• Artículo

Configuración de la seguridad para Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Este tema aparece en la guía Site Administration for System Center 2012 Configuration Manager (Administración del sitio de System Center 2012 Configuration Manager) y la guía Seguridad y privacidad en System Center 2012 Configuration Manager.

Utilice la información de este tema para configurar las siguientes opciones relacionadas con la seguridad:

  • Configurar certificados PKI de cliente

  • Configurar la firma y el cifrado

  • Configurar la administración basada en roles

  • Administrar las cuentas que usa Configuration Manager

Configurar certificados PKI de cliente

Si desea usar certificados de infraestructura de clave pública (PKI) para conexiones de cliente a sistemas de sitio que usan Internet Information Services (IIS), use el procedimiento siguiente para configurar las opciones de estos certificados.

Para configurar certificados PKI de cliente

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Configuración del sitio, haga clic en Sitios y, a continuación, haga clic en el sitio primario que desee configurar.

  3. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades y, a continuación, haga clic en la pestaña Comunicación de equipo cliente.

    Nota

    Esta pestaña está disponible solamente en un sitio primario. Si no puede ver la pestaña Comunicación de equipo cliente, compruebe que no esté conectado a un sitio de administración central o a un sitio secundario.

  4. Haga clic en HTTPS solamente cuando desee que los clientes asignados al sitio usen siempre un certificado PKI de cliente al conectarse a sistemas de sitio que usen IIS. O bien, haga clic en HTTPS o HTTP cuando no necesite que los clientes utilicen certificados PKI.

  5. Si seleccionó HTTPS o HTTP, haga clic en Usar un certificado de cliente PKI (capacidad de autenticación de cliente) cuando esté disponible cuando desee usar un certificado PKI de cliente para conexiones HTTP. El cliente utiliza este certificado en lugar de un certificado autofirmado para autenticarse en los sistemas de sitio. Esta opción se selecciona automáticamente si selecciona HTTPS solamente.

    Nota

    Cuando se detecta que los clientes están en Internet, o están configurados para la administración de clientes solo de Internet, siempre usan un certificado PKI del cliente.

  6. Haga clic en Modificar para configurar su método de selección de cliente elegido cuando haya más de un certificado de cliente PKI disponible en un cliente y, a continuación, haga clic en Aceptar.

    Nota

    Para obtener más información acerca del método de selección de certificados de cliente, consulte Planeación de la selección de certificados de cliente PKI.

  7. Active o desactive la casilla para que los clientes comprueben la lista de revocación de certificados (CRL).

    Nota

    Para obtener más información sobre la comprobación de CRL de clientes, consulte Planeación de la revocación de certificados PKI.

  8. Si debe especificar certificados de entidad de certificación (CA) raíz de confianza para clientes, haga clic en Establecer, importe los archivos del certificado de CA raíz y, a continuación, haga clic en Aceptar.

    Nota

    Para obtener más información sobre esta opción, consulte Planeación de los certificados raíz de confianza PKI y la lista de emisores de certificados.

  9. Haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades del sitio.

Repita este procedimiento para todos los sitios primarios de la jerarquía.

Configurar la firma y el cifrado

Configure las opciones de firma y cifrado más seguras para los sistemas de sitio que pueden admitir todos los clientes en el sitio. Estas opciones son especialmente importantes cuando se permite a los clientes comunicarse con sistemas de sitio mediante certificados autofirmados a través de HTTP.

Para configurar la firma y el cifrado para un sitio

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Configuración del sitio, haga clic en Sitios y, a continuación, haga clic en el sitio primario que desee configurar.

  3. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades y, a continuación, haga clic en la pestaña Firma y cifrado.

    Nota

    Esta pestaña está disponible solamente en un sitio primario. Si no puede ver la pestaña Firma y cifrado, compruebe que no esté conectado a un sitio de administración central o a un sitio secundario.

