設定Configuration Manager的角色型系統管理
適用於:Configuration Manager (目前的分支)
在Configuration Manager中,以角色為基礎的系統管理會結合安全性角色、安全性範圍和指派的集合,以定義每個系統管理使用者的系統管理範圍。 系統管理範圍包含系統管理使用者可以在Configuration Manager主控台中檢視的物件,以及與有權執行之物件相關的工作。
如果您還不熟悉這些概念,請參閱 角色型系統管理的基本概念。
使用本文中的資訊來建立和設定以角色為基礎的系統管理和相關安全性設定。
注意事項
本文中的程式假設您的系統管理使用者是具有必要許可權的安全性角色。 例如, 系統高版權管理員 或 安全性系統管理員 角色。
建立自訂安全性角色
Configuration Manager提供數個內建安全性角色。 您無法變更內建角色的許可權。 如果您需要其他角色,請建立自訂角色。 您可以建立自訂角色,以授與系統管理使用者所需的其他許可權,而這些許可權不包含在內建角色中。 藉由使用自訂安全性角色,您可以為其指派最少的必要許可權。 自訂角色可協助您避免指派授與比所需更多許可權的安全性角色。
如何建立自訂安全性角色
在 Configuration Manager 主控台中,移至 [系統管理] 工作區。 展開 [安全性],然後選取 [ 安全性角色 ] 節點。 然後使用下列其中一個程式來建立新的安全性角色:
複製內建角色來建立新的自訂安全性角色
選取要作為新角色來源的現有安全性角色。
在功能區的 [ 常用] 索引標籤上,選取 [ 安全性角色 ] 群組中的 [ 複製]。 此動作會建立來源安全性角色的複本。
在 [複製安全性角色精靈] 中,指定新自訂安全性角色的 [名稱 ]。 最大長度為 256 個字元。
選擇性但建議使用,請指定 描述 以摘要說明此自訂安全性角色的用途。 最大長度為 512 個字元。
在 [ 許可權] 下,展開每個物件類型以顯示可用的許可權。
若要變更許可權,請選取下拉式清單,然後選擇 [ 是 ] 或 [ 否]。
注意
當您設定自訂安全性角色時,請只授與指派給此角色的使用者所需的許可權。 例如,[安全性角色] 物件的[修改] 許可權可讓指派的使用者編輯任何可存取的安全性角色,即使未指派給該安全性角色也一樣。
設定許可權之後,請選取 [ 確定] 以儲存新的安全性角色。
匯入從另一個Configuration Manager階層匯出的安全性角色
重要事項
只從信任的來源匯入自訂安全性角色組態檔。 當您匯出自訂安全性角色時,請將它儲存在安全的位置。 XML 檔案不會以數位方式簽署。
在功能區的 [ 常用] 索引標籤上,選擇 [ 建立] 群組中的 [ 匯入安全性角色]。
指定包含匯出之安全性角色組態的 XML 檔案。 選取 [開啟 ] 以完成程式並建立安全性角色。
匯入自訂安全性角色之後,請開啟其 [屬性]。 檢視許可權,確認這些許可權包含此角色所需的最少許可權。 變更此環境中不需要的任何許可權。
注意事項
您無法匯出內建安全性角色。
設定安全性角色
您可以修改自訂安全性角色的許可權,但無法修改內建安全性角色。
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [安全性],然後選取 [安全性角色] 節點。
選取您想要修改或檢視的自訂安全性角色。
在功能區的 [ 常用] 索引標籤上,選取 [ 屬性 ] 群組中的 [ 屬性]。
在 [屬性] 視窗的 [ 一般 ] 索引標籤上,視需要變更 [名稱 ] 或 [描述 ]。
在 [ 系統管理使用者] 索引標籤上,檢視與此角色相關聯的使用者。 若要變更指派,請移至系統管理使用者的屬性。
在 [ 許可權] 索引標籤上 ,展開每個物件類型以顯示可用的許可權。
若要變更許可權,請選取下拉式清單,然後選擇 [ 是 ] 或 [ 否]。
注意
