Konfigurowanie administracji opartej na rolach dla Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
W Configuration Manager administracja oparta na rolach łączy role zabezpieczeń, zakresy zabezpieczeń i przypisane kolekcje w celu zdefiniowania zakresu administracyjnego dla każdego użytkownika administracyjnego. Zakres administracyjny obejmuje obiekty, które użytkownik administracyjny może wyświetlić w konsoli Configuration Manager oraz zadania związane z tymi obiektami, do których ma uprawnienia.
Jeśli nie znasz jeszcze tych pojęć, zobacz Podstawy administracji opartej na rolach.
Informacje zawarte w tym artykule umożliwiają tworzenie i konfigurowanie administracji opartej na rolach i powiązanych ustawień zabezpieczeń.
Uwaga
W procedurach w tym artykule założono, że użytkownik administracyjny pełni rolę zabezpieczeń z wymaganymi uprawnieniami. Na przykład role pełnego administratora lub administratora zabezpieczeń .
Porada
Użyj narzędzia do administrowania i inspekcji opartego na rolach , aby pomóc w następujących akcjach:
- Uprawnienia modelu dla nowej roli, którą chcesz utworzyć.
- Przeprowadź inspekcję wszystkich istniejących użytkowników administracyjnych, kolekcji i zakresów zabezpieczeń.
- Inspekcja określonego użytkownika
Tworzenie niestandardowych ról zabezpieczeń
Configuration Manager udostępnia kilka wbudowanych ról zabezpieczeń. Nie można zmienić uprawnień wbudowanych ról. Jeśli potrzebujesz innych ról, utwórz niestandardową. Możesz utworzyć rolę niestandardową, aby przyznać użytkownikom administracyjnym inne uprawnienia, których potrzebują i które nie są uwzględnione w roli wbudowanej. Przy użyciu niestandardowej roli zabezpieczeń można przypisać im najmniej wymagane uprawnienia. Rola niestandardowa może pomóc uniknąć przypisywania roli zabezpieczeń, która przyznaje więcej uprawnień, niż wymaga.
Jak tworzyć niestandardowe role zabezpieczeń
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja. Rozwiń węzeł Zabezpieczenia, a następnie wybierz węzeł Role zabezpieczeń . Następnie użyj jednego z następujących procesów, aby utworzyć nową rolę zabezpieczeń:
Tworzenie nowej niestandardowej roli zabezpieczeń przez skopiowanie wbudowanej roli
Wybierz istniejącą rolę zabezpieczeń do użycia jako źródło dla nowej roli.
Na karcie Narzędzia główne wstążki w grupie Rola zabezpieczeń wybierz pozycję Kopiuj. Ta akcja tworzy kopię źródłowej roli zabezpieczeń.
W kreatorze Kopiowanie roli zabezpieczeń określ nazwę nowej niestandardowej roli zabezpieczeń. Maksymalna długość to 256 znaków.
Opcjonalnie, ale zalecane, określ opis , aby podsumować przeznaczenie tej niestandardowej roli zabezpieczeń. Maksymalna długość to 512 znaków.
W obszarze Uprawnienia rozwiń każdy typ obiektu, aby wyświetlić dostępne uprawnienia.
Aby zmienić uprawnienie, wybierz listę rozwijaną i wybierz pozycję Tak lub Nie.
Uwaga
Podczas konfigurowania niestandardowej roli zabezpieczeń udzielaj uprawnień wymaganych tylko przez użytkowników przypisanych do tej roli. Na przykład uprawnienie Modyfikuj dla obiektu Role zabezpieczeń umożliwia przypisanym użytkownikom edytowanie dowolnej dostępnej roli zabezpieczeń, nawet jeśli nie są przypisani do tej roli zabezpieczeń.
Po skonfigurowaniu uprawnień wybierz przycisk OK , aby zapisać nową rolę zabezpieczeń.
Importowanie roli zabezpieczeń, która została wyeksportowana z innej hierarchii Configuration Manager
Ważna
Importuj tylko niestandardowe pliki konfiguracji roli zabezpieczeń z zaufanego źródła. Podczas eksportowania niestandardowej roli zabezpieczeń zapisz ją w bezpiecznej lokalizacji. Pliki XML nie są podpisane cyfrowo.
