Configurar administração baseada em funções para o Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

No Configuration Manager, a administração baseada em funções combina funções de segurança, escopos de segurança e coleções atribuídas para definir o escopo administrativo de cada usuário administrativo. Um escopo administrativo inclui os objetos que um usuário administrativo pode exibir no console do Configuration Manager e as tarefas relacionadas a esses objetos que ele tem permissão para realizar.

Se ainda não estiver familiarizado com esses conceitos, confira Conceitos básicos da administração baseada em funções.

Use as informações neste artigo para criar e configurar a administração baseada em funções e as configurações de segurança relacionadas.

Observação

Os procedimentos neste artigo pressupõem que o usuário administrativo está em uma função de segurança com as permissões necessárias. Por exemplo, as funções Administrador Completo ou Administrador de segurança.

Dica

Use a Ferramenta de auditoria e administração baseada em funções para ajudar com as seguintes ações:

  • Permissões de modelo para a função que você deseja criar.
  • Auditar todos os usuários administrativos, coleções e escopos de segurança existentes.
  • Auditar um usuário específico

Criar funções de segurança personalizadas

O Configuration Manager oferece várias funções de segurança internas. Você não pode alterar as permissões das funções internas. Se você precisar de outras funções, crie uma personalizada. Você pode criar uma função personalizada para conceder aos usuários administrativos outras permissões que eles precisam e não estão inclusas em uma função interna. Usando uma função de segurança personalizada, você pode atribuir a ela as permissões mínimas necessárias. Uma função personalizada pode evitar que você atribua uma função personalizada que concede mais permissões do que o necessário.

Como criar funções de segurança personalizadas

No console do Configuration Manager, acesse o workspace Administração. Expanda Segurança e selecione o nó Funções de Segurança. Use um dos seguintes processos para criar uma função de segurança:

Criar uma função de segurança personalizada copiando uma função interna

  1. Selecione uma função de segurança existente para usar como origem para a nova função.

  2. Na guia Página Inicial da faixa de opções, no grupo Função de Segurança, selecione Copiar. Essa ação criará uma cópia da função de segurança original.

  3. No assistente Copiar Função de Segurança, especifique um Nome para a nova função de segurança personalizada. O tamanho máximo é de 256 caracteres.

  4. Opcional, mas recomendado: especifique uma Descrição para resumir a finalidade dessa função de segurança personalizada. O tamanho máximo é 512 caracteres.

  5. Em Permissões, expanda cada tipo de objeto para exibir as permissões disponíveis.

  6. Para alterar uma permissão, selecione a lista suspensa e escolha Sim ou Não.

    Cuidado

    Quando você configura uma função de segurança personalizada, só conceda as permissões que são exigidas pelos usuários atribuídos a essa função. Por exemplo, a permissão Modificar do objeto Funções de Segurança permite que usuários atribuídos editem qualquer função de segurança acessível, mesmo que eles não tenham sido atribuídos a essa função de segurança.

  7. Após configurar as permissões, selecione OK para salvar a nova função de segurança.

Importe uma função de segurança que foi exportada de outra hierarquia do Configuration Manager

Importante

Importe somente arquivos de configuração de função de segurança personalizada de uma fonte confiável. Ao exportar uma função de segurança personalizada, salve-a em uma localização segura. Os arquivos XML não são assinados digitalmente.

  1. Na guia Página Inicial da faixa de opções, no grupo Criar, escolha Importar Função de Segurança.

  2. Especifique o arquivo XML que contém a configuração da função de segurança exportada. Selecione Abrir para concluir o procedimento e criar a função de segurança.

  3. Depois de importar uma função de segurança personalizada, abra as Propriedades. Veja as permissões para confirmar se elas incluem as permissões mínimas necessárias nessa função. Altere todas as permissões que não são necessárias nesse ambiente.

Observação

Você não pode exportar funções de segurança internas.

