Configure a administração baseada em funções para o Gestor de Configuração

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

No Gestor de Configuração, a administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo para cada utilizador administrativo. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode ver na consola Do Gestor de Configuração e as tarefas relacionadas com os objetos que têm permissão para fazer.

Se ainda não está familiarizado com estes conceitos, consulte os fundamentos da administração baseada em papéis.

Utilize as informações deste artigo para criar e configurar a administração baseada em funções e as definições de segurança relacionadas.

Nota

Os procedimentos neste artigo pressupõem que o seu utilizador administrativo está numa função de segurança com as permissões necessárias. Por exemplo, as funções de administrador completo ou administrador de segurança.

Dica

Utilize a ferramenta de administração e auditoria baseada em funções para ajudar nas seguintes ações:

  • Modelar permissões para um novo papel que quer criar.
  • Auditar todos os utilizadores administrativos existentes, coleções e âmbitos de segurança.
  • Auditar um utilizador específico

Criar funções de segurança personalizadas

O Gestor de Configuração fornece várias funções de segurança incorporadas. Não podes mudar as permissões dos papéis embutidos. Se precisar de outros papéis, crie um personalizado. Você pode criar um papel personalizado para conceder aos utilizadores administrativos outras permissões que eles precisam e não estão incluídos em um papel incorporado. Ao utilizar uma função de segurança personalizada, pode atribuir-lhes as permissões menos necessárias. Um papel personalizado pode ajudá-lo a evitar atribuir uma função de segurança que concede mais permissões do que eles exigem.

Como criar funções de segurança personalizadas

Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Expandir segurança e, em seguida, selecionar o nó 'Papéis de Segurança'. Em seguida, use um dos seguintes processos para criar uma nova função de segurança:

Crie um novo papel de segurança personalizado copiando um papel incorporado

  1. Selecione uma função de segurança existente para usar como fonte para o novo papel.

  2. No separador Home da fita, no grupo Função de Segurança, selecione Copy. Esta ação cria uma cópia do papel de segurança de origem.

  3. No assistente Copiar Função de Segurança, especifique um Nome para a nova função de segurança personalizada. O comprimento máximo é de 256 caracteres.

  4. Opcional, mas recomendado, especifique uma Descrição para resumir o propósito desta função de segurança personalizada. O comprimento máximo é de 512 caracteres.

  5. Em Permissões, expanda cada tipo de objeto para exibir as permissões disponíveis.

  6. Para alterar uma permissão, selecione a lista de drop-down e escolha sim ou não.

    Atenção

    Ao configurar uma função de segurança personalizada, apenas conceda permissões que sejam exigidas pelos utilizadores destacados para esta função. Por exemplo, a permissão de Modificar para o objeto Deposição de Funções permite que os utilizadores designados editem qualquer função de segurança acessível, mesmo que não estejam atribuídos a essa função de segurança.

  7. Depois de configurar as permissões, selecione OK para salvar a nova função de segurança.

Importar um papel de segurança que foi exportado de outra hierarquia do Gestor de Configuração

Importante

Apenas importar ficheiros de configuração de funções de segurança personalizadas a partir de uma fonte fidedigna. Quando exportar uma função de segurança personalizada, guarde-a num local seguro. Os ficheiros XML não estão assinados digitalmente.

  1. No separador Casa da fita, no grupo Criar, escolha Import Security Role.

  2. Especifique o ficheiro XML que contém a configuração da função de segurança exportada. Selecione Open para completar o procedimento e criar a função de segurança.

  3. Depois de importar uma função de segurança personalizada, abra as suas Propriedades. Consulte as permissões para confirmar que incluem as permissões menos necessárias para esta função. Altere quaisquer permissões que não sejam necessárias neste ambiente.

Nota

Não se pode exportar papéis de segurança incorporados.

Configurar funções de segurança

Pode modificar as permissões para um papel de segurança personalizado, mas não pode modificar as funções de segurança incorporadas.

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a Segurança e, em seguida, selecione o nó 'Papéis de Segurança'.

