Configurer l’administration basée sur des rôles pour Configuration ManagerConfigure role-based administration for Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Dans Configuration Manager, l’administration basée sur des rôles combine des rôles de sécurité, des étendues de sécurité et des regroupements attribués pour définir l’étendue administrative de chaque utilisateur administratif.In Configuration Manager, role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Une étendue administrative inclut les objets qu’un utilisateur administratif peut afficher dans la console Configuration Manager et les tâches associées à ces objets que cet administrateur est autorisé à exécuter.An administrative scope includes the objects that an administrative user can view in the Configuration Manager console and the tasks related to those objects that the administrative user has permission to perform. Les configurations d'administration basée sur des rôles s'appliquent à chaque site dans une hiérarchie.Role-based administration configurations are applied at each site in a hierarchy.

Si vous n’êtes pas encore familiarisé avec les concepts de l’administration basée sur des rôles, consultez Principes de base de l’administration basée sur des rôles.If you're not yet familiar with concepts for role-based administration, see Fundamentals of role-based administration.

Les informations figurant dans les procédures suivantes peuvent vous aider à créer et à configurer une administration basée sur des rôles ainsi que les paramètres de sécurité correspondants :The information in the following procedures can help you create and configure role-based administration and related security settings:

Créer des rôles de sécurité personnalisésCreate custom security roles

Configuration Manager fournit plusieurs rôles de sécurité intégrés.Configuration Manager provides several built-in security roles. Si vous avez besoin de rôles de sécurité supplémentaires, vous pouvez créer un rôle de sécurité personnalisé à l'aide d'une copie d'un rôle de sécurité existant, que vous modifiez par la suite.If you require additional security roles, you can create a custom security role by creating a copy of an existing security role, and then modifying the copy. Vous pouvez créer un rôle de sécurité personnalisé pour accorder aux utilisateurs administratifs les autorisations de sécurité supplémentaires dont ils ont besoin et qui ne figurent pas dans le rôle de sécurité actuellement attribué.You might create a custom security role to grant administrative users the additional security permissions they require that aren't included in a currently assigned security role. Un rôle de sécurité personnalisé permet de leur accorder uniquement les autorisations dont ils ont besoin sans pour autant leur attribuer un rôle de sécurité avec plus d'autorisations que nécessaire.By using a custom security role, you can grant them only the permissions they require, and avoid assigning a security role that grants more permissions than they require.

Pour créer un rôle de sécurité à l'aide d'un rôle de sécurité existant en tant que modèle, procédez comme suit.Use the following procedure to create a new security role by using an existing security role as a template.

Pour créer des rôles de sécurité personnalisésTo create custom security roles

  1. Dans la console Configuration Manager, cliquez sur Administration.In the Configuration Manager console, go to Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Rôles de sécurité.In the Administration workspace, expand Security, and then choose Security Roles.

    Utilisez l'une des procédures suivantes pour créer le rôle de sécurité :Use one of the following processes to create the new security role:

    • Pour créer un rôle de sécurité personnalisé, effectuez les actions suivantes :To create a new custom security role, perform the following actions:

      1. Sélectionnez un rôle de sécurité existant à utiliser comme source pour le nouveau rôle de sécurité.Select an existing security role to use as the source for the new security role.

      2. Dans l’onglet Accueil puis dans le groupe Rôle de sécurité, choisissez Copier.On the Home tab, in the Security Role group, choose Copy. Cette action crée une copie du rôle de sécurité source.This action creates a copy of the source security role.

      3. Dans l'Assistant Copier le rôle de sécurité, spécifiez un Nom pour le nouveau rôle de sécurité personnalisé.In the Copy Security Role wizard, specify a Name for the new custom security role.

      4. Dans Attributions d'opérations de sécurité, développez chaque nœud Opérations de sécurité pour afficher les actions disponibles.In Security operation assignments, expand each Security Operations node to display the available actions.

      5. Pour modifier la configuration d’une opération de sécurité, cliquez sur la flèche vers le bas dans la colonne Valeur, puis choisissez Oui ou Non.To change the setting for a security operation, choose the down arrow in the Value column, and choose either Yes or No.

        Attention

        Lorsque vous configurez un rôle de sécurité personnalisé, veillez à ne pas accorder les autorisations dont les utilisateurs administratifs associés à ce nouveau rôle n’ont pas besoin.When you configure a custom security role, ensure that you don't grant permissions that aren't required by administrative users that are associated with the new security role. Par exemple, la valeur Modifier pour l’opération de sécurité Rôles de sécurité permet aux utilisateurs administratifs de modifier un rôle auquel ils ont accès, même s’ils ne le possèdent pas.For example, the Modify value for the Security Roles security operation grants administrative users permission to edit any accessible security role – even if they aren't associated with that security role.

