Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

Структура

Раздел предназначен для создания подразделений (Organizational Unit, OU) организации. При создании подразделений можно разграничивать доступ администраторов PAM к отдельным ресурсам.

примечание

Подразделения PAM никак не связаны с подразделениями или контейнерами домена Active Directory.

Виды подразделений

Подразделение может быть глобальным или локальным. Так же и объекты PAM могут быть глобальными и локальными по принадлежности к подразделению.

Сразу после установки PAM в системе уже существует Глобальное подразделение. Ему принадлежат все объекты, у которых подразделение не указано явно. Соответственно, после обновления версии PAM на версию 2.7 или выше все ранее существующие объекты становятся глобальными.

Привязку администратора PAM к подразделению можно выполнить в настройках Роли. Пользователь может быть в ролях из одного подразделения. Нельзя добавлять пользователя в роль повторно, указывая другие подразделения.

Подразделение указывается при добавлении Ресурса, Домена, Группы ресурсов.

Система распознает является ли данный объект локальным по отношению к данному подразделению через связи объектов с ресурсами и доменами. Если объект связан с Ресурсом и Учетной записью, подразделение определяется по Ресурсу.

Локальный администратор

Локальный администратор ограничен в правах доступа и может работать только с набором объектов, которые принадлежат его подразделению. Ограничиваются только объекты доступа — Учетные записи и Ресурсы.

Исключения:

  • может читать Учетные записи глобальных доменов
  • может читать глобальные политики
  • может читать Домены, но не их группы и контейнеры

Все создаваемые администратором объекты автоматически принадлежат его подразделению.

примечание

Выбирать подразделения при создании объектов может только Глобальный администратор.

Локальному администратору недоступны:

  • объекты, связанные с другими подразделениями
  • разделы Структура, Роли, Уведомления

В разделах Управления доступны только для чтения:

  • Политики и их настройки
  • пользовательские подключения и сервисные подключения
  • настройки Конфигурации

Остальные разделы недоступны.

Локальный администратор не может создавать разрешения с просмотром учетных данных для доменных Учетных записей, в том числе разрешение для Приложения.

Включение работы с подразделениями

Работа с подразделениями включается в конфигурационном файле Management Console.

Путь до конфигурационного файла:

WindowsC:\inetpub\wwwroot\pam\mc\assets\config\
Linux/etc/indeed/indeed-pam/mc/

Чтобы включить работу с подразделениями в PAM, введите значение true для параметра enableOrganizationalUnits в секции view:

"view": {
"enableOrganizationalUnits": true
}