Настройка параметров безопасности Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Примечание
Этот раздел отображается в следующей документации: в руководстве Администрирование сайтов для System Center 2012 Configuration Manager и в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.

Эта статья содержит сведения по настройке следующих компонентов и функций, связанных с обеспечением безопасности.

• Настройка параметров для PKI-сертификатов клиентов

• Настройка подписывания и шифрования

• Настройка ролевого администрирования

• Управление учетными записями, используемыми Configuration Manager

Настройка параметров для PKI-сертификатов клиентов

Если вы хотите использовать сертификаты инфраструктуры открытых ключей (PKI) для подключений клиентов к системам сайта со службами IIS, выполните следующую процедуру по настройке параметров для этих сертификатов.

Настройка параметров PKI-сертификатов клиентов

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Конфигурация сайта, щелкните узел Сайты и выберите первичный сайт для настройки.

3. На вкладке Главная в группе Свойства нажмите кнопку Свойства, а затем откройте вкладку Взаимодействие с клиентскими компьютерами.

   Примечание
   Эта вкладка доступна только на первичном сайте. Если вы не видите вкладку Взаимодействие с клиентскими компьютерами, убедитесь, что вы не подключились к сайту центра администрирования или вторичному сайту.

4. Чтобы назначенные сайту клиенты при подключении к системам сайта со службами IIS всегда использовали клиентский PKI-сертификат, выберите Только HTTPS. Если клиенты не должны использовать PKI-сертификаты, выберите HTTPS или HTTP.

5. Если выбран вариант HTTPS или HTTP, щелкните Использовать сертификат PKI клиента (функция проверки подлинности клиента) при его наличии, чтобы использовать PKI-сертификат клиента для подключений по протоколу HTTP. Клиент использует этот сертификат вместо самозаверяющего сертификата для собственной проверки подлинности при обращении к системам сайта. При выборе варианта Только HTTPS этот параметр устанавливается автоматически.

   Примечание
   Клиенты, которые находятся в Интернете или настроены только для управления через Интернет, всегда используют PKI-сертификат клиента.

6. Чтобы настроить нужный метод выбора клиентов при наличии на клиенте нескольких допустимых PKI-сертификатов клиентов, нажмите кнопку Изменить, а затем нажмите кнопку ОК.

   Примечание
   Дополнительные сведения о методе выбора сертификата клиента см. в разделе Планирование выбора PKI-сертификата клиента.

7. Установите или снимите флажок параметра проверки клиентами списка отзыва сертификатов (CRL).

   Примечание
   Дополнительные сведения о проверке CRL для клиентов см. в разделе Планирование отзыва PKI-сертификата.

8. Чтобы указать сертификаты доверенного корневого центра сертификации (ЦС), щелкните Установить, импортируйте файлы сертификата корневого ЦС, а затем нажмите кнопку ОК.

   Примечание
   Дополнительные сведения об этом параметре см. в разделе Планирование доверенных корневых PKI-сертификатов и списка издателей сертификатов.

9. Нажмите кнопку ОК, чтобы закрыть диалоговое окно свойств сайта.

Повторите эту процедуру для всех первичных сайтов в иерархии.

Настройка подписывания и шифрования

Настройте наиболее безопасные параметры подписывания и шифрования для систем сайта, которые могут поддерживаться всеми клиентами сайта. Эти параметры особенно важны при взаимодействии клиентов с системами по протоколу HTTP с помощью самозаверяющих сертификатов.

Настройка подписывания и шифрования для сайта

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Конфигурация сайта, щелкните узел Сайты и выберите первичный сайт для настройки.

3. На вкладке Главная в группе Свойства нажмите кнопку Свойства, а затем откройте вкладку Подписывание и шифрование.

   Примечание
   Эта вкладка доступна только на первичном сайте. Если вы не видите вкладку Подписывание и шифрование, убедитесь, что вы не подключились к сайту центра администрирования или вторичному сайту.

4. Настройте необходимые параметры подписывания и шифрования, а затем нажмите кнопку ОК.