Configurar funções de segurança

Você pode modificar as permissões de uma função de segurança personalizada, mas não pode modificar as funções de segurança internas.

  1. No console do Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione nó Funções de Segurança.

  2. Selecione a função de segurança personalizada que deseja modificar ou exibir.

  3. Na guia Início da faixa de opções, no grupo Propriedades, selecione Propriedades.

  4. Na guia Geral da janela Propriedades, altere o Nome ou a Descrição, se necessário.

  5. Na guia Usuários Administrativos, exiba os usuários que estão associados a essa função. Para alterar a atribuição, acesse as propriedades do usuário administrativo.

  6. Na guia Permissões, expanda cada tipo de objeto para exibir as permissões disponíveis.

  7. Para alterar uma permissão, selecione a lista suspensa e escolha Sim ou Não.

    Cuidado

    Quando você configura uma função de segurança personalizada, só conceda as permissões que são exigidas pelos usuários atribuídos a essa função. Por exemplo, a permissão Modificar do objeto Funções de Segurança permite que usuários atribuídos editem qualquer função de segurança acessível, mesmo que eles não tenham sido atribuídos a essa função de segurança.

  8. Ao terminar, clique em OK para salvar a função de segurança personalizada.

Configurar escopos de segurança para um objeto

Gerencie escopos de segurança do objeto protegível e não do escopo de segurança. As únicas propriedades que podem ser alteradas em um escopo de segurança personalizado são o nome e a descrição. Você não pode modificar os dois escopos internos. Para alterar o nome e a descrição de um escopo personalizado, você precisa da permissão Modificar para o objeto Escopos de Segurança.

Ao criar um novo objeto no Configuration Manager, ele é associado a cada escopo de segurança que está vinculado às funções de segurança da conta usada para criar o objeto. Esse comportamento ocorre quando essas funções de segurança fornecem as permissões Criar ou Definir Escopo de Segurança. Depois de criar um objeto, você pode alterar os escopos de segurança e atribuí-los a vários escopos.

Por exemplo, foi atribuída a você uma função de segurança que lhe concede permissão para criar um grupo de limites. Essa função está associada ao escopo de segurança Administradores. Quando você cria um grupo de limites, você não tem uma opção para atribuir escopos de segurança específicos. O escopo de segurança Administradores é atribuído automaticamente ao novo grupo de limites. Após salvar o novo grupo de limites, você poderá editar os escopos de segurança do grupo de limite.

Para obter mais informações sobre como adicionar um escopo para um usuário, confira Modificar o escopo administrativo de um usuário administrativo.

Como criar um escopo de segurança personalizado

  1. No console do Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione o nó Escopos de Segurança.

  2. Na guia Página Inicial da faixa de opções, no grupo Criar, selecione Criar Escopo de Segurança.

  3. Na janela Criar Escopo de Segurança, especifique um Nome de escopo de segurança. O tamanho máximo é de 256 caracteres.

  4. Opcional, mas recomendado: especifique uma Descrição para resumir a finalidade desse escopo de segurança personalizada. O tamanho máximo é 512 caracteres.

  5. Selecione ou remova as atribuições de usuário administrativo. Você pode alterá-los depois de criar o escopo de segurança.

  6. Para salvar o escopo de segurança personalizado, selecione OK.

Como configurar escopos de segurança para um objeto

  1. No console do Configuration Manager, selecione um objeto que dê suporte à atribuição a um escopo de segurança. Para obter a lista de objetos com suporte, confira Conceitos básicos da administração baseada em funções – Escopos de segurança.

  2. Na guia Página Inicial da faixa de opções, no grupo Classificar, selecione Configurar Escopos de Segurança.

    Para uma pasta, acesse a guia Pasta da faixa de opções. No grupo Ações, selecione Definir Escopos de Segurança.

    Observação

    Um item será pesquisável em uma pasta fora do escopo de segurança de um usuário se esse usuário compartilhar um escopo de segurança com a pessoa que criou o objeto.

