Sdílet prostřednictvím


Konfigurace správy na základě rolí pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

V Configuration Manager správa na základě rolí kombinuje role zabezpečení, obory zabezpečení a přiřazené kolekce a definuje obor správy pro každého správce. Obor správy zahrnuje objekty, které může správce zobrazit v konzole Configuration Manager, a úlohy související s objekty, ke kterým má oprávnění.

Pokud tyto koncepty ještě neznáte, přečtěte si téma Základy správy na základě rolí.

Informace v tomto článku slouží k vytvoření a konfiguraci správy na základě rolí a souvisejících nastavení zabezpečení.

Poznámka

Postupy v tomto článku předpokládají, že váš správce je v roli zabezpečení s požadovanými oprávněními. Například role Správce s úplným oprávněním nebo Správce zabezpečení .

Tip

S následujícími akcemi vám pomůže nástroj pro správu a auditování na základě rolí:

  • Oprávnění modelu pro novou roli, kterou chcete vytvořit.
  • Auditujte všechny stávající uživatele pro správu, kolekce a obory zabezpečení.
  • Auditování konkrétního uživatele

Vytvoření vlastních rolí zabezpečení

Configuration Manager poskytuje několik předdefinovaných rolí zabezpečení. Oprávnění předdefinovaných rolí nemůžete změnit. Pokud potřebujete jiné role, vytvořte si vlastní. Můžete vytvořit vlastní roli, která správcům udělí další oprávnění, která vyžadují a která nejsou součástí předdefinované role. Pomocí vlastní role zabezpečení jim můžete přiřadit nejméně požadovaná oprávnění. Vlastní role vám může pomoct vyhnout se přiřazení role zabezpečení, která uděluje více oprávnění, než vyžadují.

Jak vytvořit vlastní role zabezpečení

V konzole Configuration Manager přejděte do pracovního prostoru Správa. Rozbalte Zabezpečení a pak vyberte uzel Role zabezpečení . Pak pomocí jednoho z následujících procesů vytvořte novou roli zabezpečení:

Vytvoření nové vlastní role zabezpečení zkopírováním předdefinované role

  1. Vyberte existující roli zabezpečení, která se má použít jako zdroj pro novou roli.

  2. Na pásu karet na kartě Domů ve skupině Role zabezpečení vyberte Kopírovat. Tato akce vytvoří kopii zdrojové role zabezpečení.

  3. V průvodci Kopírováním role zabezpečení zadejte Název nové vlastní role zabezpečení. Maximální délka je 256 znaků.

  4. Volitelné, ale doporučené– zadejte popis , který shrne účel této vlastní role zabezpečení. Maximální délka je 512 znaků.

  5. V části Oprávnění rozbalte jednotlivé typy objektů, aby se zobrazila dostupná oprávnění.

  6. Pokud chcete změnit oprávnění, vyberte rozevírací seznam a zvolte Ano nebo Ne.

    Pozor

    Když konfigurujete vlastní roli zabezpečení, udělujte jenom oprávnění, která vyžadují uživatelé přiřazené k této roli. Například oprávnění k úpravám objektu Role zabezpečení umožňuje přiřazeným uživatelům upravovat libovolnou přístupnou roli zabezpečení, i když k této roli zabezpečení nejsou přiřazeni.

  7. Po konfiguraci oprávnění vyberte OK a uložte novou roli zabezpečení.

Import role zabezpečení exportované z jiné hierarchie Configuration Manager

Důležité

Importujte pouze vlastní konfigurační soubory rolí zabezpečení z důvěryhodného zdroje. Při exportu vlastní role zabezpečení ji uložte do zabezpečeného umístění. Soubory XML nejsou digitálně podepsané.

  1. Na pásu karet na kartě Domů ve skupině Vytvořit zvolte Importovat roli zabezpečení.

  2. Zadejte soubor XML, který obsahuje exportovanou konfiguraci role zabezpečení. Výběrem možnosti Otevřít dokončete postup a vytvořte roli zabezpečení.

  3. Po importu vlastní role zabezpečení otevřete její vlastnosti. Zobrazte oprávnění a ověřte, že obsahují nejméně požadovaná oprávnění pro tuto roli. Změňte všechna oprávnění, která se v tomto prostředí nevyžadují.