Na karcie Narzędzia główne wstążki w grupie Tworzenie wybierz pozycję Importuj rolę zabezpieczeń.
Określ plik XML zawierający wyeksportowane konfiguracje roli zabezpieczeń. Wybierz pozycję Otwórz , aby ukończyć procedurę i utworzyć rolę zabezpieczeń.
Po zaimportowaniu niestandardowej roli zabezpieczeń otwórz jej właściwości. Wyświetl uprawnienia, aby potwierdzić, że zawierają one najmniej wymagane uprawnienia dla tej roli. Zmień wszystkie uprawnienia, które nie są wymagane w tym środowisku.
Uwaga
Nie można wyeksportować wbudowanych ról zabezpieczeń.
Konfigurowanie ról zabezpieczeń
Uprawnienia niestandardowej roli zabezpieczeń można modyfikować, ale nie można modyfikować wbudowanych ról zabezpieczeń.
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Zabezpieczenia, a następnie wybierz węzeł Role zabezpieczeń.
Wybierz niestandardową rolę zabezpieczeń, którą chcesz zmodyfikować lub wyświetlić.
Na karcie Narzędzia główne wstążki w grupie Właściwości wybierz pozycję Właściwości.
Na karcie Ogólne w oknie właściwości zmień nazwę lub opis , jeśli to konieczne.
Na karcie Użytkownicy administracyjni wyświetl użytkowników skojarzonych z tą rolą. Aby zmienić przypisanie, przejdź do właściwości użytkownika administracyjnego.
Na karcie Uprawnienia rozwiń każdy typ obiektu, aby wyświetlić dostępne uprawnienia.
Aby zmienić uprawnienie, wybierz listę rozwijaną, a następnie wybierz pozycję Tak lub Nie.
Uwaga
Podczas konfigurowania niestandardowej roli zabezpieczeń udzielaj uprawnień wymaganych tylko przez użytkowników przypisanych do tej roli. Na przykład uprawnienie Modyfikuj dla obiektu Role zabezpieczeń umożliwia przypisanym użytkownikom edytowanie dowolnej dostępnej roli zabezpieczeń, nawet jeśli nie są przypisani do tej roli zabezpieczeń.
Po zakończeniu wybierz przycisk OK , aby zapisać niestandardową rolę zabezpieczeń.
Konfigurowanie zakresów zabezpieczeń dla obiektu
Zarządzaj zakresami zabezpieczeń z zabezpieczanego obiektu, a nie z zakresu zabezpieczeń. Jedynymi właściwościami, które można zmienić w niestandardowym zakresie zabezpieczeń, jest nazwa i opis. Nie można zmodyfikować dwóch wbudowanych zakresów. Aby zmienić nazwę i opis zakresu niestandardowego, potrzebne jest uprawnienie Modyfikuj dla obiektu Zakresy zabezpieczeń .
Podczas tworzenia nowego obiektu w Configuration Manager jest on skojarzony z każdym zakresem zabezpieczeń skojarzonym z rolami zabezpieczeń konta użytego do utworzenia obiektu. To zachowanie występuje, gdy te role zabezpieczeń zapewniają uprawnienie Utwórz lub Ustaw zakres zabezpieczeń . Po utworzeniu obiektu można zmienić zakresy zabezpieczeń i przypisać go do wielu zakresów.
Na przykład masz przypisaną rolę zabezpieczeń, która przyznaje ci uprawnienia do tworzenia nowej grupy granic. Ta rola jest skojarzona z zakresem zabezpieczeń Administratorzy . Podczas tworzenia nowej grupy granic nie masz możliwości przypisania określonych zakresów zabezpieczeń. Zakres zabezpieczeń Administratorzy jest automatycznie przypisywany do nowej grupy granic. Po zapisaniu nowej grupy granic można edytować zakresy zabezpieczeń dla grupy granic.
Aby uzyskać więcej informacji na temat dodawania zakresu dla użytkownika, zobacz Modyfikowanie zakresu administracyjnego użytkownika administracyjnego.
Jak utworzyć niestandardowy zakres zabezpieczeń
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Zabezpieczenia, a następnie wybierz węzeł Zakresy zabezpieczeń.
Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Utwórz zakres zabezpieczeń.
W oknie Tworzenie zakresu zabezpieczeń określ nazwę zakresu zabezpieczeń. Maksymalna długość to 256 znaków.
Opcjonalnie, ale zalecane, określ opis , aby podsumować przeznaczenie tego niestandardowego zakresu zabezpieczeń. Maksymalna długość to 512 znaków.
Wybierz lub usuń przypisania użytkowników administracyjnych. Można je zmienić po utworzeniu zakresu zabezpieczeń.
Aby zapisać niestandardowy zakres zabezpieczeń, wybierz przycisk OK.
Jak skonfigurować zakresy zabezpieczeń dla obiektu
W konsoli Configuration Manager wybierz obiekt, który obsługuje przypisanie do zakresu zabezpieczeń. Aby uzyskać listę obsługiwanych obiektów, zobacz Podstawy administracji opartej na rolach — zakresy zabezpieczeń.
Na karcie Narzędzia główne wstążki w grupie Klasyfikowanie wybierz pozycję Ustaw zakresy zabezpieczeń.
W przypadku folderu przejdź do karty Folder na wstążce. W grupie Akcje wybierz pozycję Ustaw zakresy zabezpieczeń.
Uwaga
Element można przeszukiwać w folderach poza zakresem zabezpieczeń użytkownika, jeśli ten użytkownik udostępnia zakres zabezpieczeń osobie, która utworzyła obiekt.
W oknie Ustawianie zakresów zabezpieczeń wybierz lub wyczyść zakresy zabezpieczeń dla tego obiektu. Wybierz co najmniej jeden zakres zabezpieczeń.
Wybierz przycisk OK , aby zapisać przypisane zakresy zabezpieczeń.
Konfigurowanie kolekcji do zarządzania zabezpieczeniami
Nie ma procedur konfigurowania kolekcji na potrzeby administracji opartej na rolach. Kolekcje nie mają konfiguracji administracyjnej opartej na rolach. Zamiast tego można przypisać kolekcje do użytkownika administracyjnego. Aby określić akcje, które użytkownik administracyjny może wykonać dla kolekcji i jej członków, wyświetl uprawnienia dla typu obiektu Kolekcja w roli zabezpieczeń.
Gdy użytkownik administracyjny ma uprawnienia do kolekcji, ma również uprawnienia do kolekcji, które są ograniczone do tej kolekcji. Na przykład organizacja używa kolekcji o nazwie Wszystkie pulpity. Istnieje również kolekcja o nazwie Wszystkie pulpity Ameryka Północna, która jest ograniczona do kolekcji Wszystkie pulpity. Jeśli użytkownik administracyjny ma uprawnienia do wszystkich pulpitów, ma te same uprawnienia do kolekcji Wszystkie Ameryka Północna Desktops.
Użytkownik administracyjny nie może używać uprawnień Usuń lub Modyfikuj w kolekcji przypisanej bezpośrednio do niej. Mogą oni używać tych uprawnień w kolekcjach, które są ograniczone do tej kolekcji. W poprzednim przykładzie użytkownik administracyjny może usunąć lub zmodyfikować kolekcję Wszystkie Ameryka Północna Desktops, ale nie może usunąć ani zmodyfikować kolekcji Wszystkie pulpity.
Tworzenie nowego użytkownika administracyjnego
Aby udzielić osobom lub członkom grupy zabezpieczeń dostępu do zarządzania Configuration Manager, utwórz użytkownika administracyjnego. Określ konto systemu Windows użytkownika lub grupy użytkowników. Przypisz każdego użytkownika administracyjnego do co najmniej jednej roli zabezpieczeń i jednego zakresu zabezpieczeń. Możesz również przypisać kolekcje, aby ograniczyć zakres administracyjny użytkownika lub grupy.
Jak utworzyć nowego użytkownika administracyjnego
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Zabezpieczenia, a następnie wybierz węzeł Użytkownicy administracyjni.
Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Dodaj użytkownika lub grupę.
Wybierz pozycję Przeglądaj, a następnie wybierz konto użytkownika lub grupę do użycia dla tego nowego użytkownika administracyjnego w Configuration Manager.