  3. Na caixa de diálogo Definir Escopos de Segurança, selecione ou desmarque os escopos de segurança do objeto. Selecione pelo menos um escopo de segurança.

  4. Selecione OK para salvar os escopos de segurança atribuídos.

Configurar coleções para gerenciar a segurança

Não existem procedimentos para configurar coleções para a administração baseada em funções. As coleções não têm uma configuração de administração baseada em função. Em vez disso, você atribui coleções a um usuário administrativo. Para determinar as ações que um usuário administrativo pode executar em uma coleção e nos membros dela, exiba as permissões para o tipo de objeto Coleção na função de segurança.

Quando um usuário administrativo possui permissões para uma coleção, ele também tem permissões para coleções que estão limitadas a essa coleção. Por exemplo, a sua organização usa uma coleção chamada Todos os Desktops. Também há uma coleção chamada Todos os Desktops da América do Norte, que está limitada à coleção Todos os Desktops. Se um usuário administrativo tiver permissões para Todos os Desktops, ele também terá as mesmas permissões para a coleção Todos os Desktops da América do Norte.

Um usuário administrativo não pode usar as permissões Excluir ou Modificar em uma coleção que está diretamente atribuída a ele. Ele pode usar essas permissões nas coleções que estão limitadas a essa coleção. No exemplo anterior, o usuário administrativo pode excluir ou modificar a coleção Todos os Desktops da América do Norte, mas não pode excluir ou modificar a coleção Todos os Desktops.

Criar um novo usuário administrativo

Para conceder acesso de gerenciamento do Configuration Manager aos indivíduos ou membros de um grupo de segurança, crie um usuário administrativo. Especifique uma conta do Windows do usuário ou do grupo de usuários. Atribua a cada usuário administrativo pelo menos uma função de segurança e um escopo de segurança. Você também pode atribuir coleções para limitar o escopo administrativo do usuário ou grupo.

Como criar um usuário administrativo

  1. No console do Configuration Manager, acesse o workspace Administração, expanda Segurança e selecione o nó Usuários Administrativos.

  2. Na guia Página Inicial da faixa de opções, no grupo Criar, selecione Adicionar Usuário ou Grupo.

  3. Selecione Procurar e a conta de usuário ou grupo que será usada para esse novo usuário administrativo no Configuration Manager.

    Observação

    Para a administração baseada em console, você só pode especificar usuários de domínio ou grupos de segurança de domínio como um usuário administrativo.

  4. Nas Funções de segurança associadas, selecione Adicionar para abrir uma lista de funções de segurança disponíveis. Selecione um ou mais funções de segurança e clique em OK.

  5. Escolha uma das seguintes opções para definir o comportamento de objeto protegível do novo usuário:

    • Todas as instâncias de objetos relacionadas às funções de segurança atribuídas: essa opção tem os seguintes comportamentos:

      • Escopo de segurança: Tudo
      • Coleções: Todos os Sistemas e Todos os Usuários e Grupos de Usuários
      • As funções de segurança que são atribuídas ao usuário definem o acesso a objetos.
      • Os objetos que esse usuário cria são atribuídos ao escopo de segurança Padrão.
    • Somente instâncias de objetos atribuídas aos escopos ou às coleções de segurança especificados: essa opção tem os seguintes comportamentos:

      • Escopo de segurança: Padrão
      • Coleções: Todos os Sistemas e Todos os Usuários e Grupos de Usuários
      • Esses padrões podem ser diferentes, pois os escopos de segurança e as coleções reais são limitados a aqueles que estão associados à conta que você usou para criar o usuário administrativo.
      • Adiciona ou remova escopos de segurança e coleções para personalizar o escopo administrativo desse usuário.

    Importante

    Depois de criar o usuário, exiba as propriedades dele para selecionar uma terceira opção: Associar as funções de segurança atribuídas a coleções e escopos de segurança específicos. Para obter mais informações, confira Modificar o escopo administrativo de um usuário administrativo.

