Konfigurace správy na základě role pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

V Configuration Manager správa na základě role kombinuje role zabezpečení, obory zabezpečení a přiřazené kolekce a definuje rozsah správy pro každého správce. Obor správy obsahuje objekty, které může správce zobrazit v konzole Configuration Manager, a úlohy související s těmito objekty, ke kterým má oprávnění.

Pokud tyto koncepty ještě neznáte, přečtěte si téma Základy správy na základě rolí.

Informace v tomto článku slouží k vytvoření a konfiguraci správy na základě rolí a souvisejících nastavení zabezpečení.

Poznámka

Postupy v tomto článku předpokládají, že administrativní uživatel má roli zabezpečení s požadovanými oprávněními. Například role úplného správce nebo správce zabezpečení .

Tip

Nástroj pro správu a auditování na základě rolí vám pomůže s následujícími akcemi:

  • Oprávnění modelu pro novou roli, kterou chcete vytvořit.
  • Audit všech existujících správců, kolekcí a oborů zabezpečení
  • Auditování konkrétního uživatele

Vytvoření vlastních rolí zabezpečení

Configuration Manager poskytuje několik předdefinovaných rolí zabezpečení. Nemůžete změnit oprávnění předdefinovaných rolí. Pokud požadujete jiné role, vytvořte si vlastní. Můžete vytvořit vlastní roli, která správcům udělí další oprávnění, která vyžadují a která nejsou zahrnutá v předdefinované roli. Pomocí vlastní role zabezpečení jim můžete přiřadit nejméně požadovaná oprávnění. Vlastní role vám může pomoct vyhnout se přiřazení role zabezpečení, která uděluje více oprávnění, než vyžadují.

Vytvoření vlastních rolí zabezpečení

V konzole Configuration Manager přejděte do pracovního prostoru Správa. Rozbalte položku Zabezpečení a pak vyberte uzel Role zabezpečení . Pak pomocí jednoho z následujících procesů vytvořte novou roli zabezpečení:

Vytvoření nové vlastní role zabezpečení zkopírováním předdefinované role

  1. Vyberte existující roli zabezpečení, kterou chcete použít jako zdroj pro novou roli.

  2. Na kartě Domů na pásu karet ve skupině Role zabezpečení vyberte Kopírovat. Tato akce vytvoří kopii zdrojové role zabezpečení.

  3. V průvodci kopírováním role zabezpečení zadejte název nové vlastní role zabezpečení. Maximální délka je 256 znaků.

  4. Volitelné, ale doporučujeme zadat popis , který shrnuje účel této vlastní role zabezpečení. Maximální délka je 512 znaků.

  5. V části Oprávnění rozbalte jednotlivé typy objektů a zobrazte tak dostupná oprávnění.

  6. Pokud chcete změnit oprávnění, vyberte rozevírací seznam a zvolte Ano nebo Ne.

    Upozornění

    Když nakonfigurujete vlastní roli zabezpečení, udělte oprávnění jenom uživatelům přiřazeným k této roli. Například oprávnění Změnit pro objekt Role zabezpečení umožňuje přiřazeným uživatelům upravovat přístupnou roli zabezpečení, i když nejsou přiřazeni k této roli zabezpečení.

  7. Po konfiguraci oprávnění uložte novou roli zabezpečení výběrem možnosti OK .

Import role zabezpečení exportované z jiné hierarchie Configuration Manager

Důležité

Importovat pouze konfigurační soubory vlastní role zabezpečení z důvěryhodného zdroje. Když exportujete vlastní roli zabezpečení, uložte ji do zabezpečeného umístění. Soubory XML nejsou digitálně podepsané.

  1. Na kartě Domů na pásu karet ve skupině Vytvořit zvolte Importovat roli zabezpečení.

  2. Zadejte soubor XML, který obsahuje exportovanou konfiguraci role zabezpečení. Výběrem možnosti Otevřít dokončete postup a vytvořte roli zabezpečení.

  3. Po importu vlastní role zabezpečení otevřete její vlastnosti. Zobrazte oprávnění a ověřte, že obsahují nejméně požadovaná oprávnění pro tuto roli. Změňte všechna oprávnění, která nejsou v tomto prostředí nutná.

Poznámka

Předdefinované role zabezpečení se nedají exportovat.