當您設定自訂安全性角色時,請只授與指派給此角色的使用者所需的許可權。 例如,[安全性角色] 物件的[修改] 許可權可讓指派的使用者編輯任何可存取的安全性角色,即使未指派給該安全性角色也一樣。
當您完成時,請選取 [確定] 以儲存自訂安全性角色。
設定物件的安全性範圍
從安全性實體物件管理安全性範圍,而不是從安全性範圍管理安全性範圍。 您可以在自訂安全性範圍上變更的唯一屬性是名稱和描述。 您無法修改這兩個內建範圍。 若要變更自訂範圍的名稱和描述,您需要[安全性範圍] 物件的[修改] 許可權。
當您在 Configuration Manager 中建立新物件時,它會與每個與用來建立物件之帳戶安全性角色相關聯的安全性範圍相關聯。 當這些安全性角色提供 [建立 ] 許可權或 [ 設定安全性範圍 ] 許可權時,就會發生此行為。 建立物件之後,您可以變更安全性範圍,並將它指派給多個範圍。
例如,您獲指派安全性角色,可授與您建立新界限群組的許可權。 該角色與 系統管理員安全性 範圍相關聯。 當您建立新的界限群組時,您沒有指派特定安全性範圍的選項。 系統管理員安全性範圍會自動指派給新的界限群組。 儲存新的界限群組之後,您可以編輯界限群組的安全性範圍。
如需如何為使用者新增範圍的詳細資訊,請參閱 修改系統管理使用者的系統管理範圍。
如何建立自訂安全性範圍
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [安全性],然後選取 [安全性範圍] 節點。
在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立安全性範圍]。
在 [建立安全性範圍] 視窗中,指定 安全性範圍名稱。 最大長度為 256 個字元。
選擇性但建議使用,請指定 描述 以摘要說明此自訂安全性範圍的用途。 最大長度為 512 個字元。
選取或移除系統管理使用者指派。 您可以在建立安全性範圍之後變更這些專案。
若要儲存自訂安全性範圍,請選取 [ 確定]。
如何設定物件的安全性範圍
在 Configuration Manager 主控台中,選取支援指派給安全性範圍的物件。 如需支援的物件清單,請參閱 角色型系統管理的基本概念 - 安全性範圍。
在功能區的 [ 常用] 索引標籤上,選取 [ 分類 ] 群組中的 [ 設定安全性範圍]。
針對資料夾,移至功能 區的 [資料夾 ] 索引標籤。 在 [ 動作] 群組中,選 取 [設定安全性範圍]。
注意事項
如果該專案與建立物件的人員共用安全性範圍,則可在使用者安全性範圍以外的資料夾中搜尋專案。
在 [ 設定安全性範圍] 視窗中 ,選取或清除此物件的安全性範圍。 至少選取一個安全性範圍。
選取 [確定 ] 以儲存指派的安全性範圍。
設定集合以管理安全性
沒有程式可設定以角色為基礎的系統管理集合。 集合沒有以角色為基礎的系統管理設定。 相反地,您會將集合指派給系統管理使用者。 若要判斷系統管理使用者可以對集合及其成員執行的動作,請檢視安全性角色上 Collection 物件類型的許可權。
當系統管理使用者擁有集合的許可權時,他們也會擁有受限於該集合的集合許可權。 例如,您的組織會使用名為 All Desktops 的集合。 另外還有一個名為All 北美洲 Desktops的集合,僅限於All Desktops集合。 如果系統管理使用者具有[所有桌面] 的許可權,他們就擁有 All北美洲 Desktops集合的相同許可權。
系統管理使用者無法在直接指派給他們的集合上使用 [刪除 ] 或 [ 修改 ] 許可權。 他們可以在受限於該集合的集合上使用這些許可權。 在上述範例中,系統管理使用者可以刪除或修改All 北美洲 Desktops集合,但無法刪除或修改All Desktops集合。
建立新的系統管理使用者
若要授與個人或安全性群組成員管理Configuration Manager的存取權,請建立系統管理使用者。 指定使用者或使用者群組的 Windows 帳戶。 將每個系統管理使用者指派給至少一個安全性角色和一個安全性範圍。 您也可以指派集合來限制使用者或群組的系統管理範圍。
