Szerepkör alapú felügyelet a System Center Configuration Manager – alapokFundamentals of role-based administration for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A System Center Configuration Managerrel, használjon szerepkör alapú felügyelet a Configuration Manager felügyeletéhez szükséges hozzáférés biztonsága érdekében.With System Center Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. Emellett biztonságos hozzáféréssel az objektumokhoz, amelyeket Ön kezel, például gyűjtemények, központi telepítések és helyek.You also secure access to the objects that you manage, like collections, deployments, and sites. Miután megismerkedett az ebben a témakörben bemutatott fogalmakkal, szerepkör alapú felügyelet a System Center Configuration Manager konfigurálása.After you understand the concepts introduced in this topic, you can Configure role-based administration for System Center Configuration Manager.

A szerepköralapú adminisztrációs modell központilag határozza meg, és a következő használatával kezeli a hierarchiára kiterjedő biztonsági hozzáférési beállításokat minden hely és helybeállítás:The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following:

  • Biztonsági szerepkörök jogosultság ezeket a felhasználókat (vagy felhasználói csoportok) más Configuration Manager-objektumokhoz rendelt rendszergazdai felhasználók számára.Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. Ha például vagy ügyfélbeállítások módosítását lehetővé tevő engedély.For example, permission to create or change client settings.

  • Biztonsági hatókörök csoportja, amelyek egy rendszergazda felhasználó felelős kezelésére, mint egy alkalmazás, amely telepíti a Microsoft Office 2010-objektumok olyan specifikus példányai szolgálnak.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office 2010.

  • Gyűjtemények segítségével adhatja meg a rendszergazda felhasználó által felügyelhető felhasználói és erőforrások csoportjait.Collections are used to specify groups of user and device resources that the administrative user can manage.

    Biztonsági szerepkörök, biztonsági hatókörök és gyűjtemények együttes használatával elkülönítheti a a szervezet szükségleteit kielégítő rendszergazdai hozzárendeléseket.With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. Együttes használatuk esetén a mi, hogy a felhasználó megtekintheti és kezelheti a Configuration Manager-telepítés a felhasználó felügyeleti hatókörének definiálják.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

Szerepkör alapú felügyelet előnyeiBenefits of role-based administration

  • Helyek nem képeznek adminisztratív határokat.Sites are not used as administrative boundaries.

  • Hozzon létre a rendszergazda felhasználóknak az olyan hierarchia esetében, és csak hozzá kell rendelni biztonsági őket egy alkalommal.You create administrative users for a hierarchy and only need to assign security to them one time.

  • A biztonsági hozzárendeléseket a következők: a replikált és a teljes hierarchiában elérhetőek.All security assignments are replicated and available throughout the hierarchy.

  • Vannak, amelyek a jellemzően előforduló rendszergazdai feladatok hozzárendeléséhez beépített biztonsági szerepköröket.There are built-in security roles that are used to assign the typical administration tasks. Hozzon létre saját egyéni biztonsági szerepkörök adott üzleti igényei támogatásához.Create your own custom security roles to support your specific business requirements.

  • Rendszergazda felhasználók csak az objektumokat látják, amelyek kezeléséhez engedélyekkel rendelkeznek.Administrative users see only the objects that they have permissions to manage.

  • A biztonsággal kapcsolatos rendszergazdai műveletek naplózhatók.You can audit administrative security actions.

Ha tervezése és implementálása rendszergazdai biztonság, a Configuration Manager, a következő használatával hozzon létre egy felügyeleti hatókört a rendszergazda felhasználónak:When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

A felügyeleti hatókör szabályozza az objektumokat a Configuration Manager konzolon, és a egy rendszergazda felhasználó nézetek szabályozza az engedélyeket, a felhasználó ezen objektumokra vonatkozó rendelkezik.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. A szerepköralapú adminisztrációs konfigurációkat globális adatokként a hierarchia összes helyére replikálja a rendszer, majd az összes felügyeleti kapcsolatra alkalmazza azokat.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Fontos

A helyek közötti replikáció késései akadályozhatják a szerepköralapú adminisztráció változásainak fogadását az egyes helyeken.Intersite replication delays can prevent a site from receiving changes for role-based administration. Helyek közötti replikáció figyelésével kapcsolatos további információkért lásd: a adatátvitel a System Center Configuration Manager helyei között témakör.For information about how to monitor intersite database replication, see the Data transfers between sites in System Center Configuration Manager topic.