      6. Après avoir configuré les autorisations, choisissez OK pour enregistrer le nouveau rôle de sécurité.After you configure the permissions, choose OK to save the new security role.

    • Pour importer un rôle de sécurité exporté à partir d’une autre hiérarchie Configuration Manager, effectuez les actions suivantes :To import a security role that was exported from another Configuration Manager hierarchy, perform the following actions:

      1. Dans l’onglet Accueil puis dans le groupe Créer, choisissez Importer un rôle de sécurité.On the Home tab, in the Create group, choose Import Security Role.

      2. Spécifiez le fichier .xml qui contient la configuration du rôle de sécurité que vous souhaitez importer.Specify the .xml file that contains the security role configuration that you want to import. Choisissez Ouvrir pour terminer la procédure et enregistrer le rôle de sécurité.Choose Open to complete the procedure and save the security role.

        Notes

        Après avoir importé un rôle de sécurité, vous pouvez en modifier les propriétés pour changer les autorisations d'objet associées au rôle de sécurité.After you import a security role, you can edit the security role properties to change the object permissions that are associated with the security role.

Configurer des rôles de sécuritéConfigure security roles

Les groupes d'autorisations de sécurité définis pour un rôle de sécurité sont appelés des attributions d'opérations de sécurité.The groups of security permissions that are defined for a security role are called security operation assignments. Les attributions d'opérations de sécurité représentent une association de types d'objet et d'actions disponibles pour chaque type d'objet.Security operation assignments represent a combination of object types and actions that are available for each object type. Vous pouvez modifier les opérations de sécurité disponibles pour un rôle de sécurité personnalisé, mais pas modifier les rôles de sécurité prédéfinis par Configuration Manager.You can modify which security operations are available for any custom security role, but you can't modify the built-in security roles that Configuration Manager provides.

Utilisez la procédure suivante pour modifier les opérations de sécurité pour un rôle de sécurité.Use the following procedure to modify the security operations for a security role.

Pour modifier des rôles de sécuritéTo modify security roles

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Rôles de sécurité.In the Administration workspace, expand Security, and then choose Security Roles.

  3. Sélectionnez le rôle de sécurité personnalisé à modifier.Select the custom security role that you want to modify.

  4. Sous l’onglet Accueil, dans le groupe Propriétés, choisissez Propriétés.On the Home tab, in the Properties group, choose Properties.

  5. Choisissez l’onglet Autorisations.Choose the Permissions tab.

  6. Dans Attributions d'opérations de sécurité, développez chaque nœud Opérations de sécurité pour afficher les actions disponibles.In Security operation assignments, expand each Security Operations node to display the available actions.

  7. Pour modifier la configuration d’une opération de sécurité, cliquez sur la flèche vers le bas dans la colonne Valeur, puis choisissez Oui ou Non.To change the setting for a security operation, choose the down arrow in the Value column, and then choose either Yes or No.

    Attention

    Lorsque vous configurez un rôle de sécurité personnalisé, veillez à ne pas accorder les autorisations dont les utilisateurs administratifs associés à ce nouveau rôle n’ont pas besoin.When you configure a custom security role, ensure that you don't grant permissions that aren't required by administrative users that are associated with the new security role. Par exemple, la valeur Modifier pour l’opération de sécurité Rôles de sécurité permet aux utilisateurs administratifs de modifier un rôle auquel ils ont accès, même s’ils ne le possèdent pas.For example, the Modify value for the Security Roles security operation grants administrative users permission to edit any accessible security role – even if they aren't associated with that security role.

  8. Après avoir terminé la configuration des attributions de l’opération de sécurité, choisissez OK pour enregistrer le nouveau rôle de sécurité.When you've finished configuring security operation assignments, choose OK to save the new security role.

Configurer des étendues de sécurité pour un objetConfigure security scopes for an object

L’association d’une étendue de sécurité à un objet est gérée à partir de l’objet et non à partir de l’étendue de sécurité.You manage the association of a security scope for an object from the object–not from the security scope. Les seules configurations directes prises en charge par l'étendue de sécurité sont les modifications apportées à son nom et à sa description.The only direct configurations that security scopes support are changes to its name and description. Pour modifier le nom et la description d'une étendue de sécurité lorsque vous affichez les propriétés d'étendue de sécurité, vous devez disposer de l'autorisation Modifier pour l'objet sécurisable Étendues de sécurité .To change the name and description of a security scope when you view the security scope properties, you must have the Modify permission for the Security Scopes securable object.

