Konfigurieren der rollenbasierten Verwaltung für Configuration ManagerConfigure role-based administration for Configuration Manager

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Bei der rollenbasierten Verwaltung in Configuration Manager werden Sicherheitsrollen, Sicherheitsbereiche und zugewiesene Sammlungen kombiniert, um den Verwaltungsbereich für jeden Administrator zu definieren.In Configuration Manager, role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Zu einem Verwaltungsbereich gehören die Objekte, die ein Administrator in der Configuration Manager-Konsole anzeigen kann, und die Tasks im Zusammenhang mit diesen Objekten, die der Administrator ausführen darf.An administrative scope includes the objects that an administrative user can view in the Configuration Manager console and the tasks related to those objects that the administrative user has permission to perform. Die Konfigurationen der rollenbasierten Verwaltung werden auf jeden Standort in einer Hierarchie angewendet.Role-based administration configurations are applied at each site in a hierarchy.

Wenn Sie mit den Konzepten der rollenbasierten Verwaltung noch nicht vertraut sind, finden Sie unter Grundlagen der rollenbasierten Verwaltung weitere Informationen.If you're not yet familiar with concepts for role-based administration, see Fundamentals of role-based administration.

Verwenden Sie die folgenden Informationen und Verfahren, um die rollenbasierte Verwaltung und entsprechende Sicherheitseinstellungen zu erstellen und zu konfigurieren:The information in the following procedures can help you create and configure role-based administration and related security settings:

Erstellen benutzerdefinierter SicherheitsrollenCreate custom security roles

In Configuration Manager sind mehrere integrierte Sicherheitsrollen verfügbar.Configuration Manager provides several built-in security roles. Wenn Sie zusätzliche Sicherheitsrollen benötigen, können Sie eine benutzerdefinierte Sicherheitsrolle erstellen, indem Sie von einer vorhandenen Sicherheitsrolle eine Kopie erstellen und diese dann ändern.If you require additional security roles, you can create a custom security role by creating a copy of an existing security role, and then modifying the copy. Sie könnten eine benutzerdefinierte Sicherheitsrolle erstellen, um Administratoren zusätzliche Sicherheitsberechtigungen zu erteilen, welche für die Administratoren erforderlich, in der aktuell zugewiesenen Sicherheitsrolle jedoch nicht enthalten sind.You might create a custom security role to grant administrative users the additional security permissions they require that aren't included in a currently assigned security role. Wenn Sie eine benutzerdefinierte Sicherheitsrolle verwenden, können Sie ihnen nur die erforderlichen Berechtigungen erteilen und vermeiden, eine Sicherheitsrolle zuzuweisen, mit der Sie mehr Berechtigungen erteilen, als erforderlich sind.By using a custom security role, you can grant them only the permissions they require, and avoid assigning a security role that grants more permissions than they require.

Wenden Sie das folgende Verfahren an, um eine neue Sicherheitsrolle mithilfe einer vorhandenen Sicherheitsrolle als Vorlage zu erstellen.Use the following procedure to create a new security role by using an existing security role as a template.

So erstellen Sie benutzerdefinierte SicherheitsrollenTo create custom security roles

  1. Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung.In the Configuration Manager console, go to Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Sicherheitsrollen aus.In the Administration workspace, expand Security, and then choose Security Roles.

    Verwenden Sie eines der folgenden Verfahren, um die neue Sicherheitsrolle zu erstellen:Use one of the following processes to create the new security role:

    • Führen Sie die folgenden Aktionen aus, um eine neue benutzerdefinierte Sicherheitsrolle zu erstellen:To create a new custom security role, perform the following actions:

      1. Wählen Sie eine vorhandene Sicherheitsrolle aus, die Sie als Quelle für die neue Sicherheitsrolle verwenden möchten.Select an existing security role to use as the source for the new security role.

      2. Wählen Sie auf der Registerkarte Startseite in der Gruppe Sicherheitsrolle die Option Kopieren aus.On the Home tab, in the Security Role group, choose Copy. Mit dieser Aktion erstellen Sie eine Kopie der Quellsicherheitsrolle.This action creates a copy of the source security role.

      3. Geben Sie im Assistenten zum Kopieren von Sicherheitsrollen einen Namen für die neue benutzerdefinierte Sicherheitsrolle an.In the Copy Security Role wizard, specify a Name for the new custom security role.

      4. Erweitern Sie in Zuweisungen von Sicherheitsvorgängenalle Knoten unter Sicherheitsvorgänge , um die verfügbaren Aktionen anzuzeigen.In Security operation assignments, expand each Security Operations node to display the available actions.

      5. Wenn Sie die Einstellung für einen Sicherheitsvorgang ändern möchten, wählen Sie in der Spalte Wert den Pfeil nach unten und dann entweder Ja oder Nein aus.To change the setting for a security operation, choose the down arrow in the Value column, and choose either Yes or No.

