Dela via


Konfigurera säkerhet för Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Använd informationen i följande stycken som hjälp för att konfigurera följande säkerhetsrelaterade alternativ:

  • Konfigurera inställningar för klient-PKI-certifikat

  • Konfigurera signering och kryptering

  • Konfigurera rollbaserad administration

  • Hantera konton som används av Configuration Manager

Konfigurera inställningar för klient-PKI-certifikat

Om du vill använda PKI-certifikat (Public Key Infrastructure) för klientanslutningar till platssystem som använder IIS (Internet Information Services) använder du följande procedur för att konfigurera inställningar för dessa certifikat.

Konfigurera inställningar för klient-PKI-certifikat

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Platskonfiguration, klickar på Platser och klickar sedan på den primära plats som ska konfigureras.

  3. På fliken Hem går du till gruppen Egenskaper, klickar på Egenskaper och klickar sedan på fliken Klientdatorkommunikation.

    System_CAPS_noteObs!

    Den här fliken är bara tillgänglig på en primär plats. Om du inte ser fliken Klientdatorkommunikation kontrollerar du att du inte är ansluten till en central administrationsplats eller en sekundär plats.

  4. Klicka på Endast HTTPS när du vill att klienter som tilldelats till platsen alltid ska använda ett klient-PKI-certifikat när de ansluter till platssystem som använder IIS. Klicka på HTTPS eller HTTP när klienterna inte behöver använda PKI-certifikat.

  5. Om du valde HTTPS eller HTTP klickar du på Använd PKI-klientcertifikat (klientautentiseringsfunktioner) om tillgängligt när du vill använda PKI-klientcertifikat för HTTP-anslutningar. Klienten använder det här certifikatet istället för ett självsignerat certifikat för att autentisera sig för platssystem. Alternativet markeras automatiskt om du väljer Endast HTTPS.

    System_CAPS_noteObs!

    När det känns av att klienter är på Internet, eller om de är konfigurerade för klienthantering endast på Internet, använder de alltid ett PKI-klientcertifikat.

  6. Klicka på Ändra för att konfigurera den klienturvalsmetod du valt för situationer när det finns mer än ett giltigt PKI-klientcertifikat på en klient, och klicka sedan på OK.

    System_CAPS_noteObs!

    Mer information om urvalsmetoden för klientcertifikat finns i Planera för val av PKI-klientcertifikat.

  7. Markera eller avmarkera kryssrutan om att klienter ska kontrollera listan över återkallade certifikat (CRL).

    System_CAPS_noteObs!

    Mer information om CRL-kontroll för klienter finns i Planera för återkallning av PKI-certifikat.

  8. Om du måste ange betrodda klientcertifikat från rotcertifikatutfärdare (CA) klickar du på Ange, importerar certifikatfilerna från rotcertifikatutfärdaren och klickar sedan på OK.

    System_CAPS_noteObs!

    Mer information om den här inställningen finns i Planera för betrodda PKI-rotcertifikat och listan Certifikatutfärdare.

  9. Klicka på OK för att stänga egenskapsdialogrutan för platsen.

Upprepa den här proceduren för alla primära platser i hierarkin.

Konfigurera signering och kryptering

Konfigurera de säkraste inställningarna för signering och kryptering för platssystem som alla platsens klienter stöder. De här inställningarna är speciellt viktiga när du tillåter att klienter kommunicerar med platssystem med självsignerade certifikat över HTTP.

Konfigurera signering och kryptering för en plats

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Platskonfiguration, klickar på Platser och klickar sedan på den primära plats som ska konfigureras.

  3. På fliken Hem går du till gruppen Egenskaper, klickar på Egenskaper och klickar sedan på fliken Signering och kryptering.

    System_CAPS_noteObs!

    Den här fliken är bara tillgänglig på en primär plats. Om du inte ser fliken Signering och kryptering kontrollerar du att du inte är ansluten till en central administrationsplats eller en sekundär plats.

