Konfigurera rollbaserad administration för Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
I Configuration Manager kombinerar rollbaserad administration säkerhetsroller, säkerhetsomfattningar och tilldelade samlingar för att definiera det administrativa omfånget för varje administrativ användare. Ett administrativt omfång omfattar de objekt som en administrativ användare kan visa i Configuration Manager-konsolen och de uppgifter som är relaterade till de objekt som de har behörighet att utföra.
Om du ännu inte är bekant med de här begreppen kan du läsa Grunderna för rollbaserad administration.
Använd informationen i den här artikeln för att skapa och konfigurera rollbaserad administration och relaterade säkerhetsinställningar.
Obs!
Procedurerna i den här artikeln förutsätter att din administrativa användare har en säkerhetsroll med de behörigheter som krävs. Till exempel rollerna Fullständig administratör eller Säkerhetsadministratör .
Tips
Använd verktyget Rollbaserad administration och granskning för att hjälpa till med följande åtgärder:
- Modellbehörigheter för en ny roll som du vill skapa.
- Granska alla befintliga administrativa användare, samlingar och säkerhetsomfattningar.
- Granska en specifik användare
Skapa anpassade säkerhetsroller
Configuration Manager har flera inbyggda säkerhetsroller. Du kan inte ändra behörigheterna för de inbyggda rollerna. Om du behöver andra roller skapar du en anpassad roll. Du kan skapa en anpassad roll för att ge administrativa användare andra behörigheter som de behöver och som inte ingår i en inbyggd roll. Genom att använda en anpassad säkerhetsroll kan du tilldela dem de behörigheter som krävs minst. En anpassad roll kan hjälpa dig att undvika att tilldela en säkerhetsroll som ger fler behörigheter än de behöver.
Så här skapar du anpassade säkerhetsroller
I Configuration Manager-konsolen går du till arbetsytan Administration. Expandera Säkerhet och välj sedan noden Säkerhetsroller . Använd sedan någon av följande processer för att skapa en ny säkerhetsroll:
Skapa en ny anpassad säkerhetsroll genom att kopiera en inbyggd roll
Välj en befintlig säkerhetsroll som ska användas som källa för den nya rollen.
På fliken Start i menyfliksområdet går du till gruppen Säkerhetsroll och väljer Kopiera. Den här åtgärden skapar en kopia av källsäkerhetsrollen.
I guiden Kopiera säkerhetsroll anger du ett namn för den nya anpassade säkerhetsrollen. Den maximala längden är 256 tecken.
Valfritt men rekommenderat, ange en Beskrivning för att sammanfatta syftet med den här anpassade säkerhetsrollen. Den maximala längden är 512 tecken.
Under Behörigheter expanderar du varje objekttyp för att visa tillgängliga behörigheter.
Om du vill ändra en behörighet väljer du listrutan och väljer antingen Ja eller Nej.
Försiktighet
När du konfigurerar en anpassad säkerhetsroll beviljar du endast behörigheter som krävs av de användare som tilldelats den här rollen. Med behörigheten Ändra för objektet Säkerhetsroller kan till exempel tilldelade användare redigera alla tillgängliga säkerhetsroller, även om de inte har tilldelats den säkerhetsrollen.
När du har konfigurerat behörigheterna väljer du OK för att spara den nya säkerhetsrollen.
Importera en säkerhetsroll som har exporterats från en annan Configuration Manager-hierarki
Viktigt
Importera endast anpassade konfigurationsfiler för säkerhetsroller från en betrodd källa. När du exporterar en anpassad säkerhetsroll sparar du den på en säker plats. XML-filerna är inte digitalt signerade.
På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Importera säkerhetsroll.
Ange den XML-fil som innehåller den exporterade konfigurationen av säkerhetsrollen. Välj Öppna för att slutföra proceduren och skapa säkerhetsrollen.
När du har importerat en anpassad säkerhetsroll öppnar du dess Egenskaper. Visa behörigheterna för att bekräfta att de innehåller de behörigheter som krävs minst för den här rollen. Ändra behörigheter som inte krävs i den här miljön.
Obs!
