Настройка администрирования на основе ролей для Configuration Manager

Относится к Configuration Manager (Current Branch)

В Configuration Manager администрирование на основе ролей объединяет роли безопасности, области безопасности и назначенные коллекции для определения административной области для каждого пользователя с правами администратора. Область администрирования включает объекты, которые пользователь может просматривать в консоли Configuration Manager, а также задачи, связанные с этими объектами, на выполнение которых у него есть разрешение.

Если вы еще не знакомы с этими понятиями, см. статью Основы ролевого администрирования.

Сведения, приведенные в этой статье, используются для создания и настройки ролевого администрирования и связанных параметров безопасности.

Примечание.

В процедурах, описанных в этой статье, предполагается, что пользователь с правами администратора находится в роли безопасности с необходимыми разрешениями. Например, роли полный администратор или администратор безопасности .

Совет

Используйте средство администрирования и аудита на основе ролей для выполнения следующих действий:

• Разрешения модели для новой роли, которую вы хотите создать.
• Аудит всех существующих административных пользователей, коллекций и областей безопасности.
• Аудит определенного пользователя

Создание пользовательских ролей безопасности

Configuration Manager предоставляет несколько встроенных ролей безопасности. Вы не можете изменить разрешения для встроенных ролей. Если вам требуются другие роли, создайте пользовательскую. Вы можете создать пользовательскую роль, чтобы предоставить администраторам другие разрешения, которые им требуются и не включены во встроенную роль. Используя настраиваемую роль безопасности, вы можете назначить им минимально необходимые разрешения. Пользовательская роль помогает избежать назначения роли безопасности, которая предоставляет больше разрешений, чем требуется.

Создание пользовательских ролей безопасности

В консоли Configuration Manager перейдите в рабочую область Администрирование. Разверните узел Безопасность и выберите узел Роли безопасности . Затем используйте один из следующих процессов, чтобы создать новую роль безопасности:

Создание настраиваемой роли безопасности путем копирования встроенной роли

1. Выберите существующую роль безопасности для использования в качестве источника для новой роли.

2. На вкладке Главная ленты в группе Роль безопасности выберите Копировать. Это действие создает копию исходной роли безопасности.

3. В мастере копирования роли безопасности укажите имя для новой настраиваемой роли безопасности. Максимальная длина имени составляет 256 символов.

4. Необязательно, но рекомендуется, укажите описание , чтобы суммировать назначение этой настраиваемой роли безопасности. Максимальная длина — 512 символов.

5. В разделе Разрешения разверните каждый тип объекта, чтобы отобразить доступные разрешения.

6. Чтобы изменить разрешение, выберите раскрывающийся список и выберите Да или Нет.

   Предостережение

   При настройке настраиваемой роли безопасности предоставляются только разрешения, необходимые пользователям, назначенным этой роли. Например, разрешение Изменить для объекта Роли безопасности позволяет назначенным пользователям изменять любую роль безопасности со специальными возможностями, даже если они не назначены этой роли безопасности.

7. После настройки разрешений нажмите кнопку ОК , чтобы сохранить новую роль безопасности.

Импорт роли безопасности, экспортируемой из другой иерархии Configuration Manager

Важно!

Импортируйте только файлы конфигурации настраиваемых ролей безопасности из доверенного источника. При экспорте настраиваемой роли безопасности сохраните ее в безопасном расположении. XML-файлы не подписаны цифровой подписью.

1. На вкладке Главная ленты в группе Создать выберите Импорт роли безопасности.

2. Укажите XML-файл, содержащий экспортированную конфигурацию роли безопасности. Нажмите кнопку Открыть , чтобы завершить процедуру и создать роль безопасности.

3. После импорта настраиваемой роли безопасности откройте ее свойства. Просмотрите разрешения, чтобы убедиться, что они включают наименее необходимые разрешения для этой роли. Измените разрешения, которые не требуются в этой среде.

Примечание.

Вы не можете экспортировать встроенные роли безопасности.

Настройка ролей безопасности

Вы можете изменить разрешения для настраиваемой роли безопасности, но нельзя изменить встроенные роли безопасности.

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Безопасность и выберите узел Роли безопасности.

2. Выберите настраиваемую роль безопасности, которую нужно изменить или просмотреть.

3. На вкладке Главная ленты в группе Свойства выберите Свойства.

4. При необходимости на вкладке Общие окна свойств измените имя или описание .

5. На вкладке Администраторы пользователи просмотрите пользователей, связанных с этой ролью. Чтобы изменить назначение, перейдите к свойствам пользователя с правами администратора.