  4. Konfigurera de alternativ för signering och kryptering som du vill ha och klicka sedan på OK.

    System_CAPS_warningVarning

    Välj inte Kräv SHA-256 utan att först verifiera att alla klienter som kan komma att tilldelas till platsen har stöd för denna hash-algoritm eller att de har ett giltigt PKI-klientautentiseringscertifikat. Du kan behöva installera uppdateringar eller snabbkorrigeringar på klienterna för stöd för SHA-256. T.ex. måste datorer som kör Windows Server 2003 SP2 installera en snabbkorrigering, enligt instruktionerna i Knowledge Base-artikel 938397.

    Om du väljer det här alternativet, men klienterna inte har stöd för SHA-256 utan använder självsignerade certifikat, avvisas de av Configuration Manager. I den här situationen loggar komponenten SMS_MP_CONTROL_MANAGER meddelande-ID 5443.

  5. Klicka på OK. Dialogrutan Egenskaper för platsen stängs.

Upprepa den här proceduren för alla primära platser i hierarkin.

Konfigurera rollbaserad administration

Använd informationen i det här avsnittet som hjälp för att konfigurera rollbaserad administration i Configuration Manager. Rollbaserad administration kombinerar säkerhetsroller, säkerhetsomfattningar och tilldelade samlingar för att definiera den administrativa omfattningen för varje administrativ användare. En administrativ omfattning innefattar de objekt en administrativ användare kan visa i Configuration Manager-konsolen samt de uppgifter relaterade till de här objekten som den administrativa användaren har behörighet att utföra. Konfigurationer för rollbaserad administration används per plats i en hierarki.

Informationen i följande procedurer kan hjälpa dig att skapa och konfigurera rollbaserad administration och relaterade säkerhetsinställningar.

  • Skapa anpassade säkerhetsroller

  • Konfigurera säkerhetsroller

  • Konfigurera säkerhetsomfattningar för ett objekt

  • Konfigurera samlingar för att hantera säkerhet

  • Skapa en ny administrativ användare

  • Ändra den administrativa användarens administrativa omfattning

System_CAPS_importantViktigt

Rollbaserad administration använder säkerhetsroller, säkerhetsomfattningar och samlingar. Tillsammans definierar de en administrativ omfattning för varje administrativ användare. Din egen administrativa omfattning definierar de objekt och inställningar som du kan tilldela när du konfigurerar rollbaserad administration för en annan administrativ användare. Information om planering för rollbaserad administration finns i stycket Planera för rollbaserad administration i avsnittet Planera säkerhet i Configuration Manager.

Skapa anpassade säkerhetsroller

Configuration Manager innehåller flera inbyggda säkerhetsroller. Om du kräver fler säkerhetsroller kan du skapa en anpassad säkerhetsroll genom att kopiera en befintlig säkerhetsroll och ändra kopian. Du kan skapa en anpassad säkerhetsroll för att ge administrativa användare de ytterligare säkerhetsbehörigheter de behöver som inte ingår i den säkerhetsroll de för närvarande tilldelats. Genom att använda en en anpassad säkerhetsroll kan du ge dem bara de behörigheter de behöver, och undvika att tilldela en säkerhetsroll som ger dem större behörighet än de behöver.

Använd följande procedur för att skapa en ny säkerhetsroll genom att använda en befintlig säkerhetsroll som mall.

Skapa anpassade säkerhetsroller

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar på Säkerhetsroller.

    Använd någon av följande processer för att skapa den nya säkerhetsrollen:

    - Gör så här för att skapa en ny anpassad säkerhetsroll:
    
      1.  Välj en befintlig säkerhetsroll som du vill använda som källa för den nya säkerhetsrollen.
    
      2.  På fliken **Hem** går du till gruppen **Säkerhetsroll** och klickar på **Kopiera**. Detta skapar en kopia av källsäkerhetsrollen.
    
