Configurar a administração baseada em função para Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Em Configuration Manager, a administração baseada em função combina funções de segurança, escopos de segurança e coleções atribuídas para definir o escopo administrativo de cada usuário administrativo. Um escopo administrativo inclui os objetos que um usuário administrativo pode exibir no console Configuration Manager e as tarefas relacionadas aos objetos que eles têm permissão para fazer.
Se você ainda não estiver familiarizado com esses conceitos, consulte Fundamentos da administração baseada em função.
Use as informações neste artigo para criar e configurar a administração baseada em função e as configurações de segurança relacionadas.
Observação
Os procedimentos neste artigo pressupõem que o usuário administrativo esteja em uma função de segurança com as permissões necessárias. Por exemplo, as funções de Administrador completo ou administrador de segurança .
Dica
Use a ferramenta de administração e auditoria baseada em função para ajudar nas seguintes ações:
- Permissões de modelo para uma nova função que você deseja criar.
- Audite todos os usuários administrativos, coleções e escopos de segurança existentes.
- Auditar um usuário específico
Criar funções de segurança personalizadas
Configuration Manager fornece várias funções de segurança internas. Você não pode alterar as permissões das funções internas. Se você precisar de outras funções, crie uma personalizada. Você pode criar uma função personalizada para conceder aos usuários administrativos outras permissões que eles exigem e não estão incluídas em uma função interna. Usando uma função de segurança personalizada, você pode atribuir a elas as permissões menos necessárias. Uma função personalizada pode ajudá-lo a evitar atribuir uma função de segurança que conceda mais permissões do que elas exigem.
Como criar funções de segurança personalizadas
No console Configuration Manager, acesse o workspace Administração. Expanda Segurança e selecione o nó Funções de Segurança . Em seguida, use um dos seguintes processos para criar uma nova função de segurança:
Criar uma nova função de segurança personalizada copiando uma função interna
Selecione uma função de segurança existente a ser usada como fonte para a nova função.
Na guia Página Inicial da faixa de opções, no grupo Função de Segurança , selecione Copiar. Essa ação cria uma cópia da função de segurança de origem.
No assistente Copiar Função de Segurança, especifique um Nome para a nova função de segurança personalizada. O comprimento máximo é de 256 caracteres.
Opcional, mas recomendado, especifique uma Descrição para resumir a finalidade dessa função de segurança personalizada. O comprimento máximo é de 512 caracteres.
Em Permissões, expanda cada tipo de objeto para exibir as permissões disponíveis.
Para alterar uma permissão, selecione a lista suspensa e escolha Sim ou Não.
Cuidado
Ao configurar uma função de segurança personalizada, conceda apenas permissões que são necessárias pelos usuários atribuídos a essa função. Por exemplo, a permissão Modificar para o objeto Funções de Segurança permite que os usuários atribuídos editem qualquer função de segurança acessível, mesmo que não sejam atribuídos a essa função de segurança.
Depois de configurar as permissões, selecione OK para salvar a nova função de segurança.
Importar uma função de segurança que foi exportada de outra hierarquia de Configuration Manager
Importante
Importe apenas arquivos de configuração de função de segurança personalizados de uma origem confiável. Ao exportar uma função de segurança personalizada, salve-a em um local seguro. Os arquivos XML não são assinados digitalmente.
Na guia Página Inicial da faixa de opções, no grupo Criar , escolha Importar Função de Segurança.
Especifique o arquivo XML que contém a configuração de função de segurança exportada. Selecione Abrir para concluir o procedimento e criar a função de segurança.
Depois de importar uma função de segurança personalizada, abra suas Propriedades. Exiba as permissões para confirmar que elas incluem as permissões menos necessárias para essa função. Altere as permissões que não são necessárias nesse ambiente.
Observação
Você não pode exportar funções de segurança internas.
Configurar funções de segurança
Você pode modificar as permissões para uma função de segurança personalizada, mas não pode modificar as funções de segurança internas.
No console Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione o nó Funções de Segurança.
Selecione a função de segurança personalizada que você deseja modificar ou exibir.
Na guia Página Inicial da faixa de opções, no grupo Propriedades , selecione Propriedades.
Na guia Geral da janela de propriedades, altere o Nome ou a Descrição , se necessário.
