管理服务管理器用户角色
本部分概述了 Service Manager 中“用户角色配置文件列表”中的用户角色。 它包括可用于处理用户角色的过程。
关于用户角色
在贵公司,某些员工负责对诸如便携计算机和服务器之类的硬件提供支持。 某些员工可以创建和更新配置项目,但不能删除它们,而其他员工则可以创建、更新和删除配置项目。
在 Service Manager 中的用户角色配置文件列表中,允许用户访问或更新信息的安全权限在用户角色配置文件中定义。 用户角色配置文件是访问权限的命名集合,通常对应于员工的业务职责。 每个用户角色配置文件均对诸如知识库文章、工作项(事件和更改请求)、创作、管理和其他凭据之类的项目的访问进行控制。 将用户角色配置文件视为定义允许执行的操作。
将来,你所在组织的经理可能决定将保留配置项目的员工组分为两个组:一个为处理台式计算机配置项目的员工组,另一个为处理便携计算机配置项目的员工组。 他们想要保留这两个用户角色配置文件:一个配置文件允许创建和编辑配置项目但不允许删除配置项目,而另一个配置文件允许创建、编辑和删除配置项目。 您应该定义这些用户角色配置文件以及不同作用域,一个用于台式计算机,一个用于便携计算机。 如果用户角色配置文件定义允许执行的操作,请将范围视为定义允许修改的项目。 用户角色配置文件和作用域的组合称为用户角色。
了解用户角色
在 Service Manager 中,选择“管理”、展开“安全性”并选择“用户角色”时,“用户角色”窗格将显示用户角色的列表。 其中每个用户角色都配置有用户角色配置文件和未定义的作用域。 由于没有为这些用户角色定义作用域,因此他们可以对所有管理包、队列、组、任务、视图和表单模板运用自己的用户配置文件。 下表列出了默认的用户角色及其关联的用户角色配置文件和作用域。
| 用户角色 | 用户角色配置文件 | 范围 |
|---|---|---|
| 活动实施者 | 活动实施者 | 全局 |
| 管理员 | 管理员 | 全局 |
| 高级的操作员 | 高级操作员 | 全局 |
| 更改发起者 | 更改发起者 | 全局 |
| 最终用户 | 最终用户 | 全局 |
| 只读操作员 | 只读操作员 | 全局 |
| 作者 | 作者 | 全局 |
| 问题分析师 | 问题分析师 | 全局 |
| 工作流 | Workflow | 全局 |
| 事件解决者 | 事件解决者 | 全局 |
| 更改管理员 | 更改管理员 | 全局 |
| 报表用户 | 报表用户 | 全局 |
| 发行经理 | 发行经理 | 全局 |
| 服务请求分析师 | 服务请求分析师 | 全局 |
注意
只有在向 Service Manager 数据仓库注册且数据仓库导航按钮可用后,Service Manager 报表用户用户角色才可用。 若要查看 Service Manager 报表用户角色,请选择数据仓库,展开“安全性”,然后选择“用户角色”。
示例
例如,你想要定义一个允许用户创建和编辑但不允许删除配置项目的安全访问权限,并定义另一个允许用户进行创建、编辑和删除配置项目的安全访问权限。 本指南末尾的附录 A 列出了用户角色配置文件及其关联项目。 下表显示了与配置项目相关的用户角色配置文件。
| 用户角色配置文件 | 创建配置项目 | 更新配置项目 | 删除配置项目 |
|---|---|---|---|
| 报表用户 | 否 | No | 否 |
| 最终用户 | 否 | No | 否 |
| 只读操作员 | 否 | No | 否 |
| 活动实施者 | 否 | No | 否 |
| 更改发起者 | 否 | No | 否 |
| 事件解决者 | 否 | No | 否 |
| 问题分析师 | 否 | No | 否 |
| 更改管理员 | 否 | No | 否 |
| 高级操作员 | 是 | 是 | 否 |
| 作者 | 是 | 是 | 否 |
| Workflow | 是 | 是 | 否 |
| 管理员 | 是 | 是 | 是 |
从上表中可以看出高级操作员用户角色配置文件可以创建和更新配置项目,但不能删除配置项目。 管理员用户角色配置文件可以创建、更新和删除配置项目。 允许创建和更新但不能删除的资产管理团队的成员是预定义的 Service Manager 高级操作员配置文件的成员。 能够创建、编辑和删除配置项目的资产管理团队成员会成为管理员配置文件的成员。
作为最佳方案,请假定资产管理团队的成员可以发生变化。 你应在 Active Directory 域服务 (AD DS) 中创建两个组,并使这些组成为高级操作员和管理员配置文件的成员。 然后,当成员发生更改时,将从 Active Directory 组中添加和删除用户,并且无需在 Service Manager 中进行任何更改。
将来,如果将资产管理团队分成两个组,一个组管理台式计算机,另一个组管理便携计算机,你可以使用相同用户角色配置文件和不同作用域来创建自己的用户角色。
为何无法创建某些用户角色
创建用户角色时,请注意三个用户角色不可用:管理员、报表用户和工作流。 这三个用户角色在安装程序期间创建和填充,通常由 Service Manager 使用这些用户角色。 以下各节描述了其中每种用户角色。
管理员
管理员用户角色在范围内是全局角色;因此,没有理由创建此类型的另一个用户角色。
报告用户
