Управление ролями пользователей Service Manager
Важно!
Поддержка этой версии Service Manager завершена. Рекомендуем выполнить обновление до Service Manager 2022.
В этом разделе представлен обзор ролей пользователей в списке профилей ролей пользователей в Service Manager. Он содержит процедуры, предназначенные для работы с ролями пользователей.
Сведения о ролях пользователей
Некоторые сотрудники в организации отвечают за поддержку оборудования, такого как переносные компьютеры и серверы. Некоторые сотрудники имеют право создавать и обновлять элементы конфигурации, но не могут удалять их, а другие сотрудники могут создавать, обновлять и удалять элементы конфигурации.
В списке профилей ролей пользователей в Service Manager права безопасности, позволяющие пользователям получать доступ к информации или обновлять их, определяются в профиле роли пользователя. Профиль роли пользователя — это именованный набор прав доступа, который обычно соответствует бизнес-обязанностям сотрудника. Каждый профиль роли пользователя управляет доступом к таким артефактам, как статьи базы знаний, рабочие элементы (инциденты, запросы на изменение), разработка, администрирование и другие учетные данные. Профили ролей пользователей определяют, что вам разрешено делать.
В будущем руководство организации может решить разделить всех сотрудников, работающих с элементами конфигурации, на две группы: на тех, кто работает с элементами конфигурации для настольных компьютеров, и на тех, кто работает с элементами конфигурации для переносных компьютеров. При этом нужно сохранить два профиля ролей пользователей, один из которых разрешает создавать и изменять, но не разрешает удалять элементы конфигурации, а другой разрешает создавать, изменять и удалять элементы конфигурации. Такие профили ролей пользователей определяются в различных областях: одна для настольных компьютеров, а другая — для переносных. Если профили ролей пользователей определяют, что вам разрешено делать, сдумайтесь об областях как об определении элементов, которые вы можете изменять. Сочетание профиля роли пользователя и области называется ролью пользователя.
Основные сведения о ролях пользователей
В Service Manager, когда вы выбираете Администрирование, разверните узел Безопасность и выберите Роли пользователей, на панели Роли пользователей отображается список ролей пользователей. Каждая из этих ролей настроена с помощь профиля роли пользователя и неопределенной области. Поскольку для таких ролей не определена область, соответствующие профили пользователей действуют для всех пакетов управления, очередей, групп, задач, представлений и шаблонов форм. В следующей таблице перечислены роли пользователей по умолчанию, связанные с ними профили и области.
| роль пользователя. | Профиль роли пользователя | Область |
|---|---|---|
| Исполнители действий | Исполнитель действия | Глобальный |
| Администраторы | Администратор | Глобальный |
| Операторы с расширенными правами | Оператор с расширенными правами | Глобальный |
| Инициаторы изменений | Инициатор изменений | Глобальный |
| Пользователи | Конечный пользователь | Глобальный |
| Операторы только для чтения | Оператор только для чтения | Глобальный |
| Авторы | Автор | Глобальный |
| Аналитики проблем | Аналитик проблем | Глобальный |
| Рабочие процессы | Рабочий процесс | Глобальный |
| Специалисты по разрешению инцидентов | Специалист по разрешению инцидентов | Глобальный |
| Менеджеры изменений | Менеджер изменений | Глобальный |
| Пользователи отчетов | Пользователь отчетов | Глобальный |
| Диспетчеры выпусков | Диспетчер выпусков | Глобальный |
| Аналитики запросов на обслуживание | Аналитик запросов на обслуживание | Глобальный |
Примечание
Роль пользователя Service Manager "Пользователи отчетов" доступна только после регистрации в хранилище данных Service Manager и после нажатия кнопки навигации Data Warehouse. Чтобы просмотреть Service Manager роль пользователя "Пользователи отчета", выберите Data Warehouse, разверните узел Безопасность и выберите Роли пользователей.