Na guia Usuários Administrativos , exiba os usuários associados a essa função. Para alterar a atribuição, acesse as propriedades do usuário administrativo.
Na guia Permissões , expanda cada tipo de objeto para exibir as permissões disponíveis.
Para alterar uma permissão, selecione a lista suspensa e escolha Sim ou Não.
Cuidado
Ao configurar uma função de segurança personalizada, conceda apenas permissões que são necessárias pelos usuários atribuídos a essa função. Por exemplo, a permissão Modificar para o objeto Funções de Segurança permite que os usuários atribuídos editem qualquer função de segurança acessível, mesmo que não sejam atribuídos a essa função de segurança.
Quando terminar, selecione OK para salvar a função de segurança personalizada.
Configurar escopos de segurança para um objeto
Gerencie escopos de segurança do objeto securcável, não do escopo de segurança. As únicas propriedades que você pode alterar em um escopo de segurança personalizado são o nome e a descrição. Você não pode modificar os dois escopos internos. Para alterar o nome e a descrição de um escopo personalizado, você precisa da permissão Modificar para o objeto Escopos de Segurança .
Quando você cria um novo objeto no Configuration Manager, ele é associado a cada escopo de segurança associado às funções de segurança da conta usadas para criar o objeto. Esse comportamento ocorre quando essas funções de segurança fornecem a permissão Criar ou Definir Escopo de Segurança . Depois de criar um objeto, você pode alterar os escopos de segurança e atribuí-lo a vários escopos.
Por exemplo, você recebe uma função de segurança que concede permissão para criar um novo grupo de limites. Essa função está associada ao escopo de segurança dos administradores . Quando você cria um novo grupo de limites, não tem opção de atribuir escopos de segurança específicos. O escopo de segurança dos administradores é atribuído automaticamente ao novo grupo de limites. Depois de salvar o novo grupo de limites, você pode editar os escopos de segurança do grupo de limites.
Para obter mais informações sobre como adicionar um escopo para um usuário, consulte Modificar o escopo administrativo de um usuário administrativo.
Como criar um escopo de segurança personalizado
No console Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione o nó Escopos de Segurança.
Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar Escopo de Segurança.
Na janela Criar Escopo de Segurança, especifique um nome de escopo de segurança. O comprimento máximo é de 256 caracteres.
Opcional, mas recomendado, especifique uma Descrição para resumir a finalidade desse escopo de segurança personalizado. O comprimento máximo é de 512 caracteres.
Selecione ou remova atribuições administrativas do usuário. Você pode alterá-los depois de criar o escopo de segurança.
Para salvar o escopo de segurança personalizado, selecione OK.
Como configurar escopos de segurança para um objeto
No console Configuration Manager, selecione um objeto com suporte para ser atribuído a um escopo de segurança. Para obter a lista de objetos com suporte, consulte Fundamentos da administração baseada em função – Escopos de segurança.
Na guia Página Inicial da faixa de opções, no grupo Classify , selecione Definir Escopos de Segurança.
Para uma pasta, acesse a guia Pasta da faixa de opções. No grupo Ações , selecione Definir Escopos de Segurança.
Observação
Um item é pesquisável em pastas fora do escopo de segurança de um usuário se esse usuário compartilhar um escopo de segurança com a pessoa que criou o objeto.
Na janela Definir Escopos de Segurança , selecione ou desmarque os escopos de segurança desse objeto. Selecione pelo menos um escopo de segurança.
Selecione OK para salvar os escopos de segurança atribuídos.
Configurar coleções para gerenciar a segurança
Não há procedimentos para configurar coleções para administração baseada em função. As coleções não têm uma configuração de administração baseada em função. Em vez disso, você atribui coleções a um usuário administrativo. Para determinar as ações que um usuário administrativo pode fazer com uma coleção e seus membros, exiba as permissões para o tipo de objeto Collection na função de segurança.
Quando um usuário administrativo tem permissões para uma coleção, ele também tem permissões para coleções limitadas a essa coleção. Por exemplo, sua organização usa uma coleção chamada All Desktops. Há também uma coleção chamada All América do Norte Desktops limitada à coleção All Desktops. Se um usuário administrativo tiver permissões para Todas as Áreas de Trabalho, ele terá as mesmas permissões para a coleção All América do Norte Desktops.