  6. Selecione OK para fechar a janela e criar um usuário administrativo.

Modificar o escopo administrativo de um usuário administrativo

É possível modificar o escopo administrativo de um usuário administrativo ao adicionar ou remover funções de segurança, escopos de segurança e coleções que estão associados ao usuário. Cada usuário administrativo deve ser associado a pelo menos uma função de segurança e um escopo de segurança. Talvez você precise atribuir uma ou mais coleções para o escopo administrativo do usuário. A maioria das funções de segurança interage com as coleções e não funciona corretamente sem uma coleção atribuída.

Ao modificar um usuário administrativo, você pode alterar o comportamento de como os objetos protegíveis são associados às funções de segurança atribuídas. Os três comportamentos que podem ser selecionados são:

  • Todas as instâncias dos objetos relacionados às funções de segurança atribuídas: essa opção associa o usuário administrativo ao escopo Todos e às coleções Todos os Sistemas e Todos os Usuários e Grupos de Usuários. As funções de segurança que são atribuídas ao usuário definem o acesso a objetos.

  • Somente as instâncias de objetos que estiverem atribuídas a coleções ou escopos de segurança especificados: essa opção associa o usuário administrativo aos mesmos escopos de segurança e coleções que estão associados à conta que você usa para configurar o usuário administrativo. Essa opção oferece suporte à adição ou remoção de funções de segurança e coleções para personalizar o escopo administrativo do usuário administrativo.

  • Associar funções de segurança atribuídas a coleções e escopos de segurança específicos: essa opção permite que você crie as associações específicas entre as funções de segurança individuais, os escopos de segurança e as coleções específicas do usuário.

    Observação

    Essa opção está disponível somente quando você modifica as propriedades de um usuário administrativo.

A configuração atual para o comportamento de objeto protegível altera o processo que você usa para atribuir as funções de segurança adicionais. Use os procedimentos a seguir que são baseados em opções diferentes para objetos protegíveis a fim de ajudá-lo a gerenciar um usuário administrativo.

Use o procedimento a seguir para exibir e gerenciar a configuração de objetos protegíveis para um usuário administrativo.

Para exibir e gerenciar o comportamento do objeto protegível para um usuário administrativo

  1. No console do Configuration Manager, escolha Administração.
  2. No workspace Administração, expanda Segurança e escolha Usuários Administrativos.
  3. Selecione o usuário administrativo que deseja modificar.
  4. Na guia Início, no grupo Propriedades, clique em Propriedades.
  5. Escolha a guia Escopos de Segurança para exibir a configuração atual de objetos protegíveis para esse usuário administrativo.
  6. Para modificar o comportamento do objeto protegível, selecione uma nova opção para o comportamento do objeto protegível. Após alterar essa configuração, confira o procedimento apropriado para obter diretrizes sobre como configurar os escopos de segurança, as coleções e as funções de segurança para esse usuário administrativo.
  7. Escolha OK para concluir o procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que tem o comportamento de objeto passível de proteção definido como Todas as instâncias de objetos relacionadas às funções de segurança atribuídas.

  1. No console do Configuration Manager, escolha Administração.

  2. No workspace Administração, expanda Segurança e escolha Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Escolha a guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Todas as instâncias de objetos relacionadas às funções de segurança atribuídas.

  6. Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança.

    • Para atribuir funções de segurança adicionais a esse usuário administrativo, escolha Adicionar, marque a caixa de cada função de segurança adicional que você deseja atribuir e escolha OK.
    • Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e escolha Remover.
  7. Para modificar o comportamento de objeto protegível, escolha a guia Escopos de Segurança e escolha a nova opção para o comportamento de objeto protegível. Após alterar essa configuração, confira o procedimento apropriado para obter diretrizes sobre como configurar os escopos de segurança, as coleções e as funções de segurança para esse usuário administrativo.