Poznámka

Předdefinované role zabezpečení nelze exportovat.

Konfigurace rolí zabezpečení

Můžete upravit oprávnění pro vlastní roli zabezpečení, ale nemůžete upravit předdefinované role zabezpečení.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte zabezpečení a pak vyberte uzel Role zabezpečení.

  2. Vyberte vlastní roli zabezpečení, kterou chcete upravit nebo zobrazit.

  3. Na pásu karet na kartě Domů ve skupině Vlastnosti vyberte Vlastnosti.

  4. Na kartě Obecné v okně vlastností změňte v případě potřeby název nebo popis .

  5. Na kartě Správci zobrazte uživatele, kteří jsou k této roli přidruženi. Pokud chcete změnit přiřazení, přejděte do vlastností správce.

  6. Na kartě Oprávnění rozbalte jednotlivé typy objektů a zobrazte tak dostupná oprávnění.

  7. Pokud chcete změnit oprávnění, vyberte rozevírací seznam a pak zvolte Ano nebo Ne.

    Pozor

    Když konfigurujete vlastní roli zabezpečení, udělujte jenom oprávnění, která vyžadují uživatelé přiřazené k této roli. Například oprávnění k úpravám objektu Role zabezpečení umožňuje přiřazeným uživatelům upravovat libovolnou přístupnou roli zabezpečení, i když k této roli zabezpečení nejsou přiřazeni.

  8. Až budete hotovi, vyberte OK a uložte vlastní roli zabezpečení.

Konfigurace oborů zabezpečení pro objekt

Obory zabezpečení můžete spravovat z zabezpečitelného objektu, nikoli z oboru zabezpečení. Jediné vlastnosti, které můžete u vlastního oboru zabezpečení změnit, je název a popis. Dva předdefinované obory nemůžete upravit. Pokud chcete změnit název a popis vlastního oboru, potřebujete oprávnění Upravit pro objekt Obory zabezpečení .

Když v Configuration Manager vytvoříte nový objekt, je přidružený ke každému oboru zabezpečení, který je přidružený k rolím zabezpečení účtu použitého k vytvoření objektu. K tomuto chování dochází, když tyto role zabezpečení poskytují oprávnění Vytvořit nebo Nastavit obor zabezpečení . Po vytvoření objektu můžete změnit obory zabezpečení a přiřadit ho k více oborům.

Máte například přiřazenou roli zabezpečení, která vám uděluje oprávnění k vytvoření nové skupiny hranic. Tato role je přidružená k oboru zabezpečení Admins . Když vytvoříte novou skupinu hranic, nebudete moct přiřadit konkrétní obory zabezpečení. Obor zabezpečení Admins se automaticky přiřadí nové skupině hranic. Po uložení nové skupiny hranic můžete upravit obory zabezpečení pro skupinu hranic.

Další informace o tom, jak přidat obor pro uživatele, najdete v tématu Úprava oboru správy správce.

Vytvoření vlastního oboru zabezpečení

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte zabezpečení a pak vyberte uzel Obory zabezpečení.

  2. Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit obor zabezpečení.

  3. V okně Vytvořit obor zabezpečení zadejte název oboru zabezpečení. Maximální délka je 256 znaků.

  4. Volitelné, ale doporučené, zadejte popis , který shrnuje účel tohoto vlastního oboru zabezpečení. Maximální délka je 512 znaků.

  5. Vyberte nebo odeberte přiřazení administrativních uživatelů. Po vytvoření oboru zabezpečení je můžete změnit.

  6. Pokud chcete uložit vlastní obor zabezpečení, vyberte OK.

Konfigurace oborů zabezpečení pro objekt

  1. V konzole Configuration Manager vyberte objekt, který podporuje přiřazení k oboru zabezpečení. Seznam podporovaných objektů najdete v tématu Základy správy na základě rolí – obory zabezpečení.

  2. Na pásu karet na kartě Domů ve skupině Klasifikovat vyberte Nastavit obory zabezpečení.

    U složky přejděte na kartu Složka na pásu karet. Ve skupině Akce vyberte Nastavit obory zabezpečení.

    Poznámka

    Položka se dá prohledávat ve složkách mimo obor zabezpečení uživatele, pokud uživatel sdílí obor zabezpečení s osobou, která objekt vytvořila.