        Achtung

        Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, achten Sie darauf, keine Berechtigungen zu erteilen, die für die Administratoren, die der neuen Sicherheitsrolle zugewiesen sind, nicht erforderlich sind.When you configure a custom security role, ensure that you don't grant permissions that aren't required by administrative users that are associated with the new security role. Beispielsweise erteilen Sie mit dem Wert Ändern für den Sicherheitsvorgang Sicherheitsrollen Administratoren die Berechtigung zum Ändern jeder zugänglichen Sicherheitsrolle, auch dann, wenn die Administratoren dieser Sicherheitsrolle nicht zugewiesen sind.For example, the Modify value for the Security Roles security operation grants administrative users permission to edit any accessible security role – even if they aren't associated with that security role.

      6. Wenn Sie die Berechtigungen konfiguriert haben, wählen Sie auf OK aus, um die neue Sicherheitsrolle zu speichern.After you configure the permissions, choose OK to save the new security role.

    • Wenn Sie eine Sicherheitsrolle importieren möchten, die aus einer anderen Configuration Manager-Hierarchie exportiert wurde, führen Sie die folgenden Aktionen aus:To import a security role that was exported from another Configuration Manager hierarchy, perform the following actions:

      1. Wählen Sie auf der Registerkarte Startseite in der Gruppe Erstellen die Option Sicherheitsrolle importieren aus.On the Home tab, in the Create group, choose Import Security Role.

      2. Geben Sie die XML-Datei an, die die Sicherheitsrollenkonfiguration enthält, die Sie importieren möchten.Specify the .xml file that contains the security role configuration that you want to import. Wählen Sie Öffnen aus, um den Vorgang abzuschließen und die Sicherheitsrolle zu speichern.Choose Open to complete the procedure and save the security role.

        Hinweis

        Wenn Sie eine Sicherheitsrolle importiert haben, können Sie die Eigenschaften der Sicherheitsrolle bearbeiten, um die entsprechenden Objektberechtigungen zu ändern.After you import a security role, you can edit the security role properties to change the object permissions that are associated with the security role.

Konfigurieren von SicherheitsrollenConfigure security roles

Die Gruppen von Sicherheitsberechtigungen, die für eine Sicherheitsrolle definiert sind, werden als Zuweisungen von Sicherheitsvorgängen bezeichnet.The groups of security permissions that are defined for a security role are called security operation assignments. Von Zuweisungen von Sicherheitsvorgängen wird eine Kombination von Objekttypen und Aktionen repräsentiert, die für jeden Objekttyp verfügbar ist.Security operation assignments represent a combination of object types and actions that are available for each object type. Sie können ändern, welche Sicherheitsvorgänge für jede benutzerdefinierte Sicherheitsrolle verfügbar sind. Sie können jedoch nicht die in Configuration Manager integrierten Sicherheitsrollen ändern.You can modify which security operations are available for any custom security role, but you can't modify the built-in security roles that Configuration Manager provides.

Wenden Sie das folgende Verfahren an, um die Sicherheitsvorgänge für eine Sicherheitsrolle zu ändern.Use the following procedure to modify the security operations for a security role.

Ändern von SicherheitsrollenTo modify security roles

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Sicherheitsrollen aus.In the Administration workspace, expand Security, and then choose Security Roles.

  3. Wählen Sie die benutzerdefinierte Sicherheitsrolle, die Sie ändern möchten, aus.Select the custom security role that you want to modify.

  4. Wählen Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften die Option Eigenschaften aus.On the Home tab, in the Properties group, choose Properties.

  5. Wählen Sie auf die Registerkarte die Option Berechtigungen aus.Choose the Permissions tab.

  6. Erweitern Sie in Zuweisungen von Sicherheitsvorgängenalle Knoten unter Sicherheitsvorgänge , um die verfügbaren Aktionen anzuzeigen.In Security operation assignments, expand each Security Operations node to display the available actions.

  7. Wenn Sie die Einstellung für einen Sicherheitsvorgang ändern möchten, wählen Sie in der Spalte Wert den Pfeil nach unten und dann entweder Ja oder Nein aus.To change the setting for a security operation, choose the down arrow in the Value column, and then choose either Yes or No.

    Achtung

    Wenn Sie eine benutzerdefinierte Sicherheitsrolle konfigurieren, achten Sie darauf, keine Berechtigungen zu erteilen, die für die Administratoren, die der neuen Sicherheitsrolle zugewiesen sind, nicht erforderlich sind.When you configure a custom security role, ensure that you don't grant permissions that aren't required by administrative users that are associated with the new security role. Beispielsweise erteilen Sie mit dem Wert Ändern für den Sicherheitsvorgang Sicherheitsrollen Administratoren die Berechtigung zum Ändern jeder zugänglichen Sicherheitsrolle, auch dann, wenn die Administratoren dieser Sicherheitsrolle nicht zugewiesen sind.For example, the Modify value for the Security Roles security operation grants administrative users permission to edit any accessible security role – even if they aren't associated with that security role.

  8. Wenn Sie mit dem Konfigurieren der Zuweisungen von Sicherheitsvorgängen fertig sind, wählen Sie OK aus, um die neue Sicherheitsrolle zu speichern.When you've finished configuring security operation assignments, choose OK to save the new security role.

