Gestión de la Administración de direcciones IP
La configuración de la administración de IPAM puede ser una tarea compleja dependiendo de cómo se implemente la infraestructura de IPAM y de quién la administre. Por ejemplo, Contoso puede optar por permitir que un administrador administre todos los aspectos dentro de IPAM, o bien puede limitar la capacidad de administración. Si esta empresa quiere asignar tareas administrativas específicas a los administradores, puede limitar las tareas basadas en áreas funcionales o servidores específicos de IPAM.
RBAC
Para definir y establecer un control pormenorizado de usuarios y grupos, puede usar RBAC para personalizar:
- Roles
- Ámbitos de acceso
- Directivas de acceso
Así, los usuarios y grupos pueden realizar un conjunto específico de operaciones administrativas sobre objetos concretos que administra IPAM.
Implemente la administración basada en roles en IPAM con los componentes de la tabla siguiente.
| Componente | Descripción |
|---|---|
| Role | Un rol es un conjunto de operaciones de IPAM. Puede asociar un rol a un usuario o grupo en Windows mediante una directiva de acceso. Para su comodidad, hay nueve roles de administrador integrados, pero también puede crear roles personalizados para satisfacer sus requisitos empresariales. Puede crear y editar roles en la pestaña Access Control del nodo IPAM en el Administrador del servidor. |
| Ámbito de acceso | Un ámbito de acceso determina los objetos a los que un usuario tiene acceso. Los ámbitos de acceso se pueden usar para definir dominios administrativos en IPAM. Por ejemplo, puede crear ámbitos de acceso en función de la ubicación geográfica de un usuario. De forma predeterminada, IPAM incluye un ámbito de acceso global. Todos los demás ámbitos de acceso son subconjuntos de este ámbito. Los grupos o usuarios que asigne al ámbito de acceso Global disfrutarán de acceso a todos los objetos de IPAM que permita su rol asignado. Puede crear y editar ámbitos de acceso desde el nodo Access Control en la consola de Administración de IPAM. |
| Directiva de acceso | Una directiva de acceso combina un rol con un ámbito de acceso para asignar permisos a grupos o usuarios. Por ejemplo, podría definir una directiva de acceso para un usuario combinando un rol llamado Administrador de bloques de IP con un ámbito de acceso llamado Global\Asia. El usuario tendría permiso para editar y eliminar bloques de direcciones IP asociados al ámbito de acceso Asia, pero no tendría permiso para editar o eliminar ningún otro bloque de direcciones IP en IPAM. Puede crear y editar directivas de acceso desde el nodo Access Control de la consola de Administración de IPAM. |
Grupos de seguridad de IPAM
IPAM tiene varios grupos de seguridad basada en roles integrados que puede usar para administrar la infraestructura de IPAM, como se describe en la tabla siguiente.
| Nombre del grupo | Descripción |
|---|---|
| Administradores de IPAM | Los miembros de este grupo tienen privilegios de acceso a todos los datos de IPAM y para realizar todas las tareas de IPAM. |
| Administradores de MSM de IPAM | Los miembros de este grupo pueden administrar servidores DHCP, ámbitos, directivas y servidores DNS, así como zonas y registros asociados. |
| Administradores de DNS de IPAM | Los miembros de este grupo pueden administrar servidores DNS y sus registros de recursos y zonas DNS asociados. |
| Administradores de registros DNS | Los miembros de este grupo pueden administrar registros de recursos DNS. |
| Administradores de ASM de IPAM | Los miembros de este grupo pueden realizar tareas de espacio de direcciones IP, además de tareas comunes de administración de IPAM. |
| Administradores de registros de direcciones IP | Los miembros de este grupo pueden administrar direcciones IP, incluidas las direcciones sin asignar. También pueden crear y eliminar instancias de direcciones IP. |
| Administradores de DHCP de IPAM | Los miembros de este grupo pueden administrar servidores DHCP y sus ámbitos. |
| Administradores de ámbitos DHCP de IPAM | Los miembros de este grupo pueden administrar ámbitos DHCP. |
| Administrador de reservas DHCP de IPAM | Los miembros de este grupo pueden administrar reservas DHCP. |