如何建立新的系統管理使用者
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [安全性],然後選取 [系統管理使用者] 節點。
在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 新增使用者] 或 [群組]。
選取[流覽],然後選取要用於Configuration Manager中這個新系統管理使用者的使用者帳戶或群組。
注意事項
針對主控台式系統管理,您只能將網域使用者或網域安全性群組指定為系統管理使用者。
針對 [相關聯的安全性角色],選取 [ 新增 ] 以開啟可用的安全性角色清單。 選取一或多個安全性角色,然後選取 [ 確定]。
選擇下列其中一個選項來定義新使用者的安全物件行為:
與指派的安全性角色相關的物件所有實例:此選項具有下列行為:
- 安全性範圍: 全部
- 集合: 所有系統 和 所有使用者和使用者群組
- 您指派給使用者的安全性角色會定義其對物件的存取權。
- 此使用者建立的新物件會指派給 預設 安全性範圍。
只有指派給指定安全性範圍和集合的物件實例:此選項具有下列行為:
- 安全性範圍: 預設值
- 集合: 所有系統 和 所有使用者和使用者群組
- 這些預設值可能不同,因為實際的安全性範圍和集合僅限於與您用來建立系統管理使用者之帳戶相關聯的集合。
- 新增 或 移除 安全性範圍和集合,以自訂此使用者的系統管理範圍。
重要事項
建立使用者之後,請檢視其屬性以選取第三個選項: 將指派的安全性角色與特定安全性範圍和集合建立關聯。 如需詳細資訊,請 參閱修改系統管理使用者的系統管理範圍。
選取 [確定 ] 以關閉視窗並建立系統管理使用者。
修改系統管理使用者的系統管理範圍
您可以新增或移除與使用者相關聯的安全性角色、安全性範圍和集合,以修改系統管理使用者的系統管理範圍。 每個系統管理使用者必須至少與一個安全性角色和一個安全性範圍相關聯。 您可能必須將一或多個集合指派給使用者的系統管理範圍。 大部分的安全性角色都會與集合互動,如果沒有指派的集合,則無法正常運作。
當您修改系統管理使用者時,可以變更安全性實體物件與指派安全性角色相關聯的行為。 您可以選取的三種行為如下:
與指派安全性角色相關之物件的所有實例:此選項會將系統管理使用者與 [所有 ] 範圍以及 [ 所有系統 ] 和 [ 所有使用者和使用者群組 ] 集合產生關聯。 指派給使用者的安全性角色會定義物件的存取權。
只有指派給指定安全性範圍和集合的物件實例:此選項會將系統管理使用者關聯至與您用來設定系統管理使用者之帳戶相關聯的相同安全性範圍和集合。 此選項支援新增或移除安全性角色和集合,以自訂系統管理使用者的系統管理範圍。
將指派的安全性角色與特定安全性範圍和集合建立關聯:此選項可讓您在個別安全性角色與使用者的特定安全性範圍和集合之間建立特定關聯。
注意事項
只有當您修改系統管理使用者的屬性時,才能使用此選項。
安全物件行為的目前組態會變更您用來指派其他安全性角色的程式。 請根據安全性實體物件的不同選項,使用下列程式來協助您管理系統管理使用者。
使用下列程式來檢視和管理系統管理使用者的安全性實體物件組態。
檢視和管理系統管理使用者的安全物件行為
- 在Configuration Manager主控台中,選擇 [系統管理]。
- 在 [ 系統管理] 工作區中,展開 [ 安全性],然後選擇 [ 系統管理使用者]。
- 選取您要修改的系統管理使用者。
- 在 [ 首頁] 索引標籤的 [ 屬性] 群組中,選擇 [ 屬性]。
- 選擇 [ 安全性範圍] 索引卷 標,以檢視此系統管理使用者之安全性實體物件的目前設定。
- 若要修改安全物件行為,請選取安全物件行為的新選項。 變更此設定之後,請參閱適當的程式,以取得為這個系統管理使用者設定安全性範圍和集合,以及安全性角色的進一步指引。
