为Configuration Manager配置基于角色的管理

适用于: Configuration Manager(current branch)

在Configuration Manager中，基于角色的管理结合了安全角色、安全作用域和分配的集合，以定义每个管理用户的管理范围。 管理范围包括管理用户可以在 Configuration Manager 控制台中查看的对象，以及与他们有权执行的对象相关的任务。

如果还不熟悉这些概念，请参阅 基于角色的管理基础知识。

使用本文中的信息创建和配置基于角色的管理和相关安全设置。

注意

本文中的过程假定管理用户具有所需权限的安全角色。 例如， “完全管理员” 或 “安全管理员 ”角色。

提示

使用 基于角色的管理和审核工具 来帮助执行以下操作：

• 要创建的新角色的模型权限。
• 审核所有现有的管理用户、集合和安全作用域。
• 审核特定用户

创建自定义安全角色

Configuration Manager提供了多个内置安全角色。 无法更改内置角色的权限。 如果需要其他角色，请创建自定义角色。 可以创建自定义角色，以授予管理用户所需的其他权限，并且未包含在内置角色中。 通过使用自定义安全角色，可以为其分配最不需要的权限。 自定义角色可帮助你避免分配授予的权限超过所需权限的安全角色。

如何创建自定义安全角色

在Configuration Manager控制台中，转到“管理”工作区。 展开 “安全性”，然后选择“ 安全角色” 节点。 然后，使用以下过程之一创建新的安全角色：

通过复制内置角色创建新的自定义安全角色

1. 选择要用作新角色源的现有安全角色。

2. 在功能区的“ 主页 ”选项卡上的“ 安全角色” 组中，选择“ 复制”。 此操作会创建源安全角色的副本。

3. 在“复制安全角色”向导中，为新的自定义安全角色指定 名称 。 长度不得超过 256 个字符。

4. 可选，但建议指定 “说明 ”来总结此自定义安全角色的用途。 最大长度为 512 个字符。

5. 在 “权限”下，展开每个对象类型以显示可用权限。

6. 若要更改权限，请选择下拉列表，然后选择 “是 ”或“ 否”。

   警告

   配置自定义安全角色时，仅授予分配给此角色的用户所需的权限。 例如，“安全角色”对象的“修改”权限允许分配的用户编辑任何可访问的安全角色，即使他们未分配给该安全角色也是如此。

7. 配置权限后，选择“ 确定 ”以保存新的安全角色。

导入从另一个Configuration Manager层次结构导出的安全角色

重要

仅从受信任的源导入自定义安全角色配置文件。 导出自定义安全角色时，请将其保存在安全位置。 XML 文件未进行数字签名。

1. 在功能区的“ 主页 ”选项卡上的“ 创建 ”组中，选择“ 导入安全角色”。

2. 指定包含导出的安全角色配置的 XML 文件。 选择“ 打开 ”完成该过程并创建安全角色。

3. 导入自定义安全角色后，打开其“属性”。 查看权限以确认它们包括此角色所需的最低权限。 更改此环境中不需要的任何权限。

注意

无法导出内置安全角色。

配置安全角色

可以修改自定义安全角色的权限，但不能修改内置安全角色。

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“安全性”，然后选择“安全角色”节点。

2. 选择要修改或查看的自定义安全角色。

3. 在功能区的“ 开始 ”选项卡上的 “属性” 组中，选择“ 属性”。

4. 在属性窗口的“ 常规 ”选项卡上，根据需要更改 “名称” 或“ 说明 ”。

5. 在“ 管理用户 ”选项卡上，查看与此角色关联的用户。 若要更改分配，请转到管理用户的属性。

6. 在“ 权限 ”选项卡上，展开每个对象类型以显示可用权限。

7. 若要更改权限，请选择下拉列表，然后选择 “是” 或“ 否”。

   警告

   配置自定义安全角色时，仅授予分配给此角色的用户所需的权限。 例如，“安全角色”对象的“修改”权限允许分配的用户编辑任何可访问的安全角色，即使他们未分配给该安全角色也是如此。

8. 完成后，选择“ 确定” 以保存自定义安全角色。

为对象配置安全作用域

从安全对象（而不是安全范围）管理安全作用域。 可以在自定义安全作用域上更改的唯一属性是名称和说明。 无法修改两个内置范围。 若要更改自定义范围的名称和说明，需要“安全作用域”对象的“修改”权限。

在 Configuration Manager 中创建新对象时，该对象与与用于创建对象的帐户的安全角色关联的每个安全范围相关联。 当这些安全角色提供 “创建 ”权限或 “设置安全范围 ”权限时，会发生此行为。 创建对象后，可以更改安全作用域并将其分配给多个范围。

