管理Service Manager用户角色
重要
此版本的Service Manager已终止支持。 建议升级到 Service Manager 2022。
本部分提供 Service Manager 中用户角色配置文件列表中的用户角色概述。 它包括可用于处理用户角色的过程。
关于用户角色
在贵公司,某些员工负责对诸如便携计算机和服务器之类的硬件提供支持。 某些员工可以创建和更新配置项目,但不能删除它们,而其他员工则可以创建、更新和删除配置项目。
在 Service Manager 中的“用户角色配置文件列表”中,允许用户访问或更新信息的安全权限在用户角色配置文件中定义。 用户角色配置文件是访问权限的命名集合,通常对应于员工的业务职责。 每个用户角色配置文件均对诸如知识库文章、工作项(事件和更改请求)、创作、管理和其他凭据之类的项目的访问进行控制。 将用户角色配置文件视为定义允许执行的操作。
将来,你所在组织的经理可能决定将保留配置项目的员工组分为两个组:一个为处理台式计算机配置项目的员工组,另一个为处理便携计算机配置项目的员工组。 他们想要保留这两个用户角色配置文件:一个配置文件允许创建和编辑配置项目但不允许删除配置项目,而另一个配置文件允许创建、编辑和删除配置项目。 您应该定义这些用户角色配置文件以及不同作用域,一个用于台式计算机,一个用于便携计算机。 如果用户角色配置文件定义允许执行的操作,请将范围视为定义允许修改的项目。 用户角色配置文件和作用域的组合称为用户角色。
了解用户角色
在“Service Manager”中,选择“管理”,展开“安全性”,然后选择“用户角色”,“用户角色”窗格将显示用户角色列表。 其中每个用户角色都配置有用户角色配置文件和未定义的作用域。 由于没有为这些用户角色定义作用域,因此他们可以对所有管理包、队列、组、任务、视图和表单模板运用自己的用户配置文件。 下表列出了默认的用户角色及其关联的用户角色配置文件和作用域。
| 用户角色 | 用户角色配置文件 | 范围 |
|---|---|---|
| 活动实施者 | 活动实施者 | 全球 |
| Administrators | 管理员 | 全球 |
| 高级的操作员 | 高级操作员 | 全球 |
| 更改发起者 | 更改发起者 | 全球 |
| 最终用户 | 最终用户 | 全球 |
| 只读操作员 | 只读操作员 | 全球 |
| Authors | 作者 | 全球 |
| 问题分析师 | 问题分析师 | 全球 |
| 工作流 | 工作流 | 全球 |
| 事件解决者 | 事件解决者 | 全球 |
| 更改管理员 | 更改管理员 | 全球 |
| 报表用户 | 报表用户 | 全球 |
| 发行经理 | 发行经理 | 全球 |
| 服务请求分析师 | 服务请求分析师 | 全球 |
注意
只有在向 Service Manager 数据仓库注册并且“Data Warehouse导航”按钮可用后,“Service Manager报表用户”用户角色才可用。 若要查看“Service Manager报表用户”用户角色,请选择“Data Warehouse”,展开“安全性”,然后选择“用户角色”。
示例
例如,你想要定义一个允许用户创建和编辑但不允许删除配置项目的安全访问权限,并定义另一个允许用户进行创建、编辑和删除配置项目的安全访问权限。 本指南末尾的附录 A 列出了用户角色配置文件及其关联项目。 下表显示了与配置项目相关的用户角色配置文件。
| 用户角色配置文件 | 创建配置项目 | 更新配置项目 | 删除配置项目 |
|---|---|---|---|
| 报表用户 | 否 | 否 | 否 |
| 最终用户 | 否 | 否 | 否 |
| 只读操作员 | 否 | 否 | 否 |
| 活动实施者 | 否 | 否 | 否 |
| 更改发起者 | 否 | 否 | 否 |
| 事件解决者 | 否 | 否 | 否 |
| 问题分析师 | 否 | 否 | 否 |
| 更改管理员 | 否 | 否 | 否 |
| 高级操作员 | 是 | 是 | 否 |
| 作者 | 是 | 是 | 否 |
| 工作流 | 是 | 是 | 否 |
| 管理员 | 是 | 是 | 是 |
从上表中可以看出高级操作员用户角色配置文件可以创建和更新配置项目,但不能删除配置项目。 管理员用户角色配置文件可以创建、更新和删除配置项目。 允许创建和更新配置项但不能删除配置项的资产管理团队的成员是预定义Service Manager高级操作员配置文件的成员。 能够创建、编辑和删除配置项目的资产管理团队成员会成为管理员配置文件的成员。
作为最佳方案,请假定资产管理团队的成员可以发生变化。 你应在 Active Directory 域服务 (AD DS) 中创建两个组,并使这些组成为高级操作员和管理员配置文件的成员。 然后,随着成员的更改,将从 Active Directory 组添加和删除用户,并且无需在Service Manager中进行更改。
将来,如果将资产管理团队分成两个组,一个组管理台式计算机,另一个组管理便携计算机,你可以使用相同用户角色配置文件和不同作用域来创建自己的用户角色。
为什么无法创建某些用户角色
创建用户角色时,请注意三个用户角色不可用:管理员、报表用户和工作流。 这三个用户角色在安装过程中创建和填充,一般来说,这些用户角色由 Service Manager 使用。 以下各节描述了其中每种用户角色。
管理员
管理员用户角色在范围内是全局的;因此,没有理由创建此类型的其他用户角色。
报表用户