Du kan inte exportera inbyggda säkerhetsroller.
Konfigurera säkerhetsroller
Du kan ändra behörigheterna för en anpassad säkerhetsroll, men du kan inte ändra de inbyggda säkerhetsrollerna.
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Säkerhet och väljer sedan noden Säkerhetsroller.
Välj den anpassade säkerhetsroll som du vill ändra eller visa.
På fliken Start i menyfliksområdet går du till gruppen Egenskaper och väljer Egenskaper.
På fliken Allmänt i egenskapsfönstret ändrar du Namn eller Beskrivning om det behövs.
På fliken Administrativa användare visar du de användare som är associerade med den här rollen. Om du vill ändra tilldelningen går du till egenskaperna för den administrativa användaren.
På fliken Behörigheter expanderar du varje objekttyp för att visa de tillgängliga behörigheterna.
Om du vill ändra en behörighet väljer du listrutan och väljer sedan Antingen Ja eller Nej.
Försiktighet
När du konfigurerar en anpassad säkerhetsroll beviljar du endast behörigheter som krävs av de användare som tilldelats den här rollen. Med behörigheten Ändra för objektet Säkerhetsroller kan till exempel tilldelade användare redigera alla tillgängliga säkerhetsroller, även om de inte har tilldelats den säkerhetsrollen.
När du är klar väljer du OK för att spara den anpassade säkerhetsrollen.
Konfigurera säkerhetsomfattningar för ett objekt
Hantera säkerhetsomfattningar från det skyddsbara objektet, inte från säkerhetsomfattningen. De enda egenskaper som du kan ändra i ett anpassat säkerhetsomfång är namnet och beskrivningen. Du kan inte ändra de två inbyggda omfången. Om du vill ändra namn och beskrivning för ett anpassat omfång behöver du behörigheten Ändra för objektet Säkerhetsomfattningar .
När du skapar ett nytt objekt i Configuration Manager associeras det med varje säkerhetsomfattning som är associerad med säkerhetsrollerna för det konto som används för att skapa objektet. Det här beteendet inträffar när dessa säkerhetsroller ger behörigheten Skapa eller Ange säkerhetsomfattning . När du har skapat ett objekt kan du ändra säkerhetsomfattningarna och tilldela det till flera omfång.
Du har till exempel tilldelats en säkerhetsroll som ger dig behörighet att skapa en ny gränsgrupp. Den rollen är associerad med säkerhetsomfånget Administratörer . När du skapar en ny gränsgrupp har du inget alternativ för att tilldela specifika säkerhetsomfattningar. Säkerhetsomfånget Administratörer tilldelas automatiskt till den nya gränsgruppen. När du har sparat den nya gränsgruppen kan du redigera säkerhetsomfattningarna för gränsgruppen.
Mer information om hur du lägger till ett omfång för en användare finns i Ändra den administrativa omfattningen för en administrativ användare.
Så här skapar du ett anpassat säkerhetsomfång
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Säkerhet och väljer sedan noden Säkerhetsomfattningar.
På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Skapa säkerhetsomfattning.
I fönstret Skapa säkerhetsomfång anger du ett säkerhetsomfattningsnamn. Den maximala längden är 256 tecken.
Valfritt men rekommenderat, ange en Beskrivning för att sammanfatta syftet med det här anpassade säkerhetsomfånget. Den maximala längden är 512 tecken.
Välj eller ta bort administrativa användartilldelningar. Du kan ändra dessa när du har skapat säkerhetsomfånget.
Om du vill spara det anpassade säkerhetsomfånget väljer du OK.
Så här konfigurerar du säkerhetsomfattningar för ett objekt
I Configuration Manager-konsolen väljer du ett objekt som har stöd för att tilldelas till ett säkerhetsomfång. En lista över objekt som stöds finns i Grunderna för rollbaserad administration – säkerhetsomfattningar.
På fliken Start i menyfliksområdet går du till gruppen Klassificera och väljer Ange säkerhetsomfattningar.
För en mapp går du till fliken Mapp i menyfliksområdet. I gruppen Åtgärder väljer du Ange säkerhetsomfattningar.
Obs!
