Conceptos básicos de la administración basada en roles de System Center Configuration ManagerFundamentals of role-based administration for System Center Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Con System Center Configuration Manager, usa la administración basada en roles para proteger el acceso que se necesita para administrar Configuration Manager.With System Center Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. Además, protege el acceso a los objetos que administra, como las recopilaciones, implementaciones y sitios.You also secure access to the objects that you manage, like collections, deployments, and sites. Una vez que comprenda los conceptos presentados en este artículo, podrá configurar la administración basada en roles para System Center Configuration Manager.After you understand the concepts introduced in this article, you can Configure role-based administration for System Center Configuration Manager.

El modelo de administración basada en roles define y administra de manera centralizada la configuración de acceso de seguridad de la totalidad de la jerarquía para todos los sitios y sus configuraciones, mediante los elementos siguientes:The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following items:

  • Los roles de seguridad se asignan a los usuarios administrativos para proporcionar a dichos usuarios (o grupos de usuarios) permisos de diferentes objetos de Configuration Manager.Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. Por ejemplo, permiso para crear o cambiar la configuración del cliente.For example, permission to create or change client settings.

  • Los ámbitos de seguridad se usan para agrupar instancias específicas de objetos que un usuario administrativo se encarga de administrar, como una aplicación que instala Microsoft Office 2010.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office 2010.

  • Las recopilaciones se usan para especificar grupos de recursos de usuarios y de dispositivos que el usuario administrativo puede administrar.Collections are used to specify groups of user and device resources that the administrative user can manage.

    Con la combinación de roles de seguridad, ámbitos de seguridad y recopilaciones, proporciona las asignaciones administrativas que cumplen los requisitos de su organización.With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. Si se usan conjuntamente, definen el ámbito administrativo de un usuario, que es lo que el usuario puede ver y administrar en su implementación de Configuration Manager.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

Ventajas de la administración basada en rolesBenefits of role-based administration

  • Los sitios no se usan como límites administrativos.Sites aren't used as administrative boundaries.
  • Puede crear usuarios administrativos para una jerarquía y solo es necesario asignarles la seguridad una vez.You create administrative users for a hierarchy and only need to assign security to them one time.
  • Todas las asignaciones de seguridad se replican y están disponibles en toda la jerarquía.All security assignments are replicated and available throughout the hierarchy.
  • Existen roles de seguridad integrados que se usan para asignar las tareas de administración habituales.There are built-in security roles that are used to assign the typical administration tasks. Cree sus propios roles de seguridad personalizados para satisfacer sus requisitos empresariales específicos.Create your own custom security roles to support your specific business requirements.
  • Los usuarios administrativos solo ven los objetos que tienen permisos para administrar.Administrative users see only the objects that they have permissions to manage.
  • Puede auditar las acciones de seguridad administrativa.You can audit administrative security actions.

Al diseñar e implementar la seguridad administrativa de Configuration Manager, se usa lo siguiente para crear un ámbito administrativo para un usuario administrativo:When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

El ámbito administrativo controla los objetos que un usuario administrativo ve en la consola de Configuration Manager y controla los permisos que el usuario tiene en dichos objetos.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. Las configuraciones de administración basada en roles se replican en cada sitio en la jerarquía como datos globales y, a continuación, se aplican a todas las conexiones administrativas.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Importante

Los retrasos de replicación entre sitios pueden impedir que un sitio reciba los cambios de la administración basada en roles.Intersite replication delays can prevent a site from receiving changes for role-based administration. Para obtener más información sobre cómo supervisar la replicación de base de datos entre sitios, consulte el tema Transferencias de datos entre sitios en System Center Configuration Manager.For information about how to monitor intersite database replication, see the Data transfers between sites in System Center Configuration Manager topic.

Roles de seguridadSecurity roles

Use roles de seguridad para conceder permisos de seguridad a usuarios administrativos.Use security roles to grant security permissions to administrative users. Los roles de seguridad son grupos de permisos de seguridad que se asignan a usuarios administrativos para que puedan realizar sus tareas administrativas.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Estos permisos de seguridad definen las acciones administrativas que un usuario administrativo puede realizar y los permisos que se conceden para determinados tipos de objetos.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. Como medida de seguridad recomendada, asigne roles de seguridad que proporcionen el menor nivel de permisos.As a security best practice, assign the security roles that provide the least permissions.

