קבוצות משאבים

קבוצות משאבים

Info
הקדמה: הססמאות מאוחסנות במערכת תחת "משאבים" ( שרתים, אפליקציות, התקני רשת וכו')  שכוללים פרטי גישה שיש לאבטח ולנהל.
כל משאב כולל חשבונות משתמש וסיסמאות שניתן לנהל בנפרד.
לרב נרצה להגדיר איפוס למספר משתמשים במשאבים שונים, ולכן ניתן לקבצם לקבוצות משאבים לניהול מרוכז.
למשל, ניתן לאגד את ה Service Accounts , Local Admins, Websites Accounts וכו לקבוצות במערכת, במסמך זה נפרט על סוגים ויצירת קבוצות במערכת.
Notes
איפוס ססמא אוטומאטי נתמך ברמת קבוצת משאבים בלבד - Periodic Password Reset

סוגי קבוצות משאבים

  1. קבוצה סטטית (Static Resource Group)
    - המשתמש מסמן ידנית אילו משאבים ייכללו בקבוצה.
    - יש להזין שם ותיאור לקבוצה.
    - ניתן להוסיף או להסיר משאבים באופן ידני בכל עת.

  2. קבוצה דינמית (Dynamic Resource Group)
    - מבוססת על קריטריונים שנקבעים בעת יצירת הקבוצה.
    - כל משאב חדש שיתווסף למערכת ויעמוד בתנאים שהוגדרו – ייכנס אוטומטית לקבוצה.
    דוגמה: יצירת קבוצה בשם CV-WinDom-01 עם תנאי: "סוג משאב = WindowsDomain" תכלול אוטומטית את כל משאבי Windows Domain.

החלוקה לקבוצות תאפשר:

  • שיתוף משאבים לפי מאפיינים (כגון סוג, מחלקה, מדיניות סיסמה)
  • איפוס ססמא אוטומאטי ברמת קבוצה

קבוצת משאבים דינאמית - Dynamic Resource Group

קבוצת משאבים דינמית כוללת משאבים עם הרשאות לפי קריטריונים מוגדרים מראש.
משאבים שעומדים בתנאים מתווספים אוטומטית, ומשאבים שכבר לא עומדים בהם מוסרים מהקבוצה. שימושי ל:

  • שיתוף משאבים לפי מאפיינים (כגון סוג, מחלקה, מדיניות סיסמה)
  • איפוס ססמא אוטומאטי ברמת קבוצה
  1. נגש אל Groups >> Add Group >> Dynamic Group
  2. בחלון שנפתח:
    • שם לקבוצה בשדה Group Name
    • אפשרות להזין תיאור בשדה  Description  
    • מדיניות סיסמה מתאימה – המדיניות תיושם על חשבונות הקבוצה בעת איפוס סיסמאות תקופתי.
    • אם הקבוצה היא תת קבוצה בהיררכיה הארגונית, נבחר את השיוך שלה לקבוצהאחרת תחת Subgroup Of
  3. באינטגרציה עם מערכת ניהול קריאות ניתן לסמן Allow password retrieval and other operations without the ticket ID
    כדי לאפשר שליפת סיסמאות ופעולות נוספות ללא צורך במספר כרטיס.
  4. נלחץ על Save & Proceed כדי להמשיך להגדרת הקריטריונים של הקבוצה.
    manage-resource-groups-2
  5. בחלן הבא נוכל להגדיר א הקריטריונים ותנאי ה OR | AND על מנת לאגד בצורה אוטומאטית משתמשים ומשאבים בקבוצה דינמית.
    לדוגמא: Resource Type: Windows | AND | Account Name: Contains: adm - ליבוא משתמשי אדמין מקומיים בשרתי windows.
    אפשרות: להוסיף עמודה מותאמת על מנת לאגד משאבים, למשל - Notes / Type
  6. לאחר שנבחר את הקריטריונים, נלחץ Search לראות את המשאבים שיוספו לקבוצה בהתאם להגדרות.
  7. לחיצה על Save תשמור את הגדרות הקבוצה.
    manage-resource-groups-3

