Noções básicas da administração baseada em funções para o System Center Configuration ManagerFundamentals of role-based administration for System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Com o System Center Configuration Manager, é utiliza a administração baseada em funções para proteger o acesso que é necessária para administrar o Configuration Manager.With System Center Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. Também proteger o acesso aos objetos que gere, como coleções, implementações e sites.You also secure access to the objects that you manage, like collections, deployments, and sites. Depois de compreender os conceitos apresentados neste tópico, pode configurar a administração baseada em funções para o System Center Configuration Manager.After you understand the concepts introduced in this topic, you can Configure role-based administration for System Center Configuration Manager.

O modelo de administração baseada em funções centralmente define e gere definições de acesso de segurança de toda a hierarquia para todos os sites e definições do site utilizando o seguinte:The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following:

  • Funções de segurança são atribuídas a utilizadores administrativos para fornecer, esses utilizadores (ou grupos de utilizadores), permissão a diferentes objetos do Configuration Manager.Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. Por exemplo, permissão para criar ou alterar as definições de cliente.For example, permission to create or change client settings.

  • Âmbitos de segurança são utilizadas para agrupar instâncias específicas de objetos que um utilizador administrativo é responsável para gerir, como uma aplicação que instala o Microsoft Office 2010.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft Office 2010.

  • Coleções são utilizadas para especificar os grupos de recursos de utilizador e dispositivo que o utilizador administrativo pode gerir.Collections are used to specify groups of user and device resources that the administrative user can manage.

    Com a combinação de funções de segurança, âmbitos de segurança e coleções, segregar as atribuições administrativas que satisfazem os requisitos da organização.With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. Utilizado em conjunto, definem o âmbito administrativo de um utilizador, que é o que esse utilizador pode ver e gerir na implementação do Configuration Manager.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

Vantagens da administração baseada em funçõesBenefits of role-based administration

  • Sites não são utilizados como limites administrativos.Sites are not used as administrative boundaries.

  • Criar utilizadores administrativos para uma hierarquia e apenas tem de atribuir-lhes segurança uma vez.You create administrative users for a hierarchy and only need to assign security to them one time.

  • Todas as atribuições de segurança são replicadas e estão disponíveis em toda a hierarquia.All security assignments are replicated and available throughout the hierarchy.

  • Existem funções de segurança incorporadas que são utilizadas para atribuir as tarefas de administração típicas.There are built-in security roles that are used to assign the typical administration tasks. Crie as suas próprias funções de segurança personalizadas para suportar necessidades comerciais específicas.Create your own custom security roles to support your specific business requirements.

  • Os utilizadores administrativos apenas conseguem ver os objetos aos quais têm permissões para gerir.Administrative users see only the objects that they have permissions to manage.

  • É possível auditar as ações de segurança administrativa.You can audit administrative security actions.

Quando estruturar e implementar a segurança administrativa do Configuration Manager, utilize o seguinte para criar um âmbito administrativo para um utilizador administrativo:When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

O âmbito administrativo controla os objetos que um vistas de utilizador administrativo na consola do Configuration Manager e controla as permissões que um utilizador tem nesses objetos.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. As configurações da administração baseada em funções são replicadas para cada site da hierarquia como dados globais e são depois aplicadas a todas as ligações administrativas.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Importante

Os atrasos na replicação entre sites podem impedir que um site receba alterações para a administração baseada em funções.Intersite replication delays can prevent a site from receiving changes for role-based administration. Para obter informações sobre como monitorizar a replicação de base de dados entre sites, consulte o transfere dados entre sites no System Center Configuration Manager tópico.For information about how to monitor intersite database replication, see the Data transfers between sites in System Center Configuration Manager topic.

Funções de segurança Security roles

Utilize funções de segurança para conceder permissões de segurança a utilizadores administrativos.Use security roles to grant security permissions to administrative users. As funções de segurança são grupos de permissões de segurança que são atribuídas aos utilizadores administrativos para que estes possam desempenhar as suas tarefas administrativas.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Estas permissões de segurança definem as ações administrativas que um utilizador administrativo pode executar e as permissões que são concedidas para tipos de objetos específicos.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. Como melhor prática de segurança, atribua as funções de segurança que proporcionam menos permissões.As a security best practice, assign the security roles that provide the least permissions.

O Configuration Manager possui várias funções de segurança incorporadas para suportar agrupamentos comuns de tarefas administrativas e pode criar as suas próprias funções de segurança personalizadas para suportar necessidades comerciais específicas.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Exemplos das funções de segurança incorporadas:Examples of the built-in security roles:

  • Administrador total concede todas as permissões no Configuration Manager.Full Administrator grants all permissions in Configuration Manager.

