云堡壘機系統具備集中管理用戶功能，創建一個用戶即創建一個云堡壘機系統的登錄帳號。系統管理員admin是系統默認用戶，為系統第一個可登錄用戶，擁有系統最高操作權限，且無法刪除和更改權限配置。

用戶概述

根據用戶角色的不同，用戶擁有不同的系統操作權限。

根據用戶組的劃分，可批量為同組用戶授予資源運維的權限。

僅系統管理員admin或擁有“用戶”模塊權限的用戶，可管理系統用戶，包括新建用戶、批量導入用戶、批量導出用戶、重置用戶帳號密碼、移動用戶部門、更改用戶角色、加入用戶組、配置用戶登錄權限、啟用、禁用、批量管理用戶等操作。

用戶管理

新建用戶并授權用戶角色

云堡壘機系統的一個用戶代表一個可登錄自然人，支持新建本地用戶，批量導入用戶，以及同步AD域用戶。

系統管理員admin是系統最高權限用戶，也是系統第一個可登錄用戶。

約束限制

為用戶配置“所屬部門”為上級部門時，當前用戶的角色需擁有管理權限，否則會配置失敗。修改用戶角色管理權限，請參見：查詢和修改角色信息。

前提條件

新建單個用戶和批量導入用戶，需已獲取“用戶”模塊操作權限。

同步AD域用戶，需已獲取“系統”模塊操作權限。

新建單個用戶

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 在界面的右上角，單擊“新建”，彈出用戶信息配置窗口。

新建用戶參數說明

參數	說明
登錄名	自定義登錄系統的用戶名。 創建后不可修改，且系統內“登錄名”唯一不能重復。
認證類型	選擇登錄系統的認證方式。 本地：系統默認方式，即通過系統自身的帳號管理系統進行身份認證。 AD域：通過Windows AD域服務器對用戶進行身份認證。 LDAP：通過LDAP協議，由第三方認證服務器對用戶進行身份認證。 RADIUS：通過RADIUS協議，由第三方認證服務器對用戶進行身份認證。 Azure AD：基于SAML配置，由Azure平臺對登錄用戶進行身份認證。 若需啟用AD域、LDAP、RADIUS、Azure AD遠程認證方式的用戶，需先在系統配置遠程認證服務器信息，詳細操作請參見：遠程認證管理。
域名	“認證類型”選擇“Azure AD”時，需要配置此項。 需輸入在Azure平臺用戶注冊時的后綴。
密碼/確認密碼	僅“認證類型”選擇“本地”時，需要配置用戶登錄系統的密碼。 可自定義生成密碼，也可隨機生成密碼。
認證服務器	僅“認證類型”選擇“AD域”和“LDAP”時，需要選擇服務器名稱。
姓名	自定義用戶姓名。 用戶帳號使用人員的姓名，便于區分不同的用戶。
手機	輸入手機號碼。 用戶帳號系統預留手機號碼，用于手機短信登錄或找回密碼。
郵箱	輸入郵箱地址。 用戶帳號系統預留郵箱地址，用于通過郵箱接收系統消息通知。
角色	選擇用戶的角色，一個用戶僅能配置一個角色。 缺省情況下，系統角色包括部門管理員、策略管理員、審計管理員和運維員。 部門管理員：負責部門管理，除“用戶管理”和“角色管理”模塊之外，部門管理員擁有其他全部模塊的配置權限。 策略管理員：負責策略權限的配置，擁有“用戶組管理”、“資源組管理”和“訪問策略管理”等模塊的配置權限。 審計管理員：負責系統和運維數據的審計，擁有“實時會話”、“歷史會話”和“系統日志”等模塊的配置權限。 運維員：系統普通用戶和資源操作人員，擁有“主機運維”、“應用運維”和“授權工單”模塊的操作訪問權限。 自定義的角色：僅admin可自定義新角色或編輯默認角色的權限范圍，詳細介紹請見：角色管理。
所屬部門	選擇用戶所屬部門組織。如何創建系統部門，請參見：系統部門。
用戶描述	（可選）對用戶情況的簡要描述。

4. 單擊“確定”，返回用戶列表，即可查看和管理新建的用戶。

批量導入用戶

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 單擊界面右上角的“導入”，彈出導入用戶操作窗口。
4. 單擊“點擊下載”，下載模板文件到本地。
5. 按照模板文件中的配置項說明，填寫用戶信息。