  4. Configure las opciones de firma y cifrado que desee y, a continuación, haga clic en Aceptar.

    System_CAPS_warningAdvertencia

    No seleccione Requerir SHA-256 sin comprobar primero que todos los clientes que puedan estar asignados al sitio pueden admitir este algoritmo hash o que tienen un certificado de autenticación de cliente PKI válido. Puede que tenga que instalar las actualizaciones o las revisiones en los clientes para que admitan SHA-256. Por ejemplo, los equipos que ejecutan Windows Server 2003 SP2 deben instalar una revisión a la que se hace referencia en el artículo de Knowledge Base 938397.

    Si selecciona esta opción y los clientes no admiten SHA-256 y utilizan certificados autofirmados, Configuration Manager los rechaza. En este caso, el componente SMS_MP_CONTROL_MANAGER registra el identificador de mensaje 5443.

  5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del sitio.

Repita este procedimiento para todos los sitios primarios de la jerarquía.

Configurar la administración basada en roles

Utilice la información de esta sección para configurar la administración basada en roles en Configuration Manager. La administración basada en roles combina roles de seguridad, ámbitos de seguridad y recopilaciones asignadas para definir el ámbito administrativo de cada usuario administrativo. Un ámbito administrativo incluye los objetos que puede ver un usuario administrativo en la consola de Configuration Manager y las tareas relacionadas con esos objetos que los usuarios administrativos tienen permiso para realizar. Las configuraciones de la administración basada en roles se aplican en cada sitio en una jerarquía.

La información de los procedimientos siguientes puede ayudarle a crear y configurar la administración basada en roles y la configuración de seguridad relacionada.

  • Crear roles de seguridad personalizados

  • Configurar roles de seguridad

  • Configurar ámbitos de seguridad para un objeto

  • Configurar recopilaciones para administrar la seguridad

  • Crear un nuevo usuario administrativo

  • Modificar el ámbito administrativo de un usuario administrativo

System_CAPS_importantImportante

La administración basada en roles usa roles de seguridad, ámbitos de seguridad y recopilaciones. Estos valores se combinan para definir un ámbito administrativo para cada usuario administrativo. Su propio ámbito administrativo define los objetos y valores que se pueden asignar al configurar la administración basada en roles para otro usuario administrativo. Para obtener información sobre cómo planear la administración basada en roles, consulte la sección Planeación de la administración basada en roles del tema Planeación de la seguridad en Configuration Manager.

Crear roles de seguridad personalizados

Configuration Manager proporciona varios roles de seguridad integrados. Si necesita más roles de seguridad, puede crear un rol de seguridad personalizado si crea una copia de un rol de seguridad existente y, a continuación, modifica la copia. Puede crear un rol de seguridad personalizado para conceder a los usuarios administrativos permisos de seguridad adicionales necesarios que no estén incluidos en un rol de seguridad asignado actualmente. Mediante el uso de un rol de seguridad personalizado, puede concederles solamente los permisos que requieran y evitar así la asignación de un rol de seguridad que conceda más permisos de los necesarios.

Utilice el procedimiento siguiente para crear un nuevo rol de seguridad mediante el uso de un rol de seguridad existente como plantilla.

Para crear roles de seguridad personalizados

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Roles de seguridad.

    Utilice uno de los siguientes procesos para crear el nuevo rol de seguridad:

    - Para crear un nuevo rol de seguridad personalizado, realice las siguientes acciones:

  1.  Seleccione un rol de seguridad existente para usarlo como el origen del nuevo rol de seguridad.

  2.  En la pestaña **Inicio**, en el grupo **Rol de seguridad**, haga clic en **Copiar**. Esto crea una copia del rol de seguridad de origen.

  3.  En el asistente Copiar rol de seguridad, especifique un **Nombre** para el nuevo rol de seguridad personalizado.

  4.  En **Asignaciones de operación de seguridad**, expanda todos los nodos de **Operaciones de seguridad** para mostrar las acciones disponibles.

  5.  Para cambiar el valor de una operación de seguridad, haga clic en la flecha abajo en la columna **Valor** y, a continuación, seleccione **Sí** o **No**.

