思智ERM系統(tǒng)管理員操作手冊

1、 目錄第一部分 管理員操作使用說明2一、管理員administrator21.1 登陸與首頁21.1.1 登陸控制臺21.2 帳號管理4部門管理5用戶管理71.5 客戶端管理81.5.1 在線用戶綁定81.5.2 離線用戶管理101.5.3 綁定信息列表121.6 策略應(yīng)用131.6.1 基本策略131.7 文件解密審批151.8 高級設(shè)置192.1 日志列表23附錄（補(bǔ)充工具介紹）2427 第一部分 管理員操作使用說明一、管理員administrator提示：思智erm系統(tǒng)服務(wù)器安裝完成后，為了確保其已經(jīng)安裝成功，應(yīng)首先登陸控制臺界面進(jìn)行驗(yàn)證，看控制臺能否正常登陸。1.1 登陸與首頁1.1.

2、1 登陸控制臺1. 安裝服務(wù)器端程序成功后，在任意一臺能夠與服務(wù)器正常連接的內(nèi)網(wǎng)計算機(jī)中（若服務(wù)器架設(shè)在公網(wǎng)上，也可通過任意一臺聯(lián)網(wǎng)計算機(jī)進(jìn)行訪問），訪問格式如下：http:/服務(wù)器端程序ip地址:9999（若服務(wù)器未架設(shè)在公網(wǎng)上，則此處輸入內(nèi)網(wǎng)ip地址即可，若服務(wù)器架設(shè)在公網(wǎng)上，則此處ip訪問地址為公網(wǎng)ip），如下圖：2. 初次使用控制臺，需要安裝根證書，該步由系統(tǒng)自動進(jìn)行檢測，界面如下，首先頁面提示控制臺正在檢查根證書是否已安裝，點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站即可：3. 假設(shè)此機(jī)器第一次登陸控制臺，那么將提示安裝根證書。點(diǎn)擊“是”添加證書：4. 緊接著會彈出安全性警告，點(diǎn)擊“是”按鈕，允許安裝根證書：

3、5. 繼續(xù)點(diǎn)擊“是”按鈕，開始安裝根證書：6. 待此根證書安裝結(jié)束后，ie瀏覽器將自動轉(zhuǎn)入登陸頁面。思智erm系統(tǒng)控制臺登錄界面如下圖所示，輸入正確的用戶名、口令及校驗(yàn)碼后，點(diǎn)擊“登錄”按鈕，即可進(jìn)入控制臺界面。提示：輸入用戶名 和 口令7. 控制臺主界面如下圖所示： 操作區(qū)菜單區(qū)組織結(jié)構(gòu)1.2 帳號管理提示：思智erm為管理員提供了首次登陸的帳號與密碼，為保證系統(tǒng)安全可靠，思智泰克建議管理員在首次登陸控制臺時，及時修改為自定義密碼，以保障管理員權(quán)限不受侵害。該功能可以通過“賬號及安全”選項實(shí)現(xiàn)。1. 將鼠標(biāo)移至“賬號管理”選項，在下拉菜單中點(diǎn)擊“賬號及安全”選項，如下圖所示：2. 在“賬號管

4、理”界面，可以進(jìn)行當(dāng)前登陸用戶的密碼修改操作。 “用戶名”即為當(dāng)前所登陸的用戶名，口令要求具有一定的復(fù)雜度限制。 部門管理說明：在將客戶端機(jī)器和組織機(jī)構(gòu)中創(chuàng)建的erm進(jìn)行綁定前，管理員可先進(jìn)行部門設(shè)置。部門設(shè)置即在思智erm系統(tǒng)中創(chuàng)建和企業(yè)實(shí)際一致的部門組織圖，可通過菜單“機(jī)構(gòu)管理”中的“部門管理”來實(shí)現(xiàn)。1. 將鼠標(biāo)移至“機(jī)構(gòu)管理”選項，在下拉菜單中點(diǎn)擊“部門管理”選項，如下圖所示：2. 首先通過“創(chuàng)建部門”創(chuàng)建一個完整的部門組織結(jié)構(gòu)，部門調(diào)整及部門撤銷是在已存 在的部門基礎(chǔ)上進(jìn)行。3. 部分字段含義如下： 部門共享隔離性：有默認(rèn)，共享和隔離三種隔離特性。“默認(rèn)”即用戶與用戶之間文件不可互相