Ett objekt kan sökas i mappar utanför en användares säkerhetsomfång om användaren delar ett säkerhetsomfång med den person som skapade objektet.
I fönstret Ange säkerhetsomfattningar väljer eller avmarkerar du säkerhetsomfattningarna för det här objektet. Välj minst ett säkerhetsomfång.
Välj OK för att spara de tilldelade säkerhetsomfattningarna.
Konfigurera samlingar för att hantera säkerhet
Det finns inga procedurer för att konfigurera samlingar för rollbaserad administration. Samlingar har ingen rollbaserad administrationskonfiguration. I stället tilldelar du samlingar till en administrativ användare. Om du vill fastställa vilka åtgärder som en administrativ användare kan utföra för en samling och dess medlemmar visar du behörigheterna för objekttypen Samling för säkerhetsrollen.
När en administrativ användare har behörighet till en samling har de också behörigheter till samlingar som är begränsade till samlingen. Din organisation använder till exempel en samling med namnet Alla skrivbord. Det finns också en samling med namnet All Nordamerika Desktops som är begränsad till samlingen Alla skrivbord. Om en administrativ användare har behörighet till Alla skrivbord har de samma behörigheter till samlingen Alla Nordamerika skrivbord.
En administrativ användare kan inte använda behörigheterna Ta bort eller Ändra för en samling som är direkt tilldelad till dem. De kan använda dessa behörigheter för de samlingar som är begränsade till samlingen. I föregående exempel kan den administrativa användaren ta bort eller ändra samlingen Alla Nordamerika Skrivbord, men de kan inte ta bort eller ändra samlingen Alla skrivbord.
Skapa en ny administrativ användare
Om du vill ge enskilda personer eller medlemmar i en säkerhetsgrupp åtkomst för att hantera Configuration Manager skapar du en administrativ användare. Ange ett Windows-konto för användaren eller användargruppen. Tilldela varje administrativ användare minst en säkerhetsroll och ett säkerhetsomfång. Du kan också tilldela samlingar för att begränsa det administrativa omfånget för användaren eller gruppen.
Så här skapar du en ny administrativ användare
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Säkerhet och väljer sedan noden Administrativa användare.
På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Lägg till användare eller grupp.
Välj Bläddra och välj sedan det användarkonto eller den grupp som ska användas för den nya administrativa användaren i Configuration Manager.
Obs!
För konsolbaserad administration kan du bara ange domänanvändare eller domänsäkerhetsgrupper som administrativa användare.
För Associerade säkerhetsroller väljer du Lägg till för att öppna en lista över tillgängliga säkerhetsroller. Välj en eller flera säkerhetsroller och välj sedan OK.
Välj något av följande alternativ för att definiera beteendet för skyddsbara objekt för den nya användaren:
Alla instanser av objekten som är relaterade till de tilldelade säkerhetsrollerna: Det här alternativet har följande beteenden:
- Säkerhetsomfattning: Alla
- Samlingar: Alla system och alla användare och användargrupper
- De säkerhetsroller som du tilldelar användaren definierar deras åtkomst till objekt.
- Nya objekt som den här användaren skapar tilldelas till säkerhetsomfånget Standard .
Endast de instanser av objekt som har tilldelats till de angivna säkerhetsomfattningarna och samlingarna: Det här alternativet har följande beteenden:
- Säkerhetsomfattning: Standard
- Samlingar: Alla system och alla användare och användargrupper
- Dessa standardinställningar kanske skiljer sig åt, eftersom de faktiska säkerhetsomfattningarna och samlingarna är begränsade till de som är associerade med det konto som du använder för att skapa den administrativa användaren.
- Lägg till eller ta bort säkerhetsomfattningar och samlingar för att anpassa den här användarens administrativa omfång.
Viktigt
När du har skapat användaren visar du dess egenskaper för att välja ett tredje alternativ, Associera tilldelade säkerhetsroller med specifika säkerhetsomfattningar och samlingar. Mer information finns i Ändra den administrativa omfattningen för en administrativ användare.
Välj OK för att stänga fönstret och skapa den administrativa användaren.
