Partilhar via


Configurar a Segurança para o Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Utilize as informações deste tópico para o ajudar a configurar as seguintes opções relacionadas com segurança:

  • Configurar Definições para Certificados PKI de Cliente

  • Configurar a Assinatura e Encriptação

  • Configurar a Administração Baseada em Funções

  • Gerir Contas Utilizadas pelo Configuration Manager

Configurar Definições para Certificados PKI de Cliente

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.

Para configurar as definições de certificados PKI de cliente

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Configuração do Site, clique em Sites e clique no site primário a configurar.

  3. No separador Home Page, no grupo Propriedades, clique em Propriedades e clique no separador Comunicação com o Computador Cliente.

    Nota

    Este separador apenas está disponível num site primário. Se o separador Comunicação com o Computador Cliente não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.

  4. Clique em Apenas HTTPS se pretender que os clientes atribuídos ao site utilizem sempre um certificado PKI de cliente ao estabelecerem ligações aos sistemas de sites que utilizam IIS. Ou clique em HTTPS ou HTTP quando não precisar que os clientes utilizem certificados PKI.

  5. Se tiver selecionado HTTPS ou HTTP, clique em Utilizar um certificado PKI de cliente (capacidade de autenticação de cliente), se estiver disponível quando pretender utilizar um certificado PKI de cliente para as ligações HTTP. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site. Esta opção será selecionada automaticamente se selecionar Apenas HTTPS.

    Nota

    Quando os clientes são detetados como estando na Internet ou estão configurados para gestão de clientes apenas na Internet, utilizam sempre um certificado PKI de cliente.

  6. Clique em Modificar para configurar o seu método de seleção de clientes preferido para quando estiver disponível mais do que um certificado de cliente PKI válido num cliente e clique em OK.

    Nota

    Para mais informações sobre o método de seleção de certificados de cliente, consulte Planear a Seleção do Certificado PKI de Cliente.

  7. Selecione ou desmarque a caixa de verificação para que os clientes verifiquem a lista de Revogação de Certificados (CRL).

    Nota

    Para mais informações sobre a verificação CRL para clientes, consulte Planear a Revogação de Certificados PKI.

  8. Se tiver de especificar certificados de autoridade de certificação (AC) de raiz confiável para os clientes, clique em Definir, importe os ficheiros de certificado da AC e clique em OK.

    Nota

    Para mais informações sobre esta definição, consulte Planear Certificados PKI de Raiz Fidedigna e a Lista de Emissores de Certificados.

  9. Clique em OK para fechar a caixa de diálogo de propriedades do site.

Repita este procedimento para todos os sites primários da hierarquia.

Configurar a Assinatura e Encriptação

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.

Para configurar a assinatura e encriptação para um site

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Configuração do Site, clique em Sites e clique no site primário a configurar.

  3. No separador Home Page, no grupo Propriedades, clique em Propriedades e clique no separador Assinatura e Encriptação.

    Nota

    Este separador apenas está disponível num site primário. Se o separador Assinatura e Encriptação não for apresentado, verifique se não se encontra ligado a um site de administração central ou a um site secundário.

  4. Configure as opções de assinatura e encriptação pretendidas e clique em OK.

    System_CAPS_warningAviso

    Não selecione Exigir SHA-256 sem verificar primeiro se todos os clientes que possam ser atribuídos ao site podem suportar este algoritmo hash ou têm um certificado de autenticação de cliente PKI válido. Poderá ter de instalar atualizações ou correções nos clientes para que suportem SHA-256. Por exemplo, os computadores com o Windows Server 2003 SP2 terão de instalar uma correção referida no artigo KB 938397.

    Se selecionar esta opção e os clientes não puderem suportar SHA-256 e utilizarem certificados autoassinados, o Gestor de configuração rejeitá-los-á. Neste cenário, o componente SMS_MP_CONTROL_MANAGER regista o ID de mensagem 5443.

