配置基于角色管理的Configuration Manager
1. 概述:
在Configuration Manager 中基于角色的管理结合了安全角色、安全作用域和分配的集合来定义每个管理用户的管理作用域。管理作用域包括管理用户可在 Configuration Manager 控制台中查看的对象,以及管理用户有权执行的与这些对象相关的任务。基于角色的管理配置应用于层次结构中的每个站点
1) Endpoint Protection 管理员:授予定义和监视安全策略的权限。与此角色关联的管理用户可以创建、修改和删除 Endpoint Protection 策略。他们还可以将 Endpoint Protection 策略部署到集合、创建和修改警报以及监视 Endpoint Protection 状态。
2) 安全管理员:授予添加和删除管理用户以及将管理用户与安全角色、集合和安全作用域关联的权限。与此角色关联的管理用户还可以创建、修改和删除安全角色及其分配的安全作用域和集合。
3) 操作管理员:授予在 Configuration Manager 中执行所有操作的权限,但管理安全性(包括对管理用户、安全角色和安全作用域进行管理)所需的权限除外。
4) 操作系统部署管理员:授予创建操作系统映像并将其部署到计算机的权限。与此角色关联的管理用户可以管理操作系统安装包和映像、任务序列、驱动程序、启动映像和状态迁移设置。
5) 符合性设置管理员:授予定义和监视符合性设置的权限。与此角色关联的管理用户可以创建、修改和删除配置项目及基线。他们还可以将配置基线部署到集合、启动符合性评估和启动对不符合计算机的修正。
6) 公司资源访问管理器:向用户和设备授予创建、管理和部署公司资源访问配置文件(如 Wi-Fi、××× 和证书配置文件)的权限。
7) 基础结构管理员:授予创建、删除和修改 Configuration Manager 服务器基础结构以及执行迁移任务的权限。
8) 软件更新管理员:授予定义和部署软件更新的权限。与此角色关联的管理用户可以管理软件更新组、部署以及部署模板,并且可以启用网络访问保护(NAP)的软件更新。
9) 完全权限管理员:授予 Configuration Manager 中的所有权限。首先创建新 Configuration Manager 安装的管理用户与此安全角色、全部作用域和所有集合关联。
10) 应用程序部署管理员:授予部署应用程序的权限。与此角色关联的管理用户可以查看应用程序列表,并且可以管理应用程序、警报、模板、包和程序的部署。与此角色关联的管理用户还可以查看集合及其成员、状态消息、查询、条件交付规则和 App-V 虚拟环境。
11) 应用程序管理员:授予执行应用程序部署管理员角色和应用程序作者角色的权限。与此角色关联的管理用户还可以管理查询、查看站点设置、管理集合、编辑用户设备相关性的设置,以及管理 App-V 虚拟环境。
12) 应用程序作者:授予创建、修改和停用应用程序的权限。与此角色关联的管理用户还可以管理应用程序、包和 App-V 虚拟环境。
13) 远程工具操作人员:授权运行和审核可帮助用户解决计算机问题的远程管理工具。与此角色关联的管理用户可从 Configuration Manager 控制台中运行远程控制、远程协助和远程桌面。此外,他们还可以运行带外管理控制台和 AMT 电源控制选项。
14) 只读分析员:授予查看所有 Configuration Manager 对象的权限。
15) 资产管理员:授予管理以下项目的权限: 资产智能同步点、资产智能报告类、软件清单、硬件清单和计数规则。
下面我将配置不同的角色管理Configuration Manager服务器。
一、 创建自定义安全角色
1. 登陆DC服务器创建一个新的用户“CCMuser”和组“BJCloud应用程序”,并将用户“CCMuser”加入组“BJCloud应用程序”
2. 登陆Configuration Manager服务器,打开Configuration Manager管理控制台
3. 点击管理,展开安全,点击安全角色,右键“应用程序管理员”,选择复制
4. 复制安全角色页面,键入名称
5. 自定义适用于此安全角色的权限
6. 点击确定后自定义安全角色将被创建
7. 点击管理用户,在主页中点击添加用户或组
8. 添加用户或组页面,点击浏览添加“用户或组”,点击添加选择分配的安全角色,点击添加选择仅分配给指定安全作用域或集合的对象实例
9. 点击确定后,新的安全角色将被创建
10.关闭当前管理控制台,使用CCMUser用户登录
11.点击管理,展开安全,点击账户,此时只有一个属于“您的”角色
12.点击软件库,只能看见和应用程序相关和软件更新信息,无法查看操作系统部署节点
二、 创建只读用户
1. 配置步骤和上面的一样,唯一去别的只是使用的“只读分析员”
2. 添加只读用户
3. 查看添加的只读用户
4. 使用用户“Lily”登陆Configuration Manager服务器
5. 点击管理,展开安全,点击管理用户,发现主页中没有“添加用户或组”选项
转载于:https://blog.51cto.com/ericxuting/1554933