6. На вкладке Разрешения разверните каждый тип объекта, чтобы отобразить доступные разрешения.

7. Чтобы изменить разрешение, выберите раскрывающийся список, а затем выберите Да или Нет.

   Предостережение

   При настройке настраиваемой роли безопасности предоставляются только разрешения, необходимые пользователям, назначенным этой роли. Например, разрешение Изменить для объекта Роли безопасности позволяет назначенным пользователям изменять любую роль безопасности со специальными возможностями, даже если они не назначены этой роли безопасности.

8. По завершении нажмите кнопку ОК , чтобы сохранить настраиваемую роль безопасности.

Настройка областей безопасности для объекта

Управление областями безопасности из защищаемого объекта, а не из области безопасности. Единственными свойствами, которые можно изменить в пользовательской области безопасности, являются имя и описание. Вы не можете изменить две встроенные области. Чтобы изменить имя и описание настраиваемой области, необходимо разрешение Изменить для объекта Области безопасности .

При создании нового объекта в Configuration Manager он связывается с каждой областью безопасности, связанной с ролями безопасности учетной записи, используемой для создания объекта. Такое поведение возникает, когда эти роли безопасности предоставляют разрешение на создание или настройку области безопасности . После создания объекта можно изменить области безопасности и назначить его нескольким областям.

Например, вам назначена роль безопасности, которая предоставляет вам разрешение на создание новой группы границ. Эта роль связана с областью безопасности администраторов . При создании новой группы границ у вас нет возможности назначать определенные области безопасности. Область безопасности администраторов автоматически назначается новой группе границ. После сохранения новой группы границ можно изменить области безопасности для группы границ.

Дополнительные сведения о том, как добавить область для пользователя, см. в разделе Изменение административной области пользователя с правами администратора.

Создание настраиваемой области безопасности

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Безопасность и выберите узел Области безопасности.

2. На вкладке Главная ленты в группе Создать выберите Создать область безопасности.

3. В окне Создание области безопасности укажите имя области безопасности. Максимальная длина имени составляет 256 символов.

4. Необязательно, но рекомендуется, укажите описание , чтобы суммировать назначение этой настраиваемой области безопасности. Максимальная длина — 512 символов.

5. Выберите или удалите административные назначения пользователей. Их можно изменить после создания области безопасности.

6. Чтобы сохранить настраиваемую область безопасности, нажмите кнопку ОК.

Настройка областей безопасности для объекта

1. В консоли Configuration Manager выберите объект, который поддерживает назначение области безопасности. Список поддерживаемых объектов см. в разделе Основы ролевого администрирования — области безопасности.

2. На вкладке Главная ленты в группе Классифицировать выберите Задать области безопасности.

   Для папки перейдите на вкладку Папка на ленте. В группе Действия выберите Задать области безопасности.

   Примечание.

   Элемент можно искать в папках за пределами области безопасности пользователя, если этот пользователь совместно использует область безопасности с пользователем, создавшим объект.

3. В окне Настройка областей безопасности выберите или очистите области безопасности для этого объекта. Выберите хотя бы одну область безопасности.

4. Нажмите кнопку ОК , чтобы сохранить назначенные области безопасности.

Настройка коллекций для управления безопасностью

Нет процедур для настройки коллекций для администрирования на основе ролей. Коллекции не имеют конфигурации администрирования на основе ролей. Вместо этого коллекции назначаются пользователю с правами администратора. Чтобы определить действия, которые администратор может выполнить с коллекцией и ее членами, просмотрите разрешения для типа объекта Collection на роль безопасности.

Когда пользователь с правами администратора имеет разрешения на доступ к коллекции, он также имеет разрешения на коллекции, которые ограничены этой коллекцией. Например, ваша организация использует коллекцию с именем All Desktops. Существует также коллекция All Северная Америка Desktops, которая ограничена коллекцией All Desktops. Если пользователь с правами администратора имеет разрешения для всех рабочих столов, у него одинаковые разрешения для коллекции Все Северная Америка Desktops.

Пользователь с правами администратора не может использовать разрешения на удаление или изменение для коллекции, которая ему назначена напрямую. Они могут использовать эти разрешения для коллекций, которые ограничены этой коллекцией. В предыдущем примере пользователь с правами администратора может удалить или изменить коллекцию Все Северная Америка Desktops, но не может удалить или изменить коллекцию Все рабочие столы.