Configuration Manager dispone de varios roles de seguridad integrados para admitir las agrupaciones habituales de tareas administrativas. Puede crear sus propios roles de seguridad para satisfacer sus requisitos empresariales.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Ejemplos de roles de seguridad integrados:Examples of the built-in security roles:

  • Administrador total concede todos los permisos en Configuration Manager.Full Administrator grants all permissions in Configuration Manager.

  • Administrador de activos concede permisos para administrar el punto de sincronización de Asset Intelligence, las clases de notificaciones, el inventario de software, el inventario de hardware y las reglas de disponibilidad.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • Administrador de actualizaciones de software concede permisos para definir e implementar actualizaciones de software.Software Update Manager grants permissions to define and deploy software updates. Los usuarios administrativos asociados a este rol pueden crear recopilaciones, grupos de actualizaciones de software, implementaciones y plantillas.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

  • El administrador de seguridad concede permiso para agregar y quitar los usuarios administrativos y asociar estos usuarios con roles de seguridad, recopilaciones y ámbitos de seguridad.Security Administrator grants permissions to add and remove administrative users and associate administrative users with security roles, collections, and security scopes. Los usuarios administrativos que están asociados con este rol también pueden crear, modificar y eliminar los roles de seguridad y sus recopilaciones y ámbitos de seguridad asignados.Administrative users who are associated with this role can also create, modify, and delete security roles and their assigned security scopes and collections.

Sugerencia

Puede ver la lista de los roles de seguridad integrados y los roles de seguridad personalizados que crea, y sus descripciones, en la consola de Configuration Manager.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. Para ver los roles, en el área de trabajo Administración, expanda Seguridad y, después, seleccione Roles de seguridad.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Cada rol de seguridad tiene determinados permisos para distintos tipos de objetos.Each security role has specific permissions for different object types. Por ejemplo, el rol de seguridad Administrador de aplicaciones tiene los permisos siguientes para las aplicaciones: Aprobar, Crear, Eliminar, Modificar, Modificar carpeta, Mover objeto, Leer, Ejecutar informe y Establecer ámbito de seguridad.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report, and Set Security Scope.

No puede cambiar los permisos de los roles de seguridad integrados, pero puede copiar el rol, realizar cambios y, a continuación, guardar estos cambios como un nuevo rol de seguridad personalizado.You can't change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. También puede importar roles de seguridad que ha exportado desde otra jerarquía, por ejemplo, de una red de prueba.You can also import security roles that you've exported from another hierarchy, for example, from a test network. Revise los roles de seguridad y sus permisos para determinar si usará los roles de seguridad integrados o si debe crear sus propios roles de seguridad personalizados.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

Para ayudarle a planear los roles de seguridadTo help you plan for security roles

  1. Identifique las tareas que los usuarios administrativos realizan en Configuration Manager.Identify the tasks that the administrative users perform in Configuration Manager. Estas tareas pueden estar relacionadas con uno o más grupos de tareas de administración, como la implementación de aplicaciones y paquetes, la implementación de sistemas operativos y configuraciones para el cumplimiento, la configuración de sitios y seguridad, la realización de auditorías, el control remoto de equipos y la recopilación de datos de inventario.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Asigne estas tareas administrativas a uno o varios roles de seguridad integrados.Map these administrative tasks to one or more of the built-in security roles.

  3. Si algunos de los usuarios administrativos realiza las tareas de varios roles de seguridad, asigne dichos roles de seguridad a estos usuarios administrativos en vez de crear un nuevo rol de seguridad que combine las tareas.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of creating a new security role that combines the tasks.

  4. Si las tareas que identificó no se ajustan a los roles de seguridad integrados, cree y pruebe nuevos roles de seguridad.If the tasks that you identified don't map to the built-in security roles, create and test new security roles.

Para más información sobre cómo crear y configurar roles de seguridad para la administración basada en roles, consulte Crear roles de seguridad personalizados y Configurar roles de seguridad en el artículo Configurar la administración basada en roles para System Center Configuration Manager.For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for System Center Configuration Manager article.