Uwaga
W przypadku administracji opartej na konsoli można określić tylko użytkowników domeny lub grupy zabezpieczeń domeny jako użytkownika administracyjnego.
W obszarze Skojarzone role zabezpieczeń wybierz pozycję Dodaj , aby otworzyć listę dostępnych ról zabezpieczeń. Wybierz co najmniej jedną rolę zabezpieczeń, a następnie wybierz przycisk OK.
Wybierz jedną z następujących opcji, aby zdefiniować zabezpieczane zachowanie obiektu dla nowego użytkownika:
Wszystkie wystąpienia obiektów, które są powiązane z przypisanymi rolami zabezpieczeń: Ta opcja ma następujące zachowania:
- Zakres zabezpieczeń: wszystkie
- Kolekcje: wszystkie systemy oraz wszyscy użytkownicy i grupy użytkowników
- Role zabezpieczeń przypisywane użytkownikowi definiują jego dostęp do obiektów.
- Nowe obiekty tworzone przez tego użytkownika są przypisywane do domyślnego zakresu zabezpieczeń.
Tylko wystąpienia obiektów przypisanych do określonych zakresów zabezpieczeń i kolekcji: Ta opcja ma następujące zachowania:
- Zakres zabezpieczeń: domyślny
- Kolekcje: wszystkie systemy oraz wszyscy użytkownicy i grupy użytkowników
- Te wartości domyślne mogą być różne, ponieważ rzeczywiste zakresy zabezpieczeń i kolekcje są ograniczone do tych, które są skojarzone z kontem używanym do tworzenia użytkownika administracyjnego.
- Dodaj lub usuń zakresy zabezpieczeń i kolekcje, aby dostosować zakres administracyjny tego użytkownika.
Ważna
Po utworzeniu użytkownika wyświetl jego właściwości, aby wybrać trzecią opcję : Skojarz przypisane role zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami. Aby uzyskać więcej informacji, zobacz Modyfikowanie zakresu administracyjnego użytkownika administracyjnego.
Wybierz przycisk OK , aby zamknąć okno i utworzyć użytkownika administracyjnego.
Modyfikowanie zakresu administracyjnego użytkownika administracyjnego
Zakres administracyjny użytkownika administracyjnego można modyfikować, dodając lub usuwając role zabezpieczeń, zakresy zabezpieczeń i kolekcje skojarzone z użytkownikiem. Każdy użytkownik administracyjny musi być skojarzony z co najmniej jedną rolą zabezpieczeń i jednym zakresem zabezpieczeń. Może być konieczne przypisanie co najmniej jednej kolekcji do zakresu administracyjnego użytkownika. Większość ról zabezpieczeń współdziała z kolekcjami i nie działa poprawnie bez przypisanej kolekcji.
Podczas modyfikowania użytkownika administracyjnego można zmienić zachowanie sposobu, w jaki zabezpieczane obiekty są skojarzone z przypisanymi rolami zabezpieczeń. Trzy zachowania, które można wybrać, są następujące:
Wszystkie wystąpienia obiektów powiązanych z przypisanymi rolami zabezpieczeń: ta opcja kojarzy użytkownika administracyjnego z zakresem Wszystkie oraz kolekcje Wszystkie systemy oraz Wszyscy użytkownicy i grupy użytkowników . Role zabezpieczeń przypisane do użytkownika definiują dostęp do obiektów.
Tylko wystąpienia obiektów przypisanych do określonych zakresów zabezpieczeń i kolekcji: ta opcja kojarzy użytkownika administracyjnego z tymi samymi zakresami zabezpieczeń i kolekcjami, które są skojarzone z kontem używanym do konfigurowania użytkownika administracyjnego. Ta opcja obsługuje dodawanie lub usuwanie ról zabezpieczeń i kolekcji w celu dostosowania zakresu administracyjnego użytkownika administracyjnego.
Skojarz przypisane role zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami: ta opcja umożliwia tworzenie określonych skojarzeń między poszczególnymi rolami zabezpieczeń oraz określonymi zakresami zabezpieczeń i kolekcjami dla użytkownika.
Uwaga
Ta opcja jest dostępna tylko w przypadku modyfikowania właściwości użytkownika administracyjnego.
