Управление ролями пользователей Service Manager
В этом разделе представлен обзор ролей пользователей в списке профилей ролей пользователей в Service Manager. Он содержит процедуры, предназначенные для работы с ролями пользователей.
Сведения о ролях пользователей
Некоторые сотрудники в организации отвечают за поддержку оборудования, такого как переносные компьютеры и серверы. Некоторые сотрудники имеют право создавать и обновлять элементы конфигурации, но не могут удалять их, а другие сотрудники могут создавать, обновлять и удалять элементы конфигурации.
В списке профилей ролей пользователей в Service Manager права безопасности, позволяющие пользователям получать доступ к информации или обновлять их, определяются в профиле роли пользователя. Профиль роли пользователя — это именованная коллекция прав доступа, и обычно она соответствует бизнес-обязанностям сотрудника. Каждый профиль роли пользователя управляет доступом к таким артефактам, как статьи базы знаний, рабочие элементы (инциденты, запросы на изменение), разработка, администрирование и другие учетные данные. Подумайте о профилях ролей пользователей как о том, что вы можете сделать.
В будущем руководство организации может решить разделить всех сотрудников, работающих с элементами конфигурации, на две группы: на тех, кто работает с элементами конфигурации для настольных компьютеров, и на тех, кто работает с элементами конфигурации для переносных компьютеров. При этом нужно сохранить два профиля ролей пользователей, один из которых разрешает создавать и изменять, но не разрешает удалять элементы конфигурации, а другой разрешает создавать, изменять и удалять элементы конфигурации. Такие профили ролей пользователей определяются в различных областях: одна для настольных компьютеров, а другая — для переносных. Если профили ролей пользователей определяют, что вы можете сделать, подумайте о областях как о том, какие элементы можно изменить. Сочетание профиля роли пользователя и области называется ролью пользователя.
Общие сведения о ролях пользователей
В Service Manager при выборе администрирования, разверните узел "Безопасность" и выберите "Роли пользователей", в области "Роли пользователей" отображается список ролей пользователей. Каждая из этих ролей настроена с помощь профиля роли пользователя и неопределенной области. Поскольку для таких ролей не определена область, соответствующие профили пользователей действуют для всех пакетов управления, очередей, групп, задач, представлений и шаблонов форм. В следующей таблице перечислены роли пользователей по умолчанию, связанные с ними профили и области.
| роль пользователя. | Профиль роли пользователя | Область |
|---|---|---|
| Исполнители действий | Исполнитель действия | Глобальный |
| Администраторы | Администратор | Глобальный |
| Операторы с расширенными правами | Оператор с расширенными правами | Глобальный |
| Инициаторы изменений | Инициатор изменений | Глобальный |
| Пользователи | Конечный пользователь | Глобальный |
| Операторы только для чтения | Оператор только для чтения | Глобальный |
| Авторы | Автор | Глобальный |
| Аналитики проблем | Аналитик проблем | Глобальный |
| Рабочие процессы | Рабочий процесс | Глобальный |
| Специалисты по разрешению инцидентов | Специалист по разрешению инцидентов | Глобальный |
| Менеджеры изменений | Менеджер изменений | Глобальный |
| Пользователи отчетов | Пользователь отчетов | Глобальный |
| Диспетчеры выпусков | Диспетчер выпусков | Глобальный |
| Аналитики запросов на обслуживание | Аналитик запросов на обслуживание | Глобальный |
Примечание.
Роль пользователя "Пользователи отчетов Service Manager" доступна только после регистрации в хранилище данных Service Manager и после того, как будет доступна кнопка навигации хранилища данных. Чтобы просмотреть роль пользователя отчета Service Manager, выберите хранилище данных, разверните узел "Безопасность" и выберите " Роли пользователей".
