Konfigurieren der Sicherheit für Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Hinweis |
---|
Dieses Thema erscheint in den Handbüchern Standortverwaltung für System Center 2012 Configuration Manager und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
Anhand der Informationen in diesem Thema können Sie die folgenden Sicherheitsoptionen konfigurieren:
Konfigurieren von Einstellungen für Client-PKI-Zertifikate
Konfigurieren von Signierung und Verschlüsselung
Konfigurieren der rollenbasierten Verwaltung
Verwalten von Konten, die von Configuration Manager verwendet werden
Konfigurieren von Einstellungen für Client-PKI-Zertifikate
Wenn Sie Public Key-Infrastrukturzertifikate (PKI) für Clientverbindungen mit Standortsystemen verwenden möchten, von denen Internet Information Services (IIS) verwendet werden, konfigurieren Sie die Einstellungen für diese Zertifikate mithilfe des folgenden Verfahrens.
So konfigurieren Sie Einstellungen von Client-PKI-Zertifikaten
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Bereich Verwaltung den Knoten Standortkonfiguration, klicken Sie auf Standorte und dann auf den zu konfigurierenden primären Standort.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften, und klicken Sie dann auf die Registerkarte Kommunikation mit Clientcomputern.
Hinweis Diese Registerkarte ist nur an einem primären Standort verfügbar. Wenn die Registerkarte Kommunikation mit Clientcomputern nicht angezeigt wird, sollten Sie sicherstellen, dass Sie nicht mit einem Standort der zentralen Verwaltung oder einem sekundären Standort verbunden sind.
-
Klicken Sie auf Nur HTTPS, wenn Sie möchten, dass von Clients, die dem Standort zugewiesen sind, immer ein Client-PKI-Zertifikat verwendet wird, wenn eine Verbindung mit Standortsystemen mit IIS hergestellt wird. Klicken Sie alternativ auf HTTPS oder HTTP, wenn Sie die Verwendung eines Client-PKI-Zertifikats nicht erzwingen möchten.
-
Wenn Sie die Option HTTPS oder HTTP ausgewählt haben und für HTTP-Verbindungen ein Client-PKI-Zertifikat verwenden möchten, klicken Sie auf PKI-Clientzertifikat (Clientauthentifizierungsfunktion) verwenden, sofern dieses verfügbar ist. Zur Authentifizierung bei Standortsystemen wird vom Client dieses Zertifikat anstatt eines selbstsignierten Zertifikats verwendet. Wenn Sie Nur HTTPS auswählen, wird diese Option automatisch ausgewählt.
Hinweis Wenn erkannt wird, dass Clients sich im Internet befinden oder für internetbasierte Clientverwaltung konfiguriert sind, wird immer ein Client-PKI-Zertifikat verwendet.
-
Klicken Sie auf Ändern, um die Clientauswahlmethode Ihrer Wahl zu konfigurieren, wenn auf einem Client mehrere gültige PKI-Zertifikate verfügbar sind. Klicken Sie dann auf OK.
Hinweis Weitere Informationen zur Auswahlmethode für Clientzertifikate finden Sie unter Planen der PKI-Clientzertifikatauswahl.
-
Legen Sie mithilfe des Kontrollkästchens fest, ob die Überprüfung der Zertifikatsperrlisten von Clients ausgeführt werden soll.
Hinweis Weitere Informationen zur Überprüfung der Zertifikatsperrlisten für Clients finden Sie unter Planen der PKI-Zertifikatsperrung.
-
Wenn Sie Zertifikate vertrauenswürdiger Zertifizierungsstellen (CA) für Clients angeben müssen, klicken Sie auf Festlegen, importieren die Dateien der Stamm-Zertifizierungsstellenzertifikate und klicken dann auf OK.
Hinweis Weitere Informationen zu dieser Einstellung finden Sie unter Planen von vertrauenswürdigen PKI-Stammzertifikaten und der Liste der Zertifikataussteller.
-
Klicken Sie auf OK, um das Eigenschaftendialogfeld für den Standort zu schließen.
Wiederholen Sie diesen Vorgang für alle primären Standorte in der Hierarchie.