Bieżąca konfiguracja zabezpieczanego zachowania obiektu zmienia proces, którego używasz do przypisywania dodatkowych ról zabezpieczeń. Skorzystaj z poniższych procedur, które są oparte na różnych opcjach zabezpieczanych obiektów, aby ułatwić zarządzanie użytkownikiem administracyjnym.
Poniższa procedura służy do wyświetlania konfiguracji zabezpieczanych obiektów użytkownika administracyjnego i zarządzania nią.
Aby wyświetlić zabezpieczane zachowanie obiektu i zarządzać nimi dla użytkownika administracyjnego
- W konsoli Configuration Manager wybierz pozycję Administracja.
- W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie wybierz pozycję Użytkownicy administracyjni.
- Wybierz użytkownika administracyjnego, który chcesz zmodyfikować.
- Na karcie Narzędzia główne w grupie Właściwości wybierz pozycję Właściwości.
- Wybierz kartę Zakresy zabezpieczeń , aby wyświetlić bieżącą konfigurację zabezpieczanych obiektów dla tego użytkownika administracyjnego.
- Aby zmodyfikować zabezpieczane zachowanie obiektu, wybierz nową opcję dla zabezpieczanego zachowania obiektu. Po zmianie tej konfiguracji zapoznaj się z odpowiednią procedurą, aby uzyskać dalsze wskazówki dotyczące konfigurowania zakresów zabezpieczeń i kolekcji oraz ról zabezpieczeń dla tego użytkownika administracyjnego.
- Wybierz przycisk OK , aby ukończyć procedurę.
Poniższa procedura umożliwia zmodyfikowanie użytkownika administracyjnego, który ma zabezpieczane zachowanie obiektu ustawione na wszystkie wystąpienia obiektów, które są powiązane z przypisanymi rolami zabezpieczeń.
Opcja: Wszystkie wystąpienia obiektów, które są powiązane z przypisanymi rolami zabezpieczeń
W konsoli Configuration Manager wybierz pozycję Administracja.
W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie wybierz pozycję Użytkownicy administracyjni.
Wybierz użytkownika administracyjnego, który chcesz zmodyfikować.
Na karcie Narzędzia główne w grupie Właściwości wybierz pozycję Właściwości.
Wybierz kartę Zakresy zabezpieczeń , aby potwierdzić, że użytkownik administracyjny jest skonfigurowany dla wszystkich wystąpień obiektów powiązanych z przypisanymi rolami zabezpieczeń.
Aby zmodyfikować przypisane role zabezpieczeń, wybierz kartę Role zabezpieczeń .
- Aby przypisać dodatkowe role zabezpieczeń do tego użytkownika administracyjnego, wybierz pozycję Dodaj, zaznacz pole wyboru dla każdej dodatkowej roli zabezpieczeń, którą chcesz przypisać, a następnie wybierz przycisk OK.
- Aby usunąć role zabezpieczeń, wybierz co najmniej jedną rolę zabezpieczeń z listy, a następnie wybierz pozycję Usuń.
Aby zmodyfikować zabezpieczane zachowanie obiektu, wybierz kartę Zakresy zabezpieczeń i wybierz nową opcję zabezpieczanego zachowania obiektu. Po zmianie tej konfiguracji zapoznaj się z odpowiednią procedurą, aby uzyskać dalsze wskazówki dotyczące konfigurowania zakresów zabezpieczeń i kolekcji oraz ról zabezpieczeń dla tego użytkownika administracyjnego.
Uwaga
Gdy zachowanie zabezpieczanego obiektu jest ustawione na wszystkie wystąpienia obiektów powiązanych z przypisanymi rolami zabezpieczeń, nie można dodawać ani usuwać określonych zakresów zabezpieczeń i kolekcji.
Wybierz przycisk OK , aby wykonać tę procedurę.
Poniższa procedura służy do modyfikowania użytkownika administracyjnego, który ma zabezpieczane zachowanie obiektu ustawione na tylko wystąpienia obiektów, które są przypisane do określonych zakresów zabezpieczeń i kolekcji.
