Verwalten von Benutzern

Eine Benutzerkonfiguration verknüpft Personas, Benutzergruppen, Computer-Verwaltungsgruppen und Rollen mit einem Benutzer. Sie können Benutzerkonten lokal auf dem Tanium Server erstellen oder von einem LDAP- oder AD-Server importieren. Wenn Ihre Verteilung sowohl lokale als auch importierte Benutzer erfordert, konfigurieren Sie zuerst die Importe (siehe Integration mit LDAP-Servern).

Die folgende Abbildung veranschaulicht die Beziehung zwischen Benutzern und anderen Tanium-RBAC-Komponenten:

Abbildung 1:  Tanium-Benutzer

Für die Benutzerrollenberechtigungen, die zur Verwaltung von Benutzern erforderlich sind, siehe Benutzer verwalten.

Benutzerauthentifizierung

In einer Bereitstellung von Tanium as a Service (TaaS) authentifizieren sich alle Benutzer über einen SAML-Identitätsanbieter (IdP). Tanium Support.

Bei Verteilungen, bei denen sich Benutzer von Domänen in einer Salesforce Information Technology Service Management (ITSM)-Instanz bei der Tanium-Konsole authentifizieren, müssen Sie die Einstellung Vertrauenswürdige Auth Origins in der Konsole aktualisieren, wenn sich die Domänen ändern.

Sie können die folgenden Methoden konfigurieren, um Benutzer zu authentifizieren, wenn sie auf die Tanium Console oder API zugreifen:

Wenn Sie einen externen Dienst für die Authentifizierung verwenden, behalten Sie mindestens ein Benutzerkonto bei, das auf einer lokalen Authentifizierung basiert, und weisen Sie diesem Konto die reservierte Administratorrolle zu. Wenn der externe Dienst jemals nicht verfügbar ist (z. B. wenn die Verbindung zum LDAP-Server oder SAML-IdP ausfällt), kann dieser lokale Benutzer weiterhin auf die Tanium Console zugreifen und die Verbindung zum externen Dienst bei Bedarf neu konfigurieren. Optional können Sie den Standard-Benutzer verwenden, der während der Tanium Server-Installation für diesen Zweck erstellt wird.

Standardbenutzer

Während der Einrichtung Ihrer Tanium as a Service (TaaS)-Bereitstellung wird ein Administratorkonto erstellt, das Sie verwenden können, um sich zum ersten Mal bei der Tanium Console anzumelden. Dieser Benutzer basiert auf einem IdP-Konto, das Ihre Organisation als primärer Administrator für Ihre TaaS-Bereitstellung auswählt. Der Benutzer hat uneingeschränkte Verwaltungsrechte für die Computergruppe. Der Benutzer hat auch die reservierte Rolle Admin, die den Zugriff auf alle Funktionen ermöglicht, die in TaaS verfügbar sind, einschließlich der Möglichkeit, die rollenbasierte Zugriffskontrolle (RBAC) für alle anderen TaaS-Benutzer zu konfigurieren.

Der Tanium Server-Installationsprozess erstellt ein Tanium Console-Benutzerkonto, das über ähnliche Berechtigungen verfügt wie der root- oder Admin-Superuser-Benutzer in manchen Betriebssystemen. Diesem ersten Benutzer werden die Computergruppe All Groups (Alle Gruppen) und die reservierte Administratorrolle zugewiesen, sodass er in der Tanium Core Platform sämtliche verfügbaren Handlungen vornehmen kann. Dieser Benutzer ist jedoch kein integrierter Benutzer wie root oder admin, sodass Sie das Konto ändern oder löschen können.

Benutzereinstellungen anzeigen

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer)Administration > Management > Users (Benutzer).

    Das Raster Users (Benutzer) zeigt die grundlegenden Attribute jedes Benutzers an, wie z. B. den Benutzernamen sowie die Anzahl der zugewiesenen Computergruppen. Um jedoch die bestimmten zugewiesenen Benutzergruppen, Computergruppen, Personas oder Rollen (und Berechtigungen) anzuzeigen, müssen Sie die Konfiguration eines bestimmten Benutzers anzeigen.

    Um gelöschte Benutzer anzuzeigen, stellen Sie bei Users (Benutzer) auf All (Alle) um (standardmäßig ist [Active users only (Nur aktive Benutzer)] eingestellt). Die Spalte Status zeigt an, welche Benutzer aktiv Aktiv oder gelöscht Gelöscht sind.

