。

  1. 使用管理员帐号登录运维审计系统 Web界面。

配置动态权限

  1. 选择权限 > 权限配置 > 动态权限
  2. 对目标动态权限单击编辑


  3. 单击部门属性对应的图标,修改该动态权限所属的部门,并单击确定。配置管理员在修改时只能选择当前登录帐号所属的部门或子部门。


  4. 单击保存,保存对部门属性的修改。

上传变更单

  1. 选择权限 > 权限配置 > 变更单
  2. 单击下载模板,下载变更单模板。
  3. 编辑变更单模板内容。
    Note:
    • 部门必须是配置管理员所属的本部门或子部门。变更单上传后,将只有该部门以及上级部门的配置管理员可以查看并编辑该变更单。
    • 申请人帐号使用人资产,也必须是本部门或子部门,但不用和部门一致,可以分属配置管理员所属部门的不同子部门。
    • 涉及的部门、用户、资产都必须在运维审计系统中存在。
    如果以上条件不满足,在上传变更单时会报错。


  4. 单击上传变更单,选择已编辑的变更单并上传。


如果配置部门分权之前存在多条动态权限,请依次为其修改部门属性;如之前存在多个变更单,可以删除变更单之后按不同的部门重新上传。新建的动态权限和变更单也应按用户的部门规划对其分配部门。