      3.  I guiden Kopiera säkerhetsroll anger du ett **Namn** för den nya anpassade säkerhetsrollen.
    
      4.  I **Säkerhetsåtgärdstilldelningar** expanderar du alla **Säkerhetsåtgärd**-noder för att visa tillgängliga åtgärder.
    
      5.  Du ändrar inställningen för en säkerhetsåtgärd genom att klicka på pilen i kolumnen **Värde** och välja **Ja** eller **Nej**.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/Dn768230.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-caution(SC.12).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Aktsamhet</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>När du konfigurerar en anpassad säkerhetsroll ska du se till att inte bevilja behörigheter som inte krävs av administrativa användare som associeras med den nya säkerhetsrollen. T.ex. ger värdet <strong>Ändra</strong> för säkerhetsåtgärden <strong>Säkerhetsroller</strong> administrativa användare behörighet att redigera alla säkerhetsroller de kommer åt, även om de inte är associerade med den säkerhetsrollen.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
      6.  När du har konfigurerat behörigheterna klickar du på **OK** för att spara den nya säkerhetsrollen.
    
    - Gör så här för att importera en säkerhetsroll som exporterats från en annan System Center 2012 Configuration Manager-hierarki:
    
      1.  På fliken **Hem** går du till gruppen **Skapa** och klickar på **Importera säkerhetsroll**.
    
      2.  Ange den .xml-fil som innehåller den säkerhetsrollskonfiguration som du importera och klicka på **Öppna**. Proceduren slutförs och säkerhetsrollen sparas.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/JJ992580.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Obs!</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>När du har importerat en säkerhetsroll kan du redigera säkerhetsrollens egenskaper för att ändra de objektbehörigheter som associerats med säkerhetsrollen.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    

Konfigurera säkerhetsroller

De grupper av säkerhetsbehörigheter som definierats för en säkerhetsroll kallas säkerhetsåtgärdstilldelningar. Säkerhetsåtgärdstilldelningar representerar en kombination av objekttyper och åtgärder som är tillgängliga för varje objekttyp. Du kan ändra vilka säkerhetsåtgärder som är tillgängliga för alla anpassade säkerhetsroller, men du kan inte ändra de inbyggda säkerhetsroller som medföljer Configuration Manager.

Med följande procedur ändrar du säkerhetsåtgärderna för en säkerhetsroll.

Ändra säkerhetsroller

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar på Säkerhetsroller.

  3. Markera den anpassade säkerhetsroll som du vill ändra.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på fliken Behörigheter.

  6. I Säkerhetsåtgärdstilldelningar expanderar du alla Säkerhetsåtgärd-noder för att visa tillgängliga åtgärder.

  7. Du ändrar inställningen för en säkerhetsåtgärd genom att klicka på pilen i kolumnen Värde och välja Ja eller Nej.

    System_CAPS_cautionAktsamhet

    När du konfigurerar en anpassad säkerhetsroll ska du se till att inte bevilja behörigheter som inte krävs av administrativa användare som associeras med den nya säkerhetsrollen. T.ex. ger värdet Ändra för säkerhetsåtgärden Säkerhetsroller administrativa användare behörighet att redigera alla säkerhetsroller de kommer åt, även om de inte är associerade med den säkerhetsrollen.

  8. När du har konfigurerat säkerhetsåtgärdstilldelningarna klickar du på OK för att spara den nya säkerhetsrollen.

Konfigurera säkerhetsomfattningar för ett objekt

Du hanterar associationen mellan en säkerhetsomfattning och ett objekt från objektet, inte från säkerhetsomfattningen. De enda direkta konfigurationer som säkerhetsomfattningar stöder är ändringar i namnet och beskrivningen. För att du ska kunna ändra namnet och beskrivningen för en säkerhetsomfattning när du visar dess egenskaper måste du ha behörigheten Ändra för det skyddbara objektet Säkerhetsomfattningar.