Biztonsági szerepkörökSecurity roles

Használjon biztonsági szerepköröket a biztonsági engedélyek megadására a rendszergazda felhasználóknak.Use security roles to grant security permissions to administrative users. A biztonsági szerepkörök olyan biztonsági engedélyek csoportjai, amelyeket a rendszergazda a felhasználókhoz rendelhet, hogy azok elláthassák felügyeleti feladataikat.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Ezek a biztonsági engedélyek megadják a rendszergazda felhasználók által végrehajtható felügyeleti műveleteket, valamint az egyes objektumtípusokra vonatkozóan biztosított engedélyeket.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. A megfelelő biztonság érdekében célszerű a lehető legkevesebb engedélyt biztosító biztonsági szerepköröket hozzárendelni.As a security best practice, assign the security roles that provide the least permissions.

A Configuration Manager támogatja a felügyeleti feladatok szokásos csoportosításait. emellett számos beépített biztonsági szerepkörök rendelkezik, és létrehozhat saját egyéni biztonsági szerepkörök adott üzleti igényei támogatásához.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Beépített biztonsági szerepkörök többek között az alábbiak:Examples of the built-in security roles:

  • Teljes körű rendszergazda a Configuration Manager az összes engedélyt.Full Administrator grants all permissions in Configuration Manager.

  • Eszközkezelő az Eszközintelligencia szinkronizációs pontja, az Eszközintelligencia jelentéskészítési osztályai, a szoftverleltár, Hardverleltár, és a mérési szabályok kezelésére ad engedélyt.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • Szoftverfrissítés-kezelő engedélyt definiálása és szoftverfrissítések központi telepítését.Software Update Manager grants permissions to define and deploy software updates. Ehhez a szerepkörhöz társított rendszergazda felhasználók gyűjteményeket, szoftverfrissítési csoportok, központi telepítések és sablonokat hozhat létre.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

Tipp

Megtekintheti a beépített biztonsági szerepkörök listájából egyéni biztonsági szerepkörök létrehozása, beleértve azok leírásait a Configuration Manager konzolon.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. A szerepkörök megtekintése a felügyeleti munkaterületet, bontsa ki a biztonsági, majd válassza ki biztonsági szerepkörök.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Mindegyik biztonsági szerepkör a különböző objektumtípusokra vonatkozó konkrét engedélyeket tartalmaz.Each security role has specific permissions for different object types. Ha például a alkalmazás szerzője biztonsági szerepkör az alkalmazások a következő engedélyekkel rendelkezik: Hagyja jóvá, létrehozása, törlése, módosítása, mappa, módosítása, objektum áthelyezése olvasási, futtassa a jelentést és biztonsági hatókör megadása.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report and Set Security Scope.

Egy beépített biztonsági szerepkör engedélyeit nem módosíthatja, de másolatot készíthet róla, hogy módosítsa azt, majd egy új egyéni biztonsági szerepkörként mentse ezekkel a módosításokkal.You cannot change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. Biztonsági szerepkörök, amelyek exportálta egy másik hierarchiából, például egy teszthálózatból is importálhat.You can also import security roles that you have exported from another hierarchy, for example, from a test network. Tekintse át a biztonsági szerepköröket és engedélyeiket annak eldöntéséhez, hogy a beépített biztonsági szerepkörök fogja használni, vagy kell-e a saját egyéni biztonsági szerepkörök létrehozása.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

A biztonsági szerepkörök tervezéséhez nyújt segítségetTo help you plan for security roles

  1. A rendszergazda felhasználók a Configuration Managerben végrehajtandó feladatok azonosítása.Identify the tasks that the administrative users perform in Configuration Manager. Ezek a feladatok a felügyeleti feladatok egy vagy több csoportjához, mint például az alkalmazások és csomagok központi telepítéséhez, az operációs rendszerek és a beállítások a megfelelőség érdekében történő központi telepítéséhez, a helyek és a biztonság konfigurálásához, a naplózáshoz, a számítógépek távvezérléséhez és a leltáradatok gyűjtéséhez kapcsolódhatnak.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Rendelje hozzá ezeket a felügyeleti feladatokat egy vagy több beépített biztonsági szerepkörhöz.Map these administrative tasks to one or more of the built-in security roles.

  3. Amennyiben egyes rendszergazda felhasználók több biztonsági szerepkör feladatait, rendelje hozzá több biztonsági szerepkört ezen felhasználókhoz, amely a feladatok új biztonsági szerepkör létrehozása helyett.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of creating a new security role that combines the tasks.

  4. Ha az azonosított feladatok nem felelnek meg a beépített biztonsági szerepköröknek, hozzon létre és teszteljen új biztonsági szerepköröket.If the tasks that you identified do not map to the built-in security roles, create and test new security roles.