Lorsque vous créez un nouvel objet dans Configuration Manager, il est associé à chaque étendue de sécurité associé avec les rôles de sécurité du compte utilisé pour créer l’objet.When you create a new object in Configuration Manager, it's associated with each security scope that's associated with the security roles of the account used to create the object. Ce comportement se produit lorsque ces rôles de sécurité fournissent l’autorisation Créer ou l’autorisation Définir l’étendue de sécurité.This behavior occurs when those security roles provide the Create permission or Set Security Scope permission. Vous pouvez modifier les étendues de sécurité de l’objet après sa création.You can change the security scopes for the object after you create it.

Par exemple, un rôle de sécurité accordant l’autorisation de créer un groupe de limites vous est attribué.As an example, you're assigned a security role that grants you permission to create a new boundary group. Lorsque vous créez un groupe de limites, vous n’avez aucune option à laquelle attribuer des étendues de sécurité spécifiques.When you create a new boundary group, you have no option that you can assign specific security scopes to. En revanche, les étendues de sécurité disponibles à partir des rôles de sécurité qui vous sont associés sont attribuées automatiquement au nouveau groupe de limites.Instead, the security scopes that are available from the security roles you're associated with are automatically assigned to the new boundary group. Après l’enregistrement du nouveau groupe de limites, vous pouvez modifier les étendues de sécurité qui lui sont associées.After you save the new boundary group, you can edit the security scopes that are associated with the new boundary group.

Utilisez la procédure suivante pour configurer les étendues de sécurité attribuées à un objet.Use the following procedure to configure the security scopes that are assigned to an object.

Pour configurer des étendues de sécurité pour un objetTo configure security scopes for an object

  1. Dans la console Configuration Manager, sélectionnez un objet qui autorise l’attribution à une étendue de sécurité.In the Configuration Manager console, select an object that supports being assigned to a security scope.

  2. Dans l’onglet Accueil puis dans le groupe Classer, choisissez Définir des étendues de sécurité.On the Home tab, in the Classify group, choose Set Security Scopes.

  3. Dans la boîte de dialogue Définir des étendues de sécurité , activez ou désactivez les étendues de sécurité auxquelles cet objet est associé.In the Set Security Scopes dialog box, select or clear the security scopes that this object is associated with. Chaque objet prenant en charge des étendues de sécurité doit être attribué à une étendue de sécurité au moins.Each object that supports security scopes must be assigned to at least one security scope.

  4. Choisissez OK pour enregistrer les étendues de sécurité attribuées.Choose OK to save the assigned security scopes.

    Notes

    Lorsque vous créez un objet, vous pouvez l'attribuer à plusieurs étendues de sécurité.When you create a new object, you can assign the object to multiple security scopes. Pour modifier le nombre d’étendues de sécurité associées à l’objet, vous devez effectuer cette opération une fois l’objet créé.To modify the number of security scopes that are associated with the object, you must change this assignment after the object is created.

Pour configurer des étendues de sécurité pour un dossier (depuis la version 1906)To configure security scopes for a folder (starting in version 1906)

  1. Dans la console Configuration Manager, sélectionnez un dossier.In the Configuration Manager console, select a folder.

  2. Sous l’onglet Dossier dans le ruban, choisissez Définir des étendues de sécurité.On the Folder tab in the ribbon, choose Set Security Scopes.

    • Vous pouvez également cliquer avec le bouton droit sur le dossier et choisir Dossier > Définir des étendues de sécurité.You can also right-click the folder and choose Folder > Set Security Scopes.
  3. Dans la boîte de dialogue Définir des étendues de sécurité, sélectionnez ou supprimez les étendues de sécurité pour le dossier.In the Set Security Scopes dialog box, select or clear security scopes for the folder. Au moins une étendue de sécurité doit être affectée à chaque dossier.Each folder must be assigned to at least one security scope. Une étendue de sécurité Par défaut est affectée à tous les dossiers jusqu’à ce que changiez ce comportement.All folders are assigned the Default security scope until you change it.

  4. Choisissez OK pour enregistrer les étendues de sécurité attribuées.Choose OK to save the assigned security scopes.

    Important

    • Lorsque vous installez Configuration Manager version 1906, des autorisations Classe de dossier sont automatiquement ajoutées aux rôles de sécurité existants.Existing security roles will automatically get Folder Class permissions added when you install Configuration Manager version 1906. Vous devez ajouter des autorisations Classe de dossier pour tous les nouveaux rôles de sécurité, et vérifier que les rôles existants disposent des autorisations appropriées pour votre environnement.You'll need to add Folder Class permissions for any new security roles and verify existing roles have the appropriate permissions for your environment.