När du skapar ett nytt objekt i Configuration Manager är det nya objektet associerat med alla säkerhetsomfattningar som är associerade med säkerhetsrollerna för det konto som används för att skapa objektet, om dessa säkerhetsroller ger behörigheten Skapa eller Ange säkerhetsomfattning. Du kan bara ändra de säkerhetsomfattningar som objektet är associerat med efter att objektet skapats.

Du kanske t.ex. har tilldelats en säkerhetsroll som ger dig behörighet att skapa en ny gränsgrupp. När du skapar den nya gränsgruppen finns det inget alternativ till vilket du kan tilldela specifika säkerhetsomfattningar. Istället tilldelas den nya gränsgruppen automatiskt de säkerhetsomfattningar som är tillgängliga från de säkerhetsroller som du är associerad med. När du har sparat den nya gränsgruppen kan du redigera de säkerhetsomfattningar som den är associerad med.

Använd följande procedur om du vill konfigurera de säkerhetsomfattningar som tilldelats till ett objekt.

Konfigurera säkerhetsomfattningar för ett objekt

  1. I Configuration Manager-konsolen väljer du ett objekt som stöder tilldelning till en säkerhetsomfattning.

  2. På fliken Hem går du till gruppen Klassificera och klickar på Ange säkerhetsomfattningar.

  3. I dialogrutan Ange säkerhetsomfattningar markerar och avmarkerar du de säkerhetsomfattningar som objektet är associerat med. Varje objekt som stöder säkerhetsomfattningar måste vara tilldelat till minst en säkerhetsomfattning.

  4. Klicka på OK, så sparas de tilldelade säkerhetsomfattningarna.

    System_CAPS_noteObs!

    När du skapar ett nytt objekt kan du tilldela det till flera säkerhetsomfattningar. För att kunna ändra det antal säkerhetsomfattningar som är associerade med objektet måste du ändra den här tilldelningen efter att objektet skapats.

Konfigurera samlingar för att hantera säkerhet

Det finns inga procedurer för att konfigurera samlingar för rollbaserad administration. Samlingar har ingen konfiguration för rollbaserad administration. Istället tilldelar du samlingar till en administrativ användare när du konfigurerar den administrativa användaren. De säkerhetsåtgärder för samlingar som aktiverats i användarens tilldelade säkerhetsroller avgör vilka behörigheter en administrativ användare har för samlingar och samlingsresurser (samlingsmedlemmar).

När en administrativ användare har behörighet till en samling, har användaren också behörighet till samlingar som är begränsade till denna samling. Anta t.ex. att din organisation använder en samling som heter Alla skrivbordsdatorer, och att det finns en samling som heter Alla europeiska skrivbordsdatorer som är begränsad till samlingen Alla skrivbordsdatorer. Om en administrativ användare har behörighet till Alla skrivbordsdatorer, har användaren också behörighet till samlingen Alla europeiska skrivbordsdatorer. Dessutom kan en administrativ användare inte använda behörigheten Ta bort eller Ändra på en samling som tilldelats användaren direkt, men däremot på samlingar som är begränsade till den samlingen. I föregående exempel kan den administrativa användaren ta bort och ändra samlingen Alla europeiska skrivbordsdatorer, men inte ta bort eller ändra samlingen Alla skrivbordsdatorer.

Skapa en ny administrativ användare

Om du vill ge medlemmar i en säkerhetsgrupp åtkomstbehörighet för att hantera Configuration Manager, skapar du en administrativ användare i Configuration Manager och anger Windows-kontot för användaren eller användargruppen. Varje administrativ användare i Configuration Manager måste tilldelas minst en säkerhetsroll och en säkerhetsomfattning. Du kan även tilldela samlingar, om du vill begränsa den administrativa omfattningen för en administrativ användare.

Använd följande procedurer för att skapa nya administrativa användare.

Skapa en ny administrativ användare

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Administrativa användare.

  3. På fliken Start går du till gruppen Skapa och klickar på Lägg till användare eller grupp.

  4. Klicka på Bläddra och välj sedan användarkontot eller gruppen för den nya administrativa användaren.

    System_CAPS_noteObs!

