Как создать новую роль безопасности в SCCM 2012

В состав SCCM 2012 (R2 SP1) входит достаточно широкий набор ролей безопасности, комбинируя которые можно добиться тонкой и точной политики доступа пользователей к объектам SCCM.
Однако бывают случаи, когда стандартной роли может быть недостаточно. 

Один из таких примеров - роль "Оператор средств удаленного управления" (Remote Tools Operator).
Пользователь, состоящий в этой роли, может видеть состав назначенных ему коллекций пользователей и компьютеров. Однако ему не доступен список основных устройств для выбранного пользователя и обратно - список основных пользователей для устройств тоже пуст. 

Один из вариантов решения  - добавить пользователя в роль "Аналитик (только чтение)" (Read only Analyst), но в этом случае пользователь получит (хоть и для чтения) доступ ко всем объектам SCCM (в границах назначенных ему областей безопасности).

Второй вариант - создать свою собственную роль. Это не так очевидно, но оказывается возможно.

Итак приступим.

1. Запускаем консоль SCCM, переходим в область Администрирование (Administration), открываем узел Безопасность (Security) - Роли безопасности (Security Roles).
2. Находим необходимую нам роль  - "Оператор средств удаленного управления" (Remote Tools Operator), и жмем над ней правой кнопкой мыши, выбираем действие "Копировать" (Copy).
3. В открывшейся форме указываем имя нашей роли, и если это необходимо, то описание.
4. В списке разрешений ниже находим необходимые нам разрешения -  "Сопоставление пользователей и устройств" (User and Device Affinity) и для действия "Читать" выбираем "Да". 
5. Полученную роль сохраняем и добавляем в нее пользователя.