5、查看，除非授權(quán)（即701默認(rèn)的實(shí)現(xiàn)模式）；“共享”即該部門內(nèi)員工的文件可互相訪問（即不需要解密或授權(quán)即可相互查看）；“隔離”即該部門內(nèi)員工可以直接查看別的部門文件，反過來不可以，如下圖示說明：a部門屬性為默認(rèn)，即a部門內(nèi)部員工之間文件互訪時需要授權(quán)后才能查看。b部門屬性為共享，即整個b部門內(nèi)部員工之間文件可互相查看（無需授權(quán)），如c部門內(nèi)部文件互通，d部門內(nèi)文件也互通，由于b的下屬部門d部門為隔離，則d部門可以直接查看c部門的文件，但c部門若要查看d部門文件，則需要d的授權(quán)。 特權(quán)部門：即不接受統(tǒng)一策略管理的部門。如若為全公司員工統(tǒng)一下發(fā)“禁止使用usb設(shè)備”策略，則特權(quán)部門不在本策略下發(fā)范疇

6、內(nèi)。提示：特權(quán)部門中的用戶為特權(quán)用戶，同樣也不會接收統(tǒng)一下發(fā)策略的管理。 批量創(chuàng)建部門（ini）：即批量錄入部門信息，這里需要提前準(zhǔn)備好的格式文件，（如無事先準(zhǔn)備好的該ini格式文件，可采取手動一項一項錄入的方式）。另外，還可通過windwos域?qū)氲姆绞綄?shí)現(xiàn)部門批量導(dǎo)入（前提是公司內(nèi)it系統(tǒng)架構(gòu)采用了域管理方式并已建立了組織機(jī)構(gòu)），具體操作請參考這里。用戶管理說明：對于綁定了客戶端的用戶，需要將其調(diào)整到與實(shí)際相符的部門中并設(shè)置該用戶相應(yīng)的屬性等信息，菜單中位置如下：重要字段含義說明如下： 用戶角色：相當(dāng)于一種用戶職能，每種角色其操作范圍是不同的，系統(tǒng)中默認(rèn)的角色有五種（管理范疇是系統(tǒng)提前設(shè)置

7、好的），同時系統(tǒng)也支持用戶自定義角色。 認(rèn)證方式：分為磁盤認(rèn)證，智能卡認(rèn)證方式等，默認(rèn)為磁盤認(rèn)證（即客戶端登陸的認(rèn)證信息寫入到本地磁盤文件中，進(jìn)入windows系統(tǒng)即可進(jìn)入客戶端環(huán)境），智能卡認(rèn)證即采用硬件綁定方式，將該客戶端的認(rèn)證信息寫入到某硬件中（即進(jìn)入客戶端環(huán)境需要使用相應(yīng)的硬件鑰匙，該鑰匙由思智泰克提供）。 文件遠(yuǎn)程備份設(shè)置：及將本地加密文件自動上傳到某個指定的服務(wù)器上。 批量創(chuàng)建用戶：同批量創(chuàng)建部門，提交一定格式的某種文件上傳成功后即可實(shí)現(xiàn)用戶的批量創(chuàng)建。 策略模式：默認(rèn)即保持原有自身的策略，繼承即主動繼承其所在部門的策略。1.5 客戶端管理通過“客戶端管理”選項，可以查看已安裝了思