Пример
Например, предположим, что нужно определить одну группу доступа, которая разрешает пользователям создавать и изменять элементы конфигурации, но не разрешает их удалять, и другую группу доступа, которая разрешает пользователям создавать, изменять и удалять элементы конфигурации. В конце этого руководства в приложении А перечислены профили ролей пользователей и связанные с ними артефакты. В следующей таблице показана связь профилей ролей пользователей с элементами конфигурации.
| Профиль роли пользователя | Создание элементов конфигурации | Обновление элементов конфигурации | Удаление элементов конфигурации |
|---|---|---|---|
| Пользователь отчетов | Нет | Нет | Нет |
| Конечный пользователь | Нет | Нет | Нет |
| Оператор только для чтения | Нет | Нет | Нет |
| Исполнитель действия | Нет | Нет | Нет |
| Инициатор изменений | Нет | Нет | Нет |
| Специалист по разрешению инцидентов | Нет | Нет | Нет |
| Аналитик проблем | Нет | Нет | Нет |
| Менеджер изменений | Нет | Нет | Нет |
| Оператор с расширенными правами | Да | Да | Нет |
| Автор | Да | Да | Нет |
| Рабочий процесс | Да | Да | Нет |
| Администратор | Да | Да | Да |
По предыдущей таблице можно определить, что профиль роли пользователя «Операторы с расширенными правами» может создавать и обновлять, но не может удалять элементы конфигурации. Профиль роли пользователя «Администраторы» может создавать, обновлять и удалять элементы конфигурации. Члены команды по управлению ресурсами, которым разрешено создавать и обновлять, но не удалять элементы конфигурации, становятся членами предопределенного профиля Service Manager расширенных операторов. Члены группы управления активами, которым разрешается создавать, изменять и удалять элементы конфигурации, добавляются в профиль «Администраторы».
Рекомендуется учитывать, что члены группы управления активами могут меняться. Необходимо создать две группы в доменных службах Active Directory и сделать их членами профилей «Операторы с расширенными правами» и «Администраторы». Затем по мере изменения участников пользователи добавляются и удаляются из группы Active Directory, и никаких изменений в Service Manager вносить не нужно.
В дальнейшем, если группа управления активами будет разделена на две группы (одна для настольных компьютеров и другая для ноутбуков), можно будет создать собственную роль пользователя, используя те же профили, но другие области.
Почему не удается создать некоторые роли пользователей
При создании роли пользователя обратите внимание, что три роли пользователей недоступны: администратор, пользователь отчета и рабочие процессы. Эти три роли пользователей создаются и заполняются во время установки, и, как правило, эти роли пользователей используются Service Manager. В следующих разделах описаны эти роли пользователей.
Администратор
Роль пользователя "Администратор" является глобальной в область, поэтому нет оснований для создания другой роли пользователя этого типа.
Пользователь отчета
Роль пользователя отчета имеет одну цель в Service Manager: найти компьютер, на котором размещается Microsoft SQL Server Reporting Services (SSRS) для пользователя, в консоли Service Manager. Когда пользователь в консоли Service Manager пытается запустить отчет, выполняется запрос к серверу управления Service Manager, который ищет компьютер, на котором размещен сервер управления хранилища данных. Затем консоль Service Manager запрашивает сервер управления хранилищем данных в поисках имени компьютера, на котором размещена служба SSRS. С помощью этой информации консоль Service Manager подключается к службам SSRS. Создание таких запросов является единственной функцией роли "Пользователь отчетов". После подключения консоли Service Manager к службам SSRS учетные данные пользователя, выполняющего консоль, предоставляют доступ, как определено в службах SSRS. Из-за узкого назначения этой роли пользователя нет причин для создания другой роли пользователя.
Рабочие процессы
Рабочим процессам может потребоваться чтение и запись в базу данных Service Manager. Во время установки вам будет предложено указать учетные данные для роли пользователя Рабочих процессов, и эта роль пользователя выполняет необходимые действия в базе данных Service Manager. Как и в случае с ролью пользователя отчета, узкое назначение роли пользователя рабочего процесса означает, что нет причин для создания других ролей пользователей.
Добавление участника роли пользователя
В Service Manager можно назначить пользователям роль пользователя, чтобы определить, что они могут делать.
В этом примере к роли пользователя необходимо добавить членов группы управления активами, которые могут создавать и обновлять элементы конфигурации, но не могут их удалять. Просмотрев раздел Элементы конфигурации профилей ролей пользователей в Service Manager, вы увидите, что профиль роли пользователя "Расширенные операторы" предоставляет необходимые разрешения для этой команды. В данный момент все члены группы управления активами отвечают за каждый актив компании, и поэтому им требуются неограниченная область действий.