    • Un élément peut être recherché dans un dossier en dehors de l’étendue de sécurité d’un utilisateur si ce dernier partage une étendue de sécurité avec la personne qui a créé l’objet.An item is searchable in folder outside of a user's security scope if that user shares a security scope with the person who created the object.

Configurer des regroupements pour gérer la sécuritéConfigure collections to manage security

Aucune procédure de configuration de regroupements n'est disponible pour l'administration basée sur des rôles.There are no procedures to configure collections for role-based administration. Il n’existe pas de configuration d’administration basée sur des rôles pour les regroupements.Collections don't have a role-based administration configuration. Vous attribuez des regroupements à un utilisateur administratif lorsque vous le configurez.Instead, you assign collections to an administrative user when you configure the administrative user. Les opérations de sécurité de regroupement qui sont activées dans les rôles de sécurité attribués aux utilisateurs déterminent les autorisations d’un utilisateur administratif sur les regroupements et les ressources de ces derniers (leurs membres).The collection security operations that are enabled in the user-assigned security roles determine the permissions that an administrative user has for collections and collection resources (collection members).

Lorsqu'un utilisateur administratif dispose d'autorisations sur un regroupement, il dispose également d'autorisations sur des regroupements limités à ce regroupement.When an administrative user has permissions to a collection, they also have permissions to collections that are limited to that collection. Par exemple, votre organisation utilise un regroupement nommé Tous les postes de travail.As an example, your organization uses a collection named All Desktops. Il existe également un regroupement nommé Tous les postes de travail en Amérique du Nord, qui est limité au regroupement Tous les postes de travail.There's also a collection named All North America Desktops that's limited to the All Desktops collection. Si un utilisateur administratif dispose des autorisations sur Tous les postes de travail, il dispose également des mêmes autorisations sur le regroupement Tous les bureaux en Amérique du Nord.If an administrative user has permissions to All Desktops, they also have those same permissions to the All North America Desktops collection.

De plus, un utilisateur administratif ne peut pas utiliser l’autorisation Supprimer ou Modifier sur un regroupement qui lui est attribué directement.Additionally, an administrative user can't use the Delete or Modify permission on a collection that's directly assigned to them. Mais il peut utiliser ces autorisations sur les regroupements limités à ce regroupement.But, they can use these permissions on the collections that are limited to that collection. Dans l’exemple précédent, l’utilisateur administratif peut supprimer ou modifier le regroupement Tous les bureaux en Amérique du Nord, mais pas supprimer ou modifier le regroupement Tous les postes de travail.In the previous example, the administrative user can delete or modify the All North America Desktops collection, but they can't delete or modify the All Desktops collection.

Créer un utilisateur administratifCreate a new administrative user

Pour accorder aux personnes ou aux membres d’un groupe de sécurité l’accès pour gérer Configuration Manager, créez un utilisateur administratif dans Configuration Manager et spécifiez le compte Windows de l’utilisateur ou du groupe d’utilisateurs.To grant individuals or members of a security group access to manage Configuration Manager, create an administrative user in Configuration Manager and specify the Windows account of the User or User Group. Au moins un rôle de sécurité et une étendue de sécurité doivent être attribués à chaque utilisateur administratif dans Configuration Manager.Each administrative user in Configuration Manager must be assigned at least one security role and one security scope. Vous pouvez également attribuer des regroupements pour limiter l'étendue administrative de l'utilisateur administratif.You can also assign collections to limit the administrative scope of the administrative user.

Utilisez les procédures suivantes pour créer de nouveaux utilisateurs administratifs.Use the following procedures to create new administrative users.

Pour créer un nouvel utilisateur administratifTo create a new administrative user

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Utilisateurs administratifs.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Dans l’onglet Accueil puis dans le groupe Créer, choisissez Ajouter un utilisateur ou un groupe.On the Home tab, in the Create group, choose Add User or Group.

  4. Choisissez Parcourir, puis sélectionnez le compte d’utilisateur ou le groupe à utiliser pour le nouvel utilisateur administratif.Choose Browse, and then select the user account or group to use for this new administrative user.

    Notes

    Pour l'administration basée sur la console, seuls les utilisateurs du domaine ou les groupes de sécurité peuvent devenir des utilisateurs administratifs.For console-based administration, only domain users or security groups can be specified as an administrative user.

