Konfigurieren der rollenbasierten Verwaltung für Configuration Manager
Gilt für: Configuration Manager (Current Branch)
In Configuration Manager kombiniert die rollenbasierte Verwaltung Sicherheitsrollen, Sicherheitsbereiche und zugewiesene Sammlungen, um den Verwaltungsbereich für jeden Administrator zu definieren. Ein Verwaltungsbereich umfasst die Objekte, die ein Administrator in der Configuration Manager-Konsole anzeigen kann, sowie die Aufgaben im Zusammenhang mit den Objekten, für die er über die Berechtigung verfügt.
Wenn Sie mit diesen Konzepten noch nicht vertraut sind, finden Sie weitere Informationen unter Grundlagen der rollenbasierten Verwaltung.
Verwenden Sie die Informationen in diesem Artikel, um rollenbasierte Verwaltung und zugehörige Sicherheitseinstellungen zu erstellen und zu konfigurieren.
Hinweis
Bei den Verfahren in diesem Artikel wird davon ausgegangen, dass Ihr Administrator über eine Sicherheitsrolle mit den erforderlichen Berechtigungen verfügt. Beispielsweise die Rollen "Volladministrator " oder "Sicherheitsadministrator ".
Tipp
Verwenden Sie das Tool für die rollenbasierte Verwaltung und Überwachung , um bei den folgenden Aktionen zu helfen:
- Modellberechtigungen für eine neue Rolle, die Sie erstellen möchten.
- Überwachen Sie alle vorhandenen administrativen Benutzer, Sammlungen und Sicherheitsbereiche.
- Überwachen eines bestimmten Benutzers
Erstellen benutzerdefinierter Sicherheitsrollen
Configuration Manager bietet mehrere integrierte Sicherheitsrollen. Sie können die Berechtigungen der integrierten Rollen nicht ändern. Wenn Sie andere Rollen benötigen, erstellen Sie eine benutzerdefinierte Rolle. Sie können eine benutzerdefinierte Rolle erstellen, um Administratoren andere Berechtigungen zu erteilen, die sie benötigen und die nicht in einer integrierten Rolle enthalten sind. Mithilfe einer benutzerdefinierten Sicherheitsrolle können Sie ihnen die am wenigsten erforderlichen Berechtigungen zuweisen. Eine benutzerdefinierte Rolle kann Ihnen dabei helfen, das Zuweisen einer Sicherheitsrolle zu vermeiden, die mehr Berechtigungen gewährt, als sie benötigen.
Erstellen benutzerdefinierter Sicherheitsrollen
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung. Erweitern Sie Sicherheit, und wählen Sie dann den Knoten Sicherheitsrollen aus. Verwenden Sie dann einen der folgenden Prozesse, um eine neue Sicherheitsrolle zu erstellen:
Erstellen einer neuen benutzerdefinierten Sicherheitsrolle durch Kopieren einer integrierten Rolle
Wählen Sie eine vorhandene Sicherheitsrolle aus, die als Quelle für die neue Rolle verwendet werden soll.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Sicherheitsrolledie Option Kopieren aus. Mit dieser Aktion wird eine Kopie der Quellsicherheitsrolle erstellt.
Geben Sie im Assistenten Sicherheitsrolle kopieren einen Namen für die neue benutzerdefinierte Sicherheitsrolle an. Die Höchstlänge beträgt 256 Zeichen.
Geben Sie optional, aber empfohlen eine Beschreibung an, um den Zweck dieser benutzerdefinierten Sicherheitsrolle zusammenzufassen. Die maximale Länge beträgt 512 Zeichen.
Erweitern Sie unter Berechtigungen die einzelnen Objekttypen, um die verfügbaren Berechtigungen anzuzeigen.
Um eine Berechtigung zu ändern, wählen Sie die Dropdownliste aus, und wählen Sie entweder Ja oder Nein aus.
