實作使用者角色
在 System Center Operations Manager 中,使用者角色是您用來指派存取監視數據及執行動作所需許可權的方法。 使用者角色是設計用來套用到需要在同一個受監視物件群組上存取及執行動作的使用者群組。 根據預設,只有 Operations Manager 系統管理員帳戶有權檢視及處理所有監視數據。 所有其他使用者都必須指派使用者角色,才能檢視或處理特定或所有監視數據。
使用者角色需透過「建立使用者角色精靈」來建立。 在此精靈中,您會設定哪些 Active Directory 安全組獲指派此使用者角色,此使用者可存取哪些 Operations Manager 群組或受監視物件的群組,以及哪些工作、儀錶板和檢視此使用者角色可以存取。
使用者角色是配置檔和範圍的組合,如下圖所示。 一個使用者可以是多個角色的一部分,而結果領域則是所有使用者角色的聯集。
瞭解配置檔
在管理群組中建立使用者角色之前,請選取一個套用至您要建立之使用者角色的配置檔。 設定檔可決定使用者可以執行的動作。 配置檔有一組定義的許可權,您無法新增或移除其中任何指派的許可權。 為操作員和其他使用者建立使用者角色時,請選取最符合 System Center - Operations Manager 部署中使用者群組責任的配置檔。
由於 Operations Manager 是一個企業監視平臺,可以監視您企業中部署的基礎結構、工作負載或應用程式,因此您可能想要讓監視數據的存取權與您的服務作業程式一致,讓不同的事件呈報支援層級或應用程式開發人員小組能夠查看與其角色相關的作業數據。 角色型安全性可讓您限制使用者對 Operations Manager 各個方面具有的權限。
重要
將計算機帳戶新增至使用者角色成員,可讓該電腦上的所有服務都能在 Operations Manager 中存取。 建議您不要將電腦帳戶新增至任何使用者角色。
在 Operations Manager 中,如解決警示、執行中工作、覆寫監視器、建立使用者角色、檢視警示、檢視事件等作業已分組到配置檔中,每個配置檔都代表特定作業函式,如下表所示。 如需與各設定檔相關聯的具體操作清單,請參閱 Operations Associated with User Role Profiles。
注意
領域定義設定檔所受限制的實體群組、物件類型、工作或檢視。 並非所有領域都適用於所有設定檔。
| 設定檔 | 作業功能與領域 |
|---|---|
| 系統管理員 | 包含 Operations Manager 中可用的完整權限。 注意: 您只能將 Active Directory 安全組新增至系統管理員角色。 |
| 進階操作員 | 除操作員權限以外,還包含一組專為需要有限調整監視設定的使用者而設計之權限。 授與成員覆寫設定領域內特定目標或目標群組的規則與監視設定之能力。 進階運算子也會繼承操作員許可權。 |
| 應用程式監視操作員 | 包含一組專為需要存取 應用程式診斷的用戶所設計的許可權。 以應用程式監視操作員配置檔為基礎的使用者角色授與成員在 Application Diagnostics Web 控制台中查看應用程式監視事件的能力。 注意: 存取 Application Advisor 功能需要報表操作員或系統管理員配置檔。 |
| 作者 | 包含一組專為撰寫監視設定而設計的權限。 授與成員建立、編輯及刪除設定領域內特定目標或目標群組的監視設定 (如工作、規則、監視及檢視) 之能力。 |
| Operator | 包含一組專為需要存取警示、檢視及工作的使用者而設計之權限。 授與成員根據其設定領域與警示互動、執行工作及存取檢視的能力。 安全性注意事項: 當儀錶板檢視使用來自數據倉儲資料庫的數據時,操作員可能能夠檢視數據,否則在使用操作資料庫中數據的檢視中,他們將無法存取的數據。 |
| 唯讀操作員 | 包含一組專為需要唯讀存取警示與檢視的使用者而設計之權限。 授與成員根據其設定領域檢視警示與存取檢視的能力。 注意: 只讀操作員角色的成員未獲指派工作狀態檢視的許可權。 安全性注意事項: 當儀錶板檢視使用來自數據倉儲資料庫的數據時,操作員可能能夠檢視數據,否則在使用操作資料庫中數據的檢視中,他們將無法存取的數據。 |