Konfigurieren von Signierung und Verschlüsselung
Konfigurieren Sie für Standortsysteme die sichersten Einstellungen für Signierung und Verschlüsselung, die von allen Clients des Standorts unterstützt werden können. Diese Einstellungen sind vor allem dann wichtig, wenn Sie Kommunikation zwischen Clients und Standortsystemen mithilfe selbstsignierter Zertifikate und über HTTP zulassen.
So konfigurieren Sie die Signierung und Verschlüsselung für einen Standort
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Bereich Verwaltung den Knoten Standortkonfiguration, klicken Sie auf Standorte und dann auf den zu konfigurierenden primären Standort.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften, und klicken Sie dann auf die Registerkarte Signierung und Verschlüsselung.
Hinweis Diese Registerkarte ist nur an einem primären Standort verfügbar. Wenn die Registerkarte Signierung und Verschlüsselung nicht angezeigt wird, sollten Sie sicherstellen, dass Sie nicht mit einem Standort der zentralen Verwaltung oder einem sekundären Standort verbunden sind.
-
Konfigurieren Sie die gewünschten Optionen für die Signierung und Verschlüsselung, und klicken Sie dann auf OK.
Warnung Wählen Sie die Option SHA-256 erforderlich nur dann aus, wenn Sie überprüft haben, ob dieser Hashalgorithmus von allen Clients, die dem Standort zugewiesen werden könnten, unterstützt wird bzw. ob ein gültiges PKI-Zertifikat zur Authentifizierung für die Clients verfügbar ist. Möglicherweise müssen Sie Updates oder Hotfixes auf Clients installieren, damit SHA-256 unterstützt wird. Beispielsweise muss auf Computern mit Windows Server 2003 SP2 das im KB-Artikel 938397 genannte Hotfix installiert werden.
Wenn Sie diese Option auswählen, wenn SHA-256 von Clients nicht unterstützt wird und selbstsignierte Zertifikate verwendet werden, werden die Zertifikate von Configuration Manager zurückgewiesen. In diesem Szenario wird von der Komponente SMS_MP_CONTROL_MANAGER eine Meldung mit der ID 5443 protokolliert.
-
Klicken Sie auf OK, um das Dialogfeld Eigenschaften für den Standort zu schließen.
Wiederholen Sie diesen Vorgang für alle primären Standorte in der Hierarchie.
Konfigurieren der rollenbasierten Verwaltung
Verwenden Sie die Informationen in diesem Abschnitt, um die rollenbasierte Verwaltung in Configuration Manager zu konfigurieren. Bei der rollenbasierten Verwaltung werden Sicherheitsrollen, Sicherheitsbereiche und zugewiesene Sammlungen kombiniert, um den Verwaltungsbereich für jeden Administrator zu definieren. Zu einem Verwaltungsbereich gehören die Objekte, die ein Administrator in der Configuration Manager-Konsole anzeigen kann, und die Tasks im Zusammenhang mit diesen Objekten, die der Administrator ausführen darf. Die Konfigurationen der rollenbasierten Verwaltung werden auf jeden Standort in einer Hierarchie angewendet.
Verwenden Sie die folgenden Informationen und Verfahren, um die rollenbasierte Verwaltung und entsprechende Sicherheitseinstellungen zu erstellen und zu konfigurieren.
Erstellen von benutzerdefinierten Sicherheitsrollen
Konfigurieren von Sicherheitsrollen
Konfigurieren von Sicherheitsbereichen für ein Objekt
Konfigurieren von Sammlungen zum Verwalten der Sicherheit
Erstellen eines neuen Administrators
Ändern des Verwaltungsbereichs eines Administrators
Wichtig |
---|
In der rollenbasierten Verwaltung werden Sicherheitsrollen, Sicherheitsbereiche und Sammlungen verwendet. Von diesen Einstellungen wird für jeden Administrator ein Verwaltungsbereich definiert. Von Ihrem eigenen Verwaltungsbereich wird definiert, welche Objekte und Einstellungen Sie zuweisen können, wenn Sie die rollenbasierte Verwaltung für einen anderen Administrator konfigurieren. Informationen zum Planen der rollenbasierten Verwaltung finden Sie im Abschnitt Planen der rollenbasierten Verwaltung des Themas Planen der Sicherheit in Configuration Manager. |
Erstellen von benutzerdefinierten Sicherheitsrollen
In Configuration Manager sind mehrere integrierte Sicherheitsrollen verfügbar. Wenn Sie zusätzliche Sicherheitsrollen benötigen, können Sie eine benutzerdefinierte Sicherheitsrolle erstellen, indem Sie von einer vorhandenen Sicherheitsrolle eine Kopie erstellen und diese dann ändern. Sie könnten eine benutzerdefinierte Sicherheitsrolle erstellen, um Administratoren zusätzliche Sicherheitsberechtigungen zu erteilen, welche für die Administratoren erforderlich, in der aktuell zugewiesenen Sicherheitsrolle jedoch nicht enthalten sind. Wenn Sie eine benutzerdefinierte Sicherheitsrolle verwenden, können Sie ihnen nur die erforderlichen Berechtigungen erteilen und vermeiden, eine Sicherheitsrolle zuzuweisen, mit der Sie mehr Berechtigungen erteilen, als erforderlich sind.