例如，你分配了一个安全角色，该角色授予你创建新边界组的权限。 该角色与 管理员 安全作用域相关联。 创建新的边界组时，没有分配特定安全作用域的选项。 管理员安全范围会自动分配给新的边界组。 保存新的边界组后，可以编辑边界组的安全作用域。

有关如何为用户添加范围的详细信息，请参阅 修改管理用户的管理范围。

如何创建自定义安全范围

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“安全性”，然后选择“安全作用域”节点。

2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中，选择“ 创建安全作用域”。

3. 在“创建安全作用域”窗口中，指定 安全作用域名称。 长度不得超过 256 个字符。

4. 可选，但建议指定 “说明 ”来总结此自定义安全范围的用途。 最大长度为 512 个字符。

5. 选择或删除管理用户分配。 创建安全作用域后，可以更改这些范围。

6. 若要保存自定义安全范围，请选择“ 确定”。

如何为对象配置安全作用域

1. 在Configuration Manager控制台中，选择支持分配给安全作用域的对象。 有关支持的对象列表，请参阅 基于角色的管理基础知识 - 安全范围。

2. 在功能区的“ 主页 ”选项卡上的“ 分类 ”组中，选择“ 设置安全作用域”。

   对于文件夹，请转到功能区的“ 文件夹 ”选项卡。 在 “操作” 组中，选择“ 设置安全作用域”。

   注意

   如果某个用户与创建对象的人员共享安全范围，则项目可在用户安全范围之外的文件夹中搜索。

3. 在 “设置安全作用域 ”窗口中，选择或清除此对象的安全作用域。 选择至少一个安全范围。

4. 选择“ 确定” 以保存分配的安全作用域。

配置集合以管理安全性

没有为基于角色的管理配置集合的过程。 集合没有基于角色的管理配置。 而是将集合分配给管理用户。 若要确定管理用户可以对集合及其成员执行的操作，请查看安全角色上 集合 对象类型的权限。

当管理用户具有对集合的权限时，他们还有权访问仅限于该集合的集合。 例如，你的组织使用名为 “所有桌面”的集合。 还有一个名为“所有北美桌面”的集合，该集合仅限于“所有桌面”集合。 如果管理用户具有对所有桌面的权限，则他们对“所有北美桌面”集合具有相同的权限。

管理用户不能对直接分配给他们的集合使用 “删除 ”或“ 修改” 权限。 他们可以对仅限于该集合的集合使用这些权限。 在前面的示例中，管理用户可以删除或修改“所有北美桌面”集合，但不能删除或修改“所有桌面”集合。

创建新的管理用户

若要向安全组的个人或成员授予管理Configuration Manager的访问权限，请创建一个管理用户。 指定用户或用户组的 Windows 帐户。 将每个管理用户分配到至少一个安全角色和一个安全作用域。 还可以分配集合以限制用户或组的管理范围。

如何创建新的管理用户

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“安全性”，然后选择“管理用户”节点。

2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中，选择“ 添加用户或组”。

3. 选择“浏览”，然后选择Configuration Manager中用于此新管理用户的用户帐户或组。

   注意

   对于基于控制台的管理，只能将域用户或域安全组指定为管理用户。

4. 对于 “关联的安全角色”，选择“ 添加 ”以打开可用安全角色的列表。 选择一个或多个安全角色，然后选择“ 确定”。

5. 选择以下选项之一，为新用户定义安全对象行为：

   • 与分配的安全角色相关的对象的所有实例：此选项具有以下行为：

     • 安全范围： 全部
     • 集合： 所有系统 以及 所有用户和用户组
     • 分配给用户的安全角色定义他们对对象的访问权限。
     • 此用户创建的新对象将分配到 默认 安全作用域。

   • 仅分配给指定安全作用域和集合的对象实例：此选项具有以下行为：

     • 安全范围： 默认
     • 集合： 所有系统 以及 所有用户和用户组
     • 这些默认值可能有所不同，因为实际安全作用域和集合仅限于与用于创建管理用户的帐户关联的范围和集合。
     • 添加或删除安全作用域和集合以自定义此用户的管理范围。

   重要

   创建用户后，查看其属性以选择第三个选项“ 将分配的安全角色与特定安全范围和集合相关联”。 有关详细信息，请参阅 修改管理用户的管理范围。

6. 选择 “确定” 关闭窗口并创建管理用户。

修改管理用户的管理范围

可以通过添加或删除与用户关联的安全角色、安全作用域和集合来修改管理用户的管理范围。 每个管理用户必须至少与一个安全角色和一个安全作用域相关联。 可能需要将一个或多个集合分配给用户的管理范围。 大多数安全角色与集合交互，如果没有分配的集合，则无法正常运行。

