管理 Service Manager 使用者角色
本節提供 Service Manager 中使用者角色配置檔清單的使用者角色概觀。 其中包含可用來操作使用者角色的程序。
關於使用者角色
在您的組織中,有些員工負責支援硬體,例如可攜式電腦和伺服器; 有些員工可以建立及更新設定項目,但不能刪除設定項目,而其他員工則可以建立、更新及刪除設定項目。
在 Service Manager 中的使用者角色設定檔清單中,允許使用者存取或更新資訊的安全性許可權定義在使用者角色設定檔中。 使用者角色配置檔是訪問許可權的具名集合,通常對應至員工的商務責任。 每個使用者角色設定檔均控制知識文章、工作項目 (事件、變更要求)、撰寫、系統管理,以及其他認證等成品。 將使用者角色設定檔想像成定義您允許執行的動作。
未來,您組織的管理員可能會決定將負責維護設定項目的員工團隊分成兩組:一組負責處理桌上型電腦的設定項目,另一組負責處理可攜式電腦的設定項目。 他們想保留這兩個使用者角色設定檔,其中一個設定檔可以建立及編輯,但不能刪除設定項目,而另一個設定檔則可以建立、編輯和刪除設定項目。 您需為這些使用者角色設定檔定義不同的領域,其中一個屬於桌上型電腦,另一個屬於可攜式電腦。 如果使用者角色設定檔定義允許執行的動作,請將範圍視為定義您允許修改的專案。 使用者角色設定檔和領域的組合就稱為使用者角色。
了解使用者角色
在 Service Manager 中,當您選取 [系統管理],展開 [安全性],然後選取 [使用者角色],[使用者角色] 窗格會顯示使用者角色清單。 這些使用者角色每一個都設定了一個使用者角色設定檔,以及一個未定義的領域。 由於尚未定義這些使用者角色的領域,因此這些使用者角色可以在所有管理組件、佇列、群組、工作、檢視及表單範本執行其使用者設定檔。 下表列出預設的使用者角色、相關的使用者角色設定檔,以及領域。
| 使用者角色 | 使用者角色設定檔 | 範圍 |
|---|---|---|
| 活動實施者 | 活動實施者 | 全球 |
| 系統管理員 | 系統管理員 | 全球 |
| 進階操作員 | 進階操作員 | 全球 |
| 變更起始者 | 變更啟動者 | 全球 |
| 使用者 | 使用者 | 全球 |
| 唯讀操作員 | 唯讀操作員 | 全球 |
| Authors | 作者 | 全球 |
| 問題分析師 | 問題分析師 | 全球 |
| 工作流程 | 工作流程 | 全球 |
| 事件解決者 | 事件解決者 | 全球 |
| 變更管理員 | 變更管理員 | 全球 |
| 報表使用者 | 報表使用者 | 全球 |
| 發行管理員 | 發行管理員 | 全球 |
| 服務要求分析師 | 服務要求分析師 | 全球 |
注意
只有在您向 Service Manager 數據倉儲註冊,並在 [數據倉儲] 導覽按鈕可用之後,才能使用 Service Manager 報表使用者角色。 若要檢視 Service Manager 報表使用者角色,請選取 [數據倉儲],展開 [安全性],然後選取 [ 使用者角色]。
範例
例如,假設您想要定義一個安全性存取權限,允許使用者建立及編輯設定項目,但不能刪除設定項目,同時定義另一個安全性存取權限,允許使用者建立、編輯和刪除設定項目。 本指南最後的附錄列有使用者角色設定檔及其相關成品。 下表依照與設定項目之間的關聯性顯示使用者角色設定檔。
| 使用者角色設定檔 | 建立設定項目 | 更新設定項目 | 刪除設定項目 |
|---|---|---|---|
| 報表使用者 | No | 無 | No |
| 使用者 | No | 無 | No |
| 唯讀操作員 | No | 無 | No |
| 活動實施者 | No | 無 | No |
| 變更啟動者 | No | 無 | No |
| 事件解決者 | No | 無 | No |
| 問題分析師 | No | 無 | No |