Wenden Sie das folgende Verfahren an, um eine neue Sicherheitsrolle mithilfe einer vorhandenen Sicherheitsrolle als Vorlage zu erstellen.
So erstellen Sie benutzerdefinierte Sicherheitsrollen
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Sicherheitsrollen.
Verwenden Sie eines der folgenden Verfahren, um die neue Sicherheitsrolle zu erstellen:
- Führen Sie die folgenden Aktionen aus, um eine neue benutzerdefinierte Sicherheitsrolle zu erstellen: 1. Wählen Sie eine vorhandene Sicherheitsrolle aus, die Sie als Quelle für die neue Sicherheitsrolle verwenden möchten. 2. Klicken Sie auf der Registerkarte **Startseite** in der Gruppe **Sicherheitsrolle** auf **Kopieren**. Damit erstellen Sie eine Kopie der Quellsicherheitsrolle. 3. Geben Sie im Assistenten zum Kopieren von Sicherheitsrollen einen Namenfür die neue benutzerdefinierte Sicherheitsrolle an. 4. Erweitern Sie in **Zuweisungen von Sicherheitsvorgängen** alle Knoten unter **Sicherheitsvorgänge**, um die verfügbaren Aktionen anzuzeigen. 5. Wenn Sie die Einstellung für einen Sicherheitsvorgang ändern möchten, klicken Sie in der Spalte **Wert** auf den Pfeil nach unten und wählen dann entweder **Ja** oder **Nein** aus. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Achtung</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, achten Sie darauf, keine Berechtigungen zu erteilen, die für die Administratoren, die der neuen Sicherheitsrolle zugewiesen sind, nicht erforderlich sind. Beispielsweise erteilen Sie mit dem Wert <strong>Ändern</strong> für den Sicherheitsvorgang <strong>Sicherheitsrollen</strong> Administratoren die Berechtigung zum Ändern jeder zugänglichen Sicherheitsrolle, auch dann, wenn die Administratoren dieser Sicherheitsrolle nicht zugewiesen sind.</p></td> </tr> </tbody> </table> </div> 6. Wenn Sie die Berechtigungen konfiguriert haben, klicken Sie auf **OK**, um die neue Sicherheitsrolle zu speichern. - Wenn Sie eine Sicherheitsrolle importieren möchten, die aus einer anderen System Center 2012 Configuration Manager-Hierarchie exportiert wurde, führen Sie die folgenden Aktionen aus: 1. Klicken Sie auf der Registerkarte **Startseite** in der Gruppe **Erstellen** auf **Sicherheitsrolle importieren**. 2. Geben Sie die XML-Datei an, die die zu importierende Sicherheitsrollenkonfiguration enthält, und klicken Sie auf **Öffnen**, um den Vorgang abzuschließen und die Sicherheitsrolle zu speichern. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Wenn Sie eine Sicherheitsrolle importiert haben, können Sie die Eigenschaften der Sicherheitsrolle bearbeiten, um die entsprechenden Objektberechtigungen zu ändern.</p></td> </tr> </tbody> </table> </div>
Konfigurieren von Sicherheitsrollen
Die Gruppen von Sicherheitsberechtigungen, die für eine Sicherheitsrolle definiert sind, werden als Zuweisungen von Sicherheitsvorgängen bezeichnet. Von Zuweisungen von Sicherheitsvorgängen wird eine Kombination von Objekttypen und Aktionen repräsentiert, die für jeden Objekttyp verfügbar ist. Sie können ändern, welche Sicherheitsvorgänge für jede benutzerdefinierte Sicherheitsrolle verfügbar sind. Sie können jedoch nicht die in Configuration Manager integrierten Sicherheitsrollen ändern.