8、智erm系統(tǒng)客戶端程序的機(jī)器，其綁定情況和在線或離線狀態(tài)。1.5.1 在線用戶綁定“綁定”含義：指將思智erm系統(tǒng)組織結(jié)構(gòu)中建立的用戶與該用戶實(shí)際使用的計算機(jī)進(jìn)行關(guān)聯(lián)的操作。通過綁定操作，管理員在控制臺對思智erm系統(tǒng)組織結(jié)構(gòu)中的用戶進(jìn)行的管理，才能夠應(yīng)用于該用戶實(shí)際使用的計算機(jī)中。安裝完思智erm客戶端程的機(jī)器，重啟后，該計算機(jī)會自動連接到思智erm系統(tǒng)服務(wù)器，并向服務(wù)器發(fā)送“綁定請求”，然后由管理員在控制臺決定是否受理該綁定請求。綁定過程如下：1. 將鼠標(biāo)移至“客戶端管理”選項，在下拉菜單中選“在線用戶綁定”選項，如下圖所示：注：“在線用戶”是指安裝了客戶端并能連通erm服務(wù)器的用戶，如在

9、一個企業(yè)內(nèi)網(wǎng)環(huán)境內(nèi)或以vpn、vlan等方式使客戶端和服務(wù)器處在一個企業(yè)管理環(huán)境內(nèi)。2. 這里有三種綁定查詢條件：“未綁定”、“已綁定”和“全部”三個選項，按照綁定情況并結(jié)合其他查詢條件可篩選出需要的記錄： 3. “綁定用戶”項目欄為空的即為未綁定客戶端，已綁定的客戶端在“綁定用戶”項目中會顯示綁定用戶名稱，如下圖所示：4. 選中某條客戶端發(fā)來的綁定請求，點(diǎn)擊“綁定”，在彈出的界面上選擇該機(jī)器所要對應(yīng)的erm用戶，如下圖所示：5. 綁定成功后，彈出提示框，并在“綁定用戶”列中出現(xiàn)已綁定用戶名稱：6. 至此，該用戶的綁定過程結(jié)束。使用相同的方法，可以完成更多的組織結(jié)構(gòu)中的用戶與該用戶實(shí)際操作計算

10、機(jī)之間的綁定。注意：“清除”會清除掉用戶已有的綁定（包括該erm用戶的本地證書等信息），即解除用戶與計算機(jī)之間的綁定關(guān)系。清除完成一段時間后，該客戶端會自動發(fā)送綁定請求信息到控制臺，可以根據(jù)之前的操作，再次對該客戶端進(jìn)行綁定。1.5.2 離線用戶管理“離線用戶”：指客戶端連不上erm服務(wù)器，如長期帶出去出差的筆記本。 1主界面如下，該界面分為兩個部分，離線信息導(dǎo)入：即導(dǎo)入由客戶端生成的客戶端基本信息文件，格式為ini文件；離線客戶端信息導(dǎo)出：即將對該客戶端所下發(fā)的策略以策略腳本形式進(jìn)行導(dǎo)出。2. 首先需要在客戶端運(yùn)行一個客戶端信息導(dǎo)出工具（查找位置c:program filescommon f

11、ilessagetechcommapp），導(dǎo)出客戶端信息并保存，如下圖：為避免使用相同的ghost文件進(jìn)行系統(tǒng)恢復(fù)的情況，可以勾選“使用硬盤序列號”，然后“導(dǎo)出”即可。3. 接下來返回到上述的離線用戶管理界面，執(zhí)行 “離線信息導(dǎo)入”操作，將剛才導(dǎo)出的文件從這里導(dǎo)入，如圖所示：文件正確導(dǎo)入后，接著該界面下方會多出一個用戶綁定界面，綁定操作可參考在線用戶綁定操作，如圖： 注：一個用戶只能存在一種綁定（離線或在線），若已存在在線綁定，則需刪除原來的綁定在進(jìn)行。4. 接下來選擇該離線綁定用戶，并為該離線用戶下發(fā)相應(yīng)的管理策略。5. 設(shè)置完畢后將針對該客戶端的所下發(fā)的管理策略以腳本形式導(dǎo)出： 時間選項：