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427332.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Precaución</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Cuando se configura un rol de seguridad personalizado, asegúrese de no conceder permisos que no sean necesarios para los usuarios administrativos que están asociados al nuevo rol de seguridad. Por ejemplo, el valor <strong>Modificar</strong> para la operación de seguridad <strong>Roles de seguridad</strong> concede a los usuarios administrativos permiso para editar cualquier rol de seguridad accesible, incluso si no están asociados a ese rol de seguridad.</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  6.  Después de configurar los permisos, haga clic en **Aceptar** para guardar el nuevo rol de seguridad.

- Para importar un rol de seguridad que se haya exportado desde otra jerarquía de System Center 2012 Configuration Manager, realice las acciones siguientes:

  1.  En la pestaña **Inicio**, en el grupo **Crear**, haga clic en **Importar rol de seguridad**.

  2.  Especifique el archivo .xml que contiene la configuración del rol de seguridad que desee importar y haga clic en **Abrir** para completar el procedimiento y guardar el rol de seguridad.

      <div class="alert">


      > [!NOTE]
      > <P>Después de importar un rol de seguridad, puede editar las propiedades del rol de seguridad para cambiar los permisos de objeto asociados al rol de seguridad.</P>


      </div>

Configurar roles de seguridad

Los grupos de permisos de seguridad que se definen para un rol de seguridad se denominan asignaciones de operación de seguridad. Las asignaciones de operación de seguridad representan una combinación de tipos de objetos y acciones que están disponibles para cada tipo de objeto. Puede modificar las operaciones de seguridad que están disponibles para cada rol de seguridad personalizado, pero no puede modificar los roles de seguridad integrados que ofrece Configuration Manager.

Utilice el siguiente procedimiento para modificar las operaciones de seguridad para un rol de seguridad.

Para modificar roles de seguridad

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Roles de seguridad.

  3. Seleccione el rol de seguridad personalizado que desee modificar.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en la pestaña Permisos.

  6. En Asignaciones de operación de seguridad, expanda todos los nodos de Operaciones de seguridad para mostrar las acciones disponibles.

  7. Para cambiar el valor de una operación de seguridad, haga clic en la flecha abajo en la columna Valor y, a continuación, seleccione o No.

    System_CAPS_cautionPrecaución

    Cuando se configura un rol de seguridad personalizado, asegúrese de no conceder permisos que no sean necesarios para los usuarios administrativos que están asociados al nuevo rol de seguridad. Por ejemplo, el valor Modificar para la operación de seguridad Roles de seguridad concede a los usuarios administrativos permiso para editar cualquier rol de seguridad accesible, incluso si no están asociados a ese rol de seguridad.

  8. Cuando haya terminado de configurar las asignaciones de operación de seguridad, haga clic en Aceptar para guardar el nuevo rol de seguridad.

Configurar ámbitos de seguridad para un objeto

La asociación de un ámbito de seguridad a un objeto se administra desde el objeto y no desde el ámbito de seguridad. Las únicas configuraciones directas que admiten los ámbitos de seguridad son los cambios en su nombre y descripción. Para cambiar el nombre y la descripción de un ámbito de seguridad cuando ve las propiedades del ámbito de seguridad, debe tener el permiso Modificar en el objeto protegible Ámbitos de seguridad.

Cuando cree un nuevo objeto en Configuration Manager, el nuevo objeto se asocia a cada ámbito de seguridad asociado a los roles de seguridad de la cuenta que se utiliza para crear el objeto cuando esos roles de seguridad ofrecen el permiso Crear o el permiso Establecer ámbito de seguridad. Solo después de crear el objeto, puede cambiar los ámbitos de seguridad a los que está asociado.

Por ejemplo, tiene asignado un rol de seguridad que le concede el permiso para crear un nuevo grupo de límites. Cuando cree un nuevo grupo de límites, no tendrá ninguna opción a la que pueda asignar ámbitos de seguridad específicos. En su lugar, los ámbitos de seguridad disponibles en los roles de seguridad a los que está asociado se asignan automáticamente al nuevo grupo de límites. Después de guardar el nuevo grupo de límites, puede editar los ámbitos de seguridad asociados al nuevo grupo de límites.

Utilice el siguiente procedimiento para configurar los ámbitos de seguridad asignados a un objeto.