Ändra den administrativa användarens administrativa omfång
Du kan ändra det administrativa omfånget för en administrativ användare genom att lägga till eller ta bort säkerhetsroller, säkerhetsomfattningar och samlingar som är associerade med användaren. Varje administrativ användare måste vara associerad med minst en säkerhetsroll och ett säkerhetsomfång. Du kan behöva tilldela en eller flera samlingar till användarens administrativa omfång. De flesta säkerhetsroller interagerar med samlingar och fungerar inte korrekt utan en tilldelad samling.
När du ändrar en administrativ användare kan du ändra beteendet för hur skyddsbara objekt associeras med de tilldelade säkerhetsrollerna. De tre beteenden som du kan välja är följande:
Alla instanser av objekten som är relaterade till de tilldelade säkerhetsrollerna: Det här alternativet associerar den administrativa användaren med samlingarna Alla omfång och Alla system och Alla användare och Användargrupper . De säkerhetsroller som tilldelas användaren definierar åtkomsten till objekt.
Endast de instanser av objekt som har tilldelats till de angivna säkerhetsomfattningarna och samlingarna: Det här alternativet associerar den administrativa användaren med samma säkerhetsomfattningar och samlingar som är associerade med det konto som du använder för att konfigurera den administrativa användaren. Det här alternativet stöder tillägg eller borttagning av säkerhetsroller och samlingar för att anpassa den administrativa användarens administrativa omfång.
Associera tilldelade säkerhetsroller med specifika säkerhetsomfattningar och samlingar: Med det här alternativet kan du skapa specifika associationer mellan enskilda säkerhetsroller och specifika säkerhetsomfattningar och samlingar för användaren.
Obs!
Det här alternativet är bara tillgängligt när du ändrar egenskaperna för en administrativ användare.
Den aktuella konfigurationen för beteendet för skyddsbara objekt ändrar den process som du använder för att tilldela ytterligare säkerhetsroller. Använd följande procedurer som baseras på de olika alternativen för skyddsbara objekt som hjälper dig att hantera en administrativ användare.
Använd följande procedur för att visa och hantera konfigurationen för skyddsbara objekt för en administrativ användare.
Visa och hantera beteendet för skyddsbara objekt för en administrativ användare
- I Configuration Manager-konsolen väljer du Administration.
- På arbetsytan Administration expanderar du Säkerhet och väljer sedan Administrativa användare.
- Välj den administrativa användare som du vill ändra.
- På fliken Start går du till gruppen Egenskaper och väljer Egenskaper.
- Välj fliken Säkerhetsomfattningar för att visa den aktuella konfigurationen för skyddsbara objekt för den här administrativa användaren.
- Om du vill ändra beteendet för skyddsbara objekt väljer du ett nytt alternativ för beteendet för skyddsbara objekt. När du har ändrat den här konfigurationen kan du läsa mer i lämplig procedur för att konfigurera säkerhetsomfattningar och samlingar samt säkerhetsroller för den här administrativa användaren.
- Slutför proceduren genom att välja OK .
Använd följande procedur för att ändra en administrativ användare som har beteendet för skyddsbara objekt inställt på Alla instanser av objekten som är relaterade till de tilldelade säkerhetsrollerna.
Alternativ: Alla instanser av objekten som är relaterade till de tilldelade säkerhetsrollerna
I Configuration Manager-konsolen väljer du Administration.
På arbetsytan Administration expanderar du Säkerhet och väljer sedan Administrativa användare.
Välj den administrativa användare som du vill ändra.
På fliken Start går du till gruppen Egenskaper och väljer Egenskaper.
Välj fliken Säkerhetsomfattningar för att bekräfta att den administrativa användaren har konfigurerats för Alla instanser av de objekt som är relaterade till de tilldelade säkerhetsrollerna.
Om du vill ändra de tilldelade säkerhetsrollerna väljer du fliken Säkerhetsroller .
- Om du vill tilldela ytterligare säkerhetsroller till den här administrativa användaren väljer du Lägg till, markerar kryssrutan för varje ytterligare säkerhetsroll som du vill tilldela och väljer sedan OK.