12、該項為可選項，當(dāng)選中時，可以設(shè)置所設(shè)置策略對該用戶的作用時間，若不選擇（即默認(rèn)），則對該離線用戶的策略設(shè)置永久有效。 安全選項：該項也為可選項，當(dāng)選中時，會提示設(shè)置密碼信息。6. 設(shè)置完成后，導(dǎo)出保存即可。7.返回該離線客戶端，使用客戶端離線導(dǎo)出工具將剛導(dǎo)出的ini文件導(dǎo)入到該客戶端工具中，如導(dǎo)出時設(shè)置了口令，在此輸入導(dǎo)入口令即可，如下圖所示：至此即完成了離線用戶與服務(wù)器綁定操作，該離線用戶即可正常接受控制臺統(tǒng)一管理。到這里，客戶端基本設(shè)置，包括用戶的建立和離線設(shè)置已經(jīng)完成，接下來即進(jìn)入為用戶設(shè)定操作策略階段，可進(jìn)入到策略應(yīng)用中針對用戶進(jìn)行策略下發(fā)操作。1.5.3 綁定信息列表在需要查看系統(tǒng)中

13、所有客戶端綁定情況時，可在此進(jìn)行查看。1. 將鼠標(biāo)移至“客戶端管理”選項，在下拉菜單中點(diǎn)擊“綁定信息列表”選項，如下圖所示：2. 默認(rèn)狀態(tài)下，該界面顯示的是已綁定客戶端的綁定信息。這里提供了兩種查看方式：按綁定情況和排序方式查看；1.6 策略應(yīng)用在思智erm系統(tǒng)中，管理員通過策略實(shí)現(xiàn)對客戶端機(jī)器的管理，向客戶端下發(fā)策略可以通過“策略應(yīng)用”功能實(shí)現(xiàn)。1.6.1 基本策略在需要向思智erm用戶下發(fā)基本策略的時候，可以通過菜單“策略應(yīng)用”中的“基本策略”來實(shí)現(xiàn)。1. 將鼠標(biāo)移至“策略應(yīng)用”選項，在下拉菜單中點(diǎn)擊“基本策略”選項，如下圖所示：2. 接下來為選定用戶下發(fā)基本策略管理。在控制臺左側(cè)組織機(jī)構(gòu)

14、圖中，選擇需要接收策略的用戶，如下圖所示：系統(tǒng)策略庫中所列出的所有策略的具體含義可參考策略列表。3.該界面分為兩個組成部分：左邊框?yàn)橄到y(tǒng)中所有的策略集合，并且已按照屬性進(jìn)行了分類，右邊框?yàn)橐呀?jīng)添加的策略集合，中間通過“添加”和“刪除”按鈕來控制選擇。策略可通過按住ctrl鍵進(jìn)行選擇多個。3. 對該用戶所要下發(fā)的策略選擇完成后，點(diǎn)擊“應(yīng)用”彈出如下策略應(yīng)用確認(rèn)窗口。選擇“確定”，提示策略下發(fā)成功，至此，基本策略下發(fā)操作完成。這里針對用戶所下發(fā)的基本策略是一段時間內(nèi)相對穩(wěn)定的，除非再次手動進(jìn)行修改。還有一些策略僅在某些必要的情況下進(jìn)行應(yīng)用，在此情況下可以對某個用戶下發(fā)一次性策略，該策略只能執(zhí)行一次

15、，具體操作見接下來的一次性策略介紹。為各個用戶設(shè)定基本操作策略之后，還可查看策略下發(fā)統(tǒng)計信息，即某條策略的執(zhí)行人員有哪些，能從另一個角度觀察用戶與策略之間的操作關(guān)系，可參考策略應(yīng)用明細(xì)。1.7 文件解密審批功能：指定解密審批規(guī)則，即由哪些人通過何種審批順序?qū)σ蠼饷艿奈募M(jìn)行解密審批；操作位置如下：審批流程的建立在控制臺，選擇“文件審核”“制定流程”?？梢悦總€部門有自己單獨(dú)的流程，也可以多個部門用同一個流程。 新建審批流程解密流程名稱：用戶自定義；解密流程備注：此流程的詳細(xì)備注信息（可不填寫）；解密文件總數(shù)量：申請人每次提交文件的最大限制（如不填則無數(shù)量限制）；解密文件大?。荷暾埲嗣看翁峤晃募?/p>