Пример
Например, предположим, что нужно определить одну группу доступа, которая разрешает пользователям создавать и изменять элементы конфигурации, но не разрешает их удалять, и другую группу доступа, которая разрешает пользователям создавать, изменять и удалять элементы конфигурации. В конце этого руководства в приложении А перечислены профили ролей пользователей и связанные с ними артефакты. В следующей таблице показана связь профилей ролей пользователей с элементами конфигурации.
| Профиль роли пользователя | Создание элементов конфигурации | Обновление элементов конфигурации | Удаление элементов конфигурации |
|---|---|---|---|
| Пользователь отчетов | No | No | No |
| Конечный пользователь | No | No | No |
| Оператор только для чтения | No | No | No |
| Исполнитель действия | No | No | No |
| Инициатор изменений | No | No | No |
| Специалист по разрешению инцидентов | No | No | No |
| Аналитик проблем | No | No | No |
| Менеджер изменений | No | No | No |
| Оператор с расширенными правами | Да | Да | Нет |
| Автор | Да | Да | Нет |
| Рабочий процесс | Да | Да | Нет |
| Администратор | Да | Да | Да |
По предыдущей таблице можно определить, что профиль роли пользователя «Операторы с расширенными правами» может создавать и обновлять, но не может удалять элементы конфигурации. Профиль роли пользователя «Администраторы» может создавать, обновлять и удалять элементы конфигурации. Члены группы управления активами, которые разрешены создавать и обновлять, но не удалять, элементы конфигурации состоят из предопределенного профиля расширенных операторов Service Manager. Члены группы управления активами, которым разрешается создавать, изменять и удалять элементы конфигурации, добавляются в профиль «Администраторы».
Рекомендуется учитывать, что члены группы управления активами могут меняться. Необходимо создать две группы в доменных службах Active Directory и сделать их членами профилей «Операторы с расширенными правами» и «Администраторы». Затем при изменении членов пользователи добавляются и удаляются из группы Active Directory, а изменения в Service Manager не нужно вносить.
В дальнейшем, если группа управления активами будет разделена на две группы (одна для настольных компьютеров и другая для ноутбуков), можно будет создать собственную роль пользователя, используя те же профили, но другие области.
Почему не удается создать некоторые роли пользователей
При создании роли пользователя обратите внимание, что три роли пользователей недоступны: администратор, пользователь отчетов и рабочие процессы. Эти три роли пользователя создаются и заполняются во время установки, и, как правило, эти роли пользователей используются Service Manager. В следующих разделах описаны эти роли пользователей.
Администратор
Роль администратора является глобальной в области; Поэтому нет причин для создания другой роли пользователя этого типа.
Пользователь отчета
Роль пользователя отчета в Service Manager предназначена для поиска компьютера, на котором размещена служба Microsoft SQL Server Reporting Services (SSRS) для пользователя в консоли Service Manager. Когда пользователь в консоли Service Manager пытается запустить отчет, запрос выполняется на сервере управления Service Manager, который ищет компьютер, на котором размещается сервер управления хранилищем данных. Затем консоль Service Manager запрашивает сервер управления хранилищем данных, который ищет имя компьютера, на котором размещен SSRS. С этой информацией консоль Service Manager подключается к SSRS. Создание таких запросов является единственной функцией роли "Пользователь отчетов". После подключения консоли Service Manager к SSRS учетные данные пользователя, выполняющего консоль, предоставляют доступ, как определено в SSRS. Из-за узкой цели этой роли пользователя нет причин для создания другой роли пользователя.
Рабочие процессы
Рабочим процессам может потребоваться чтение и запись в базу данных Service Manager. Во время установки вам будет предложено предоставить учетные данные для роли пользователя Workflows, а эта роль пользователя выполняет необходимые действия в базе данных Service Manager. Как и роль пользователя, пользователь отчета, узкое назначение роли пользователя рабочего процесса означает, что нет причин для создания других ролей пользователей.
Добавление участника в роль пользователя
В Service Manager можно назначить пользователей роли пользователя, чтобы определить, что они могут сделать.
В этом примере к роли пользователя необходимо добавить членов группы управления активами, которые могут создавать и обновлять элементы конфигурации, но не могут их удалять. В разделе "Элементы конфигурации" профилей ролей пользователей в Service Manager вы увидите, что профиль роли пользователей расширенных операторов предоставляет необходимые разрешения для этой команды. В данный момент все члены группы управления активами отвечают за каждый актив компании, и поэтому им требуются неограниченная область действий.
Используйте следующие процедуры, чтобы добавить пользователя в роль пользователя "Расширенные операторы Service Manager", а затем проверить назначение пользователя роли пользователя.
Назначение пользователю роли пользователя
В консоли Service Manager выберите "Администрирование".