   Предупреждение

   Прежде чем выбрать параметр Требовать алгоритм SHA-256, проверьте, что все клиенты, которые могут быть назначены сайту, поддерживают этого алгоритм хэширования или имеют допустимые PKI-сертификаты проверки подлинности клиента. Может потребоваться установка обновлений или исправлений на клиентах для поддержки алгоритма SHA-256. Например, на компьютерах под управлением Windows Server 2003 SP2 необходимо установить исправление, описанное в статье базы знаний 938397. Если этот параметр выбран, а клиенты не поддерживают алгоритм SHA-256 и используют самозаверяющие сертификаты, Configuration Manager отклонит их. В этом случае компонент SMS_MP_CONTROL_MANAGER записывает в журнал ИД сообщения 5443.

5. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сайта.

Повторите эту процедуру для всех первичных сайтов в иерархии.

Настройка ролевого администрирования

Этот раздел содержит сведения о настройке ролевого администрирования в Configuration Manager. Ролевое администрирование использует сочетание ролей безопасности, областей безопасности и назначенных коллекций для определения административной области для каждого пользователя. В административную область входят объекты, которые пользователь может просматривать в консоли Configuration Manager, и задачи, связанные с теми объектами, на выполнение которых у пользователя есть разрешения. Конфигурации ролевого администрирования применяются к каждому сайту в иерархии.

Используйте сведения в следующих процедурах для создания и настройки ролевого администрирования и связанных параметров безопасности.

• Создание настраиваемых ролей безопасности

• Настройка ролей безопасности

• Настройка областей безопасности для объекта

• Настройка коллекций для управления безопасностью

• Создание нового пользователя

• Изменение административной области пользователя

Важно

В ролевом администрировании используются роли безопасности, области безопасности и коллекции. Их сочетание позволяет определить административную область для каждого пользователя. Ваша собственная административная область определяет объекты и параметры, которые вы можете назначить во время настройки ролевого администрирования для другого пользователя. Сведения о планировании администрирования на основе ролей см. в разделе Планирование ролевого администрирования статьи Планирование безопасности в Configuration Manager.

Создание настраиваемых ролей безопасности

Configuration Manager предоставляет несколько встроенных ролей безопасности. Если требуются дополнительные роли безопасности, можно создать настраиваемую роль безопасности путем копирования существующей роли и последующего изменения копии. Создание настраиваемой роли безопасности позволит предоставить пользователям требуемые дополнительные разрешения безопасности, которые не входят в текущую назначенную роль безопасности. С помощью настраиваемой роли безопасности пользователи получат только необходимые им разрешения. Назначение роли безопасности, которая предоставляет больше разрешений, чем нужно, в данном случае исключается.

Следующая процедура используется для создания новой роли безопасности с использованием существующей роли безопасности в качестве шаблона.

Создание настраиваемых ролей безопасности

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Роли безопасности.

   Одна из следующих процедур используется для создания новой роли безопасности.

   - Чтобы создать новую настраиваемую роль безопасности, выполните следующие действия.
   
     1.  Выберите существующую роль безопасности, которая будет использоваться в качестве основы новой роли безопасности.
   
     2.  На вкладке **Главная** в группе **Роль безопасности** нажмите кнопку **Копировать**. Будет создана копия исходной роли безопасности.
   
     3.  В мастере копирования ролей безопасности укажите значение параметра **Имя** для новой настраиваемой роли безопасности.
   
     4.  В группе **Назначения операций безопасности** разверните каждый узел **Операции безопасности**, чтобы отобразить доступные действия.
   
     5.  Чтобы изменить параметр для операции безопасности, в столбце **Значение** нажмите кнопку со стрелкой вниз, а затем выберите **Да** или **Нет**.
   
         <div class="alert">
   
         <table>
         <colgroup>
         <col style="width: 100%" />
         </colgroup>
         <thead>
         <tr class="header">
         <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Внимание</th>
         </tr>
         </thead>
         <tbody>
         <tr class="odd">
         <td><p>При настройке роли безопасности не предоставляйте разрешения, которые не требуются пользователям, связанным с новой ролью безопасности. Например, значение <strong>Изменить</strong> для операции безопасности <strong>Роли безопасности</strong> дает пользователям право на изменение любой доступной роли безопасности, даже если эти пользователи не связаны с данной ролью.</p></td>
         </tr>
         </tbody>
         </table>
   
         </div>
   
     6.  Завершив настройку разрешений, нажмите кнопку **ОК**, чтобы сохранить новую роль безопасности.
   
   - Чтобы импортировать роль безопасности, которая была экспортирована из другой иерархии System Center 2012 Configuration Manager, выполните следующие действия.
   