    För konsolbaserad administration kan endast domänanvändare eller säkerhetsgrupper anges som administrativa användare.

  5. Klicka på Lägg till vid alternativet Tillgängliga säkerhetsroller så öppnas en lista med tillgängliga säkerhetsroller. Markera kryssrutan vid en eller flera säkerhetsroller och klicka sedan på OK.

  6. Välj något av följande två alternativ för att definiera beteenden för skyddsbara objekt för den nya användaren:

    - **Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller**: Med det här alternativet associeras den administrativa användaren med säkerhetsomfattningen **Alla** och rotnivåns inbyggda samlingar för **Alla system** och **Alla användare och användargrupper**. De säkerhetsroller som användaren tilldelas avgör åtkomsten till objekt. Nya objekt som den administrativa användaren skapar tilldelas säkerhetsomfattningen **Standard**.
    
    - **Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar**: Med det här alternativet associeras den administrativa användaren med säkerhetsomfattningen **Standard** och samlingarna **Alla system** och **Alla användare och användargrupper**. Säkerhetsomfattningarna och samlingarna begränsas dock till dem som ingår i det konto som används när den nya administrativa användaren skapas. Alternativet kan användas för att anpassa den administrativa användarens administrativa omfattning genom att lägga till och ta bort säkerhetsomfattningar och samlingar.
    
    System_CAPS_importantViktigt

    Med ovanstående alternativ associeras varje tilldelad säkerhetsomfattning och samling till varje säkerhetsroll som kopplas till den administrativa användaren. Ett tredje alternativ, Endast skyddsbara objekt som definieras av den administrativa användarens säkerhetsroller, kan användas för att associera enskilda säkerhetsroller till specifika omfattningar och samlingar. Det tredje alternativet blir tillgängligt efter att du har skapat den nya administrativa användaren, när du ändrar användaren.

  7. Utför följande, beroende på vad du har valt i steg 6:

    - Om du markerade **Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller** klickar du på **OK** för att slutföra proceduren.
    
    - Om du har valt **Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar** kan du klicka på **Lägg till** för att välja fler samlingar och säkerhetsomfattningar, eller för att välja ett eller flera objekt i listan, och sedan ta bort dem genom att klicka på **Ta bort**. Klicka på **OK** för att slutföra steget.
    

Ändra den administrativa användarens administrativa omfattning

Du kan ändra den administrativa användarens administrativa omfattning genom att lägga till eller ta bort säkerhetsroller, säkerhetsomfattningar och samlingar som är associerade med användaren. Varje administrativ användare måste vara associerad med minst en säkerhetsroll och en säkerhetsomfattning. Du kanske måste tilldela en eller flera samlingar till användarens administrativa omfattning. De flesta säkerhetsroller samverkar med samlingar och fungerar inte som de ska utan en tilldelad samling.

Om du ändrar en administrativ användare kan du ändra hur skyddsbara objekt ska associeras med de tilldelade säkerhetsrollerna. Du kan välja följande tre beteenden:

  • Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller: Med det här alternativet associeras den administrativa användaren med säkerhetsomfattningen Alla och rotnivåns inbyggda samlingar för Alla system och Alla användare och användargrupper. De säkerhetsroller som användaren tilldelas avgör användarens åtkomst till objekt.

  • Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar: Med det här alternativet associeras den administrativa användaren till samma säkerhetsomfattningar och samlingar som ingår i det konto som används för konfigurering av den administrativa användaren. Alternativet kan användas för att anpassa användarens administrativa omfattning genom att lägga till och ta bort säkerhetsroller och samlingar.

  • Endast skyddsbara objekt som definieras av den administrativa användarens säkerhetsroller: Med det här alternativet kan du skapa specifika associationer mellan enskilda säkerhetsroller och specifika säkerhetsomfattningar och samlingar för användaren.

    System_CAPS_noteObs!

