Configuración de la administración basada en roles para Configuration Manager
Se aplica a: Configuration Manager (rama actual)
En Configuration Manager, la administración basada en roles combina roles de seguridad, ámbitos de seguridad y colecciones asignadas para definir el ámbito administrativo de cada usuario administrativo. Un ámbito administrativo incluye los objetos que un usuario administrativo puede ver en la consola de Configuration Manager y las tareas relacionadas con los objetos que tienen permiso para realizar.
Si aún no está familiarizado con estos conceptos, consulte Aspectos básicos de la administración basada en roles.
Use la información de este artículo para crear y configurar la administración basada en roles y las opciones de seguridad relacionadas.
Nota:
En los procedimientos de este artículo se supone que el usuario administrativo tiene un rol de seguridad con los permisos necesarios. Por ejemplo, los roles de administrador completo o administrador de seguridad .
Sugerencia
Use la herramienta de administración y auditoría basada en roles para ayudar con las siguientes acciones:
- Permisos de modelo para un nuevo rol que desea crear.
- Audite todos los usuarios administrativos, colecciones y ámbitos de seguridad existentes.
- Auditoría de un usuario específico
Creación de roles de seguridad personalizados
Configuration Manager proporciona varios roles de seguridad integrados. No se pueden cambiar los permisos de los roles integrados. Si necesita otros roles, cree uno personalizado. Puede crear un rol personalizado para conceder a los usuarios administrativos otros permisos que necesiten y no se incluyan en un rol integrado. Mediante el uso de un rol de seguridad personalizado, puede asignarles los permisos menos necesarios. Un rol personalizado puede ayudarle a evitar la asignación de un rol de seguridad que conceda más permisos de los que necesitan.
Creación de roles de seguridad personalizados
En la consola de Configuration Manager, vaya al área de trabajo Administración. Expanda Seguridad y, a continuación, seleccione el nodo Roles de seguridad . A continuación, use uno de los procesos siguientes para crear un nuevo rol de seguridad:
Creación de un nuevo rol de seguridad personalizado mediante la copia de un rol integrado
Seleccione un rol de seguridad existente que se usará como origen para el nuevo rol.
En la pestaña Inicio de la cinta de opciones, en el grupo Rol de seguridad , seleccione Copiar. Esta acción crea una copia del rol de seguridad de origen.
En el Asistente para copiar rol de seguridad, especifique un nombre para el nuevo rol de seguridad personalizado. La longitud máxima es de 256 caracteres.
Opcional pero recomendado, especifique una descripción para resumir el propósito de este rol de seguridad personalizado. La longitud máxima es de 512 caracteres.
En Permisos, expanda cada tipo de objeto para mostrar los permisos disponibles.
Para cambiar un permiso, seleccione la lista desplegable y elija Sí o No.
Precaución
Al configurar un rol de seguridad personalizado, conceda solo los permisos necesarios para los usuarios asignados a este rol. Por ejemplo, el permiso Modificar para el objeto Roles de seguridad permite a los usuarios asignados editar cualquier rol de seguridad accesible, incluso si no están asignados a ese rol de seguridad.
Después de configurar los permisos, seleccione Aceptar para guardar el nuevo rol de seguridad.
Importación de un rol de seguridad que se exportó desde otra jerarquía de Configuration Manager
Importante
Importe solo archivos de configuración de roles de seguridad personalizados desde un origen de confianza. Al exportar un rol de seguridad personalizado, guárdelo en una ubicación segura. Los archivos XML no están firmados digitalmente.
En la pestaña Inicio de la cinta de opciones, en el grupo Crear , elija Importar rol de seguridad.
Especifique el archivo XML que contiene la configuración del rol de seguridad exportado. Seleccione Abrir para completar el procedimiento y crear el rol de seguridad.
Después de importar un rol de seguridad personalizado, abra sus propiedades. Vea los permisos para confirmar que incluyen los permisos menos necesarios para este rol. Cambie los permisos que no sean necesarios en este entorno.