用户角色“报表用户”在Service Manager有一个用途:在Service Manager控制台上查找托管用户Microsoft SQL Server Reporting Services (SSRS) 的计算机。 当Service Manager控制台上的用户尝试运行报表时,系统会对Service Manager管理服务器进行查询,以查找托管数据仓库管理服务器的计算机。 然后,Service Manager控制台查询数据仓库管理服务器,以查找托管 SSRS 的计算机的名称。 使用这些信息,Service Manager控制台连接到 SSRS。 “报表用户”用户角色的唯一用途就是进行这些查询。 Service Manager控制台连接到 SSRS 后,运行控制台的用户的凭据将授予 SSRS 上定义的访问权限。 由于此用户角色的用途有限,因此没有理由创建另一个用户角色。
工作流
工作流可能必须读取和写入Service Manager数据库。 在安装过程中,系统会要求你提供工作流用户角色的凭据,并且此用户角色对Service Manager数据库执行所需的操作。 与用户角色报告用户一样,工作流用户角色的狭义用途意味着没有理由创建其他用户角色。
将成员添加到用户角色
在 Service Manager 中,可以将用户分配到用户角色来定义他们可以执行的操作。
在本示例中,必须将可创建和更新配置项目但不能删除配置项目的资产管理团队的成员添加到用户角色。 查看 Service Manager 中用户角色配置文件的“配置项目”部分,可以看到“高级操作员”用户角色配置文件提供了有关此团队权限所需的内容。 目前,公司中的每项资产均由资产管理团队的所有成员负责;因此他们需要无限制的作用域。
使用以下过程将用户添加到Service Manager高级操作员用户角色,然后验证用户对用户角色的分配。
将用户分配给用户角色
在Service Manager控制台中,选择“管理”。
在“管理” 窗格中,展开“安全” ,然后选择“用户角色” 。
在“用户角色” 窗格中,双击“高级操作员” 。
在 “编辑用户角色 ”对话框中,选择“ 用户”。
在 “用户 ”页上,选择“ 添加”。
在 “选择用户或组 ”对话框中,输入要添加到此用户角色的用户或组的名称,选择“ 检查名称”,然后选择“ 确定”。
在 “编辑用户角色 ”对话框中,选择“ 确定”。
验证是否已将用户分配给用户角色
- 以分配给用户角色的用户之一的身份登录到Service Manager控制台。 验证是否无法访问没有访问权限的数据,如用户角色中指定的那样。
可以使用 Windows PowerShell 命令查看用户。 有关如何使用 Windows PowerShell 检索在 Service Manager 中定义的用户的信息,请参阅 Get-SCSMUser。
创建用户角色
使用以下过程创建用户角色,并将用户分配到Service Manager中的该角色,然后验证用户角色的创建。
创建用户角色
在Service Manager控制台中,选择“管理”。
在“管理” 窗格中,展开“安全” ,然后选择“用户角色” 。
在“任务” 窗格中的“用户角色” 下面,选择“创建用户角色” ,然后选择想要用于此用户角色(如“作者” )的用户角色配置文件。
按照下列准则完成“用户角色向导” :
在“开始之前”页面上,选择“下一步”。
在“ 常规 ”页上,输入此用户角色的名称和说明,然后选择“ 下一步”。
在“管理包” 页面上,开始对想要分配其访问权限的数据的范围进行筛选。 选择包含想要分配其访问权限的数据的管理包,如“事件管理库” 。 选择“下一页”。
下列页面上显示了指定管理包中对指定用户角色可用的所有类、队列、组、任务、视图和表单模板。 你可以在这些页面上选择特定项目,以进一步限制已分配其访问权限的数据集。
重要
不会筛选组和队列列表- 列出所有管理包中的所有组和队列。 如果在“队列” 页上选择“选择所有队列” 项,则“组” 页上会自动选择“选择所有组” 。 此外,默认情况下尚未创建组。 如果要按组限制范围,则必须创建组。
在“用户”页上,选择“添加”,然后使用“选择用户或组”对话框从Active Directory 域服务 (AD DS) 选择此用户角色的用户和用户组,然后选择“下一步”。
在 “摘要 ”页上,确保设置正确,然后选择“ 创建”。
在 “完成 ”页上,确保 已成功显示“用户角色创建 ”,然后选择“ 关闭”。
验证用户角色的创建
在Service Manager控制台中,验证新创建的用户角色是否显示在中间窗格中。
以分配给用户角色的用户之一的身份登录到Service Manager控制台。 验证是否无法访问没有访问权限的数据,如用户角色中指定的那样。
可以使用Windows PowerShell命令来完成这些任务和其他相关任务,如下所示:
有关如何使用 Windows PowerShell 在 Service Manager 中创建新的用户角色的信息,请参阅 New-SCSMUserRole。
有关如何使用 Windows PowerShell 检索 Service Manager 中定义的用户角色的信息,请参阅 Get-SCSMUserRole。
有关如何使用 Windows PowerShell 为Service Manager用户设置 UserRole 属性的信息,请参阅 Update-SCSMUserRole。
有关如何使用 Windows PowerShell 从 Service Manager 中删除用户角色的信息,请参阅 Remove-SCSMUserRole。
后续步骤
- 有关密码安全要求、密码过期和用户名更改,请参阅 管理运行方式帐户。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