    Alternativet är endast tillgängligt när du ändrar egenskaper för en befintlig administrativ användare.

Den aktuella konfigurationen för beteenden för skyddsbara objekt, avgör vilken process som används för att tilldela fler säkerhetsroller. Använd följande procedurer, som baseras på olika alternativ för skyddsbara objekt, för att hantera en administrativ användare.

Använd följande procedur för att visa och hantera konfigurationen för skyddsbara objekt för en administrativ användare:

Visa och hantera beteenden för skyddsbara objekt för en administrativ användare

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Administrativa användare.

  3. Välj den administrativa användare som du vill ändra.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på fliken Säkerhetsomfattningar för att visa den administrativa användarens aktuella konfiguration för skyddsbara objekt.

  6. Om du vill ändra ett beteende väljer du ett nytt alternativ för skyddsbara objekt. När du har ändrat konfigurationen fortsätter du med en lämplig procedur för ytterligare konfigurering av säkerhetsomfattningar, samlingar och säkerhetsroller för den administrativa användaren.

  7. Slutför proceduren genom att klicka på OK.

Använd följande procedur för att ändra beteende för en administrativ användare som har den aktuella inställningen Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller:

Alternativ: Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Administrativa användare.

  3. Välj den administrativa användare som du vill ändra.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på fliken Säkerhetsomfattningar för att bekräfta att den administrativa användaren är konfigurerad med alternativet Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller.

  6. Om du vill ändra tilldelade säkerhetsroller klickar du på fliken Säkerhetsroller.

    - Om du vill tilldela den administrativa användaren fler säkerhetsroller klickar du på **Lägg till** och markerar kryssrutan vid varje säkerhetsroll som ska tilldelas. Klicka sedan på **OK**.
    
    - Om du vill ta bort säkerhetsroller väljer du en eller flera roller i listan och klickar sedan på **Ta bort**.
    
  7. Om du vill ändra ett beteende för skyddsbara objekt klickar du på fliken Säkerhetsomfattningar och väljer ett nytt beteendealternativ. När du har ändrat konfigurationen fortsätter du med en lämplig procedur för ytterligare konfigurering av säkerhetsomfattningar, samlingar och säkerhetsroller för den administrativa användaren.

    System_CAPS_noteObs!

    Om beteendet Alla skyddsbara objekt som är relevanta för associerade säkerhetsroller är aktiverat, går det inte att lägga till eller ta bort specifika säkerhetsomfattningar och samlingar.

  8. Klicka på OK för att slutföra steget.

Använd följande procedur för att ändra beteende för en administrativ användare som har den aktuella inställningen Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar:

Alternativ: Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Administrativa användare.

  3. Välj den administrativa användare som du vill ändra.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på fliken Säkerhetsomfattningar för att bekräfta att den administrativa användaren är konfigurerad för alternativet Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar.

  6. Om du vill ändra tilldelade säkerhetsroller klickar du på fliken Säkerhetsroller.

    - Om du vill tilldela användaren fler säkerhetsroller klickar du på **Lägg till** och markerar kryssrutan vid varje säkerhetsroll som ska tilldelas. Klicka sedan på **OK**.
    
    - Om du vill ta bort säkerhetsroller väljer du en eller flera roller i listan och klickar sedan på **Ta bort**.
    
  7. Om du vill ändra säkerhetsomfattningar och samlingar som är associerade med säkerhetsroller, klickar du på fliken Säkerhetsomfattningar.

    - Om du vill associera nya säkerhetsomfattningar eller samlingar med alla säkerhetsroller som är kopplade till den administrativa användaren, klickar du på **Lägg till** och väljer något av de fyra alternativen. Om du väljer **Säkerhetsomfattning** eller **Samling** markerar du kryssrutan för ett eller flera objekt och klickar sedan på **OK**.
    
    - Du tar bort en säkerhetsomfattning eller samling genom att markera objektet och sedan klicka på **Ta bort**.
    