Opcja: Tylko wystąpienia obiektów przypisanych do określonych zakresów zabezpieczeń i kolekcji
W konsoli Configuration Manager wybierz pozycję Administracja.
W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie wybierz pozycję Użytkownicy administracyjni.
Wybierz użytkownika administracyjnego, który chcesz zmodyfikować.
Na karcie Narzędzia główne w grupie Właściwości wybierz pozycję Właściwości.
Wybierz kartę Zakresy zabezpieczeń , aby potwierdzić, że użytkownik jest skonfigurowany tylko dla wystąpień obiektów przypisanych do określonych zakresów zabezpieczeń i kolekcji.
Aby zmodyfikować przypisane role zabezpieczeń, wybierz kartę Role zabezpieczeń .
- Aby przypisać do tego użytkownika dodatkowe role zabezpieczeń, wybierz pozycję Dodaj, zaznacz pole wyboru dla każdej dodatkowej roli zabezpieczeń, którą chcesz przypisać, a następnie wybierz przycisk OK.
- Aby usunąć role zabezpieczeń, wybierz co najmniej jedną rolę zabezpieczeń z listy, a następnie wybierz pozycję Usuń.
Aby zmodyfikować zakresy zabezpieczeń i kolekcje skojarzone z rolami zabezpieczeń, wybierz kartę Zakresy zabezpieczeń .
- Aby skojarzyć nowe zakresy zabezpieczeń lub kolekcje ze wszystkimi rolami zabezpieczeń przypisanymi do tego użytkownika administracyjnego, wybierz pozycję Dodaj i wybierz jedną z czterech opcji. Jeśli wybierzesz pozycję Zakres zabezpieczeń lub Kolekcja, zaznacz pole wyboru dla co najmniej jednego obiektu, aby ukończyć ten wybór, a następnie wybierz przycisk OK.
- Aby usunąć zakres zabezpieczeń lub kolekcję, wybierz obiekt, a następnie wybierz pozycję Usuń.
Wybierz przycisk OK , aby wykonać tę procedurę.
Poniższa procedura umożliwia zmodyfikowanie użytkownika administracyjnego, który ma zabezpieczane zachowanie obiektu ustawione na skojarzenie przypisanych ról zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami.
Opcja: Kojarzenie przypisanych ról zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami
W konsoli Configuration Manager wybierz pozycję Administracja.
W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie wybierz pozycję Użytkownicy administracyjni.
Wybierz użytkownika administracyjnego, który chcesz zmodyfikować.
Na karcie Narzędzia główne w grupie Właściwości wybierz pozycję Właściwości.
Wybierz kartę Zakresy zabezpieczeń , aby potwierdzić, że użytkownik administracyjny jest skonfigurowany na potrzeby kojarzenia przypisanych ról zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami.
Aby zmodyfikować przypisane role zabezpieczeń, wybierz kartę Role zabezpieczeń .
Aby przypisać dodatkowe role zabezpieczeń do tego użytkownika administracyjnego, wybierz pozycję Dodaj. W oknie dialogowym Dodawanie roli zabezpieczeń wybierz co najmniej jedną dostępną rolę zabezpieczeń, wybierz pozycję Dodaj i wybierz typ obiektu do skojarzenia z wybranymi rolami zabezpieczeń. Jeśli wybierzesz pozycję Zakres zabezpieczeń lub Kolekcja, zaznacz pole wyboru dla co najmniej jednego obiektu, aby ukończyć ten wybór, a następnie wybierz przycisk OK.
Uwaga
Aby można było przypisać wybrane role zabezpieczeń do użytkownika administracyjnego, należy skonfigurować co najmniej jeden zakres zabezpieczeń. Po wybraniu wielu ról zabezpieczeń każdy skonfigurowany zakres zabezpieczeń i kolekcja są skojarzone z każdą z wybranych ról zabezpieczeń.
Aby usunąć role zabezpieczeń, wybierz co najmniej jedną rolę zabezpieczeń z listy, a następnie wybierz pozycję Usuń.
Aby zmodyfikować zakresy zabezpieczeń i kolekcje skojarzone z określoną rolą zabezpieczeń, wybierz kartę Zakresy zabezpieczeń , wybierz rolę zabezpieczeń, a następnie wybierz pozycję Edytuj.