Wenden Sie das folgende Verfahren an, um die Sicherheitsvorgänge für eine Sicherheitsrolle zu ändern.
Ändern von Sicherheitsrollen
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Sicherheitsrollen.
-
Wählen Sie die benutzerdefinierte Sicherheitsrolle, die Sie ändern möchten, aus.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf die Registerkarte Berechtigungen.
-
Erweitern Sie in Zuweisungen von Sicherheitsvorgängen alle Knoten unter Sicherheitsvorgänge, um die verfügbaren Aktionen anzuzeigen.
-
Wenn Sie die Einstellung für einen Sicherheitsvorgang ändern möchten, klicken Sie in der Spalte Wert auf den Pfeil nach unten und wählen dann entweder Ja oder Nein aus.
Achtung Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, achten Sie darauf, keine Berechtigungen zu erteilen, die für die Administratoren, die der neuen Sicherheitsrolle zugewiesen sind, nicht erforderlich sind. Beispielsweise erteilen Sie mit dem Wert Ändern für den Sicherheitsvorgang Sicherheitsrollen Administratoren die Berechtigung zum Ändern jeder zugänglichen Sicherheitsrolle, auch dann, wenn die Administratoren dieser Sicherheitsrolle nicht zugewiesen sind.
-
Wenn Sie mit dem Konfigurieren der Zuweisungen von Sicherheitsvorgängen fertig sind, klicken Sie auf OK, um die neue Sicherheitsrolle zu speichern.
Konfigurieren von Sicherheitsbereichen für ein Objekt
Sie verwalten die Zuweisung eines Sicherheitsbereichs für ein Objekt vom Objekt aus, nicht vom Sicherheitsbereich aus. Die einzigen direkten Konfigurationen, die von Sicherheitsbereichen unterstützt werden, sind Änderungen an Namen und Beschreibung der Sicherheitsbereiche. Wenn Sie den Namen oder die Beschreibung eines Sicherheitsbereichs beim Anzeigen der Eigenschaften des Sicherheitsbereichs ändern möchten, benötigen Sie die Berechtigung Ändern für das sicherungsfähige Objekt Sicherheitsbereiche.
Wenn Sie ein neues Objekt in Configuration Manager erstellen, wird das Objekt allen Sicherheitsbereichen zugeordnet, die ihrerseits den Sicherheitsrollen des Kontos zugeordnet sind, das für die Erstellung des Objekts verwendet wurde, sofern mit diesen Sicherheitsrollen die Berechtigungen Erstellen oder Sicherheitsbereiche festlegen erteilt werden. Sie können erst nach dem Erstellen eines Objekts die Sicherheitsbereiche, denen es zugewiesen ist, ändern.
Beispielsweise sind Sie einer Sicherheitsrolle zugewiesen, durch die Sie über die Berechtigung zum Erstellen einer neuen Begrenzungsgruppe verfügen. Wenn Sie eine neue Begrenzungsgruppe erstellen, ist keine Option verfügbar, der Sie bestimmte Sicherheitsbereiche zuweisen könnten. Stattdessen werden die Sicherheitsbereiche, die in den Sicherheitsrollen verfügbar sind, denen Sie zugewiesen sind, automatisch der neuen Begrenzungsgruppe zugewiesen. Wenn Sie die neue Begrenzungsgruppe gespeichert haben, können Sie die Sicherheitsbereiche bearbeiten, die der neuen Begrenzungsgruppe zugewiesen sind.
Wenden Sie das folgende Verfahren an, um die Sicherheitsbereiche zu konfigurieren, die einem Objekt zugewiesen sind.
So konfigurieren Sie Sicherheitsbereiche für ein Objekt
-
Wählen Sie in der Configuration Manager-Konsole ein Objekt aus, das einem Sicherheitsbereich zugewiesen werden kann.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Klassifizieren auf Sicherheitsbereiche festlegen.
-
Aktivieren bzw. deaktivieren Sie im Dialogfeld Sicherheitsbereiche festlegen die Sicherheitsbereiche, denen dieses Objekt zugeordnet sein soll. Jedes Objekt, von dem die Zuweisung zu Sicherheitsbereichen unterstützt wird, muss mindestens einem Sicherheitsbereich zugewiesen werden.