  2. (Optional) Verwenden Sie die Filter, um bestimmte Benutzer zu finden:
    • Nach Text filtern: Um die Tabelle nach Benutzernamen, Anzeigenamen oder Domain-Namen zu filtern, geben Sie einen Textstring in das Feld Filter items (Elemente filtern) ein.
    • Filtern nach Attribut: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. der Anzahl zugewiesener Computergruppen. Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Zeichenkette ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Wenn Sie mehrere Attributfilter hinzufügen, gilt der Bediener [Boolean AND (boolesches UND)]. Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  3. (Optional) Um die Benutzergruppen, Computergruppen, Personas, Rollen und Berechtigungen anzuzeigen, die einem Benutzer zugewiesen sind, klicken Sie auf den Benutzernamenwählen Sie einen Benutzer und klicken Sie auf View User (Benutzer anzeigen).

Einen Benutzer erstellen

Wenn Sie eine Benutzerkonfiguration erstellen, verfügt sie standardmäßig über keine Computer-Verwaltungsgruppen, alternative Personas, Benutzergruppen oder Rollen, bis Sie ihr diese zuweisen. Ein Benutzer ohne Rollen kann sich zwar bei der Tanium Console anmelden, kann aber auf nichts zugreifen. Erstellen Sie keine Konfigurationen für Benutzerkonten, die Sie von einem LDAP-Server importieren (siehe Integration mit LDAP-Servern).

Methoden zur Authentifizierung von Benutzern siehe Benutzerauthentifizierung.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf New User (Neuer Benutzer).
  2. Geben Sie einen Benutzernamen an, der mit einem Konto in Ihrem IdP einem der folgenden übereinstimmt:
    • Ein Benutzerkonto, das lokal auf dem Tanium Server definiert ist.
    • (nur bei Windows) Ein AD-Kontoname. Geben Sie einfach den Benutzernamen und nicht den Domänennamen an. Der Tanium Server verwendet die Windows-Authentifizierung und speichert oder verwaltet keine Zugangsdaten für den Benutzer.
  3. Konfigurieren der Benutzerdetails und RBAC-Zuweisungen:
  4. Klicken Sie auf Save (Speichern), um den Benutzer zu erstellen.
  5. (Nur Verteilung von Tanium Appliance) Konfigurieren Sie den lokalen Authentifizierungsdienst und das Benutzerkonto auf der Appliance, wie im Handbuch zur Bereitstellung von Tanium Appliance beschrieben: Konfigurieren Sie den lokalen Authentifizierungsdienst.
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer) und klicken Sie auf New User (Neuer Benutzer).
  2. Geben Sie einen Benutzernamen an, der mit einem Konto in Ihrem IdP einem der folgenden übereinstimmt:
    • Ein Benutzerkonto, das lokal auf dem Tanium Server definiert ist.
    • (nur bei Windows) Ein AD-Kontoname. Geben Sie einfach den Benutzernamen und nicht den Domänennamen an. Der Tanium Server verwendet die Windows-Authentifizierung und speichert oder verwaltet keine Zugangsdaten für den Benutzer.
  3. Klicken Sie auf Save (Speichern), um den Benutzer zu erstellen.
  4. Fügen Sie dem Benutzer Benutzereigenschaften hinzu und weisen Sie ihm Computergruppen, Benutzergruppen, Rollen und Personas zu, wie in den folgenden Abschnitten beschrieben.
  5. (Nur Verteilung von Tanium Appliance) Konfigurieren Sie den lokalen Authentifizierungsdienst und das Benutzerkonto auf der Appliance, wie im Handbuch zur Bereitstellung von Tanium Appliance beschrieben: Konfigurieren Sie den lokalen Authentifizierungsdienst.

Angaben zum Benutzer bearbeiten

Für jeden Benutzer können Sie einen optionalen Anzeigenamen konfigurieren, der als Beschriftung in der Dropdown-Liste des Benutzers im Hauptmenü angezeigt wird:

Anzeigename

Sie können auch Benutzereigenschaften als Name/Wert-Paare konfigurieren, die optionale Benutzerdetails wie vollständigen Namen, Organisation, E-Mail-Adresse und Telefonnummer enthalten.

Für jeden Benutzer können Sie auch Benutzereigenschaften als Name/Wert-Paare konfigurieren, die optionale Benutzerdetails wie vollständigen Namen, Organisation, E-Mail-Adresse und Telefonnummer enthalten.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf den BenutzernamenAdministration > Management > Users (Benutzer), wählen Sie den Benutzer und klicken Sie auf View User (Benutzer anzeigen).
  2. Geben Sie einen Display Name (Anzeigenamen) ein. Klicken Sie auf Properties (Eigenschaften .
  3. Aktualisieren Sie die Eigenschaften wie folgt und klicken Sie dann auf Save (Speichern): Klicken Sie auf Add Property (Eigenschaft hinzufügen), verwenden Sie die Steuerelemente, um Name/Wert-Paare hinzuzufügen, und klicken Sie auf Save (Speichern).
    • Add (Hinzufügen: Klicken Sie auf Add properties (Eigenschaften hinzufügen) oder, wenn der Benutzer bereits einige Eigenschaften besitzt, auf [Add (Hinzufügen)] Hinzufügen und geben Sie dann ein Namen/Wert-Paar in die Textfelder ein.
    • Edit: Überschreiben Sie die Einträge von bestehenden Name/Wert-Paaren.
    • Delete: Klicken Sie neben einem Namen/Wert-Paar auf [Delete (Löschen)] Löschen.