  • Gestor do Asset Intelligence concede permissões para gerir o ponto sincronização do Asset Intelligence, classes de inventário de software, inventário de hardware e elaboração de relatórios regras de medição do Asset Intelligence.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • Gestor de atualizações de software concede permissões para definir e implementar atualizações de software.Software Update Manager grants permissions to define and deploy software updates. Os utilizadores administrativos que estão associados esta função podem criar coleções, grupos de atualização de software, implementações e modelos.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

Dica

Pode ver a lista de funções de segurança incorporadas e funções de segurança personalizadas criadas, incluindo as suas descrições, na consola do Configuration Manager.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. Para ver as funções, no administração área de trabalho, expanda segurançae, em seguida, selecione funções de segurança.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Cada função de segurança tem permissões específicas para tipos de objetos diferentes.Each security role has specific permissions for different object types. Por exemplo, o autor da aplicação função de segurança tem as seguintes permissões para aplicações: Aprovar, criar, eliminar, modificar, modificar pasta, mover objeto, ler, execute o relatório e definir âmbito de segurança.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report and Set Security Scope.

Não é possível alterar as permissões das funções de segurança incorporadas, mas é possível copiar a função, alterá-la e guardar as alterações como uma nova função de segurança personalizada.You cannot change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. Também é possível importar funções de segurança exportadas de outra hierarquia, por exemplo, a partir de uma rede de teste.You can also import security roles that you have exported from another hierarchy, for example, from a test network. Reveja as funções de segurança e as respetivas permissões para determinar se irá utilizar as funções de segurança incorporadas ou se tiver de criar as suas próprias funções de segurança personalizada.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

Para o ajudar a planear funções de segurançaTo help you plan for security roles

  1. Identifique as tarefas que os utilizadores administrativos executam no Configuration Manager.Identify the tasks that the administrative users perform in Configuration Manager. Estas tarefas podem estar relacionadas com um ou mais grupos de tarefas de gestão, tais como a implementação de aplicações e pacotes, a implementação de sistemas operativos e definições de compatibilidade, a configuração de sites e da segurança, auditorias, o controlo remoto de computadores e a recolha de dados de inventário.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Mapeie estas tarefas administrativas para uma ou mais das funções de segurança incorporadas.Map these administrative tasks to one or more of the built-in security roles.

  3. Se alguns utilizadores administrativos executam as tarefas de várias funções de segurança, atribua-as a estes utilizadores administradores em vez de criar uma nova função de segurança que combine todas as tarefas.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of in creating a new security role that combines the tasks.

  4. Se as tarefas identificadas não mapearem para as funções de segurança incorporadas, crie e teste novas funções de segurança.If the tasks that you identified do not map to the built-in security roles, create and test new security roles.

Para obter informações sobre como criar e configurar funções de segurança para a administração baseada em funções, consulte o artigo criar funções de segurança personalizadas e configurar funções de segurança no configurar a administração baseada em funções para o System Center Configuration Manager tópico.For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for System Center Configuration Manager topic.

Coleções Collections

As coleções especificam os recursos de utilizador e de computador que um utilizador administrativo pode ver ou gerir.Collections specify the user and computer resources that an administrative user can view or manage. Por exemplo, para poderem implementar aplicações ou efetuar o controlo remoto, os utilizadores administrativos devem ter atribuída uma função de segurança que conceda acesso a uma coleção que contenha esses recursos.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. É possível selecionar coleções de utilizadores ou dispositivos.You can select collections of users or devices.

Para obter mais informações sobre coleções, consulte o artigo introdução às coleções no System Center Configuration Manager.For more information about collections, see Introduction to collections in System Center Configuration Manager.

Antes de configurar a administração baseada em funções, verifique se criou novas coleções por qualquer um dos seguintes motivos:Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Organização funcional.Functional organization. Por exemplo, coleções separadas de servidores e de estações de trabalho.For example, separate collections of servers and workstations.

  • Alinhamento geográfico.Geographic alignment. Por exemplo, coleções separadas para a América do Norte e para a Europa.For example, separate collections for North America and Europe.

  • Requisitos de segurança e processos empresariais.Security requirements and business processes. Por exemplo, coleções separadas para computadores de produção e de teste.For example, separate collections for production and test computers.

  • Alinhamento organizacional.Organization alignment. Por exemplo, coleções separadas para cada unidade de negócio.For example, separate collections for each business unit.

Para obter informações sobre como configurar coleções para a administração baseada em funções, consulte o artigo configurar coleções para gerir a segurança no configurar a administração baseada em funções para o System Center Configuration Manager tópico.For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for System Center Configuration Manager topic.

Âmbitos de segurança Security scopes

Utilize âmbitos de segurança para fornecer aos utilizadores administrativos acesso a objetos com capacidade de segurança.Use security scopes to provide administrative users with access to securable objects. Um âmbito de segurança é um conjunto nomeado de objetos com capacidade de segurança que são atribuídos a utilizadores administrativos como um grupo.A security scope is a named set of securable objects that are assigned to administrator users as a group. Todos os objetos com capacidade de segurança têm de ser atribuídos a um ou mais âmbitos de segurança.All securable objects must be assigned to one or more security scopes. O Configuration Manager possui dois âmbitos de segurança incorporados:Configuration Manager has two built-in security scopes:

  • O todos os âmbito de segurança incorporado concede acesso a todos os âmbitos.The All built-in security scope grants access to all scopes. Não é possível atribuir objetos a este âmbito de segurança.You cannot assign objects to this security scope.