-
Klicken Sie auf OK, um die zugewiesenen Sicherheitsbereiche zu speichern.
Hinweis Wenn Sie ein neues Objekt erstellen, können Sie es mehreren Sicherheitsbereichen zuweisen. Wenn Sie die Anzahl der Sicherheitsbereiche, denen das Objekt zugewiesen ist, ändern möchten, müssen Sie diese Zuweisung nach der Erstellung des Objekts ändern.
Konfigurieren von Sammlungen zum Verwalten der Sicherheit
Es gibt keine Verfahren zum Konfigurieren von Sammlungen für die rollenbasierte Verwaltung. Bei Sammlungen ist keine Konfiguration für die rollenbasierte Verwaltung verfügbar. Stattdessen weisen Sie Sammlungen einem Administrator zu, wenn Sie den Administrator konfigurieren. Von den Sicherheitsvorgängen der Sammlung, die in den zugewiesenen Sicherheitsrollen der Benutzer aktiviert werden, wird bestimmt, welche Berechtigungen ein Administrator für Sammlungen und Sammlungsressourcen (Sammlungsmitglieder) hat.
Wenn Administratoren über Berechtigungen für eine Sammlung verfügen, verfügen sie auch über Berechtigungen für Sammlungen, die auf diese Sammlung begrenzt sind. Beispielsweise wird in Ihrer Organisation eine Sammlung namens „Alle Desktopcomputer“ verwendet, und eine Sammlung namens „Alle Desktopcomputer in Europa“ wurde auf die Sammlung „Alle Desktopcomputer“ beschränkt. Administratoren, die Berechtigungen für die Sammlung „Alle Desktopcomputer“ haben, verfügen über die gleichen Berechtigungen für die Sammlung „Alle Desktopcomputer in Europa“. Zusätzlich können Administratoren die Berechtigungen Löschen und Ändern nicht bei Sammlungen verwenden, die ihnen direkt zugeordnet sind. Sie können die Berechtigungen jedoch bei Sammlungen verwenden, die auf die direkt zugeordneten Sammlungen beschränkt sind. Im vorigen Beispiel können Administratoren die Sammlung „Alle Desktopcomputer in Europa“ ändern und löschen. Sie können jedoch nicht die Sammlung „Alle Desktopcomputer“ ändern oder löschen.
Erstellen eines neuen Administrators
Erstellen Sie in Configuration Manager Administratoren, und geben Sie das Windows-Konto des Benutzers bzw. der Benutzergruppe an, um Individuen oder Mitgliedern von Sicherheitsgruppen einen Verwaltungszugriff auf Configuration Manager zu gewähren. Jedem Administrator in Configuration Manager müssen mindestens eine Sicherheitsrolle und ein Sicherheitsbereich zugewiesen werden. Sie können auch Sammlungen zuweisen, um den Verwaltungsbereich des Administrators zu begrenzen.
Wenden Sie die folgenden Verfahren an, um neue Administratoren zu erstellen.
So erstellen Sie einen neuen Administrator
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Administratoren.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Benutzer oder Gruppe hinzufügen.
-
Klicken Sie auf Durchsuchen, und wählen Sie dann das für diesen Administrator zu verwendende Benutzerkonto bzw. die zu verwendende Gruppe aus.
Hinweis Für die konsolenbasierte Verwaltung können nur Domänenbenutzer oder Sicherheitsgruppen als Administratoren angegeben werden.
-
Klicken Sie unter Zugeordnete Sicherheitsrollen auf Hinzufügen, um eine Liste der verfügbaren Sicherheitsrollen anzuzeigen. Aktivieren Sie das Kontrollkästchen für mindestens eine Sicherheitsrolle, und klicken Sie dann auf OK.