Para configurar ámbitos de seguridad para un objeto

  1. En la consola de Configuration Manager, seleccione un objeto que admita la asignación a un ámbito de seguridad.

  2. En la pestaña Inicio, en el grupo Clasificar, haga clic en Establecer ámbitos de seguridad.

  3. En el cuadro de diálogo Establecer ámbitos de seguridad, seleccione o quite los ámbitos de seguridad a los que esté asociado este objeto. Cada objeto que admita ámbitos de seguridad debe asignarse a un ámbito de seguridad como mínimo.

  4. Haga clic en Aceptar para guardar los ámbitos de seguridad asignados.

    Nota

    Cuando cree un nuevo objeto, puede asignar el objeto a varios ámbitos de seguridad. Para modificar el número de ámbitos de seguridad asociados al objeto, debe cambiar esta asignación una vez creado el objeto.

Configurar recopilaciones para administrar la seguridad

No hay ningún procedimiento para configurar recopilaciones para la administración basada en roles. Las recopilaciones no tienen una configuración de administración basada en roles; en su lugar, se asignan recopilaciones a un usuario administrativo cuando este se configura. Las operaciones de seguridad de recopilación que estén habilitadas en los roles de seguridad asignados a los usuarios determinan los permisos que tiene un usuario administrativo para las recopilaciones y recursos de la recopilación (miembros de la recopilación).

Cuando un usuario administrativo tiene permisos en una recopilación, también tiene permisos en las recopilaciones limitadas a esa recopilación. Por ejemplo, su organización utiliza una recopilación denominada Todos los equipos de escritorio, y existe una recopilación denominada Todos los equipos de escritorio de Estados Unidos que se limita a la recopilación Todos los equipos de escritorio. Si un usuario administrativo tiene permisos para Todos los equipos de escritorio, también tienen los mismos permisos en la recopilación Todos los equipos de escritorio de Estados Unidos. Además, un usuario administrativo no puede usar el permiso Eliminar o Modificar en una recopilación directamente asignada a él, pero puede usar estos permisos en las recopilaciones que estén limitadas a esa recopilación. En el ejemplo anterior, el usuario administrativo puede eliminar o modificar la recopilación Todos los equipos de escritorio de Estados Unidos, pero no puede eliminar o modificar la recopilación Todos los equipos de escritorio.

Crear un nuevo usuario administrativo

Para conceder a usuarios individuales o a miembros de un grupo de seguridad acceso para administrar Configuration Manager, cree un usuario administrativo en Configuration Manager y especifique la cuenta de Windows del usuario o grupo de usuarios. Cada usuario administrativo en Configuration Manager debe tener asignado al menos un rol de seguridad y un ámbito de seguridad. También puede asignar recopilaciones para limitar el ámbito administrativo del usuario administrativo.

Utilice los procedimientos siguientes para crear nuevos usuarios administrativos.

Para crear un nuevo usuario administrativo

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Usuarios administrativos.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Agregar usuario o grupo.

  4. Haga clic en Examinar y, a continuación, seleccione la cuenta de usuario o grupo que se utilizará para este nuevo usuario administrativo.

    Nota

    Para la administración basada en consola, únicamente los usuarios de dominio o grupos de seguridad pueden especificarse como usuarios administrativos.

  5. Para Roles de seguridad asociados, haga clic en Agregar para abrir una lista de roles de seguridad disponibles, active la casilla de uno o varios roles de seguridad y, a continuación, haga clic en Aceptar.

  6. Seleccione una de las dos opciones siguientes para definir el comportamiento del objeto protegible para el nuevo usuario:

    - **Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados**: esta opción asocia el usuario administrativo al ámbito de seguridad **Todo** y las recopilaciones integradas de nivel raíz para **Todos los sistemas** y **Todos los usuarios y grupos de usuarios**. Los roles de seguridad asignados al usuario definen el acceso a los objetos. Los nuevos objetos que cree este usuario administrativo se asignan al ámbito de seguridad **Predeterminado**.