Konfigurieren von Sicherheitsbereichen für ein ObjektConfigure security scopes for an object

Sie verwalten die Zuweisung eines Sicherheitsbereichs für ein Objekt vom Objekt und nicht vom Sicherheitsbereich aus.You manage the association of a security scope for an object from the object–not from the security scope. Die einzigen direkten Konfigurationen, die von Sicherheitsbereichen unterstützt werden, sind Änderungen an Namen und Beschreibung der Sicherheitsbereiche.The only direct configurations that security scopes support are changes to its name and description. Wenn Sie den Namen oder die Beschreibung eines Sicherheitsbereichs beim Anzeigen der Eigenschaften des Sicherheitsbereichs ändern möchten, benötigen Sie die Berechtigung Ändern für das sicherungsfähige Objekt Sicherheitsbereiche .To change the name and description of a security scope when you view the security scope properties, you must have the Modify permission for the Security Scopes securable object.

Wenn Sie ein neues Objekt in Configuration Manager erstellen, wird es allen Sicherheitsbereichen zugeordnet, die den Sicherheitsrollen des zur Objekterstellung verwendeten Kontos zugeordnet sind.When you create a new object in Configuration Manager, it's associated with each security scope that's associated with the security roles of the account used to create the object. Dieses Verhalten tritt auf, wenn diesen Sicherheitsrollen die Berechtigung Sicherheitsbereich erstellen oder Sicherheitsbereich festlegen zugewiesen ist.This behavior occurs when those security roles provide the Create permission or Set Security Scope permission. Sie können die Sicherheitsbereiche für das Objekt ändern, nachdem Sie sie erstellt haben.You can change the security scopes for the object after you create it.

Beispielsweise sind Sie einer Sicherheitsrolle zugewiesen, durch die Sie über die Berechtigung zum Erstellen einer neuen Begrenzungsgruppe verfügen.As an example, you're assigned a security role that grants you permission to create a new boundary group. Wenn Sie eine neue Begrenzungsgruppe erstellen, ist keine Option verfügbar, der Sie bestimmte Sicherheitsbereiche zuweisen könnten.When you create a new boundary group, you have no option that you can assign specific security scopes to. Stattdessen werden die Sicherheitsbereiche, die in den Sicherheitsrollen verfügbar sind, denen Sie zugewiesen sind, automatisch der neuen Begrenzungsgruppe zugewiesen.Instead, the security scopes that are available from the security roles you're associated with are automatically assigned to the new boundary group. Wenn Sie die neue Begrenzungsgruppe gespeichert haben, können Sie die Sicherheitsbereiche bearbeiten, die der neuen Begrenzungsgruppe zugewiesen sind.After you save the new boundary group, you can edit the security scopes that are associated with the new boundary group.

Wenden Sie das folgende Verfahren an, um die Sicherheitsbereiche zu konfigurieren, die einem Objekt zugewiesen sind.Use the following procedure to configure the security scopes that are assigned to an object.

So konfigurieren Sie Sicherheitsbereiche für ein ObjektTo configure security scopes for an object

  1. Wählen Sie in der Configuration Manager-Konsole ein Objekt aus, das einem Sicherheitsbereich zugewiesen werden kann.In the Configuration Manager console, select an object that supports being assigned to a security scope.

  2. Wählen Sie auf der Registerkarte Startseite in der Gruppe Klassifizieren die Option Sicherheitsbereiche festlegen aus.On the Home tab, in the Classify group, choose Set Security Scopes.

  3. Aktivieren bzw. deaktivieren Sie im Dialogfeld Sicherheitsbereiche festlegen die Sicherheitsbereiche, denen dieses Objekt zugeordnet sein soll.In the Set Security Scopes dialog box, select or clear the security scopes that this object is associated with. Jedes Objekt, von dem die Zuweisung zu Sicherheitsbereichen unterstützt wird, muss mindestens einem Sicherheitsbereich zugewiesen werden.Each object that supports security scopes must be assigned to at least one security scope.

  4. Wählen Sie OK aus, um die zugewiesenen Sicherheitsbereiche zu speichern.Choose OK to save the assigned security scopes.

    Hinweis

    Wenn Sie ein neues Objekt erstellen, können Sie es mehreren Sicherheitsbereichen zuweisen.When you create a new object, you can assign the object to multiple security scopes. Wenn Sie die Anzahl der Sicherheitsbereiche, denen das Objekt zugewiesen ist, ändern möchten, müssen Sie diese Zuweisung nach der Erstellung des Objekts ändern.To modify the number of security scopes that are associated with the object, you must change this assignment after the object is created.

So konfigurieren Sie Sicherheitsbereiche für einen Ordner (ab Version 1906)To configure security scopes for a folder (starting in version 1906)

  1. Wählen Sie in der Configuration Manager-Konsole einen Ordner aus.In the Configuration Manager console, select a folder.

  2. Wählen Sie auf der Registerkarte Ordner die Option Sicherheitsbereiche festlegen aus.On the Folder tab in the ribbon, choose Set Security Scopes.