  3. V okně Nastavit obory zabezpečení vyberte nebo zrušte zaškrtnutí oborů zabezpečení pro tento objekt. Vyberte alespoň jeden obor zabezpečení.

  4. Výběrem OK uložte přiřazené obory zabezpečení.

Konfigurace kolekcí pro správu zabezpečení

Neexistují žádné postupy konfigurace kolekcí pro správu na základě rolí. Kolekce nemají konfiguraci správy na základě rolí. Místo toho přiřadíte kolekce administrativnímu uživateli. Pokud chcete určit akce, které může správce provádět s kolekcí a jejími členy, zobrazte oprávnění pro typ objektu Kolekce u role zabezpečení.

Pokud má správce oprávnění ke kolekci, má také oprávnění ke kolekci, která jsou omezená na tuto kolekci. Vaše organizace například používá kolekci s názvem Všechny plochy. K dispozici je také kolekce s názvem Všechny Severní Amerika Plochy, která je omezená na kolekci Všechny plochy. Pokud má správce oprávnění ke všem plochám, má stejná oprávnění ke kolekci Všechny Severní Amerika Plochy.

Správce nemůže použít oprávnění Odstranit nebo Změnit u kolekce, která je mu přímo přiřazena. Tato oprávnění můžou používat u kolekcí, které jsou omezené na tuto kolekci. V předchozím příkladu může správce odstranit nebo upravit kolekci All Severní Amerika Desktops, ale nemůže odstranit ani upravit kolekci Všechny plochy.

Vytvoření nového správce

Pokud chcete jednotlivcům nebo členům skupiny zabezpečení udělit přístup ke správě Configuration Manager, vytvořte správce. Zadejte účet systému Windows uživatele nebo skupiny uživatelů. Každému správci přiřaďte alespoň jednu roli zabezpečení a jeden obor zabezpečení. Můžete také přiřadit kolekce, abyste omezili rozsah správy uživatele nebo skupiny.

Jak vytvořit nového správce

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte zabezpečení a pak vyberte uzel Správci.

  2. Na kartě Domů na pásu karet ve skupině Vytvořit vyberte Přidat uživatele nebo skupinu.

  3. Vyberte Procházet a pak vyberte uživatelský účet nebo skupinu, které chcete použít pro tohoto nového správce v Configuration Manager.

    Poznámka

    Pro správu na základě konzoly můžete jako správce zadat pouze uživatele domény nebo skupiny zabezpečení domény.

  4. V části Přidružené role zabezpečení vyberte Přidat a otevřete seznam dostupných rolí zabezpečení. Vyberte jednu nebo více rolí zabezpečení a pak vyberte OK.

  5. Pokud chcete definovat chování zabezpečitelného objektu pro nového uživatele, zvolte jednu z následujících možností:

    • Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení: Tato možnost má následující chování:

      • Rozsah zabezpečení: Vše
      • Kolekce: Všechny systémy a všichni uživatelé a skupiny uživatelů
      • Role zabezpečení, které přiřadíte uživateli, definují jejich přístup k objektům.
      • Nové objekty, které tento uživatel vytvoří, jsou přiřazeny k oboru zabezpečení Výchozí .
    • Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcí: Tato možnost má následující chování:

      • Obor zabezpečení: Výchozí
      • Kolekce: Všechny systémy a všichni uživatelé a skupiny uživatelů
      • Tyto výchozí hodnoty se můžou lišit, protože skutečné obory zabezpečení a kolekce jsou omezené na ty, které jsou přidružené k účtu, který používáte k vytvoření správce.
      • Pokud chcete přizpůsobit rozsah správy tohoto uživatele, přidejte nebo odeberte obory zabezpečení a kolekce.

    Důležité

    Po vytvoření uživatele zobrazte jeho vlastnosti a vyberte třetí možnost Přidružit přiřazené role zabezpečení ke konkrétním oborům zabezpečení a kolekcím. Další informace najdete v tématu Úprava oboru správy administrativního uživatele.

