Configurar a administração baseada em funções para Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

No Configuration Manager, a administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo para cada utilizador administrativo. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode ver na consola do Configuration Manager e as tarefas relacionadas com esses objetos que tem permissão para fazer.

Se ainda não estiver familiarizado com estes conceitos, veja Noções básicas da administração baseada em funções.

Utilize as informações neste artigo para criar e configurar a administração baseada em funções e as definições de segurança relacionadas.

Observação

Os procedimentos neste artigo partem do princípio de que o utilizador administrativo está numa função de segurança com as permissões necessárias. Por exemplo, as funções de Administrador Completo ou Administrador de segurança .

Dica

Utilize a ferramenta de auditoria e administração baseada em funções para ajudar nas seguintes ações:

• Permissões de modelo para uma nova função que pretende criar.
• Audite todos os utilizadores administrativos, coleções e âmbitos de segurança existentes.
• Auditar um utilizador específico

Criar funções de segurança personalizadas

Configuration Manager fornece várias funções de segurança incorporadas. Não pode alterar as permissões das funções incorporadas. Se precisar de outras funções, crie uma personalizada. Pode criar uma função personalizada para conceder aos utilizadores administrativos outras permissões de que precisam e não estão incluídas numa função incorporada. Ao utilizar uma função de segurança personalizada, pode atribuir-lhes as permissões menos necessárias. Uma função personalizada pode ajudá-lo a evitar atribuir uma função de segurança que conceda mais permissões do que as necessárias.

Como criar funções de segurança personalizadas

Na consola do Configuration Manager, aceda à área de trabalho Administração. Expanda Segurança e, em seguida, selecione o nó Funções de Segurança . Em seguida, utilize um dos seguintes processos para criar uma nova função de segurança:

Criar uma nova função de segurança personalizada ao copiar uma função incorporada

1. Selecione uma função de segurança existente a utilizar como origem para a nova função.

2. No separador Base do friso, no grupo Função de Segurança , selecione Copiar. Esta ação cria uma cópia da função de segurança de origem.

3. No assistente Copiar Função de Segurança, especifique um Nome para a nova função de segurança personalizada. O comprimento máximo é de 256 caracteres.

4. Opcional, mas recomendado, especifique uma Descrição para resumir o objetivo desta função de segurança personalizada. O comprimento máximo é de 512 carateres.

5. Em Permissões, expanda cada tipo de objeto para apresentar as permissões disponíveis.

6. Para alterar uma permissão, selecione a lista pendente e selecione Sim ou Não.

   Cuidado

   Quando configurar uma função de segurança personalizada, conceda apenas permissões que sejam exigidas pelos utilizadores atribuídos a esta função. Por exemplo, a permissão Modificar para o objeto Funções de Segurança permite que os utilizadores atribuídos editem qualquer função de segurança acessível, mesmo que não estejam atribuídos a essa função de segurança.

7. Depois de configurar as permissões, selecione OK para guardar a nova função de segurança.

Importar uma função de segurança exportada de outra hierarquia de Configuration Manager

Importante

Importar apenas ficheiros de configuração de função de segurança personalizada a partir de uma origem fidedigna. Quando exportar uma função de segurança personalizada, guarde-a numa localização segura. Os ficheiros XML não estão assinados digitalmente.

1. No separador Base do friso, no grupo Criar, selecioneImportar Função de Segurança.

2. Especifique o ficheiro XML que contém a configuração da função de segurança exportada. Selecione Abrir para concluir o procedimento e criar a função de segurança.

3. Depois de importar uma função de segurança personalizada, abra as respetivas Propriedades. Veja as permissões para confirmar que incluem as permissões menos necessárias para esta função. Altere as permissões que não são necessárias neste ambiente.

Observação

Não pode exportar funções de segurança incorporadas.

Configurar funções de segurança

Pode modificar as permissões para uma função de segurança personalizada, mas não pode modificar as funções de segurança incorporadas.

1. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Segurança e, em seguida, selecione o nó Funções de Segurança.

2. Selecione a função de segurança personalizada que pretende modificar ou ver.

3. No separador Base do friso, no grupo Propriedades , selecione Propriedades.

4. No separador Geral da janela de propriedades, altere o Nome ou a Descrição , se necessário.

5. No separador Utilizadores Administrativos , veja os utilizadores associados a esta função. Para alterar a atribuição, aceda às propriedades do utilizador administrativo.

6. No separador Permissões , expanda cada tipo de objeto para apresentar as permissões disponíveis.

7. Para alterar uma permissão, selecione a lista pendente e, em seguida, selecione Sim ou Não.

   Cuidado

   Quando configurar uma função de segurança personalizada, conceda apenas permissões que sejam exigidas pelos utilizadores atribuídos a esta função. Por exemplo, a permissão Modificar para o objeto Funções de Segurança permite que os utilizadores atribuídos editem qualquer função de segurança acessível, mesmo que não estejam atribuídos a essa função de segurança.

8. Quando terminar, selecione OK para guardar a função de segurança personalizada.

Configurar âmbitos de segurança para um objeto

Faça a gestão dos âmbitos de segurança a partir do objeto com capacidade de segurança e não do âmbito de segurança. As únicas propriedades que pode alterar num âmbito de segurança personalizado são o nome e a descrição. Não pode modificar os dois âmbitos incorporados. Para alterar o nome e a descrição de um âmbito personalizado, precisa da permissão Modificar para o objeto Âmbitos de Segurança .

Quando cria um novo objeto no Configuration Manager, este é associado a cada âmbito de segurança associado às funções de segurança da conta utilizada para criar o objeto. Este comportamento ocorre quando essas funções de segurança fornecem a permissão Criar ou Definir Âmbito de Segurança . Depois de criar um objeto, pode alterar os âmbitos de segurança e atribuí-lo a vários âmbitos.

Por exemplo, é-lhe atribuída uma função de segurança que lhe concede permissão para criar um novo grupo de limites. Essa função está associada ao âmbito de segurança Admins . Quando cria um novo grupo de limites, não tem a opção de atribuir âmbitos de segurança específicos. O âmbito de segurança Admins é automaticamente atribuído ao novo grupo de limites. Depois de guardar o novo grupo de limites, pode editar os âmbitos de segurança do grupo de limites.

Para obter mais informações sobre como adicionar um âmbito a um utilizador, veja Modificar o âmbito administrativo de um utilizador administrativo.

Como criar um âmbito de segurança personalizado

1. Na consola Configuration Manager, aceda à área de trabalho Administração, expanda Segurança e, em seguida, selecione o nó Âmbitos de Segurança.

2. No separador Base do friso, no grupo Criar , selecione Criar Âmbito de Segurança.

3. Na janela Criar Âmbito de Segurança, especifique um Nome do âmbito de segurança. O comprimento máximo é de 256 caracteres.

4. Opcional, mas recomendado, especifique uma Descrição para resumir o objetivo deste âmbito de segurança personalizado. O comprimento máximo é de 512 carateres.

5. Selecione ou remova atribuições de utilizadores administrativos. Pode alterá-los depois de criar o âmbito de segurança.

6. Para guardar o âmbito de segurança personalizado, selecione OK.

Como configurar âmbitos de segurança para um objeto

1. Na consola do Configuration Manager, selecione um objeto que suporte a atribuição a um âmbito de segurança. Para obter a lista de objetos suportados, veja Noções básicas da administração baseada em funções – Âmbitos de segurança.

2. No separador Base do friso, no grupo Classificar , selecione Definir Âmbitos de Segurança.

   Para obter uma pasta, aceda ao separador Pasta do friso. No grupo Ações , selecione Definir Âmbitos de Segurança.

   Observação

   Um item é pesquisável em pastas fora do âmbito de segurança de um utilizador se esse utilizador partilhar um âmbito de segurança com a pessoa que criou o objeto.