     1.  На вкладке **Главная** в группе **Создать** щелкните **Импорт роли безопасности**.
   
     2.  Укажите XML-файл, содержащий конфигурацию роли безопасности для импорта, и нажмите кнопку **Открыть**, чтобы завершить процедуру и сохранить роль безопасности.
   
         <div class="alert">
   
         <table>
         <colgroup>
         <col style="width: 100%" />
         </colgroup>
         <thead>
         <tr class="header">
         <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th>
         </tr>
         </thead>
         <tbody>
         <tr class="odd">
         <td><p>После импорта роли безопасности можно отредактировать ее свойства, чтобы изменить разрешения объекта, связанные с ролью безопасности.</p></td>
         </tr>
         </tbody>
         </table>
   
         </div>
   

Настройка ролей безопасности

Группы разрешений безопасности, которые определены для роли безопасности, называются назначениями операций безопасности. Назначения операций безопасности представляют собой сочетание типов объектов и действий, доступных для каждого типа объекта. Можно изменить доступные операции безопасности для любой настраиваемой роли безопасности, однако изменить встроенные роли, предоставляемые Configuration Manager, нельзя.

Следующая процедура используется для изменения операций безопасности для роли безопасности.

Изменение ролей безопасности

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Роли безопасности.

3. Выберите настраиваемую роль безопасности, которую требуется изменить.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Перейдите на вкладку Разрешения.

6. В группе Назначения операций безопасности разверните каждый узел Операции безопасности, чтобы отобразить доступные действия.

7. Чтобы изменить параметр для операции безопасности, в столбце Значение нажмите кнопку со стрелкой вниз, а затем выберите Да или Нет.

   Внимание
   При настройке роли безопасности не предоставляйте разрешения, которые не требуются пользователям, связанным с новой ролью безопасности. Например, значение Изменить для операции безопасности Роли безопасности дает пользователям право на изменение любой доступной роли безопасности, даже если эти пользователи не связаны с данной ролью.

8. Завершив настройку назначений операций безопасности, нажмите кнопку ОК, чтобы сохранить новую роль безопасности.

Настройка областей безопасности для объекта

Управление связью области безопасности для объекта осуществляется из объекта, а не из области безопасности. Единственными прямыми настройками, поддерживаемыми областями безопасности, являются изменения их имен и описаний. Чтобы изменить имя и описание области безопасности во время просмотра свойств области безопасности, требуется разрешение Изменить для защищаемого объекта Области безопасности.

Новый объект, создаваемый в Configuration Manager, связывается с каждой областью безопасности, имеющей отношение к ролям безопасности учетной записи, которая используется для создания объекта, если эти роли безопасности предоставляют разрешение Создать или Установить область безопасности. Изменить области безопасности, с которыми связан объект, можно только после его создания.

Например, вам назначена роль безопасности с правом на создание новой группы границ. При создании группы границ у вас нет объекта, которому можно назначить конкретные области безопасности. Тем не менее, области безопасности, доступные из связанных ролей безопасности, автоматически назначаются новой группе границ. После сохранения новой группы границ можно изменить области безопасности, связанные с новой группой границ.

Следующая процедура используется для настройки областей безопасности, назначенных объекту.

Настройка областей безопасности для объекта

1. В консоли Configuration Manager выберите объект, который поддерживает назначение области безопасности.

2. На вкладке Главная в группе Классификация щелкните Установить области безопасности.

3. В диалоговом окне Установка ролей безопасности выберите или отмените выбор областей безопасности, с которыми связан это объект. Каждый объект, который поддерживает области безопасности, должен быть назначен как минимум одной области безопасности.

4. Нажмите кнопку ОК, чтобы сохранить назначенные области безопасности.

   Примечание
   Новый создаваемый объект можно назначить нескольким областям безопасности. Чтобы изменить число областей безопасности, связанных с объектом, следует изменить данное назначение после создания объекта.

Настройка коллекций для управления безопасностью

Процедур по настройке коллекций для ролевого администрирования не существует. У коллекций нет конфигураций ролевого администрирования. Коллекции назначаются пользователю во время его настройки. Операции безопасности коллекции, которые включены в назначенных пользователям ролях безопасности, определяют разрешения пользователя для коллекций и ресурсов коллекций (элементов коллекции).