Um usuário administrativo não pode usar as permissões Excluir ou Modificar em uma coleção atribuída diretamente a elas. Eles podem usar essas permissões nas coleções limitadas a essa coleção. No exemplo anterior, o usuário administrativo pode excluir ou modificar a coleção All América do Norte Desktops, mas não pode excluir ou modificar a coleção All Desktops.
Criar um novo usuário administrativo
Para conceder a indivíduos ou membros de um grupo de segurança acesso para gerenciar Configuration Manager, crie um usuário administrativo. Especifique uma conta do Windows do usuário ou grupo de usuários. Atribua cada usuário administrativo a pelo menos uma função de segurança e um escopo de segurança. Você também pode atribuir coleções para limitar o escopo administrativo do usuário ou grupo.
Como criar um novo usuário administrativo
No console Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione o nó Usuários Administrativos.
Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Adicionar Usuário ou Grupo.
Selecione Procurar e selecione a conta de usuário ou grupo a ser usado para este novo usuário administrativo em Configuration Manager.
Observação
Para administração baseada em console, você só pode especificar usuários de domínio ou grupos de segurança de domínio como um usuário administrativo.
Para as funções de segurança associadas, selecione Adicionar para abrir uma lista das funções de segurança disponíveis. Selecione uma ou mais funções de segurança e selecione OK.
Escolha uma das seguintes opções para definir o comportamento do objeto protegível para o novo usuário:
Todas as instâncias dos objetos relacionados às funções de segurança atribuídas: Essa opção tem os seguintes comportamentos:
- Escopo de segurança: Todos
- Coleções: todos os sistemas e todos os usuários e grupos de usuários
- As funções de segurança atribuídas ao usuário definem seu acesso a objetos.
- Novos objetos que esse usuário cria são atribuídos ao escopo de segurança padrão .
Somente as instâncias de objetos atribuídos aos escopos e coleções de segurança especificados: Essa opção tem os seguintes comportamentos:
- Escopo de segurança: Padrão
- Coleções: todos os sistemas e todos os usuários e grupos de usuários
- Esses padrões talvez sejam diferentes, pois os escopos e coleções de segurança reais são limitados àqueles associados à conta que você usa para criar o usuário administrativo.
- Adicione ou Remova escopos e coleções de segurança para personalizar o escopo administrativo desse usuário.
Importante
Depois de criar o usuário, exiba suas propriedades para selecionar uma terceira opção, associe funções de segurança atribuídas a escopos e coleções de segurança específicos. Para obter mais informações, consulte Modificar o escopo administrativo de um usuário administrativo.
Selecione OK para fechar a janela e criar o usuário administrativo.
Modificar o escopo administrativo de um usuário administrativo
Você pode modificar o escopo administrativo de um usuário administrativo adicionando ou removendo funções de segurança, escopos de segurança e coleções associadas ao usuário. Cada usuário administrativo deve ser associado a pelo menos uma função de segurança e um escopo de segurança. Talvez seja necessário atribuir uma ou mais coleções ao escopo administrativo do usuário. A maioria das funções de segurança interagem com coleções e não funcionam corretamente sem uma coleção atribuída.
Ao modificar um usuário administrativo, você pode alterar o comportamento de como objetos protegíveis estão associados às funções de segurança atribuídas. Os três comportamentos que você pode selecionar são os seguintes:
Todas as instâncias dos objetos relacionados às funções de segurança atribuídas: essa opção associa o usuário administrativo ao escopo All e às coleções Todos os Sistemas e Todos os Usuários e Grupos de Usuários . As funções de segurança atribuídas ao usuário definem o acesso aos objetos.
Somente as instâncias de objetos atribuídos aos escopos e coleções de segurança especificados: essa opção associa o usuário administrativo aos mesmos escopos e coleções de segurança associados à conta que você usa para configurar o usuário administrativo. Essa opção dá suporte à adição ou remoção de funções de segurança e coleções para personalizar o escopo administrativo do usuário administrativo.
Associar funções de segurança atribuídas a escopos e coleções de segurança específicos: essa opção permite criar associações específicas entre funções de segurança individuais e escopos e coleções de segurança específicos para o usuário.
