在 System Center Operations Manager 中,用户角色是用于分配访问监视数据和执行操作所需的权限的方法。 用户角色旨在应用于用户组,这些用户需要具有对相同监视对象组的访问权限以及对此组执行操作。 默认情况下,只有 Operations Manager 管理员帐户有权查看所有监视数据并对其执行操作。 所有其他用户必须分配用户角色才能查看或处理特定或所有监视数据。
用户角色是使用创建用户角色向导创建的。 在此向导中,将配置为哪个 Active Directory 安全组分配此用户角色,Operations Manager 组或此用户可以访问的受监视对象的组,以及此用户角色可以访问的任务、仪表板和视图。
用户角色是配置文件与范围的组合,具体如下图所示。 用户可以拥有多个角色,结果作用域是所有用户角色的联合整体。
了解配置文件
在管理组中创建用户角色之前,请选择一个适用于要创建的用户角色的配置文件。 用户权限设置决定了用户可以执行的操作。 配置文件中有一组已定义的权限,你不能添加或移除其中的任何权限。 为操作员和其他用户创建用户角色时,请选择与 System Center - Operations Manager 部署中用户组的职责最完全匹配的配置文件。
由于 Operations Manager 是一个企业监视平台,可以监视企业中部署的基础结构、工作负荷或应用程序,因此你可能希望与服务操作流程保持一致,以便不同的事件升级支持层或应用程序开发人员团队能够查看与其角色相关的操作数据。 基于角色的安全允许你限制用户对 Operations Manager 各个方面拥有的特权。
重要
将计算机帐户添加到用户角色成员允许该计算机上的所有服务在 Operations Manager 中具有访问权限。 建议不要将机器账户添加到任何用户角色中。
在 Operations Manager 中,诸如解析警报、运行任务、重写监视器、创建用户角色、查看警报、查看事件等操作已分组到配置文件中,每个配置文件表示特定作业函数,如下表所示。 有关与每个用户角色配置文件关联的特定操作的列表,请参阅 Operations Associated with User Role Profiles。
注意
作用域定义配置文件被限制到的实体组、对象类型、任务或视图。 不是所有作用域都适合所有配置文件。
| 个人资料 | 作业功能和作用域 |
|---|---|
| 管理员 | 包括 Operations Manager 中提供的全部特权。 注意: 只能将 Active Directory 安全组添加到管理员角色。 |
| 高级操作员 | 包括一组特权,这些特权为需要在操作员特权基础上对监控配置进行有限调整的用户设计。 赋予成员权限,可以在已配置的范围内修改特定目标或目标组的规则和监视器的设置。 高级操作员还继承操作员特权。 |
| 应用程序监视操作员 | 包括一组专为需要访问 应用程序诊断的用户设计的特权。 基于应用程序监视操作员配置文件的用户角色授予成员在应用程序诊断 Web 控制台中查看应用程序监视事件的能力。 注意: 访问 应用程序顾问 功能需要报表操作员或管理员角色。 |
| 作者 | 包括一组为撰写监控配置而设计的特权。 授权成员能够创建、编辑和删除配置的作用域内特定目标或目标组的监视配置(例如,任务、规则、监视器和视图)。 |
| 操作员 | 包括为需要访问警报、视图和任务的用户设计的一组特权。 授权成员能够根据其配置的作用域与警报交互、运行任务以及访问视图。 安全说明:如果仪表板视图使用数据仓库数据库中的数据,则操作员或许能够查看某些数据,而在使用操作数据库中的数据的视图中却无法另外访问这些数据。 |
| 只读操作员 | 包括为需要只读访问警报和视图的用户设计的一组特权。 授权成员能够根据其配置的作用域查看警报以及访问视图。 注意: “只读操作员”角色的成员未向“任务状态”视图分配权限。 安全说明:如果仪表板视图使用数据仓库数据库中的数据,则操作员或许能够查看某些数据,而在使用操作数据库中的数据的视图中却无法另外访问这些数据。 |
| 报表操作员 | 包括为需要访问报表的用户设计的一组特权。 授权成员能够根据其配置的作用域查看报表。 警告: 分配给此角色的用户有权访问报表数据仓库中的所有报表数据,不受范围限制。 |
| 报表安全管理员 | 实现 SQL Server Reporting Services 安全功能与 Operations Manager 用户角色的集成。 这使运维管理管理员能够控制报告访问权限。 此角色只能有一个成员帐户,不能限定范围。 |
除了上面列出的现有作业配置文件,Operations Manager 2022 还支持以下新的作业配置文件:
| 个人资料 | 作业功能和作用域 |
|---|---|
| 只读管理员 | 包括 Operations Manager 中的所有读取权限(含报告)。 |
| 委派管理员 | 包括 Operations Manager 中的所有读取权限(不含报告)。 授予成员以委派管理员作为基本配置文件创建自定义用户角色的能力。 |
使用 Operations Manager 组来定义操作范围
用户角色的范围确定用户可以在 System Center – Operations Manager 中查看和执行操作的对象。 范围由一个或多个 Operations Manager 组组成,其定义是在创建用户角色向导中创建用户角色时进行的。 “创建用户角色向导” 的“组作用域” 页提供了一个所有现有 Operations Manager 组的列表。 可以选择所有这些组或其中一些组作为要创建的用户角色的范围。
与其他 Operations Manager 对象一样,组也是在管理包中定义的。 在 Operations Manager 中,组是对象的逻辑集合,例如基于 Windows 的计算机、硬盘或Microsoft SQL Server 的实例。 一些组由安装 Operations Manager 过程中自动导入的管理包所创建。 如果这些组不包含您在范围中所需的受监视对象,您可以创建一个组来包含这些对象。 为此,必须退出 “创建用户角色向导”,切换到“监视”工作区,并使用 “创建组向导 ”创建更符合需求的组。
分配任务、仪表板和视图
任务是用户从操作控制台启动的操作,此操作在 Operations Manager 代理或启动控制台的系统上运行。 授予要创建的用户角色的任务可以为要创建的用户角色执行这些特定命令或操作。 默认设置是,分配有该用户角色的所有用户都可以运行所有任务,并打开所有仪表板和视图,只要其配置文件和范围允许它。 “ 创建用户角色向导任务 ”页中的替代方法是列出要创建的用户规则可以访问的特定任务。 同样,在 “创建用户角色仪表板和视图 ”页上,可以指定哪些仪表板和视图,以及可从“任务”窗格中访问哪些特定仪表板。
如何将成员分配到内置用户角色
Operations Manager 提供在安装过程中创建的八个标准用户角色。 可以将组和个人直接分配给这些内置用户角色,以便他们能够执行某些任务并访问特定信息。 这些内置角色在管理组中具有全局作用域。
若要限制用户的作用域,请创建新的用户角色。
将成员分配到内置用户角色
在 Operations 控制台中,选择“管理”。
在 “安全性”中,选择“ 用户角色”。
在结果窗格中,右键单击任何用户角色(如 Operations Manager 操作员),然后选择“ 属性”。
在“常规属性”选项卡上的“用户角色成员”中,选择“添加”。
在“输入要选择的对象名称”中,输入要添加到用户角色的用户或组帐户的名称,然后选择“确定”以关闭对话框。
选择“确定”关闭用户角色的属性。