配置基于角色管理的Configuration Manager

1. 概述：

在Configuration Manager 中基于角色的管理结合了安全角色、安全作用域和分配的集合来定义每个管理用户的管理作用域。管理作用域包括管理用户可在 Configuration Manager 控制台中查看的对象，以及管理用户有权执行的与这些对象相关的任务。基于角色的管理配置应用于层次结构中的每个站点

1) Endpoint Protection 管理员：授予定义和监视安全策略的权限。与此角色关联的管理用户可以创建、修改和删除 Endpoint Protection 策略。他们还可以将 Endpoint Protection 策略部署到集合、创建和修改警报以及监视 Endpoint Protection 状态。

2) 安全管理员：授予添加和删除管理用户以及将管理用户与安全角色、集合和安全作用域关联的权限。与此角色关联的管理用户还可以创建、修改和删除安全角色及其分配的安全作用域和集合。

3) 操作管理员：授予在 Configuration Manager 中执行所有操作的权限，但管理安全性(包括对管理用户、安全角色和安全作用域进行管理)所需的权限除外。

4) 操作系统部署管理员：授予创建操作系统映像并将其部署到计算机的权限。与此角色关联的管理用户可以管理操作系统安装包和映像、任务序列、驱动程序、启动映像和状态迁移设置。

5) 符合性设置管理员：授予定义和监视符合性设置的权限。与此角色关联的管理用户可以创建、修改和删除配置项目及基线。他们还可以将配置基线部署到集合、启动符合性评估和启动对不符合计算机的修正。

6) 公司资源访问管理器：向用户和设备授予创建、管理和部署公司资源访问配置文件(如 Wi-Fi、VPN 和证书配置文件)的权限。

7) 基础结构管理员：授予创建、删除和修改 Configuration Manager 服务器基础结构以及执行迁移任务的权限。

8) 软件更新管理员：授予定义和部署软件更新的权限。与此角色关联的管理用户可以管理软件更新组、部署以及部署模板，并且可以启用网络访问保护(NAP)的软件更新。

9) 完全权限管理员：授予 Configuration Manager 中的所有权限。首先创建新 Configuration Manager 安装的管理用户与此安全角色、全部作用域和所有集合关联。

10) 应用程序部署管理员：授予部署应用程序的权限。与此角色关联的管理用户可以查看应用程序列表，并且可以管理应用程序、警报、模板、包和程序的部署。与此角色关联的管理用户还可以查看集合及其成员、状态消息、查询、条件交付规则和 App-V 虚拟环境。

11) 应用程序管理员：授予执行应用程序部署管理员角色和应用程序作者角色的权限。与此角色关联的管理用户还可以管理查询、查看站点设置、管理集合、编辑用户设备相关性的设置，以及管理 App-V 虚拟环境。

12) 应用程序作者：授予创建、修改和停用应用程序的权限。与此角色关联的管理用户还可以管理应用程序、包和 App-V 虚拟环境。

13) 远程工具操作人员：授权运行和审核可帮助用户解决计算机问题的远程管理工具。与此角色关联的管理用户可从 Configuration Manager 控制台中运行远程控制、远程协助和远程桌面。此外，他们还可以运行带外管理控制台和 AMT 电源控制选项。

14) 只读分析员：授予查看所有 Configuration Manager 对象的权限。

15) 资产管理员：授予管理以下项目的权限: 资产智能同步点、资产智能报告类、软件清单、硬件清单和计数规则。

clip_image002

下面我将配置不同的角色管理Configuration Manager服务器。

一、创建自定义安全角色

1. 登陆DC服务器创建一个新的用户“CCMuser”和组“BJCloud应用程序”，并将用户“CCMuser”加入组“BJCloud应用程序”

clip_image004

clip_image005

2. 登陆Configuration Manager服务器，打开Configuration Manager管理控制台

3. 点击管理，展开安全，点击安全角色，右键“应用程序管理员”，选择复制

clip_image007

4. 复制安全角色页面，键入名称

clip_image009

5. 自定义适用于此安全角色的权限

clip_image011

6. 点击确定后自定义安全角色将被创建

clip_image013

7. 点击管理用户，在主页中点击添加用户或组

clip_image015

8. 添加用户或组页面，点击浏览添加“用户或组”，点击添加选择分配的安全角色，点击添加选择仅分配给指定安全作用域或集合的对象实例

clip_image017

9. 点击确定后，新的安全角色将被创建

clip_image019

10.关闭当前管理控制台，使用CCMUser用户登录

clip_image020

11.点击管理，展开安全，点击账户，此时只有一个属于“您的”角色

clip_image022

12.点击软件库，只能看见和应用程序相关和软件更新信息，无法查看操作系统部署节点

clip_image024

二、创建只读用户

1. 配置步骤和上面的一样，唯一去别的只是使用的“只读分析员”

clip_image026

2. 添加只读用户

clip_image028

3. 查看添加的只读用户

clip_image030

4. 使用用户“Lily”登陆Configuration Manager服务器

clip_image031

5. 点击管理，展开安全，点击管理用户，发现主页中没有“添加用户或组”选项

clip_image033

本文转自徐庭 51CTO博客，原文链接：http://blog.51cto.com/ericxuting/1554933，如需转载请自行联系原作者

相关文章：