| 變更管理員 | No | 無 | No |
| 進階操作員 | Yes | 是 | No |
| 作者 | Yes | 是 | No |
| 工作流程 | Yes | 是 | No |
| 系統管理員 | Yes | .是 | Yes |
透過上表,您可以看出進階操作員使用者角色設定檔可以建立及更新設定項目,但不能刪除設定項目。 系統管理員使用者角色設定檔可以建立、更新及刪除設定項目。 允許建立和更新但無法刪除的資產管理小組成員,會成為預先定義 Service Manager 進階操作員配置文件的成員。 資產管理團隊中可以建立、編輯及刪除設定項目的成員,則為預先定義之系統管理員設定檔的成員。
最佳作法是,假設資產管理團隊的成員可能會變動, 您應該在 Active Directory 網域服務 (AD DS) 中建立兩個群組,並且將這兩個群組設為進階操作員設定檔和系統管理員設定檔的成員。 然後,隨著成員變更,使用者會從 Active Directory 群組新增和移除,而且 Service Manager 中不需要進行任何變更。
未來,如果您將資產管理團隊分成兩組,其中一組負責桌上型電腦,另一組負責膝上型電腦,您可以利用同樣的使用者角色設定檔建立自己的使用者角色,但設定不同的領域。
為何無法建立某些使用者角色
當您建立使用者角色時,請注意無法使用三個使用者角色:系統管理員、報表使用者和工作流程。 這三個使用者角色會在安裝程序期間建立並填入,一般而言,Service Manager 會使用這些使用者角色。 下列各節描述其中每一種使用者角色。
系統管理員
系統管理員使用者角色在範圍內是全域的;因此,沒有理由建立此類型的另一個使用者角色。
報表使用者
在 Service Manager 控制台中,使用者角色報表使用者有一個用途:在 Service Manager 控制台中尋找裝載 SQL Server Reporting Services (SSRS) Microsoft計算機。 當 Service Manager 控制台的使用者嘗試執行報表時,會查詢 Service Manager 管理伺服器,以尋找裝載數據倉儲管理伺服器的計算機。 接著,Service Manager 控制台會查詢數據倉儲管理伺服器,以尋找裝載 SSRS 的電腦名稱。 利用這些資訊,Service Manager 控制台會連線到 SSRS。 「報表使用者」使用者角色的唯一用途就是提出這些查詢。 在 Service Manager 控制台連線到 SSRS 之後,執行控制台的使用者認證會授與 SSRS 上定義的存取權。 由於此使用者角色的用途有限,因此沒有理由建立另一個使用者角色。
工作流程
工作流程可能必須讀取和寫入 Service Manager 資料庫。 在安裝期間,系統會要求您提供工作流程使用者角色的認證,而此使用者角色會在 Service Manager 資料庫上執行必要的動作。 如同使用者角色報表使用者,工作流程使用者角色的狹隘用途表示沒有理由建立其他使用者角色。
將成員新增至使用者角色
在 Service Manager 中,您可以將使用者指派給使用者角色,以定義他們可以執行的動作。
在此範例中,您必須新增資產管理小組的成員,該成員可以建立及更新使用者角色的設定項目,但不能進行刪除。 查看 Service Manager 中 [使用者角色設定檔] 的 [設定專案] 區段,您會看到進階操作員使用者角色設定檔提供此小組許可權所需的內容。 目前,資產管理小組的所有成員負責公司中的每個資產,因此需要無限制的領域。
使用下列程式將使用者新增至 Service Manager 進階操作員使用者角色,然後驗證使用者指派給使用者角色。
將使用者指派給使用者角色
在 Service Manager 控制台中,選取 [ 系統管理]。
展開 [ 系統管理 ] 窗格中的 [ 安全性],然後選取 [ 使用者角色]。
在 [ 使用者角色 ] 窗格中,按兩下 [ 進階操作員]。