  2. Selecione a função de segurança personalizada que pretende modificar ou visualizar.

  3. No separador Home da fita, no grupo Propriedades, selecione Propriedades.

  4. No separador geral da janela propriedades, altere o Nome ou descrição, se necessário.

  5. No separador Utilizadores Administrativos, consulte os utilizadores que estão associados a esta função. Para alterar a atribuição, aceda às propriedades do utilizador administrativo.

  6. No separador Permissões, expanda cada tipo de objeto para exibir as permissões disponíveis.

  7. Para alterar uma permissão, selecione a lista de drop-down e, em seguida, escolha sim ou não.

    Atenção

    Ao configurar uma função de segurança personalizada, apenas conceda permissões que sejam exigidas pelos utilizadores destacados para esta função. Por exemplo, a permissão de Modificar para o objeto Deposição de Funções permite que os utilizadores designados editem qualquer função de segurança acessível, mesmo que não estejam atribuídos a essa função de segurança.

  8. Quando terminar, selecione OK para guardar o papel de segurança personalizado.

Configurar âmbitos de segurança para um objeto

Gerencie os âmbitos de segurança do objeto secureável, não do âmbito de segurança. As únicas propriedades que pode alterar num âmbito de segurança personalizado é o nome e a descrição. Não se pode modificar os dois âmbitos incorporados. Para alterar o nome e descrição de um âmbito personalizado, precisa da permissão de Modificar para o objeto De âmbitos de segurança.

Quando cria um novo objeto no Gestor de Configuração, está associado a cada âmbito de segurança que está associado às funções de segurança da conta utilizada para criar o objeto. Este comportamento ocorre quando essas funções de segurança fornecem a permissão de Criar ou Definir A permissão de Âmbito de Segurança. Depois de criar um objeto, pode alterar os âmbitos de segurança e atribuí-lo a vários âmbitos.

Por exemplo, é-lhe atribuída uma função de segurança que lhe dá permissão para criar um novo grupo de fronteiras. Esse papel está associado ao âmbito de segurança dos Administradores. Quando se cria um novo grupo de fronteiras, não tem opção de atribuir âmbitos de segurança específicos. O âmbito de segurança dos Administradores é automaticamente atribuído ao novo grupo de fronteira. Depois de salvar o novo grupo de fronteiras, pode editar os âmbitos de segurança para o grupo de fronteira.

Para obter mais informações sobre como adicionar uma margem de manobra para um utilizador, consulte Modificar o âmbito administrativo de um utilizador administrativo.

Como criar um âmbito de segurança personalizado

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a Segurança e, em seguida, selecione o nó De Âmbitos de Segurança.

  2. No separador Casa da fita, no grupo Criar, selecione Criar Âmbito de Segurança.

  3. Na janela 'Criar âmbito de segurança', especifique um nome de âmbito de segurança. O comprimento máximo é de 256 caracteres.

  4. Opcional, mas recomendado, especifique uma Descrição para resumir o propósito deste âmbito de segurança personalizado. O comprimento máximo é de 512 caracteres.

  5. Selecione ou remova as atribuições administrativas do utilizador. Pode alterá-las depois de criar o âmbito de segurança.

  6. Para guardar o âmbito de segurança personalizado, selecione OK.

Como configurar os âmbitos de segurança para um objeto

  1. Na consola 'Gestor de Configuração', selecione um objeto que suporte a ser atribuído a um âmbito de segurança. Para a lista de objetos apoiados, consulte os fundamentos da administração baseada em funções - âmbitos de segurança.

  2. No separador Home da fita, no grupo Classificar, selecione Definir Âmbitos de Segurança.

    Para uma pasta, aceda ao separador pasta da fita. No grupo Ações, selecione Definir Âmbitos de Segurança.

    Nota

    Um item é pesquisável em pastas fora do âmbito de segurança de um utilizador se esse utilizador partilhar um âmbito de segurança com a pessoa que criou o objeto.

  3. Na janela 'Definir âmbitos de segurança', selecione ou limpe os âmbitos de segurança deste objeto. Selecione pelo menos um âmbito de segurança.