Nota:
No se pueden exportar roles de seguridad integrados.
Configuración de roles de seguridad
Puede modificar los permisos de un rol de seguridad personalizado, pero no puede modificar los roles de seguridad integrados.
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Seguridad y, a continuación, seleccione el nodo Roles de seguridad.
Seleccione el rol de seguridad personalizado que desea modificar o ver.
En la pestaña Inicio de la cinta de opciones, en el grupo Propiedades , seleccione Propiedades.
En la pestaña General de la ventana de propiedades, cambie el nombre o la descripción si es necesario.
En la pestaña Usuarios administrativos , vea los usuarios asociados a este rol. Para cambiar la asignación, vaya a las propiedades del usuario administrativo.
En la pestaña Permisos , expanda cada tipo de objeto para mostrar los permisos disponibles.
Para cambiar un permiso, seleccione la lista desplegable y, a continuación, elija Sí o No.
Precaución
Al configurar un rol de seguridad personalizado, conceda solo los permisos necesarios para los usuarios asignados a este rol. Por ejemplo, el permiso Modificar para el objeto Roles de seguridad permite a los usuarios asignados editar cualquier rol de seguridad accesible, incluso si no están asignados a ese rol de seguridad.
Cuando haya terminado, seleccione Aceptar para guardar el rol de seguridad personalizado.
Configuración de ámbitos de seguridad para un objeto
Administre los ámbitos de seguridad desde el objeto protegible, no desde el ámbito de seguridad. Las únicas propiedades que puede cambiar en un ámbito de seguridad personalizado son el nombre y la descripción. No se pueden modificar los dos ámbitos integrados. Para cambiar el nombre y la descripción de un ámbito personalizado, necesita el permiso Modificar para el objeto Ámbitos de seguridad .
Al crear un nuevo objeto en Configuration Manager, se asocia a cada ámbito de seguridad asociado a los roles de seguridad de la cuenta usada para crear el objeto. Este comportamiento se produce cuando esos roles de seguridad proporcionan el permiso Crear o Establecer ámbito de seguridad . Después de crear un objeto, puede cambiar los ámbitos de seguridad y asignarlo a varios ámbitos.
Por ejemplo, se le asigna un rol de seguridad que le concede permiso para crear un nuevo grupo de límites. Ese rol está asociado al ámbito de seguridad Administradores . Al crear un nuevo grupo de límites, no tiene ninguna opción para asignar ámbitos de seguridad específicos. El ámbito de seguridad Administradores se asigna automáticamente al nuevo grupo de límites . Después de guardar el nuevo grupo de límites, puede editar los ámbitos de seguridad del grupo de límites.
Para obtener más información sobre cómo agregar un ámbito para un usuario, vea Modificar el ámbito administrativo de un usuario administrativo.
Creación de un ámbito de seguridad personalizado
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Seguridad y, a continuación, seleccione el nodo Ámbitos de seguridad.
En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Crear ámbito de seguridad.
En la ventana Crear ámbito de seguridad, especifique un nombre de ámbito de seguridad. La longitud máxima es de 256 caracteres.
Opcional pero recomendado, especifique una descripción para resumir el propósito de este ámbito de seguridad personalizado. La longitud máxima es de 512 caracteres.
Seleccione o quite las asignaciones de usuarios administrativos. Puede cambiarlos después de crear el ámbito de seguridad.
Para guardar el ámbito de seguridad personalizado, seleccione Aceptar.
Configuración de ámbitos de seguridad para un objeto
En la consola de Configuration Manager, seleccione un objeto que admita la asignación a un ámbito de seguridad. Para obtener la lista de objetos admitidos, consulte Aspectos básicos de la administración basada en roles: ámbitos de seguridad.
En la pestaña Inicio de la cinta de opciones, en el grupo Clasificar , seleccione Establecer ámbitos de seguridad.
