在企业IT环境中如何高效地开展软件管理,包括权限的控制,这是很多IT团队非常关心的话题。要想真正意义上做到“随需应变”的用户权限体验,企业IT需要新一代权限管理技术支持,实现精细化管理。

Ivanti应用&权限管理(Application Manager)正是解决问题的“金钥匙”。

在大量的IT管理日常实践中,从管理员到用户,下面这些场景想必并不鲜见:

普通用户没有权限安装合规软件

合规网页控件无法安装

管理员随意安装软件

白名单庞大,企业软件太多,设置管理无从下手

普通用户无法运行需要特权的软件

Windows系统权限控制

软件/绿色软件无法有效控制权限

缺少用户自助申请权限的手段

......

上述种种,不一而足。

当我们安装使用软件时,经常会出现这样的提示:

看到这个界面,大部分情况下用户可能只有“求助”管理员这一个可选项。而问题的本质其实是:谁来掌握用户权限?

企业权限管理=权限管理(移除、提升或限制权限)+应用控制(只允许受信任的应用程序),以有针对性地运行需要和受信任的内容,并且以仅能少的特权运行。

论及管理目标,收权or放权,无论你是两大管理流派中的哪一派,“安全”和“用户满意”都是殊途同归的两大根本目标。

应用控制和降权“事小”,有针对性地支持提权才是“真功夫”。

如何做到“一碗水端平”? Ivanti应用+权限管理给出了答案,弥补了传统AD管理中的一些弱项:

基于用户的权限模式

软件安装/卸载控制

应用权限提权/降权

操作系统权限控制

应用黑名单/白名单

网页控件授权

用户自助权限申请

Ivanti方法中有一个重要的概念----受信任的所有者(Trusted Ownership)。以软件安装授权为例,在Ivanti方案的框架下,即便本地管理员也不允许随意安装软件,同时允许用户安装指定路径下的软件(支持本地/网络路径)。因为支持信任所有者,可以信任这个用户所安装或者复制的程序,我们只需要以这个信任者的名义给用户复制或者安装软件,主机上的用户就可以使用,这样的设计改变了原来复杂的软件配置,简单的把对象变成了信任的所有者,降低了配置难度减少了配置步骤,是一个可以在企业广泛推广的新的技术标准。同时,软件授权管理还可支持按时间段控制,包括设置运行实例个数等。

用户在访问网页时可能需要申请插件/控件权限,这是另外一个典型的场景。比如财务人员在进行网银结算操作时,浏览器需要安装一个网页插件,但当前账号不允许安装,所以无法登陆,需要请管理员协助安装,但是总不能每次都找管理员吧?使用Ivanti方案,管理员可在后台这样设置----当某些用户访问特定网站时,允许用户提升权限来安装网银插件。当然,提权仅限于经授权的用户和站点,这就是所谓“以最少的特权运行”。

同时,Ivanti方案还允许用户“自我提权”,对特权软件提权(网银、设计、财务等),并控制子进程,无需通知管理员。

控制过程中,Ivanti方案提供丰富的策略应用场景,触发条件涵盖时间、账户、位置等多个不同维度,甚至支持具体到个体用户特定时间段的全部权限,过了授权时间段即恢复正常权限。

精确控制最终用户权限、体验优良的企业软件部署方案、兼顾系统安全性和用户需求、提升IT管理策略灵活性、提升IT满意度......所有这些“亮闪闪”的收益,都是Ivanti权限管理能带给你的无上价值。

作者：Ivanti大中华区首席架构师 罗琦