Если у пользователя есть разрешения для коллекции, ему также предоставляются разрешения для коллекций, ограниченных данной коллекцией. Например, в организации используется коллекция с именем "Все настольные компьютеры" и существует коллекция с именем "Все настольные компьютеры России", которая ограничена коллекцией "Все настольные компьютеры". Если пользователь имеет разрешения для коллекции "Все настольные компьютеры", он может пользоваться этими же разрешениями и для коллекции "Все настольные компьютеры России". Кроме того, пользователь не может использовать разрешение Удалить или Изменить в коллекции, которая назначена ему непосредственно, но эти разрешения действуют в коллекциях, ограниченных данной коллекцией. Вернемся к предыдущему примеру. Пользователь может удалить или изменить коллекцию "Все настольные компьютеры России", но не может удалить или изменить коллекцию "Все настольные компьютеры".

Создание нового пользователя

Чтобы предоставить отдельным пользователям или членам группы безопасности права на управление Configuration Manager, создайте пользователя в Configuration Manager и укажите учетную запись Windows — "Пользователь" или "Группа пользователей". Каждому пользователю в Configuration Manager необходимо назначить как минимум одну роль безопасности и одну область безопасности. Чтобы ограничить административную область пользователя, можно также назначить коллекции.

Ниже приведены процедуры создания новых администраторов.

Создание нового администратора

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Администраторы.

3. На вкладке Главная в группе Создать щелкните Добавление пользователя или группы.

4. Нажмите кнопку Обзор и выберите учетную запись пользователя или группу для нового администратора.

   Примечание
   Если используется администрирование на основе консоли, в качестве администраторов можно указать только пользователей домена или группы безопасности.

5. На вкладке Связанные роли безопасности нажмите кнопку Добавить, чтобы открыть список доступных ролей безопасности, установите флажок для одной или нескольких ролей безопасности, затем нажмите кнопку ОК.

6. Выберите один из следующих двух вариантов, чтобы определить режим обработки защищаемых объектов для нового пользователя.

   - **Все защищаемые объекты, относящиеся к связанным ролям безопасности** — при выборе этого варианта администратор связывается с областью безопасности **Все** и встроенными коллекциями на корневом уровне **Все системы**, **Все пользователи и группы пользователей**. Роли безопасности, назначенные пользователю, определяют доступ к объектам. Новые объекты, создаваемые этим администратором, назначаются области безопасности **По умолчанию**.
   
   - **Только защищаемые объекты в указанных областях безопасности или коллекциях** — по умолчанию при выборе этого варианта администратор связывается с областью безопасности **По умолчанию** и коллекциями **Все системы** и **Все пользователи и группы пользователей**. Однако фактические области безопасности и коллекции ограничиваются теми, которые связаны с учетной записью, используемой для создания нового администратора. Этот параметр поддерживает добавление и удаление областей безопасности и коллекций для настройки области администрирования администратора.
   

   Важно

   Предыдущий параметр связывает каждую назначенную область безопасности и коллекцию с каждой ролью безопасности, назначенной администратору. Третий вариант, Только защищаемые объекты, как определено ролями безопасности администратора, можно использовать для связывания отдельных ролей безопасности с определенными областями безопасности и коллекциями. Третий вариант становится доступным после создания нового администратора, когда выполняется его изменение.

7. В зависимости от варианта, выбранного в действии 6, выполните следующие действия.

   - Если вы выбрали вариант **Все защищаемые объекты, относящиеся к связанным ролям безопасности**, нажмите кнопку **ОК**, чтобы завершить эту процедуру.
   
   - Если был выбран вариант **Только защищаемые объекты в указанных областях безопасности или коллекциях**, можно нажать кнопку **Добавить**, чтобы добавить дополнительные коллекции, или выбрать в списке один или несколько объектов и нажать кнопку **Удалить**, чтобы удалить их. Нажмите кнопку **OK**, чтобы завершить эту процедуру.
   

Изменение административной области пользователя

Административную область администратора можно изменить, добавив или удалив роли безопасности, области безопасности и коллекции, связанные с этим пользователем. Каждому администратору необходимо назначить как минимум одну роль безопасности и одну область безопасности. Административной области пользователя может потребоваться назначить одну или несколько коллекций. Большинство ролей безопасности взаимодействует с коллекциями и функционирует неправильно, если коллекция не назначена.

При внесении изменений в параметры администратора можно изменить режим связывания защищенных объектов с назначенными ролями безопасности. Ниже приведены три режима, которые можно выбрать.

