Správa uživatelských rolí portálu Service Manager
Tato část obsahuje přehled rolí uživatelů v seznamu profilů rolí uživatelů v Service Manageru. Obsahuje postupy, které můžete použít k práci s rolemi uživatelů.
O rolích uživatelů
Někteří zaměstnanci ve vaší organizaci zodpovídají za podporu hardwaru, jako jsou přenosné počítače a servery. Někteří zaměstnanci můžou vytvářet a aktualizovat položky konfigurace, ale ne je odstraňovat, zatímco jiní můžou vytvářet, aktualizovat a odstraňovat položky konfigurace.
V seznamu profilů rolí uživatelů v Service Manageru jsou v profilu role uživatele definována práva zabezpečení, která uživatelům umožňují přístup k informacím nebo je aktualizovat. Profil role uživatele je pojmenovaná kolekce přístupových práv a obvykle odpovídá obchodním povinnostem zaměstnance. Každý profil role uživatele řídí přístup k takovým artefaktům, jako jsou články znalostní báze, pracovní položky (incidenty, žádosti o změnu), vytváření, správa a další přihlašovací údaje. Profily rolí uživatelů si můžete představit jako definování toho, co můžete dělat.
V budoucnu se manažeři ve vaší organizaci můžou rozhodnout oddělit skupinu zaměstnanců, kteří udržují položky konfigurace, do dvou skupin: těch, kteří zpracovávají položky konfigurace pro stolní počítače a osoby, které zpracovávají položky konfigurace pro přenosné počítače. Chtějí zachovat tyto dva profily rolí uživatelů, jeden profil, který může vytvářet a upravovat, ale neodstraňovat položky konfigurace, a jiný profil, který může vytvářet, upravovat a odstraňovat položky konfigurace. Tyto profily rolí uživatele byste definovali s různými obory, jeden pro stolní počítače a jeden pro přenosné počítače. Pokud profily rolí uživatelů definují, co smíte dělat, zamyslete se nad obory, které definujete, které položky můžete upravovat. Kombinace profilu role uživatele a oboru se nazývá role uživatele.
Principy uživatelských rolí
Když v Service Manageru vyberete Možnost Správa, rozbalíte Zabezpečení a vyberete Role uživatelů, zobrazí se v podokně Role uživatele seznam rolí uživatelů. Každá z těchto rolí uživatele byla nakonfigurována s profilem role uživatele a nedefinovaným oborem. Vzhledem k tomu, že obor není definován pro tyto role uživatelů, může své profily uživatelů uplatnit ve všech sadách Management Pack, frontách, skupinách, úkolech, zobrazeních a šablonách formulářů. Následující tabulka uvádí výchozí role uživatelů, jejich přidružené profily rolí uživatele a obor.
| Role uživatele | Profil role uživatele | Obor |
|---|---|---|
| Implementátory aktivit | Implementátor aktivit | Globální |
| Správci | Správce | Globální |
| Pokročilé operátory | Rozšířený operátor | Globální |
| Iniciátory změn | Iniciátor změn | Globální |
| Koncoví uživatelé | Koncový uživatel | Globální |
| Operátory jen pro čtení | Operátor jen pro čtení | Globální |
| Autoři | Autor | Globální |
| Analytici problémů | Analytik problému | Globální |
| Pracovní postupy | Workflow | Globální |
| Řešitelé incidentů | Řešení incidentů | Globální |
| Správci změn | Správce změn | Globální |
| Uživatelé sestavy | Uživatel sestavy | Globální |
| Správci verzí | Release Manager | Globální |
| Analytici žádostí o služby | Analytik žádostí o služby | Globální |
Poznámka:
Role uživatele uživatelé sestav portálu Service Manager je dostupná až po registraci v datovém skladu Portálu Service Manager a po dostupnosti navigačního tlačítka Datového skladu. Chcete-li zobrazit roli uživatele Sestava portálu Service Manager, vyberte Datový sklad, rozbalte položku Zabezpečení a vyberte Role uživatelů.
Příklad
Řekněme například, že chcete definovat jeden přístup zabezpečení, který umožňuje uživatelům vytvářet a upravovat, ale ne odstraňovat, položky konfigurace a jiný přístup zabezpečení, který uživatelům umožňuje vytvářet, upravovat a odstraňovat položky konfigurace. Příloha A na konci této příručky uvádí profily rolí uživatelů a jejich přidružené artefakty. Následující tabulka uvádí profily rolí uživatelů, které souvisejí s položkami konfigurace.