  4. Selecione OK para guardar os âmbitos de segurança atribuídos.

Configurar coleções para gerir a segurança

Não existem procedimentos para configurar coleções para administração baseada em funções. As coleções não têm uma configuração de administração baseada em papéis. Em vez disso, atribui coleções a um utilizador administrativo. Para determinar as ações que um utilizador administrativo pode fazer a uma coleção e aos seus membros, consulte as permissões para o tipo de objeto coleção na função de segurança.

Quando um utilizador administrativo tem permissões para uma coleção, também tem permissões para coleções que estejam limitadas a essa coleção. Por exemplo, a sua organização utiliza uma coleção chamada All Desktops. Há também uma coleção chamada All North America Desktops que se limita à coleção All Desktops. Se um utilizador administrativo tiver permissões para todos os desktops, eles têm as mesmas permissões para a coleção All North America Desktops.

Um utilizador administrativo não pode utilizar as permissões Desacrutando ou Modificar numa coleção que lhes seja atribuída diretamente. Podem usar estas permissões nas coleções que se limitam a essa coleção. No exemplo anterior, o utilizador administrativo pode eliminar ou modificar a coleção All North America Desktops, mas não pode eliminar ou modificar a coleção All Desktops.

Criar um novo utilizador administrativo

Para conceder a indivíduos ou membros de um grupo de segurança acesso para gerir o Gestor de Configuração, crie um utilizador administrativo. Especifique uma conta Windows do utilizador ou do grupo de utilizadores. Atribua a cada utilizador administrativo pelo menos uma função de segurança e um âmbito de segurança. Também pode atribuir coleções para limitar o âmbito administrativo do utilizador ou grupo.

Como criar um novo utilizador administrativo

  1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda a Segurança e, em seguida, selecione o nó de Utilizadores Administrativos.

  2. No separador Casa da fita, no grupo Criar, selecione Adicionar Utilizador ou Grupo.

  3. Selecione Procurar e, em seguida, selecione a conta de utilizador ou grupo para utilizar para este novo utilizador administrativo no Gestor de Configuração.

    Nota

    Para uma administração baseada em consolas, só é possível especificar utilizadores de domínio ou grupos de segurança de domínio como utilizador administrativo.

  4. Para as funções de segurança associadas, selecione Adicionar para abrir uma lista das funções de segurança disponíveis. Selecione uma ou mais funções de segurança e, em seguida, selecione OK.

  5. Escolha uma das seguintes opções para definir o comportamento do objeto securável para o novo utilizador:

    • Todas as instâncias dos objetos que estão relacionados com as funções de segurança atribuídas: Esta opção tem os seguintes comportamentos:

      • Âmbito de segurança: Todos
      • Coleções: Todos os sistemas e todos os utilizadores e grupos de utilizadores
      • As funções de segurança que atribui ao utilizador definem o seu acesso a objetos.
      • Novos objetos que este utilizador cria são atribuídos ao âmbito de segurança predefinido.

    • Apenas os casos de objetos atribuídos aos âmbitos e coleções de segurança especificados: Esta opção tem os seguintes comportamentos:

      • Âmbito de segurança: Predefinido
      • Coleções: Todos os sistemas e todos os utilizadores e grupos de utilizadores
      • Estes incumprimentos podem ser diferentes, uma vez que os verdadeiros âmbitos de segurança e cobranças estão limitados aos que estão associados à conta que utiliza para criar o utilizador administrativo.
      • Adicione ou remova os âmbitos e coleções de segurança para personalizar o âmbito administrativo deste utilizador.

    Importante

    Depois de criar o utilizador, veja as suas propriedades para selecionar uma terceira opção, Associate atribuiu funções de segurança com âmbitos e coleções de segurança específicos. Para obter mais informações, consulte Modificar o âmbito administrativo de um utilizador administrativo.

  6. Selecione OK para fechar a janela e criar o utilizador administrativo.

Modificar o âmbito administrativo de um utilizador administrativo

Para modificar o âmbito administrativo de um utilizador administrativo, adicione ou remova funções de segurança, âmbitos de segurança e coleções que estejam associados ao utilizador. Cada utilizador administrativo tem de estar associado, pelo menos, a uma função de segurança e a um âmbito de segurança. Poderá ser necessário atribuir uma ou mais coleções ao âmbito administrativo do utilizador. A maioria das funções de segurança interagem com as coleções e não funcionam corretamente sem uma coleção atribuída.