Para una carpeta, vaya a la pestaña Carpeta de la cinta de opciones. En el grupo Acciones , seleccione Establecer ámbitos de seguridad.
Nota:
Un elemento se puede buscar en carpetas fuera del ámbito de seguridad de un usuario si ese usuario comparte un ámbito de seguridad con la persona que creó el objeto.
En la ventana Establecer ámbitos de seguridad , seleccione o desactive los ámbitos de seguridad de este objeto. Seleccione al menos un ámbito de seguridad.
Seleccione Aceptar para guardar los ámbitos de seguridad asignados.
Configuración de colecciones para administrar la seguridad
No hay procedimientos para configurar colecciones para la administración basada en roles. Las colecciones no tienen una configuración de administración basada en roles. En su lugar, se asignan colecciones a un usuario administrativo. Para determinar las acciones que un usuario administrativo puede realizar en una colección y sus miembros, vea los permisos para el tipo de objeto Collection en el rol de seguridad.
Cuando un usuario administrativo tiene permisos para una colección, también tiene permisos para colecciones que están limitadas a esa colección. Por ejemplo, la organización usa una colección denominada Todos los escritorios. También hay una colección denominada All Norteamérica Desktops que está limitada a la colección Todos los escritorios. Si un usuario administrativo tiene permisos para Todos los escritorios, tiene los mismos permisos para la colección Todos los escritorios Norteamérica.
Un usuario administrativo no puede usar los permisos Eliminar o Modificar en una colección que se le haya asignado directamente. Pueden usar estos permisos en las colecciones que están limitadas a esa colección. En el ejemplo anterior, el usuario administrativo puede eliminar o modificar la colección All Norteamérica Desktops, pero no puede eliminar ni modificar la colección All Desktops.
Creación de un nuevo usuario administrativo
Para conceder acceso a usuarios o miembros de un grupo de seguridad para administrar Configuration Manager, cree un usuario administrativo. Especifique una cuenta de Windows del usuario o grupo de usuarios. Asigne cada usuario administrativo a al menos un rol de seguridad y un ámbito de seguridad. También puede asignar colecciones para limitar el ámbito administrativo del usuario o grupo.
Creación de un nuevo usuario administrativo
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Seguridad y, a continuación, seleccione el nodo Usuarios administrativos.
En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Agregar usuario o grupo.
Seleccione Examinar y, a continuación, seleccione la cuenta de usuario o el grupo que se va a usar para este nuevo usuario administrativo en Configuration Manager.
Nota:
Para la administración basada en consola, solo puede especificar usuarios de dominio o grupos de seguridad de dominio como usuario administrativo.
En Roles de seguridad asociados, seleccione Agregar para abrir una lista de los roles de seguridad disponibles. Seleccione uno o varios roles de seguridad y, a continuación, seleccione Aceptar.
Elija una de las siguientes opciones para definir el comportamiento del objeto protegible para el nuevo usuario:
Todas las instancias de los objetos relacionados con los roles de seguridad asignados: esta opción tiene los siguientes comportamientos:
- Ámbito de seguridad: todo
- Colecciones: todos los sistemas y todos los usuarios y grupos de usuarios
- Los roles de seguridad que asigna al usuario definen su acceso a los objetos.
- Los nuevos objetos que crea este usuario se asignan al ámbito de seguridad predeterminado .
Solo las instancias de objetos que se asignan a los ámbitos y colecciones de seguridad especificados: esta opción tiene los siguientes comportamientos:
- Ámbito de seguridad: predeterminado
- Colecciones: todos los sistemas y todos los usuarios y grupos de usuarios
- Estos valores predeterminados pueden ser diferentes, ya que los ámbitos de seguridad y las colecciones reales se limitan a los asociados a la cuenta que se usa para crear el usuario administrativo.
- Agregue o quite ámbitos de seguridad y colecciones para personalizar el ámbito administrativo de este usuario.