    • Sie können auch mit der rechten Maustaste auf den Ordner klicken und Ordner > Sicherheitsbereiche festlegen auswählen.You can also right-click the folder and choose Folder > Set Security Scopes.
  3. Aktivieren bzw. deaktivieren Sie im Dialogfeld Sicherheitsbereiche festlegen Sicherheitsbereiche für den betreffenden Ordner.In the Set Security Scopes dialog box, select or clear security scopes for the folder. Jedem Ordner muss mindestens ein Sicherheitsbereich zugewiesen werden.Each folder must be assigned to at least one security scope. Allen Ordnern ist der Sicherheitsbereich Standard zugewiesen, bis Sie diese Einstellung ändern.All folders are assigned the Default security scope until you change it.

  4. Wählen Sie OK aus, um die zugewiesenen Sicherheitsbereiche zu speichern.Choose OK to save the assigned security scopes.

    Wichtig

    • Vorhandenen Sicherheitsrollen werden beim Installieren von Configuration Manager, Version 1906 automatisch Berechtigungen vom Typ Ordnerklasse hinzugefügt.Existing security roles will automatically get Folder Class permissions added when you install Configuration Manager version 1906. Sie müssen Berechtigungen vom Typ Ordnerklasse für alle neuen Sicherheitsrollen hinzufügen und prüfen, ob vorhandene Rollen die geeigneten Berechtigungen für Ihre Umgebung aufweisen.You'll need to add Folder Class permissions for any new security roles and verify existing roles have the appropriate permissions for your environment.

    • Ein Element kann in einem Ordner außerhalb des Sicherheitsbereichs eines Benutzers gesucht werden, wenn dieser Benutzer einen Sicherheitsbereich für die Person freigibt, die das Objekt erstellt hat.An item is searchable in folder outside of a user’s security scope if that user shares a security scope with the person who created the object.

Konfigurieren von Sammlungen zum Verwalten der SicherheitConfigure collections to manage security

Es gibt keine Verfahren zum Konfigurieren von Sammlungen für die rollenbasierte Verwaltung.There are no procedures to configure collections for role-based administration. Bei Sammlungen ist keine Konfiguration für die rollenbasierte Verwaltung verfügbar.Collections don't have a role-based administration configuration. Stattdessen weisen Sie Sammlungen einem Administrator zu, wenn Sie den Administrator konfigurieren.Instead, you assign collections to an administrative user when you configure the administrative user. Von den Sicherheitsvorgängen der Sammlung, die in den zugewiesenen Sicherheitsrollen der Benutzer aktiviert werden, wird bestimmt, welche Berechtigungen ein Administrator für Sammlungen und Sammlungsressourcen (Sammlungsmitglieder) hat.The collection security operations that are enabled in the user-assigned security roles determine the permissions that an administrative user has for collections and collection resources (collection members).

Wenn Administratoren über Berechtigungen für eine Sammlung verfügen, verfügen sie auch über Berechtigungen für Sammlungen, die auf diese Sammlung begrenzt sind.When an administrative user has permissions to a collection, they also have permissions to collections that are limited to that collection. Beispiel: Ihre Organisation verwendet eine Sammlung namens „Alle Desktops“.As an example, your organization uses a collection named All Desktops. Zudem gibt es eine Sammlung namens „Alle Desktops aus Nordamerika“, die auf die Sammlung „Alle Desktops“ beschränkt ist.There's also a collection named All North America Desktops that's limited to the All Desktops collection. Administratoren, die Berechtigungen für die Sammlung „Alle Desktopcomputer“ haben, verfügen über die gleichen Berechtigungen für die Sammlung „Alle Desktopcomputer in Europa“.If an administrative user has permissions to All Desktops, they also have those same permissions to the All North America Desktops collection.

Darüber hinaus kann ein Administrator die Berechtigung Löschen oder Ändern nicht auf eine Sammlung anwenden, die ihm direkt zugewiesen ist.Additionally, an administrative user can't use the Delete or Modify permission on a collection that's directly assigned to them. Allerdings können Sie diese Berechtigungen für die Sammlungen verwenden, die auf diese Sammlung beschränkt sind.But, they can use these permissions on the collections that are limited to that collection. Im vorigen Beispiel können Administratoren die Sammlung „Alle Desktopcomputer in Europa“ ändern und löschen. Sie können jedoch nicht die Sammlung „Alle Desktopcomputer“ ändern oder löschen.In the previous example, the administrative user can delete or modify the All North America Desktops collection, but they can't delete or modify the All Desktops collection.

Erstellen eines neuen AdministratorsCreate a new administrative user

Erstellen Sie in Configuration Manager Administratoren, und geben Sie das Windows-Konto des Benutzers bzw. der Benutzergruppe an, um Individuen oder Mitgliedern von Sicherheitsgruppen einen Verwaltungszugriff auf Configuration Manager zu gewähren.To grant individuals or members of a security group access to manage Configuration Manager, create an administrative user in Configuration Manager and specify the Windows account of the User or User Group. Jedem Administrator in Configuration Manager müssen mindestens eine Sicherheitsrolle und ein Sicherheitsbereich zugewiesen werden.Each administrative user in Configuration Manager must be assigned at least one security role and one security scope. Sie können auch Sammlungen zuweisen, um den Verwaltungsbereich des Administrators zu begrenzen.You can also assign collections to limit the administrative scope of the administrative user.