Rollenzuweisungen für einen Benutzer verwalten

Führen Sie die folgenden Schritte aus, um die Rollenzuweisungen für die Standard-Persona eines Benutzers zu aktualisieren. Um Rollen über eine alternative Persona zu konfigurieren, bearbeiten Sie die Persona-Konfiguration (siehe Rollenzuweisungen für eine Persona verwalten) und weisen Sie die Persona dem Benutzer zu (siehe Personazuweisungen für einen Benutzer verwalten).

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf den Benutzernamen.
  2. Klicken Sie im Abschnitt Roles (Rollen) auf Manage Roles (Rollen verwalten).
  3. Wählen Sie Rollen aus oder heben Sie die Auswahl auf und klicken Sie auf Apply (Anwenden).
  4. Überprüfen Sie die Berechtigungen und Inhaltssets, die mit den ausgewählten Rollen verknüpft sind (siehe Effektive Rollenberechtigungen), und klicken Sie dann auf Save (Speichern).
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer), wählen Sie den Benutzer aus und klicken Sie auf View User (Benutzer anzeigen).
  2. Klicken Sie im Abschnitt [Roles and Effective Permissions (Rollen und effektive Berechtigungen)] auf Manage (Verwalten).
  3. In den Abschnitten Grant Roles (Rollen erteilen) und Deny Roles (Rollen ablehnen) klicken Sie auf Edit (Bearbeiten), wählen Sie Rollen aus oder heben Sie die Auswahl auf, und klicken Sie auf Save (Speichern).
  4. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren), überprüfen Sie die Auswirkungen Ihrer Änderungen und klicken Sie auf Save (Speichern).

Benutzergruppenzuweisungen für einen Benutzer verwalten

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf den Benutzernamen.
  2. Erweitern Sie Erweitern den Abschnitt User Groups (Benutzergruppen) und klicken Sie auf Manage User Groups (Benutzergruppen verwalten).
  3. Wählen Sie Benutzergruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
  4. Überprüfen Sie die übernommenen Rollen, Berechtigungen, Inhaltssets und Computergruppen und klicken Sie dann auf Save (Speichern).
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer), wählen Sie den Benutzer aus und klicken Sie auf View User (Benutzer anzeigen).
  2. Klicken Sie im Abschnitt User Groups (Benutzergruppen) auf Manage (Verwalten) und dann auf Edit (Bearbeiten).
  3. Wählen Sie Benutzergruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Save (Speichern).
  4. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren), überprüfen Sie die Auswirkungen Ihrer Änderungen und klicken Sie auf Save (Speichern).

Verwalten von Zuordnungen von Computergruppen für einen Benutzer.

Führen Sie die folgenden Schritte aus, um Computermanagementgruppen für die Standard-Persona eines Benutzers zu aktualisieren. Um die Zuweisungen über eine alternative Persona zu konfigurieren, konfigurieren Sie die Personas (siehe Eine Persona erstellen) und weisen Sie die Persona dem Benutzer zu (siehe Personazuweisungen für einen Benutzer verwalten).

  1. Gehen Sie im Hauptmenü zu Administration >Permissions (Berechtigungen) >Users (Benutzer) und klicken Sie auf den Benutzernamen.
  2. Erweitern Sie Erweitern den Abschnitt Computer Groups (Computergruppen).
  3. Wenn Sie möchten, dass der Benutzer über Verwaltungsrechte für alle Endpunkte verfügt, wählen Sie Unrestricted Management Rights (Uneingeschränkte Verwaltungsrechte) aus und klicken Sie auf Save (Speichern) (Sie können die restlichen Schritte überspringen).

    Tanium empfiehlt dringend, keine Unrestricted Management Rights (Uneingeschränkte Verwaltungsrechte) zuzuweisen, es sei denn, Sie möchten, dass der Benutzer Fragen an alle Endpunkte über alle Computergruppen hinweg ausgeben kann, unabhängig von Sicherheitsbedenken.

  4. Klicken Sie auf Manage Computer Groups (Computergruppen verwalten), wählen Sie Computermanagementgruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).

    Auswahlen werden logisch kombiniert. Die Vereinigung von All Computers (Alle Computer) und No Computer (Keine Computer) ist zum Beispiel effektiv All Computers (Alle Computer).

