3.7.6.1.管理员权限分离

根据需求，可以建立不同权限的管理员帐号。打开[系统管理/账号管理]页面，点击<新增>创建管理员账号，如下图。

在角色选项可以根据需求分配不同的角色。

系统管理员：只能在平台首页查看、在系统管理页面操作。

安全管理员：不能对联动管理、报表订阅、账号管理、升级、授权、分支管控、系统设置模块进行操作，其他权限不限。

审计管理员：只能查看平台上的内容，不能在平台上进行修改、增加、删除操作。

不同管理员的操作权限不同，从而实现管理端账号的三权分立。

3.7.6.2.密码安全策略

登录管理端的安全策略可以根据用户安装需求进行设置，登录AES控制台，在[系统管理/账号管理]页面，点击<设置>，打开[密码安全策略]，如下图。

密码安全策略共有4种配置：

密码使用天数设置：可以开启密码有效期功能(默认关闭)，超期(默认90天，取证范围：[1-365])后登陆时强制用户修改，不修改退出当前登陆。

图像验证码设置：可以开启图形验证码功能（默认开启），连续输入错误超过n次(默认0次，取证范围：[0-5])时，才显示验证码。

登录锁定设置：登陆连续失败n次(默认5次，取值范围：[0-4])锁定m分钟(默认1分钟，取值范围：[1-30])。

登录退出设置：登陆超过n分钟(默认10分钟，取值范围：[1-120])未操作退出当前登陆。

3.7.6.3.管理端账号登录认证

登录管理端提供了两种认证方式，账号密码认证登录和账号密码+动态口令登录。在[系统管理/账号管理]页面下，点击<新增>创建管理员账号，如下图。

账号密码+动态口令登录

账号密码+动态口令登录指登录AES管理端使用用户名密码和手机动态令牌双因素认证，配置如下：

打开[系统管理/帐号管理]，新增或编辑控制台账号，登录方式选择“账号密码认证登录+动态口令认证”。

点击<去生成动态口令>，按照操作方法添加认证信息，如下图。

重新登录AES控制台，通过用户名密码和手机动态令牌通过认证，如下图。

3.7.6.4.IP地址限制登录

管理端的账号支持只允许在授权的电脑登录，打开新增管理员账号页面，启用[允许登录的IP地址]，设置允许登录AES管理端的电脑IP地址，如下图。