  5. Clique em OK para fechar a caixa de diálogo Propriedades do site.

Repita este procedimento para todos os sites primários da hierarquia.

Configurar a Administração Baseada em Funções

Utilize as informações desta secção para o ajudar a configurar a administração baseada em funções no Gestor de configuração. A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode visualizar na consola do Gestor de configuração, bem como as tarefas relacionadas com esses objetos que o utilizador administrativo tem permissão para executar. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.

As informações dos procedimentos seguintes poderão ajudá-lo a criar e configurar a administração baseada em funções e as definições de segurança associadas.

  • Criar Funções de Segurança Personalizadas

  • Configurar Funções de Segurança

  • Configurar Âmbitos de Segurança para um Objeto

  • Configurar Coleções para Gerir a Segurança

  • Criar um Novo Utilizador Administrativo

  • Modificar o Âmbito Administrativo de um Utilizador Administrativo

System_CAPS_importantImportante

A administração baseada em funções utiliza funções de segurança, âmbitos de segurança e coleções. Estes elementos são combinados para definir um âmbito administrativo para cada utilizador administrativo. O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo. Para obter informações sobre o planeamento da administração baseada em funções, consulte a secção Planear a Administração Baseada em Funções do tópico Planear Segurança no Configuration Manager.

Criar Funções de Segurança Personalizadas

O Gestor de configuração fornece diversas funções de segurança incorporadas. Se precisar de funções de segurança adicionais, poderá criar uma função de segurança personalizada fazendo uma cópia de uma função existente e modificando-a em seguida. Poderá criar uma função de segurança personalizada para conceder aos utilizadores administrativos as permissões de segurança adicionais de que necessitem e que não se encontrem incluídas na função de segurança atualmente atribuída. Ao utilizar uma função de segurança personalizada, poderá conceder-lhes apenas as permissões de que necessitam, sem ter de atribuir uma função de segurança que conceda permissões adicionais.

Utilize o procedimento seguinte para criar uma nova função de segurança utilizando uma função de segurança existente como modelo.

Para criar funções de segurança personalizadas

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

    Utilize um dos seguintes processos para criar a nova função de segurança:

    - Para criar uma nova função de segurança personalizada, execute as seguintes ações:
    
      1.  Selecione uma função de segurança existente para utilizar como origem da nova função de segurança.
    
      2.  No separador **Home Page**, no grupo **Função de Segurança**, clique em **Copiar**. Será criada uma cópia da função de segurança de origem.
    
      3.  No assistente Copiar Função de Segurança, especifique um **Nome** para a nova função de segurança personalizada.
    
      4.  Em **Atribuições de operações de segurança**, expanda cada nó **Operações de Segurança** para apresentar as ações disponíveis.
    
      5.  Para alterar a definição de uma operação de segurança, clique na seta para baixo na coluna **Valor** e selecione **Sim** ou **Não**.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/Dn768230.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-caution(SC.12).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Cuidado</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>Ao configurar uma função de segurança personalizada, certifique-se de que não concede aos utilizadores administrativos permissões associadas à nova função de segurança que não sejam necessárias. Por exemplo, o valor <strong>Modificar</strong> da operação de segurança <strong>Funções de Segurança</strong> concede aos utilizadores administrativos a permissão para editar qualquer função de segurança acessível, mesmo que não se encontrem associados a essa função de segurança.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
      6.  Após configurar as permissões, clique em **OK** para guardar a nova função de segurança.
    
    - Para importar uma função de segurança que tenha sido exportada de outra hierarquia do System Center 2012 Configuration Manager, execute as seguintes ações:
    
      1.  No separador **Home Page**, no grupo **Criar**, clique em **Importar Função de Segurança**.
    
      2.  Especifique o ficheiro .xml que contém a configuração da função de segurança que pretende importar e clique em **Abrir** para concluir o procedimento e guardar a função de segurança.
    