-
Wählen Sie eine der folgenden beiden Optionen aus, um das Verhalten im Zusammenhang mit sicherungsfähigen Objekten für den neuen Benutzer zu definieren:
- **Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind**: Bei Auswahl dieser Option wird der Administrator dem Sicherheitsbereich **Alle** und der Stammebene sowie den integrierten Sammlungen **Alle Systeme** und **Alle Benutzer und Benutzergruppen** zugeordnet. Über die dem Benutzer zugewiesenen Sicherheitsrollen wird dessen Zugriff auf Objekte definiert. Von diesem Administrator erstellte neue Objekte werden dem Sicherheitsbereich **Standard** zugewiesen. - **Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen**: Bei Auswahl dieser Option wird der Administrator dem Sicherheitsbereich **Standard** sowie den Sammlungen **Alle Systeme** und **Alle Benutzer und Benutzergruppen** zugeordnet. Welche Sicherheitsbereiche und Sammlungen tatsächlich verfügbar sind, ist jedoch abhängig vom Benutzerkonto, anhand dessen der neue Administrator erstellt wurde. Mit dieser Option ist es möglich, Sicherheitsbereiche und Sammlungen hinzuzufügen und zu entfernen, um den Verwaltungsbereich des Administrators anzupassen.
Wichtig Mit den vorangehenden Optionen werden alle zugewiesenen Sicherheitsbereiche und Sammlungen jeder Sicherheitsrolle zugeordnet, die dem Administrator zugewiesen ist. Mit einer dritten Option, Nur sicherungsfähige Objekte, die von den Sicherheitsrollen des Administrators bestimmt sind, können einzelne Sicherheitsrollen bestimmten Sicherheitsbereichen und Sammlungen zugeordnet werden. Diese dritte Option steht erst nach dem Erstellen des neuen Administrators beim Ändern des Administrators zur Verfügung.
-
Fahren Sie abhängig von der in Schritt 6 vorgenommenen Auswahl wie folgt fort:
- Wenn Sie die Option **Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind** ausgewählt haben, klicken Sie auf **OK**, um dieses Verfahren abzuschließen. - Wenn Sie **Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen** ausgewählt haben, können Sie auf **Hinzufügen** klicken, um weitere Sammlungen und Sicherheitsbereiche auszuwählen, oder ein oder mehrere Objekte in der Liste auswählen und auf **Entfernen** klicken, um sie zu entfernen. Klicken Sie auf **OK**, um dieses Verfahren abzuschließen.
Ändern des Verwaltungsbereichs eines Administrators
Sie können den Verwaltungsbereich eines Administrators ändern, indem Sie Sicherheitsrollen, Sicherheitsbereiche und dem Benutzer zugeordnete Sammlungen hinzufügen oder entfernen. Jedem Administrator müssen mindestens eine Sicherheitsrolle und ein Sicherheitsbereich zugeordnet sein. Möglicherweise müssen Sie dem Verwaltungsbereich des Benutzers zunächst eine oder mehrere Sammlungen zuweisen. Für die meisten Sicherheitsrollen ist eine Interaktion mit Sammlungen erforderlich, sodass sie ohne eine zugewiesene Sammlung nicht funktionsfähig sind.
Wenn Sie einen Administrator bearbeiten, können Sie das Verhalten beim Zuordnen von sicherungsfähigen Objekten zu den zugewiesenen Sicherheitsrollen ändern. Die folgenden drei Verhaltensweisen stehen zur Auswahl:
Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind: Bei Auswahl dieser Option wird der Administrator dem Sicherheitsbereich Alle und der Stammebene sowie den integrierten Sammlungen Alle Systeme und Alle Benutzer und Benutzergruppen zugeordnet. Über die dem Benutzer zugewiesenen Sicherheitsrollen wird dessen Zugriff auf Objekte definiert.
Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen: Bei Auswahl dieser Option wird der Administrator den gleichen Sicherheitsbereichen und Sammlungen zugeordnet, die dem zur Konfiguration des Administrators verwendeten Konto zugeordnet sind. Mit dieser Option ist es möglich, Sicherheitsrollen und Sammlungen hinzuzufügen und zu entfernen, um den Verwaltungsbereich des Administrators anzupassen.
Nur sicherungsfähige Objekte, die von den Sicherheitsrollen des Administrators bestimmt sind: Mit dieser Option können Sie Zuordnungen zwischen einzelnen Sicherheitsrollen und bestimmten Sicherheitsbereichen und Sammlungen für den Benutzer erstellen.
Hinweis Diese Option ist nur verfügbar, wenn Sie die Eigenschaften eines vorhandenen Administrators ändern.
Von der aktuellen Konfiguration für das Verhalten im Zusammenhang mit sicherungsfähigen Objekten ist abhängig, welches Verfahren Sie verwenden müssen, um zusätzliche Sicherheitsrollen zuzuweisen. Wenden Sie, abhängig von den Optionen für sicherungsfähige Objekte, die folgenden Verfahren zur Verwaltung eines Administrators an.
