Реализация ролей пользователей
В System Center Operations Manager роли пользователей — это метод, используемый для назначения прав, необходимых для доступа к данным мониторинга и выполнения действий. Роли пользователей применяются к группам пользователей, которым требуется доступ и возможность выполнения действий в одной группе управляемых объектов. По умолчанию только учетная запись администратора Operations Manager имеет право просматривать и действовать на всех данных мониторинга. У всех остальных пользователей должна быть назначена роль пользователя, чтобы просматривать или действовать на определенных или всех данных мониторинга.
Роли пользователей создаются с помощью мастера создания ролей пользователей. В этом мастере вы настраиваете, какие группы безопасности Active Directory назначаются этой роли пользователя, которая группа Operations Manager или группы отслеживаемых объектов, к которым пользователь может получить доступ, а также какие задачи, панели мониторинга и представления этой роли пользователя могут получить доступ.
Роль пользователя — это сочетание профиля и области, как показано на следующем рисунке. Пользователь может участвовать в нескольких ролях, в результате его область представляет собой объединение всех ролей пользователя.
Общие сведения о профилях
Перед созданием ролей пользователей в группе управления выберите один профиль, который применяется к создаваемой роли пользователя. Профиль определяет действия, которые может выполнять пользователь. Профили имеют определенный набор прав, и вы не можете добавить или удалить какие-либо из этих назначенных прав. При создании ролей пользователей для операторов и других пользователей выберите профиль, который наиболее тесно соответствует обязанностям группы пользователей в развертывании System Center — Operations Manager.
Так как Operations Manager — это корпоративная платформа мониторинга, которая может отслеживать инфраструктуру, рабочую нагрузку или приложения, развернутые в вашей организации, вы можете выровнять доступ к данным с процессами операций службы, чтобы различные уровни поддержки эскалации инцидентов или команда разработчиков приложений могли видеть операционные данные, относящиеся к их роли. Система безопасности на основе ролей позволяет ограничивать пользовательские права доступа к различным функциям Operations Manager.
Внимание
Добавление учетной записи компьютера в член роли пользователя позволяет всем службам на этом компьютере иметь доступ в Operations Manager. Рекомендуется не добавлять учетную запись компьютера в какую-либо роль пользователя.
В Operations Manager операции, такие как разрешение оповещений, выполнение задач, переопределение мониторов, создание ролей пользователей, просмотр оповещений, просмотр событий и т. д., сгруппированы в профили, с каждым профилем, представляющим определенную функцию задания, как показано в следующей таблице. Список определенных операций, связанных с каждым профилем, см. в разделе Operations Associated with User Role Profiles.
Примечание.
Область определяет группы объектов, типы объектов, задачи или представления, которыми ограничивается профиль. Не все области применимы ко всем профилям.
Профиль | Функции и область заданий |
---|---|
Администратор | Предоставляются все привилегии, доступные в Operations Manager. Примечание. К роли администратора можно добавлять только группы безопасности Active Directory. |
Оператор с расширенными правами | Предоставляется набор привилегий, рассчитанный на пользователей, которым необходим доступ к ограниченным возможностям настройки конфигураций наблюдения, помимо привилегий оператора. Членам данной роли предоставляется возможность переопределения конфигурации правил и мониторов для конкретных целевых объектов и групп целевых объектов в заданной области. Расширенный оператор также наследует привилегии оператора. |
Оператор мониторинга приложений | Включает набор привилегий, предназначенных для пользователей, которым требуется доступ к диагностике приложений. Роль пользователя на основе профиля оператора мониторинга приложений предоставляет участникам возможность просматривать события мониторинга приложений в веб-консоли диагностики приложений. Примечание. Для доступа к функции Помощника по приложениям требуется профиль оператора отчета или администратора. |
Автор | Предоставляется набор привилегий, предназначенный для создания настроек мониторинга. Членам данной роли предоставляется возможность создания, изменения и удаления настроек мониторинга (например, задач, правил, мониторов и представлений) для конкретных целевых объектов и групп целевых объектов в заданной области. |
Оператор | Предоставляется набор привилегий, рассчитанный на пользователей, которым необходим доступ к предупреждениям, представлениям и задачам. Членам данной роли предоставляется возможность взаимодействия с предупреждениями, выполнения задач и доступа к представлениям в соответствии с заданной областью. Примечание по безопасности. Если представление панели мониторинга использует данные из базы данных хранилища данных, операторы могут просматривать данные, к которым они в противном случае не имеют доступа в представлениях, использующих данные из операционной базы данных. |