В области Администрирование разверните группу Безопасностьи выберите элемент Роли пользователей.
В области Роли пользователей дважды щелкните роль Операторы с расширенными правами.
В диалоговом окне "Изменить роль пользователя" выберите "Пользователи".
На странице "Пользователи" нажмите кнопку "Добавить".
В диалоговом окне "Выбор пользователей или групп" введите имя пользователя или группы, которую вы хотите добавить в эту роль пользователя, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".
В диалоговом окне "Изменить роль пользователя" нажмите кнопку "ОК".
Проверка назначения пользователя роли пользователя
- Войдите в консоль Service Manager в качестве одного из пользователей, назначенных роли пользователя. Убедитесь, что вы не можете получить доступ к данным, для которых у вас нет прав доступа, как указано в ролях пользователей.
Для просмотра пользователей можно использовать команду Windows PowerShell. Сведения об использовании Windows PowerShell для извлечения пользователей, определенных в Service Manager, см. в статье Get-SCSMUser.
Создание роли пользователя
Используйте следующие процедуры, чтобы создать роль пользователя и назначить пользователей этой роли в Service Manager, а затем проверить создание роли пользователя.
Чтобы создать роль пользователя, выполните следующие действия.
В консоли Service Manager выберите "Администрирование".
В области Администрирование разверните группу Безопасностьи выберите элемент Роли пользователей.
В области Задачи в разделе Роли пользователейвыберите пункт Создание роли пользователя, а затем выберите профиль роли пользователя, который будет использоваться для этой роли, например Дизайнер.
В мастере создания роли пользователя выполните следующие действия.
На странице "Перед началом работы" нажмите кнопку "Далее".
На странице "Общие" введите имя и описание этой роли пользователя и нажмите кнопку "Далее".
На странице Пакеты управления начните фильтровать область данных, к которым назначается доступ. Выберите пакеты управления, содержащие данные, к которым необходимо назначить доступ, например Библиотека управления инцидентами. Выберите Далее.
На следующих страницах будут показаны все классы, очереди, группы, задачи, представления и шаблоны форм из указанных пакетов управления, которые доступны для указанной роли пользователя. На этих страницах можно выбрать отдельные элементы, чтобы ограничить набор данных, к которым назначается доступ.
Внимание
Группы и списки очередей не отфильтрованы— все группы и очереди из всех пакетов управления перечислены. Если на странице Очереди выбрать вариант Выбрать все очереди , то на странице Группы автоматически выбирается вариант Выбрать все группы . Кроме того, по умолчанию группы не создаются. Необходимо создать группу, если вы хотите ограничить область по группам.
На странице "Пользователи" выберите "Добавить" и используйте диалоговое окно "Выбор пользователей" или "Группы", чтобы выбрать пользователей и группы пользователей из домен Active Directory служб (AD DS) для этой роли пользователя, а затем нажмите кнопку "Далее".
На странице "Сводка" убедитесь, что параметры правильны и нажмите кнопку "Создать".
На странице завершения убедитесь, что роль пользователя была создана успешно и нажмите кнопку "Закрыть".
Проверка создания роли пользователя
В консоли Service Manager убедитесь, что созданная роль пользователя отображается на средней панели.
Войдите в консоль Service Manager в качестве одного из пользователей, назначенных роли пользователя. Убедитесь, что вы не можете получить доступ к данным, для которых у вас нет прав доступа, как указано в роли пользователя.
Для выполнения этих и других связанных задач можно использовать команды Windows PowerShell, как показано ниже.
Сведения об использовании Windows PowerShell для создания новой роли пользователя в Service Manager см. в статье New-SCSMUserRole.
Сведения об использовании Windows PowerShell для получения ролей пользователей, определенных в Service Manager, см. в статье Get-SCSMUserRole.
Сведения об использовании Windows PowerShell для задания свойства UserRole для пользователя Service Manager см. в разделе Update-SCSMUserRole.
Сведения об удалении роли пользователя из Service Manager с помощью Windows PowerShell см. в разделе Remove-SCSMUserRole.
Следующие шаги
- Сведения о требованиях к безопасности паролей, истечении срока действия пароля и изменении имени пользователя см. в разделе "Управление учетными записями запуска от имени".