Importante
Después de crear el usuario, vea sus propiedades para seleccionar una tercera opción, Asociar roles de seguridad asignados con ámbitos de seguridad y colecciones específicos. Para obtener más información, vea Modificar el ámbito administrativo de un usuario administrativo.
Seleccione Aceptar para cerrar la ventana y crear el usuario administrativo.
Modificación del ámbito administrativo de un usuario administrativo
Puede modificar el ámbito administrativo de un usuario administrativo agregando o quitando roles de seguridad, ámbitos de seguridad y colecciones asociados al usuario. Cada usuario administrativo debe estar asociado con al menos un rol de seguridad y un ámbito de seguridad. Es posible que tenga que asignar una o varias colecciones al ámbito administrativo del usuario. La mayoría de los roles de seguridad interactúan con colecciones y no funcionan correctamente sin una colección asignada.
Al modificar un usuario administrativo, puede cambiar el comportamiento de cómo se asocian los objetos protegibles a los roles de seguridad asignados. Los tres comportamientos que puede seleccionar son los siguientes:
Todas las instancias de los objetos relacionados con los roles de seguridad asignados: esta opción asocia al usuario administrativo con el ámbito Todos y todas las colecciones Sistemas y Todos los usuarios y Grupos de usuarios . Los roles de seguridad asignados al usuario definen el acceso a los objetos.
Solo las instancias de objetos que se asignan a los ámbitos de seguridad y colecciones especificados: esta opción asocia al usuario administrativo a los mismos ámbitos de seguridad y colecciones asociados a la cuenta que se usa para configurar el usuario administrativo. Esta opción admite la adición o eliminación de roles de seguridad y colecciones para personalizar el ámbito administrativo del usuario administrativo.
Asociar roles de seguridad asignados con ámbitos de seguridad y colecciones específicos: esta opción le permite crear asociaciones específicas entre roles de seguridad individuales y ámbitos de seguridad y colecciones específicos para el usuario.
Nota:
Esta opción solo está disponible cuando se modifican las propiedades de un usuario administrativo.
La configuración actual del comportamiento del objeto protegible cambia el proceso que se usa para asignar roles de seguridad adicionales. Use los procedimientos siguientes que se basan en las distintas opciones de objetos protegibles para ayudarle a administrar un usuario administrativo.
Use el procedimiento siguiente para ver y administrar la configuración de los objetos protegibles para un usuario administrativo.
Para ver y administrar el comportamiento del objeto protegible para un usuario administrativo
- En la consola de Configuration Manager, elija Administración.
- En el área de trabajo Administración , expanda Seguridad y, a continuación, elija Usuarios administrativos.
- Seleccione el usuario administrativo que desea modificar.
- En la pestaña Inicio , en el grupo Propiedades , elija Propiedades.
- Elija la pestaña Ámbitos de seguridad para ver la configuración actual de los objetos protegibles para este usuario administrativo.
- Para modificar el comportamiento del objeto protegible, seleccione una nueva opción para el comportamiento de objetos protegibles. Después de cambiar esta configuración, consulte el procedimiento adecuado para obtener instrucciones adicionales para configurar ámbitos y colecciones de seguridad, y roles de seguridad para este usuario administrativo.
- Elija Aceptar para completar el procedimiento.
Use el procedimiento siguiente para modificar un usuario administrativo que tenga el comportamiento del objeto protegible establecido en Todas las instancias de los objetos relacionados con los roles de seguridad asignados.
Para la opción : todas las instancias de los objetos relacionados con los roles de seguridad asignados
En la consola de Configuration Manager, elija Administración.
En el área de trabajo Administración , expanda Seguridad y, a continuación, elija Usuarios administrativos.
Seleccione el usuario administrativo que desea modificar.
En la pestaña Inicio , en el grupo Propiedades , elija Propiedades.
Elija la pestaña Ámbitos de seguridad para confirmar que el usuario administrativo está configurado para Todas las instancias de los objetos relacionados con los roles de seguridad asignados.