用戶導入模板參數說明

參數	說明
登錄名	（必填）填入自定義登錄系統的用戶名。
認證類型	（必填）填入認證方式，僅能填寫一種類型。 可選擇填入字樣：本地、AD域、LDAP、RADIUS。
密碼	（必填）選擇認證類型為“本地”時，填入自定義的用戶登錄密碼。
認證服務器/域名	（必填）選擇認證類型為“AD域”、“LDAP”或“Azure AD”時，按填寫格式要求，填入認證服務器。 AD域認證填寫格式為IP:PORT，例如10.10.10.10:389。 LDAP認證填寫格式為IP:'PORT/ou=test,dc=test,dc=com'，例如10.10.10.10:'389/ou=test,dc=com'。 Azure AD認證時填寫域名。
姓名	（必填）填入使用人員的姓名。
手機	（必填）填入使用人員的手機號碼。
郵箱	（必填）填入使用人員的郵箱地址。
角色	（必填）填入用戶的系統角色。 僅能填入一個角色類型， 默認可選角色包括部門管理員、策略管理員、審計管理員和運維員。 請務必確保填入系統內已創建的查詢和修改角色信息。
所屬部門	（必填）填入用戶所歸屬的部門，需完整填寫部門結構。 僅可填入一組部門層級，一個用戶只能分屬一個部分。 默認可填入部門為總部，部門上下級之間用“，”隔開。 請務必確保填入系統內已創建的查詢部門配置。
用戶描述	填入對用戶帳號的簡要描述。
用戶組	填入用戶帳號所屬的用戶組。 用戶帳號可同時存在于同部門多個用戶組，不同用戶組之間用“，”隔開。 請務必確保填入系統內已創建的查詢和修改用戶組信息。

6. 單擊“點擊上傳”，選擇已填入用戶信息的模板文件。
7. （可選）勾選“覆蓋已有用戶”。
   • 勾選，表示覆蓋同“登錄名”的用戶帳號，刷新用戶信息。
   • 不勾選，表示跳過同“登錄名”的用戶帳號。
8. 單擊“確定”，返回用戶列表中，即可查看和管理新增的用戶。

同步AD域用戶

云堡壘機通過配置AD認證“同步模式”，可一鍵同步AD域服務器上已有用戶信息，無須手動創建用戶。在用戶帳號登錄系統時，由AD域服務器提供身份認證服務。

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3. 單擊“AD認證配置”區域的“添加”，彈出AD認證配置窗口。
4. 選擇AD域認證“模式”為“同步模式”，展開同步模式參數配置信息。

AD域同步用戶參數說明

參數	說明
服務器地址	輸入AD域服務器地址。
狀態	選擇開啟或關閉AD域遠程認證，默認開啟。 開啟，表示開啟AD域認證。在配置信息有效情況下，登錄系統時啟動AD域認證，或同步AD域用戶。 關閉，表示關閉AD域認證。
SSL	選擇開啟或關閉SSL加密認證，默認關閉。 關閉，表示禁用SSL加密認證。 開啟，表示啟用SSL加密認證，將加密同步用戶或認證用戶所傳輸的數據。
模式	選擇“同步模式”。
端口	AD域遠程服務器的接入端口，默認389端口。
登錄名	輸入AD域服務器的帳戶的登錄名。
密碼	輸入AD域服務器的帳戶的密碼。
域	輸入AD域的域名。
Base DN	輸入AD域遠程服務器上的基準DN。
部門過濾	輸入AD域遠程服務器上待過濾的部門。
用戶過濾	輸入AD域遠程服務器上待過濾的用戶。
登錄名過濾	輸入待過濾的用戶登錄名，過濾多個登錄名用“
姓名	輸入AD域遠程服務器上代表用戶姓名的屬性名，例如name。
郵箱	輸入AD域遠程服務器上代表用戶郵箱的屬性名，例如mail。
手機	輸入AD域遠程服務器上代表用戶手機的屬性名，例如mobile。
同步方式	選擇同步AD域用戶的方式，包括“手動同步”和“自動同步”。 手動同步：信息配置完成后，手動執行用戶同步操作。 自動同步：信息配置完成后，按照配置自動執行用戶同步。需同時配置“同步時間”、“同步周期”、“結束時間”。
目標部門	選擇將用戶帳號的所歸屬的系統部門。
更多	勾選“覆蓋已有用戶”。 勾選，表示覆蓋同“登錄名”的用戶帳號，刷新用戶信息。 不勾選，表示跳過同“登錄名”的用戶帳號。