3. Na janela Definir Âmbitos de Segurança , selecione ou desmarque os âmbitos de segurança deste objeto. Selecione, pelo menos, um âmbito de segurança.

4. Selecione OK para guardar os âmbitos de segurança atribuídos.

Configurar coleções para gerir a segurança

Não existem procedimentos para configurar coleções para a administração baseada em funções. As coleções não têm uma configuração de administração baseada em funções. Em vez disso, atribui coleções a um utilizador administrativo. Para determinar as ações que um utilizador administrativo pode fazer a uma coleção e aos respetivos membros, veja as permissões para o tipo de objeto Coleção na função de segurança.

Quando um utilizador administrativo tem permissões para uma coleção, também tem permissões para coleções que estão limitadas a essa coleção. Por exemplo, a sua organização utiliza uma coleção denominada Todos os Ambientes de Trabalho. Também existe uma coleção denominada Todos os Ambientes de Trabalho América do Norte que está limitada à coleção Todos os Ambientes de Trabalho. Se um utilizador administrativo tiver permissões para Todos os Ambientes de Trabalho, tem as mesmas permissões para a coleção Todos os América do Norte Desktops.

Um utilizador administrativo não pode utilizar as permissões Eliminar ou Modificar numa coleção atribuída diretamente às mesmas. Podem utilizar estas permissões nas coleções que estão limitadas a essa coleção. No exemplo anterior, o utilizador administrativo pode eliminar ou modificar a coleção Todos os Ambientes de Trabalho América do Norte, mas não pode eliminar ou modificar a coleção Todos os Ambientes de Trabalho.

Criar um novo utilizador administrativo

Para conceder acesso a indivíduos ou membros de um grupo de segurança para gerir Configuration Manager, crie um utilizador administrativo. Especifique uma conta do Windows do utilizador ou grupo de utilizadores. Atribua cada utilizador administrativo a, pelo menos, uma função de segurança e um âmbito de segurança. Também pode atribuir coleções para limitar o âmbito administrativo do utilizador ou grupo.

Observação

Se o utilizador administrativo for membro do grupo de segurança global Utilizadores Protegidos , só pode executar a consola durante 4 horas de cada vez. Após 4 horas, a autorização kerberos expira e não pode ser renovada. A consola é fechada automaticamente e qualquer trabalho não guardado em curso é perdido.

Os membros do grupo de segurança Utilizadores Protegidos devem monitorizar o respetivo tempo na consola e guardar ou fechar qualquer trabalho em curso antes das 4 horas. Depois de fechar a consola, reinicie-a para continuar a trabalhar.

Para obter mais informações sobre o grupo de segurança Utilizadores Protegidos , veja Grupo de segurança Utilizadores Protegidos e Orientações sobre como configurar contas protegidas.

Como criar um novo utilizador administrativo

1. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Segurança e, em seguida, selecione o nó Utilizadores Administrativos.

2. No separador Base do friso, no grupo Criar , selecione Adicionar Utilizador ou Grupo.

3. Selecione Procurar e, em seguida, selecione a conta de utilizador ou grupo a utilizar para este novo utilizador administrativo no Configuration Manager.

   Observação

   Para a administração baseada na consola, só pode especificar utilizadores de domínio ou grupos de segurança de domínio como um utilizador administrativo.

4. Para as Funções de segurança associadas, selecione Adicionar para abrir uma lista das funções de segurança disponíveis. Selecione uma ou mais funções de segurança e, em seguida, selecione OK.

5. Escolha uma das seguintes opções para definir o comportamento do objeto com segurança para o novo utilizador:

   • Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas: esta opção tem os seguintes comportamentos:

     • Âmbito de segurança: Tudo
     • Coleções: Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores
     • As funções de segurança que atribui ao utilizador definem o respetivo acesso aos objetos.
     • Os novos objetos que este utilizador cria são atribuídos ao Âmbito de segurança predefinido .