Observação
Essa opção só está disponível quando você modifica as propriedades de um usuário administrativo.
A configuração atual do comportamento do objeto protegível altera o processo que você usa para atribuir funções de segurança adicionais. Use os procedimentos a seguir que se baseiam nas diferentes opções para objetos protegíveis para ajudar você a gerenciar um usuário administrativo.
Use o procedimento a seguir para exibir e gerenciar a configuração de objetos protegíveis para um usuário administrativo.
Para exibir e gerenciar o comportamento do objeto protegível para um usuário administrativo
- No console Configuration Manager, escolha Administração.
- No workspace Administração , expanda Segurança e escolha Usuários Administrativos.
- Selecione o usuário administrativo que você deseja modificar.
- Na guia Página Inicial , no grupo Propriedades , escolha Propriedades.
- Escolha a guia Escopos de Segurança para exibir a configuração atual para objetos protegíveis para este usuário administrativo.
- Para modificar o comportamento do objeto protegível, selecione uma nova opção para o comportamento do objeto protegível. Depois de alterar essa configuração, consulte o procedimento apropriado para obter diretrizes adicionais para configurar escopos e coleções de segurança e funções de segurança para esse usuário administrativo.
- Escolha OK para concluir o procedimento.
Use o procedimento a seguir para modificar um usuário administrativo que tenha o comportamento do objeto protegível definido como Todas as instâncias dos objetos relacionados às funções de segurança atribuídas.
Para opção: todas as instâncias dos objetos relacionados às funções de segurança atribuídas
No console Configuration Manager, escolha Administração.
No workspace Administração , expanda Segurança e escolha Usuários Administrativos.
Selecione o usuário administrativo que você deseja modificar.
Na guia Página Inicial , no grupo Propriedades , escolha Propriedades.
Escolha a guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Todas as instâncias dos objetos relacionados às funções de segurança atribuídas.
Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança .
- Para atribuir funções de segurança adicionais a esse usuário administrativo, escolha Adicionar, marque a caixa para cada função de segurança adicional que você deseja atribuir e escolha OK.
- Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e escolha Remover.
Para modificar o comportamento do objeto protegível, escolha a guia Escopos de Segurança e escolha uma nova opção para o comportamento do objeto protegível. Depois de alterar essa configuração, consulte o procedimento apropriado para obter diretrizes adicionais para configurar escopos e coleções de segurança e funções de segurança para esse usuário administrativo.
Observação
Quando o comportamento do objeto protegível é definido como Todas as instâncias dos objetos relacionados às funções de segurança atribuídas, você não pode adicionar ou remover escopos e coleções de segurança específicos.
Escolha OK para concluir este procedimento.
Use o procedimento a seguir para modificar um usuário administrativo que tenha o comportamento do objeto securcável definido como Somente as instâncias de objetos atribuídos aos escopos e coleções de segurança especificados.
Para opção: somente as instâncias de objetos atribuídos aos escopos e coleções de segurança especificados
No console Configuration Manager, escolha Administração.
No workspace Administração , expanda Segurança e escolha Usuários Administrativos.
Selecione o usuário administrativo que você deseja modificar.
Na guia Página Inicial , no grupo Propriedades , escolha Propriedades.
Escolha a guia Escopos de Segurança para confirmar se o usuário está configurado apenas para as instâncias de objetos atribuídos aos escopos e coleções de segurança especificados.
Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança .
- Para atribuir funções de segurança adicionais a esse usuário, escolha Adicionar, marque a caixa para cada função de segurança adicional que você deseja atribuir e escolha OK.
- Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e escolha Remover.
Para modificar os escopos de segurança e as coleções associadas às funções de segurança, escolha a guia Escopos de Segurança .
- Para associar novos escopos de segurança ou coleções a todas as funções de segurança atribuídas a esse usuário administrativo, escolha Adicionar e selecione uma das quatro opções. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa de um ou mais objetos para concluir essa seleção e escolha OK.
- Para remover um escopo ou coleção de segurança, escolha o objeto e escolha Remover.
Escolha OK para concluir este procedimento.
Use o procedimento a seguir para modificar um usuário administrativo que tenha o comportamento do objeto protegível definido como Associar funções de segurança atribuídas a escopos e coleções de segurança específicos.