Konfigurace rolí zabezpečení

Oprávnění pro vlastní roli zabezpečení můžete upravit, ale nemůžete změnit předdefinované role zabezpečení.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Zabezpečení a pak vyberte uzel Role zabezpečení.

  2. Vyberte vlastní roli zabezpečení, kterou chcete upravit nebo zobrazit.

  3. Na kartě Domů na pásu karet ve skupině Vlastnosti vyberte Vlastnosti.

  4. Na kartě Obecné v okně vlastností v případě potřeby změňte název nebo popis .

  5. Na kartě Administrativní uživatelé zobrazte uživatele, kteří jsou přidruženi k této roli. Přiřazení změníte tak, že přejdete na vlastnosti správce.

  6. Na kartě Oprávnění rozbalte jednotlivé typy objektů a zobrazte tak dostupná oprávnění.

  7. Pokud chcete změnit oprávnění, vyberte rozevírací seznam a pak zvolte Ano nebo Ne.

    Upozornění

    Když nakonfigurujete vlastní roli zabezpečení, udělte oprávnění jenom uživatelům přiřazeným k této roli. Například oprávnění Změnit pro objekt Role zabezpečení umožňuje přiřazeným uživatelům upravovat přístupnou roli zabezpečení, i když nejsou přiřazeni k této roli zabezpečení.

  8. Až budete hotovi, vyberte OK a uložte vlastní roli zabezpečení.

Konfigurace oborů zabezpečení pro objekt

Spravujte obory zabezpečení z zabezpečitelného objektu, nikoli z oboru zabezpečení. Jedinými vlastnostmi, které můžete u vlastního oboru zabezpečení změnit, je název a popis. Tyto dva předdefinované obory nemůžete změnit. Pokud chcete změnit název a popis vlastního oboru, potřebujete oprávnění Změnit pro objekt Obory zabezpečení .

Když v Configuration Manager vytvoříte nový objekt, je přidružený ke každému oboru zabezpečení přidruženému k rolím zabezpečení účtu použitého k vytvoření objektu. K tomuto chování dochází, když tyto role zabezpečení poskytují oprávnění k vytvoření nebo nastavení oboru zabezpečení . Po vytvoření objektu můžete změnit obory zabezpečení a přiřadit je k více oborům.

Máte například přiřazenou roli zabezpečení, která vám udělí oprávnění k vytvoření nové skupiny hranic. Role je přidružená k oboru zabezpečení Správci . Při vytváření nové skupiny hranic nemáte možnost přiřadit konkrétní obory zabezpečení. Obor zabezpečení Správci se automaticky přiřadí nové skupině hranic. Po uložení nové skupiny hranic můžete upravit obory zabezpečení pro skupinu hranic.

Další informace o tom, jak přidat obor pro uživatele, naleznete v tématu Úprava oboru správy správce.

Vytvoření vlastního oboru zabezpečení

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Zabezpečení a pak vyberte uzel Obory zabezpečení.

  2. Na kartě Domů na pásu karet ve skupině Vytvořit vyberte Vytvořit obor zabezpečení.

  3. V okně Vytvořit obor zabezpečení zadejte název oboru zabezpečení. Maximální délka je 256 znaků.

  4. Volitelné, ale doporučuje se zadat popis , který shrnuje účel tohoto vlastního oboru zabezpečení. Maximální délka je 512 znaků.

  5. Vyberte nebo odeberte přiřazení administrativních uživatelů. Po vytvoření oboru zabezpečení je můžete změnit.

  6. Pokud chcete uložit vlastní obor zabezpečení, vyberte OK.

Konfigurace oborů zabezpečení pro objekt

  1. V konzole Configuration Manager vyberte objekt, který podporuje přiřazení k oboru zabezpečení. Seznam podporovaných objektů najdete v tématu Základy správy na základě role – obory zabezpečení.

  2. Na kartě Domů na pásu karet ve skupině Klasifikace vyberte Nastavit obory zabezpečení.

    U složky přejděte na kartu Složka na pásu karet. Ve skupině Akce vyberte Nastavit obory zabezpečení.

    Poznámka

    Položku lze prohledávat ve složkách mimo obor zabezpečení uživatele, pokud tento uživatel sdílí obor zabezpečení s osobou, která objekt vytvořila.

  3. V okně Nastavit obory zabezpečení vyberte nebo zrušte zaškrtnutí oborů zabezpečení pro tento objekt. Vyberte alespoň jeden obor zabezpečení.