          <div class="alert">
    
    
          > [!NOTE]
          > <P>Após importar uma função de segurança, poderá editar as propriedades da mesma para alterar as permissões de objetos associadas à função.</P>
    
    
          </div>
    

Configurar Funções de Segurança

Os grupos de permissões de segurança definidos para uma função de segurança são designados atribuições de operações de segurança. As atribuições de operações de segurança representam uma combinação de tipos de objetos e ações disponíveis para cada tipo de objeto. É possível modificar as operações de segurança disponíveis para qualquer função de segurança personalizada, mas não é possível modificar as funções de segurança incorporadas fornecidas pelo Gestor de configuração.

Utilize o procedimento seguinte para modificar as operações de segurança de uma função de segurança.

Para modificar funções de segurança

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

  3. Selecione a função de segurança personalizada que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Permissões.

  6. Em Atribuições de operações de segurança, expanda cada nó Operações de Segurança para apresentar as ações disponíveis.

  7. Para alterar a definição de uma operação de segurança, clique na seta para baixo na coluna Valor e selecione Sim ou Não.

    System_CAPS_cautionCuidado

    Ao configurar uma função de segurança personalizada, certifique-se de que não concede aos utilizadores administrativos permissões associadas à nova função de segurança que não sejam necessárias. Por exemplo, o valor Modificar da operação de segurança Funções de Segurança concede aos utilizadores administrativos a permissão para editar qualquer função de segurança acessível, mesmo que não se encontrem associados a essa função de segurança.

  8. Quando tiver concluído a configuração das atribuições de operações de segurança, clique em OK para guardar a nova função de segurança.

Configurar Âmbitos de Segurança para um Objeto

A associação de um âmbito de segurança para um objeto é gerida a partir do objeto e não a partir do âmbito de segurança. As únicas configurações diretas suportadas pelos âmbitos de segurança são as alterações ao respetivo nome e descrição. Para alterar o nome e descrição de um âmbito de segurança ao visualizar as propriedades do âmbito, terá de possuir a permissão Modificar no objeto com capacidade de segurança Âmbitos de Segurança.

Ao criar um novo objeto no Gestor de configuração, o novo objeto é associado a cada âmbito de segurança que se encontra associado às funções de segurança da conta utilizada para criar o objeto, quando esses âmbitos de segurança fornecem a permissão Criar ou a permissão Definir Âmbito de Segurança. Só após a criação do objeto poderá alterar os âmbitos de segurança a que este se encontra associado.

Por exemplo, é-lhe atribuída uma função de segurança que lhe concede permissão para criar um novo grupo de limites. Ao criar um novo grupo de limites, não tem nenhuma opção a que possa atribuir âmbitos de segurança específicos. Em vez disso, os âmbitos de segurança disponíveis a partir das funções de segurança a que se encontra associado são automaticamente atribuídos ao novo grupo de limites. Após guardar o novo grupo de limites, poderá editar os âmbitos de segurança que lhe estão associados.

Utilize o procedimento seguinte para configurar os âmbitos de segurança atribuídos a um objeto.

Para configurar âmbitos de segurança para um objeto

  1. Na consola do Gestor de configuração, selecione um objeto que suporte a atribuição a um âmbito de segurança.

  2. No separador Home Page, no grupo Classificar, clique em Definir Âmbitos de Segurança.

  3. Na caixa de diálogo Definir Âmbitos de Segurança, selecione ou desmarque os âmbitos de segurança a que este objeto se encontra associado. Cada objeto que suporte âmbitos de segurança tem de ser atribuído a pelo menos um âmbito de segurança.

  4. Clique em OK para guardar os âmbitos de segurança atribuídos.

    Nota

    Ao criar um novo objeto, poderá atribuir o objeto a vários âmbitos de segurança. Para modificar o número de âmbitos de segurança associados ao objeto, terá de alterar esta atribuição após a criação do objeto.

