管理控制面板管理员和权限
To view this article in English, please click here.
本文将介绍控制面板内的不同权限级别,以及如何管理有管理权限的用户。“有管理权限的用户”是指可以登录控制面板并查看/管理思科 Meraki 网络/设备的用户。要了解如何管理有客户端 VPN 或无线网络加入权限的用户,请查看有关使用 Meraki 身份验证管理用户帐户的文章。
摘要
控制面板管理员有两种基本类型:组织和网络
。- 组织管理员具有访问组织及其所有网络的完整权限。此类帐户相当于根管理员或域管理员,因此,必须谨慎维护拥有此控制级别的人员。请参见以下内容,了解有关这些帐户的最佳做法。
- 网络管理员有权访问各个网络及其设备。这些用户具有对其网络进行配置的完整或有限的控制权限,但无权访问组织级别信息(许可、设备清单等)。
大多数控制面板管理员属于上述两个类别之一,本文其余部分将深入介绍与不同管理员类型关联的选项和限制。
组织权限类型
只读:用户可以访问大部分网络和组织范围的设置,但无法进行任何更改。
完全:用户拥有所有网络和组织范围设置的完全管理访问权限。这是最高级别的访问权限。
网络权限类型
访客代表:用户只能查看 Meraki 身份验证用户列表、添加用户、更新现有用户和授权/取消授权用户使用 SSID 或客户端 VPN。如果代表是所有网络的代表,还可以删除无线用户。
仅呈现用户管理门户。
仅监控:用户只能在控制面板中查看“监控”部分的部分内容,不能进行任何更改。
只读:用户可以访问网络的大部分设置,包括“配置”部分,但不能进行任何更改。
完全:用户有权访问网络的全部内容,并执行任何更改。
管理组织权限
控制面板组织的所有权限都可以在组织 >; 管理员下进行管理,但是,此页仅对拥有完全或只读组织访问权限的用户可见。只有拥有完全组织访问权限的用户才能在此页上执行更改。
修改/删除组织范围的访问权限
在组织 >; 管理员
下- 点击与管理员对应的这一行。
- 将其组织访问权限更改为“无”,或所需的权限级别。
- 点击保存更改。
- 点击保存更改。
注意:如果管理员没有其他网络特定的访问权限,并且其组织访问权限被指定为“无”,则系统会从管理员列表中删除这个管理员。
删除组织管理员
在组织 >; 管理员
下- 点击管理员名称旁边的复选框。
- 点击删除。
- 点击保存更改。
组织管理的策略和最佳做法
根据策略要求,思科 Meraki 支持团队不会代表客户执行任何控制面板配置更改,控制面板管理员必须在 Meraki 控制面板上执行自己的配置和帐户更改。正如思科 Meraki 不会执行任何配置更改,他们也不能对组织或网络权限做出任何调整;对控制面板管理执行的所有更改都必须由相应控制面板帐户上现有的组织管理员执行。请参阅我们的最终用户协议第 1.4 部分,了解详细信息。
此策略旨在防止网络所有者遭受恶意攻击。同样,我们强烈建议在确定组织管理时遵照以下最佳做法,以确保控制面板网络的安全:
-
谨慎选择合适的组织管理员,因为组织管理员在控制面板组织中处于最高的控制级别。
-
思科 Meraki 硬件和许可证的有效所有者应是相应帐户上唯一的组织管理员。
-
-
确保组织管理员的用户名/邮件电子邮件地址与您控制范围内的域关联。
-
出于帐户恢复目的,在与之前的组织管理员分离关系时提供帮助。
-
允许控制组织管理员的邮件电子邮件地址别名。
-
-
使用双因素身份验证并将备份身份验证密钥存储在安全的位置上。
-
应根据需要授予任何顾问有限的访问权限。
-
最有可能的情况是,对于技术配置更改,提供作为网络管理员的临时访问权限是最好的选择。
-
如果顾问需要组织管理员权限,请务必在执行完必要的更改后撤消所有组织管理员权限。理想情况下,硬件/许可证所有者应是唯一的组织管理员。
-
-