  5. Dans Associated security roles (Rôles de sécurité associés) , choisissez Ajouter pour ouvrir la liste des rôles de sécurité disponibles, activez la case à cocher d’un ou de plusieurs rôles de sécurité, puis choisissez OK.For Associated security roles, choose Add to open a list of the available security roles, check the box for one or more security roles, and then choose OK.

  6. Sélectionnez l’une des deux options suivantes pour définir le comportement de l’objet sécurisable pour le nouvel utilisateur :Choose one of the following two options to define the securable object behavior for the new user:

    • Toutes les instances des objets liés aux rôles de sécurité assignés : Cette option associe l’utilisateur administratif avec l’étendue de sécurité Tous et les regroupements Tous les systèmes et Tous les utilisateurs et groupes d’utilisateurs.All instances of the objects that are related to the assigned security roles: This option associates the administrative user with the All security scope, and the All Systems and All Users and User Groups collections. Les rôles de sécurité attribués à l'utilisateur définissent l'accès aux objets.The security roles that are assigned to the user define access to objects. Les nouveaux objets créés par cet utilisateur administratif sont attribués à l'étendue de sécurité Par défaut .New objects that this administrative user creates are assigned to the Default security scope.

    • Uniquement les instances d’objets assignées aux étendues de sécurité et regroupements spécifiés : Par défaut, cette option associe l’utilisateur administratif avec l’étendue de sécurité Par défaut et les regroupements Tous les systèmes et Tous les utilisateurs et groupes d’utilisateurs.Only the instances of objects that are assigned to the specified security scopes and collections: By default, this option associates the administrative user with the Default security scope, and the All Systems and All Users and User Groups collections. Toutefois, les étendues de sécurité et les regroupements réels sont limités à ceux qui sont associés au compte que vous avez utilisé pour créer le nouvel utilisateur administratif.However, the actual security scopes and collections are limited to those that are associated with the account that you used to create the new administrative user. Cette option prend en charge l'ajout ou la suppression d'étendues de sécurité et de regroupements pour personnaliser l'étendue administrative de l'utilisateur administratif.This option supports the addition or removal of security scopes and collections to customize the administrative scope of the administrative user.

    Important

    Les options précédentes associent chaque étendue de sécurité et chaque regroupement attribués, à chaque rôle de sécurité attribué à l’utilisateur administratif.The preceding options associate each assigned security scope and collection to each security role that is assigned to the administrative user. Vous pouvez utiliser une troisième option, Associer des rôles de sécurité attribués à des étendues de sécurité et à des regroupements spécifiques pour associer des rôles de sécurité individuels à des étendues de sécurité à des regroupements spécifiques.You can use a third option, Associate assigned security roles with specific security scopes and collections, to associate individual security roles to specific security scopes and collections. Cette troisième option est disponible après la création du nouvel utilisateur administratif, lorsque vous modifiez l'utilisateur administratif.This third option is available after you create the new administrative user, when you modify the administrative user.

  7. Selon l'option sélectionnée à l'étape 6, effectuez l'action suivante :Depending on your selection in step 6, take the following action:

    • Si vous avez sélectionné Toutes les instances d’objets liés aux rôles de sécurité attribués, choisissez OK pour terminer cette procédure.If you selected All instances of the objects that are related to the assigned security roles, choose OK to complete this procedure.

    • Si vous avez sélectionné Uniquement les instances d’objets attribués aux étendues de sécurité et aux regroupements spécifiés, choisissez Ajouter pour sélectionner des regroupements et des étendues de sécurité supplémentaires.If you selected Only the instances of objects that are assigned to the specified security scopes and collections, you can choose Add to select additional collections and security scopes. Vous pouvez également sélectionner un ou plusieurs objets dans la liste, puis choisir Supprimer pour les supprimer.Or select one or more objects in the list, and then choose Remove to remove them. Choisissez OK pour terminer cette procédure.Choose OK to complete this procedure.

Modifier l’étendue administrative d’un utilisateur administratifModify the administrative scope of an administrative user

Vous pouvez modifier l'étendue administrative d'un utilisateur administratif en ajoutant ou en supprimant des rôles de sécurité, des étendues de sécurité et des regroupements associés à l'utilisateur.You can modify the administrative scope of an administrative user by adding or removing security roles, security scopes, and collections that are associated with the user. Chaque utilisateur administratif doit être associé à au moins un rôle de sécurité et une étendue de sécurité.Each administrative user must be associated with at least one security role and one security scope. Vous devrez peut-être affecter un ou plusieurs regroupements à l'étendue administrative de l'utilisateur.You might have to assign one or more collections to the administrative scope of the user. La plupart des rôles de sécurité interagissent avec les regroupements et ne fonctionnent pas correctement sans regroupement attribué.Most security roles interact with collections and don't function correctly without an assigned collection.