  5. Überprüfen Sie die Liste der Computergruppen, die Sie zugewiesen haben oder die der Benutzer von Benutzergruppen übernimmt, und klicken Sie dann auf Save (Speichern).
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer).
  2. Wählen Sie den Benutzer aus und klicken Sie auf View User (Benutzer anzeigen).
  3. Klicken Sie im Abschnitt Computer Groups (Computergruppen) auf Manage (Verwalten) und dann auf Edit (Bearbeiten).
  4. Geben Sie Selected Management Rights (Ausgewählte Verwaltungsrechte) an, wählen Sie Computermanagementgruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Save (Speichern).

    Auswahlen werden logisch kombiniert. Die Vereinigung von All Computers (Alle Computer) und No Computer (Keine Computer) ist effektiv All Computers (Alle Computer). Tanium empfiehlt dringend, dass Sie nicht Unrestricted Management Rights (Uneingeschränkte Verwaltungsrechte) auswählen, es sei denn, Sie möchten, dass der Benutzer Fragen an alle Endpunkte über alle Computergruppen hinweg ausgeben kann, unabhängig von Sicherheitsbedenken.

  5. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren), überprüfen Sie die Auswirkungen Ihrer Änderungen und klicken Sie auf Save (Speichern).

Personazuweisungen für einen Benutzer verwalten

TaaS Der Tanium Server weist neuen Benutzerkonten und, nachdem Sie auf Tanium Core Platform 7.4 oder neuer aktualisiert haben, bestehenden Konten von vor der Aktualisierung automatisch eine Standard-Persona zu. Ein Benutzer, der eine Rolle mit den Berechtigungen Permission Administrator, Persona schreiben und Benutzer schreiben mit der reservierten Administratorrolle hat, muss die Zuweisung von alternativen Personas wie folgt manuell aktualisieren. Die reservierte Administratorrolle verfügt über diese Berechtigungen. Weitere Informationen zu Personas finden Sie unter Verwalten von Personas.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf den Benutzernamen.
  2. Erweitern Erweitern Sie den Abschnitt Personas und klicken Sie auf Manage Personas (Personas verwalten).
  3. Wählen Sie Personas aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
  4. Überprüfen Sie die zugewiesenen Personas und klicken Sie auf Save (Speichern).
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer).
  2. Wählen Sie den Benutzer aus und klicken Sie auf View User Group (Benutzergruppe anzeigen).
  3. Klicken Sie auf Alternative Personas und dann auf Manage (Verwalten).
  4. Wählen Sie Personas aus oder heben Sie die Auswahl auf und klicken Sie auf Save (Speichern).

Effektive Berechtigungen für einen Benutzer anzeigen

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer) und klicken Sie auf den BenutzernamenAdministration > Management > Users (Benutzer), wählen Sie den Benutzer und klicken Sie auf View User (Benutzer anzeigen).
  2. Überprüfen Sie die zugewiesenen und übernommenen Rollen, Berechtigungen und Inhaltssets. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

Einen Benutzer löschen, wiederherstellen oder sperren

Wenn Mitarbeiter Ihre Organisation verlassen, haben Sie die folgenden Möglichkeiten, um ihren Zugriff auf das Tanium-System zu sperren:

  • Weisen Sie dem Benutzer die Rolle Deny All (Alle ablehnen) zu. Der Benutzer kann sich weiterhin bei der Tanium Console anmelden, hat aber keinen Zugriff auf die Konsolenfunktionalität. Auf der Seite Administration > Management > Users (Benutzer) werden Benutzernamen von Benutzern mit der Rolle [Deny All (Alle ablehnen)] ausgegraut angezeigt.
  • Die Konfiguration der Tanium Console für einen manuell erstellten Benutzer.
  • Deaktivieren Sie das AD- oder LDAP-Benutzerkonto, das mit der Benutzerkonfiguration der Tanium Console verknüpft ist, oder ändern Sie das Passwort, wenn es ein Administrator-Alias-Konto ist. Wenn der Tanium Server den Benutzer von einem LDAP-Server importiert hat, ist es wichtig, die Benutzerdetails auf dem LDAP-Server zu ändern, sodass der Tanium Server den Benutzer bei der nächsten Synchronisierung nicht erneut importiert.

Überlegungen beim Löschen von Benutzern

Das Löschen eines Benutzers hat die folgenden Konsequenzen für geplante Aktivitäten:

  • Mit dem Benutzer verknüpfte Plugin-Zeitpläne laufen weiter.
  • Mit dem Benutzer verknüpfte Zeitpläne für die gespeicherte Frage laufen weiter.
  • Mit dem Benutzer verknüpfte Zeitpläne für die geplanten Aktionen sind beendet.

Nachdem Sie den Benutzer gelöscht haben, können Sie den Inhalt löschen, der dem Benutzer gehörte, oder die Eigentümerschaft an einen aktiven Benutzer übertragen: siehe Inhalte eines inaktiven Benutzers löschen, deaktivieren oder die Eigentümerschaft daran übertragen.