修改管理用户时，可以更改安全对象与分配的安全角色的关联方式的行为。 可以选择的三种行为如下所示：

• 与分配的安全角色相关的对象的所有实例：此选项将管理用户与 “所有 ”范围以及 “所有系统 ”和“ 所有用户和用户组” 集合相关联。 分配给用户的安全角色定义对对象的访问。

• 仅分配给指定安全作用域和集合的对象实例：此选项将管理用户关联到与用于配置管理用户的帐户关联的相同安全作用域和集合。 此选项支持添加或删除安全角色和集合，以自定义管理用户的管理范围。

• 将分配的安全角色与特定安全作用域和集合相关联：此选项允许在单个安全角色与用户的特定安全作用域和集合之间创建特定关联。

  注意

  仅当修改管理用户的属性时，此选项才可用。

安全对象行为的当前配置会更改用于分配其他安全角色的过程。 使用以下基于安全对象的不同选项的过程来帮助管理管理用户。

使用以下过程查看和管理管理用户的安全对象配置。

查看和管理管理用户的安全对象行为

1. 在Configuration Manager控制台中，选择“管理”。
2. 在 “管理 ”工作区中，展开“ 安全性”，然后选择“ 管理用户”。
3. 选择要修改的管理用户。
4. 在“ 开始 ”选项卡上的 “属性” 组中，选择 “属性”。
5. 选择“ 安全作用域 ”选项卡，查看此管理用户的安全对象当前配置。
6. 若要修改安全对象行为，请选择安全对象行为的新选项。 更改此配置后，请参阅相应的过程，以获取有关配置安全作用域和集合的进一步指导，以及此管理用户的安全角色。
7. 选择 “确定” 完成该过程。

使用以下过程修改将安全对象行为设置为与 分配的安全角色相关的对象的所有实例的管理用户。

对于选项：与分配的安全角色相关的对象的所有实例

1. 在Configuration Manager控制台中，选择“管理”。

2. 在 “管理 ”工作区中，展开“ 安全性”，然后选择“ 管理用户”。

3. 选择要修改的管理用户。

4. 在“ 开始 ”选项卡上的 “属性” 组中，选择 “属性”。

5. 选择“ 安全作用域 ”选项卡，确认是否为与 分配的安全角色相关的对象的所有实例配置了管理用户。

6. 若要修改分配的安全角色，请选择“ 安全角色” 选项卡。

   • 若要向此管理用户分配其他安全角色，请选择“ 添加”，选中要分配的每个附加安全角色对应的框，然后选择“ 确定”。
   • 若要删除安全角色，请从列表中选择一个或多个安全角色，然后选择 “删除”。

7. 若要修改安全对象行为，请选择“ 安全作用域 ”选项卡，并为安全对象行为选择新选项。 更改此配置后，请参阅相应的过程，以获取有关配置安全作用域和集合的进一步指导，以及此管理用户的安全角色。

   注意

   当安全对象行为设置为与 分配的安全角色相关的对象的所有实例时，无法添加或删除特定的安全作用域和集合。

8. 选择 “确定” 完成此过程。

使用以下过程修改将安全对象行为设置为“ 仅分配给指定安全作用域和集合的对象的实例”的管理用户。

对于选项：仅分配给指定安全作用域和集合的对象实例

1. 在Configuration Manager控制台中，选择“管理”。

2. 在 “管理 ”工作区中，展开“ 安全性”，然后选择“ 管理用户”。

3. 选择要修改的管理用户。

4. 在“ 开始 ”选项卡上的 “属性” 组中，选择 “属性”。

5. 选择“ 安全作用域 ”选项卡，确认是否为“ 仅分配给指定安全作用域和集合的对象实例”配置了用户。

6. 若要修改分配的安全角色，请选择“ 安全角色” 选项卡。

   • 若要为此用户分配其他安全角色，请选择“ 添加”，选中要分配的每个附加安全角色对应的框，然后选择“ 确定”。
   • 若要删除安全角色，请从列表中选择一个或多个安全角色，然后选择 “删除”。

7. 若要修改与安全角色关联的安全作用域和集合，请选择“ 安全作用域 ”选项卡。

   • 若要将新的安全作用域或集合与分配给此管理用户的所有安全角色相关联，请选择 “添加 ”，然后选择四个选项之一。 如果选择“ 安全范围 ”或“ 集合”，请选中一个或多个对象的框以完成该选择，然后选择“ 确定”。
   • 若要删除安全范围或集合，请选择 对象，然后选择 “删除”。