Achtung
Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, erteilen Sie nur Berechtigungen, die von den Benutzern benötigt werden, die dieser Rolle zugewiesen sind. Beispielsweise ermöglicht die Modify-Berechtigung für das Sicherheitsrollenobjekt zugewiesenen Benutzern, jede zugängliche Sicherheitsrolle zu bearbeiten, auch wenn sie dieser Sicherheitsrolle nicht zugewiesen sind.
Nachdem Sie die Berechtigungen konfiguriert haben, wählen Sie OK aus, um die neue Sicherheitsrolle zu speichern.
Importieren einer Sicherheitsrolle, die aus einer anderen Configuration Manager-Hierarchie exportiert wurde
Wichtig
Importieren Sie nur Benutzerdefinierte Sicherheitsrollenkonfigurationsdateien aus einer vertrauenswürdigen Quelle. Wenn Sie eine benutzerdefinierte Sicherheitsrolle exportieren, speichern Sie sie an einem sicheren Ort. Die XML-Dateien sind nicht digital signiert.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Sicherheitsrolle importieren aus.
Geben Sie die XML-Datei an, die die konfiguration der exportierten Sicherheitsrolle enthält. Wählen Sie Öffnen aus, um das Verfahren abzuschließen und die Sicherheitsrolle zu erstellen.
Nachdem Sie eine benutzerdefinierte Sicherheitsrolle importiert haben, öffnen Sie deren Eigenschaften. Zeigen Sie die Berechtigungen an, um zu bestätigen, dass sie die am wenigsten erforderlichen Berechtigungen für diese Rolle enthalten. Ändern Sie alle Berechtigungen, die in dieser Umgebung nicht erforderlich sind.
Hinweis
Integrierte Sicherheitsrollen können nicht exportiert werden.
Konfigurieren von Sicherheitsrollen
Sie können die Berechtigungen für eine benutzerdefinierte Sicherheitsrolle ändern, aber sie können die integrierten Sicherheitsrollen nicht ändern.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Sicherheit, und wählen Sie dann den Knoten Sicherheitsrollen aus.
Wählen Sie die benutzerdefinierte Sicherheitsrolle aus, die Sie ändern oder anzeigen möchten.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Ändern Sie im Eigenschaftenfenster auf der Registerkarte Allgemein ggf. den Namen oder die Beschreibung .
Zeigen Sie auf der Registerkarte Administrative Benutzer die Benutzer an, die dieser Rolle zugeordnet sind. Um die Zuweisung zu ändern, wechseln Sie zu den Eigenschaften des Administratorbenutzers.
Erweitern Sie auf der Registerkarte Berechtigungen die einzelnen Objekttypen, um die verfügbaren Berechtigungen anzuzeigen.
Um eine Berechtigung zu ändern, wählen Sie die Dropdownliste aus, und wählen Sie dann entweder Ja oder Nein aus.
Achtung
Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, erteilen Sie nur Berechtigungen, die von den Benutzern benötigt werden, die dieser Rolle zugewiesen sind. Beispielsweise ermöglicht die Modify-Berechtigung für das Sicherheitsrollenobjekt zugewiesenen Benutzern, jede zugängliche Sicherheitsrolle zu bearbeiten, auch wenn sie dieser Sicherheitsrolle nicht zugewiesen sind.
Wenn Sie fertig sind, wählen Sie OK aus, um die benutzerdefinierte Sicherheitsrolle zu speichern.
Konfigurieren von Sicherheitsbereichen für ein Objekt
Verwalten Sie Sicherheitsbereiche aus dem sicherungsfähigen Objekt, nicht aus dem Sicherheitsbereich. Die einzigen Eigenschaften, die Sie in einem benutzerdefinierten Sicherheitsbereich ändern können, sind der Name und die Beschreibung. Die beiden integrierten Bereiche können nicht geändert werden. Um den Namen und die Beschreibung eines benutzerdefinierten Bereichs zu ändern, benötigen Sie die Berechtigung Ändern für das Sicherheitsbereichsobjekt .