   • Apenas as instâncias de objetos atribuídos aos âmbitos e coleções de segurança especificados: esta opção tem os seguintes comportamentos:

     • Âmbito de segurança: predefinição
     • Coleções: Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores
     • Estas predefinições podem ser diferentes, uma vez que os âmbitos de segurança e as coleções reais estão limitados aos que estão associados à conta que utiliza para criar o utilizador administrativo.
     • Adicione ou Remova âmbitos de segurança e coleções para personalizar o âmbito administrativo deste utilizador.

   Importante

   Depois de criar o utilizador, veja as respetivas propriedades para selecionar uma terceira opção, Associar funções de segurança atribuídas a coleções e âmbitos de segurança específicos. Para obter mais informações, veja Modificar o âmbito administrativo de um utilizador administrativo.

6. Selecione OK para fechar a janela e criar o utilizador administrativo.

Modificar o âmbito administrativo de um utilizador administrativo

Pode modificar o âmbito administrativo de um utilizador administrativo ao adicionar ou remover funções de segurança, âmbitos de segurança e coleções associadas ao utilizador. Cada utilizador administrativo tem de estar associado a, pelo menos, uma função de segurança e um âmbito de segurança. Poderá ter de atribuir uma ou mais coleções ao âmbito administrativo do utilizador. A maioria das funções de segurança interagem com coleções e não funcionam corretamente sem uma coleção atribuída.

Quando modifica um utilizador administrativo, pode alterar o comportamento de como os objetos com segurança estão associados às funções de segurança atribuídas. Os três comportamentos que pode selecionar são os seguintes:

• Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas: esta opção associa o utilizador administrativo ao âmbito Todos e às coleções Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores . As funções de segurança atribuídas ao utilizador definem o acesso aos objetos.

• Apenas as instâncias de objetos atribuídos aos âmbitos e coleções de segurança especificados: esta opção associa o utilizador administrativo aos mesmos âmbitos de segurança e coleções que estão associados à conta que utiliza para configurar o utilizador administrativo. Esta opção suporta a adição ou remoção de funções de segurança e coleções para personalizar o âmbito administrativo do utilizador administrativo.

• Associar funções de segurança atribuídas a coleções e âmbitos de segurança específicos: esta opção permite-lhe criar associações específicas entre funções de segurança individuais e coleções e âmbitos de segurança específicos para o utilizador.

  Observação

  Esta opção só está disponível quando modifica as propriedades de um utilizador administrativo.

A configuração atual do comportamento do objeto com segurança altera o processo que utiliza para atribuir funções de segurança adicionais. Utilize os seguintes procedimentos baseados nas diferentes opções para objetos com capacidade de segurança para o ajudar a gerir um utilizador administrativo.

Utilize o procedimento seguinte para ver e gerir a configuração de objetos com capacidade de segurança para um utilizador administrativo.

Para ver e gerir o comportamento do objeto com capacidade de segurança para um utilizador administrativo

1. Na consola do Configuration Manager, selecione Administração.
2. Na área de trabalho Administração , expanda Segurança e, em seguida, selecione Utilizadores Administrativos.
3. Selecione o utilizador administrativo que pretende modificar.
4. No separador Base , no grupo Propriedades , selecione Propriedades.
5. Selecione o separador Âmbitos de Segurança para ver a configuração atual para objetos com segurança para este utilizador administrativo.
6. Para modificar o comportamento do objeto com segurança, selecione uma nova opção para o comportamento do objeto com segurança. Depois de alterar esta configuração, veja o procedimento adequado para obter mais orientações para configurar âmbitos e coleções de segurança e funções de segurança para este utilizador administrativo.
7. Selecione OK para concluir o procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tenha o comportamento do objeto com segurança definido como Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas.