RecopilacionesCollections

Las recopilaciones especifican los recursos de usuario y equipo que los usuarios administrativos pueden ver o administrar.Collections specify the user and computer resources that an administrative user can view or manage. Por ejemplo, para que los usuarios administrativos puedan implementar aplicaciones o ejecutar el control remoto, deben estar asignados a un rol de seguridad que conceda acceso a la recopilación que contiene dichos recursos.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. Puede seleccionar recopilaciones de usuarios o dispositivos.You can select collections of users or devices.

Para obtener más información sobre las recopilaciones, consulte Introduction to collections in System Center Configuration Manager (Introducción a las recopilaciones en System Center Configuration Manager).For more information about collections, see Introduction to collections in System Center Configuration Manager.

Antes de configurar la administración basada en roles, compruebe si tiene que crear nuevas recopilaciones por cualquiera de las siguientes razones:Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Organización funcional.Functional organization. Por ejemplo, separar recopilaciones de servidores y estaciones de trabajo.For example, separate collections of servers and workstations.
  • Alineación geográfica.Geographic alignment. Por ejemplo, separar recopilaciones de Europa y América del Norte.For example, separate collections for North America and Europe.
  • Requisitos de seguridad y procesos empresariales.Security requirements and business processes. Por ejemplo, separar las recopilaciones para equipos de prueba y producción.For example, separate collections for production and test computers.
  • Alineación de la organización.Organization alignment. Por ejemplo, separar recopilaciones para cada unidad de negocio.For example, separate collections for each business unit.

Para obtener más información sobre cómo configurar recopilaciones para la administración basada en roles, consulte Configurar recopilaciones para administrar la seguridad en el artículo Configurar la administración basada en roles para System Center Configuration Manager.For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for System Center Configuration Manager article.

Ámbitos de seguridadSecurity scopes

Use los ámbitos de seguridad para proporcionar acceso a objetos protegibles para los usuarios administrativos.Use security scopes to provide administrative users with access to securable objects. Un ámbito de seguridad es un conjunto de objetos protegibles asignados a usuarios administrativos como un grupo.A security scope is a named set of securable objects that are assigned to administrator users as a group. Todos los objetos protegibles deben estar asignados a uno o más ámbitos de seguridad.All securable objects must be assigned to one or more security scopes. Configuration Manager tiene dos ámbitos de seguridad integrados:Configuration Manager has two built-in security scopes:

  • El ámbito de seguridad integrado Todo concede acceso a todos los ámbitos.The All built-in security scope grants access to all scopes. No se pueden asignar objetos a este ámbito de seguridad.You can't assign objects to this security scope.

  • El ámbito de seguridad integrado Predeterminado se usa para todos los objetos de manera predeterminada.The Default built-in security scope is used for all objects, by default. Cuando se instala inicialmente Configuration Manager, todos los objetos se asignan a este ámbito de seguridad.When you first install Configuration Manager, all objects are assigned to this security scope.

Si desea restringir los objetos que los usuarios administrativos pueden ver y administrar, debe crear y utilizar sus propios ámbitos de seguridad personalizados.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. Los ámbitos de seguridad no admiten estructuras jerárquicas y no se pueden anidar.Security scopes don't support a hierarchical structure and can't be nested. Los ámbitos de seguridad pueden contener uno o varios tipos de objetos, como los siguientes:Security scopes can contain one or more object types, which include the following items:

  • Suscripciones de alertaAlert subscriptions
  • AplicacionesApplications
  • Imágenes de arranqueBoot images
  • Grupos de límitesBoundary groups
  • Elementos de configuraciónConfiguration items
  • Configuraciones personalizadas de clienteCustom client settings
  • Puntos de distribución y grupos de puntos de distribuciónDistribution points and distribution point groups
  • Paquetes de controladoresDriver packages
  • Carpetas (a partir de la versión 1906)Folders (starting in version 1906)
  • Condiciones globalesGlobal conditions
  • Trabajos de migraciónMigration jobs
  • Imágenes de sistema operativoOperating system images
  • Paquetes de instalación de sistema operativoOperating system installation packages
  • PaquetesPackages
  • ConsultasQueries
  • SitiosSites
  • Reglas de disponibilidad de softwareSoftware metering rules
  • Grupos de actualizaciones de softwareSoftware update groups
  • Paquetes de actualizaciones de softwareSoftware updates packages
  • Paquetes de secuencias de tareasTask sequence packages
  • Paquetes y elementos de configuración de dispositivos Windows CEWindows CE device setting items and packages

