欢迎来到公海710 Ivanti UWM 管理中心安全沙盒

在绝大多数 UWM 部署中，除了添加单个全局管理组之外，很少更改默认安全设置。这通常是因为只有一个小的核心团队管理该产品，因此通常不需要沙箱人员的能力。

不过，也许有承包商提供了更大的帮助。或者可能是初级管理员进行非常有针对性的测试。在这些情况下，您可能希望授予访问权限以仅更新分配给特定部署组的特定策略。

要开始此过程，我们需要创建一个“对象”安全卷，如下所示：

创建对象安全卷后，我们需要添加具有“仅登录”权限的 AD 安全组（或本例中的用户）：

现在事情变得有点混乱了。我们必须转到要设置权限的实际对象（部署组和包），而不是继续在控制台的安全部分。

在此示例中，我们专门为此工作创建了一个名为“安全沙盒组”的新部署组。创建后，选择部署组并转到右侧的安全选项。添加要授予权限的用户或组，并将其分配给“Sandbox Admin”角色：

此时，我们的测试用户（或组）现在拥有安全沙盒组的管理访问权限。但是，他们无权访问任何要分配的包。为此，我们需要向目标用户/组授予相同的角色，他们需要能够打开、修改、保存和分配特定的包。

这是通过控制台的“程序包”部分、目标政策的“安全”部分完成的：

目前，我们的沙盒用户/组拥有打开、修改、保存特定策略包并将其分配给特定安全组所需的访问权限。然而，我们没有（也不打算）授予他们将其他软件包分配给该组的权利——比如代理。因此，作为我们的全局管理员，我们需要将基本代理分配给相关的部署组：

您会注意到，在此示例中，我们仅部署应用控制，并且没有分配政策。这可以稍后由我们的沙箱管理员完成。沙箱组的目标计算机还需要由全局管理员提前移动，因为我们选择不授予沙箱管理员权限来执行此功能。

从这里，我们可以通过以沙箱管理员身份登录管理控制台来测试该流程，看到我们只能看到一个部署组，并且只能分配一个软件包：

最后，如果我们打开应用程序控制控制台并以沙盒管理员身份连接到管理服务器，我们就只能查看和签出一个策略对象：

当然可以修改上述配置以适应您的组织组/用户要求，但最终应该导致用户/组只能管理 UWM 基础架构的非常狭窄的横截面。

如果您想与 Ivanti 专家交谈，请随时与我们联系。