Configuration Manager 2012 Beta 2 中提供的基于角色管理的“Show Me”功能
[ 原文提供者为 Lilian Xuan, 原文链接请点击这里]
使用过Configuration Manager 2007控制台的管理员,都不得不面对十分复杂的具有五十多个节点和数百项操作的目录树,即使很多时候他们只是对其中某一个节点有操作的权限。反之,如果能根据所分配角色的不同来拥有属于自己的控制台,那将是非常酷的体验。Configuration Manager 2012控制台通过基于角色管理的模式,提供了这样一种我们称之为“Show Me”的功能。
什么是“Show Me ”?
“Show Me”是Configuration Manager2012提供的对每个管理用户只显示与其相关对象的功能。当你运行Configuration Manager 2012控制台时,将不会再像以往那样看到所有的工作区,节点和对象,相反,你将只会看到你的工作角色所需要的对象。Configuration Manager 2012中基于角色管理模式将隐藏那些你不需要看到的工作区、节点和对象。
为什么会有“Show Me ”?
想象一下你拥有一个有10把钥匙的钥匙链,而其中只有1把能用来打开你办公室的门,而其它9把对你来说都是没有用的。在这种情况下,你会怎么做呢?你会每天带着整串10把钥匙去办公室,然后从这10把里找出开门的那一把吗?别开玩笑了,如果是我,我会拿出的那把有用的随身带着,而把其它9把放在家里(或者直接扔掉)。
Configuration Manager 2012控制台的“Show Me”功能就能让你把那些用不到的钥匙放在家里而只携带你需要的那一把。举个例子,假设你的工作是使用资产智能管理功能来收集和汇报软件许可证信息,那么在Configuration Manager 2012基于角色管理模式中,你会被分配一个称为资产管理的安全角色。在这种情况下,当你运行Configuration Manager 2012控制台时, 你是希望看到所有的对象,还是只希望看到那些和你的角色相关的对象呢?
没有“Show Me”功能,你将看到如下图所示的所有工作区和节点:
注意:这是基于Beta2版本的预发布的用户界面,在后续版本中可能会有变更。
而有了“Show Me”功能,就将只会显示相关的工作区和节点。如下图所示,你将不会再看到软件库工作区和配置项目节点的信息了。
注意:这是基于Beta2版本的预发布的用户界面,在后续版本中可能会有变更。
“Show Me”的优点可归纳如下:
- 自动定制的Configuration Manager控制台
- 只向管理用户显示他们完成工作所需的对象和操作
- 简化的显示使得用户可以更轻松,高效的管理Configuration Manager
“Show Me ”是如何工作的?
“Show Me”功能是基于Configuration Manager2012中基于角色管理模式设置的结果。首先,你的Windows用户账户需要被授予访问Configuration Manager控制台的权限。 然后,当使用你的账户打开Configuration Manager控制台时,将只显示那些你拥有管理权限的节点和对象,而你没有权限查看或管理的对象将被隐藏。这是由你账户相关联的安全角色(security roles)、安全作用域(security scopes)和集合(collections)共同决定的:
- 安全角色定义了你对不同的对象类型所拥有的操作或权限。比如,安全作用域可以授予相关联的用户以创建、部署和删除应用程序的权限。安全角色配置则控制了以下对象的访问权和可见性:
- 工作区
- 控制台节点和文件夹
- 你有权访问的对象类型
- 针对可访问对象的可用操作(例如哪些操作会被显示在功能区)
- 安全作用域是对象的组合(sets of objects)。Configuration Manager 2012中的每一个安全对象都必须被分配到至少一个安全作用域中。当你关联到某一个安全作用域,你就将获得管理该作用域特定对象的访问权。
- 集合关联决定了当你执行某些操作,比如部署内容或者查看集合列表时,将能够显示哪些集合。
显示、隐藏或禁用
使用“Show Me”,用户可能在Configuration Manager控制台上看到不同性质的对象。这些性质包括显示且可访问,显示但禁用使用,或者隐藏。
显示
- 所有对象:当管理用户有对象的管理权限时对象将被显示。如果对象是节点或文件夹,则其在此工作区中的父对象也会被显示。
隐藏
- 工作区:如果管理用户没有访问或操作工作区中任一节点的权限,此工作区将被隐藏。
- 节点:如果管理用户没有对某一节点创建、修改、删除、查看或者配置的权限,此节点将被隐藏。
- 对象:如果对象不在管理用户所关联的安全作用域中,对象将被隐藏。此外,如果安全角色不提供针对此对象类型的任何权限时,对象也会被隐藏。
- 操作:如果用户没有执行对象的特定操作的权限,此操作将被隐藏。针对某对象执行操作的权限是由与用户相关联的安全角色(security roles)授予的。
禁用
- 操作:在两种情况下,对象或操作将被禁用(不可用)。
1)第一种情况,你可能对某一对象及其特定操作具有权限,但此操作却显示为禁用,这是因为此操作目前是不可用的。而如果先决条件满足或改变,那么此操作就有可能会变为可用的。
比如,下图中,操作Enable or Disable Asset Intelligence Synchronization Point 被禁用了,因为资产智能同步点并未安装。然而,当资产智能同步点安装好后,管理用户所分配的安全角色就授予了他们启用或禁用此站点系统角色的权限。
注意:这是基于Beta2版本的预发布的用户界面,在后续版本中可能会有变更。
2)第二种情况,你可能对某些对象拥有权限,但不是目前所选中的对象。当你具有多个关联的安全角色,而且基于角色的管理配置将特定的(不是所有)安全作用域或者集合关联到这些安全角色时,就会出现这种情况。
故障排除技巧
当你使用“Show Me”特性时,需要提防下面这些常见的问题:
1、无法看到你所期望看到的工作区、节点或者操作项
解决方案:请确保用户账户所关联的安全角色对正确的对象类型授予了权限。
2、无法看到你期望在控制台上看到的对象。
解决方案:确保管理用户账户关联到了正确的安全作用域和集合。
你也可以利用下面两个日志文件来排除Configuration Manager控制台故障:
- <smsprovider 安装目录>\Logs\SMSProv.log
- <adminconsole安装目录>\AdminUILog\SmsAdminUI.log
有关配置基于角色管理的信息,请参阅 Configure Role-Based Administration in Configuration Manager 2012。
[本博文仅供参考,微软公司对其内容不作任何责任担保或权利赋予]