También hay algunos objetos que no se incluyen en los ámbitos de seguridad ya que solo se pueden proteger mediante roles de seguridad.There are also some objects that you can't include in security scopes because they're only secured by security roles. El acceso administrativo a estos objetos no se puede limitar a un subconjunto de los objetos disponibles.Administrative access to these objects can't be limited to a subset of the available objects. Por ejemplo, puede tener un usuario administrativo que crea grupos de límites que se utilizan en un determinado sitio.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Ya que el objeto de límite no admite ámbitos de seguridad, no puede asignar al usuario un ámbito de seguridad que solo proporciona acceso a los límites que puedan estar asociados a ese sitio.Because the boundary object doesn't support security scopes, you can't assign this user a security scope that provides access to only the boundaries that might be associated with that site. Como los objetos de límite no pueden estar asociados a un ámbito de seguridad, cuando asigna un rol de seguridad que incluye el acceso a objetos de límite a un usuario, el usuario puede obtener acceso a todos los límites de la jerarquía.Because a boundary object can't be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

Entre los objetos que no están limitados por ámbitos de seguridad se incluyen los siguientes:Objects that aren't limited by security scopes include the following items:

  • Bosques de Active DirectoryActive Directory forests
  • Usuarios administrativosAdministrative users
  • AlertasAlerts
  • Directivas antimalwareAntimalware policies
  • LímitesBoundaries
  • Asociaciones de equiposComputer associations
  • Configuración de cliente predeterminadaDefault client settings
  • Plantillas de implementaciónDeployment templates
  • Controladores de dispositivoDevice drivers
  • Conector de Exchange ServerExchange Server connector
  • Asignaciones de sitio a sitio de migraciónMigration site-to-site mappings
  • Perfiles de inscripción de dispositivo móvilMobile device enrollment profiles
  • Roles de seguridadSecurity roles
  • Ámbitos de seguridadSecurity scopes
  • Direcciones de sitiosSite addresses
  • Roles de sistema de sitioSite system roles
  • Títulos de softwareSoftware titles
  • Actualizaciones de softwareSoftware updates
  • Mensajes de estadoStatus messages
  • Afinidades de dispositivo de usuarioUser device affinities

Cree ámbitos de seguridad si tiene que limitar el acceso a instancias independientes de objetos.Create security scopes when you have to limit access to separate instances of objects. Por ejemplo:For example:

  • Un grupo de usuarios administrativos tiene que poder ver las aplicaciones de producción pero no tiene que poder ver aplicaciones de prueba.You have a group of administrative users who must be able to see production applications and not test applications. Cree un ámbito de seguridad para las aplicaciones de producción y otro para las aplicaciones de prueba.Create one security scope for production applications and another for the test applications.

  • Los distintos usuarios administrativos requieren un determinado acceso a algunas instancias de un tipo de objeto.Different administrative users require different access for some instances of an object type. Por ejemplo, un grupo de usuarios administrativos requiere el permiso de lectura en determinados grupos de actualizaciones de software, y otro grupo de usuarios administrativos requiere el permiso Modificar y Eliminar para otros grupos de actualizaciones de software.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Cree distintos ámbitos de seguridad para estos grupos de actualizaciones de software.Create different security scopes for these software update groups.

Para más información sobre cómo configurar ámbitos de seguridad para la administración basada en roles, consulte Configurar ámbitos de seguridad para un objeto en el artículo Configurar la administración basada en roles para System Center Configuration Manager.For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for System Center Configuration Manager article.

Pasos siguientesNext steps

Configuración de la administración basada en roles en System Center Configuration ManagerConfigure role-based administration for System Center Configuration Manager