Wenn Sie ein neues Objekt in Configuration Manager erstellen, wird es jedem Sicherheitsbereich zugeordnet, der den Sicherheitsrollen des Kontos zugeordnet ist, das zum Erstellen des Objekts verwendet wird. Dieses Verhalten tritt auf, wenn diese Sicherheitsrollen die Berechtigung Erstellen oder Sicherheitsbereich festlegen bereitstellen. Nachdem Sie ein Objekt erstellt haben, können Sie die Sicherheitsbereiche ändern und es mehreren Bereichen zuweisen.
Beispielsweise wird Ihnen eine Sicherheitsrolle zugewiesen, die Ihnen die Berechtigung zum Erstellen einer neuen Begrenzungsgruppe erteilt. Diese Rolle ist dem Sicherheitsbereich "Administratoren " zugeordnet. Wenn Sie eine neue Begrenzungsgruppe erstellen, haben Sie keine Möglichkeit, bestimmte Sicherheitsbereiche zuzuweisen. Der Sicherheitsbereich "Administratoren " wird automatisch der neuen Begrenzungsgruppe zugewiesen. Nachdem Sie die neue Begrenzungsgruppe gespeichert haben, können Sie die Sicherheitsbereiche für die Begrenzungsgruppe bearbeiten.
Weitere Informationen zum Hinzufügen eines Bereichs für einen Benutzer finden Sie unter Ändern des Verwaltungsbereichs eines Administratorbenutzers.
Erstellen eines benutzerdefinierten Sicherheitsbereichs
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Sicherheit, und wählen Sie dann den Knoten Sicherheitsbereiche aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Sicherheitsbereich erstellen aus.
Geben Sie im Fenster Sicherheitsbereich erstellen einen Namen des Sicherheitsbereichs an. Die Höchstlänge beträgt 256 Zeichen.
Geben Sie optional, aber empfohlen eine Beschreibung an, um den Zweck dieses benutzerdefinierten Sicherheitsbereichs zusammenzufassen. Die maximale Länge beträgt 512 Zeichen.
Wählen Oder entfernen Sie administrative Benutzerzuweisungen. Sie können diese ändern, nachdem Sie den Sicherheitsbereich erstellt haben.
Klicken Sie auf OK, um den benutzerdefinierten Sicherheitsbereich zu speichern.
Konfigurieren von Sicherheitsbereichen für ein Objekt
Wählen Sie in der Configuration Manager-Konsole ein Objekt aus, das die Zuweisung zu einem Sicherheitsbereich unterstützt. Eine Liste der unterstützten Objekte finden Sie unter Grundlagen der rollenbasierten Verwaltung – Sicherheitsbereiche.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Klassifizieren die Option Sicherheitsbereiche festlegen aus.
Wechseln Sie für einen Ordner zur Registerkarte Ordner des Menübands. Wählen Sie in der Gruppe Aktionendie Option Sicherheitsbereiche festlegen aus.
Hinweis
Ein Element kann in Ordnern außerhalb des Sicherheitsbereichs eines Benutzers durchsucht werden, wenn dieser Benutzer einen Sicherheitsbereich mit der Person teilt, die das Objekt erstellt hat.
Wählen oder deaktivieren Sie im Fenster Sicherheitsbereiche festlegen die Sicherheitsbereiche für dieses Objekt. Wählen Sie mindestens einen Sicherheitsbereich aus.
Wählen Sie OK aus, um die zugewiesenen Sicherheitsbereiche zu speichern.
Konfigurieren von Sammlungen zum Verwalten der Sicherheit
Es gibt keine Verfahren zum Konfigurieren von Sammlungen für die rollenbasierte Verwaltung. Sammlungen verfügen nicht über eine rollenbasierte Verwaltungskonfiguration. Stattdessen weisen Sie Sammlungen einem Administrator zu. Um die Aktionen zu bestimmen, die ein Administrator für eine Sammlung und deren Member ausführen kann, zeigen Sie die Berechtigungen für den Objekttyp Collection für die Sicherheitsrolle an.