Para a opção: Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas

1. Na consola do Configuration Manager, selecione Administração.

2. Na área de trabalho Administração , expanda Segurança e, em seguida, selecione Utilizadores Administrativos.

3. Selecione o utilizador administrativo que pretende modificar.

4. No separador Base , no grupo Propriedades , selecione Propriedades.

5. Selecione o separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas.

6. Para modificar as funções de segurança atribuídas, selecione o separador Funções de Segurança .

   • Para atribuir funções de segurança adicionais a este utilizador administrativo, selecione Adicionar, marcar a caixa para cada função de segurança adicional que pretende atribuir e, em seguida, selecione OK.
   • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e, em seguida, selecione Remover.

7. Para modificar o comportamento do objeto com segurança, selecione o separador Âmbitos de Segurança e escolha uma nova opção para o comportamento do objeto com segurança. Depois de alterar esta configuração, veja o procedimento adequado para obter mais orientações para configurar âmbitos e coleções de segurança e funções de segurança para este utilizador administrativo.

   Observação

   Quando o comportamento do objeto com segurança está definido como Todas as instâncias dos objetos relacionados com as funções de segurança atribuídas, não pode adicionar ou remover coleções e âmbitos de segurança específicos.

8. Selecione OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tenha o comportamento do objeto com segurança definido como Apenas as instâncias de objetos que estão atribuídos aos âmbitos e coleções de segurança especificados.

Para a opção: apenas as instâncias de objetos atribuídos aos âmbitos e coleções de segurança especificados

1. Na consola do Configuration Manager, selecione Administração.

2. Na área de trabalho Administração , expanda Segurança e, em seguida, selecione Utilizadores Administrativos.

3. Selecione o utilizador administrativo que pretende modificar.

4. No separador Base , no grupo Propriedades , selecione Propriedades.

5. Selecione o separador Âmbitos de Segurança para confirmar que o utilizador está configurado apenas para as instâncias de objetos que estão atribuídos aos âmbitos e coleções de segurança especificados.

6. Para modificar as funções de segurança atribuídas, selecione o separador Funções de Segurança .

   • Para atribuir funções de segurança adicionais a este utilizador, selecione Adicionar, marcar a caixa para cada função de segurança adicional que pretende atribuir e, em seguida, selecione OK.
   • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e, em seguida, selecione Remover.

7. Para modificar os âmbitos de segurança e as coleções associadas a funções de segurança, selecione o separador Âmbitos de Segurança .

   • Para associar novos âmbitos de segurança ou coleções a todas as funções de segurança atribuídas a este utilizador administrativo, selecione Adicionar e selecione uma das quatro opções. Se selecionar Âmbito de Segurança ou Coleção, marcar a caixa de um ou mais objetos para concluir essa seleção e, em seguida, selecione OK.
   • Para remover um âmbito de segurança ou coleção, escolha o objeto e, em seguida, selecione Remover.

8. Selecione OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tenha o comportamento do objeto com segurança definido como Associar funções de segurança atribuídas a coleções e âmbitos de segurança específicos.

Para a opção: Associar funções de segurança atribuídas a coleções e âmbitos de segurança específicos

1. Na consola do Configuration Manager, selecione Administração.

2. Na área de trabalho Administração , expanda Segurança e, em seguida, selecione Utilizadores Administrativos.

3. Selecione o utilizador administrativo que pretende modificar.

4. No separador Base , no grupo Propriedades , selecione Propriedades.

5. Selecione o separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Associar funções de segurança atribuídas a coleções e âmbitos de segurança específicos.

6. Para modificar as funções de segurança atribuídas, selecione o separador Funções de Segurança .

   • Para atribuir funções de segurança adicionais a este utilizador administrativo, selecione Adicionar. Na caixa de diálogo Adicionar Função de Segurança , selecione uma ou mais funções de segurança disponíveis, selecione Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar Âmbito de Segurança ou Coleção, marcar a caixa de um ou mais objetos para concluir essa seleção e, em seguida, selecione OK.

