配置基于角色管理的Configuration Manager

1. 概述：

在Configuration Manager 中基于角色的管理结合了安全角色、安全作用域和分配的集合来定义每个管理用户的管理作用域。管理作用域包括管理用户可在 Configuration Manager 控制台中查看的对象，以及管理用户有权执行的与这些对象相关的任务。基于角色的管理配置应用于层次结构中的每个站点

1) Endpoint Protection 管理员：授予定义和监视安全策略的权限。与此角色关联的管理用户可以创建、修改和删除 Endpoint Protection 策略。他们还可以将 Endpoint Protection 策略部署到集合、创建和修改警报以及监视 Endpoint Protection 状态。

2) 安全管理员：授予添加和删除管理用户以及将管理用户与安全角色、集合和安全作用域关联的权限。与此角色关联的管理用户还可以创建、修改和删除安全角色及其分配的安全作用域和集合。

3) 操作管理员：授予在 Configuration Manager 中执行所有操作的权限，但管理安全性(包括对管理用户、安全角色和安全作用域进行管理)所需的权限除外。

4) 操作系统部署管理员：授予创建操作系统映像并将其部署到计算机的权限。与此角色关联的管理用户可以管理操作系统安装包和映像、任务序列、驱动程序、启动映像和状态迁移设置。

5) 符合性设置管理员：授予定义和监视符合性设置的权限。与此角色关联的管理用户可以创建、修改和删除配置项目及基线。他们还可以将配置基线部署到集合、启动符合性评估和启动对不符合计算机的修正。

6) 公司资源访问管理器：向用户和设备授予创建、管理和部署公司资源访问配置文件(如 Wi-Fi、××× 和证书配置文件)的权限。

7) 基础结构管理员：授予创建、删除和修改 Configuration Manager 服务器基础结构以及执行迁移任务的权限。

8) 软件更新管理员：授予定义和部署软件更新的权限。与此角色关联的管理用户可以管理软件更新组、部署以及部署模板，并且可以启用网络访问保护(NAP)的软件更新。

9) 完全权限管理员：授予 Configuration Manager 中的所有权限。首先创建新 Configuration Manager 安装的管理用户与此安全角色、全部作用域和所有集合关联。

10) 应用程序部署管理员：授予部署应用程序的权限。与此角色关联的管理用户可以查看应用程序列表，并且可以管理应用程序、警报、模板、包和程序的部署。与此角色关联的管理用户还可以查看集合及其成员、状态消息、查询、条件交付规则和 App-V 虚拟环境。

11) 应用程序管理员：授予执行应用程序部署管理员角色和应用程序作者角色的权限。与此角色关联的管理用户还可以管理查询、查看站点设置、管理集合、编辑用户设备相关性的设置，以及管理 App-V 虚拟环境。

12) 应用程序作者：授予创建、修改和停用应用程序的权限。与此角色关联的管理用户还可以管理应用程序、包和 App-V 虚拟环境。

13) 远程工具操作人员：授权运行和审核可帮助用户解决计算机问题的远程管理工具。与此角色关联的管理用户可从 Configuration Manager 控制台中运行远程控制、远程协助和远程桌面。此外，他们还可以运行带外管理控制台和 AMT 电源控制选项。