Wenn ein Administrator über Berechtigungen für eine Sammlung verfügt, verfügt er auch über Berechtigungen für Sammlungen, die auf diese Sammlung beschränkt sind. Ihre Organisation verwendet beispielsweise eine Sammlung mit dem Namen Alle Desktops. Es gibt auch eine Sammlung mit dem Namen Alle Nordamerika Desktops, die auf die Sammlung Alle Desktops beschränkt ist. Wenn ein Administrator über Berechtigungen für Alle Desktops verfügt, verfügt er über die gleichen Berechtigungen für die Sammlung Alle Nordamerika Desktops.
Ein Administrator kann die Berechtigungen Löschen oder Ändern nicht für eine Sammlung verwenden, die ihm direkt zugewiesen ist. Sie können diese Berechtigungen für die Sammlungen verwenden, die auf diese Sammlung beschränkt sind. Im vorherigen Beispiel kann der Administrator die Sammlung Alle Nordamerika Desktops löschen oder ändern, aber er kann die Sammlung Alle Desktops nicht löschen oder ändern.
Erstellen eines neuen Administratorbenutzers
Um Einzelpersonen oder Mitgliedern einer Sicherheitsgruppe Zugriff zum Verwalten von Configuration Manager zu gewähren, erstellen Sie einen Administratorbenutzer. Geben Sie ein Windows-Konto des Benutzers oder der Benutzergruppe an. Weisen Sie jedem Administrator mindestens eine Sicherheitsrolle und einen Sicherheitsbereich zu. Sie können auch Sammlungen zuweisen, um den Verwaltungsbereich des Benutzers oder der Gruppe einzuschränken.
Erstellen eines neuen Administratorbenutzers
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Sicherheit, und wählen Sie dann den Knoten Administratorbenutzer aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Benutzer oder Gruppe hinzufügen aus.
Wählen Sie Durchsuchen und dann das Benutzerkonto oder die Gruppe aus, das bzw. die für diesen neuen Administrator in Configuration Manager verwendet werden soll.
Hinweis
Für die konsolenbasierte Verwaltung können Sie nur Domänenbenutzer oder Domänensicherheitsgruppen als Administrator angeben.
Wählen Sie für zugeordnete Sicherheitsrollendie Option Hinzufügen aus, um eine Liste der verfügbaren Sicherheitsrollen zu öffnen. Wählen Sie mindestens eine Sicherheitsrolle und dann OK aus.
Wählen Sie eine der folgenden Optionen aus, um das Verhalten sicherungsfähiger Objekte für den neuen Benutzer zu definieren:
Alle Instanzen der -Objekte, die sich auf die zugewiesenen Sicherheitsrollen beziehen: Diese Option weist das folgende Verhalten auf:
- Sicherheitsbereich: Alle
- Sammlungen: Alle Systeme und Alle Benutzer und Benutzergruppen
- Die Sicherheitsrollen, die Sie dem Benutzer zuweisen, definieren den Zugriff auf Objekte.
- Neue Objekte, die dieser Benutzer erstellt, werden dem Standardsicherheitsbereich zugewiesen.
Nur die Instanzen von -Objekten, die den angegebenen Sicherheitsbereichen und Auflistungen zugewiesen sind: Diese Option weist das folgende Verhalten auf:
- Sicherheitsbereich: Standard
- Sammlungen: Alle Systeme und Alle Benutzer und Benutzergruppen
- Diese Standardwerte unterscheiden sich möglicherweise, da die tatsächlichen Sicherheitsbereiche und Sammlungen auf diejenigen beschränkt sind, die dem Konto zugeordnet sind, das Sie zum Erstellen des Administratorbenutzers verwenden.