Szerepkör alapú felügyelet biztonsági szerepköreinek létrehozásáról és konfigurálásáról kapcsolatos információkért lásd: egyéni biztonsági szerepkörök létrehozása és biztonsági szerepkörök konfigurálása a a konfigurálása szerepkör alapú felügyelet a System Center Configuration Manager témakör.For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for System Center Configuration Manager topic.

GyűjteményekCollections

A gyűjtemények a rendszergazda felhasználó által megtekinthető, illetve felügyelhető felhasználói és számítógép-erőforrásokat adják meg.Collections specify the user and computer resources that an administrative user can view or manage. Ahhoz például, hogy a rendszergazda felhasználók alkalmazásokat telepíthessenek vagy használhassák a távvezérlést, olyan biztonsági szerepkörhöz kell őket hozzárendelni, amely engedélyezi a hozzáférést egy ezen erőforrásokat tartalmazó gyűjteményhez.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. Ehhez felhasználókat vagy eszközöket tartalmazó gyűjteményeket jelölhet ki.You can select collections of users or devices.

Gyűjteményekkel kapcsolatos további információkért lásd: a System Center Configuration Manager gyűjteményeinek bemutatása.For more information about collections, see Introduction to collections in System Center Configuration Manager.

A szerepköralapú adminisztráció konfigurálása előtt ellenőrizze, hogy valamely alábbi okból szükség van-e új gyűjtemények létrehozására:Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Funkcionális szervezés,Functional organization. például külön gyűjtemények kialakítása a kiszolgálók és a munkaállomások számára.For example, separate collections of servers and workstations.

  • Földrajzi elkülönítés,Geographic alignment. például külön gyűjtemények az észak-amerikai és az európai telephelyek számára.For example, separate collections for North America and Europe.

  • Biztonsági követelmények és üzleti folyamatok,Security requirements and business processes. például külön gyűjtemények az üzemi környezet és a tesztgépek számára.For example, separate collections for production and test computers.

  • Szervezeti elkülönítés,Organization alignment. például külön gyűjtemények mindegyik üzleti egység számára.For example, separate collections for each business unit.

Szerepköralapú Adminisztráció gyűjteményeinek konfigurálásáról további információért lásd: biztonsági gyűjtemények konfigurálása a a a szerepkör alapú felügyelet a System Center konfigurációs konfigurálása Kezelő témakör.For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for System Center Configuration Manager topic.

Biztonsági hatókörökSecurity scopes

Biztonsági hatókörök használatával hozzáférést biztosíthat a rendszergazda felhasználóknak a biztonságos objektumokhoz.Use security scopes to provide administrative users with access to securable objects. Egy biztonsági hatókörhöz egy csoportként rendszergazda felhasználókhoz hozzárendelt biztonságos objektumok elnevezett halmazát.A security scope is a named set of securable objects that are assigned to administrator users as a group. Minden biztonságos objektumot hozzá kell rendelni egy vagy több biztonsági hatókörhöz.All securable objects must be assigned to one or more security scopes. A Configuration Manager van két beépített biztonsági hatókört tartalmazza:Configuration Manager has two built-in security scopes:

  • A összes beépített biztonsági hatókört hozzáférést biztosít minden hatókör.The All built-in security scope grants access to all scopes. nem rendelhet hozzá objektumokat.You cannot assign objects to this security scope.

  • A alapértelmezett beépített biztonsági hatókört használja a rendszer minden objektum alapértelmezés szerint.The Default built-in security scope is used for all objects, by default. A Configuration Manager első telepítésekor összes objektum ehhez a biztonsági hatókörhöz vannak hozzárendelve.When you first install Configuration Manager, all objects are assigned to this security scope.

Ha korlátozni szeretné a rendszergazda felhasználók számára látható és felügyelhető objektumok körét, egyéni biztonsági hatóköröket kell létrehoznia és használnia.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. A biztonsági hatókörök nem támogatják a hierarchikus elrendezést, és nem ágyazhatók egymásba.Security scopes do not support a hierarchical structure and cannot be nested. Egy biztonsági hatókörben egy vagy több objektumtípus szerepelhet, többek között az alábbiak:Security scopes can contain one or more object types, which include the following:

  • Riasztási előfizetésekAlert subscriptions

  • AlkalmazásokApplications

  • Rendszerindító lemezképekBoot images

  • HatárcsoportokBoundary groups

  • KonfigurációelemekConfiguration items

  • Egyedi ügyfélbeállításokCustom client settings

  • Terjesztési pontok vagy terjesztésipont-csoportokDistribution points and distribution point groups