קבוצת משאבים סטאטית - Static Resource Group

קבוצות משאבים סטטיות (Static resource groups) מכילות סט קבוע של משאבים בעלי הרשאות, הנוספים באופן ידני על ידי מנהלי המערכת.
לאחר השיוך, המשאבים בקבוצה נשארים ללא שינוי אלא אם נערך עדכון ידני.
    1. נגש אל Groups >> Add Group >> Dynamic Group
    2. בחלון שנפתח נזין את הפרטים הבאים:
  • שם לקבוצה בשדה Group Name.
  • אפשרות להזין תיאור בשדהDescription 
  • מדיניות סיסמה מתאימה – המדיניות תיושם על חשבונות הקבוצה בעת איפוס סיסמאות תקופתי.
  • אם הקבוצה היא תת קבוצה בהיררכיה הארגונית, נבחר את השיוך שלה לקבוצהאחרת תחת Subgroup Of.
         3. נלחץ על Save & Proceed כדי להמשיך לבחירת המשאבים החברים בקבוצה.
         4. בעמוד הבא נבחר את המשאבים שיהיו חלק מהקבוצה, נסמן את כולם ונבחר Add to Group.
    manage-resource-groups-4

תצוגת עץ - היררכיה ארגונית

ניתן לצפות ב Resource groups עם המשאבים המשויכים להם דרך לשוניות Groups ו-Resources.
בלשונית Groups, בחירה בקבוצת משאבים ולחיצה על Show Tree View בפס העליון תציג תצוגה היררכית של קבוצות המשאבים.
manage-resource-groups-5
בלשונית Resources, קבוצות המשאבים מוצגות בתצוגת עץ בחלונית השמאלית. לחיצה על שם של קבוצה מציגה את המשאבים המשויכים אליה ואת הסיסמאות שלהם.
nested-resource_2

פעולות ברמת קבוצת משאבים - Resource Group Operations

מלשונית Groups, מנהלים יכולים לבצע הגדרות בודדות או מרובות עבור קבוצת משאבים, בדומה להגדרות עבור משאבים בודדים, למשל:

- איתור סיסמאות שאינן מסונכרנות (Out-of-Sync Passwords)
פונקציה זו בודקת האם הסיסמאות השמורות ב־PAM360 תואמות לאלו שבשרתי היעד, מדובר בפעולה חד־פעמית.
- בדיקת מהימנות תקופתית (Periodic Intergerity Check)
אפשרות לבדיקת עקביות הססמאות.
יצירת דוחות (Generating Reports)
דוחות כגון Password Inventory, Policy Compliance, Password Expiry או Password Out of Sync עבור קבוצת משאבים.
- מחיקת קבוצת משאבים (Deleting a Resource Group)

    • Related Articles

    • שיתוף משאבים

      הקדמה: בתור אדמינים במערכת נוכל לשתף מידע עם משתמשים אחרים ברמת חשבון (Account), משאב שלם (Resource) או קבוצת משאבים (Resource Group). - המערכת עובדת בתצורה של בעלות ושיתוף, משמע שכל משאב שאדמין מוסיף יהיה חשוף רק לו, עד אשר יבצע שיתוף עם משתמש או ...

    • יבוא משאבים ידני

      - למעט Super Administrator אם הוגדר, כל משתמש אדמין יראה את המשאבים שהוא הוסיף בלבד. - משתמשי אדמין אחרים לא יראו משאבים שיובאו על ידי אדמין אחר עד שיתבצע שיתוף. כל שרת \ התקן רשת \ אתר אינטרנט \ SQL - יחשב במערכת כמשאב - Resource, תחת כל Resource ...

    • Discovery - גילוי משאבים ברשת

      הקדמה: למערכת יכולת סריקה לגילוי התקני קצה ומשתמשים חזקים באותם התקנים. ניתו לגלות בסריקה התקנים מסוג Windows, Linux, VMware, Network Devices. דרישות תוכנה בשרת: - Microsoft .Net framework 4.5.2 or above - Microsoft Visual C++ 2015 redistributable ...

    • הגדרת קבוצת ביקורת לשרתים

      תקציר: במידה ונרצה לנהל שרתים כחלק מהמערכת, מומלץ מאוד ליצור קבוצה שלהם כדי להקל את המעקב עליהם, ואת הקישור שלהם למשימות. במידה ונרצה ליצור משימת הפצת פאצ'ים אוטומטית לשרתים, ניתן ליצור תהליך עבודה של test and approve, בו הפאצ'ים החדשים שמתפרסמים ...

    • יצירת גישה מוגבלת לטמפלייט

      הקדמה: קיימים טמפלייטים שנרצה לחשוף רק למשתמשים מסויימים אות לקבוצת משתמשים. זה מאפשר לנו לשלוט במי פותח לנו קריאות מסויימות ולא לאפשר לכל אחד לפתוח קריאות רגישות. לדוגמא: נעדיף לתת גישה לפתיחת טמפלייט "קליטת עובד חדש" רק למחלקת HR בארגון. 1. תחילה ...