- Hinzufügen oder Entfernen von Sicherheitsbereichen und Sammlungen, um den Verwaltungsbereich dieses Benutzers anzupassen.
Wichtig
Nachdem Sie den Benutzer erstellt haben, zeigen Sie dessen Eigenschaften an, um eine dritte Option auszuwählen: Zugewiesene Sicherheitsrollen bestimmten Sicherheitsbereichen und Sammlungen zuordnen. Weitere Informationen finden Sie unter Ändern des Verwaltungsbereichs eines Administratorbenutzers.
Wählen Sie OK aus, um das Fenster zu schließen und den Administrator zu erstellen.
Ändern des Verwaltungsbereichs eines Administratorbenutzers
Sie können den Verwaltungsbereich eines Administratorbenutzers ändern, indem Sie Dem Benutzer zugeordnete Sicherheitsrollen, Sicherheitsbereiche und Sammlungen hinzufügen oder entfernen. Jeder Administrator muss mindestens einer Sicherheitsrolle und einem Sicherheitsbereich zugeordnet sein. Möglicherweise müssen Sie dem Verwaltungsbereich des Benutzers eine oder mehrere Sammlungen zuweisen. Die meisten Sicherheitsrollen interagieren mit Sammlungen und funktionieren ohne zugewiesene Sammlung nicht ordnungsgemäß.
Wenn Sie einen Administrator ändern, können Sie das Verhalten für die Zuordnung sicherungsfähiger Objekte zu den zugewiesenen Sicherheitsrollen ändern. Die drei Verhaltensweisen, die Sie auswählen können, sind wie folgt:
Alle Instanzen der Objekte, die sich auf die zugewiesenen Sicherheitsrollen beziehen: Mit dieser Option wird der Administrator dem Bereich Alle und den Sammlungen Alle Systeme und Alle Benutzer und Benutzergruppen zugeordnet. Die Sicherheitsrollen, die dem Benutzer zugewiesen sind, definieren den Zugriff auf Objekte.
Nur instanzen von -Objekten, die den angegebenen Sicherheitsbereichen und Sammlungen zugewiesen sind: Diese Option ordnet den Administratorbenutzer den gleichen Sicherheitsbereichen und Sammlungen zu, die dem Konto zugeordnet sind, das Sie zum Konfigurieren des Administratorbenutzers verwenden. Diese Option unterstützt das Hinzufügen oder Entfernen von Sicherheitsrollen und Sammlungen, um den Verwaltungsbereich des Administratorbenutzers anzupassen.
Zuordnen zugewiesener Sicherheitsrollen zu bestimmten Sicherheitsbereichen und Sammlungen: Mit dieser Option können Sie bestimmte Zuordnungen zwischen einzelnen Sicherheitsrollen und bestimmten Sicherheitsbereichen und Sammlungen für den Benutzer erstellen.
Hinweis
Diese Option ist nur verfügbar, wenn Sie die Eigenschaften eines Administratorbenutzers ändern.
Die aktuelle Konfiguration für das Verhalten sicherungsfähiger Objekte ändert den Prozess, den Sie verwenden, um zusätzliche Sicherheitsrollen zuzuweisen. Verwenden Sie die folgenden Verfahren, die auf den verschiedenen Optionen für sicherungsfähige Objekte basieren, um Sie bei der Verwaltung eines Administratorbenutzers zu unterstützen.
Verwenden Sie das folgende Verfahren, um die Konfiguration für sicherungsfähige Objekte für einen Administrator anzuzeigen und zu verwalten.
So zeigen Sie das Verhalten sicherungsfähiger Objekte für einen Administrator an und verwalten es
- Wählen Sie in der Configuration Manager-Konsole Die Option Verwaltung aus.
- Erweitern Sie im Arbeitsbereich Verwaltungdie Option Sicherheit, und wählen Sie dann Administrative Benutzer aus.
- Wählen Sie den Administrator aus, den Sie ändern möchten.