| Profil role uživatele | Vytváření položek konfigurace | Aktualizace položek konfigurace | Odstranění položek konfigurace |
|---|---|---|---|
| Uživatel sestavy | No | No | Ne |
| Koncový uživatel | No | No | Ne |
| Operátor jen pro čtení | No | No | Ne |
| Implementátor aktivit | No | No | Ne |
| Iniciátor změn | No | No | Ne |
| Řešení incidentů | No | No | Ne |
| Analytik problému | No | No | Ne |
| Správce změn | No | No | Ne |
| Rozšířený operátor | Ano | Ano | No |
| Autor | Ano | Ano | No |
| Workflow | Ano | Ano | No |
| Správce | Ano | Ano | Yes |
Pomocí předchozí tabulky můžete vidět, že profil role uživatele Advanced Operators může vytvářet a aktualizovat, ale ne odstranit položky konfigurace. Profil role uživatele Administrators může vytvářet, aktualizovat a odstraňovat položky konfigurace. Členové týmu pro správu prostředků, kteří mají povoleno vytvářet a aktualizovat položky konfigurace, ale ne odstranit, jsou členy předdefinovaného profilu Advanced Operators portálu Service Manager. Členové týmu pro správu prostředků, kteří mají povoleno vytvářet, upravovat a odstraňovat položky konfigurace, jsou členy profilu Administrators.
Osvědčeným postupem je předpokládat, že se členové týmu pro správu prostředků můžou změnit. Ve službě Doména služby Active Directory Services (AD DS) byste měli vytvořit dvě skupiny a nastavit tyto skupiny jako členy profilů Advanced Operators a Administrators. Když se pak členové změní, uživatelé se přidají a odeberou ze skupiny Služby Active Directory a v Service Manageru se nemusí provádět žádné změny.
Pokud v budoucnu rozdělíte tým pro správu prostředků do dvou skupin, jeden pro stolní počítače a druhý pro přenosné počítače, můžete vytvořit vlastní roli uživatele pomocí stejných profilů rolí uživatelů, ale s různými obory.
Proč nelze vytvořit některé role uživatelů
Při vytváření role uživatele si všimněte, že nejsou k dispozici tři role uživatele: Správce, Uživatel sestavy a Pracovní postupy. Tyto tři role uživatelů se vytvářejí a vyplňují během instalace a obecně platí, že tyto role uživatelů používá Service Manager. Následující části popisují jednotlivé role uživatelů.
Správce
Role uživatele Správce je globální v oboru; proto neexistuje důvod pro vytvoření jiné role uživatele tohoto typu.
Uživatel sestavy
Role uživatele, Uživatel sestavy, má jeden účel v Service Manageru: k vyhledání počítače, který je hostitelem služby Microsoft SQL Server Reporting Services (SSRS) pro uživatele v konzole portálu Service Manager. Když se uživatel v konzole Service Manageru pokusí spustit sestavu, provede se dotaz na server pro správu Service Manageru, který hledá počítač, který je hostitelem serveru pro správu datového skladu. Konzola portálu Service Manager pak dotazuje server pro správu datového skladu, který hledá název počítače hostujícího službu SSRS. Pomocí této informace se konzola Service Manageru připojí k SSRS. Jediným účelem role uživatele, uživatel sestavy, je provádět tyto dotazy. Jakmile se konzola Service Manageru připojí k SSRS, přihlašovací údaje uživatele, na kterém je spuštěna konzola, udělují přístup definovaným v SSRS. Vzhledem k úzkému účelu této role uživatele neexistuje důvod k vytvoření jiné role uživatele.
Pracovní postupy
Pracovní postupy možná budou muset číst a zapisovat do databáze portálu Service Manager. Během instalace se zobrazí výzva k zadání přihlašovacích údajů pro roli uživatele Workflows a tato role uživatele provádí požadované akce v databázi portálu Service Manager. Stejně jako role uživatele, Uživatel sestavy, úzký účel role uživatele Pracovního postupu znamená, že neexistuje důvod pro vytváření dalších rolí uživatele.
Přidání člena do role uživatele
V Service Manageru můžete uživatelům přiřadit roli uživatele, abyste definovali, co můžou dělat.
V tomto příkladu musíte do role uživatele přidat členy týmu pro správu prostředků, kteří můžou vytvářet a aktualizovat položky konfigurace, ale ne odstranit. Když se podíváte do části Položky konfigurace profilů rolí uživatelů v Service Manageru, uvidíte, že profil role uživatele Advanced Operators poskytuje to, co potřebujete ohledně oprávnění pro tento tým. V tuto chvíli jsou všichni členové týmu pro správu majetku zodpovědní za každý majetek ve společnosti; proto vyžadují neomezený rozsah.
Pomocí následujících postupů přidejte uživatele do role uživatele Advanced Operators portálu Service Manager a pak ověřte přiřazení uživatele k roli uživatele.
Přiřazení uživatele k roli uživatele
V konzole portálu Service Manager vyberte Možnost Správa.