如果当前组织管理员从公司离职,强烈建议在离职过程中尽早撤消和/或重新分配其帐户权限。
-
将控制面板组织管理员视为 Active Directory 的域管理员,或域名注册的主要联系人;只有具有此角色的人才能将其他用户提升为此角色。
管理网络权限
在组织级别授予的权限适用于组织中的所有网络,并且只能在组织 > 管理员页面进行管理。特定网络的权限可以在两个位置进行管理:。在组织 > 管理员下,或在配置 > 警报和管理/网络范围设置下。
添加网络管理员
在组织 > 管理员
下- 点击添加管理员。
- 输入管理员用于登录的名称和邮件电子邮件地址。
- (可选)选择组织访问权限级别,其定义见如“组织权限类型”部分中定义的那样。
- 点击添加访问权限。
- 在目标字段中选择要授予访问权限的网络。
- 在访问权限字段中选择要提供的权限级别,其定义见如网络权限类型部分中定义的那样。
- 点击创建管理员。
- 点击保存更改。
- 系统会向输入的邮件电子邮件地址中发送一封邮件,里面包含临时密码,并且会指导用户如何登录。
在配置 > 警报和管理/网络范围设置
下- 在添加现有用户...中选择用户,或者点击创建新用户。
- 如果使用“创建新用户”,请输入管理员用于登录的名称和邮件电子邮件地址。
- 点击创建用户。
- 如果有消息指出用户已经存在,请使用添加现有用户...字段搜索邮件电子邮件地址。
- 在新用户的权限下,选择要提供的网络访问权限级别,其定义见如网络权限类型部分中定义的那样。
- 点击保存更改。
修改网络访问权限
在组织 > 管理员
下- 点击与管理员对应的这一行。
- 在目标网络这一行中,将访问权限更改为所需级别。
- 点击保存更改。
- 点击保存更改。
在配置 > 警报和管理/网络范围设置
下- 将管理员用户的权限下拉列表更改为所需的级别。
- 点击保存更改。
删除网络访问权限
在组织 > 管理员
下- 点击与管理员对应的这一行。
- 点击目标网络这一行中的 X。
- 点击保存更改。
- 点击保存更改。
在配置 > 警报和管理/网络范围设置
下
- 点击管理员用户这一行中的 X。
- 点击保存更改。
注意:目前,在使用 Meraki 身份验证时,即使未授予任何权限,当前管理用户和以前的管理用户仍将继续显示在“配置 > 用户”列表中。除非用户被授权使用 SSID/VPN 或授予控制面板权限,否则他们并不具备列表中显示的访问权限。
按网络标记划分权限
为了简化拥有很多网络的组织中网络级别权限的分配,可以按照指定网络标记向用户授予权限。之后,这些权限将会应用到组织中拥有相应标记的所有网络中。只有拥有完全组织访问权限的用户才能执行这些更改。
首先,标记任何合适的网络:
- 导航至组织 > 概述。
- 点击所需网络旁边的复选框。
- 点击标记。
- 在添加字段中,选择或输入任何所需标记。
- 要添加标记,请键入新标记的名称(单个词,不带空格)。(例如: “newtag”或“new_tag”)
- 然后点击所需标记名称旁边的添加选项。
- 当标记在添加字段中显示为气泡状态后,点击添加按钮。
然后根据标记向这些网络授予权限:
- 导航至组织 > 管理员。
- 点击与管理员对应的这一行。
- 点击添加访问权限。
- 在目标下,选择以标记开头并包含之前应用的标记名称的条目。
- 在访问权限下,指出管理员应对具有此标记的网络的访问权限。
- 点击保存更改。
- 点击保存更改。
交换机端口管理权限
我们也可以在交换机端口级别分配权限,让较低层级的技术人员或外部承包商对网络执行基本更改。这可通过标记各个交换机端口,针对标记创建端口管理权限,然后将权限授予管理员实现。
添加端口标记
- 导航至配置 > 交换机端口。
- 点击应标记的任何交换机端口旁边的复选框。
- 点击标记。
- 在添加框中,选择现有的标记....