- Wählen Sie auf der Registerkarte Start in der Gruppe Eigenschaftendie Option Eigenschaften aus.
- Wählen Sie die Registerkarte Sicherheitsbereiche aus, um die aktuelle Konfiguration für sicherungsfähige Objekte für diesen Administrator anzuzeigen.
- Um das Verhalten sicherungsfähiger Objekte zu ändern, wählen Sie eine neue Option für das Verhalten sicherungsfähiger Objekte aus. Nachdem Sie diese Konfiguration geändert haben, finden Sie weitere Anleitungen zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für diesen Administrator.
- Wählen Sie OK aus, um das Verfahren abzuschließen.
Verwenden Sie das folgende Verfahren, um einen Administrator zu ändern, für den das Verhalten sicherungsfähiger Objekte auf Alle Instanzen der Objekte festgelegt ist, die mit den zugewiesenen Sicherheitsrollen verknüpft sind.
Für Option: Alle Instanzen der Objekte, die mit den zugewiesenen Sicherheitsrollen verknüpft sind
Wählen Sie in der Configuration Manager-Konsole Die Option Verwaltung aus.
Erweitern Sie im Arbeitsbereich Verwaltungdie Option Sicherheit, und wählen Sie dann Administrative Benutzer aus.
Wählen Sie den Administrator aus, den Sie ändern möchten.
Wählen Sie auf der Registerkarte Start in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass der Administrator für Alle Instanzen der Objekte konfiguriert ist, die sich auf die zugewiesenen Sicherheitsrollen beziehen.
Um die zugewiesenen Sicherheitsrollen zu ändern, wählen Sie die Registerkarte Sicherheitsrollen aus.
- Um diesem Administrator zusätzliche Sicherheitsrollen zuzuweisen, wählen Sie Hinzufügen aus, aktivieren Sie das Kontrollkästchen für jede zusätzliche Sicherheitsrolle, die Sie zuweisen möchten, und wählen Sie dann OK aus.
- Um Sicherheitsrollen zu entfernen, wählen Sie eine oder mehrere Sicherheitsrollen aus der Liste aus, und wählen Sie dann Entfernen aus.
Um das Verhalten sicherungsfähiger Objekte zu ändern, wählen Sie die Registerkarte Sicherheitsbereiche und dann eine neue Option für das Verhalten sicherungsfähiger Objekte aus. Nachdem Sie diese Konfiguration geändert haben, finden Sie weitere Anleitungen zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für diesen Administrator.
Hinweis
Wenn das Verhalten sicherungsfähiger Objekte auf Alle Instanzen der Objekte festgelegt ist, die mit den zugewiesenen Sicherheitsrollen verknüpft sind, können Sie bestimmte Sicherheitsbereiche und Auflistungen nicht hinzufügen oder entfernen.
Klicken Sie auf OK , um dieses Verfahren abzuschließen.
Verwenden Sie das folgende Verfahren, um einen Administrator zu ändern, für den das Verhalten sicherungsfähiger Objekte auf Nur die Instanzen von Objekten festgelegt ist, die den angegebenen Sicherheitsbereichen und Auflistungen zugewiesen sind.
Für Option: Nur die Instanzen von Objekten, die den angegebenen Sicherheitsbereichen und Sammlungen zugewiesen sind
Wählen Sie in der Configuration Manager-Konsole Die Option Verwaltung aus.
Erweitern Sie im Arbeitsbereich Verwaltungdie Option Sicherheit, und wählen Sie dann Administrative Benutzer aus.
Wählen Sie den Administrator aus, den Sie ändern möchten.
Wählen Sie auf der Registerkarte Start in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass der Benutzer für Nur instanzen von Objekten konfiguriert ist, die den angegebenen Sicherheitsbereichen und Sammlungen zugewiesen sind.
Um die zugewiesenen Sicherheitsrollen zu ändern, wählen Sie die Registerkarte Sicherheitsrollen aus.