Gesperrte Benutzer

Der Tanium Server kennzeichnet Benutzer, die von einem LDAP -Server importiert wurden, als gesperrt, wenn die LDAP -Synchronisierungsdaten anzeigen, dass das zugehörige LDAP -Konto deaktiviert wurde, oder wenn die Daten fehlen. Während der Benutzer den Status [Locked Out (Gesperrt)] hat, kann er sich nicht anmelden, aber der geplante Inhalt, für den der Benutzer verantwortlich ist, wird weiterhin ausgeführt.

Die Administration > Management  > Users (Benutzer) zeigt den Benutzerstatus Locked out (Gesperrt) an:

  • Locked out - disabled (Gesperrt – deaktiviert): Die Daten, die bei der neuesten LDAP-Synchronisierung zurückgegeben wurden, zeigen an, dass das Benutzerkonto deaktiviert ist. Wenn Mitarbeiter aus dem Unternehmen scheiden, deaktiviert man am besten die LDAP-Konten anstatt sie zu löschen, um das Löschen der zugehörigen Datensätze zu vermeiden.  
  • Locked out - missing (Gesperrt – fehlt): In der letzten LDAP-Synchronisierung waren keine Daten für den Benutzer vorhanden. Daten könnten fehlen, wenn der Benutzer vom LDAP -Server gelöscht wurde oder aus einem anderen Grund nicht mehr mit dem Filterausdruck übereinstimmt, den der LDAP-Server verwendet.

Überprüfen Sie die Richtlinie Ihrer Organisation zur Verwaltung gesperrter Benutzer. Eine Option besteht darin, sie zu löschen und den Inhalt, den sie besitzen, auf einen anderen Benutzer zu übertragen, siehe Inhalte eines inaktiven Benutzers löschen, deaktivieren oder die Eigentümerschaft daran übertragen.

Einen Benutzer löschen

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer)Administration > Management > Users (Benutzer) und wählen Sie den Benutzer aus.
  2. Klicken Sie auf [Delete (Löschen)] Löschen und Confirm (Bestätigen).

    Um gelöschte Benutzer anzuzeigen, stellen Sie bei Users (Benutzer) auf All (Alle) um (standardmäßig ist [Active users only (Nur aktive Benutzer)] eingestellt). Die Spalte Status zeigt an, welche Benutzer aktiv Aktiv oder gelöscht Gelöscht sind.

Wie Sie Inhalte, die dem gelöschten Benutzer gehörten, übertragen, deaktivieren oder löschen, sehen Sie unter Inhalte eines inaktiven Benutzers löschen oder die Eigentümerschaft daran übertragen.

Löschen eines Benutzers rückgängig machen

Standardmäßig ist die Persona, die ein Benutzer für eine Tanium-Sitzung auswählt, der Eigentümer aller Inhalte, die der Benutzer während der Sitzung erstellt. Wenn Sie das Löschen von Benutzern, die Inhalte besitzen, rückgängig machen, können Sie die Eigentümerschaft an diesen Inhalten löschen, reaktivieren oder übertragen.

Wenn Sie das Eigentum an Inhalten übertragen, muss der neue Eigentümer nicht dieselben Rollenberechtigungen und Computermanagementgruppenzuweisungen besitzen wie der gelöschte Benutzer. Die Übertragung des Eigentums an geplanten Aktionen und gespeicherten Fragen an einen Benutzer mit nicht übereinstimmenden Rollenberechtigungen und Computermanagementgruppenzuweisungen könnte jedoch unbeabsichtigte Folgen nach sich ziehen. Beispielsweise werden alle geplanten Aktionen, die Sie an einen Benutzer mit nicht übereinstimmenden Berechtigungen und Zuweisungen übertragen, nach der Übertragung deaktiviert. Vergleichen Sie vor der Durchführung einer Übertragung die Computermanagementzuweisungen des gelöschten Benutzers und des neuen Eigentümers, um zu verstehen, welche Endpunkte die Aktionen und Fragen nach der Übertragung erhalten. Um die Computergruppenzuweisungen eines Benutzers einzusehen, gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer), wählen Sie den Benutzer aus und klicken Sie auf View User (Benutzer anzeigen).

Das Löschen von Benutzern einzeln rückgängig machen:

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer).
  2. Stellen Sie bei Users (Benutzer) auf All (Alle) um (standardmäßig ist [Active users only (Nur aktive Benutzer)] eingestellt).

    Die Spalte Status zeigt an, welche Benutzer aktiv Aktiv oder gelöscht Gelöscht sind.