8. 选择 “确定” 完成此过程。

使用以下过程修改将安全对象行为设置为 “将分配的安全角色与特定安全范围和集合关联”的管理用户。

对于选项：将分配的安全角色与特定安全作用域和集合相关联

1. 在Configuration Manager控制台中，选择“管理”。

2. 在 “管理 ”工作区中，展开“ 安全性”，然后选择“ 管理用户”。

3. 选择要修改的管理用户。

4. 在“ 开始 ”选项卡上的 “属性” 组中，选择 “属性”。

5. 选择“ 安全作用域 ”选项卡，确认为“ 将分配的安全角色与特定安全范围和集合关联”配置了管理用户。

6. 若要修改分配的安全角色，请选择“ 安全角色” 选项卡。

   • 若要为此管理用户分配其他安全角色，请选择“ 添加”。 在“ 添加安全角色 ”对话框中，选择一个或多个可用的安全角色，选择 “添加”，然后选择要与所选安全角色关联的对象类型。 如果选择“ 安全范围 ”或“ 集合”，请选中一个或多个对象的框以完成该选择，然后选择“ 确定”。

     注意

     必须先配置至少一个安全范围，然后才能将所选安全角色分配给管理用户。 选择多个安全角色时，配置的每个安全作用域和集合都与每个选定的安全角色相关联。

   • 若要删除安全角色，请从列表中选择一个或多个安全角色，然后选择 “删除”。

7. 若要修改与特定安全角色关联的安全作用域和集合，请选择“ 安全作用域 ”选项卡，选择安全角色，然后选择 “编辑”。

   • 若要将新对象与此安全角色相关联，请选择“ 添加”，然后选择要与所选安全角色关联的对象类型。 如果选择“ 安全范围 ”或“ 集合”，请选中一个或多个对象的框以完成该选择，然后选择“ 确定”。

     注意

     必须至少配置一个安全作用域。

   • 若要删除与此安全角色关联的安全范围或集合，请选择对象，然后选择 “删除”。

   • 完成修改关联的对象后，选择 “确定”。

8. 选择 “确定” 完成此过程。

   警告

   当安全角色向管理用户授予集合部署权限时，这些管理用户可以从他们具有对象 读取 权限的任何安全范围分发对象，即使该安全范围与不同的安全角色相关联也是如此。

使用Windows PowerShell实现自动化

可以使用以下 PowerShell cmdlet 自动执行其中一些任务：

管理管理用户：

• Get-CMAdministrativeUser：获取管理用户对象。
• New-CMAdministrativeUser：创建新的管理用户。
• New-CMAdministrativeUserPermission： {{ Fill in the Synopsis }}
• Remove-CMAdministrativeUser：删除管理用户。

管理用户的角色和范围：

• Add-CMSecurityRoleToAdministrativeUser：向用户或组添加安全角色。
• Remove-CMSecurityRoleFromAdministrativeUser：删除安全角色与管理用户之间的关联。
• Add-CMSecurityScopeToAdministrativeUser：向用户或组添加安全作用域。
• Remove-CMSecurityScopeFromAdministrativeUser：删除安全作用域与管理用户之间的关联。

管理安全角色：

• Copy-CMSecurityRole：创建自定义安全角色。
• Export-CMSecurityRole：将安全角色导出到 XML 文件。
• Get-CMSecurityRole：获取安全角色。
• Import-CMSecurityRole：从 XML 文件导入安全角色。
• Remove-CMSecurityRole：删除自定义安全角色。
• Set-CMSecurityRole：更改安全角色的配置设置。

管理安全角色的权限：

• Get-CMSecurityRolePermission：获取安全角色的权限。
• Set-CMSecurityRolePermission：配置具有特定权限的安全角色。

管理安全范围：

• Get-CMSecurityScope：获取安全作用域。
• New-CMSecurityScope：创建安全作用域。
• Remove-CMSecurityScope：删除安全作用域。
• Set-CMSecurityScope：配置安全作用域。

管理对象安全范围：

• Add-CMObjectSecurityScope：向对象添加安全作用域。
• Get-CMObjectSecurityScope：获取Configuration Manager对象的安全作用域。
• Remove-CMObjectSecurityScope：从 Configuration Manager 对象中删除安全作用域。

后续步骤

基于角色的管理和审核工具

Configuration Manager 中使用的帐户