在 [ 編輯使用者角色] 對話框中,選取 [ 使用者]。
在 [ 使用者] 頁面上,選取 [ 新增]。
在 [選取使用者或群組] 對話方塊中,輸入您要新增至此使用者角色的使用者或群組名稱,選取 [檢查名稱],然後選取 [確定]。
在 [ 編輯使用者角色] 對話框中,選取 [ 確定]。
驗證使用者指派給使用者角色
- 以指派給使用者角色的其中一個使用者身分登入 Service Manager 控制台。 確認您無法存取沒有訪問許可權的數據,如使用者角色中所指定。
您可以使用 Windows PowerShell 命令來檢視使用者。 如需如何使用 Windows PowerShell 擷取 Service Manager 中定義之使用者的資訊,請參閱 Get-SCSMUser。
建立使用者角色
使用下列程式來建立使用者角色,並將使用者指派給 Service Manager 中的該角色,然後驗證使用者角色的建立。
若要建立使用者角色,請遵循下列步驟:
在 Service Manager 控制台中,選取 [ 系統管理]。
展開 [ 系統管理 ] 窗格中的 [ 安全性],然後選取 [ 使用者角色]。
在 [ 使用者角色 ] 下的 [ 工作] 窗格中,選取 [ 建立使用者角色],然後選取您要用於這個使用者角色的使用者角色設定檔,例如 [ 作者]。
執行下列動作來完成使用者角色精靈:
在 [在您開始前] 頁面上,選取 [下一步]。
在 [ 一般] 頁面上,輸入此使用者角色的名稱和描述,然後選取 [ 下一步]。
在 [ 管理組件 ] 頁面上,開始篩選您要指派存取權限給哪一個資料領域。 選取包含您要指派存取權之數據的管理元件,例如 事件管理連結庫。 選取 [下一步]。
後續頁面中會顯示在指定的管理組件中,可以供指定的使用者角色使用的所有類別、佇列、群組、工作、檢視及表單範本。 您可以在這些頁面上選取特定項目,進一步限制將獲得存取權限指派的資料集。
重要
不會篩選群組和佇列清單-所有管理元件的群組和佇列都會列出。 如果您選取 [佇列] 頁面上的 [選取所有佇列] 專案,則會自動選取 [群組] 頁面上的 [選取所有群組]。 同時,預設尚未建立任何群組。 如果您想要依群組限制範圍,則必須建立群組。
在 [使用者] 頁面上,選取 [新增],然後使用 [選取使用者或群組] 對話框,從 Active Directory 網域服務 (AD DS) 選取此使用者角色的使用者和使用者群組,然後選取 [下一步]。
在 [ 摘要 ] 頁面上,確定設定正確無誤,然後選取 [ 建立]。
在 [ 完成 ] 頁面上,確定 已成功建立 使用者角色,然後選取 [ 關閉]。
驗證使用者角色的建立
在 Service Manager 控制台中,確認新建立的使用者角色出現在中間窗格中。
以指派給使用者角色的其中一個使用者身分登入 Service Manager 控制台。 確認您無法存取沒有訪問許可權的數據,如使用者角色中所指定。
您可以使用 Windows PowerShell 命令來完成這些和其他相關工作,如下所示:
如需如何使用 Windows PowerShell 在 Service Manager 中建立新使用者角色的資訊,請參閱 New-SCSMUserRole。
如需如何使用 Windows PowerShell 擷取 Service Manager 中定義之使用者角色的資訊,請參閱 Get-SCSMUserRole。
如需如何使用 Windows PowerShell 為 Service Manager 使用者設定 UserRole 屬性的資訊,請參閱 Update-SCSMUserRole。
如需如何使用 Windows PowerShell 從 Service Manager 移除使用者角色的資訊,請參閱 Remove-SCSMUserRole。
下一步
- 如需密碼安全性需求、密碼到期和用戶名稱變更,請參閱 管理執行身分帳戶。