5. （可選）如需選擇同步AD域服務器中的用戶，單擊“下一步”，獲取AD域服務器用戶源部門結構。

• 默認開啟“同步全部用戶”。
• 勾選用戶源上級部門，即該部門下級部門所有用戶都將納入導入源范疇。
• 開啟“創建新部門”，根據AD域的部門結構，同步新建系統部門并同步部門中用戶。

6. 單擊“確認”，返回AD域認證服務器表中，即可查看和管理的AD認證配置信息。
7. 單擊“立即同步”，立即啟動同步AD域用戶到云堡壘機，返回用戶列表，即可查看同步的用戶信息。

啟停用戶

云堡壘機系統用戶快速管理，支持一鍵批量“啟用”或“禁用”其他用戶，修改用戶帳號使用狀態。

系統管理員admin默認保持“已啟用”狀態，不支持禁用admin用戶。

• 啟用

默認為啟用，用戶狀態為“已啟用”，用戶在權限范圍內可正常使用。

• 禁用

用戶狀態為“已禁用”。用戶帳號被禁用后，將被禁止登錄系統，失去系統所有操作權限；已登錄的用戶將被強制退出。

前提條件

已獲取“用戶”模塊操作權限。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 勾選待改變狀態用戶，單擊左下角“啟用”或“禁用”，操作立即生效，即刻可查看用戶狀態變化。

刪除用戶

云堡壘機系統用戶支持一鍵刪除和批量刪除。

用戶帳號被刪除后，用戶帳號所有關聯的權限將失效，用戶個人網盤中文件將被清空。

系統管理員admin不允許被刪除。

前提條件

已獲取“用戶”模塊操作權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“用戶 > 用戶管理”，進入用戶列表頁面。

3 單擊“操作”列的“刪除”，即可立即刪除該用戶。

4 同時勾選多個用戶，單擊左下角“刪除”，可批量刪除多個用戶。

配置用戶登錄限制

背景介紹

為加強用戶帳號登錄管理，云堡壘機支持通過配置登錄開啟或關閉多因子認證、設置帳號使用有效期、設置登錄時段限制、設置登錄IP地址限制、設置登錄MAC地址限制，管理用戶帳號登錄權限，有效降低用戶帳號泄露等導致的安全風險。

• 多因子認證：指開啟多因子認證后，用戶登錄時通過發送短信口令、動態令牌、USBKey等二次認證用戶身份。
• 有效期：指用戶帳號的使用有效期，僅在限定時間內可登錄。
• 登錄時段限制：指用戶帳號限定登錄星期和時刻。
• 登錄IP地址限制：指限制指定來源IP地址的用戶登錄。
• 登錄MAC地址限制：指在局域網內限制指定MAC地址的用戶登錄。

約束限制

• 為正常使用“手機令牌”多因子認證，需確保系統時間與綁定手機時間一致，精確到秒。否則使用手機令牌登錄時，口令將驗證失敗。
• 系統默認內置短信網關有短信發送頻率和條數限制，為避免對“手機短信”多因子認證登錄造成影響，可設置“自定義”短信網關。
• 由于MAC地址屬于數據鏈路層，用于局域網尋址。MAC地址在傳輸過程中經過路由或主機，地址會發生變化，因此“登錄MAC地址限制”僅在局域網生效。
• 若admin用戶配置了多因子認證，無法登錄系統取消多因子認證配置，請聯系技術支持。

前提條件

• 已獲取“用戶”模塊操作權限。
• 若需開啟“手機令牌”多因子認證，用戶需已在個人中心：配置手機令牌登錄，否則用戶帳號將無法登錄。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 單擊需修改的用戶登錄名，或者單擊“管理”，進入“用戶詳情”頁面。
4. 單擊“用戶配置”區域的“編輯”，彈出用戶登錄限制配置窗口。