| 報表操作員 | 包含一組專為需要存取報表的使用者而設計之權限。 授與成員根據其設定領域檢視報表的能力。 注意: 指派給此角色的使用者可以存取報表數據倉儲中的所有報表數據,且不受範圍限制。 |
| 報表安全性系統管理員 | 允許將 SQL Server Reporting Services 安全性與 Operations Manager 使用者角色整合。 這將授與 Operations Manager 系統管理員控制存取報表的能力。 此角色只能有一個成員帳戶,而且不能設定範圍。 |
除了上述現有的作業配置檔之外,Operations Manager 2022 還支援下列新的作業配置檔:
| 設定檔 | 作業功能與領域 |
|---|---|
| 唯讀系統管理員 | 包含 Operations Manager 中的所有讀取許可權以及報告。 |
| 委派系統管理員 | 在 Operations Manager 中包含所有讀取許可權,但報告除外。 授與成員以委派系統管理員作為基底配置檔建立自定義使用者角色的能力。 |
使用 Operations Manager 群組定義範圍
使用者角色的範圍會決定使用者角色可以在 System Center – Operations Manager 中檢視和執行動作的物件。 範圍是由一或多個 Operations Manager 群組所組成,並在建立使用者角色精靈中建立使用者角色時定義。 [建立使用者角色精靈] 的 [群組領域] 頁面會提供所有現有 Operations Manager 群組的清單。 您可以選擇所有或其中一些群組作為您要建立的使用者角色範圍。
群組就如同其他 Operations Manager 物件,會在管理組件中定義。 在 Operations Manager 中,群組是對象的邏輯集合,例如 Windows 計算機、硬碟或 sql Server Microsoft實例。 Operations Manager 安裝期間自動匯入的管理組件會建立數個群組。 如果這些群組未包含範圍所需的受監視物件,您可以建立執行此作業的群組。 若要這樣做,您必須結束 [建立使用者角色精靈],切換至 [監視] 工作區,並使用 [建立群組精靈] 建立更符合您需求的群組。
指派工作、儀錶板和檢視
工作是從 Operations 控制台啟動的使用者起始動作,該動作是在 Operations Manager 代理程式上執行,或是從控制台啟動的系統上執行。 您授與您所建立之使用者角色的工作,可以針對您要建立的使用者角色執行這些特定命令或動作。 默認設定是指派該使用者角色的所有使用者都可以執行所有工作,並開啟所有儀錶板和檢視,只要其配置檔和範圍允許它即可。 [ 建立使用者角色精靈 工作] 頁面中的替代方法是列出您要建立的用戶規則可以存取的特定工作。 同樣地,在 [ 建立使用者角色儀錶板和檢視 ] 頁面上,可以指定哪些儀錶板和檢視,以及可從 [工作] 窗格存取的特定儀錶板。
如何將成員指派給內建使用者角色
Operations Manager 提供八個在安裝期間建立的標準使用者角色。 您可以將群組和個人直接指派給這些內建使用者角色,讓他們能夠執行特定工作並存取特定資訊。 這些內建角色具有管理群組的全域範圍。
若要限制使用者的範圍,請建立新的使用者角色。
將成員指派給內建的使用者角色
在 Operations 主控台中,選取 [管理] 。
在 [安全性] 中,選取 [使用者角色]。
在結果窗格中,以滑鼠右鍵按兩下任何使用者角色,例如 Operations Manager 運算符,然後選取 [ 屬性]。
在 [一般屬性] 索引標籤的 [使用者角色成員] 中,選取 [新增]。
在 [輸入要選取的物件名稱] 中,輸入您要新增至使用者角色的使用者或組帳戶名稱,然後選取 [ 確定 ] 以關閉對話框。
選取 [ 確定 ] 以關閉使用者角色的屬性。