  4. Vyberte OK a uložte přiřazené obory zabezpečení.

Konfigurace kolekcí pro správu zabezpečení

Neexistují žádné postupy pro konfiguraci kolekcí pro správu na základě rolí. Kolekce nemají konfiguraci správy na základě role. Místo toho přiřadíte kolekce administrativnímu uživateli. Chcete-li určit akce, které může správce provést s kolekcí a jejími členy, zobrazte oprávnění pro typ objektu kolekce pro roli zabezpečení.

Pokud má správce oprávnění ke kolekci, má také oprávnění ke kolekcím, které jsou omezené na danou kolekci. Vaše organizace například používá kolekci s názvem Všechny plochy. K dispozici je také kolekce s názvem Všechny Severní Amerika Desktopy, která je omezená na kolekci Všechny plochy. Pokud má správce oprávnění ke všem plochám, má stejná oprávnění ke kolekci Všechny Severní Amerika Desktopy.

Správce nemůže použít oprávnění Odstranit nebo Upravit u kolekce, která je k nim přímo přiřazená. Tato oprávnění můžou používat u kolekcí, které jsou omezené na danou kolekci. V předchozím příkladu může správce odstranit nebo upravit kolekci Všechny Severní Amerika Desktopy, ale nemůže odstranit ani upravit kolekci Všechny plochy.

Vytvoření nového administrativního uživatele

Pokud chcete jednotlivcům nebo členům skupiny zabezpečení udělit přístup ke správě Configuration Manager, vytvořte správce. Zadejte účet systému Windows uživatele nebo skupiny uživatelů. Každému administrativnímu uživateli přiřaďte alespoň jednu roli zabezpečení a jeden obor zabezpečení. Kolekce můžete také přiřadit, abyste omezili rozsah správy uživatele nebo skupiny.

Jak vytvořit nového správce

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Zabezpečení a pak vyberte uzel Administrativní uživatelé.

  2. Na kartě Domů na pásu karet ve skupině Vytvořit vyberte Přidat uživatele nebo skupinu.

  3. Vyberte Procházet a pak vyberte uživatelský účet nebo skupinu, které chcete použít pro tohoto nového správce v Configuration Manager.

    Poznámka

    Pro správu na základě konzoly můžete jako správce zadat pouze uživatele domény nebo skupiny zabezpečení domény.

  4. U přidružených rolí zabezpečení výběrem možnosti Přidat otevřete seznam dostupných rolí zabezpečení. Vyberte jednu nebo více rolí zabezpečení a pak vyberte OK.

  5. Zvolte jednu z následujících možností a definujte chování zabezpečitelného objektu pro nového uživatele:

    • Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení: Tato možnost má následující chování:

      • Obor zabezpečení: Vše
      • Kolekce: Všechny systémy a všichni uživatelé a skupiny uživatelů
      • Role zabezpečení, které přiřadíte uživateli, definují jejich přístup k objektům.
      • Nové objekty, které tento uživatel vytvoří, jsou přiřazeny k oboru zabezpečení Výchozí .
    • Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcím: Tato možnost má následující chování:

      • Obor zabezpečení: Výchozí
      • Kolekce: Všechny systémy a všichni uživatelé a skupiny uživatelů
      • Tato výchozí nastavení se můžou lišit, protože skutečné obory zabezpečení a kolekce jsou omezené na ty, které jsou přidružené k účtu, který používáte k vytvoření správce.
      • Přidáním nebo odebráním oborů zabezpečení a kolekcí můžete přizpůsobit rozsah správy tohoto uživatele.

    Důležité

    Po vytvoření uživatele zobrazte jeho vlastnosti a vyberte třetí možnost Přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcím. Další informace naleznete v tématu Úprava rozsahu správy správce.

  6. Výběrem tlačítka OK okno zavřete a vytvořte správce.

Úprava rozsahu správy administrativního uživatele

Obor správy správce můžete upravit přidáním nebo odebráním rolí zabezpečení, oborů zabezpečení a kolekcí přidružených k uživateli. Každý správce musí být přidružený alespoň k jedné roli zabezpečení a jednomu oboru zabezpečení. Možná budete muset přiřadit jednu nebo více kolekcí k oboru správy uživatele. Většina rolí zabezpečení pracuje s kolekcemi a nefunguje správně bez přiřazené kolekce.