- Um diesem Benutzer zusätzliche Sicherheitsrollen zuzuweisen, wählen Sie Hinzufügen aus, aktivieren Sie das Kontrollkästchen für jede zusätzliche Sicherheitsrolle, die Sie zuweisen möchten, und wählen Sie dann OK aus.
- Um Sicherheitsrollen zu entfernen, wählen Sie eine oder mehrere Sicherheitsrollen aus der Liste aus, und wählen Sie dann Entfernen aus.
Um die Sicherheitsbereiche und Sammlungen zu ändern, die Sicherheitsrollen zugeordnet sind, wählen Sie die Registerkarte Sicherheitsbereiche aus.
- Um neuen Sicherheitsbereichen oder Sammlungen allen Sicherheitsrollen zuzuordnen, die diesem Administrator zugewiesen sind, wählen Sie Hinzufügen aus, und wählen Sie eine der vier Optionen aus. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für ein oder mehrere Objekte, um diese Auswahl abzuschließen, und wählen Sie dann OK aus.
- Um einen Sicherheitsbereich oder eine Sammlung zu entfernen, wählen Sie das Objekt und dann Entfernen aus.
Klicken Sie auf OK , um dieses Verfahren abzuschließen.
Verwenden Sie das folgende Verfahren, um einen Administrator zu ändern, für den das Verhalten sicherungsfähiger Objekte auf Zuordnen zugewiesener Sicherheitsrollen zu bestimmten Sicherheitsbereichen und Sammlungen festgelegt ist.
Für Option: Zuordnen zugewiesener Sicherheitsrollen zu bestimmten Sicherheitsbereichen und Sammlungen
Wählen Sie in der Configuration Manager-Konsole Die Option Verwaltung aus.
Erweitern Sie im Arbeitsbereich Verwaltungdie Option Sicherheit, und wählen Sie dann Administrative Benutzer aus.
Wählen Sie den Administrator aus, den Sie ändern möchten.
Wählen Sie auf der Registerkarte Start in der Gruppe Eigenschaftendie Option Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass der Administrator für Zugewiesene Sicherheitsrollen bestimmten Sicherheitsbereichen und Sammlungen zuordnen konfiguriert ist.
Um die zugewiesenen Sicherheitsrollen zu ändern, wählen Sie die Registerkarte Sicherheitsrollen aus.
Um diesem Administrator zusätzliche Sicherheitsrollen zuzuweisen, wählen Sie Hinzufügen aus. Wählen Sie im Dialogfeld Sicherheitsrolle hinzufügen eine oder mehrere verfügbare Sicherheitsrollen aus, wählen Sie Hinzufügen aus, und wählen Sie einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für ein oder mehrere Objekte, um diese Auswahl abzuschließen, und wählen Sie dann OK aus.
Hinweis
Sie müssen mindestens einen Sicherheitsbereich konfigurieren, bevor die ausgewählten Sicherheitsrollen dem Administrator zugewiesen werden können. Wenn Sie mehrere Sicherheitsrollen auswählen, wird jeder von Ihnen konfigurierte Sicherheitsbereich und jede Sammlung den ausgewählten Sicherheitsrollen zugeordnet.
Um Sicherheitsrollen zu entfernen, wählen Sie eine oder mehrere Sicherheitsrollen aus der Liste aus, und wählen Sie dann Entfernen aus.
Um die Sicherheitsbereiche und Sammlungen zu ändern, die einer bestimmten Sicherheitsrolle zugeordnet sind, wählen Sie die Registerkarte Sicherheitsbereiche aus, wählen Sie die Sicherheitsrolle und dann Bearbeiten aus.
Um dieser Sicherheitsrolle neue Objekte zuzuordnen, wählen Sie Hinzufügen und dann einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für ein oder mehrere Objekte, um diese Auswahl abzuschließen, und wählen Sie dann OK aus.
Hinweis
Sie müssen mindestens einen Sicherheitsbereich konfigurieren.