Lorsque vous modifiez un utilisateur administratif, vous pouvez modifier le comportement des objets sécurisables au niveau de leur association avec les rôles de sécurité attribués.When you modify an administrative user, you can change the behavior for how securable objects are associated with the assigned security roles. Les trois comportements que vous pouvez sélectionner sont les suivants :The three behaviors that you can select are as follows:

  • Toutes les instances des objets liés aux rôles de sécurité assignés : Cette option associe l’utilisateur administratif avec l’étendue Tous et les regroupements Tous les systèmes et Tous les utilisateurs et groupes d’utilisateurs.All instances of the objects that are related to the assigned security roles: This option associates the administrative user with the All scope, and the All Systems and All Users and User Groups collections. Les rôles de sécurité attribués à l'utilisateur définissent l'accès aux objets.The security roles that are assigned to the user define access to objects.

  • Uniquement les instances d’objets assignées aux étendues de sécurité et regroupements spécifiés : cette option associe l’utilisateur administratif aux mêmes étendues de sécurité et regroupements qui sont associés au compte que vous utilisez pour configurer l’utilisateur administratif.Only the instances of objects that are assigned to the specified security scopes and collections: This option associates the administrative user to the same security scopes and collections that are associated to the account you use to configure the administrative user. Cette option prend en charge l'ajout ou la suppression de rôles de sécurité et de regroupements pour personnaliser l'étendue administrative de l'utilisateur administratif.This option supports the addition or removal of security roles and collections to customize the administrative scope of the administrative user.

  • Associer des rôles de sécurité assignés à des étendues de sécurité et des regroupements spécifiques : cette option vous permet de créer pour l’utilisateur des associations entre des rôles de sécurité et des regroupements et étendues de sécurité.Associate assigned security roles with specific security scopes and collections: This option lets you create specific associations between individual security roles and specific security scopes and collections for the user.

    Notes

    Cette option est disponible uniquement lorsque vous modifiez les propriétés d'un utilisateur administratif.This option is available only when you modify the properties of an administrative user.

La configuration actuelle du comportement de l'objet sécurisable modifie le processus qui vous permet d'attribuer des rôles de sécurité supplémentaires.The current configuration for the securable object behavior changes the process that you use to assign additional security roles. Utilisez les procédures suivantes, basées sur les différentes options des objets sécurisables, pour vous aider à gérer un utilisateur administratif.Use the following procedures that are based on the different options for securable objects to help you manage an administrative user.

Utilisez la procédure suivante pour afficher et gérer la configuration des objets sécurisables pour un utilisateur administratif.Use the following procedure to view and manage the configuration for securable objects for an administrative user.

Pour afficher et gérer le comportement de l'objet sécurisable pour un utilisateur administratifTo view and manage the securable object behavior for an administrative user

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.
  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Utilisateurs administratifs.In the Administration workspace, expand Security, and then choose Administrative Users.
  3. Sélectionnez l'utilisateur administratif à modifier.Select the administrative user that you want to modify.
  4. Sous l’onglet Accueil, dans le groupe Propriétés, choisissez Propriétés.On the Home tab, in the Properties group, choose Properties.
  5. Choisissez l’onglet Étendues de sécurité pour afficher la configuration actuelle des objets sécurisables de cet utilisateur administratif.Choose the Security Scopes tab to view the current configuration for securable objects for this administrative user.
  6. Pour modifier le comportement de l'objet sécurisable, sélectionnez une nouvelle option pour le comportement de l'objet sécurisable.To modify the securable object behavior, select a new option for securable object behavior. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des instructions supplémentaires sur la configuration des étendues de sécurité et des regroupements ainsi que des rôles de sécurité pour cet utilisateur administratif.After you change this configuration, see the appropriate procedure for further guidance to configure security scopes and collections, and security roles for this administrative user.
  7. Choisissez OK pour terminer la procédure.Choose OK to complete the procedure.

Utilisez la procédure suivante pour modifier un utilisateur administratif dont le comportement d’objet sécurisable est Toutes les instances d’objets liés aux rôles de sécurité attribués.Use the following procedure to modify an administrative user that has the securable object behavior set to All instances of the objects that are related to the assigned security roles.

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Utilisateurs administratifs.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Sélectionnez l'utilisateur administratif à modifier.Select the administrative user that you want to modify.

  4. Sous l’onglet Accueil, dans le groupe Propriétés, choisissez Propriétés.On the Home tab, in the Properties group, choose Properties.