    Observação

    Quando o comportamento de objeto passível de proteção está definido como Todas as instâncias de objetos relacionadas às funções de segurança atribuídas, você não pode adicionar ou remover coleções e escopos de segurança específicos.

  8. Escolha OK para concluir esse procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que tem o comportamento de objeto passível de proteção definido como Somente instâncias de objetos atribuídas aos escopos e às coleções de segurança especificadas.

Para a opção: Somente as instâncias de objetos que estiverem atribuídas a coleções ou escopos de segurança especificados

  1. No console do Configuration Manager, escolha Administração.

  2. No workspace Administração, expanda Segurança e escolha Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Escolha a guia Escopos de Segurança para confirmar se o usuário está configurado para Somente instâncias de objetos atribuídas aos escopos e às coleções de segurança especificadas.

  6. Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança.

    • Para atribuir funções de segurança adicionais a esse usuário, escolha Adicionar, marque a caixa de cada função de segurança adicional que você deseja atribuir e escolha OK.
    • Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e escolha Remover.
  7. Para modificar os escopos de segurança e as coleções associadas a funções de segurança, escolha a guia Escopos de Segurança.

    • Para associar novos escopos de segurança ou coleções com todas as funções de segurança que estão atribuídos a esse usuário administrativo, escolha Adicionar e selecione uma das quatro opções. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa para um ou mais objetos para concluir essa seleção e escolha OK.
    • Para remover uma coleção ou um escopo de segurança, escolha o objeto e escolha Remover.
  8. Escolha OK para concluir esse procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que tem o comportamento de objeto passível de proteção definido como Associar funções de segurança atribuídas a escopos e coleções de segurança específicos.

Para a opção: Associar funções de segurança atribuídas a coleções e escopos de segurança específicos

  1. No console do Configuration Manager, escolha Administração.

  2. No workspace Administração, expanda Segurança e escolha Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Escolha a guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Associar funções de segurança atribuídas a escopos e coleções de segurança específicos.

  6. Para modificar as funções de segurança atribuídas, escolha a guia Funções de Segurança.

    • Para atribuir funções de segurança adicionais para esse usuário administrativo, escolha Adicionar. Na caixa de diálogo Adicionar Função de Segurança, selecione uma ou mais funções de segurança disponíveis, escolha Adicionar e selecione um tipo de objeto para associar a funções de segurança selecionadas. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa para um ou mais objetos para concluir essa seleção e escolha OK.

      Observação

      Você deve configurar pelo menos um escopo de segurança antes das funções de segurança selecionadas poder ser atribuídas ao usuário administrativo. Quando você seleciona várias funções de segurança, cada escopo de segurança e coleção que você configura está associado a cada uma das funções de segurança selecionadas.

    • Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e escolha Remover.

  7. Para modificar os escopos de segurança e as coleções associados a uma função de segurança específica, escolha a guia Escopos de Segurança, selecione a função de segurança e escolha Editar.

    • Para associar novos objetos a essa função de segurança, escolha Adicionar e selecione um tipo de objeto para associar a funções de segurança selecionadas. Se você selecionar Escopo de Segurança ou Coleção, marque a caixa para um ou mais objetos para concluir essa seleção e escolha OK.

      Observação

      Você deve configurar pelo menos um escopo de segurança.

    • Para remover uma coleção ou escopo de segurança que está associado a essa função de segurança, selecione o objeto e escolha Remover.

    • Modificados os objetos associados, escolha OK.

  8. Escolha OK para concluir esse procedimento.

    Cuidado

    Quando uma função de segurança concede a usuários administrativos a permissão de implantação de coleção, os usuários administrativos podem distribuir objetos a partir de qualquer escopo de segurança para os quais eles têm permissões de leitura de objetos, mesmo se o escopo de segurança esteja associado a uma função de segurança diferente.

Próximas etapas

Ferramenta de auditoria e administração baseada em funções

Contas usadas no Configuration Manager