Aby skojarzyć nowe obiekty z tą rolą zabezpieczeń, wybierz pozycję Dodaj i wybierz typ obiektu do skojarzenia z wybranymi rolami zabezpieczeń. Jeśli wybierzesz pozycję Zakres zabezpieczeń lub Kolekcja, zaznacz pole wyboru dla co najmniej jednego obiektu, aby ukończyć ten wybór, a następnie wybierz przycisk OK.
Uwaga
Należy skonfigurować co najmniej jeden zakres zabezpieczeń.
Aby usunąć zakres zabezpieczeń lub kolekcję skojarzoną z tą rolą zabezpieczeń, wybierz obiekt, a następnie wybierz pozycję Usuń.
Po zakończeniu modyfikowania skojarzonych obiektów wybierz przycisk OK.
Wybierz przycisk OK , aby wykonać tę procedurę.
Uwaga
Gdy rola zabezpieczeń przyznaje użytkownikom administracyjnym uprawnienia do wdrażania kolekcji, użytkownicy administracyjni mogą dystrybuować obiekty z dowolnego zakresu zabezpieczeń, dla którego mają uprawnienia do odczytu obiektu, nawet jeśli ten zakres zabezpieczeń jest skojarzony z inną rolą zabezpieczeń.
Automatyzowanie przy użyciu Windows PowerShell
Aby zautomatyzować niektóre z tych zadań, możesz użyć następujących poleceń cmdlet programu PowerShell:
Zarządzanie użytkownikami administracyjnymi:
- Get-CMAdministrativeUser: Pobierz obiekt użytkownika administracyjnego.
- New-CMAdministrativeUser: Utwórz nowego użytkownika administracyjnego.
- New-CMAdministrativeUserPermission: {{ Wypełnij składnię }}
- Remove-CMAdministrativeUser: Usuń użytkownika administracyjnego.
Zarządzanie rolami i zakresami użytkowników:
- Add-CMSecurityRoleToAdministrativeUser: Dodaj rolę zabezpieczeń do użytkownika lub grupy.
- Remove-CMSecurityRoleFromAdministrativeUser: Usuń skojarzenie między rolą zabezpieczeń a użytkownikiem administracyjnym.
- Add-CMSecurityScopeToAdministrativeUser: Dodaj zakres zabezpieczeń do użytkownika lub grupy.
- Remove-CMSecurityScopeFromAdministrativeUser: Usuń skojarzenie między zakresem zabezpieczeń a użytkownikiem administracyjnym.
Zarządzanie rolami zabezpieczeń:
- Copy-CMSecurityRole: Utwórz niestandardową rolę zabezpieczeń.
- Export-CMSecurityRole: Eksportowanie roli zabezpieczeń do pliku XML.
- Get-CMSecurityRole: pobieranie roli zabezpieczeń.
- Import-CMSecurityRole: importowanie roli zabezpieczeń z pliku XML.
- Remove-CMSecurityRole: Usuwanie niestandardowych ról zabezpieczeń.
- Set-CMSecurityRole: Zmienianie ustawień konfiguracji roli zabezpieczeń.
Zarządzanie uprawnieniami do ról zabezpieczeń:
- Get-CMSecurityRolePermission: uzyskaj uprawnienia do roli zabezpieczeń.
- Set-CMSecurityRolePermission: Skonfiguruj rolę zabezpieczeń z określonymi uprawnieniami.
Zarządzanie zakresami zabezpieczeń:
- Get-CMSecurityScope: uzyskiwanie zakresu zabezpieczeń.
- New-CMSecurityScope: tworzenie zakresu zabezpieczeń.
- Remove-CMSecurityScope: Usuń zakres zabezpieczeń.
- Set-CMSecurityScope: konfigurowanie zakresu zabezpieczeń.
Zarządzanie zakresem zabezpieczeń obiektu:
- Add-CMObjectSecurityScope: dodaj zakres zabezpieczeń do obiektu.
- Get-CMObjectSecurityScope: pobierz zakres zabezpieczeń dla obiektu Configuration Manager.
- Remove-CMObjectSecurityScope: Usuń zakres zabezpieczeń z obiektu Configuration Manager.