Grunderna i rollbaserad administration för Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Med Configuration Manager använder du rollbaserad administration för att skydda den åtkomst som administrativa användare behöver för att använda Configuration Manager. Du skyddar också åtkomsten till de objekt som du hanterar, till exempel samlingar, distributioner och platser.
Den rollbaserade administrationsmodellen definierar och hanterar säkerhetsåtkomst i hela hierarkin centralt. Den här modellen är avsedd för alla webbplatser och webbplatsinställningar med hjälp av följande objekt:
Säkerhetsroller tilldelas administrativa användare för att ge dem behörighet att Configuration Manager objekt. Till exempel behörighet att skapa eller ändra klientinställningar.
Säkerhetsomfattningar används för att gruppera specifika instanser av objekt som en administrativ användare ansvarar för att hantera. Till exempel ett program som installerar Configuration Manager-konsolen.
Samlingar används för att ange grupper av användare och enheter som den administrativa användaren kan hantera i Configuration Manager.
Med kombinationen av roller, omfång och samlingar separerar du de administrativa tilldelningar som uppfyller organisationens krav. Tillsammans definierar de en användares administrativa omfång . Det här administrativa omfånget styr de objekt som en administrativ användare visar i Configuration Manager-konsolen och styr de behörigheter som en användare har för dessa objekt.
Fördelar
Följande är fördelarna med rollbaserad administration i Configuration Manager:
Webbplatser används inte som administrativa gränser. Expandera med andra ord inte en fristående primär plats till en hierarki med en central administrationsplats för att separera administrativa användare.
Du skapar administrativa användare för en hierarki och behöver bara tilldela dem säkerhet en gång.
Alla säkerhetstilldelningar replikeras och är tillgängliga i hela hierarkin. Rollbaserade administrationskonfigurationer replikeras till varje plats i hierarkin som globala data och tillämpas sedan på alla administrativa anslutningar.
Viktigt
Fördröjningar i replikering mellan platser kan förhindra att en plats tar emot ändringar för rollbaserad administration. Mer information om hur du övervakar databasreplikering mellan platser finns i Dataöverföringar mellan platser.
Det finns inbyggda säkerhetsroller som används för att tilldela vanliga administrationsuppgifter. Skapa egna anpassade säkerhetsroller för att stödja dina specifika affärskrav.
Administrativa användare ser bara de objekt som de har behörighet att hantera.
Du kan granska administrativa säkerhetsåtgärder.
Säkerhetsroller
Använd säkerhetsroller för att bevilja säkerhetsbehörigheter till administrativa användare. Säkerhetsroller är grupper med säkerhetsbehörigheter som du tilldelar administrativa användare så att de kan utföra sina administrativa uppgifter. Dessa säkerhetsbehörigheter definierar de åtgärder som en administrativ användare kan utföra och de behörigheter som beviljas för vissa objekttyper. Som bästa praxis för säkerhet tilldelar du de säkerhetsroller som ger minst behörigheter som krävs för uppgiften.
Configuration Manager har flera inbyggda säkerhetsroller för att stödja typiska grupperingar av administrativa uppgifter. Du kan skapa egna anpassade säkerhetsroller för att stödja dina specifika affärskrav.
I följande tabell sammanfattas alla inbyggda roller:
Namn | Beskrivning |
---|---|
Programadministratör | Kombinerar behörigheterna för programdistributionshanteraren och programredigeringsrollerna . Administrativa användare i den här rollen kan också hantera frågor, visa webbplatsinställningar, hantera samlingar, redigera inställningar för mappning mellan användare och enheter och hantera virtuella App-V-miljöer. |
Programförfattare | Kan skapa, ändra och dra tillbaka program. Administrativa användare i den här rollen kan också hantera program, paket och virtuella App-V-miljöer. |
Programdistributionshanteraren | Kan distribuera program. Administrativa användare i den här rollen kan visa en lista över program. De kan hantera distributioner för program, aviseringar och paket. De kan visa samlingar och deras medlemmar, statusmeddelanden, frågor, regler för villkorsstyrd leverans och virtuella App-V-miljöer. |
Tillgångshanteraren | Ger behörighet att hantera synkroniseringsplatsen för tillgångsinformation, rapportklasser för tillgångsinformation, programvaruinventering, maskinvaruinventering och avläsningsregler. |
Åtkomsthanterare för företagsresurser | Ger behörighet att skapa, hantera och distribuera åtkomstprofiler för företagsresurser. Till exempel Wi-Fi, VPN, Exchange ActiveSync e-post och certifikatprofiler. |
