Настройка управления доступом и разрешениями на уровне пользователей

Настройка управления доступом и разрешениями на уровне пользователей

Применяется к: WindowsAdminCenter, ознакомительная версия WindowsAdminCenter

Если вы еще не сделали этого, ознакомьтесь с параметрами контроля доступом пользователей в WindowsAdminCenter

Примечание

В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в WindowsAdminCenter не поддерживается.

Определения ролей доступа к шлюзу

Существует две роли для доступа к службе шлюза WindowsAdminCenter.

Пользователи шлюза могут подключаться к службе шлюза WindowsAdminCenter, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза.

Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе. Просматривать и настраивать параметры доступа в WindowsAdminCenter могут только администраторы шлюза. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза WindowsAdminCenter.

Примечание

Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе WindowsAdminCenter с помощью действия Управлять как) с административным доступом к этому целевому серверу.

ActiveDirectory или группы локальных компьютеров

По умолчанию для управления доступом к шлюзу используются ActiveDirectory или группы локальных компьютеров. При наличии домена ActiveDirectory доступом пользователей и администраторов шлюза можно управлять из интерфейса WindowsAdminCenter.

На вкладке Пользователи можно указать пользователя, которому нужно предоставить доступ к WindowsAdminCenter в качестве пользователя шлюза. По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп.

Если в вашей среде не используется домен ActiveDirectory, доступ контролируется локальными группами Users и Administrators на компьютере шлюза WindowsAdminCenter.

Проверка подлинности смарт-карты

Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты. После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе WindowsAdminCenter, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей.

На вкладке Администраторы можно указать пользователя, которому нужно предоставить доступ к WindowsAdminCenter в качестве администратора шлюза. Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка. Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза WindowsAdminCenter. Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт.

AzureActiveDirectory

Если ваша организация использует AzureActiveDirectory (Azure AD), вы можете добавить дополнительный уровень безопасности в WindowsAdminCenter, требуя для доступа к шлюзу проверку подлинности Azure AD. Чтобы обеспечить доступ к WindowsAdminCenter, учетной записи Windows пользователя также следует предоставить доступ к серверу шлюза (даже при использовании проверки подлинности Azure AD). При использовании Azure AD управление правами доступа пользователя и администратора WindowsAdminCenter осуществляется на портале Azure, а не из пользовательского интерфейса WindowsAdminCenter.

Настройка проверки подлинности AzureActiveDirectory для WindowsAdminCenter (Предварительная версия)

В WindowsAdminCenter последовательно выберите Параметры > Доступ и используйте выключатель, чтобы включить параметр "UseAzureActiveDirectorytoadd a layerofsecuritytothegateway" (Использовать AzureActiveDirectory для добавления уровня безопасности в шлюз). Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент.

По умолчанию все участники клиента Azure AD имеют доступ пользователей к службе шлюза WindowsAdminCenter. Доступ администратора к шлюзу WindowsAdminCenter имеют только локальные администраторы на компьютере шлюза. Обратите внимание, что права локальных администраторов на компьютере шлюза нельзя ограничить. Локальные администраторы могут выполнять любые действия независимо от того, используется ли Azure AD для проверки подлинности или нет.

Если вы хотите предоставить доступ к службе WindowsAdminCenter определенным пользователям Azure AD, группам пользователей шлюза или администраторам шлюза, необходимо выполнить следующие действия.

1. Перейдите в приложение Azure AD WindowsAdminCenter на портале Azure, используя гиперссылку, указанную в Параметрах доступа. Примечание. Эта гиперссылка доступна, только если включена проверка подлинности AzureActiveDirectory.

o Приложение также можно найти на портале Azure, перейдя в AzureActiveDirectory > Корпоративные приложения > Все приложения и выполнив поиск по фразе WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-). Если поиск не дает результатов, убедитесь, что для Показать задано значение Все приложения, а для Состояние приложения, а — Любой и нажмите кнопку "Применить", а затем повторите поиск. Найдя приложение, перейдите в раздел Пользователи и группы

2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу WindowsAdminCenter смогут получить только участники, перечисленные на вкладке Пользователи и группы.

3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После включения проверки подлинности Azure AD служба шлюза перезапустится и вам потребуется обновить браузер. Вы можете в любое время обновить доступ пользователя к приложению SME Azure AD на портале Azure.

При попытке доступа к URL-адресу шлюза WindowsAdminCenter пользователям будет предложено войти, используя удостоверение AzureActiveDirectory. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования WindowsAdminCenter.

Пользователи и администраторы могут просматривать текущую учетную запись, с которой они совершили вход, а также выйти из этой учетной записи Azure AD с вкладки Учетная запись в параметрах WindowsAdminCenter.

Настройте единый вход

Настройка управления доступом и разрешениями на уровне пользователей

Применяется к: WindowsAdminCenter, ознакомительная версия WindowsAdminCenter

Если вы еще не сделали этого, ознакомьтесь с параметрами контроля доступом пользователей в WindowsAdminCenter

Примечание

В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в WindowsAdminCenter не поддерживается.

Определения ролей доступа к шлюзу

Существует две роли для доступа к службе шлюза WindowsAdminCenter.

Пользователи шлюза могут подключаться к службе шлюза WindowsAdminCenter, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза.

Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе. Просматривать и настраивать параметры доступа в WindowsAdminCenter могут только администраторы шлюза. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза WindowsAdminCenter.

Примечание

Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе WindowsAdminCenter с помощью действия Управлять как) с административным доступом к этому целевому серверу.