Gehen Sie wie folgt vor, um die Konfiguration für sicherungsfähige Objekte für einen Administrator anzuzeigen und zu verwalten:
So zeigen Sie das Verhalten im Zusammenhang mit sicherungsfähigen Objekten für einen Administrator an und verwalten es
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Administratoren.
-
Wählen Sie den Administrator aus, den Sie ändern möchten.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf die Registerkarte Sicherheitsbereiche, um die Konfiguration für sicherungsfähige Objekte für diesen Administrator anzuzeigen.
-
Zum Ändern des Verhaltens im Zusammenhang mit sicherungsfähigen Objekten wählen Sie die gewünschte Option aus. Nach dem Ändern der Konfiguration erhalten Sie im entsprechenden Verfahren weitere Hinweise zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für den Administrator.
-
Klicken Sie auf OK, um das Verfahren abzuschließen.
Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind ausgewählt wurde:
Option: Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Administratoren.
-
Wählen Sie den Administrator aus, den Sie ändern möchten.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf die Registerkarte Sicherheitsbereiche, um zu bestätigen, dass für den Administrator die Option Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind konfiguriert wurde.
-
Klicken Sie auf die Registerkarte Sicherheitsrollen, um die zugewiesenen Sicherheitsrollen zu ändern.
- Wenn Sie diesem Administrator weitere Sicherheitsrollen hinzufügen möchten, klicken Sie auf **Hinzufügen**, aktivieren Sie das Kontrollkästchen für jede weitere zuzuweisende Sicherheitsrolle, und klicken Sie dann auf **OK**. - Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und klicken Sie dann auf **Entfernen**.
-
Wenn Sie das Verhalten im Zusammenhang mit sicherungsfähigen Objekten ändern möchten, klicken Sie auf die Registerkarte Sicherheitsbereiche, und wählen Sie die gewünschte Option aus. Nach dem Ändern der Konfiguration erhalten Sie im entsprechenden Verfahren weitere Hinweise zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für den Administrator.
Hinweis Wenn für das Verhalten im Zusammenhang mit sicherungsfähigen Objekten die Option Alle sicherungsfähigen Objekte, die für die zugeordneten Sicherheitsrollen relevant sind ausgewählt ist, können Sie Sicherheitsbereiche und Sammlungen weder hinzufügen noch entfernen.
-
Klicken Sie auf OK, um dieses Verfahren abzuschließen.
Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen ausgewählt wurde:
Option: Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Administratoren.
-
Wählen Sie den Administrator aus, den Sie ändern möchten.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf die Registerkarte Sicherheitsbereiche, um zu bestätigen, dass für den Benutzer die Option Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen konfiguriert wurde.
-
Klicken Sie auf die Registerkarte Sicherheitsrollen, um die zugewiesenen Sicherheitsrollen zu ändern.
- Wenn Sie diesem Benutzer weitere Sicherheitsrollen hinzufügen möchten, klicken Sie auf **Hinzufügen**, aktivieren Sie das Kontrollkästchen für jede weitere zuzuweisende Sicherheitsrolle, und klicken Sie dann auf **OK**. - Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und klicken Sie dann auf **Entfernen**.
-
Wenn Sie die Sicherheitsbereiche und Sammlungen, die Sicherheitsrollen zugeordnet sind, ändern möchten, klicken Sie auf die Registerkarte Sicherheitsbereiche.
- Wenn Sie allen diesem Administrator zugewiesenen Sicherheitsrollen neue Sicherheitsbereiche oder Sammlungen zuordnen möchten, klicken Sie auf **Hinzufügen**, und wählen Sie eine der vier Optionen aus. Wenn Sie **Sicherheitsbereich** oder **Sammlung** auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und klicken Sie dann auf **OK**. - Wenn Sie einen Sicherheitsbereich oder eine Sammlung entfernen möchten, wählen Sie das Objekt aus, und klicken Sie dann auf **Entfernen**.
-
Klicken Sie auf OK, um dieses Verfahren abzuschließen.
Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Nur sicherungsfähige Objekte, die von den Sicherheitsrollen des Administrators bestimmt sind ausgewählt wurde:
Option: Nur sicherungsfähige Objekte, die von den Sicherheitsrollen des Administrators bestimmt sind
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Administratoren.