Используйте следующие процедуры, чтобы добавить пользователя в роль пользователя Service Manager Расширенные операторы, а затем проверить назначение пользователя роли пользователя.
Назначение роли для пользователя
В консоли Service Manager выберите Администрирование.
В области Администрирование разверните группу Безопасностьи выберите элемент Роли пользователей.
В области Роли пользователей дважды щелкните роль Операторы с расширенными правами.
В диалоговом окне Изменение роли пользователя выберите Пользователи.
На странице Пользователи выберите Добавить.
В диалоговом окне Выбор пользователей или групп введите имя пользователя или группы, которые вы хотите добавить в эту роль пользователя, выберите Проверить имена и нажмите кнопку ОК.
В диалоговом окне Изменение роли пользователя нажмите кнопку ОК.
Проверка назначения роли для пользователя
- Войдите в консоль Service Manager как один из пользователей, назначенных роли пользователя. Убедитесь, что вы не можете получить доступ к данным, для которых у вас нет прав доступа, как указано в ролях пользователей.
Для просмотра пользователей можно использовать команду Windows PowerShell. Сведения об использовании Windows PowerShell для получения пользователей, определенных в Service Manager, см. в разделе Get-SCSMUser.
Создание роли пользователя
Используйте следующие процедуры, чтобы создать роль пользователя и назначить ей пользователей в Service Manager, а затем проверить создание роли пользователя.
Создание роли пользователя
В консоли Service Manager выберите Администрирование.
В области Администрирование разверните группу Безопасностьи выберите элемент Роли пользователей.
В области Задачи в разделе Роли пользователейвыберите пункт Создание роли пользователя, а затем выберите профиль роли пользователя, который будет использоваться для этой роли, например Дизайнер.
В мастере создания роли пользователя выполните следующие действия.
На странице Перед началом работы нажмите кнопку Далее.
На странице Общие введите имя и описание для этой роли пользователя и нажмите кнопку Далее.
На странице Пакеты управления начните фильтровать область данных, к которым назначается доступ. Выберите пакеты управления, содержащие данные, к которым необходимо назначить доступ, например Библиотека управления инцидентами. Выберите Далее.
На следующих страницах будут показаны все классы, очереди, группы, задачи, представления и шаблоны форм из указанных пакетов управления, которые доступны для указанной роли пользователя. На этих страницах можно выбрать отдельные элементы, чтобы ограничить набор данных, к которым назначается доступ.
Важно!
Группы и списки очередей не фильтруются— перечислены все группы и очереди из всех пакетов управления. Если на странице Очереди выбрать вариант Выбрать все очереди , то на странице Группы автоматически выбирается вариант Выбрать все группы . Кроме того, по умолчанию группы не создаются. Если вы хотите ограничить область по группам, необходимо создать группу.
На странице Пользователи выберите Добавить и в диалоговом окне Выбор пользователей или групп выберите пользователей и группы пользователей из доменные службы Active Directory (AD DS) для этой роли пользователя, а затем нажмите кнопку Далее.
На странице Сводка убедитесь, что параметры заданы правильно, и выберите Создать.
На странице Завершение убедитесь, что роль пользователя успешно создана , и нажмите кнопку Закрыть.
Проверка создания роли пользователя
В консоли Service Manager убедитесь, что созданная роль пользователя отображается в средней области.
Войдите в консоль Service Manager как один из пользователей, назначенных роли пользователя. Убедитесь, что вы не можете получить доступ к данным, для которых у вас нет прав доступа, как указано в роли пользователя.
Для выполнения этих и других связанных задач можно использовать Windows PowerShell команды следующим образом:
Сведения об использовании Windows PowerShell для создания новой роли пользователя в Service Manager см. в статье New-SCSMUserRole.
Сведения об использовании Windows PowerShell для получения ролей пользователей, определенных в Service Manager, см. в разделе Get-SCSMUserRole.
Сведения об использовании Windows PowerShell для задания свойства UserRole для пользователя Service Manager см. в разделе Update-SCSMUserRole.
Сведения об использовании Windows PowerShell для удаления роли пользователя из Service Manager см. в разделе Remove-SCSMUserRole.
Дальнейшие действия
- Требования к безопасности паролей, срок действия пароля и изменение имени пользователя см. в статье Управление учетными записями запуска от имени.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по