  • Illesztőprogram-csomagokDriver packages

  • Globális feltételekGlobal conditions

  • Áttelepítési feladatokMigration jobs

  • Operációsrendszer-lemezképekOperating system images

  • Operációs rendszer telepítőcsomagjaiOperating system installation packages

  • CsomagokPackages

  • LekérdezésekQueries

  • HelyekSites

  • Szoftverhasználat-mérési szabályokSoftware metering rules

  • Szoftverfrissítési csoportokSoftware update groups

  • Szoftverfrissítési csomagokSoftware updates packages

  • Feladatütemező csomagokTask sequence packages

  • Windows CE eszközbeállítás elemek és csomagokWindows CE device setting items and packages

Van még néhány olyan objektum, amelyet nem tartalmazhatnak a biztonsági hatókörök, mert csak biztonsági szerepkörökkel vannak biztosítva.There are also some objects that you cannot include in security scopes because they are only secured by security roles. Ezek az objektumok a rendszergazdai hozzáférést nem korlátozható az elérhető objektumok egy részhalmazára.Administrative access to these objects cannot be limited to a subset of the available objects. Például előfordulhat, hogy egy rendszergazda felhasználó egy adott helyhez használatos határcsoportokat hoz létre.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Mivel a határobjektum nem támogatja a biztonsági hatóköröket, ezt a felhasználót nem rendelheti hozzá olyan biztonsági hatókörhöz, amely csak az adott hellyel társított határokhoz biztosítja a hozzáférést.Because the boundary object does not support security scopes, you cannot assign this user a security scope that provides access to only the boundaries that might be associated with that site. Az, hogy a határobjektumok nem társíthatók biztonsági hatókörökhöz, azt jelenti, hogy amikor határobjektumokhoz való hozzáférést tartalmazó biztonsági szerepkört rendel egy felhasználóhoz, az a hierarchiában szereplő összes határhoz hozzáférést kap.Because a boundary object cannot be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

Többek között az alábbi objektumok nincsenek biztonsági hatókörök által korlátozva:Objects that are not limited by security scopes include the following:

  • Active Directory-erdőkActive Directory forests

  • Rendszergazda felhasználókAdministrative users

  • RiasztásokAlerts

  • Kártevőirtó-házirendekAntimalware policies

  • HatárokBoundaries

  • Számítógép-társításokComputer associations

  • Alapértelmezett ügyfélbeállításokDefault client settings

  • Központi telepítési sablonokDeployment templates

  • EszközillesztőkDevice drivers

  • Exchange Server-összekötőExchange Server connector

  • Helyek közti megfeleltetések áttelepítéseMigration site-to-site mappings

  • Mobileszköz-beléptetési profilokMobile device enrollment profiles

  • Biztonsági szerepkörökSecurity roles

  • Biztonsági hatókörökSecurity scopes

  • HelycímekSite addresses

  • HelyrendszerszerepkörökSite system roles

  • SzoftvercímekSoftware titles

  • SzoftverfrissítésekSoftware updates

  • ÁllapotüzenetekStatus messages

  • Felhasználó-eszköz kapcsolatokUser device affinities

Ha különálló objektumpéldányokhoz való hozzáférés korlátozására van szükség, készítsen biztonsági hatóköröket.Create security scopes when you have to limit access to separate instances of objects. Példa:For example:

  • A rendszergazda felhasználók egy csoportjának az üzemi környezetben működő alkalmazásokat kell látnia, és nem a tesztalkalmazásokat.You have a group of administrative users who must be able to see production applications and not test applications. Létrehozhat egy biztonsági hatókört az üzemi környezetben működő alkalmazásokhoz, valamint egy másikat a tesztalkalmazásokhoz.Create one security scope for production applications and another for the test applications.

  • Különböző rendszergazda felhasználók eltérő hozzáférést igényelnek egy objektumtípus különböző példányaihoz,Different administrative users require different access for some instances of an object type. Például egy rendszergazda felhasználóknak van szüksége adott szoftverfrissítési csoportokhoz olvasási engedélyt, és a egy másik csoportot, a rendszergazda felhasználók más szoftverfrissítési csoportokhoz módosítási és törlési engedélyekkel kell rendelkeznie.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Ekkor létrehozhat az ezekhez a szoftverfrissítési csoportokhoz tartozó különböző biztonsági hatóköröket.Create different security scopes for these software update groups.

Szerepköralapú Adminisztráció biztonsági hatóköreinek konfigurálásáról további információért lásd: a objektum biztonsági hatóköreinek konfigurálásáról a a konfigurálása a szerepkör alapú felügyelet a System Center konfigurációs Kezelő témakör.For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for System Center Configuration Manager topic.