• Все защищаемые объекты, относящиеся к связанным ролям безопасности — при выборе этого варианта администратор связывается с областью безопасности Все и встроенными коллекциями на корневом уровне Все системы, Все пользователи и группы пользователей. Роли безопасности, назначенные пользователю, определяют доступ к объектам.

• Только защищаемые объекты в указанных областях безопасности или коллекциях — при выборе этого варианта администратор связывается с теми же областями безопасности и коллекциями, которые связаны с учетной записью, используемой для настройки администратора. Этот параметр поддерживает добавление и удаление ролей безопасности и коллекций для настройки области администрирования администратора.

• Только защищаемые объекты, как определено ролями безопасности администратора — этот вариант позволяет создать определенные связи между отдельными ролями безопасности и конкретными областями и коллекциями для пользователя.

  Примечание
  Этот параметр доступен только при изменении свойств администратора.

Текущая конфигурация режима обработки защищаемых объектов изменяет процесс, который используется для назначения дополнительных ролей безопасности. Ниже приведены процедуры управления администраторами, основанные на разных режимах обработки защищаемых объектов.

Для просмотра и управления конфигурацией защищаемых объектов для администратора используется следующая процедура.

Просмотр режима обработки защищаемых объектов для администратора и управление им

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Администраторы.

3. Выберите администратора, свойства которого требуется изменить.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Перейдите на вкладку Области безопасности, чтобы просмотреть текущую конфигурацию защищаемых объектов для этого администратора.

6. Чтобы изменить режим обработки защищаемых объектов, выберите новый вариант режима обработки защищаемых объектов. Изменив эту конфигурацию, перейдите к соответствующей процедуре, содержащей дальнейшие указания по настройке областей безопасности и коллекций, а также ролей безопасности для этого администратора.

7. Нажмите кнопку OK, чтобы завершить процедуру.

Ниже приведена процедура изменения параметров администратора, для которого выбран режим обработки защищаемых объектов Все защищаемые объекты, относящиеся к связанным ролям безопасности.

Параметр "Все защищаемые объекты, относящиеся к связанным ролям безопасности"

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Администраторы.

3. Выберите администратора, свойства которого требуется изменить.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Перейдите на вкладку Области безопасности, чтобы убедиться, что для администратора задан режим Все защищаемые объекты, относящиеся к связанным ролям безопасности.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности.

   - Чтобы назначить дополнительные роли безопасности для администратора, нажмите кнопку **Добавить**, установите флажки для нужных дополнительных ролей безопасности и нажмите кнопку **ОК**.
   
   - Чтобы удалить роли безопасности, выберите одну или несколько ролей в списке и нажмите кнопку **Удалить**.
   

7. Чтобы изменить режим обработки защищаемых объектов, перейдите на вкладку Области безопасности и выберите другой вариант. Изменив эту конфигурацию, перейдите к соответствующей процедуре, содержащей дальнейшие указания по настройке областей безопасности и коллекций, а также ролей безопасности для этого администратора.

   Примечание
   Если для режима обработки защищаемых объектов выбран вариант Все защищаемые объекты, относящиеся к связанным ролям безопасности, добавить или удалить какие-либо области безопасности и коллекции нельзя.

8. Нажмите кнопку OK, чтобы завершить эту процедуру.

Ниже приведена процедура изменения параметров администратора, для которого задан режим обработки защищаемых объектов Только защищаемые объекты в указанных областях безопасности или коллекциях.

Параметр "Только защищаемые объекты в указанных областях безопасности или коллекциях"

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Администраторы.

3. Выберите администратора, свойства которого требуется изменить.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Перейдите на вкладку Области безопасности, чтобы убедиться, что для пользователя задан режим Только защищаемые объекты в указанных областях безопасности или коллекциях.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности.

   - Чтобы назначить дополнительные роли безопасности для пользователя, нажмите кнопку **Добавить**, установите флажки для нужных дополнительных ролей безопасности и нажмите кнопку **ОК**.
   
   - Чтобы удалить роли безопасности, выберите одну или несколько ролей в списке и нажмите кнопку **Удалить**.
   

7. Чтобы изменить области безопасности и коллекции, связанные с ролями безопасности, перейдите на вкладку Области безопасности.