Создание нового пользователя с правами администратора

Чтобы предоставить пользователям или членам группы безопасности доступ к управлению Configuration Manager, создайте пользователя с правами администратора. Укажите учетную запись Windows пользователя или группы пользователей. Назначьте каждому администратору по крайней мере одну роль безопасности и одну область безопасности. Вы также можете назначить коллекции, чтобы ограничить область администрирования пользователя или группы.

Создание нового пользователя с правами администратора

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Безопасность и выберите узел Администраторы.

2. На вкладке Главная ленты в группе Создать выберите Добавить пользователя или группу.

3. Нажмите кнопку Обзор, а затем выберите учетную запись пользователя или группу, которые будут использоваться для этого нового пользователя с правами администратора в Configuration Manager.

   Примечание.

   Для администрирования на основе консоли можно указать только пользователей домена или группы безопасности домена в качестве администратора.

4. Для параметра Связанные роли безопасности выберите Добавить , чтобы открыть список доступных ролей безопасности. Выберите одну или несколько ролей безопасности, а затем нажмите кнопку ОК.

5. Выберите один из следующих параметров, чтобы определить поведение защищаемого объекта для нового пользователя:

   • Все экземпляры объектов, связанных с назначенными ролями безопасности. Этот параметр имеет следующие варианты поведения:

     • Область безопасности: Все
     • Коллекции: Все системы и все пользователи и группы пользователей
     • Роли безопасности, назначенные пользователю, определяют его доступ к объектам.
     • Новые объекты, создаваемые этим пользователем, назначаются области безопасности по умолчанию .

   • Только экземпляры объектов, назначенные указанным областям безопасности и коллекциям. Этот параметр имеет следующие варианты поведения:

     • Область безопасности: по умолчанию
     • Коллекции: Все системы и все пользователи и группы пользователей
     • Эти значения по умолчанию могут отличаться, так как фактические области безопасности и коллекции ограничены теми, которые связаны с учетной записью, используемой для создания администратора.
     • Добавление или удаление областей безопасности и коллекций для настройки административной области этого пользователя.

   Важно!

   После создания пользователя просмотрите его свойства, чтобы выбрать третий параметр Связывание назначенных ролей безопасности с определенными областями безопасности и коллекциями. Дополнительные сведения см. в разделе Изменение административной области пользователя с правами администратора.

6. Нажмите кнопку ОК , чтобы закрыть окно и создать пользователя с правами администратора.

Изменение административной области пользователя с правами администратора

Вы можете изменить область администратора, добавив или удалив роли безопасности, области безопасности и коллекции, связанные с пользователем. Каждый пользователь с правами администратора должен быть связан по крайней мере с одной ролью безопасности и одной областью безопасности. Может потребоваться назначить одну или несколько коллекций для административной области пользователя. Большинство ролей безопасности взаимодействуют с коллекциями и неправильно работают без назначенной коллекции.

При изменении администратора можно изменить поведение защищаемых объектов с назначенными ролями безопасности. Можно выбрать три варианта поведения:

• Все экземпляры объектов, связанных с назначенными ролями безопасности. Этот параметр связывает администратора с областью Все и все системы и все пользователи и группы пользователей . Роли безопасности, назначенные пользователю, определяют доступ к объектам.

• Только экземпляры объектов, назначенные указанным областям безопасности и коллекциям. Этот параметр связывает администратора с теми же областями безопасности и коллекциями, которые связаны с учетной записью, используемой для настройки администратора. Этот параметр поддерживает добавление или удаление ролей безопасности и коллекций для настройки административной области пользователя.

• Связывание назначенных ролей безопасности с определенными областями безопасности и коллекциями. Этот параметр позволяет создавать определенные связи между отдельными ролями безопасности и определенными областями безопасности и коллекциями для пользователя.

  Примечание.

  Этот параметр доступен только при изменении свойств пользователя с правами администратора.

Текущая конфигурация поведения защищаемого объекта изменяет процесс, используемый для назначения дополнительных ролей безопасности. Используйте следующие процедуры, основанные на различных параметрах защищаемых объектов для управления пользователем с правами администратора.

Используйте следующую процедуру, чтобы просмотреть конфигурацию защищаемых объектов для пользователя с правами администратора и управлять ею.