-
Wählen Sie den Administrator aus, den Sie ändern möchten.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf die Registerkarte Sicherheitsbereiche, um zu bestätigen, dass für den Administrator die Option Nur sicherungsfähige Objekte in angegebenen Sicherheitsbereichen oder Sammlungen konfiguriert wurde.
-
Klicken Sie auf die Registerkarte Sicherheitsrollen, um die zugewiesenen Sicherheitsrollen zu ändern.
- Wenn Sie diesem Administrator zusätzliche Sicherheitsrollen zuweisen möchten, klicken Sie auf **Hinzufügen**. Wählen Sie im Dialogfeld **Sicherheitsrolle hinzufügen** mindestens eine verfügbare Sicherheitsrolle aus, klicken Sie auf **Hinzufügen**, und wählen Sie dann einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll. Wenn Sie **Sicherheitsbereich** oder **Sammlung** auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und klicken Sie dann auf **OK**. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Sie müssen mindestens einen Sicherheitsbereich konfigurieren, damit die ausgewählten Sicherheitsrollen dem Administrator zugewiesen werden können. Wenn Sie mehrere Sicherheitsrollen auswählen, wird jeder konfigurierte Sicherheitsbereich und jede Sammlung jeder ausgewählten Sicherheitsrolle zugeordnet.</p></td> </tr> </tbody> </table> </div> - Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und klicken Sie dann auf **Entfernen**.
-
Wenn Sie die Sicherheitsbereiche und Sammlungen, die einer bestimmten Sicherheitsrolle zugeordnet sind, ändern möchten, klicken Sie auf die Registerkarte Sicherheitsbereiche, wählen Sie die Sicherheitsrolle aus, und klicken Sie dann auf Bearbeiten.
- Wenn Sie dieser Sicherheitsrolle neue Objekte zuordnen möchten, klicken Sie auf **Hinzufügen**, und wählen Sie einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll. Wenn Sie **Sicherheitsbereich** oder **Sammlung** auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und klicken Sie dann auf **OK**. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Sie müssen mindestens einen Sicherheitsbereich konfigurieren.</p></td> </tr> </tbody> </table> </div> - Wenn Sie einen dieser Sicherheitsrolle zugeordneten Sicherheitsbereich oder eine Sammlung entfernen möchten, wählen Sie das Objekt aus, und klicken Sie dann auf **Entfernen**. - Wenn Sie das Ändern der zugeordneten Objekte abgeschlossen haben, klicken Sie auf **OK**.
-
Klicken Sie auf OK, um dieses Verfahren abzuschließen.
Achtung Wenn Administratoren durch eine Sicherheitsrolle die Berechtigung zum Bereitstellen von Sammlungen gewährt wird, können diese Administratoren Objekte von jedem Sicherheitsbereich aus verteilen, in dem Sie über die Berechtigung Lesen für das Objekt verfügen. Dies gilt auch dann, wenn dieser Sicherheitsbereich einer anderen Sicherheitsrolle zugewiesen ist.
Verwalten von Konten, die von Configuration Manager verwendet werden
In Configuration Manager werden Windows-Konten für zahlreiche verschiedene Tasks und Verwendungen unterstützt.
Gehen Sie wie folgt vor, um anzuzeigen, welche Konten für verschiedene Tasks konfiguriert sind, und um die Kennwörter zu verwalten, die in Configuration Manager für die einzelnen Konten verwendet werden.
So verwalten Sie Konten, die von Configuration Manager verwendet werden
-
Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
-
Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und klicken Sie dann auf Konten, um die Konten anzuzeigen, die für Configuration Manager konfiguriert sind.
-
Wenn Sie das Kennwort für ein Konto ändern möchten, das für Configuration Manager konfiguriert ist, wählen Sie das Konto aus.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften auf Eigenschaften.
-
Klicken Sie auf Festlegen, um das Dialogfeld Windows-Benutzerkonto zu öffnen, und geben Sie das neue Kennwort ein, das in Configuration Manager für das Konto verwendet werden soll.
Hinweis Das angegebene Kennwort muss mit dem Kennwort übereinstimmen, das in Active Directory-Benutzer und -Computer für das Konto angegeben wurde.
-
Klicken Sie auf OK, um das Verfahren abzuschließen.