用户角色“报表用户”在 Service Manager 中具有一个用途:在 Service Manager 控制台中查找托管Microsoft SQL Server Reporting Services(SSRS)的计算机。 当 Service Manager 控制台中的用户尝试运行报表时,会向 Service Manager 管理服务器发出查询,以查找托管数据仓库管理服务器的计算机。 然后,Service Manager 控制台查询数据仓库管理服务器,以查找托管 SSRS 的计算机的名称。 使用该信息,Service Manager 控制台连接到 SSRS。 “报表用户”用户角色的唯一用途就是进行这些查询。 Service Manager 控制台连接到 SSRS 后,运行控制台的用户的凭据将授予在 SSRS 上定义的访问权限。 由于此用户角色的用途较窄,因此没有理由创建另一个用户角色。
工作流
工作流可能需要读取和写入 Service Manager 数据库。 在安装过程中,系统会要求你提供工作流用户角色的凭据,此用户角色对 Service Manager 数据库执行所需的操作。 与用户角色报告用户一样,工作流用户角色的狭隘用途意味着没有理由创建其他用户角色。
将成员添加到用户角色
在 Service Manager 中,可以将用户分配到用户角色,以定义他们可以执行的操作。
在本示例中,必须将可创建和更新配置项目但不能删除配置项目的资产管理团队的成员添加到用户角色。 查看 Service Manager 中用户角色配置文件的“配置项”部分,可以看到高级操作员用户角色配置文件提供了对此团队的权限所需的内容。 目前,公司中的每项资产均由资产管理团队的所有成员负责;因此他们需要无限制的作用域。
使用以下过程将用户添加到 Service Manager 高级操作员用户角色,然后验证用户分配给用户角色。
将用户分配到用户角色
在 Service Manager 控制台中,选择“ 管理”。
在“管理” 窗格中,展开“安全” ,然后选择“用户角色” 。
在“用户角色” 窗格中,双击“高级操作员” 。
在 “编辑用户角色 ”对话框中,选择“ 用户”。
在 “用户 ”页上,选择“ 添加”。
在 “选择用户或组 ”对话框中,输入要添加到此用户角色的用户或组的名称,选择“ 检查名称”,然后选择“ 确定”。
在 “编辑用户角色 ”对话框中,选择“ 确定”。
验证用户分配到用户角色
- 以分配给用户角色的用户之一身份登录到 Service Manager 控制台。 验证你无法访问没有访问权限的数据,如用户角色中指定的。
可以使用 Windows PowerShell 命令查看用户。 有关如何使用 Windows PowerShell 检索 Service Manager 中定义的用户的信息,请参阅 Get-SCSMUser。
创建用户角色
使用以下过程创建用户角色,并将用户分配到 Service Manager 中的该角色,然后验证用户角色的创建。
若要创建用户角色,请执行以下步骤:
在 Service Manager 控制台中,选择“ 管理”。
在“管理” 窗格中,展开“安全” ,然后选择“用户角色” 。
在“用户角色”下的“任务”窗格中,选择“创建用户角色”,然后选择要用于此用户角色的用户角色配置文件,例如“作者”。
通过执行以下操作完成用户角色向导:
在“开始之前”页面上,选择“下一步”。
在 “常规 ”页上,输入此用户角色的名称和说明,然后选择“ 下一步”。
在 “管理包 ”页上,开始筛选要向其分配访问权限的数据的范围。 选择包含要向其分配访问权限的数据的管理包,例如 事件管理库。 选择下一步。
下列页面上显示了指定管理包中对指定用户角色可用的所有类、队列、组、任务、视图和表单模板。 你可以在这些页面上选择特定项目,以进一步限制已分配其访问权限的数据集。
重要
不会筛选组和队列列表-列出所有管理包中的所有组和队列。 如果在“队列”页上选择“选择所有队列项”,请在“组”页上自动选择“选择所有组”。 此外,默认情况下尚未创建组。 如果要按组限制范围,则必须创建组。
在“用户”页上,选择“添加”,然后使用“选择用户或组”对话框从Active Directory 域服务(AD DS)中选择此用户角色的用户和用户组,然后选择“下一步”。
在 “摘要 ”页上,确保设置正确,然后选择“ 创建”。
在 “完成 ”页上,确保 已成功创建 用户角色,然后选择“ 关闭”。
验证用户角色的创建
在 Service Manager 控制台中,验证新创建的用户角色是否显示在中间窗格中。
以分配给用户角色的用户之一身份登录到 Service Manager 控制台。 验证你无法访问没有访问权限的数据,如用户角色中指定的。
可以使用 Windows PowerShell 命令来完成这些和其他相关任务,如下所示:
有关如何使用 Windows PowerShell 在 Service Manager 中创建新用户角色的信息,请参阅 New-SCSMUserRole。
有关如何使用 Windows PowerShell 检索 Service Manager 中定义的用户角色的信息,请参阅 Get-SCSMUserRole。
有关如何使用 Windows PowerShell 为 Service Manager 用户设置 UserRole 属性的信息,请参阅 Update-SCSMUserRole。
有关如何使用 Windows PowerShell 从 Service Manager 中删除用户角色的信息,请参阅 Remove-SCSMUserRole。
后续步骤
- 有关密码安全要求、密码过期和用户名更改,请参阅 “管理运行方式帐户”。