Configurar Coleções para Gerir a Segurança

Não existem procedimentos para configurar coleções para administração baseada em funções. As coleções não têm uma configuração de administração baseada em funções. Em vez disso, são atribuídas a um utilizador administrativo quando este é configurado. As operações de segurança da coleção ativadas nas funções de segurança atribuídas aos utilizadores determinam as permissões que um utilizador administrativo possui para as coleções e recursos de coleção (membros da coleção).

Quando um utilizador administrativo tem permissões para uma coleção, também tem permissões para coleções que estejam limitadas a essa coleção. Por exemplo, a sua organização utiliza uma coleção com o nome Todos os Ambientes de Trabalho e existe uma coleção com o nome Todos os Ambientes de Trabalho da América do Norte que se encontra limitada à coleção Todos os Ambientes de Trabalho. Se um utilizador administrativo tiver permissões para Todos os Ambientes de Trabalho, também terá as mesmas permissões para a coleção Todos os Ambientes de Trabalho da América do Norte. Além disso, um utilizador administrativo não poderá utilizar a permissão Eliminar ou Modificar numa coleção que lhe esteja diretamente atribuída, mas poderá utilizar essas permissões nas coleções que estejam limitadas a essa coleção. Utilizando o exemplo anterior, o utilizador administrativo poderá eliminar ou modificar a coleção Todos os Ambientes de Trabalho da América do Norte, mas não poderá eliminar nem modificar a coleção Todos os Ambientes de Trabalho.

Criar um Novo Utilizador Administrativo

Para conceder a utilizadores individuais ou membros de um grupo de segurança acesso para gerir o Gestor de configuração, é necessário criar um utilizador administrativo no Gestor de configuração e especificar a conta do Windows do Utilizador ou Grupo de Utilizadores. Deve ser atribuído a cada utilizador administrativo do Gestor de configuração, pelo menos, um âmbito de segurança e uma função de segurança. Também é possível atribuir coleções para limitar o âmbito administrativo do utilizador administrativo.

Utilize os procedimentos seguintes para criar novos utilizadores administrativos.

Para criar um novo utilizador administrativo

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. No separador Home Page, no grupo Criar, clique em Adicionar Utilizador ou Grupo.

  4. Clique em Procurar e, em seguida, selecione a conta de utilizador ou grupo a utilizar para este novo utilizador administrativo.

    Nota

    Para a administração baseada em consolas, apenas podem ser especificados utilizadores de domínio ou grupos de segurança como utilizadores administrativos.

  5. Para Funções de segurança associadas, clique em Adicionar para abrir uma lista de funções de segurança disponíveis, selecione a caixa de verificação de uma ou mais funções de segurança e, em seguida, clique em OK.

  6. Selecione uma das duas opções seguintes para definir o comportamento do objeto com capacidade de segurança para o novo utilizador:

    - **Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas**: Esta opção associa o utilizador administrativo ao âmbito de segurança **Todos** e às coleções incorporadas do nível de raiz para **Todos os Sistemas** e **Todos os Utilizadores e Grupos de Utilizadores**. As funções de segurança atribuídas ao utilizador definem o acesso aos objetos. Os novos objetos criados por este utilizador administrativo são atribuídos ao âmbito de segurança **Predefinido**.
    
    - **Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados**: Por predefinição, esta opção associa o utilizador administrativo ao âmbito de segurança **Predefinido** e às coleções **Todos os Sistemas** e **Todos os Utilizadores e Grupos de Utilizadores**. No entanto, os âmbitos de segurança e coleções reais estão limitados aos que estão associados à conta utilizada para criar o novo utilizador administrativo. Esta opção suporta a adição ou remoção de âmbitos de segurança e de coleções para personalizar o âmbito administrativo do utilizador administrativo.
    