16、的總大小限制（如不填則無大小限制）； 1.2、建立流程節(jié)點(diǎn)節(jié)點(diǎn)：即每個流程的審核管理職位，每個節(jié)點(diǎn)可以設(shè)置多個人進(jìn)行同時審批（節(jié)點(diǎn)名稱可以取名為主管、經(jīng)理、部長等方便識別的信息）。注：審核順序以創(chuàng)建節(jié)點(diǎn)順序?yàn)闇?zhǔn)，如先由主管審批通過以后再由經(jīng)理審批。 設(shè)置相應(yīng)審批規(guī)則添加人員：選擇相應(yīng)節(jié)點(diǎn)，選擇組織機(jī)構(gòu)人員，在人員列表里進(jìn)行添加。設(shè)置規(guī)則：針對每個節(jié)點(diǎn)人員設(shè)置審批規(guī)則。 單選單人審批：節(jié)點(diǎn)只有一個人的時候使用； 多選單人審批：節(jié)點(diǎn)有多人時，只要一人通過即通過； 多選多人審批：節(jié)點(diǎn)有多人時，需要其中兩個一上的人員通過才可以通過； 全部審批：節(jié)點(diǎn)所有人都需要通過方可流程方可通過； 允許申請者細(xì)選審核

17、人：此選項只在多選單人、多選多人規(guī)則里；允許審核這細(xì)選審核人：勾選此項以后，申請解密人可以自己選擇每個節(jié)點(diǎn)的審核人員；如不勾選此項，審批信息將會同時發(fā)給每個審批人，然后按相應(yīng)規(guī)則進(jìn)行審核。注：流程創(chuàng)建完畢下發(fā)應(yīng)用以后便不能修改名稱不能修改內(nèi)容，如需修改流程必須重新創(chuàng)建一個新流程。 應(yīng)用審批流程創(chuàng)建流程完畢以后用戶下發(fā)，“文件審核”“應(yīng)用流程”。 給部門下發(fā)流程 給用戶下發(fā)流程繼承流程：為此用戶所屬部門的流程（如果為空，即部門沒有流程）。注：如果用戶即有部門流程，又有用戶本身流程，以用戶自身流程優(yōu)先。 查看流程明細(xì)下發(fā)流程完畢以后可以查看每個流程所應(yīng)用的部門和用戶。菜單：“文件審核”“應(yīng)用流程明

18、細(xì)”。查看界面：注：所有流程創(chuàng)建并下發(fā)以后，需要給申請人員下發(fā)“使用審批策略”，申請用戶才可以進(jìn)行解密申請。 1.8 高級設(shè)置該模塊是針對高級操作用戶而設(shè)置的，它對用戶提供了更為靈活和細(xì)致的操作。查找位置及該功能模塊所能實(shí)現(xiàn)的功能如下，以下將一一做介紹。打印信息設(shè)置菜單位置：高級設(shè)置-打印設(shè)置操作界面如下：注：打印機(jī)查找工具及其使用見“附錄（補(bǔ)充工具介紹）-5.打印機(jī)查找工具”。自定義策略設(shè)置自定義策略即將一組策略捆綁成一個策略包，以策略包的形式一次性向某用戶下發(fā)。1 主界面介紹：可分為兩大部分，創(chuàng)建自定義策略名稱及為自定義新策略捆綁策略。2 操作步驟： 在“新建策略組合”框中輸入需要創(chuàng)建的新