  5. Cliquez sur l’onglet Étendues de sécurité afin de confirmer que l’utilisateur administratif est configuré pour Toutes les instances d’objets liés aux rôles de sécurité auxquels ils sont associés.Choose the Security Scopes tab to confirm that the administrative user is configured for All instances of the objects that are related to the assigned security roles.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité.To modify the assigned security roles, choose the Security Roles tab.

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, choisissez Ajouter, activez la case à cocher de chaque rôle de sécurité supplémentaire que vous souhaitez attribuer, puis choisissez OK.To assign additional security roles to this administrative user, choose Add, check the box for each additional security role that you want to assign, and then choose OK.
    • Pour supprimer des rôles de sécurité, sélectionnez-en un ou plusieurs dans la liste, puis choisissez Supprimer.To remove security roles, select one or more security roles from the list, and then choose Remove.
  7. Pour modifier le comportement de l’objet sécurisable, choisissez l’onglet Étendues de sécurité et sélectionnez une nouvelle option pour le comportement de l’objet sécurisable.To modify the securable object behavior, choose the Security Scopes tab and choose a new option for the securable object behavior. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des instructions supplémentaires sur la configuration des étendues de sécurité et des regroupements ainsi que des rôles de sécurité pour cet utilisateur administratif.After you change this configuration, see the appropriate procedure for further guidance to configure security scopes and collections, and security roles for this administrative user.

    Notes

    Lorsque le comportement de l’objet sécurisable est Toutes les instances d’objets liés aux rôles de sécurité attribués, vous ne pouvez ni ajouter ni supprimer des étendues de sécurité ou des regroupements spécifiques.When the securable object behavior is set to All instances of the objects that are related to the assigned security roles, you can't add or remove specific security scopes and collections.

  8. Choisissez OK pour terminer cette procédure.Choose OK to complete this procedure.

Utilisez la procédure suivante pour modifier un utilisateur administratif dont le comportement de l'objet sécurisable est paramétré sur Uniquement les instances d’objets attribués aux étendues de sécurité et aux regroupements spécifiés.Use the following procedure to modify an administrative user that has the securable object behavior set to Only the instances of objects that are assigned to the specified security scopes and collections.

Concernant l’option : Uniquement les instances d’objets assignées aux étendues de sécurité et regroupements spécifiésFor option: Only the instances of objects that are assigned to the specified security scopes and collections

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Utilisateurs administratifs.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Sélectionnez l'utilisateur administratif à modifier.Select the administrative user that you want to modify.

  4. Sous l’onglet Accueil, dans le groupe Propriétés, choisissez Propriétés.On the Home tab, in the Properties group, choose Properties.

  5. Choisissez l’onglet Étendues de sécurité afin de confirmer que l’utilisateur est configuré pour Uniquement les instances d’objets attribués aux étendues de sécurité et aux regroupements spécifiés.Choose the Security Scopes tab to confirm that the user is configured for Only the instances of objects that are assigned to the specified security scopes and collections.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité.To modify the assigned security roles, choose the Security Roles tab.

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur, choisissez Ajouter, activez la case à cocher de chaque rôle de sécurité supplémentaire que vous souhaitez attribuer, puis choisissez OK.To assign additional security roles to this user, choose Add, check the box for each additional security role that you want to assign, and then choose OK.
    • Pour supprimer des rôles de sécurité, sélectionnez-en un ou plusieurs dans la liste, puis choisissez Supprimer.To remove security roles, select one or more security roles from the list, and then choose Remove.
  7. Pour modifier les étendues de sécurité et les regroupements associés aux rôles de sécurité, choisissez l’onglet Étendues de sécurité.To modify the security scopes and collections that are associated with security roles, choose the Security Scopes tab.

    • Pour associer de nouvelles étendues de sécurité ou de nouveaux regroupements à tous les rôles de sécurité attribués à cet utilisateur administratif, choisissez Ajouter et sélectionnez l’une des quatre options.To associate new security scopes or collections with all security roles that are assigned to this administrative user, choose Add and select one of the four options. Si vous sélectionnez Étendue de sécurité ou Regroupement, activez la case à cocher d’un ou de plusieurs objets pour terminer cette sélection, puis choisissez OK.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.
    • Pour supprimer une étendue de sécurité ou un regroupement, sélectionnez l’objet puis choisissez Supprimer.To remove a security scope or collection, choose the object, and then choose Remove.
  8. Choisissez OK pour terminer cette procédure.Choose OK to complete this procedure.

Utilisez la procédure suivante pour modifier un utilisateur administratif pour lequel le comportement de l'objet sécurisable est paramétré sur Associer des rôles de sécurité attribués à des étendues de sécurité et à des regroupements spécifiques.Use the following procedure to modify an administrative user that has the securable object behavior set to Associate assigned security roles with specific security scopes and collections.