   - Чтобы связать новые области безопасности или коллекции со всеми ролями безопасности, назначенными этому администратору, нажмите кнопку **Добавить** и выберите один из четырех вариантов. При выборе варианта **Область безопасности** или **Коллекция**, чтобы завершить выбор, установите флажок для одного или нескольких объектов, а затем нажмите кнопку **ОК**.
   
   - Чтобы удалить область безопасности или коллекцию, выберите объект и нажмите кнопку **Удалить**.
   

8. Нажмите кнопку OK, чтобы завершить эту процедуру.

Ниже приведена процедура изменения параметров администратора, для которого задан режим обработки защищаемых объектов Только защищаемые объекты, как определено ролями безопасности администратора.

Параметр "Только защищаемые объекты, как определено ролями безопасности администратора"

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность и выберите Администраторы.

3. Выберите администратора, свойства которого требуется изменить.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Перейдите на вкладку Области безопасности, чтобы убедиться, что для администратора задан режим Только защищаемые объекты, как определено ролями безопасности администратора.

6. Чтобы изменить назначенные роли безопасности, перейдите на вкладку Роли безопасности.

   - Чтобы назначить администратору дополнительные роли безопасности, нажмите кнопку **Добавить**. В диалоговом окне **Добавление роли безопасности** выберите одну или несколько ролей безопасности, нажмите кнопку **Добавить** и выберите тип объекта, чтобы связать его с выбранными ролями безопасности. При выборе варианта **Область безопасности** или **Коллекция**, чтобы завершить выбор, установите флажок для одного или нескольких объектов, а затем нажмите кнопку **ОК**.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Прежде чем выбранные роли безопасности можно будет назначить администратору, необходимо настроить по крайней мере одну область безопасности. При выборе нескольких ролей безопасности каждая настраиваемая область безопасности и коллекция связывается с каждой из выбранных ролей безопасностей.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - Чтобы удалить роли безопасности, выберите одну или несколько ролей в списке и нажмите кнопку **Удалить**.
   

7. Чтобы изменить области безопасности и коллекции, связанные с определенной ролью безопасности, перейдите на вкладку Области безопасности, выберите роль безопасности и нажмите кнопку Изменить.

   - Чтобы связать новые объекты с этой ролью безопасности, нажмите кнопку **Добавить** и выберите тип объекта, связываемого с выбранными ролями безопасности. При выборе варианта **Область безопасности** или **Коллекция**, чтобы завершить выбор, установите флажок для одного или нескольких объектов, а затем нажмите кнопку **ОК**.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Необходимо настроить хотя бы одну область безопасности.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - Чтобы удалить область безопасности или коллекцию, связанную с этой ролью безопасности, выберите объект и нажмите кнопку **Удалить**.
   
   - Завершив изменение связанных объектов, нажмите кнопку **ОК**.
   

8. Нажмите кнопку OK, чтобы завершить эту процедуру.

   Внимание
   Если роль безопасности предполагает предоставление администраторам разрешения на развертывание коллекции, такие администраторы могут распространять объекты из любой области безопасности, для которой у них имеется разрешение чтение, даже если эта область безопасности связана с другой ролью безопасности.

Управление учетными записями, используемыми Configuration Manager

Configuration Manager поддерживает использование учетных записей Windows для выполнения различных задач и операций.

Ниже приведена процедура, которую можно использовать, чтобы просмотреть, какие учетные записи настроены для различных задач. Кроме того, в процедуре описывается управление паролями, используемыми Configuration Manager для каждой учетной записи.

Управление учетными записями, используемыми Configuration Manager

1. В консоли Configuration Manager щелкните элемент Администрирование.

2. В рабочей области Администрирование разверните узел Безопасность, а затем щелкните элемент Учетные записи, чтобы просмотреть учетные записи, настроенные для Configuration Manager.

3. Чтобы изменить пароль для учетной записи, которая настроена для Configuration Manager, выберите учетную запись.

4. На вкладке Главная в группе Свойства нажмите кнопку Свойства.

5. Нажмите кнопку Установить, чтобы открыть диалоговое окно Учетная запись пользователя Windows, и укажите новый пароль, который Configuration Manager будет использовать для этой учетной записи.

   Примечание
   Указываемый пароль должен совпадать с паролем, указанным для учетной записи в оснастке "Пользователи и компьютеры Active Directory".

6. Нажмите кнопку OK, чтобы завершить процедуру.

См. также

Настройка сайтов и иерархии в Configuration Manager