  3. Wählen Sie die Zeile für den gelöschten Benutzer aus, klicken Sie auf [Undelete User (Wiederherstellen)] Löschen des Benutzers aufheben und dann auf Confirm (Bestätigen).
  1. Gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer).
  2. Stellen Sie bei Users (Benutzer) auf All (Alle) um (standardmäßig ist [Active users only (Nur aktive Benutzer)] eingestellt).

    Die Spalte Status zeigt an, welche Benutzer aktiv Aktiv oder gelöscht Gelöscht sind.

  3. Wählen Sie die Zeile für den gelöschten Benutzer aus, klicken Sie auf [Undelete User (Wiederherstellen)] Löschen des Benutzers aufheben und bestätigen Sie die Operation.
  4. Wenn der Benutzer Inhalte besitzt, werden Sie in einem Dialogfeld aufgefordert, eine Option für die Verarbeitung des Inhalts auszuwählen:

    Optionen zur Reaktivierung

    • Inhalt endgültig löschen: Entfernen Sie Inhalte, die Benutzer nicht mehr benötigen.
    • Inhalte migrieren: Überträgt die Eigentümerschaft an einen anderen Benutzer. Der Transfer-Workflow beginnt, nachdem Sie auf Reactivate (Reaktivieren) geklickt haben.
    • Im Istzustand reaktivieren: Benutzer, dessen Löschung man rückgängig macht, als Eigentümer der Inhalte beibehalten.
  5. Klicken Sie auf Reactivate (Reaktivieren).

    Wenn Sie Inhalte endgültig löschen (Purge Content) oder im Istzustand reaktivieren (Reactivate as is), führt der Tanium Server die Aktion automatisch durch, sodass Sie die restlichen Schritte überspringen können.

    Wenn Sie Migrate content (Inhalt migrieren) ausgewählt haben, öffnet sich das Dialogfeld Manage Content (Inhalt verwalten) und fordert Sie auf, die restlichen Schritte auszuführen.

  6. Wählen Sie eine Option zur Verarbeitung des Inhalts des Benutzers aus, dessen Löschung Sie rückgängig gemacht haben:

    Aktion auswählen

    • Ausgewählten Inhalt löschen: Entfernen Sie Inhalte, die Benutzer nicht mehr benötigen.
    • Ausgewählten Inhalt auf übereinstimmende Benutzer übertragen: Übertragen Sie das Eigentum an Inhalten, die noch benötigt werden, auf einen Benutzer (Persona), der die gleichen Rollen- und Computermanagementgruppenzuweisungen hat wie der Benutzer, dessen Löschung Sie rückgängig gemacht haben. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine passende Persona des neuen Eigentümers aus.
    • Ausgewählten Inhalt an Administrator übertragen: Übertragen Sie das Eigentum an Inhalten, die immer noch von allen Benutzern mit der reservierten Administratorrolle benötigt werden, unabhängig davon, ob die Computergruppe und Rollenzuweisungen dieses Benutzers mit dem Benutzer übereinstimmen, dessen Löschung Sie rückgängig gemacht haben. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine Persona des neuen Eigentümers aus.
    • Ausgewählten Inhalt auf beliebigen Benutzer übertragen: Übertragen Sie das Eigentum an Inhalten, die immer noch von Benutzern benötigt werden, unabhängig davon, ob die Computergruppe und Rollenzuweisungen dieses Benutzers mit dem Benutzer übereinstimmen, dessen Löschung Sie rückgängig gemacht haben. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine Persona des neuen Eigentümers aus.
  7. Überprüfen Sie im Abschnitt Select Content (Inhalt auswählen) den Inhalt, den Sie übertragen oder löschen möchten, und klicken Sie auf Confirm (Bestätigen).

    Inhalt auswählen

Inhalte eines inaktiven Benutzers löschen oder die Eigentümerschaft daran übertragen

Die Seite Manage Non-Active User Content (Inaktiven Benutzerinhalt verwalten) listet Benutzer auf, die gelöscht oder gesperrt sind und Inhalte besitzen. Sie können die Seite verwenden, um das Eigentum an diesem Inhalt zu löschen, zu deaktivieren oder zu übertragen. Die Standardpersona oder alternative Persona, die ein Benutzer für eine Tanium-Sitzung auswählt, ist der Eigentümer aller Inhalte, die der Benutzer während der Sitzung erstellt. Sie können das Eigentum von den Personas eines nicht aktiven Benutzers auf die Personas eines oder mehrerer aktiver Benutzer übertragen. Sie müssen die Operationen zum Löschen, Deaktivieren oder Übertragen einzeln nacheinander ausführen. Wiederholen Sie die Operationen so oft wie nötig, um alle Inhalte für den inaktiven Benutzer zu verarbeiten.