Když upravíte správce, můžete změnit chování způsob, jakým jsou zabezpečitelné objekty přidružené k přiřazeným rolím zabezpečení. Tři chování, která můžete vybrat, jsou následující:

  • Všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení: Tato možnost přidruží správce k oboru Vše a ke kolekcím Všechny systémy a Všichni uživatelé a Skupiny uživatelů . Role zabezpečení přiřazené uživateli definují přístup k objektům.

  • Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcím: Tato možnost přidruží správce ke stejným oborům zabezpečení a kolekcím, které jsou přidružené k účtu, který používáte ke konfiguraci správce. Tato možnost podporuje přidání nebo odebrání rolí zabezpečení a kolekcí pro přizpůsobení rozsahu správy správce.

  • Přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcím: Tato možnost umožňuje vytvořit konkrétní přidružení mezi jednotlivými rolemi zabezpečení a konkrétními obory zabezpečení a kolekcemi pro uživatele.

    Poznámka

    Tato možnost je k dispozici pouze v případě, že upravíte vlastnosti správce.

Aktuální konfigurace chování zabezpečitelných objektů změní proces, který použijete k přiřazení dalších rolí zabezpečení. Následující postupy založené na různých možnostech zabezpečitelných objektů vám pomůžou spravovat správce.

Pomocí následujícího postupu můžete zobrazit a spravovat konfiguraci zabezpečitelných objektů pro správce.

Zobrazení a správa chování zabezpečitelných objektů pro správce

  1. V konzole Configuration Manager zvolte Správa.
  2. V pracovním prostoru Správa rozbalte položku Zabezpečení a pak zvolte Možnost Uživatelé správy.
  3. Vyberte správce, kterého chcete upravit.
  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.
  5. Zvolte kartu Obory zabezpečení a zobrazte aktuální konfiguraci zabezpečitelných objektů pro tohoto správce.
  6. Chcete-li upravit chování zabezpečitelných objektů, vyberte novou možnost pro chování zabezpečitelných objektů. Po změně této konfigurace najdete v příslušném postupu další pokyny ke konfiguraci oborů zabezpečení a kolekcí a rolí zabezpečení pro tohoto správce.
  7. Kliknutím na TLAČÍTKO OK dokončete postup.

Pomocí následujícího postupu můžete upravit správce, který má nastavené chování zabezpečitelných objektů na všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení.

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte položku Zabezpečení a pak zvolte Možnost Uživatelé správy.

  3. Vyberte správce, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a ověřte, že je správce nakonfigurovaný pro všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto administrativnímu uživateli přiřadit další role zabezpečení, zvolte Přidat, zaškrtněte políčko pro každou další roli zabezpečení, kterou chcete přiřadit, a pak zvolte OK.
    • Pokud chcete odebrat role zabezpečení, vyberte ze seznamu jednu nebo více rolí zabezpečení a pak zvolte Odebrat.
  7. Pokud chcete upravit chování zabezpečitelných objektů, zvolte kartu Obory zabezpečení a zvolte novou možnost pro chování zabezpečitelných objektů. Po změně této konfigurace najdete v příslušném postupu další pokyny ke konfiguraci oborů zabezpečení a kolekcí a rolí zabezpečení pro tohoto správce.

    Poznámka

    Pokud je chování zabezpečitelného objektu nastavené na všechny instance objektů, které souvisejí s přiřazenými rolemi zabezpečení, nemůžete přidat ani odebrat konkrétní obory zabezpečení a kolekce.

  8. Pokud chcete tento postup dokončit, zvolte OK .

Pomocí následujícího postupu můžete upravit administrativního uživatele, který má nastavené chování zabezpečitelných objektů pouze na instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcím.

Pro možnost: Pouze instance objektů, které jsou přiřazeny k zadaným oborům zabezpečení a kolekcím

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte položku Zabezpečení a pak zvolte Možnost Uživatelé správy.

  3. Vyberte správce, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a ověřte, že je uživatel nakonfigurovaný jenom pro instance objektů, které jsou přiřazené k zadaným oborům zabezpečení a kolekcím.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto uživateli přiřadit další role zabezpečení, zvolte Přidat, zaškrtněte políčko pro každou další roli zabezpečení, kterou chcete přiřadit, a pak zvolte OK.
    • Pokud chcete odebrat role zabezpečení, vyberte ze seznamu jednu nebo více rolí zabezpečení a pak zvolte Odebrat.
  7. Pokud chcete upravit obory zabezpečení a kolekce, které jsou přidružené k rolím zabezpečení, zvolte kartu Obory zabezpečení .