Para opção: associar funções de segurança atribuídas a escopos e coleções de segurança específicos
No console Configuration Manager, escolha Administração.
No workspace Administração , expanda Segurança e escolha Usuários Administrativos.
Selecione o usuário administrativo que você deseja modificar.
Na guia Página Inicial , no grupo Propriedades , escolha Propriedades.
Escolha a guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Associar funções de segurança atribuídas com escopos e coleções de segurança específicos.
Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança .
Para atribuir funções de segurança adicionais a esse usuário administrativo, escolha Adicionar. Na caixa de diálogo Adicionar Função de Segurança , selecione uma ou mais funções de segurança disponíveis, escolha Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa de um ou mais objetos para concluir essa seleção e escolha OK.
Observação
Você deve configurar pelo menos um escopo de segurança antes que as funções de segurança selecionadas possam ser atribuídas ao usuário administrativo. Quando você seleciona várias funções de segurança, cada escopo de segurança e coleção que você configura está associado a cada uma das funções de segurança selecionadas.
Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e escolha Remover.
Para modificar os escopos e coleções de segurança associados a uma função de segurança específica, escolha a guia Escopos de Segurança , selecione a função de segurança e escolha Editar.
Para associar novos objetos a essa função de segurança, escolha Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa de um ou mais objetos para concluir essa seleção e escolha OK.
Observação
Você deve configurar pelo menos um escopo de segurança.
Para remover um escopo ou coleção de segurança associado a essa função de segurança, selecione o objeto e escolha Remover.
Quando terminar de modificar os objetos associados, escolha OK.
Escolha OK para concluir este procedimento.
Cuidado
Quando uma função de segurança concede aos usuários administrativos a permissão de implantação da coleção, esses usuários administrativos podem distribuir objetos de qualquer escopo de segurança para o qual tenham permissões de leitura de objeto, mesmo que esse escopo de segurança esteja associado a uma função de segurança diferente.
Automatizar com Windows PowerShell
Você pode usar os seguintes cmdlets do PowerShell para automatizar algumas dessas tarefas:
Gerenciar usuários administrativos:
- Get-CMAdministrativeUser: obtenha um objeto de usuário administrativo.
- New-CMAdministrativeUser: criar um novo usuário administrativo.
- New-CMAdministrativeUserPermission: {{ Preencher a Sinopse }}
- Remove-CMAdministrativeUser: remova um usuário administrativo.
Gerenciar funções e escopos em usuários:
- Add-CMSecurityRoleToAdministrativeUser: adicione uma função de segurança a um usuário ou grupo.
- Remove-CMSecurityRoleFromAdministrativeUser: remova a associação entre uma função de segurança e um usuário administrativo.
- Add-CMSecurityScopeToAdministrativeUser: adicione um escopo de segurança a um usuário ou grupo.
- Remove-CMSecurityScopeFromAdministrativeUser: remova a associação entre um escopo de segurança e um usuário administrativo.
Gerenciar funções de segurança:
- Copy-CMSecurityRole: criar uma função de segurança personalizada.
- Export-CMSecurityRole: exportar uma função de segurança para um arquivo XML.
- Get-CMSecurityRole: obter uma função de segurança.
- Import-CMSecurityRole: importar uma função de segurança de um arquivo XML.
- Remove-CMSecurityRole: remover funções de segurança personalizadas.
- Set-CMSecurityRole: alterar as configurações de uma função de segurança.
Gerenciar permissões em funções de segurança:
- Get-CMSecurityRolePermission: obtenha as permissões para uma função de segurança.
- Set-CMSecurityRolePermission: configurar uma função de segurança com permissões específicas.
Gerenciar escopos de segurança:
- Get-CMSecurityScope: obtenha um escopo de segurança.
- New-CMSecurityScope: criar um escopo de segurança.
- Remove-CMSecurityScope: remova um escopo de segurança.
- Set-CMSecurityScope: configurar um escopo de segurança.
Gerenciar o escopo de segurança do objeto:
- Add-CMObjectSecurityScope: adicionar um escopo de segurança a um objeto.
- Get-CMObjectSecurityScope: obtenha o escopo de segurança de um objeto Configuration Manager.
- Remove-CMObjectSecurityScope: remova um escopo de segurança de um objeto Configuration Manager.