     Observação

     Tem de configurar pelo menos um âmbito de segurança antes de as funções de segurança selecionadas poderem ser atribuídas ao utilizador administrativo. Quando seleciona várias funções de segurança, cada âmbito de segurança e coleção que configura está associado a cada uma das funções de segurança selecionadas.

   • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e, em seguida, selecione Remover.

7. Para modificar os âmbitos de segurança e coleções associados a uma função de segurança específica, selecione o separador Âmbitos de Segurança , selecione a função de segurança e, em seguida, selecione Editar.

   • Para associar novos objetos a esta função de segurança, selecione Adicionar e selecione um tipo de objeto a associar às funções de segurança selecionadas. Se selecionar Âmbito de Segurança ou Coleção, marcar a caixa de um ou mais objetos para concluir essa seleção e, em seguida, selecione OK.

     Observação

     Tem de configurar, pelo menos, um âmbito de segurança.

   • Para remover um âmbito de segurança ou coleção associado a esta função de segurança, selecione o objeto e, em seguida, selecione Remover.

   • Quando terminar de modificar os objetos associados, selecione OK.

8. Selecione OK para concluir este procedimento.

   Cuidado

   Quando uma função de segurança concede aos utilizadores administrativos a permissão de implementação da coleção, esses utilizadores administrativos podem distribuir objetos de qualquer âmbito de segurança para o qual tenham permissões de leitura de objetos, mesmo que esse âmbito de segurança esteja associado a uma função de segurança diferente.

Automatizar com Windows PowerShell

Pode utilizar os seguintes cmdlets do PowerShell para automatizar algumas destas tarefas:

Gerir utilizadores administrativos:

• Get-CMAdministrativeUser: obtenha um objeto de utilizador administrativo.
• New-CMAdministrativeUser: crie um novo utilizador administrativo.
• New-CMAdministrativeUserPermission: crie um objeto de permissões.
• Remove-CMAdministrativeUser: remova um utilizador administrativo.

Gerir funções e âmbitos nos utilizadores:

• Add-CMSecurityRoleToAdministrativeUser: adicione uma função de segurança a um utilizador ou grupo.
• Remove-CMSecurityRoleFromAdministrativeUser: remova a associação entre uma função de segurança e um utilizador administrativo.
• Add-CMSecurityScopeToAdministrativeUser: adicione um âmbito de segurança a um utilizador ou grupo.
• Remove-CMSecurityScopeFromAdministrativeUser: remova a associação entre um âmbito de segurança e um utilizador administrativo.

Gerir funções de segurança:

• Copy-CMSecurityRole: crie uma função de segurança personalizada.
• Export-CMSecurityRole: exporte uma função de segurança para um ficheiro XML.
• Get-CMSecurityRole: obtenha uma função de segurança.
• Import-CMSecurityRole: importe uma função de segurança de um ficheiro XML.
• Remove-CMSecurityRole: remova as funções de segurança personalizadas.
• Set-CMSecurityRole: altere as definições de configuração de uma função de segurança.

Gerir permissões em funções de segurança:

• Get-CMSecurityRolePermission: obtenha as permissões para uma função de segurança.
• Set-CMSecurityRolePermission: configure uma função de segurança com permissões específicas.

Gerir âmbitos de segurança:

• Get-CMSecurityScope: obtenha um âmbito de segurança.
• New-CMSecurityScope: crie um âmbito de segurança.
• Remove-CMSecurityScope: remova um âmbito de segurança.
• Set-CMSecurityScope: configure um âmbito de segurança.

Gerir âmbito de segurança de objetos:

• Add-CMObjectSecurityScope: adicione um âmbito de segurança a um objeto.
• Get-CMObjectSecurityScope: obtenha o âmbito de segurança de um objeto Configuration Manager.
• Remove-CMObjectSecurityScope: remova um âmbito de segurança de um objeto Configuration Manager.

Próximas etapas

Ferramenta de administração e auditoria baseada em funções

Contas utilizadas no Configuration Manager