- Om du vill ta bort säkerhetsroller väljer du en eller flera säkerhetsroller i listan och väljer sedan Ta bort.
Om du vill ändra beteendet för skyddsbara objekt väljer du fliken Säkerhetsomfattningar och väljer ett nytt alternativ för beteendet för skyddsbara objekt. När du har ändrat den här konfigurationen kan du läsa mer i lämplig procedur för att konfigurera säkerhetsomfattningar och samlingar samt säkerhetsroller för den här administrativa användaren.
Obs!
När beteendet för skyddsbara objekt är inställt på Alla instanser av objekten som är relaterade till de tilldelade säkerhetsrollerna kan du inte lägga till eller ta bort specifika säkerhetsomfattningar och samlingar.
Välj OK för att slutföra den här proceduren.
Använd följande procedur för att ändra en administrativ användare som har beteendet för skyddsbara objekt inställt på Endast de instanser av objekt som har tilldelats till de angivna säkerhetsomfattningarna och samlingarna.
För alternativ: Endast de instanser av objekt som har tilldelats till de angivna säkerhetsomfattningarna och samlingarna
I Configuration Manager-konsolen väljer du Administration.
På arbetsytan Administration expanderar du Säkerhet och väljer sedan Administrativa användare.
Välj den administrativa användare som du vill ändra.
På fliken Start går du till gruppen Egenskaper och väljer Egenskaper.
Välj fliken Säkerhetsomfattningar för att bekräfta att användaren har konfigurerats för Endast de instanser av objekt som har tilldelats till de angivna säkerhetsomfattningarna och samlingarna.
Om du vill ändra de tilldelade säkerhetsrollerna väljer du fliken Säkerhetsroller .
- Om du vill tilldela ytterligare säkerhetsroller till den här användaren väljer du Lägg till, markerar kryssrutan för varje ytterligare säkerhetsroll som du vill tilldela och väljer sedan OK.
- Om du vill ta bort säkerhetsroller väljer du en eller flera säkerhetsroller i listan och väljer sedan Ta bort.
Om du vill ändra säkerhetsomfattningar och samlingar som är associerade med säkerhetsroller väljer du fliken Säkerhetsomfattningar .
- Om du vill associera nya säkerhetsomfattningar eller samlingar med alla säkerhetsroller som har tilldelats den här administrativa användaren väljer du Lägg till och väljer ett av de fyra alternativen. Om du väljer Säkerhetsomfattning eller Samling markerar du kryssrutan för ett eller flera objekt för att slutföra markeringen och väljer sedan OK.
- Om du vill ta bort ett säkerhetsomfång eller en samling väljer du objektet och sedan Ta bort.
Välj OK för att slutföra den här proceduren.
Använd följande procedur för att ändra en administrativ användare som har beteendet för skyddsbara objekt inställt på Associera tilldelade säkerhetsroller med specifika säkerhetsomfattningar och samlingar.
För alternativ: Associera tilldelade säkerhetsroller med specifika säkerhetsomfattningar och samlingar
I Configuration Manager-konsolen väljer du Administration.
På arbetsytan Administration expanderar du Säkerhet och väljer sedan Administrativa användare.
Välj den administrativa användare som du vill ändra.
På fliken Start går du till gruppen Egenskaper och väljer Egenskaper.
Välj fliken Säkerhetsomfattningar för att bekräfta att den administrativa användaren har konfigurerats för Associera tilldelade säkerhetsroller med specifika säkerhetsomfattningar och samlingar.
Om du vill ändra de tilldelade säkerhetsrollerna väljer du fliken Säkerhetsroller .
Om du vill tilldela ytterligare säkerhetsroller till den här administrativa användaren väljer du Lägg till. I dialogrutan Lägg till säkerhetsroll väljer du en eller flera tillgängliga säkerhetsroller, väljer Lägg till och väljer en objekttyp som ska associeras med de valda säkerhetsrollerna. Om du väljer Säkerhetsomfattning eller Samling markerar du kryssrutan för ett eller flera objekt för att slutföra markeringen och väljer sedan OK.
Obs!