- 選擇 [確定 ] 以完成程式。
使用下列程式修改安全物件行為設定為與 指派安全性角色相關的物件之所有實例的系統管理使用者。
針對選項:與指派的安全性角色相關的物件所有實例
在Configuration Manager主控台中,選擇 [系統管理]。
在 [ 系統管理] 工作區中,展開 [ 安全性],然後選擇 [ 系統管理使用者]。
選取您要修改的系統管理使用者。
在 [ 首頁] 索引標籤的 [ 屬性] 群組中,選擇 [ 屬性]。
選擇 [ 安全性範圍] 索引卷 標,以確認系統管理使用者已針對 與指派安全性角色相關的所有物件實例進行設定。
若要修改指派的安全性角色,請選擇 [ 安全性角色] 索引卷 標。
- 若要將其他安全性角色指派給這個系統管理使用者,請選擇 [ 新增],核取您要指派之每個額外安全性角色的方塊,然後選擇 [ 確定]。
- 若要移除安全性角色,請從清單中選取一或多個安全性角色,然後選擇 [ 移除]。
若要修改安全物件行為,請選擇 [ 安全性範圍] 索引卷 標,然後選擇安全物件行為的新選項。 變更此設定之後,請參閱適當的程式,以取得為這個系統管理使用者設定安全性範圍和集合,以及安全性角色的進一步指引。
注意事項
當安全性實體物件行為設定為與 指派安全性角色相關的所有物件實例時,您無法新增或移除特定的安全性範圍和集合。
選擇 [確定 ] 以完成此程式。
使用下列程式修改安全物件行為設定為 [僅限指派給指定安全性範圍和集合的物件實例] 的系統管理使用者。
針對 選項:僅指派給指定安全性範圍和集合的物件實例
在Configuration Manager主控台中,選擇 [系統管理]。
在 [ 系統管理] 工作區中,展開 [ 安全性],然後選擇 [ 系統管理使用者]。
選取您要修改的系統管理使用者。
在 [ 首頁] 索引標籤的 [ 屬性] 群組中,選擇 [ 屬性]。
選擇 [ 安全性範圍] 索引卷 標,確認使用者已設定為 [僅限指派給指定安全性範圍和集合的物件實例]。
若要修改指派的安全性角色,請選擇 [ 安全性角色] 索引卷 標。
- 若要將其他安全性角色指派給此使用者,請選擇 [ 新增],核取您要指派之每個額外安全性角色的方塊,然後選擇 [ 確定]。
- 若要移除安全性角色,請從清單中選取一或多個安全性角色,然後選擇 [ 移除]。
若要修改與安全性角色相關聯的安全性範圍和集合,請選擇 [ 安全性範圍] 索引卷 標。
- 若要將新的安全性範圍或集合與指派給此系統管理使用者的所有安全性角色建立關聯,請選擇 [ 新增 ],然後選取四個選項的其中一個。 如果您選取 [安全性範圍 ] 或 [ 集合],請核取一或多個物件的方塊以完成該選取範圍,然後選擇 [ 確定]。
- 若要移除安全性範圍或集合,請選擇 物件,然後選擇 [ 移除]。
選擇 [確定 ] 以完成此程式。
使用下列程式修改安全物件行為設定為 [將 指派的安全性角色與特定安全性範圍和集合建立關聯] 的系統管理使用者。
針對選項:將指派的安全性角色與特定安全性範圍和集合建立關聯
在Configuration Manager主控台中,選擇 [系統管理]。
在 [ 系統管理] 工作區中,展開 [ 安全性],然後選擇 [ 系統管理使用者]。
選取您要修改的系統管理使用者。
在 [ 首頁] 索引標籤的 [ 屬性] 群組中,選擇 [ 屬性]。
選擇 [ 安全性範圍] 索引卷 標,確認系統管理使用者已設定為將 指派的安全性角色與特定安全性範圍和集合建立關聯。
若要修改指派的安全性角色,請選擇 [ 安全性角色] 索引卷 標。
若要將其他安全性角色指派給這個系統管理使用者,請選擇 [ 新增]。 在 [ 新增安全性角色 ] 對話方塊中,選取一或多個可用的安全性角色,選擇 [ 新增],然後選取要與所選安全性角色相關聯的物件類型。 如果您選取 [安全性範圍 ] 或 [ 集合],請核取一或多個物件的方塊以完成該選取範圍,然後選擇 [ 確定]。