  • O predefinido âmbito de segurança incorporado é utilizado para todos os objetos, por predefinição.The Default built-in security scope is used for all objects, by default. Quando instalar o Configuration Manager pela primeira vez, todos os objetos são atribuídos a este âmbito de segurança.When you first install Configuration Manager, all objects are assigned to this security scope.

Se pretender restringir os objetos que os utilizadores administrativos podem ver e gerir, tem de criar e utilizar os seus próprio âmbitos de segurança personalizados.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. Os âmbitos de segurança não suportam uma estrutura hierárquica e não podem ser aninhados.Security scopes do not support a hierarchical structure and cannot be nested. Os âmbitos de segurança podem conter um ou mais tipos de objetos, nomeadamente:Security scopes can contain one or more object types, which include the following:

  • Subscrições de alertasAlert subscriptions

  • AplicaçõesApplications

  • Imagens de arranqueBoot images

  • Grupos de limitesBoundary groups

  • Itens de configuraçãoConfiguration items

  • Definições de cliente personalizadasCustom client settings

  • Pontos de distribuição e grupos de pontos de distribuiçãoDistribution points and distribution point groups

  • Pacotes de controladoresDriver packages

  • Condições globaisGlobal conditions

  • Tarefas de migraçãoMigration jobs

  • Imagens de sistema operativoOperating system images

  • Pacotes de instalação de sistema operativoOperating system installation packages

  • PacotesPackages

  • ConsultasQueries

  • SitesSites

  • Regras de medição de softwareSoftware metering rules

  • Grupos de atualizações de softwareSoftware update groups

  • Pacotes de atualizações de softwareSoftware updates packages

  • Pacotes de sequências de tarefasTask sequence packages

  • Pacotes e itens de definição de dispositivos Windows CEWindows CE device setting items and packages

Existem também alguns objetos que não podem ser incluídos em âmbitos de segurança porque apenas são protegidos por funções de segurança.There are also some objects that you cannot include in security scopes because they are only secured by security roles. Acesso administrativo a estes objetos não pode ser limitado a um subconjunto dos objetos disponíveis.Administrative access to these objects cannot be limited to a subset of the available objects. Por exemplo, pode ter um utilizador administrativo que cria grupos de limites que são utilizados para um site específico.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Uma vez que o objeto de limite não suporta âmbitos de segurança, não é possível atribuir a este utilizador um âmbito de segurança que forneça acesso apenas aos limites que possam estar associados a esse site.Because the boundary object does not support security scopes, you cannot assign this user a security scope that provides access to only the boundaries that might be associated with that site. Dado que não é possível associar um objeto de limite a um âmbito de segurança, quando é atribuída a um utilizador uma função de segurança que inclui acesso a objetos de limites, esse utilizador pode aceder a todos os limites na hierarquia.Because a boundary object cannot be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

Exemplos de objetos que não são limitados por âmbitos de segurança:Objects that are not limited by security scopes include the following:

  • Florestas do Active DirectoryActive Directory forests

  • Utilizadores administrativosAdministrative users

  • AlertasAlerts

  • Políticas AntimalwareAntimalware policies

  • LimitesBoundaries

  • Associações de computadorComputer associations

  • Predefinições de clienteDefault client settings

  • Modelos de implementaçãoDeployment templates

  • Controladores de dispositivoDevice drivers

  • Conector do Exchange ServerExchange Server connector

  • Mapeamentos site a site de migraçãoMigration site-to-site mappings

  • Perfis de inscrição de dispositivos móveisMobile device enrollment profiles

  • Funções de segurançaSecurity roles

  • Âmbitos de segurançaSecurity scopes

  • Endereços de sitesSite addresses

  • Funções do sistema de sitesSite system roles

  • Títulos de softwareSoftware titles

  • Atualizações de softwareSoftware updates

  • Mensagens de estadoStatus messages

  • Afinidades de dispositivo do utilizadorUser device affinities

Crie âmbitos de segurança quando tiver de limitar o acesso a instâncias de objetos separadas.Create security scopes when you have to limit access to separate instances of objects. Por exemplo:For example:

  • Tem um grupo de utilizadores administrativos que deve poder ver aplicações de produção e não aplicações de teste.You have a group of administrative users who must be able to see production applications and not test applications. Crie um âmbito de segurança para aplicações de produção e outro para as aplicações de teste.Create one security scope for production applications and another for the test applications.

  • Utilizadores administrativos diferentes necessitam de acesso diferente a algumas instâncias de um tipo de objeto.Different administrative users require different access for some instances of an object type. Por exemplo, um grupo de utilizadores administrativos necessita de permissão de leitura para grupos de atualização de software específicos e outro grupo de utilizadores administrativos necessita das permissões modificar e eliminar para outros grupos de atualização de software.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Crie âmbitos de segurança diferentes para estes grupos de atualizações de software.Create different security scopes for these software update groups.

Para obter informações sobre como configurar âmbitos de segurança para a administração baseada em funções, consulte o configurar âmbitos de segurança para um objeto no configurar a administração baseada em funções para o System Center Configuration Manager tópico.For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for System Center Configuration Manager topic.