    System_CAPS_importantImportante

    As opções anteriores associam cada âmbito de segurança atribuído, bem como cada coleção atribuída, a cada uma das funções de segurança atribuídas ao utilizador administrativo. É possível utilizar uma terceira opção, Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo, para associar funções de segurança individuais a coleções e âmbitos de segurança específicos. Esta terceira opção está disponível após a criação do novo utilizador administrativo, quando este é modificado.

  7. Dependendo da seleção no passo 6, execute a ação seguinte:

    - Se selecionou **Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas**, clique em **OK** para concluir este procedimento.
    
    - Se selecionou **Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados**, pode clicar em **Adicionar** para selecionar coleções e âmbitos de segurança adicionais. Também pode selecionar um ou mais objetos na lista e, em seguida, clicar em **Remover** para removê-los. Clique em **OK** para concluir este procedimento.
    

Modificar o Âmbito Administrativo de um Utilizador Administrativo

Para modificar o âmbito administrativo de um utilizador administrativo, adicione ou remova funções de segurança, âmbitos de segurança e coleções que estejam associados ao utilizador. Cada utilizador administrativo tem de estar associado, pelo menos, a uma função de segurança e a um âmbito de segurança. Poderá ser necessário atribuir uma ou mais coleções ao âmbito administrativo do utilizador. A maior parte das funções de segurança interagem com coleções e não funcionam corretamente sem uma coleção atribuída.

Quando modifica um utilizador administrativo, pode alterar o comportamento para a forma como os objetos com capacidade de segurança são associados às funções de segurança atribuídas. Os três comportamentos que pode selecionar são os seguintes:

  • Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas: Esta opção associa o utilizador administrativo ao âmbito Todos e às coleções incorporadas do nível de raiz para Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores. As funções de segurança atribuídas ao utilizador definem o acesso aos objetos.

  • Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados: Esta opção associa o utilizador administrativo aos mesmos âmbitos de segurança e coleções que estão associados à conta utilizada para configurar o utilizador administrativo. Esta opção suporta a adição ou remoção de funções de segurança e de coleções para personalizar o âmbito administrativo do utilizador administrativo.

  • Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo: Esta opção permite criar associações específicas entre funções de segurança individuais e coleções e âmbitos de segurança específicos do utilizador.

    Nota

    Esta opção está disponível apenas quando modificar as propriedades de um utilizador administrativo.

A configuração atual do comportamento do objeto com capacidade de segurança altera o processo utilizado para atribuir funções de segurança adicionais. Utilize os procedimentos seguintes que são baseados nas diferentes opções para objetos com capacidade de segurança para o ajudar a gerir um utilizador administrativo.

Utilize o procedimento seguinte para ver e gerir a configuração dos objetos com capacidade de segurança de um utilizador administrativo:

Para ver e gerir o comportamento de objetos com capacidade de segurança de um utilizador administrativo

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para ver a configuração atual dos objetos com capacidade de segurança deste utilizador administrativo.

  6. Para modificar o comportamento do objeto com capacidade de segurança, selecione uma nova opção para o comportamento do objeto com capacidade de segurança. Após alterar esta configuração, utilize o procedimento adequado para obter orientações adicionais para configurar âmbitos de segurança, coleções e funções de segurança para este utilizador administrativo.

  7. Clique em OK para concluir o procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tenha o comportamento de objeto com capacidade de segurança definido para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas:

Opção: Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    - Para atribuir funções de segurança adicionais a este utilizador administrativo, clique em **Adicionar**, selecione a caixa de verificação de cada função de segurança adicional que pretende adicionar e, em seguida, clique em **OK**.
    
    - Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em **Remover**.
    
  7. Para modificar o comportamento do objeto com capacidade de segurança, clique no separador Âmbitos de Segurança e selecione uma nova opção para o comportamento do objeto com capacidade de segurança. Após alterar esta configuração, utilize o procedimento adequado para obter orientações adicionais para configurar âmbitos de segurança, coleções e funções de segurança para este utilizador administrativo.