Quando modifica um utilizador administrativo, pode alterar o comportamento para a forma como os objetos com capacidade de segurança são associados às funções de segurança atribuídas. Os três comportamentos que pode selecionar são os seguintes:

  • Todas as instâncias dos objetos que estão relacionados com as funções de segurança atribuídas: Esta opção associa o utilizador administrativo ao âmbito All, e às coleções All Systems e All Users and User Groups. As funções de segurança atribuídas ao utilizador definem o acesso aos objetos.

  • Apenas os casos de objetos atribuídos aos âmbitos e coleções de segurança especificados: Esta opção associa o utilizador administrativo aos mesmos âmbitos de segurança e coleções que estão associados à conta que utiliza para configurar o utilizador administrativo. Esta opção suporta a adição ou remoção de funções de segurança e de coleções para personalizar o âmbito administrativo do utilizador administrativo.

  • Associar funções de segurança atribuídas a âmbitos e coleções de segurança específicos: Esta opção permite criar associações específicas entre funções de segurança individuais e âmbitos de segurança específicos e coleções para o utilizador.

    Nota

    Esta opção está disponível apenas quando modificar as propriedades de um utilizador administrativo.

A configuração atual do comportamento do objeto com capacidade de segurança altera o processo utilizado para atribuir funções de segurança adicionais. Utilize os procedimentos seguintes que são baseados nas diferentes opções para objetos com capacidade de segurança para o ajudar a gerir um utilizador administrativo.

Utilize o seguinte procedimento para visualizar e gerir a configuração de objetos securáveis para um utilizador administrativo.

Para ver e gerir o comportamento de objetos com capacidade de segurança de um utilizador administrativo

  1. Na consola 'Gestor de Configuração', escolha Administração.
  2. No espaço de trabalho da Administração, expanda a Segurança e, em seguida, escolha Utilizadores Administrativos.
  3. Selecione o utilizador administrativo que pretende modificar.
  4. No separador Casa, no grupo Propriedades, escolha Propriedades.
  5. Escolha o separador Âmbitos de Segurança para visualizar a configuração atual de objetos securáveis para este utilizador administrativo.
  6. Para modificar o comportamento do objeto com capacidade de segurança, selecione uma nova opção para o comportamento do objeto com capacidade de segurança. Depois de alterar esta configuração, consulte o procedimento adequado para obter mais orientações para configurar âmbitos e coleções de segurança e funções de segurança para este utilizador administrativo.
  7. Escolha OK para completar o procedimento.

Utilize o seguinte procedimento para modificar um utilizador administrativo que tenha o comportamento do objeto securável definido para todas as instâncias dos objetos que estejam relacionados com as funções de segurança atribuídas.

  1. Na consola 'Gestor de Configuração', escolha Administração.

  2. No espaço de trabalho da Administração, expanda a Segurança e, em seguida, escolha Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Casa, no grupo Propriedades, escolha Propriedades.

  5. Escolha o separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para todas as instâncias dos objetos que estão relacionados com as funções de segurança atribuídas.

  6. Para modificar as funções de segurança atribuídas, escolha o separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador administrativo, escolha Adicionar, verifique a caixa para cada função de segurança adicional que pretende atribuir e, em seguida, escolha OK.
    • Para remover funções de segurança, selecione uma ou mais funções de segurança da lista e, em seguida, escolha Remover.

  7. Para modificar o comportamento do objeto securável, escolha o separador De Âmbitos de Segurança e escolha uma nova opção para o comportamento do objeto securável. Depois de alterar esta configuração, consulte o procedimento adequado para obter mais orientações para configurar âmbitos e coleções de segurança e funções de segurança para este utilizador administrativo.

    Nota

    Quando o comportamento do objeto securável é definido para todas as instâncias dos objetos que estão relacionados com as funções de segurança atribuídas, não é possível adicionar ou remover âmbitos e coleções de segurança específicos.

  8. Escolha OK para completar este procedimento.

Utilize o seguinte procedimento para modificar um utilizador administrativo que tenha o comportamento do objeto securável definido apenas para as instâncias de objetos que são atribuídos aos âmbitos e coleções de segurança especificados.