Wenn Sie das Eigentum an Inhalten übertragen, muss der neue Eigentümer nicht dieselben Rollenberechtigungen und Computermanagementgruppenzuweisungen besitzen wie der inaktive Benutzer. Die Übertragung des Eigentums an geplanten Aktionen und gespeicherten Fragen an einen Benutzer mit nicht übereinstimmenden Rollenberechtigungen und Computermanagementgruppenzuweisungen könnte jedoch unbeabsichtigte Folgen nach sich ziehen. Beispielsweise werden alle geplanten Aktionen, die Sie an einen Benutzer mit nicht übereinstimmenden Berechtigungen und Zuweisungen übertragen, nach der Übertragung deaktiviert. Vergleichen Sie vor der Durchführung einer Übertragung die Computermanagementzuweisungen des inaktiven Benutzers und des neuen Eigentümers, um zu verstehen, welche Endpunkte die Aktionen und Fragen nach der Übertragung erhalten. Um die Computergruppenzuweisungen eines Benutzers einzusehen, gehen Sie im Hauptmenü zu Administration > Management > Users (Benutzer), wählen Sie den Benutzer aus und klicken Sie auf View User (Benutzer anzeigen).

Führen Sie die folgenden Schritte aus, um die Eigentümerschaft an den Inhalten zu löschen, zu deaktivieren oder zu übertragen, die ein inaktiver Benutzer besitzt:

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Content Alignment (Inhaltsausrichtung) > Manage Non-Active User Content (Inhalte inaktiver Benutzer verwalten).
  2. Wählen Sie die Zeile für den Benutzer (Persona) aus und klicken Sie auf Manage Content (Inhalt verwalten).
  3. Wählen Sie eine Option aus, um den Inhalt zu verwalten.

    • Ausgewählten Inhalt löschen: Entfernen Sie Inhalte, die der inaktive Benutzer besitzt und die von keinen anderen Benutzern benötigt werden.
    • Ausgewählten geplanten Inhalt deaktivieren: Deaktivieren Sie Amktivitäten, die in einem Zeitplan wiederholt werden, wie z. B. gespeicherte Fragen mit Neuausgabe-Intervallen, geplante Aktionen oder Plugin-Zeitpläne, die im Kontext des inaktiven Benutzers ausgeführt werden.
    • Ausgewählten Inhalt auf übereinstimmende Benutzer übertragen: Übertragen Sie das Eigentum an Inhalten, die noch benötigt werden, auf einen Benutzer, der die gleichen Rollen- und Computermanagementgruppenzuweisungen hat wie der inaktive Benutzer. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine passende Persona des neuen Eigentümers aus.
    • Ausgewählten Inhalt an Administrator übertragen: Übertragen Sie das Eigentum an Inhalten, die immer noch von allen Benutzern mit der reservierten Administratorrolle benötigt werden, unabhängig davon, ob die Computergruppe und Rollenzuweisungen dieses Benutzers mit dem inaktiven Benutzer übereinstimmen. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine Persona des neuen Eigentümers aus.
    • Ausgewählten Inhalt auf beliebigen Benutzer übertragen: Übertragen Sie das Eigentum an Inhalten, die immer noch von Benutzern benötigt werden, unabhängig davon, ob die Computergruppe und Rollenzuweisungen dieses Benutzers mit dem inaktiven Benutzer übereinstimmen. Wählen Sie den Benutzernamen des neuen Eigentümers aus. Wenn Sie Inhalte übertragen, die zu einer alternativen Persona gehören, wählen Sie auch eine Persona des neuen Eigentümers aus.
  4. Überprüfen Sie im Abschnitt Select Content (Inhalt auswählen) den Inhalt, den Sie übertragen, deaktivieren oder löschen möchten.Inhalt auswählen
  5. Klicken Sie auf Confirm (Bestätigen).

Nachdem Sie einen Benutzer gelöscht haben, ist es möglich, dass Aufgaben des Tanium-Moduls, die mit dem Benutzer verbunden sind, z. B. ein geplanter Tanium Connect-Auftrag, der vom Benutzer erstellt wurde, nicht mehr ausgeführt werden. Wenn dies geschieht, gehen Sie zur Workbench des Moduls und aktualisieren Sie die Konfiguration. Gehen Sie beispielsweise zur Connect-Workbench, öffnen Sie eine Verbindung und klicken Sie auf Take Ownership (Eigentümerschaft übernehmen), um die Eigentümerschaft an der geplanten Verbindung auf das Benutzerkonto zu übertragen, über das Sie sich angemeldet haben.

Lokalen Benutzerzugriff deaktivieren oder aktivieren

Standardmäßig können Benutzer, deren Konten lokal auf dem Tanium Server vorhanden sind, auf die Tanium Console zugreifen. Wenn Sie jedoch zu einem externen Authentifizierungsdienst wechseln, z. B. zu einem LDAP-Server oder SAML -IdP, und sicherstellen möchten, dass jeder Benutzerzugriff über diesen Dienst erfolgt, deaktivieren Sie die lokale Authentifizierung.

