Configuration Manager 的角色型系統管理基本概念
適用於:Configuration Manager (目前的分支)
透過 Configuration Manager,您可以使用角色型系統管理來保護系統管理使用者使用 Configuration Manager 所需的存取權。 您也可以保護對所管理物件的存取,例如集合、部署和網站。
以角色為基礎的系統管理模型會集中定義和管理整個階層的安全性存取。 此模型適用於所有網站和網站設定,方法是使用下列專案:
安全性角色會指派給系統管理使用者,以授與他們 Configuration Manager 對象的許可權。 例如,建立或變更用戶端設定的許可權。
安全性範圍 可用來將系統管理用戶負責管理之物件的特定實例分組。 例如,安裝 Configuration Manager 主控台的應用程式。
集合可用來指定系統管理用戶可以在 Configuration Manager 中管理的使用者和裝置群組。
透過角色、範圍和集合的組合,您可以隔離符合組織需求的系統管理指派。 它們會一起使用,以定義用戶的 系統管理範圍 。 此系統管理範圍會控制系統管理使用者在 Configuration Manager 控制台中檢視的物件,並控制使用者在這些對象上擁有的許可權。
優點
下列專案是 Configuration Manager 中以角色為基礎的系統管理優點:
網站不會當做系統管理界限使用。 換句話說,請勿將獨立主要月臺擴充到具有管理中心網站的階層,以分隔系統管理使用者。
您為階層建立系統管理使用者,只需要為其指派安全性一次。
所有安全性指派都會復寫並可在整個階層中使用。 以角色為基礎的系統管理設定會復寫到階層中的每個月臺作為全域數據,然後套用至所有系統管理連線。
重要事項
月臺間復寫延遲可能會導致網站無法接收角色型系統管理的變更。 如需如何監視月臺間資料庫複寫的詳細資訊,請參閱 月臺之間的數據傳輸。
有內建的安全性角色可用來指派一般管理工作。 建立您自己的自定義安全性角色,以支援您的特定商務需求。
系統管理使用者只會看到他們有權管理的物件。
您可以稽核系統管理安全性動作。
安全性角色
使用安全性角色將安全性許可權授與系統管理使用者。 安全性角色是您指派給系統管理使用者的安全性許可權群組,讓他們可以執行其系統管理工作。 這些安全性許可權會定義系統管理使用者可以執行的動作,以及針對特定物件類型授與的許可權。 基於安全性最佳做法,請指派安全性角色,以提供工作所需的最低許可權。
Configuration Manager 有數個內建安全性角色,可支援一般系統管理工作的群組。 您可以建立自己的自定義安全性角色,以支援您的特定商務需求。
下表摘要說明所有內建角色:
| 名稱 | 描述 |
|---|---|
| 應用程式系統管理員 | 結合應用程式 部署 管理員和應用程式 作者 角色的許可權。 此角色中的系統管理使用者也可以管理查詢、檢視網站設定、管理集合、編輯使用者裝置親和性的設定,以及管理 App-V 虛擬環境。 |
| 應用程式作者 | 可以建立、修改和淘汰應用程式。 此角色中的系統管理使用者也可以管理應用程式、套件和 App-V 虛擬環境。 |
| 應用程式部署管理員 | 可以部署應用程式。 這個角色中的系統管理使用者可以檢視應用程式清單。 他們可以管理應用程式、警示和套件的部署。 他們可以檢視集合及其成員、狀態消息、查詢、條件式傳遞規則,以及App-V虛擬環境。 |
| 資產管理員 | 授與管理 Asset Intelligence 同步處理點、Asset Intelligence 報告類別、軟體清查、硬體清查和計量規則的許可權。 |
| 公司資源存取管理員 | 授與建立、管理及部署公司資源存取配置文件的許可權。 例如,Wi-Fi、VPN、Exchange ActiveSync 電子郵件和憑證配置檔。 |
| 合規性設定管理員 | 授與定義和監視合規性設定的許可權。 此角色中的系統管理使用者可以建立、修改和刪除設定項目和基準。 他們也可以將設定基準部署到集合、啟動合規性評估,以及開始補救不符合規範的計算機。 |
| Endpoint Protection Manager | 授與建立、修改和刪除端點保護原則的許可權。 他們可以將這些原則部署到集合、建立和修改警示,以及監視端點保護狀態。 |
| 系統高許可權管理員 | 授與 Configuration Manager 中的所有許可權。 安裝 Configuration Manager的系統管理用戶會自動獲得此安全性角色、所有範圍和所有集合。 |
| 基礎結構系統管理員 | 授與許可權來建立、刪除和修改 Configuration Manager 伺服器基礎結構,以及執行移轉工作。 |
| 作系統部署管理員 | 授與建立OS映像並將其部署至計算機、管理OS升級套件和映像、工作順序、驅動程序、開機映像和狀態移轉設定的許可權。 |
| 作業系統管理員 | 授與 Configuration Manager 中所有動作的許可權,但管理安全性的許可權除外。 此角色無法管理系統管理使用者、安全性角色和安全性範圍。 |
| 唯讀分析師 | 授與檢視所有 Configuration Manager 物件的許可權。 |
| 遠端工具運算元 | 授與執行和稽核遠端管理工具的許可權,以協助使用者解決計算機問題。 此角色中的系統管理使用者可以從 Configuration Manager 主控台執行遠端控制、遠端協助和遠端桌面。 |