  6. Výběrem OK zavřete okno a vytvořte správce.

Úprava oboru správy administrativního uživatele

Obor správy správce můžete upravit přidáním nebo odebráním rolí zabezpečení, oborů zabezpečení a kolekcí přidružených k uživateli. Každý správce musí být přidružený alespoň k jedné roli zabezpečení a jednomu oboru zabezpečení. Možná budete muset přiřadit jednu nebo více kolekcí k oboru správy uživatele. Většina rolí zabezpečení pracuje s kolekcemi a bez přiřazené kolekce nefunguje správně.

Když upravujete administrativního uživatele, můžete změnit chování způsobu, jakým jsou zabezpečitelné objekty přidruženy k přiřazeným rolím zabezpečení. Můžete vybrat následující tři chování:

  • Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení: Tato možnost přidruží administrativního uživatele k oboru Vše a kolekce Všechny systémy a Všichni uživatelé a skupiny uživatelů . Role zabezpečení přiřazené uživateli definují přístup k objektům.

  • Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcem: Tato možnost přidruží správce ke stejným oborům zabezpečení a kolekcem, které jsou přidružené k účtu, který používáte ke konfiguraci správce. Tato možnost podporuje přidání nebo odebrání rolí zabezpečení a kolekcí, aby bylo možné přizpůsobit rozsah správy administrativního uživatele.

  • Přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcem: Tato možnost umožňuje vytvořit konkrétní přidružení mezi jednotlivými rolemi zabezpečení a konkrétními obory a kolekcemi zabezpečení pro uživatele.

    Poznámka

    Tato možnost je dostupná jenom v případě, že upravíte vlastnosti správce.

Aktuální konfigurace chování zabezpečitelného objektu mění proces, který se používá k přiřazení dalších rolí zabezpečení. Při správě administrativního uživatele použijte následující postupy, které jsou založené na různých možnostech zabezpečitelných objektů.

Pomocí následujícího postupu můžete zobrazit a spravovat konfiguraci zabezpečitelných objektů pro správce.

Zobrazení a správa chování zabezpečitelného objektu pro správce

  1. V konzole Configuration Manager zvolte Správa.
  2. V pracovním prostoru Správa rozbalte zabezpečení a pak zvolte Správci.
  3. Vyberte administrativního uživatele, kterého chcete upravit.
  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.
  5. Zvolte kartu Obory zabezpečení a zobrazte aktuální konfiguraci zabezpečitelných objektů pro tohoto správce.
  6. Chcete-li změnit chování zabezpečitelného objektu, vyberte novou možnost pro zabezpečitelné chování objektu. Po změně této konfigurace najdete v příslušném postupu další pokyny ke konfiguraci oborů zabezpečení a kolekcí a rolí zabezpečení pro tohoto správce.
  7. Pokud chcete tento postup dokončit, zvolte OK .

Pomocí následujícího postupu můžete upravit administrativního uživatele, který má zabezpečitelné chování objektu nastavené na Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení.

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte zabezpečení a pak zvolte Správci.

  3. Vyberte administrativního uživatele, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a ověřte, že správce je nakonfigurovaný pro Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto správci přiřadit další role zabezpečení, zvolte Přidat, zaškrtněte políčko u každé další role zabezpečení, kterou chcete přiřadit, a pak zvolte OK.
    • Pokud chcete odebrat role zabezpečení, vyberte jednu nebo více rolí zabezpečení ze seznamu a pak zvolte Odebrat.
  7. Chcete-li změnit chování zabezpečitelného objektu, zvolte kartu Obory zabezpečení a zvolte novou možnost pro chování zabezpečitelného objektu. Po změně této konfigurace najdete v příslušném postupu další pokyny ke konfiguraci oborů zabezpečení a kolekcí a rolí zabezpečení pro tohoto správce.

    Poznámka

    Pokud je chování zabezpečitelného objektu nastavené na Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení, nemůžete přidat ani odebrat konkrétní obory zabezpečení a kolekce.

  8. Pokud chcete tento postup dokončit, zvolte OK .

Pomocí následujícího postupu můžete upravit administrativního uživatele, který má chování zabezpečitelných objektů nastavené na Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcí.

Možnost: Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcem.

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte zabezpečení a pak zvolte Správci.