    Nota

    Quando o comportamento do objeto com capacidade de segurança estiver definido para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas, não poderá adicionar ou remover coleções e âmbitos de segurança específicos.

  8. Clique em OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tem o comportamento de objeto com capacidade de segurança definido para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

Opção: Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador está configurado para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    - Para atribuir funções de segurança adicionais a este utilizador, clique em **Adicionar**, selecione a caixa de verificação de cada função de segurança adicional que pretende adicionar e, em seguida, clique em **OK**.
    
    - Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em **Remover**.
    
  7. Para modificar as coleções e os âmbitos de segurança associados a funções de segurança, clique no separador Âmbitos de Segurança.

    - Para associar novos âmbitos de segurança ou coleções a todas as funções de segurança que estão atribuídas a este utilizador administrativo, clique em **Adicionar** e selecione uma das quatro opções. Se selecionar **Âmbito de Segurança** ou **Coleção**, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em **OK**.
    
    - Para remover um âmbito de segurança ou uma coleção, selecione o objeto e, em seguida, clique em **Remover**.
    
  8. Clique em OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tem o comportamento de objeto com capacidade de segurança definido para Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo.

Opção: Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    - Para atribuir funções de segurança adicionais a este utilizador administrativo, clique em **Adicionar**. Na caixa de diálogo **Adicionar Função de Segurança**, selecione uma ou mais funções de segurança disponíveis, clique em **Adicionar** e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar **Âmbito de Segurança** ou **Coleção**, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em **OK**.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Tem de configurar, pelo menos, um âmbito de segurança para que as funções de segurança selecionadas possam ser atribuídas ao utilizador administrativo. Quando seleciona várias funções de segurança, cada coleção e âmbito de segurança que configura são associados a cada um dos perfis de segurança selecionados.</P>
    
    
      </div>
    
    - Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em **Remover**.
    
  7. Para modificar as coleções e os âmbitos de segurança associados a uma função de segurança específica, clique no separador Âmbitos de Segurança, selecione a função de segurança e, em seguida, clique em Editar.

    - Para associar novos objetos a esta função de segurança, clique em **Adicionar** e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar **Âmbito de Segurança** ou **Coleção**, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em **OK**.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Tem de configurar, pelo menos, um âmbito de segurança.</P>
    
    
      </div>
    
    - Para remover uma coleção ou um âmbito de segurança associados a esta função de segurança, selecione o objeto e, em seguida, clique em **Remover**.
    
    - Quando tiver terminado a modificação dos objetos associados, clique em **OK**.
    
  8. Clique em OK para concluir este procedimento.

    System_CAPS_cautionCuidado

    Quando uma função de segurança concede a utilizadores administrativos a permissão de implementação de coleção, esses utilizadores administrativos podem distribuir objetos de qualquer âmbito de segurança para o qual possuam permissões de leitura de objetos, mesmo que esse âmbito de segurança esteja associado a outra função de segurança.

Gerir Contas Utilizadas pelo Configuration Manager

O Gestor de configuração suporta contas do Windows para muitas tarefas e utilizações diferentes.

Utilize o procedimento seguinte para ver quais as contas que estão configuradas para diferentes tarefas e para gerir a palavra-passe que o Gestor de configuração utiliza para cada conta.

Para gerir as contas utilizadas pelo Gestor de configuração

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Contas para ver as contas que estão configuradas para o Gestor de configuração.

  3. Para alterar a palavra-passe de uma conta que está configurada para o Gestor de configuração, selecione a conta.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique em Definir para abrir a caixa de diálogo Conta de Utilizador do Windows e especificar a nova palavra-passe que o Gestor de configuração utilizará para a conta.

    Nota

    A palavra-passe que especificar tem de corresponder à palavra-passe especificada para a conta em Utilizadores e Computadores do Active Directory.

  6. Clique em OK para concluir o procedimento.