Implementace uživatelských rolí
V nástroji System Center Operations Manager jsou role uživatelů metodou, kterou používáte k přiřazení práv potřebných pro přístup k datům monitorování a provádění akcí. Role uživatelů jsou navržené tak, aby platily pro skupiny uživatelů, kteří potřebují přístup ke stejné skupině monitorovaných objektů a prováděli akce. Ve výchozím nastavení má právo zobrazit a pracovat se všemi daty monitorování pouze účet správce nástroje Operations Manager. Aby mohli zobrazit konkrétní nebo všechna data monitorování, musí mít všichni ostatní uživatelé přiřazenou roli uživatele.
Role uživatelů se vytvářejí pomocí Průvodce vytvořením role uživatele. V tomto průvodci nakonfigurujete, které skupiny zabezpečení služby Active Directory mají přiřazenou tuto roli uživatele, ke které skupině operations manageru nebo skupinám monitorovaných objektů má tento uživatel přístup a ke kterým úkolům, řídicím panelům a zobrazením má tato role uživatele přístup.
Role uživatele je kombinace profilu a oboru, jak je znázorněno na následujícím obrázku. Uživatel může být součástí více rolí a výsledný obor je sjednocení všech rolí uživatelů.
Principy profilů
Než ve skupině pro správu vytvoříte role uživatelů, vyberte jeden profil, který se vztahuje na roli uživatele, kterou vytváříte. Profil určuje akce, které může uživatel provést. Profily mají definovanou sadu práv a nemůžete přidávat ani odebírat žádná z těchto přiřazených práv. Při vytváření rolí uživatelů pro operátory a další uživatele vyberte profil, který nejvíce odpovídá zodpovědnostem skupiny uživatelů v nasazení system Center – Operations Manager.
Vzhledem k tomu, že Operations Manager je podniková monitorovací platforma, která může monitorovat infrastrukturu, úlohu nebo aplikace nasazené ve vašem podniku, můžete chtít sladit přístup k monitorování dat s provozními procesy služby, aby různé úrovně podpory eskalace incidentů nebo vývojářský tým aplikací viděli provozní data relevantní pro jejich roli. Zabezpečení na základě rolí umožňuje omezit oprávnění, která uživatelé mají pro různé aspekty Operations Manageru.
Důležité
Přidání účtu počítače do člena role uživatele umožňuje přístup ke všem službám v tomto počítači v Operations Manageru. Doporučujeme nepřidávejte účet počítače k žádné roli uživatele.
V Operations Manageru byly operace, jako je řešení výstrah, spouštění úloh, přepsání monitorů, vytváření rolí uživatelů, zobrazování výstrah, zobrazování událostí atd., seskupené do profilů, přičemž každý profil představuje určitou funkci úlohy, jak je znázorněno v následující tabulce. Seznam konkrétních operací přidružených k jednotlivým profilům najdete v tématu Operace přidružené k profilům rolí uživatelů.
Poznámka:
Obor definuje skupiny entit, typy objektů, úkoly nebo zobrazení, na které je profil omezen. Ne všechny obory platí pro všechny profily.
| Profil | Funkce a obor úloh |
|---|---|
| Správce | Zahrnuje úplná oprávnění dostupná v Operations Manageru. Poznámka: Skupiny zabezpečení služby Active Directory můžete přidat pouze do role Správce. |
| Rozšířený operátor | Obsahuje sadu oprávnění určených pro uživatele, kteří potřebují přístup k omezené úpravě konfigurací monitorování kromě oprávnění operátora. Umožňuje členům přepsat konfiguraci pravidel a monitorování konkrétních cílů nebo skupin cílů v rámci nakonfigurovaného oboru. Rozšířený operátor také dědí oprávnění operátora. |
| Operátor monitorování aplikací | Obsahuje sadu oprávnění navržených pro uživatele, kteří potřebují přístup ke službě Application Diagnostics. Role uživatele založená na profilu operátora monitorování aplikací uděluje členům možnost zobrazit události monitorování aplikací ve webové konzole Application Diagnostics . Poznámka: Přístup k funkci Application Advisor vyžaduje profil operátora sestav nebo správce. |
| Autor | Obsahuje sadu oprávnění navržených pro vytváření konfigurací monitorování. Umožňuje členům vytvářet, upravovat a odstraňovat konfiguraci monitorování (například úlohy, pravidla, monitorování a zobrazení) pro konkrétní cíle nebo skupiny cílů v rámci nakonfigurovaného oboru. |
| Operátor | Obsahuje sadu oprávnění určených pro uživatele, kteří potřebují přístup k výstrahám, zobrazením a úkolům. Umožňuje členům pracovat s výstrahami, spouštět úkoly a přistupovat k zobrazením podle jejich nakonfigurovaného oboru. Poznámka zabezpečení: Když zobrazení řídicího panelu používá data z databáze datového skladu, můžou být operátoři schopni zobrazit data, ke kterým by jinak neměli přístup v zobrazeních, která používají data z provozní databáze. |