Du måste konfigurera minst ett säkerhetsomfång innan de valda säkerhetsrollerna kan tilldelas till den administrativa användaren. När du väljer flera säkerhetsroller associeras varje säkerhetsomfattning och samling som du konfigurerar med var och en av de valda säkerhetsrollerna.
Om du vill ta bort säkerhetsroller väljer du en eller flera säkerhetsroller i listan och väljer sedan Ta bort.
Om du vill ändra säkerhetsomfattningar och samlingar som är associerade med en specifik säkerhetsroll väljer du fliken Säkerhetsomfattningar , väljer säkerhetsrollen och väljer sedan Redigera.
Om du vill associera nya objekt med den här säkerhetsrollen väljer du Lägg till och väljer en objekttyp som ska associeras med de valda säkerhetsrollerna. Om du väljer Säkerhetsomfattning eller Samling markerar du kryssrutan för ett eller flera objekt för att slutföra markeringen och väljer sedan OK.
Obs!
Du måste konfigurera minst ett säkerhetsomfång.
Om du vill ta bort ett säkerhetsomfång eller en samling som är associerad med den här säkerhetsrollen markerar du objektet och väljer sedan Ta bort.
När du har ändrat de associerade objekten väljer du OK.
Välj OK för att slutföra den här proceduren.
Försiktighet
När en säkerhetsroll ger administrativa användare behörighet att distribuera samlingen kan de administrativa användarna distribuera objekt från alla säkerhetsomfattningar som de har behörighet att läsa objekt för, även om säkerhetsomfattningen är associerad med en annan säkerhetsroll.
Automatisera med Windows PowerShell
Du kan använda följande PowerShell-cmdletar för att automatisera några av dessa uppgifter:
Hantera administrativa användare:
- Get-CMAdministrativeUser: Hämta ett administrativt användarobjekt.
- New-CMAdministrativeUser: Skapa en ny administrativ användare.
- New-CMAdministrativeUserPermission: {{ Fyll i Synopsis }}
- Remove-CMAdministrativeUser: Ta bort en administrativ användare.
Hantera roller och omfång för användare:
- Add-CMSecurityRoleToAdministrativeUser: Lägg till en säkerhetsroll i en användare eller grupp.
- Remove-CMSecurityRoleFromAdministrativeUser: Ta bort associationen mellan en säkerhetsroll och en administrativ användare.
- Add-CMSecurityScopeToAdministrativeUser: Lägg till ett säkerhetsomfång till en användare eller grupp.
- Remove-CMSecurityScopeFromAdministrativeUser: Ta bort associationen mellan ett säkerhetsomfång och en administrativ användare.
Hantera säkerhetsroller:
- Copy-CMSecurityRole: Skapa en anpassad säkerhetsroll.
- Export-CMSecurityRole: Exportera en säkerhetsroll till en XML-fil.
- Get-CMSecurityRole: Hämta en säkerhetsroll.
- Import-CMSecurityRole: Importera en säkerhetsroll från en XML-fil.
- Remove-CMSecurityRole: Ta bort anpassade säkerhetsroller.
- Set-CMSecurityRole: Ändra konfigurationsinställningarna för en säkerhetsroll.
Hantera behörigheter för säkerhetsroller:
- Get-CMSecurityRolePermission: Hämta behörigheterna för en säkerhetsroll.
- Set-CMSecurityRolePermission: Konfigurera en säkerhetsroll med specifika behörigheter.
Hantera säkerhetsomfattningar:
- Get-CMSecurityScope: Hämta ett säkerhetsomfång.
- New-CMSecurityScope: Skapa ett säkerhetsomfång.
- Remove-CMSecurityScope: Ta bort ett säkerhetsomfång.
- Set-CMSecurityScope: Konfigurera ett säkerhetsomfång.
Hantera objektsäkerhetsomfång:
- Add-CMObjectSecurityScope: Lägg till ett säkerhetsomfång i ett objekt.
- Get-CMObjectSecurityScope: Hämta säkerhetsomfattningen för ett Configuration Manager objekt.
- Remove-CMObjectSecurityScope: Ta bort ett säkerhetsomfång från ett Configuration Manager objekt.