添加用户

针对用户的配置，几类用户配置的基本权限分别如下：
l 堡垒机管理员：可以查看运维管理员、所有普通用户和设备管理员，修改运维管理
员的配置，新建、编辑、启用和删除普通用户，编辑、启用和删除设备管理员，修
改堡垒机管理员自身信息。
l 运维管理员：可以查看新建、编辑、启用和删除普通用户和设备管理员，修改运维
管理员自身信息。
l 审计管理员：可以查看新建、编辑、启用和删除审计员，修改审计管理员自身信息。
l 审计员：可以查看授权设备的日志信息，修改审计员自身信息。
l 设备管理员：可以查看普通用户和设备管理员， 新建、编辑、启用和删除用户组（可由其他设备管理员或普通用户组成，不能对其他设备管理员建立的用户组进行操
作），新建、编辑和删除由当前设备管理员新建的普通用户（该功能须由运维管理
员授权）。
l 普通用户： 修改普通用户自身信息

用户管理

1、 查看用户信息及运维权限

在所示的用户列表页面，单击操作栏的图标

，即可查看当前运维管理员创建
并引用该用户的所有策略配置信息，

关联策略

关联设备

字符审计

2、 编辑用户。

在所示的用户列表页面，单击操作栏的图标，即编辑当前运维管理员创建用户的配置

用户组的管理

用户组是由设备管理员或普通用户组成的逻辑集合。

1. 以运维管理员身份登录系统后，选择菜单 用户管理 >用户组，进入用户组对象的设置页面。

2. 新建用用户组，设置用户组名称，选择对应的用户

设备管理

设备对象是堡垒机托管的设备，通常是指内网服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库和部分友商的设备等。配置设备对象后，用户可通过堡垒机来访问指定的设备，实现用户对设备访问的管控和审计。

设备添加

设备对象的配置分为以下两部分：

1. 新建设备。配置设备名称、部门、设备类型、设备IP、设备协议和备注等信息等。

2. 新建设备账号。配置访问设备使用的设备账号、密码和可以使用该账号登录的协议类型等信息。

设备组管理

以运维管理员身份登录堡垒机，选择菜单 设备管理 > 设备 > 设备组，进入设备组对象的配置页面，在设备组对象列表的右上方，单击【新建】，进入新建设备组对象的页面。

新建设备组对象

授权管理：

访问策略

l 在“策略列表”子菜单下，可以对访问策略进行所有配置，包括新建、编辑、删除、复制、移动、启用/禁用等操作。

l 在“策略向导”子菜单下，可以根据提示一步步新建访问策略。

配置策略时需注意以下几项：

l 配置策略前，必须先配置策略适用的对象，有关对象的配置方法请参见7 对象配置。

l 配置发送告警邮件前，必须进行邮件配置，有关邮件设置的方法请参见3.2.3 邮件设置。

l 只有配置并启用了策略，普通用户和临时用户才能进行设备访问，相应的日志和报表才有数据。有关日志和报表的查询方法请分别参考13 日志分析和14 统计报表。

l 策略之间采用匹配即跳出的原则，即从上到下顺序匹配，一旦匹配即不再继续匹配。如果有多个策略，可以通过移动策略顺序调整策略的优先级。

l 运维管理员和设备管理员之间配置的访问控制策略是相互可见的。

运维管理：

访问设备

不同类别的用户可以运维的设备不同：

运维管理员：可以访问所有设备；

有设备运维权限的设备管理员：默认情况下，均可直接访问自身管理的设备，不能访问其他设备管理员管理的设备。只有配置相应策略后，才能访问其他设备管理员管理的设备。例如：设备管理员A配置一条允许设备管理员B使用设备管理员A管理的设备C的策略后，设备管理员B即可访问设备C。

所有普通用户和临时用户：只有在通过配置策略实现对设备的访问控制与授权后，被授权的用户才能访问指定设备并执行指定范围的操作。

任何用户均可通过两种方式访问设备：

通过第三方工具访问设备：分别以SSH和RDP为例介绍。

通过堡垒机的Web页面访问设备。

审计管理：

查看字符审计日志

对基于SSH、TELNET和RLOGIN协议的操作，系统可以完整记录用户在设备上的所有操作，并可实时监控对设备的命令操作。

通过查看字符审计日志，可以方便审计管理员、运维管理员和设备管理员对正在进行或已结束的字符会话数据进行分析，下文以字符审计为例说明审计功能。

查看数据库审计日志

数据库审计日志包括两种：数据库SQL审计日志和数据库图形审计日志。