Lokale Benutzer auf einer Tanium Appliance

Um Zugriff auf die Tanium Console für Benutzerkonten zu deaktivieren oder zu reaktivieren, die lokal auf einer Tanium Appliance vorhanden sind, siehe Handbuch für die Bereitstellung von Tanium Appliance: Konfigurieren Sie den lokalen Authentifizierungsdienst.

Lokale Benutzer auf einem Windows-Server

Führen Sie die folgenden Schritte aus, um den Zugriff auf die Tanium Console für Benutzerkonten zu deaktivieren oder zu reaktivieren, die lokal auf einem Tanium Server vorhanden sind, der auf einem Windows-Server installiert ist.

Wenn Sie die Anmeldung mit lokalen Konten deaktivieren und der externe Authentifizierungsdienst später nicht mehr funktioniert (falls z. B. die Verbindung zum LDAP -Server oder SAML-IdP ausfällt), kann kein Benutzer mehr auf die Tanium Console zugreifen, einschließlich des Standard-Benutzers. In einem solchen Fall müssen Sie die lokale Authentifizierung über die CLI reaktivieren, indem Sie den folgenden Befehl im Tanium Server-Installationsordner ausführen:
TaniumReceiver global-settings set soap_enable_local_auth 1

  1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
  2. Wählen Sie soap_enable_local_auth im Raster aus und klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellung) auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) den Wert 0 ein, um die lokale Authentifizierung zu deaktivieren, oder 1, um sie zu aktivieren, und klicken Sie auf Save (Speichern).

Benutzerkonfigurationen exportieren oder importieren

Die folgenden Verfahren beschreiben, wie Sie die Konfigurationen bestimmter Benutzer oder aller Benutzer exportieren und importieren.

Entwickeln und testen Sie Inhalt in Ihrer Laborumgebung, bevor Sie diesen Inhalt in Ihre Produktionsumgebung importieren.

Benutzerkonfigurationen exportieren

Exportieren Sie Benutzerkonfigurationen als CSV-Datei, um ihre Einstellungen in einer Anwendung anzuzeigen, die dieses Format unterstützt. Wenn Sie die reservierte Administratorrolle haben, können Sie Benutzerkonfiguration auch als JSON-Datei exportieren, um sie in einen anderen Tanium Server zu importieren.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer)Administration > Management > Users (Benutzer).
  2. Wählen Sie Zeilen im Raster aus, um nur bestimmte Benutzerkonfigurationen zu exportieren. Wenn Sie alle Benutzerkonfigurationen exportieren möchten, überspringen Sie diesen Schritt.
  3. Klicken Sie auf Export (Exportieren) ExportExport.
  4. (Optional) Bearbeiten Sie den Standard-Export Dateiname.

    Das Dateisuffix (.csv oder .json) ändert sich automatisch basierend auf der Format-Auswahl.

  5. Wählen Sie eine Option Export Data (Exportieren von Daten) aus: Alle Benutzerkonfigurationen im Raster oder nur die ausgewählten Benutzerkonfigurationen.
  6. Wählen Sie die Datei Format: JSON (nur die reservierte Administratorrolle) oder CSV.
  7. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Benutzerkonfigurationen importieren

Sie können Inhaltsdateien importieren, die im JSON- oder XML-Format vorliegen.

  1. Signieren Sie die Inhaltsdatei digital und stellen Sie sicher, dass ein öffentlicher Schlüssel vorhanden ist, um die Signatur zu validieren. Siehe Authentifizieren von Inhaltsdateien.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Solutions (Lösungen).
  3. Scrollen Sie zum Abschnitt Content (Inhalt) und klicken Sie auf Import Import Content (Inhalt importieren).
  4. Klicken Sie auf Choose File (Datei auswählen), wählen Sie die Inhaltsdatei aus, und klicken Sie auf Open (Öffnen).
  5. Klicken Sie auf Import (Importieren).

    Wenn Objektnamen in der Datei identisch sind wie bei bestehenden Objekten, stellt die Tanium Console die Konflikte fest und bietet Lösungsoptionen für jeden einzelnen.

  6. Wählen Sie Lösungen für mögliche Konflikte aus. Anleitungen finden Sie unter Conflicts (Konflikte) und Best Practices.
  7. Klicken Sie noch einmal auf Import (Importieren) und dann auf Close (Schließen), wenn der Import abgeschlossen ist.

Details der Benutzerkonfiguration kopieren

Kopieren Sie Konfigurationsdetails aus dem Raster auf der Seite Users (Benutzer) in Ihre Zwischenablage, um sie in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Users (Benutzer)Administration > Management > Users (Benutzer).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.