用戶登錄限制參數說明

參數	說明
多因子認證	勾選認證方式，可選擇“手機短信”、“手機令牌”、“USBKey”、“動態令牌”。 默認都不勾選，即關閉多因子認證，僅通過本地密碼驗證身份。 手機短信：用戶帳號需先綁定可接收短信的手機號碼后，再配置手機短息多因子認證。 手機令牌：先由用戶在個人中心管理登錄手機令牌后，再配置手機令牌多因子認證。 USBKey：為生效USBKey多因子認證，用戶帳號需再關聯USBKey管理。 動態令牌：為生效動態令牌多因子認證，用戶帳號需再關聯動態令牌管理。
有效期	設置用戶帳號使用有效期，包括生效時間和失效時間。
登錄時段限制	設置允許或禁止用戶帳號登錄的星期和時刻。
登錄IP地址限制	選擇黑白名單方式，設置IP地址或地址段。 選擇“黑名單”，并配置IP地址或地址段，限制該IP地址或地址段的用戶登錄。 選擇“白名單”，并配置IP地址或地址段，僅允許該IP地址或地址段的用戶登錄。 選擇“黑名單-名單內多因子登錄”，并配置IP地址或地址段。該IP地址或地址段名單內的用戶，僅允許通過多因子認證方式登錄。 選擇“白名單-名單外多因子登錄”，并配置IP地址或地址段。該IP地址或地址段名單外的用戶，僅允許通過多因子認證方式登錄。 IP地址缺省狀態下，即不限制IP地址登錄云堡壘機。
登錄MAC地址限制	選擇黑白名單方式，設置MAC地址。 選擇“黑名單”，并配置相應MAC地址，限制該MAC地址用戶登錄。 選擇“白名單”，并配置相應MAC地址，僅允許該MAC地址用戶登錄。 MAC地址缺省狀態下，不限制MAC地址登錄云堡壘機。

5. 單擊“確定”，返回用戶詳情頁面，即可查看用戶登錄配置信息。

批量修改用戶登錄配置

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 勾選待修改配置的用戶帳號，單擊左下角“更多”，展開批量操作項。

4. 批量修改或取消多因子認證配置。單擊“修改多因子認證”，彈出多因子認證修改窗口。

5. 批量修改或取消有效期配置。

單擊“修改有效期”，彈出有效期修改窗口。

• 勾選帳號生效期或失效期，并選擇目標日期和時間。去掉勾選，則取消有效期配置。
• 單擊“確定”，即完成配置修改。

6. 批量修改登錄時段限制配置。單擊“登錄時段限制”，彈出登錄時段配置窗口。

7. 批量修改或取消登錄IP地址限制配置。單擊“登錄IP地址限制”，彈出登錄IP配置窗口。

選擇黑白名單限制方式，并輸入或刪除目標IP地址或地址段。

8. 批量修改或取消登錄MAC地址限制配置。單擊“MAC地址限制”，彈出登錄MAC配置窗口。

選擇黑白名單限制方式，并輸入或刪除目標MAC地址。

單擊“確定”，即完成配置修改。

查詢和修改用戶信息

當系統用戶數量龐大，可通過快速查詢和高級搜索方式查詢用戶。

若用戶信息有變更需求，可通過用戶管理功能查看和修改，包括查看用戶基本信息、查看用戶登錄配置、查看授權資源賬戶、修改用戶組基本信息、修改用戶登錄限制、關閉或開啟多因子認證、設置用戶帳號使用有效期等。

前提條件

已獲取“用戶”模塊操作權限。

查詢用戶帳號

1. 登錄云堡壘機系統。
2. 選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 快速查詢，在搜索框中輸入關鍵字，根據登錄名、姓名等快速查詢用戶。
4. 高級搜索，在相應屬性搜索框中分別輸入關鍵字，精確查詢用戶。

查看和修改用戶信息

1. 登錄云堡壘機系統。
2. 選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 在查詢的用戶列表中，單擊目標用戶登錄名，或者單擊“管理”，進入用戶信息詳情頁面。

4. 查看和修改用戶基本信息。
   • 在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改用戶的基本信息。
   • 可修改信息包括“認證類型”、“姓名”、“手機”、“郵箱”、“角色”、“所屬部門”和“用戶描述”。
   • “登錄名”不支持修改。
5. 查看和修改用戶登錄配置信息。在“用戶配置”區域，單擊“編輯”，彈出登錄配置編輯窗口，即可修改用戶的登錄配置。
6. 查看和移動用戶組。