Concernant l’option : Associer des rôles de sécurité assignés à des étendues de sécurité et des regroupements spécifiquesFor option: Associate assigned security roles with specific security scopes and collections

  1. Dans la console Configuration Manager, choisissez Administration.In the Configuration Manager console, choose Administration.

  2. Dans l’espace de travail Administration, développez Sécurité, puis choisissez Utilisateurs administratifs.In the Administration workspace, expand Security, and then choose Administrative Users.

  3. Sélectionnez l'utilisateur administratif à modifier.Select the administrative user that you want to modify.

  4. Sous l’onglet Accueil, dans le groupe Propriétés, choisissez Propriétés.On the Home tab, in the Properties group, choose Properties.

  5. Choisissez l’onglet Étendues de sécurité afin de confirmer que l’utilisateur administratif est configuré pour Associer des rôles de sécurité attribués à des étendues de sécurité et à des regroupements spécifiques.Choose the Security Scopes tab to confirm that the administrative user is configured for Associate assigned security roles with specific security scopes and collections.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité.To modify the assigned security roles, choose the Security Roles tab.

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, choisissez Ajouter.To assign additional security roles to this administrative user, choose Add. Dans la boîte de dialogue Ajouter un rôle de sécurité, sélectionnez un ou plusieurs rôles de sécurité disponibles, choisissez Ajouter, puis sélectionnez un type d’objet à associer aux rôles de sécurité sélectionnés.On the Add Security Role dialog box, select one or more available security roles, choose Add, and select an object type to associate with the selected security roles. Si vous sélectionnez Étendue de sécurité ou Regroupement, activez la case à cocher d’un ou de plusieurs objets pour terminer cette sélection, puis choisissez OK.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.

      Notes

      Vous devez configurer au moins une étendue sécurité avant que les rôles de sécurité sélectionnés puissent être attribués à l'utilisateur administratif.You must configure at least one security scope before the selected security roles can be assigned to the administrative user. Lorsque vous sélectionnez plusieurs rôles de sécurité, chaque étendue de sécurité et regroupement que vous configurez est associé à chacun des rôles de sécurité sélectionnés.When you select multiple security roles, each security scope and collection that you configure is associated with each of the selected security roles.

    • Pour supprimer des rôles de sécurité, sélectionnez-en un ou plusieurs dans la liste, puis choisissez Supprimer.To remove security roles, select one or more security roles from the list, and then choose Remove.

  7. Pour modifier les étendues de sécurité et les regroupements associés à un rôle de sécurité spécifique, choisissez l’onglet Étendues de sécurité, sélectionnez le rôle de sécurité, puis choisissez Modifier.To modify the security scopes and collections that are associated with a specific security role, choose the Security Scopes tab, select the security role, and then choose Edit.

    • Pour associer de nouveaux objets à ce rôle de sécurité, choisissez Ajouter et sélectionnez le type d’objet à associer aux rôles de sécurité sélectionnés.To associate new objects with this security role, choose Add, and select an object type to associate with the selected security roles. Si vous sélectionnez Étendue de sécurité ou Regroupement, activez la case à cocher d’un ou de plusieurs objets pour terminer cette sélection, puis choisissez OK.If you select Security Scope or Collection, check the box for one or more objects to complete that selection, and then choose OK.

      Notes

      Vous devez configurer au moins une étendue de sécurité.You must configure at least one security scope.

    • Pour supprimer une étendue de sécurité ou un regroupement associé à ce rôle de sécurité, sélectionnez l’objet et choisissez Supprimer.To remove a security scope or collection that is associated with this security role, select the object, and then choose Remove.

    • Lorsque vous avez terminé de modifier les objets associés, choisissez OK.When you have finished modifying the associated objects, choose OK.

  8. Choisissez OK pour terminer cette procédure.Choose OK to complete this procedure.

    Attention

    Lorsqu'un rôle de sécurité accorde aux utilisateurs administratifs l'autorisation de déployer un regroupement, ces utilisateurs administratifs peuvent distribuer des objets depuis n'importe quelle étendue de sécurité pour laquelle il disposent d'autorisations de Lecture , même si cette étendue de sécurité est associée à un rôle de sécurité différent.When a security role grants administrative users the collection deployment permission, those administrative users can distribute objects from any security scope for which they have object read permissions, even if that security scope is associated with a different security role.

Étapes suivantesNext steps

Comptes utilisés dans Configuration ManagerAccounts used in Configuration Manager