Para modificar los roles de seguridad asignados, elija la pestaña Roles de seguridad .
- Para asignar roles de seguridad adicionales a este usuario administrativo, elija Agregar, active la casilla para cada rol de seguridad adicional que quiera asignar y, a continuación, elija Aceptar.
- Para quitar los roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, elija Quitar.
Para modificar el comportamiento del objeto protegible, elija la pestaña Ámbitos de seguridad y elija una nueva opción para el comportamiento del objeto protegible. Después de cambiar esta configuración, consulte el procedimiento adecuado para obtener instrucciones adicionales para configurar ámbitos y colecciones de seguridad, y roles de seguridad para este usuario administrativo.
Nota:
Cuando el comportamiento del objeto protegible se establece en Todas las instancias de los objetos relacionados con los roles de seguridad asignados, no se pueden agregar ni quitar ámbitos de seguridad y colecciones específicos.
Elija Aceptar para completar este procedimiento.
Use el procedimiento siguiente para modificar un usuario administrativo que tenga el comportamiento del objeto protegible establecido en Solo las instancias de objetos asignados a los ámbitos de seguridad y colecciones especificados.
Para la opción : solo las instancias de objetos que se asignan a los ámbitos y colecciones de seguridad especificados
En la consola de Configuration Manager, elija Administración.
En el área de trabajo Administración , expanda Seguridad y, a continuación, elija Usuarios administrativos.
Seleccione el usuario administrativo que desea modificar.
En la pestaña Inicio , en el grupo Propiedades , elija Propiedades.
Elija la pestaña Ámbitos de seguridad para confirmar que el usuario está configurado solo para las instancias de objetos asignados a los ámbitos de seguridad y colecciones especificados.
Para modificar los roles de seguridad asignados, elija la pestaña Roles de seguridad .
- Para asignar roles de seguridad adicionales a este usuario, elija Agregar, active la casilla para cada rol de seguridad adicional que quiera asignar y, a continuación, elija Aceptar.
- Para quitar los roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, elija Quitar.
Para modificar los ámbitos de seguridad y las colecciones asociados a roles de seguridad, elija la pestaña Ámbitos de seguridad.
- Para asociar nuevos ámbitos de seguridad o colecciones a todos los roles de seguridad asignados a este usuario administrativo, elija Agregar y seleccione una de las cuatro opciones. Si selecciona Ámbito de seguridad o Recopilación, active la casilla de uno o varios objetos para completar esa selección y, a continuación, elija Aceptar.
- Para quitar un ámbito de seguridad o una colección, elija el objeto y, a continuación, elija Quitar.
Elija Aceptar para completar este procedimiento.
Use el procedimiento siguiente para modificar un usuario administrativo que tenga el comportamiento del objeto protegible establecido en Asociar roles de seguridad asignados con ámbitos de seguridad y colecciones específicos.
Para la opción : Asociar roles de seguridad asignados con ámbitos de seguridad y colecciones específicos
En la consola de Configuration Manager, elija Administración.
En el área de trabajo Administración , expanda Seguridad y, a continuación, elija Usuarios administrativos.
Seleccione el usuario administrativo que desea modificar.
En la pestaña Inicio , en el grupo Propiedades , elija Propiedades.
Elija la pestaña Ámbitos de seguridad para confirmar que el usuario administrativo está configurado para Asociar roles de seguridad asignados con ámbitos de seguridad y colecciones específicos.
Para modificar los roles de seguridad asignados, elija la pestaña Roles de seguridad .
Para asignar roles de seguridad adicionales a este usuario administrativo, elija Agregar. En el cuadro de diálogo Agregar rol de seguridad , seleccione uno o varios roles de seguridad disponibles, elija Agregar y seleccione un tipo de objeto para asociarlo a los roles de seguridad seleccionados. Si selecciona Ámbito de seguridad o Recopilación, active la casilla de uno o varios objetos para completar esa selección y, a continuación, elija Aceptar.