• 在“用戶加入組”區域，可獲取用戶所屬的用戶組。
• 單擊“編輯”，彈出用戶組編輯窗口，即可移動所屬用戶組。
• 單擊“操作”列“移出該組”，即可解除與該組關系。

7. 查看用戶已授權控制的資源。

展開“授權資源賬戶”區域，即可查看授權給該用戶的資源賬戶信息。

批量修改用戶信息

1. 登錄云堡壘機系統。
2. 選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 在查詢的用戶列表中，勾選待修改配置的用戶帳號，單擊左下角“更多”，展開批量操作項。

4. 批量移動部門。單擊“移動部門”，彈出部門修改窗口，選擇目標部門，單擊“確定”，即完成配置修改。

5. 批量更改用戶角色。單擊“更改角色”，彈出角色修改窗口，選擇目標角色，單擊“確定”，即完成配置修改。

修改用戶登錄密碼

當用戶人員變動較大，用戶忘記密碼、密碼丟失、密碼過期等，可能造成登錄安全事故。為降低用戶登錄密碼風險，加強系統登錄安全，云堡壘機支持批量修改用戶登錄密碼。

約束限制

• 系統管理員admin的密碼不能被其他任何用戶重置，可在admin的個人中心修改。
• 批量重置僅能生成相同用戶密碼，建議被批量重置密碼的用戶登錄系統后及時修改個人密碼。
• 批量重置密碼僅能修改其他用戶密碼，不能修改個人密碼。
• 用戶密碼不支持明文查看和導出。
• 遠程認證用戶不支持在系統修改密碼，僅能在遠程服務器上修改密碼。

前提條件

已獲取“用戶”模塊操作權限。

操作步驟

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理 ”，進入用戶列表頁面。
3. 勾選待修改配置的用戶帳號，單擊左下角“更多”，展開批量操作項。

4. 單擊“重置密碼”，彈出重置密碼窗口。

5. 配置密碼或隨機生成密碼。
6. 單擊“確認”，完成密碼重置。建議及時將新配置的密碼分發給被重置密碼的用戶。

導出用戶信息

云堡壘機支持批量導出用戶信息，用于本地備份用戶配置，以及便于快速修改用戶基本信息。

約束限制

• 支持導出用戶登錄名、認證類型、認證服務器、用戶姓名、手機號碼、郵箱、角色、所屬部門、用戶組等基本信息。
• 為保障用戶帳號安全，帳號登錄密碼不支持導出。

前提條件

已獲取“用戶”模塊操作權限。

操作步驟

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 勾選需要導出的用戶帳戶。如果不勾選，默認導出全部用戶。

4 單擊“導出”，彈出導出用戶帳號確認窗口。

• 輸入當前用戶的密碼，確保導出數據安全。
• （可選）設置加密密碼，將導出文件加密。

導出文件確認

5. 單擊“確認”，保存用戶信息文件到本地。
6. 打開本地文件，即可查看導出的用戶基本信息。

加入用戶組

本章節指導您如何將用戶加入到用戶組，一個用戶可加入多個用戶組。

約束限制

上級部門管理員向下級部門用戶組添加用戶時，可將上級部門的用戶添加到下級部門用戶組。

下級部門擁有“用戶”模塊管理權限的用戶，將當前用戶組中的上級部門成員移除后，不能再添加移除的上級部門用戶。

前提條件

已獲取“用戶”模塊操作權限。

單個用戶加入組

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶管理”，進入用戶列表頁面。
3. 在目標用戶“操作”列，單擊“加入組”，彈出用戶加入組編輯窗口。

4. 勾選一個或多個用戶組，將用戶加入用戶組。
5. 單擊“確認”，返回用戶詳情頁面，即可查看用戶已加入的組。

多個用戶批量加入組

1. 登錄云堡壘機系統。
2. 在左側導航樹中，選擇“用戶 > 用戶組”，進入用戶組列表頁面。
3. 在目標用戶組“操作”列，單擊“編輯組成員”，彈出用戶組成員編輯窗口。

4. 勾選多個用戶帳號，將用戶加入用戶組。
5. 單擊“確認”，返回用戶組列表，即可查看用戶組成員數增加。