Wenden Sie die folgenden Verfahren an, um neue Administratoren zu erstellen.Use the following procedures to create new administrative users.

So erstellen Sie einen neuen AdministratorTo create a new administrative user

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Administratoren aus.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Wählen Sie auf der Registerkarte Startseite in der Gruppe Erstellen die Option Benutzer oder Gruppe hinzufügen aus.On the Home tab, in the Create group, choose Add User or Group.

  4. Wählen Sie Durchsuchen und dann das für diesen Administrator zu verwendende Benutzerkonto bzw. die zu verwendende Gruppe aus.Choose Browse, and then select the user account or group to use for this new administrative user.

    Hinweis

    Für die konsolenbasierte Verwaltung können nur Domänenbenutzer oder Sicherheitsgruppen als Administratoren angegeben werden.For console-based administration, only domain users or security groups can be specified as an administrative user.

  5. Wählen Sie unter Zugeordnete Sicherheitsrollen die Option Hinzufügen aus, um eine Liste der verfügbaren Sicherheitsrollen anzuzeigen. Aktivieren Sie das Kontrollkästchen für mindestens eine Sicherheitsrolle, und wählen Sie dann OK aus.For Associated security roles, choose Add to open a list of the available security roles, check the box for one or more security roles, and then choose OK.

  6. Wählen Sie eine der folgenden beiden Optionen aus, um das Verhalten im Zusammenhang mit sicherungsfähigen Objekten für den neuen Benutzer zu definieren:Choose one of the following two options to define the securable object behavior for the new user:

    • Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte: Bei Auswahl dieser Option wird der Administrator dem Sicherheitsbereich Alle sowie den Sammlungen Alle Systeme und Alle Benutzer und Benutzergruppen zugeordnet.All instances of the objects that are related to the assigned security roles: This option associates the administrative user with the All security scope, and the All Systems and All Users and User Groups collections. Über die dem Benutzer zugewiesenen Sicherheitsrollen wird dessen Zugriff auf Objekte definiert.The security roles that are assigned to the user define access to objects. Von diesem Administrator erstellte neue Objekte werden dem Sicherheitsbereich Standard zugewiesen.New objects that this administrative user creates are assigned to the Default security scope.

    • Only the instances of objects that are assigned to the specified security scopes and collections (Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte): Bei Auswahl dieser Option wird der Administrator dem Sicherheitsbereich Standard sowie den Sammlungen Alle Systeme und Alle Benutzer und Benutzergruppen zugeordnet.Only the instances of objects that are assigned to the specified security scopes and collections: By default, this option associates the administrative user with the Default security scope, and the All Systems and All Users and User Groups collections. Welche Sicherheitsbereiche und Sammlungen tatsächlich verfügbar sind, ist jedoch abhängig vom Benutzerkonto, anhand dessen der neue Administrator erstellt wurde.However, the actual security scopes and collections are limited to those that are associated with the account that you used to create the new administrative user. Mit dieser Option ist es möglich, Sicherheitsbereiche und Sammlungen hinzuzufügen und zu entfernen, um den Verwaltungsbereich des Administrators anzupassen.This option supports the addition or removal of security scopes and collections to customize the administrative scope of the administrative user.

    Wichtig

    Mit den vorangehenden Optionen werden alle zugewiesenen Sicherheitsbereiche und Sammlungen jeder Sicherheitsrolle zugeordnet, die dem Administrator zugewiesen ist.The preceding options associate each assigned security scope and collection to each security role that is assigned to the administrative user. Mit einer dritten Option, Zugewiesene Sicherheitsrollen den angegebenen Sicherheitsbereichen und Sammlungen zuordnen, können einzelne Sicherheitsrollen bestimmten Sicherheitsbereichen und Sammlungen zugeordnet werden.You can use a third option, Associate assigned security roles with specific security scopes and collections, to associate individual security roles to specific security scopes and collections. Diese dritte Option steht erst nach dem Erstellen des neuen Administrators beim Ändern des Administrators zur Verfügung.This third option is available after you create the new administrative user, when you modify the administrative user.

  7. Fahren Sie abhängig von der in Schritt 6 vorgenommenen Auswahl wie folgt fort:Depending on your selection in step 6, take the following action:

    • Wenn Sie die Option Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte ausgewählt haben, wählen Sie OK aus, um dieses Verfahren abzuschließen.If you selected All instances of the objects that are related to the assigned security roles, choose OK to complete this procedure.

    • Wenn Sie Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte ausgewählt haben, können Sie Hinzufügen auswählen, um weitere Sammlungen und Sicherheitsbereiche zu wählen.If you selected Only the instances of objects that are assigned to the specified security scopes and collections, you can choose Add to select additional collections and security scopes. Oder Sie können ein oder mehrere Objekte in der Liste und dann Entfernen auswählen, um sie zu entfernen.Or select one or more objects in the list, and then choose Remove to remove them. Wählen Sie OK aus, um dieses Verfahren abzuschließen.Choose OK to complete this procedure.