V podokně Správa rozbalte položku Zabezpečení a pak vyberte Role uživatele.
V podokně Role uživatele poklikejte na Rozšířené operátory.
V dialogovém okně Upravit roli uživatele vyberte Uživatelé.
Na stránce Uživatelé vyberte Přidat.
V dialogovém okně Vybrat uživatele nebo skupiny zadejte jméno uživatele nebo skupiny, které chcete přidat do této role uživatele, vyberte Zkontrolovat jména a vyberte OK.
V dialogovém okně Upravit roli uživatele vyberte OK.
Ověření přiřazení uživatele k roli uživatele
- Přihlaste se ke konzole portálu Service Manager jako jeden z uživatelů přiřazených k roli uživatele. Ověřte, že nemáte přístup k datům, pro která nemáte přístupová práva, jak je uvedeno v rolích uživatelů.
K zobrazení uživatelů můžete použít příkaz Windows PowerShellu. Informace o tom, jak pomocí prostředí Windows PowerShell načíst uživatele definované v Service Manageru, najdete v tématu Get-SCSMUser.
Vytvoření role uživatele
Pomocí následujících postupů vytvořte roli uživatele a přiřaďte uživatele k této roli v Service Manageru a pak ověřte vytvoření role uživatele.
Pokud chcete vytvořit roli uživatele, postupujte takto:
V konzole portálu Service Manager vyberte Možnost Správa.
V podokně Správa rozbalte položku Zabezpečení a pak vyberte Role uživatele.
V podokně Úlohy v části Role uživatele vyberte Vytvořit roli uživatele a pak vyberte profil role uživatele, který chcete použít pro tuto roli uživatele, například Autor.
Dokončete Průvodce rolí uživatele následujícím způsobem:
Na stránce Před zahájením vyberte Další.
Na stránce Obecné zadejte název a popis této role uživatele a vyberte Další.
Na stránce Sady Management Pack začněte filtrovat obor dat, ke kterým chcete přiřadit přístup. Vyberte sady Management Pack, které obsahují data, ke kterým chcete přiřadit přístup, například ke knihovně pro správu incidentů. Vyberte Další.
Na následujících stránkách se zobrazí všechny třídy, fronty, skupiny, úlohy, zobrazení a šablony formulářů, které jsou k dispozici pro zadanou roli uživatele ze zadaných sad Management Pack. Výběrem konkrétních položek na těchto stránkách můžete dále omezit sadu dat, ke kterým je přístup přiřazen.
Důležité
Skupiny a seznamy front nejsou filtrované – všechny skupiny a fronty ze všech sad Management Pack jsou uvedené. Pokud vyberete položku Vybrat všechny fronty na stránce Fronty, vybere se na stránce Skupiny automaticky vybrat všechny skupiny. Kromě toho se ve výchozím nastavení nevytvořily žádné skupiny. Pokud chcete omezit obor podle skupiny, musíte vytvořit skupinu.
Na stránce Uživatelé vyberte Přidat a pomocí dialogového okna Vybrat uživatele nebo skupiny vyberte uživatele a skupiny uživatelů ze služby Doména služby Active Directory Services (AD DS) pro tuto roli uživatele a pak vyberte Další.
Na stránce Souhrn se ujistěte, že jsou nastavení správná, a vyberte Vytvořit.
Na stránce Dokončení se ujistěte, že se role uživatele úspěšně vytvořila, a vyberte Zavřít.
Ověření vytvoření role uživatele
V konzole portálu Service Manager ověřte, že se v prostředním podokně zobrazí nově vytvořená role uživatele.
Přihlaste se ke konzole portálu Service Manager jako jeden z uživatelů přiřazených k roli uživatele. Ověřte, že nemáte přístup k datům, pro která nemáte přístupová práva, jak je uvedeno v roli uživatele.
K dokončení těchto a dalších souvisejících úloh můžete použít příkazy Windows PowerShellu:
Informace o tom, jak pomocí prostředí Windows PowerShell vytvořit novou roli uživatele v Service Manageru, naleznete v tématu New-SCSMUserRole.
Informace o tom, jak pomocí prostředí Windows PowerShell načíst role uživatelů definované v Service Manageru, najdete v tématu Get-SCSMUserRole.
Informace o tom, jak pomocí prostředí Windows PowerShell nastavit vlastnost UserRole pro uživatele Service Manageru, naleznete v tématu Update-SCSMUserRole.
Informace o tom, jak pomocí prostředí Windows PowerShell odebrat roli uživatele z portálu Service Manager, naleznete v tématu Remove-SCSMUserRole.
Další kroky
- Informace o požadavcích na zabezpečení hesel, vypršení platnosti hesla a změnách uživatelského jména najdete v tématu Správa účtů Spustit jako.