19、策略名稱，并在“操作類型”中選擇新建，輸入完畢后，點(diǎn)擊“確定”即加入到“策略組合列表”中。注：這里由兩種操作類型可供選擇：新建及復(fù)制。復(fù)制：在“策略組合列表”中選中一條需要復(fù)制的策略，則新建的策略內(nèi)容將和被復(fù)制的策略內(nèi)容一致了。 為該新建的用戶策略設(shè)置具體的策略組合明細(xì)，如下圖所示。添加策略可通過“用戶策略明細(xì)”框右邊的“添加基本策略”及“添加特殊策略”按鈕實(shí)現(xiàn)。注：“用戶策略明細(xì)”框中的每條策略均為策略集合，如在“添加特殊策略”中添加了“office透明加密”和“adobe系列透明加密”兩條策略之后，這里只顯示一條“透明加密進(jìn)程”，具體的加密進(jìn)行信息可通過下圖的“策略參數(shù)”進(jìn)行查看及編輯等。

20、 策略參數(shù)即用戶策略明細(xì)所對應(yīng)的具體策略格式信息。每條用戶策略都有其對應(yīng)的策略參數(shù)，雙擊某條策略參數(shù)即可進(jìn)行修改。同時，也可以通過右邊框的“添加”，“修改”按鈕為該用戶策略添加一條新策略或刪除一條現(xiàn)有策略，如要設(shè)置office系列word文檔不在該“透明加密進(jìn)程”管束之下，則選中策略參數(shù)中的“office winword”，然后點(diǎn)擊“刪除”即可。新“添加”的策略參數(shù)出現(xiàn)在“安全應(yīng)用進(jìn)程”窗口最下方。3 設(shè)置完畢后“保存策略參數(shù)”即可。提示：新建的自定義策略會出現(xiàn)在菜單欄“策略應(yīng)用-基本策略”界面下的“自定義”策略列表中，以供特殊需要時進(jìn)行下發(fā)。郵件設(shè)置含義：將某人發(fā)送郵件中的附件發(fā)送到某指定郵

21、箱時做自動解密處理。操作提示：對某客戶端進(jìn)行郵件設(shè)置時，同時需要為其下發(fā)“郵件監(jiān)控策略”（基本策略-自定義-郵件監(jiān)控）。位置：菜單-高級設(shè)置-郵件設(shè)置，如下圖所示：主操作界面如下：備注：1.若僅開啟該郵件監(jiān)控模塊，而不對客戶端進(jìn)行任何郵件設(shè)置，則默認(rèn)客戶端發(fā)送及接收郵件不受控制，即發(fā)送附件若為明文，對方收到也是明文，發(fā)送為密文，對方接收到的也是密文。2. “發(fā)送郵箱白名單、接收郵箱白名單及郵件附件” 設(shè)置時可根據(jù)實(shí)際情況配置部分或全部，有如下幾種情形：l 僅配置發(fā)送郵件白名單（未設(shè)置接收郵箱白名單）：則凡是從該郵箱發(fā)送的郵件會自動解密，接收方不限制接收郵箱，收到均為明文。l 僅配置接收白名單（

22、未設(shè)置發(fā)送郵件白名單）：則無論客戶端使用何郵箱發(fā)送郵件，接收方使用提前設(shè)置的郵箱接收到即為明文。l 發(fā)送及接收郵箱白名單均設(shè)置：則發(fā)送方用特定的郵箱發(fā)送且接收方用特定的郵箱接收到時，附件才為明文。二日志管理圖 日志控制臺2.1 日志列表功能：日志基表-某段時間內(nèi)的操作日志；日志歸檔表-即每隔一段時間（在控制臺系統(tǒng)設(shè)置中進(jìn)行設(shè)定），用戶的操作日志會歸檔到這里，并可設(shè)定定期將該日志記錄刪除；位置：菜單-日志；注：日志類型又分為客戶端日志和控制臺日志，客戶端日志即各個客戶端用戶所做的操作記錄，控制臺日志即各管理員通過控制臺所做的設(shè)置的操作記錄。操作：選中一個用戶及日志表類型，即可按照操作時間、事件（可