...或者输入名称并点击添加选项,创建新标记。
注意:标记不能包含空格。
- 当任何所需标记在框中显示为气泡状态后,点击添加。
- 如此便可根据需要标记所选端口。
注意:可能需要使用标题列右侧的 + 按钮将“标记”列添加到表中。
删除端口标记
- 导航至配置 > 交换机端口。
- 点击应标记的任何交换机端口旁边的复选框。
- 点击标记.。
- 在删除框中,选择应删除的任何现有标记。
- 当任何所需标记在框中以气泡状态显示时,点击删除。
创建端口管理权限
- 导航至配置 > 警报和管理。
- 在端口管理权限下,点击添加端口管理权限。
- 输入可以描述权限目的的权限名称。
- 选择相应权限可以向其提供访问权限的任何端口标记。
- 选择这些端口上是否允许数据包捕获。
- 点击保存更改。
删除端口管理权限
- 导航至配置 > 警报和管理。
- 在端口管理权限下,点击要删除权限的操作列中的 X。
- 点击保存更改。
分配端口管理权限 ;
端口管理权限以上述管理网络权限部分中所述的其他权限的相同方式分配给网络管理员。只需从权限下拉列表中为所需管理员选择之前创建的权限即可。
仅限 SSID 管理员
运营商可以使用仅限 SSID 管理员功能使其客户修改 SSID 信息并查看客户端分析。系统会隐藏控制面板的其他元素,不让客户看到,这样便可防止执行可能会中断网络性能的意外更改。仅限 SSID 管理员可以专门访问:
- 网络 > 客户端分析
- 网络 > 位置分析
- 网络 > 无线设置。
这不仅可以限制客户在控制面板中的操作范围,在网络 ;>;无线设置下,客户还将受限于以下选项:
- 设置 SSID 名称
- 启用或禁用 SSID
- 配置开放加密、WPA2 或 WEP
- 设置 SSID 密码(如果适用)
- 分配未启动页、点击启动页或 Facebook Wi-Fi 启动页
注意:此功能仅对单一的无线网络可用。组合网络(无线外加其他产品线)将不会显示此 UI 选项。
注意:此功能仅对运营商可用,并且必须由 Meraki 支持启用。
配置仅限 SSID 管理员功能
配置仅限 SSID 管理员功能需要两步:定义要管理的 SSID,以及向客户分配管理权限。
定义客户配置的 SSID
在无线 > SSID
下- 对于所需的每个 SSID,找到 SSID 管理员下拉列表。
- 默认情况下,系统将禁用所有 SSID 上的访问权限。从下拉列表中选择启用访问权限,以便让客户修改此 SSID。
分配权限
作为组织级别的管理员:
在组织 > 管理员
下- 点击与管理员对应的这一行。
- 在目标网络这一行中,将访问权限更改为仅限SSID。
- 点击保存更改。
- 点击保存更改。
作为网络级别的管理员:
在网络范围 > 常规
下- 将管理员用户的权限下拉列表更新为“仅限 SSID”字段。
- 点击保存更改。
解锁管理员帐户
可以通过启用帐户锁定选项,在控制面板组织中的组织 > 配置 > 设置 > 安全下为帐户配置锁定策略。
如果管理员的帐户由于身份验证失败次数过多而被锁定,可通过具有完全网络权限(针对网络管理员)或完全组织权限的其他用户解锁。解锁帐户的用户必须拥有对等或更大的权限(即仅限网络管理员无法为仅限组织管理员解锁帐户)。
对于具有组织权限的管理员用户:
- 导航至组织 > 管理员。
- 点击帐户被锁定的管理员旁边的复选框。
- 点击解锁。
对于具有网络权限的管理员用户:
- 导航至配置 > 警报和管理/网络范围设置。
- 点击帐户被锁定的管理员旁边的解锁按钮。
重置管理员用户的密码
要重置管理员用户的密码,请执行以下操作:
- 点击右上角的注销以注销控制面板
- 转至 https://account.meraki.com/login/reset_password
- 输入需要重置密码的管理员帐户的邮件电子邮件地址
- 点击提交
系统将向此邮件电子邮件地址发送一封邮件,详细说明如何重置密码。
权限优先级
控制面板中的权限是添加的权限,系统基于分配给用户的适用最高级别权限在页面上向其授予权限。因此,在组织级别具有只读权限,而在特定网络中具有完全权限的管理员只能拥有相应网络的完全权限。
这对标记同样适用。如果基于不同的标记用户具有网络的只读和完全访问权限,那么用户将被赋予完全访问权限。