Um einen Sicherheitsbereich oder eine Sammlung zu entfernen, die dieser Sicherheitsrolle zugeordnet ist, wählen Sie das Objekt und dann Entfernen aus.
Wenn Sie die zugehörigen Objekte geändert haben, wählen Sie OK aus.
Klicken Sie auf OK , um dieses Verfahren abzuschließen.
Achtung
Wenn eine Sicherheitsrolle Administratorbenutzern die Berechtigung für die Sammlungsbereitstellung erteilt, können diese Administratoren Objekte aus jedem Sicherheitsbereich verteilen, für den sie über Objektleseberechtigungen verfügen, auch wenn dieser Sicherheitsbereich einer anderen Sicherheitsrolle zugeordnet ist.
Automatisieren mit Windows PowerShell
Sie können die folgenden PowerShell-Cmdlets verwenden, um einige dieser Aufgaben zu automatisieren:
Verwalten von Administratorbenutzern:
- Get-CMAdministrativeUser: Dient zum Abrufen eines Administratorbenutzerobjekts.
- New-CMAdministrativeUser: Erstellen Sie einen neuen Administratorbenutzer.
- New-CMAdministrativeUserPermission: {{ Ausfüllen der Synopsis }}
- Remove-CMAdministrativeUser: Entfernen Sie einen Administratorbenutzer.
Verwalten von Rollen und Bereichen für Benutzer:
- Add-CMSecurityRoleToAdministrativeUser: Fügen Sie einem Benutzer oder einer Gruppe eine Sicherheitsrolle hinzu.
- Remove-CMSecurityRoleFromAdministrativeUser: Entfernen Sie die Zuordnung zwischen einer Sicherheitsrolle und einem Administratorbenutzer.
- Add-CMSecurityScopeToAdministrativeUser: Fügen Sie einem Benutzer oder einer Gruppe einen Sicherheitsbereich hinzu.
- Remove-CMSecurityScopeFromAdministrativeUser: Entfernen Sie die Zuordnung zwischen einem Sicherheitsbereich und einem Administratorbenutzer.
Verwalten von Sicherheitsrollen:
- Copy-CMSecurityRole: Erstellen Sie eine benutzerdefinierte Sicherheitsrolle.
- Export-CMSecurityRole: Exportieren einer Sicherheitsrolle in eine XML-Datei.
- Get-CMSecurityRole: Abrufen einer Sicherheitsrolle.
- Import-CMSecurityRole: Importieren Sie eine Sicherheitsrolle aus einer XML-Datei.
- Remove-CMSecurityRole: Entfernen Sie benutzerdefinierte Sicherheitsrollen.
- Set-CMSecurityRole: Ändern der Konfigurationseinstellungen einer Sicherheitsrolle.
Verwalten von Berechtigungen für Sicherheitsrollen:
- Get-CMSecurityRolePermission: Ruft die Berechtigungen für eine Sicherheitsrolle ab.
- Set-CMSecurityRolePermission: Konfigurieren Sie eine Sicherheitsrolle mit bestimmten Berechtigungen.
Verwalten von Sicherheitsbereichen:
- Get-CMSecurityScope: Abrufen eines Sicherheitsbereichs.
- New-CMSecurityScope: Erstellen Sie einen Sicherheitsbereich.
- Remove-CMSecurityScope: Entfernen Sie einen Sicherheitsbereich.
- Set-CMSecurityScope: Konfigurieren Sie einen Sicherheitsbereich.
Verwalten des Objektsicherheitsbereichs:
- Add-CMObjectSecurityScope: Fügen Sie einem Objekt einen Sicherheitsbereich hinzu.
- Get-CMObjectSecurityScope: Ruft den Sicherheitsbereich für ein Configuration Manager-Objekt ab.
- Remove-CMObjectSecurityScope: Entfernen Sie einen Sicherheitsbereich aus einem Configuration Manager-Objekt.