| 安全性系統管理員 | 授與許可權,以新增和移除系統管理使用者,以及將系統管理使用者與安全性角色、集合和安全性範圍產生關聯。 此角色中的系統管理使用者也可以建立、修改和刪除安全性角色及其指派的安全性範圍和集合。 |
| 軟體更新管理員 | 授與定義和部署軟體更新的許可權。 此角色中的系統管理使用者可以管理軟體更新群組、部署和部署範本。 |
提示
如果您有許可權,可以在 Configuration Manager 控制台中檢視所有安全性角色的清單。 若要檢視角色,請移至 [ 系統管理 ] 工作區,展開 [ 安全性],然後選取 [ 安全性角色 ] 節點。
除了新增系統管理使用者之外,您無法修改內建安全性角色。 您可以複製角色、進行變更,然後將這些變更儲存為新的自定義安全性角色。 您也可以匯入從另一個階層導出的安全性角色,例如實驗室環境。 如需詳細資訊, 請參閱設定以角色為基礎的系統管理。
檢閱安全性角色及其許可權,以判斷您是否將使用內建安全性角色,或是否必須建立自己的自定義安全性角色。
角色權限
每個安全性角色都有不同物件類型的特定許可權。 例如,應用程式 作者 角色具有下列 應用程式許可權:
- 核准
- 建立
- Delete
- 修改
- 修改資料夾
- 移動物件
- 讀取
- 執行報表
- 設定安全性範圍
此角色也具有其他對象的許可權。
![應用程式作者內建角色的 [許可權] 索引標籤](media/application-author-role-permissions.png)
如需如何檢視角色許可權或變更自定義角色許可權的詳細資訊,請參閱設定 角色型系統管理。
規劃安全性角色
使用此程式來規劃環境中 Configuration Manager 安全性角色:
識別系統管理使用者在 Configuration Manager 中需要執行的工作。 這些工作可能與一或多個管理工作群組相關。 例如,部署作系統和合規性設定。
將這些系統管理工作對應至一或多個內建角色。
如果某些系統管理使用者執行多個角色的工作,請將使用者指派給多個角色。 請勿建立結合許可權的自定義角色。
如果您識別的工作未對應至內建安全性角色,請建立和測試自定義角色。
如需詳細資訊,請 參閱建立自定義安全性角色 和設定 安全性角色。
集合
集合會指定系統管理使用者可以檢視或管理的用戶和裝置。 例如,若要將應用程式部署至裝置,系統管理用戶必須是安全性角色,以授與包含裝置之集合的存取權。
如需集合的詳細資訊,請 參閱集合簡介。
設定以角色為基礎的系統管理之前,請先決定是否要基於下列任何原因建立新的集合:
- 功能性組織。 例如,分隔伺服器和工作站的集合。
- 地理對齊方式。 例如,北美洲和歐洲的個別集合。
- 安全性需求和商務程式。 例如,針對生產和測試計算機個別的集合。
- 組織一致性。 例如,每個業務單位的個別集合。
如需詳細資訊, 請參閱設定集合以管理安全性。
安全性範圍
使用安全性範圍,為系統管理使用者提供安全性實體物件的存取權。 安全性範圍是一組具名的安全性實體物件,會以群組方式指派給系統管理員使用者。 所有安全性實體對象都會指派給一或多個安全性範圍。 Configuration Manager 有兩個內建安全性範圍:
全部:授與所有範圍的存取權。 您無法將物件指派給這個安全性範圍。
預設值:此範圍預設會用於所有物件。 當您安裝 Configuration Manager 時,它會將所有物件指派給此安全性範圍。
如果您想要限制系統管理使用者可以查看和管理的物件,請建立您自己的自定義安全性範圍。 安全性範圍不支持階層式結構,且無法巢狀。 安全性範圍可以包含一或多個物件類型,其中包括下列專案:
- 警示訂用帳戶
- 應用程式和應用程式群組
- App-V 虛擬環境
- 開機映像
- 界限群組
- 設定專案和基準
- 自訂客戶端設定
- 發佈點和發佈點群組
- 驅動程式套件
- 端點保護原則 (所有)
- 資料夾
- 全域條件
- 移轉作業
- 商務用 OneDrive 配置檔
- 作業系統映像
- 作系統升級套件
- 套件
- 查詢
- 遠端連線設定檔
- 指令碼
- 網站
- 軟體計量規則
- 軟體更新群組
- 軟體更新套件
- 工作順序
- 用戶數據和配置檔設定專案
- 商務用 Windows Update 原則
此外,還有一些您無法包含在安全性範圍中的對象,因為它們只會受到安全性角色保護。 這些物件的系統管理存取權不能限制為可用物件的子集。 例如,您可能有一個系統管理使用者,可建立用於特定網站的界限群組。 因為界限物件不支援安全性範圍,所以您無法為此使用者指派安全性範圍,只提供可能與該網站相關聯之界限的存取權。 因為界限對象無法與安全性範圍相關聯,所以當您將包含界限物件存取權的安全性角色指派給使用者時,該使用者可以存取階層中的每個界限。
不支援安全性範圍的物件包括但不限於下列專案:
- Active Directory 樹系
- 系統管理使用者
- 警示
- 邊界
- 計算機關聯
- 預設客戶端設定
- 部署範本
- 裝置驅動程式
- 移轉站對站對應
- 安全性角色
- 安全性範圍
- 網站位址
- 月臺系統角色
- 軟體更新
- 狀態消息
- 用戶裝置親和性
當您必須限制個別物件實例的存取權時,請建立安全性範圍。 例如:
您有一組系統管理使用者,需要查看生產應用程式,而不是測試應用程式。 為生產應用程式建立一個安全性範圍,併為測試應用程式建立另一個安全性範圍。
一組系統管理使用者需要特定軟體更新群組的讀取許可權。 另一組系統管理使用者需要其他軟體更新群組的修改和刪除許可權。 為這些軟體更新群組建立不同的安全性範圍。
如需詳細資訊, 請參閱設定對象的安全性範圍。