Hanteraren för kompatibilitetsinställningar | Ger behörighet att definiera och övervaka kompatibilitetsinställningar. Administrativa användare i den här rollen kan skapa, ändra och ta bort konfigurationsobjekt och baslinjer. De kan också distribuera konfigurationsbaslinjer till samlingar, starta kompatibilitetsutvärdering och starta reparation för icke-kompatibla datorer. |
Endpoint Protection Manager | Beviljar behörighet att skapa, ändra och ta bort principer för slutpunktsskydd. De kan distribuera dessa principer till samlingar, skapa och ändra aviseringar och övervaka status för slutpunktsskydd. |
Fullständig administratör | Beviljar alla behörigheter i Configuration Manager. Den administrativa användare som installerar Configuration Manager beviljas automatiskt den här säkerhetsrollen, alla omfång och alla samlingar. |
Infrastrukturadministratör | Ger behörighet att skapa, ta bort och ändra Configuration Manager serverinfrastruktur och köra migreringsuppgifter. |
Distributionshanteraren för operativsystem | Ger behörighet att skapa OS-avbildningar och distribuera dem till datorer, hantera uppgraderingspaket för operativsystem och avbildningar, aktivitetssekvenser, drivrutiner, startavbildningar och inställningar för tillståndsmigrering. |
Driftadministratör | Beviljar behörigheter för alla åtgärder i Configuration Manager förutom behörigheterna för att hantera säkerhet. Den här rollen kan inte hantera administrativa användare, säkerhetsroller och säkerhetsomfattningar. |
Skrivskyddad analytiker | Ger behörighet att visa alla Configuration Manager objekt. |
Fjärrverktygsoperatorn | Beviljar behörighet att köra och granska verktyg för fjärradministration som hjälper användarna att lösa datorproblem. Administrativa användare i den här rollen kan köra fjärrstyrning, fjärrhjälp och fjärrskrivbord från Configuration Manager-konsolen. |
Säkerhetsadministratör | Ger behörighet att lägga till och ta bort administrativa användare och att associera administrativa användare med säkerhetsroller, samlingar och säkerhetsomfattningar. Administrativa användare i den här rollen kan också skapa, ändra och ta bort säkerhetsroller och deras tilldelade säkerhetsomfattningar och samlingar. |
Programuppdateringshanteraren | Beviljar behörighet att definiera och distribuera programuppdateringar. Administrativa användare i den här rollen kan hantera programuppdateringsgrupper, distributioner och distributionsmallar. |
Tips
Om du har behörigheter kan du visa listan över alla säkerhetsroller i Configuration Manager-konsolen. Om du vill visa rollerna går du till arbetsytan Administration , expanderar Säkerhet och väljer sedan noden Säkerhetsroller .
Du kan inte ändra de inbyggda säkerhetsrollerna, förutom att lägga till administrativa användare. Du kan kopiera rollen, göra ändringar och sedan spara ändringarna som en ny anpassad säkerhetsroll. Du kan också importera säkerhetsroller som du har exporterat från en annan hierarki, till exempel en labbmiljö. Mer information finns i Konfigurera rollbaserad administration.
Granska säkerhetsrollerna och deras behörigheter för att avgöra om du ska använda de inbyggda säkerhetsrollerna eller om du måste skapa egna anpassade säkerhetsroller.
Rollbehörigheter
Varje säkerhetsroll har specifika behörigheter för olika objekttyper. Programförfattarerollen har till exempel följande behörigheter för program:
- Godkänna
- Create
- Radera
- Ändra
- Ändra mapp
- Flytta objekt
- Läsa
- Kör rapport
- Ange säkerhetsomfattning
Den här rollen har också behörigheter för andra objekt.
Mer information om hur du visar behörigheter för en roll eller ändrar behörigheter för en anpassad roll finns i Konfigurera rollbaserad administration.
Planera för säkerhetsroller
Använd den här processen för att planera för Configuration Manager säkerhetsroller i din miljö:
Identifiera de uppgifter som administrativa användare behöver utföra i Configuration Manager. Dessa uppgifter kan vara relaterade till en eller flera grupper av hanteringsuppgifter. Du kan till exempel distribuera operativsystem och inställningar för efterlevnad.
Mappa dessa administrativa uppgifter till en eller flera av de inbyggda rollerna.
Om vissa administrativa användare utför uppgifter för flera roller tilldelar du användarna till de flera rollerna. Skapa inte en anpassad roll som kombinerar behörigheterna.
Om de uppgifter som du har identifierat inte mappas till de inbyggda säkerhetsrollerna skapar och testar du anpassade roller.
Mer information finns i Skapa anpassade säkerhetsroller och Konfigurera säkerhetsroller.