| Operátor jen pro čtení | Obsahuje sadu oprávnění určených pro uživatele, kteří potřebují přístup jen pro čtení k výstrahám a zobrazením. Umožňuje členům zobrazovat výstrahy a přístup k zobrazením podle jejich nakonfigurovaného oboru. Poznámka: Členové role operátora jen pro čtení nemají přiřazená práva k zobrazení stavu úkolu. Poznámka zabezpečení: Když zobrazení řídicího panelu používá data z databáze datového skladu, můžou být operátoři schopni zobrazit data, ke kterým by jinak neměli přístup v zobrazeních, která používají data z provozní databáze. |
| Operátor sestavy | Obsahuje sadu oprávnění určených pro uživatele, kteří potřebují přístup k sestavám. Umožňuje členům zobrazovat sestavy podle jejich nakonfigurovaného oboru. Upozornění: Uživatelé přiřazení k této roli mají přístup ke všem datům sestavy v datovém skladu sestav a nejsou omezeni oborem. |
| Správce zabezpečení sestav | Umožňuje integraci zabezpečení služby SQL Server Reporting Services s rolemi uživatelů nástroje Operations Manager. Díky tomu můžou správci Operations Manageru řídit přístup k sestavám. Tato role může mít pouze jeden členský účet a nedá se nastavit jako obor. |
Kromě existujících profilů úloh uvedených výše operations Manager 2022 podporuje následující nové profily úloh:
| Profil | Funkce a obor úloh |
|---|---|
| Správce jen pro čtení | Zahrnuje všechna oprávnění ke čtení v Operations Manageru spolu s vytvářením sestav. |
| Delegovaný správce | Zahrnuje všechna oprávnění ke čtení v Operations Manageru s výjimkou generování sestav. Udělí členu možnost vytvořit vlastní roli uživatele s delegovaným správcem jako základní profil. |
Definování oboru pomocí skupin Operations Manageru
Obor role uživatele určuje, které objekty mohou role uživatele zobrazit a provádět s těmito akcemi v nástroji System Center – Operations Manager. Obor se skládá z jedné nebo více skupin Operations Manageru a je definován při vytváření role uživatele jako součást Průvodce vytvořením role uživatele. Stránka Obor skupiny v Průvodci vytvořením role uživatele obsahuje seznam všech existujících skupin nástroje Operations Manager. Jako obor role uživatele, kterou vytváříte, můžete vybrat všechny nebo některé z těchto skupin.
Skupiny, jako jsou jiné objekty Operations Manageru, jsou definované v sadách Management Pack. V Operations Manageru jsou skupiny logické kolekce objektů, jako jsou počítače s Windows, pevné disky nebo instance Microsoft SQL Serveru. Několik skupin jsou vytvořeny sadami Management Pack, které se automaticky naimportují během instalace nástroje Operations Manager. Pokud tyto skupiny neobsahují monitorované objekty, které potřebujete pro obor, můžete vytvořit skupinu, která to dělá. Uděláte to tak, že ukončíte Průvodce vytvořením role uživatele, přepnete do pracovního prostoru Monitorování a pomocí Průvodce vytvořením skupiny vytvoříte skupinu, která bude lépe vyhovovat vašim potřebám.
Přiřazení úkolů, řídicích panelů a zobrazení
Úloha je akce iniciovaná uživatelem z konzoly Operations Console, která se spouští v agentu Operations Manageru nebo v systému, ze kterého se konzola spouští. Úlohy, které udělíte roli uživatele, kterou vytváříte, můžou provádět tyto konkrétní příkazy nebo akce pro roli uživatele, kterou vytváříte. Výchozí nastavení je, že všichni uživatelé, kteří mají přiřazenou roli uživatele, můžou spouštět všechny úkoly a otevírat všechny řídicí panely a zobrazení, pokud to jejich profil a obor umožňuje. Alternativou na stránce Úlohy průvodce vytvořením role uživatele je zobrazení seznamu konkrétních úkolů, ke které má uživatelské pravidlo, ke které vytváříte přístup. Podobně na stránce Vytvořit řídicí panely a zobrazení role uživatele je určit, k jakým řídicím panelům a zobrazením a ke kterým konkrétním řídicím panelům, které jsou k dispozici pro přístup z podokna Úlohy, mají přístup.
Přiřazení členů k předdefinovaným uživatelským rolím
Operations Manager poskytuje osm standardních uživatelských rolí, které se vytvářejí během instalace. K těmto předdefinovaným rolím uživatelů můžete přiřadit skupiny a jednotlivce, abyste jim poskytli možnost provádět určité úlohy a přistupovat k určitým informacím. Tyto předdefinované role mají globální obor pro skupinu pro správu.
Pokud chcete omezit rozsah uživatele, vytvořte novou roli uživatele.
Přiřazení členů k předdefinované roli uživatele
V konzole nástroje Operation vyberte pracovní prostor Správa.
V části Zabezpečení vyberte Role uživatelů.
V podokně výsledků klikněte pravým tlačítkem na některou z rolí uživatelů, jako jsou operátory operations manageru, a vyberte Vlastnosti.
Na kartě Obecné vlastnosti v části Členové role uživatele vyberte Přidat.
Do pole Zadejte názvy objektů, které chcete vybrat, zadejte jméno uživatele nebo skupinového účtu, který chcete přidat do role uživatele, a potom dialogové okno zavřete kliknutím na TLAČÍTKO OK .
Výběrem možnosti OK zavřete vlastnosti role uživatele.