  8. Klicka på OK för att slutföra steget.

Använd följande procedur för att ändra beteende för en administrativ användare som har den aktuella inställningen Endast skyddsbara objekt som definieras av den administrativa användarens säkerhetsroller:

Alternativ: Endast skyddsbara objekt som definieras av den administrativa användarens säkerhetsroller

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Administrativa användare.

  3. Välj den administrativa användare som du vill ändra.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på fliken Säkerhetsomfattningar för att bekräfta att användaren är konfigurerad med alternativet Endast skyddsbara objekt i angivna säkerhetsomfattningar eller samlingar.

  6. Om du vill ändra tilldelade säkerhetsroller klickar du på fliken Säkerhetsroller.

    - Klicka på **Lägg till** om du vill lägga till fler säkerhetsroller för användaren. I dialogrutan **Lägg till säkerhetsroll** markerar du en eller flera tillgängliga säkerhetsroller, klickar på **Lägg till** och väljer sedan en objekttyp som ska associeras med de nyligen markerade säkerhetsrollerna. Om du väljer **Säkerhetsomfattning** eller **Samling** markerar du kryssrutan för ett eller flera objekt och klickar sedan på **OK**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/JJ992580.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Obs!</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Du måste konfigurera minst en säkerhetsomfattning innan de valda säkerhetsrollerna kan tilldelas den administrativa användaren. Den säkerhetsomfattning och samling som du konfigurerar associeras med var och en av de valda säkerhetsrollerna, om du väljer flera säkerhetsroller.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - Om du vill ta bort säkerhetsroller väljer du en eller flera roller i listan och klickar sedan på **Ta bort**.
    
  7. Om du vill ändra säkerhetsomfattningar och samlingar som är associerade med en viss säkerhetsroll, klickar du på fliken Säkerhetsomfattningar, markerar säkerhetsrollen och klickar sedan på Redigera.

    - Du associerar nya objekt med säkerhetsrollen genom att klicka på **Lägg till** och sedan markera en objekttyp som ska associeras med de valda säkerhetsrollerna. Om du väljer **Säkerhetsomfattning** eller **Samling** markerar du kryssrutan för ett eller flera objekt och klickar sedan på **OK**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/JJ992580.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Obs!</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Du måste konfigurera minst en säkerhetsomfattning.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - Vill du ta bort en säkerhetsomfattning eller samling som är associerad med säkerhetsrollen, markerar du objektet och klickar sedan på **Ta bort**.
    
    - När du är klar med att ändra de associerade objekten klickar du på **OK**.
    
  8. Klicka på OK för att slutföra steget.

    System_CAPS_cautionAktsamhet

    Om en säkerhetsroll ger administrativa användare behörighet att distribuera samlingar, kan de administrativa användarna distribuera objekt från alla säkerhetsomfattningar där de har läsbehörighet för objekt, även om en sådan säkerhetsomfattning är associerad med en annan säkerhetsroll.

Hantera konton som används av Configuration Manager

Configuration Manager stöder användning av Windows-konton för många olika uppgifter och områden.

Använd följande procedur för att visa vilka konton som är konfigurerade för olika uppgifter och för att hantera det lösenord som Configuration Manager använder för varje konto.

Hantera konton som används av Configuration Manager

  1. Klicka på Administration i Configuration Manager-konsolen.

  2. I arbetsytan Administration expanderar du Säkerhet och klickar sedan på Konton för att visa de konton som har konfigurerats för Configuration Manager.

  3. Om du vill ändra lösenordet för ett konto som har konfigurerats för Configuration Manager, väljer du kontot.

  4. På fliken Start går du till gruppen Egenskaper och klickar på Egenskaper.

  5. Klicka på Ange för att öppna dialogrutan Windows-användarkonto och ange det nya lösenordet för användning av kontot i Configuration Manager.

    System_CAPS_noteObs!

    Det angivna lösenordet måste vara samma lösenord som har angetts för kontot i Active Directory-användare och datorer.

  6. Slutför proceduren genom att klicka på OK.