  3. Vyberte administrativního uživatele, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a potvrďte, že je uživatel nakonfigurovaný pouze na instance objektů, které jsou přiřazené k zadaným oborům zabezpečení a kolekcí.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto uživateli přiřadit další role zabezpečení, zvolte Přidat, zaškrtněte políčko u každé další role zabezpečení, kterou chcete přiřadit, a pak zvolte OK.
    • Pokud chcete odebrat role zabezpečení, vyberte jednu nebo více rolí zabezpečení ze seznamu a pak zvolte Odebrat.
  7. Pokud chcete upravit obory zabezpečení a kolekce přidružené k rolím zabezpečení, zvolte kartu Obory zabezpečení .

    • Pokud chcete přidružit nové obory zabezpečení nebo kolekce ke všem rolím zabezpečení přiřazeným tomuto správci, zvolte Přidat a vyberte jednu ze čtyř možností. Pokud vyberete obor zabezpečení nebo kolekce, zaškrtněte políčko u jednoho nebo více objektů, abyste tento výběr dokončili, a pak zvolte OK.
    • Pokud chcete odebrat obor zabezpečení nebo kolekci, zvolte objekt a pak zvolte Odebrat.
  8. Pokud chcete tento postup dokončit, zvolte OK .

Pomocí následujícího postupu můžete upravit administrativního uživatele, který má chování zabezpečitelného objektu nastavené na Přidružit přiřazené role zabezpečení ke konkrétním oborům zabezpečení a kolekcem.

Pro možnost: Přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcem

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte zabezpečení a pak zvolte Správci.

  3. Vyberte administrativního uživatele, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a ověřte, že správce je nakonfigurovaný na Přidružit přiřazené role zabezpečení ke konkrétním oborům zabezpečení a kolekcem.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto správci přiřadit další role zabezpečení, zvolte Přidat. V dialogovém okně Přidat roli zabezpečení vyberte jednu nebo více dostupných rolí zabezpečení, zvolte Přidat a vyberte typ objektu, který chcete přidružit k vybraným rolím zabezpečení. Pokud vyberete obor zabezpečení nebo kolekce, zaškrtněte políčko u jednoho nebo více objektů, abyste tento výběr dokončili, a pak zvolte OK.

      Poznámka

      Před přiřazením vybraných rolí zabezpečení k administrativnímu uživateli je nutné nakonfigurovat alespoň jeden obor zabezpečení. Když vyberete více rolí zabezpečení, každý obor zabezpečení a kolekce, které nakonfigurujete, se přidružuje ke každé z vybraných rolí zabezpečení.

    • Pokud chcete odebrat role zabezpečení, vyberte jednu nebo více rolí zabezpečení ze seznamu a pak zvolte Odebrat.

  7. Pokud chcete upravit obory zabezpečení a kolekce přidružené ke konkrétní roli zabezpečení, zvolte kartu Obory zabezpečení , vyberte roli zabezpečení a pak zvolte Upravit.

    • Pokud chcete k této roli zabezpečení přidružit nové objekty, zvolte Přidat a vyberte typ objektu, který chcete přidružit k vybraným rolím zabezpečení. Pokud vyberete obor zabezpečení nebo kolekce, zaškrtněte políčko u jednoho nebo více objektů, abyste tento výběr dokončili, a pak zvolte OK.

      Poznámka

      Musíte nakonfigurovat alespoň jeden obor zabezpečení.

    • Pokud chcete odebrat obor zabezpečení nebo kolekci přidruženou k této roli zabezpečení, vyberte objekt a pak zvolte Odebrat.

    • Po dokončení úprav přidružených objektů zvolte OK.

  8. Pokud chcete tento postup dokončit, zvolte OK .

    Pozor

    Když role zabezpečení udělí správcům oprávnění k nasazení kolekce, můžou tito správci distribuovat objekty z libovolného oboru zabezpečení, pro který mají oprávnění ke čtení objektů, i když je tento obor zabezpečení přidružený k jiné roli zabezpečení.

Automatizace pomocí Windows PowerShell

K automatizaci některých z těchto úloh můžete použít následující rutiny PowerShellu:

Správa správců:

Správa rolí a oborů pro uživatele:

Správa rolí zabezpečení:

Správa oprávnění k rolím zabezpečení:

Správa rozsahů zabezpečení:

Správa oboru zabezpečení objektu:

Další kroky

Nástroj pro správu a auditování na základě rolí

Účty používané v Configuration Manager