Ändern des Verwaltungsbereichs eines AdministratorsModify the administrative scope of an administrative user

Sie können den Verwaltungsbereich eines Administrators ändern, indem Sie Sicherheitsrollen, Sicherheitsbereiche und dem Benutzer zugeordnete Sammlungen hinzufügen oder entfernen.You can modify the administrative scope of an administrative user by adding or removing security roles, security scopes, and collections that are associated with the user. Jedem Administrator müssen mindestens eine Sicherheitsrolle und ein Sicherheitsbereich zugeordnet sein.Each administrative user must be associated with at least one security role and one security scope. Möglicherweise müssen Sie dem Verwaltungsbereich des Benutzers zunächst eine oder mehrere Sammlungen zuweisen.You might have to assign one or more collections to the administrative scope of the user. Für die meisten Sicherheitsrollen ist eine Interaktion mit Sammlungen erforderlich, sodass sie ohne eine zugewiesene Sammlung nicht funktionsfähig sind.Most security roles interact with collections and don't function correctly without an assigned collection.

Wenn Sie einen Administrator bearbeiten, können Sie das Verhalten beim Zuordnen von sicherungsfähigen Objekten zu den zugewiesenen Sicherheitsrollen ändern.When you modify an administrative user, you can change the behavior for how securable objects are associated with the assigned security roles. Die folgenden drei Verhaltensweisen stehen zur Auswahl:The three behaviors that you can select are as follows:

  • Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte: Bei Auswahl dieser Option wird der Administrator dem Bereich Alle sowie den Sammlungen Alle Systeme und Alle Benutzer und Benutzergruppen zugeordnet.All instances of the objects that are related to the assigned security roles: This option associates the administrative user with the All scope, and the All Systems and All Users and User Groups collections. Über die dem Benutzer zugewiesenen Sicherheitsrollen wird dessen Zugriff auf Objekte definiert.The security roles that are assigned to the user define access to objects.

  • Only the instances of objects that are assigned to the specified security scopes and collections (Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte): Bei Auswahl dieser Option wird der Administrator den gleichen Sicherheitsbereichen und Sammlungen zugeordnet, die dem zur Konfiguration des Administrators verwendeten Konto zugeordnet sind.Only the instances of objects that are assigned to the specified security scopes and collections: This option associates the administrative user to the same security scopes and collections that are associated to the account you use to configure the administrative user. Mit dieser Option ist es möglich, Sicherheitsrollen und Sammlungen hinzuzufügen und zu entfernen, um den Verwaltungsbereich des Administrators anzupassen.This option supports the addition or removal of security roles and collections to customize the administrative scope of the administrative user.

  • Zugewiesene Sicherheitsrollen den angegebenen Sicherheitsbereichen und Sammlungen zuordnen: Mit dieser Option können Sie Zuordnungen zwischen einzelnen Sicherheitsrollen und bestimmten Sicherheitsbereichen und Sammlungen für den Benutzer erstellen.Associate assigned security roles with specific security scopes and collections: This option lets you create specific associations between individual security roles and specific security scopes and collections for the user.

    Hinweis

    Diese Option ist nur verfügbar, wenn Sie die Eigenschaften eines vorhandenen Administrators ändern.This option is available only when you modify the properties of an administrative user.

Von der aktuellen Konfiguration für das Verhalten im Zusammenhang mit sicherungsfähigen Objekten ist abhängig, welches Verfahren Sie verwenden müssen, um zusätzliche Sicherheitsrollen zuzuweisen.The current configuration for the securable object behavior changes the process that you use to assign additional security roles. Wenden Sie, abhängig von den Optionen für sicherungsfähige Objekte, die folgenden Verfahren zur Verwaltung eines Administrators an.Use the following procedures that are based on the different options for securable objects to help you manage an administrative user.

Gehen Sie wie folgt vor, um die Konfiguration für sicherungsfähige Objekte für einen Administrator anzuzeigen und zu verwalten.Use the following procedure to view and manage the configuration for securable objects for an administrative user.

So zeigen Sie das Verhalten im Zusammenhang mit sicherungsfähigen Objekten für einen Administrator an und verwalten esTo view and manage the securable object behavior for an administrative user

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.
  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Administratoren aus.In the Administration workspace, expand Security, and then choose Administrative Users.
  3. Wählen Sie den Administrator aus, den Sie ändern möchten.Select the administrative user that you want to modify.
  4. Wählen Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften die Option Eigenschaften aus.On the Home tab, in the Properties group, choose Properties.
  5. Wählen Sie die Registerkarte Sicherheitsbereiche aus, um die Konfiguration für sicherungsfähige Objekte für diesen Administrator anzuzeigen.Choose the Security Scopes tab to view the current configuration for securable objects for this administrative user.
  6. Zum Ändern des Verhaltens im Zusammenhang mit sicherungsfähigen Objekten wählen Sie die gewünschte Option aus.To modify the securable object behavior, select a new option for securable object behavior. Nach dem Ändern der Konfiguration erhalten Sie im entsprechenden Verfahren weitere Hinweise zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für den Administrator.After you change this configuration, see the appropriate procedure for further guidance to configure security scopes and collections, and security roles for this administrative user.
  7. Wählen Sie OK aus, um den Vorgang abzuschließen.Choose OK to complete the procedure.

Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte ausgewählt wurde.Use the following procedure to modify an administrative user that has the securable object behavior set to All instances of the objects that are related to the assigned security roles.

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Administratoren aus.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Wählen Sie den Administrator aus, den Sie ändern möchten.Select the administrative user that you want to modify.

  4. Wählen Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften die Option Eigenschaften aus.On the Home tab, in the Properties group, choose Properties.

  5. Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass für den Administrator die Option Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte konfiguriert wurde.Choose the Security Scopes tab to confirm that the administrative user is configured for All instances of the objects that are related to the assigned security roles.

  6. Wählen Sie die Registerkarte Sicherheitsrollen aus, um die zugewiesenen Sicherheitsrollen zu ändern.To modify the assigned security roles, choose the Security Roles tab.

    • Wenn Sie diesem Administrator weitere Sicherheitsrollen hinzufügen möchten, wählen Sie Hinzufügen aus. Aktivieren Sie dann das Kontrollkästchen für jede weitere zuzuweisende Sicherheitsrolle, und wählen Sie dann OK aus.To assign additional security roles to this administrative user, choose Add, check the box for each additional security role that you want to assign, and then choose OK.
    • Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und wählen Sie dann Entfernen aus.To remove security roles, select one or more security roles from the list, and then choose Remove.
  7. Wenn Sie das Verhalten im Zusammenhang mit sicherungsfähigen Objekten ändern möchten, wählen Sie die Registerkarte Sicherheitsbereiche und dann die gewünschte Option aus.To modify the securable object behavior, choose the Security Scopes tab and choose a new option for the securable object behavior. Nach dem Ändern der Konfiguration erhalten Sie im entsprechenden Verfahren weitere Hinweise zum Konfigurieren von Sicherheitsbereichen und Sammlungen sowie Sicherheitsrollen für den Administrator.After you change this configuration, see the appropriate procedure for further guidance to configure security scopes and collections, and security roles for this administrative user.

    Hinweis

    Wenn für das Verhalten im Zusammenhang mit sicherungsfähigen Objekten die Option Alle Instanzen der den Sicherheitsrollen zugewiesenen Objekte ausgewählt ist, können Sie Sicherheitsbereiche und Sammlungen weder hinzufügen noch entfernen.When the securable object behavior is set to All instances of the objects that are related to the assigned security roles, you can't add or remove specific security scopes and collections.

  8. Wählen Sie OK aus, um dieses Verfahren abzuschließen.Choose OK to complete this procedure.

Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte ausgewählt wurde:Use the following procedure to modify an administrative user that has the securable object behavior set to Only the instances of objects that are assigned to the specified security scopes and collections.

Für Option: Only the instances of objects that are assigned to the specified security scopes and collections (Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte)For option: Only the instances of objects that are assigned to the specified security scopes and collections

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Administratoren aus.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Wählen Sie den Administrator aus, den Sie ändern möchten.Select the administrative user that you want to modify.

  4. Wählen Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften die Option Eigenschaften aus.On the Home tab, in the Properties group, choose Properties.

  5. Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass für den Benutzer die Option Nur die Instanzen der dem angegebenen Sicherheitsbereich oder der angegebenen Sammlung zugewiesenen Objekte konfiguriert wurde.Choose the Security Scopes tab to confirm that the user is configured for Only the instances of objects that are assigned to the specified security scopes and collections.

  6. Wählen Sie die Registerkarte Sicherheitsrollen aus, um die zugewiesenen Sicherheitsrollen zu ändern.To modify the assigned security roles, choose the Security Roles tab.

    • Wenn Sie diesem Benutzer weitere Sicherheitsrollen hinzufügen möchten, wählen Sie Hinzufügen aus. Aktivieren Sie dann das Kontrollkästchen für jede weitere zuzuweisende Sicherheitsrolle, und wählen Sie dann OK aus.To assign additional security roles to this user, choose Add, check the box for each additional security role that you want to assign, and then choose OK.
    • Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und wählen Sie dann Entfernen aus.To remove security roles, select one or more security roles from the list, and then choose Remove.
  7. Wenn Sie die Sicherheitsbereiche und Sammlungen, die Sicherheitsrollen zugeordnet sind, ändern möchten, wählen Sie die Registerkarte Sicherheitsbereiche aus.To modify the security scopes and collections that are associated with security roles, choose the Security Scopes tab.

    • Wenn Sie allen diesem Administrator zugewiesenen Sicherheitsrollen neue Sicherheitsbereiche oder Sammlungen zuordnen möchten, wählen Sie Hinzufügen und dann eine der vier Optionen aus.To associate new security scopes or collections with all security roles that are assigned to this administrative user, choose Add and select one of the four options. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und wählen Sie dann OK aus.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.
    • Wenn Sie einen Sicherheitsbereich oder eine Sammlung entfernen möchten, wählen Sie das Objekt und dann Entfernen aus.To remove a security scope or collection, choose the object, and then choose Remove.
  8. Wählen Sie OK aus, um dieses Verfahren abzuschließen.Choose OK to complete this procedure.