Оператор только для чтения | Предоставляется набор привилегий, рассчитанный на пользователей, которым необходим доступ только для чтения к предупреждениям и представлениям. Членам данной роли предоставляется возможность просмотра предупреждений и доступа к представлениям в соответствии с заданной областью. Примечание. Члены роли "Оператор только для чтения" не назначаются права на представление состояния задачи. Примечание по безопасности. Если представление панели мониторинга использует данные из базы данных хранилища данных, операторы могут просматривать данные, к которым они в противном случае не имеют доступа в представлениях, использующих данные из операционной базы данных. |
Оператор отчетов | Предоставляется набор привилегий, рассчитанный на пользователей, которым необходим доступ к отчетам. Членам данной роли предоставляется возможность просмотра отчетов в соответствии с заданной областью. Внимание. Пользователи, назначенные этой роли, имеют доступ ко всем данным отчета в хранилище данных отчетов и не ограничиваются областью действия. |
Администратор безопасности отчетов | Предоставляется возможность объединения системы безопасности служб отчетов сервера SQL Server с ролями пользователей Operations Manager. Это позволяет администраторам Operations Manager управлять доступом к отчетам. Эта роль может иметь только одну учетную запись участника и не может быть ограничена. |
Помимо существующих профилей заданий, перечисленных выше, Operations Manager 2022 поддерживает следующие новые профили заданий:
Профиль | Функции и область заданий |
---|---|
Read-only Administrator | Включает все права на чтение в Operations Manager вместе с созданием отчетов. |
Делегированный администратор | Включает все права на чтение в Operations Manager, за исключением создания отчетов. Предоставляет члену возможность создания настраиваемой роли пользователя "Делегированный администратор" в качестве базового профиля. |
Определение области с помощью групп Operations Manager
Область действия роли пользователя определяет, какие объекты могут просматривать и выполнять действия в System Center — Operations Manager. Область состоит из одной или нескольких групп Operations Manager и определяется при создании роли пользователя в рамках мастера создания роли пользователя. На странице Область группымастера создания роли пользователя представлен список всех существующих групп Operations Manager. Вы можете выбрать все или некоторые из этих групп в качестве области создаваемой роли пользователя.
Группы, как и другие объекты Operations Manager, определяются в пакетах управления. В Operations Manager группы представляют собой логические коллекции объектов, таких как компьютеры под управлением Windows, жесткие диски или экземпляры Microsoft SQL Server. Пакеты управления создают несколько групп, которые автоматически импортируются во время установки Operations Manager. Если эти группы не содержат отслеживаемые объекты, необходимые для области, можно создать группу, которая выполняется. Для этого необходимо выйти из мастера создания ролей пользователя, переключиться в рабочую область мониторинга и использовать мастер создания групп для создания группы, которая лучше соответствует вашим потребностям.
Назначение задач, панелей мониторинга и представлений
Задача — это действие, инициированное пользователем, из консоли управления, которое выполняется в агенте Operations Manager или в системе, из которую запускается консоль. Задачи, которые вы предоставляете создаваемой роли пользователя, могут выполнять эти определенные команды или действия для создаваемой роли пользователя. Параметр по умолчанию заключается в том, что все пользователи, которым назначена роль пользователя, могут выполнять все задачи и открывать все панели мониторинга и представления до тех пор, пока его профиль и область разрешены. Альтернативой на странице "Задачи создания роли пользователя" является перечисление конкретных задач, к которые можно получить доступ к создаваемому правилу пользователя. Аналогичным образом на странице "Создание панелей мониторинга ролей пользователя" и "Представления" можно указать, какие панели мониторинга и представления , а также какие панели мониторинга доступны для доступа из области задач.
Назначение участников встроенным ролям пользователей
Operations Manager предоставляет восемь стандартных ролей пользователей, созданных во время установки. Группы и отдельные лица можно назначать непосредственно этим встроенным ролям пользователей, чтобы предоставить им возможность выполнять определенные задачи и получать доступ к определенной информации. Эти встроенные роли имеют глобальную область для группы управления.
Чтобы ограничить область для пользователя, создайте новую роль пользователя.
Назначение участников встроенной роли пользователя
В консоли управления выберите Администрирование.
В разделе "Безопасность" выберите роли пользователей.
В области результатов щелкните правой кнопкой мыши любую из ролей пользователя, например операторы Operations Manager, и выберите "Свойства".
На вкладке "Общие свойства" в элементах роли пользователя нажмите кнопку "Добавить".
Введите имена объектов, которые нужно выбрать, введите имя учетной записи пользователя или группы, которую вы хотите добавить в роль пользователя, а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно.
Нажмите кнопку "ОК ", чтобы закрыть свойства для роли пользователя.