Para opção: Apenas as instâncias de objetos que são atribuídos aos âmbitos e coleções de segurança especificados

  1. Na consola 'Gestor de Configuração', escolha Administração.

  2. No espaço de trabalho da Administração, expanda a Segurança e, em seguida, escolha Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Casa, no grupo Propriedades, escolha Propriedades.

  5. Escolha o separador Âmbitos de Segurança para confirmar que o utilizador está configurado apenas para as instâncias de objetos que são atribuídos aos âmbitos e coleções de segurança especificados.

  6. Para modificar as funções de segurança atribuídas, escolha o separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador, escolha Adicionar, verifique a caixa para cada função de segurança adicional que pretende atribuir e, em seguida, escolha OK.
    • Para remover funções de segurança, selecione uma ou mais funções de segurança da lista e, em seguida, escolha Remover.

  7. Para modificar os âmbitos de segurança e as coleções associadas às funções de segurança, escolha o separador Âmbitos de Segurança.

    • Para associar novos âmbitos de segurança ou coleções com todas as funções de segurança atribuídas a este utilizador administrativo, escolha Adicionar e selecione uma das quatro opções. Se selecionar O Âmbito de Segurança ou Recolha, verifique se a caixa tem um ou mais objetos para completar essa seleção e, em seguida, escolha OK.
    • Para remover um âmbito de segurança ou uma recolha, escolha o objeto e, em seguida, escolha Remover.

  8. Escolha OK para completar este procedimento.

Utilize o seguinte procedimento para modificar um utilizador administrativo que tenha o comportamento do objeto securável definido para Associate atribuiu funções de segurança com âmbitos e coleções de segurança específicos.

Para opção: Associar funções de segurança atribuídas com âmbitos e coleções de segurança específicos

  1. Na consola 'Gestor de Configuração', escolha Administração.

  2. No espaço de trabalho da Administração, expanda a Segurança e, em seguida, escolha Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Casa, no grupo Propriedades, escolha Propriedades.

  5. Escolha o separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para funções de segurança atribuídas ao Associado com âmbitos e coleções de segurança específicos.

  6. Para modificar as funções de segurança atribuídas, escolha o separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador administrativo, escolha Adicionar. Na caixa de diálogo 'Adicionar função de segurança', selecione uma ou mais funções de segurança disponíveis, escolha Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar O Âmbito de Segurança ou Recolha, verifique se a caixa tem um ou mais objetos para completar essa seleção e, em seguida, escolha OK.

      Nota

      Tem de configurar, pelo menos, um âmbito de segurança para que as funções de segurança selecionadas possam ser atribuídas ao utilizador administrativo. Quando seleciona várias funções de segurança, cada coleção e âmbito de segurança que configura são associados a cada um dos perfis de segurança selecionados.

    • Para remover funções de segurança, selecione uma ou mais funções de segurança da lista e, em seguida, escolha Remover.

  7. Para modificar os âmbitos de segurança e as coleções associadas a uma função de segurança específica, escolha o separador De âmbitos de segurança, selecione a função de segurança e, em seguida, escolha Editar.

    • Para associar novos objetos a esta função de segurança, escolha Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar O Âmbito de Segurança ou Recolha, verifique se a caixa tem um ou mais objetos para completar essa seleção e, em seguida, escolha OK.

      Nota

      Deve configurar pelo menos uma mira de segurança.

    • Para remover um âmbito de segurança ou uma recolha que esteja associado a esta função de segurança, selecione o objeto e, em seguida, escolha Remover.

    • Quando terminar de modificar os objetos associados, escolha OK.

  8. Escolha OK para completar este procedimento.

    Atenção

    Quando uma função de segurança concede a utilizadores administrativos a permissão de implementação de coleção, esses utilizadores administrativos podem distribuir objetos de qualquer âmbito de segurança para o qual possuam permissões de leitura de objetos, mesmo que esse âmbito de segurança esteja associado a outra função de segurança.

Passos seguintes

Ferramenta de administração e auditoria baseada em funções

Contas utilizadas no Gestor de Configuração