Nota:
Debe configurar al menos un ámbito de seguridad para que los roles de seguridad seleccionados se puedan asignar al usuario administrativo. Al seleccionar varios roles de seguridad, cada ámbito de seguridad y recopilación que configure se asocia a cada uno de los roles de seguridad seleccionados.
Para quitar los roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, elija Quitar.
Para modificar los ámbitos de seguridad y las colecciones asociados a un rol de seguridad específico, elija la pestaña Ámbitos de seguridad, seleccione el rol de seguridad y, a continuación, elija Editar.
Para asociar nuevos objetos a este rol de seguridad, elija Agregar y seleccione un tipo de objeto para asociarlos a los roles de seguridad seleccionados. Si selecciona Ámbito de seguridad o Recopilación, active la casilla de uno o varios objetos para completar esa selección y, a continuación, elija Aceptar.
Nota:
Debe configurar al menos un ámbito de seguridad.
Para quitar un ámbito de seguridad o una colección asociados a este rol de seguridad, seleccione el objeto y, a continuación, elija Quitar.
Cuando haya terminado de modificar los objetos asociados, elija Aceptar.
Elija Aceptar para completar este procedimiento.
Precaución
Cuando un rol de seguridad concede a los usuarios administrativos el permiso de implementación de recopilación, esos usuarios administrativos pueden distribuir objetos desde cualquier ámbito de seguridad para el que tengan permisos de lectura de objetos, incluso si ese ámbito de seguridad está asociado a un rol de seguridad diferente.
Automatización con Windows PowerShell
Puede usar los siguientes cmdlets de PowerShell para automatizar algunas de estas tareas:
Administrar usuarios administrativos:
- Get-CMAdministrativeUser: obtiene un objeto de usuario administrativo.
- New-CMAdministrativeUser: cree un nuevo usuario administrativo.
- New-CMAdministrativeUserPermission: {{ Fill in the Synopsis }}
- Remove-CMAdministrativeUser: quite un usuario administrativo.
Administrar roles y ámbitos en los usuarios:
- Add-CMSecurityRoleToAdministrativeUser: agregue un rol de seguridad a un usuario o grupo.
- Remove-CMSecurityRoleFromAdministrativeUser: quite la asociación entre un rol de seguridad y un usuario administrativo.
- Add-CMSecurityScopeToAdministrativeUser: agregue un ámbito de seguridad a un usuario o grupo.
- Remove-CMSecurityScopeFromAdministrativeUser: quite la asociación entre un ámbito de seguridad y un usuario administrativo.
Administrar roles de seguridad:
- Copy-CMSecurityRole: cree un rol de seguridad personalizado.
- Export-CMSecurityRole: exporte un rol de seguridad a un archivo XML.
- Get-CMSecurityRole: obtener un rol de seguridad.
- Import-CMSecurityRole: importe un rol de seguridad desde un archivo XML.
- Remove-CMSecurityRole: quitar roles de seguridad personalizados.
- Set-CMSecurityRole: cambie los valores de configuración de un rol de seguridad.
Administrar permisos en roles de seguridad:
- Get-CMSecurityRolePermission: obtenga los permisos para un rol de seguridad.
- Set-CMSecurityRolePermission: configure un rol de seguridad con permisos específicos.
Administrar ámbitos de seguridad:
- Get-CMSecurityScope: obtener un ámbito de seguridad.
- New-CMSecurityScope: cree un ámbito de seguridad.
- Remove-CMSecurityScope: quitar un ámbito de seguridad.
- Set-CMSecurityScope: configurar un ámbito de seguridad.
Administrar el ámbito de seguridad de objetos:
- Add-CMObjectSecurityScope: agregue un ámbito de seguridad a un objeto.
- Get-CMObjectSecurityScope: obtiene el ámbito de seguridad de un objeto Configuration Manager.
- Remove-CMObjectSecurityScope: quitar un ámbito de seguridad de un objeto Configuration Manager.