Просмотр и управление поведением защищаемого объекта для пользователя с правами администратора

1. В консоли Configuration Manager выберите Администрирование.
2. В рабочей области Администрирование разверните узел Безопасность, а затем выберите Администраторы.
3. Выберите пользователя с правами администратора, которого вы хотите изменить.
4. На вкладке Главная в группе Свойства выберите Свойства.
5. Перейдите на вкладку Области безопасности , чтобы просмотреть текущую конфигурацию защищаемых объектов для этого пользователя с правами администратора.
6. Чтобы изменить поведение защищаемого объекта, выберите новый параметр для поведения защищаемых объектов. После изменения этой конфигурации ознакомьтесь с соответствующей процедурой, чтобы получить дополнительные рекомендации по настройке областей безопасности и коллекций, а также ролей безопасности для этого административного пользователя.
7. Нажмите кнопку ОК , чтобы завершить процедуру.

Используйте следующую процедуру, чтобы изменить пользователя с правами администратора, для которого для поведения защищаемых объектов задано значение Все экземпляры объектов, связанных с назначенными ролями безопасности.

Для параметра: все экземпляры объектов, связанных с назначенными ролями безопасности.

1. В консоли Configuration Manager выберите Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность, а затем выберите Администраторы.

3. Выберите пользователя с правами администратора, которого вы хотите изменить.

4. На вкладке Главная в группе Свойства выберите Свойства.

5. Перейдите на вкладку Области безопасности , чтобы убедиться, что администратор настроен для всех экземпляров объектов, связанных с назначенными ролями безопасности.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности .

   • Чтобы назначить этому администратору дополнительные роли безопасности, нажмите кнопку Добавить, установите флажок для каждой дополнительной роли безопасности, которую вы хотите назначить, а затем нажмите кнопку ОК.
   • Чтобы удалить роли безопасности, выберите одну или несколько ролей безопасности из списка и нажмите кнопку Удалить.

7. Чтобы изменить поведение защищаемого объекта, перейдите на вкладку Области безопасности и выберите новый параметр для поведения защищаемого объекта. После изменения этой конфигурации ознакомьтесь с соответствующей процедурой, чтобы получить дополнительные рекомендации по настройке областей безопасности и коллекций, а также ролей безопасности для этого административного пользователя.

   Примечание.

   Если для поведения защищаемого объекта задано значение Все экземпляры объектов, связанных с назначенными ролями безопасности, вы не сможете добавлять или удалять определенные области безопасности и коллекции.

8. Нажмите кнопку ОК , чтобы завершить эту процедуру.

Используйте следующую процедуру, чтобы изменить пользователя с правами администратора, для которого для поведения защищаемых объектов задано значение Только экземпляры объектов, назначенные указанным областям безопасности и коллекциям.

Для параметра: только экземпляры объектов, назначенных указанным областям безопасности и коллекциям.

1. В консоли Configuration Manager выберите Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность, а затем выберите Администраторы.

3. Выберите пользователя с правами администратора, которого вы хотите изменить.

4. На вкладке Главная в группе Свойства выберите Свойства.

5. Перейдите на вкладку Области безопасности , чтобы убедиться, что пользователь настроен только для экземпляров объектов, назначенных указанным областям безопасности и коллекциям.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности .

   • Чтобы назначить этому пользователю дополнительные роли безопасности, нажмите кнопку Добавить, установите флажок для каждой дополнительной роли безопасности, которую вы хотите назначить, а затем нажмите кнопку ОК.
   • Чтобы удалить роли безопасности, выберите одну или несколько ролей безопасности из списка и нажмите кнопку Удалить.

7. Чтобы изменить области безопасности и коллекции, связанные с ролями безопасности, перейдите на вкладку Области безопасности .

   • Чтобы связать новые области безопасности или коллекции со всеми ролями безопасности, назначенными этому администратору, нажмите кнопку Добавить и выберите один из четырех вариантов. Если вы выбрали Область безопасности или Коллекция, установите флажок для одного или нескольких объектов, чтобы завершить этот выбор, а затем нажмите кнопку ОК.
   • Чтобы удалить область безопасности или коллекцию, выберите объект и нажмите кнопку Удалить.

8. Нажмите кнопку ОК , чтобы завершить эту процедуру.

Используйте следующую процедуру, чтобы изменить пользователя с правами администратора, для которого задано поведение защищаемого объекта, для которого задано значение Связывание назначенных ролей безопасности с определенными областями безопасности и коллекциями.

Для параметра: связывание назначенных ролей безопасности с определенными областями безопасности и коллекциями

1. В консоли Configuration Manager выберите Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность, а затем выберите Администраторы.

3. Выберите пользователя с правами администратора, которого вы хотите изменить.

4. На вкладке Главная в группе Свойства выберите Свойства.