Samlingar
Samlingar anger de användare och enheter som en administrativ användare kan visa eller hantera. Om du till exempel vill distribuera ett program till en enhet måste den administrativa användaren ha en säkerhetsroll som ger åtkomst till en samling som innehåller enheten.
Mer information om samlingar finns i Introduktion till samlingar.
Innan du konfigurerar rollbaserad administration ska du bestämma om du måste skapa nya samlingar av någon av följande orsaker:
- Funktionell organisation. Till exempel separata samlingar av servrar och arbetsstationer.
- Geografisk justering. Till exempel separata samlingar för Nordamerika och Europa.
- Säkerhetskrav och affärsprocesser. Till exempel separata samlingar för produktions- och testdatorer.
- Organisationsjustering. Till exempel separata samlingar för varje affärsenhet.
Mer information finns i Konfigurera samlingar för att hantera säkerhet.
Säkerhetsomfattningar
Använd säkerhetsomfattningar för att ge administrativa användare åtkomst till skyddsbara objekt. Ett säkerhetsomfång är en namngiven uppsättning skyddsbara objekt som tilldelas administratörsanvändare som en grupp. Alla skyddsbara objekt tilldelas ett eller flera säkerhetsomfattningar. Configuration Manager har två inbyggda säkerhetsomfattningar:
Alla: Ger åtkomst till alla omfång. Du kan inte tilldela objekt till det här säkerhetsomfånget.
Standard: Det här omfånget används för alla objekt som standard. När du installerar Configuration Manager tilldelas alla objekt till det här säkerhetsomfånget.
Om du vill begränsa de objekt som administrativa användare kan se och hantera skapar du egna anpassade säkerhetsomfattningar. Säkerhetsomfattningar stöder inte en hierarkisk struktur och kan inte kapslas. Säkerhetsomfattningar kan innehålla en eller flera objekttyper, som innehåller följande objekt:
- Aviseringsprenumerationer
- Program och programgrupper
- Virtuella App-V-miljöer
- Startavbildningar
- Gränsgrupper
- Konfigurationsobjekt och baslinjer
- Anpassade klientinställningar
- Distributionsplatser och distributionsplatsgrupper
- Drivrutinspaket
- Endpoint Protection-principer (alla)
- Mappar
- Globala villkor
- Migreringsjobb
- OneDrive för företag profiler
- OS-avbildningar
- Uppgraderingspaket för operativsystem
- Paket
- Frågor
- Fjärranslutningsprofiler
- Skript
- Platser
- Regler för avläsning av programvara
- Programuppdateringsgrupper
- Programuppdateringspaket
- Aktivitetssekvenser
- Konfigurationsobjekt för användardata och profiler
- Windows Update för affärsprinciper
Det finns också vissa objekt som du inte kan inkludera i säkerhetsomfattningar eftersom de bara skyddas av säkerhetsroller. Administrativ åtkomst till dessa objekt kan inte begränsas till en delmängd av de tillgängliga objekten. Du kan till exempel ha en administrativ användare som skapar gränsgrupper som används för en viss webbplats. Eftersom gränsobjektet inte stöder säkerhetsomfattningar kan du inte tilldela den här användaren ett säkerhetsomfång som endast ger åtkomst till de gränser som kan vara associerade med webbplatsen. Eftersom ett gränsobjekt inte kan associeras till ett säkerhetsomfång kan användaren komma åt varje gräns i hierarkin när du tilldelar en säkerhetsroll som innehåller åtkomst till gränsobjekt till en användare.
Objekt som inte stöder säkerhetsomfattningar inkluderar men är inte begränsade till följande objekt:
- Active Directory-skogar
- Administrativa användare
- Varningar
- Gränser
- Datorassociationer
- Standardklientinställningar
- Distributionsmallar
- Drivrutiner
- Migrering av plats-till-plats-mappningar
- Säkerhetsroller
- Säkerhetsomfattningar
- Webbplatsadresser
- Platssystemroller
- Programuppdateringar
- Statusmeddelanden
- Mappning mellan användare och enhet
Skapa säkerhetsomfattningar när du måste begränsa åtkomsten till separata instanser av objekt. Till exempel:
Du har en grupp administrativa användare som behöver se produktionsprogram och inte testa program. Skapa ett säkerhetsomfång för produktionsprogram och ett annat för testprogram.
En grupp administrativa användare kräver läsbehörighet för specifika programuppdateringsgrupper. En annan grupp administrativa användare kräver behörigheterna Ändra och Ta bort för andra programuppdateringsgrupper. Skapa olika säkerhetsomfattningar för dessa programuppdateringsgrupper.
Mer information finns i Konfigurera säkerhetsomfattningar för ett objekt.
Nästa steg
Konfigurera rollbaserad administration för Configuration Manager