注意事項
您必須至少設定一個安全性範圍,才能將選取的安全性角色指派給系統管理使用者。 當您選取多個安全性角色時,您設定的每個安全性範圍和集合都會與每個選取的安全性角色相關聯。
若要移除安全性角色,請從清單中選取一或多個安全性角色,然後選擇 [ 移除]。
若要修改與特定安全性角色相關聯的安全性範圍和集合,請選擇 [ 安全性範圍] 索引 標籤,選取安全性角色,然後選擇 [ 編輯]。
若要建立新物件與此安全性角色的關聯,請選擇 [ 新增],然後選取要與所選安全性角色建立關聯的物件類型。 如果您選取 [安全性範圍 ] 或 [ 集合],請核取一或多個物件的方塊以完成該選取範圍,然後選擇 [ 確定]。
注意事項
您必須設定至少一個安全性範圍。
若要移除與此安全性角色相關聯的安全性範圍或集合,請選取 物件,然後選擇 [ 移除]。
當您完成修改相關聯的物件時,請選擇 [ 確定]。
選擇 [確定 ] 以完成此程式。
注意
當安全性角色授與系統管理使用者集合部署許可權時,這些系統管理使用者可以從他們擁有物件 讀 取許可權的任何安全性範圍散發物件,即使該安全性範圍與不同的安全性角色相關聯也一樣。
使用 Windows PowerShell 自動化
您可以使用下列 PowerShell Cmdlet 將其中一些工作自動化:
管理系統管理使用者:
- Get-CMAdministrativeUser:取得系統管理使用者物件。
- New-CMAdministrativeUser:建立新的系統管理使用者。
- New-CMAdministrativeUserPermission: {{ 填寫 Synopsis }}
- Remove-CMAdministrativeUser:移除系統管理使用者。
管理使用者的角色和範圍:
- Add-CMSecurityRoleToAdministrativeUser:將安全性角色新增至使用者或群組。
- Remove-CMSecurityRoleFromAdministrativeUser:移除安全性角色與系統管理使用者之間的關聯。
- Add-CMSecurityScopeToAdministrativeUser:將安全性範圍新增至使用者或群組。
- Remove-CMSecurityScopeFromAdministrativeUser:移除安全性範圍與系統管理使用者之間的關聯。
管理安全性角色:
- Copy-CMSecurityRole:建立自訂安全性角色。
- Export-CMSecurityRole:將安全性角色匯出至 XML 檔案。
- Get-CMSecurityRole:取得安全性角色。
- Import-CMSecurityRole:從 XML 檔案匯入安全性角色。
- Remove-CMSecurityRole:移除自訂安全性角色。
- Set-CMSecurityRole:變更安全性角色的組態設定。
管理安全性角色的許可權:
- Get-CMSecurityRolePermission:取得安全性角色的許可權。
- Set-CMSecurityRolePermission:設定具有特定許可權的安全性角色。
管理安全性範圍:
- Get-CMSecurityScope:取得安全性範圍。
- New-CMSecurityScope:建立安全性範圍。
- Remove-CMSecurityScope:移除安全性範圍。
- Set-CMSecurityScope:設定安全性範圍。
管理物件安全性範圍:
- Add-CMObjectSecurityScope:將安全性範圍新增至物件。
- Get-CMObjectSecurityScope:取得Configuration Manager物件的安全性範圍。
- Remove-CMObjectSecurityScope:從Configuration Manager物件移除安全性範圍。