5. Перейдите на вкладку Области безопасности , чтобы убедиться, что администратор настроен для связывания назначенных ролей безопасности с определенными областями безопасности и коллекциями.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности .

   • Чтобы назначить этому администратору дополнительные роли безопасности, нажмите кнопку Добавить. В диалоговом окне Добавление роли безопасности выберите одну или несколько доступных ролей безопасности, нажмите кнопку Добавить и выберите тип объекта для связывания с выбранными ролями безопасности. Если вы выбрали Область безопасности или Коллекция, установите флажок для одного или нескольких объектов, чтобы завершить этот выбор, а затем нажмите кнопку ОК.

     Примечание.

     Необходимо настроить по крайней мере одну область безопасности, прежде чем выбранные роли безопасности можно будет назначить пользователю с правами администратора. При выборе нескольких ролей безопасности каждая настраиваемая область безопасности и коллекция связаны с каждой из выбранных ролей безопасности.

   • Чтобы удалить роли безопасности, выберите одну или несколько ролей безопасности из списка и нажмите кнопку Удалить.

7. Чтобы изменить области безопасности и коллекции, связанные с определенной ролью безопасности, перейдите на вкладку Области безопасности , выберите роль безопасности и нажмите кнопку Изменить.

   • Чтобы связать новые объекты с этой ролью безопасности, нажмите кнопку Добавить и выберите тип объекта для связывания с выбранными ролями безопасности. Если вы выбрали Область безопасности или Коллекция, установите флажок для одного или нескольких объектов, чтобы завершить этот выбор, а затем нажмите кнопку ОК.

     Примечание.

     Необходимо настроить по крайней мере одну область безопасности.

   • Чтобы удалить область безопасности или коллекцию, связанную с этой ролью безопасности, выберите объект и нажмите кнопку Удалить.

   • Завершив изменение связанных объектов, нажмите кнопку ОК.

8. Нажмите кнопку ОК , чтобы завершить эту процедуру.

   Предостережение

   Когда роль безопасности предоставляет администраторам разрешение на развертывание коллекции, эти администраторы могут распространять объекты из любой области безопасности, для которой у них есть разрешения на чтение объектов, даже если эта область безопасности связана с другой ролью безопасности.

Автоматизация с помощью Windows PowerShell

Для автоматизации некоторых из этих задач можно использовать следующие командлеты PowerShell:

Управление пользователями с правами администратора:

• Get-CMAdministrativeUser: получение объекта пользователя с правами администратора.
• New-CMAdministrativeUser: создайте пользователя с правами администратора.
• New-CMAdministrativeUserPermission: {{ Fill in the Synopsis }}
• Remove-CMAdministrativeUser: удаление пользователя с правами администратора.

Управление ролями и областями пользователей:

• Add-CMSecurityRoleToAdministrativeUser: добавьте роль безопасности для пользователя или группы.
• Remove-CMSecurityRoleFromAdministrativeUser: удалите связь между ролью безопасности и администратором.
• Add-CMSecurityScopeToAdministrativeUser: добавление области безопасности для пользователя или группы.
• Remove-CMSecurityScopeFromAdministrativeUser: удалите связь между областью безопасности и администратором.

Управление ролями безопасности:

• Copy-CMSecurityRole: создайте пользовательскую роль безопасности.
• Export-CMSecurityRole: экспорт роли безопасности в XML-файл.
• Get-CMSecurityRole: получение роли безопасности.
• Import-CMSecurityRole: импорт роли безопасности из XML-файла.
• Remove-CMSecurityRole: удаление пользовательских ролей безопасности.
• Set-CMSecurityRole: изменение параметров конфигурации роли безопасности.

Управление разрешениями для ролей безопасности:

• Get-CMSecurityRolePermission: получение разрешений для роли безопасности.
• Set-CMSecurityRolePermission: настройте роль безопасности с определенными разрешениями.

Управление областями безопасности:

• Get-CMSecurityScope: получение области безопасности.
• New-CMSecurityScope: создание области безопасности.
• Remove-CMSecurityScope: удаление области безопасности.
• Set-CMSecurityScope: настройка области безопасности.

Управление областью безопасности объекта:

• Add-CMObjectSecurityScope: добавление области безопасности к объекту.
• Get-CMObjectSecurityScope: получение области безопасности для объекта Configuration Manager.
• Remove-CMObjectSecurityScope: удаление области безопасности из объекта Configuration Manager.

Дальнейшие действия

Средство администрирования и аудита на основе ролей

Учетные записи, используемые в Configuration Manager