Gehen Sie wie folgt vor, um einen Administrator zu ändern, für den als Verhalten im Zusammenhang mit sicherungsfähigen Objekten Zugewiesene Sicherheitsrollen den angegebenen Sicherheitsbereichen und Sammlungen zuordnen ausgewählt wurde:Use the following procedure to modify an administrative user that has the securable object behavior set to Associate assigned security roles with specific security scopes and collections.

Für Option: Zugewiesene Sicherheitsrollen den angegebenen Sicherheitsbereichen und Sammlungen zuordnenFor option: Associate assigned security roles with specific security scopes and collections

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltung aus.In the Configuration Manager console, choose Administration.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Eintrag Sicherheit, und wählen Sie dann Administratoren aus.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Wählen Sie den Administrator aus, den Sie ändern möchten.Select the administrative user that you want to modify.

  4. Wählen Sie auf der Registerkarte Startseite in der Gruppe Eigenschaften die Option Eigenschaften aus.On the Home tab, in the Properties group, choose Properties.

  5. Wählen Sie die Registerkarte Sicherheitsbereiche aus, um zu bestätigen, dass für den Administrator die Option Zugewiesene Sicherheitsrollen den angegebenen Sicherheitsbereichen und Sammlungen zuordnen konfiguriert wurde.Choose the Security Scopes tab to confirm that the administrative user is configured for Associate assigned security roles with specific security scopes and collections.

  6. Wählen Sie die Registerkarte Sicherheitsrollen aus, um die zugewiesenen Sicherheitsrollen zu ändern.To modify the assigned security roles, choose the Security Roles tab.

    • Wenn Sie diesem Administrator zusätzliche Sicherheitsrollen zuweisen möchten, wählen Sie Hinzufügen aus.To assign additional security roles to this administrative user, choose Add. Wählen Sie im Dialogfeld Sicherheitsrolle hinzufügen mindestens eine verfügbare Sicherheitsrolle und dann Hinzufügen aus. Wählen Sie anschließend einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll.On the Add Security Role dialog box, select one or more available security roles, choose Add, and select an object type to associate with the selected security roles. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und wählen Sie dann OK aus.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.

      Hinweis

      Sie müssen mindestens einen Sicherheitsbereich konfigurieren, damit die ausgewählten Sicherheitsrollen dem Administrator zugewiesen werden können.You must configure at least one security scope before the selected security roles can be assigned to the administrative user. Wenn Sie mehrere Sicherheitsrollen auswählen, wird jeder konfigurierte Sicherheitsbereich und jede Sammlung jeder ausgewählten Sicherheitsrolle zugeordnet.When you select multiple security roles, each security scope and collection that you configure is associated with each of the selected security roles.

    • Wenn Sie Sicherheitsrollen entfernen möchten, wählen Sie die entsprechenden Sicherheitsrollen in der Liste aus, und wählen Sie dann Entfernen aus.To remove security roles, select one or more security roles from the list, and then choose Remove.

  7. Wenn Sie die Sicherheitsbereiche und Sammlungen, die einer bestimmten Sicherheitsrolle zugeordnet sind, ändern möchten, wählen Sie die Registerkarte Sicherheitsbereiche und dann die Sicherheitsrolle aus. Anschließend wählen Sie Bearbeiten aus.To modify the security scopes and collections that are associated with a specific security role, choose the Security Scopes tab, select the security role, and then choose Edit.

    • Wenn Sie dieser Sicherheitsrolle neue Objekte zuordnen möchten, wählen Sie Hinzufügen und dann einen Objekttyp aus, der den ausgewählten Sicherheitsrollen zugeordnet werden soll.To associate new objects with this security role, choose Add, and select an object type to associate with the selected security roles. Wenn Sie Sicherheitsbereich oder Sammlung auswählen, aktivieren Sie das Kontrollkästchen für mindestens ein Objekt, um die Auswahl abzuschließen, und wählen Sie dann OK aus.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.

      Hinweis

      Sie müssen mindestens einen Sicherheitsbereich konfigurieren.You must configure at least one security scope.

    • Wenn Sie einen dieser Sicherheitsrolle zugeordneten Sicherheitsbereich oder eine Sammlung entfernen möchten, wählen Sie das Objekt und dann Entfernen aus.To remove a security scope or collection that is associated with this security role, select the object, and then choose Remove.

    • Wenn Sie das Ändern der zugeordneten Objekte abgeschlossen haben, wählen Sie OK aus.When you have finished modifying the associated objects, choose OK.

  8. Wählen Sie OK aus, um dieses Verfahren abzuschließen.Choose OK to complete this procedure.

    Achtung

    Wenn Administratoren durch eine Sicherheitsrolle die Berechtigung zum Bereitstellen von Sammlungen gewährt wird, können diese Administratoren Objekte von jedem Sicherheitsbereich aus verteilen, in dem Sie über die Berechtigung Lesen für das Objekt verfügen. Dies gilt auch dann, wenn dieser Sicherheitsbereich einer anderen Sicherheitsrolle zugewiesen ist.When a security role grants administrative users the collection deployment permission, those administrative users can distribute objects from any security scope for which they have object read permissions, even if that security scope is associated with a different security role.

Nächste SchritteNext steps

In Configuration Manager verwendete KontenAccounts used in Configuration Manager