    • Pokud chcete přidružit nové obory zabezpečení nebo kolekce ke všem rolím zabezpečení, které jsou přiřazeny tomuto administrativnímu uživateli, zvolte Přidat a vyberte jednu ze čtyř možností. Pokud vyberete Obor zabezpečení nebo Kolekce, zaškrtněte políčko u jednoho nebo více objektů, aby se tento výběr dokončil, a pak zvolte OK.
    • Pokud chcete odebrat obor zabezpečení nebo kolekci, zvolte objekt a pak zvolte Odebrat.
  8. Pokud chcete tento postup dokončit, zvolte OK .

Pomocí následujícího postupu můžete upravit správce, který má nastavené chování zabezpečitelných objektů na přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcím.

Pro možnost: Přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcím

  1. V konzole Configuration Manager zvolte Správa.

  2. V pracovním prostoru Správa rozbalte položku Zabezpečení a pak zvolte Možnost Uživatelé správy.

  3. Vyberte správce, kterého chcete upravit.

  4. Na kartě Domů ve skupině Vlastnosti zvolte Vlastnosti.

  5. Zvolte kartu Obory zabezpečení a ověřte, že je správce nakonfigurovaný pro přidružení přiřazených rolí zabezpečení ke konkrétním oborům zabezpečení a kolekcím.

  6. Pokud chcete upravit přiřazené role zabezpečení, zvolte kartu Role zabezpečení .

    • Pokud chcete tomuto administrativnímu uživateli přiřadit další role zabezpečení, zvolte Přidat. V dialogovém okně Přidat roli zabezpečení vyberte jednu nebo více dostupných rolí zabezpečení, zvolte Přidat a vyberte typ objektu, který chcete přidružit k vybraným rolím zabezpečení. Pokud vyberete Obor zabezpečení nebo Kolekce, zaškrtněte políčko u jednoho nebo více objektů, aby se tento výběr dokončil, a pak zvolte OK.

      Poznámka

      Před přiřazením vybraných rolí zabezpečení administrativnímu uživateli je nutné nakonfigurovat alespoň jeden obor zabezpečení. Když vyberete více rolí zabezpečení, každý obor zabezpečení a kolekce, které nakonfigurujete, se přidruží ke každé z vybraných rolí zabezpečení.

    • Pokud chcete odebrat role zabezpečení, vyberte ze seznamu jednu nebo více rolí zabezpečení a pak zvolte Odebrat.

  7. Pokud chcete upravit obory zabezpečení a kolekce, které jsou přidružené k určité roli zabezpečení, zvolte kartu Obory zabezpečení , vyberte roli zabezpečení a pak zvolte Upravit.

    • Pokud chcete k této roli zabezpečení přidružit nové objekty, zvolte Přidat a vyberte typ objektu, který chcete přidružit k vybraným rolím zabezpečení. Pokud vyberete Obor zabezpečení nebo Kolekce, zaškrtněte políčko u jednoho nebo více objektů, aby se tento výběr dokončil, a pak zvolte OK.

      Poznámka

      Musíte nakonfigurovat alespoň jeden obor zabezpečení.

    • Pokud chcete odebrat obor zabezpečení nebo kolekci, která je přidružená k této roli zabezpečení, vyberte objekt a pak zvolte Odebrat.

    • Po dokončení úprav přidružených objektů zvolte OK.

  8. Pokud chcete tento postup dokončit, zvolte OK .

    Upozornění

    Když role zabezpečení udělí správcům oprávnění k nasazení kolekce, můžou tito správci distribuovat objekty z libovolného oboru zabezpečení, pro který mají oprávnění ke čtení objektů, i když je tento obor zabezpečení přidružený k jiné roli zabezpečení.

Automatizace pomocí Windows PowerShell

K automatizaci některých z těchto úloh můžete použít následující rutiny PowerShellu:

Správa administrativních uživatelů:

Správa rolí a oborů uživatelů:

Správa rolí zabezpečení:

Správa oprávnění k rolím zabezpečení:

Správa oborů zabezpečení:

Správa oboru zabezpečení objektů:

Další kroky

Nástroj pro správu a auditování na základě rolí

Účty používané v Configuration Manager