- **Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados**: de forma predeterminada, esta opción asocia el usuario administrativo al ámbito de seguridad **Predeterminado** y a las recopilaciones **Todos los sistemas** y **Todos los usuarios y grupos de usuarios**. Sin embargo, las recopilaciones y los ámbitos de seguridad reales están limitados a aquellos que están asociados a la cuenta que utilizó para crear el nuevo usuario administrativo. Esta opción es compatible con la adición o eliminación de ámbitos de seguridad y recopilaciones para personalizar el ámbito administrativo del usuario administrativo.
    System_CAPS_importantImportante

    Las opciones anteriores asocian cada ámbito de seguridad y recopilación asignado a cada rol de seguridad asignado al usuario administrativo. Una tercera opción, Asociar roles de seguridad asignados con ámbitos y recopilaciones de seguridad específicos, se puede usar para asociar roles de seguridad individuales a recopilaciones y ámbitos de seguridad específicos. Esta tercera opción está disponible después de crear el nuevo usuario administrativo, cuando lo modifica.

  7. Según su selección en el paso 6, lleve a cabo la acción siguiente:

    - Si seleccionó **Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados**, haga clic en **Aceptar** para completar este procedimiento.

- Si seleccionó **Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados**, puede hacer clic en **Agregar** para seleccionar más recopilaciones y ámbitos de seguridad, o seleccionar uno o varios objetos en la lista y, a continuación, hacer clic en **Quitar** para quitarlos. Haga clic en **Aceptar** para completar este procedimiento.

Modificar el ámbito administrativo de un usuario administrativo

Para modificar el ámbito administrativo de un usuario administrativo, agregue o quite roles de seguridad, ámbitos de seguridad y recopilaciones que estén asociados al usuario. Cada usuario administrativo debe estar asociado al menos a un rol de seguridad y a un ámbito de seguridad. Es posible que tenga que asignar una o más recopilaciones al ámbito administrativo del usuario. La mayoría de los roles de seguridad interactúan con recopilaciones y no funcionan correctamente sin una recopilación asignada.

Cuando se modifica un usuario administrativo, puede cambiar el comportamiento en cuanto a cómo se asocian los objetos protegibles a los roles de seguridad asignados. Los tres comportamientos que se pueden seleccionar son los siguientes:

  • Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados: esta opción asocia el usuario administrativo al ámbito Todo y las recopilaciones integradas de nivel raíz para Todos los sistemas y Todos los usuarios y grupos de usuarios. Los roles de seguridad que están asignados al usuario definen el acceso a los objetos.

  • Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados: esta opción asocia el usuario administrativo a los mismos ámbitos de seguridad y recopilaciones que están asociados a la cuenta utilizada para configurar el usuario administrativo. Esta opción es compatible con la adición o eliminación de roles de seguridad y recopilaciones para personalizar el ámbito administrativo del usuario administrativo.

  • Asociar roles de seguridad asignados con ámbitos y recopilaciones de seguridad específicos: esta opción le permite crear asociaciones específicas entre roles de seguridad individuales y ámbitos de seguridad y recopilaciones específicos para el usuario.

    Nota

    Esta opción está disponible solamente cuando modifica las propiedades de un usuario administrativo.

La configuración actual del comportamiento del objeto protegible cambia el proceso que se utiliza para asignar roles de seguridad adicionales. Utilice los procedimientos siguientes basados en las distintas opciones de objetos protegibles para administrar un usuario administrativo.

Use el procedimiento siguiente para ver y administrar la configuración de los objetos protegibles para un usuario administrativo:

Para ver y administrar el comportamiento de los objetos protegibles para un usuario administrativo

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Usuarios administrativos.

  3. Seleccione el usuario administrativo que desee modificar.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en la pestaña Ámbitos de seguridad para ver la configuración actual de los objetos protegibles para este usuario administrativo.

  6. Para modificar el comportamiento de los objetos protegibles, seleccione una opción nueva para el comportamiento de los objetos protegibles. Después de cambiar esta configuración, consulte el procedimiento adecuado para obtener más información para configurar recopilaciones y ámbitos de seguridad y roles de seguridad para este usuario administrativo.

  7. Haga clic en Aceptar para completar el procedimiento.

Use el siguiente procedimiento para modificar un usuario administrativo que tenga el comportamiento de objetos protegibles establecido en Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados.

Opción: Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Usuarios administrativos.

  3. Seleccione el usuario administrativo que desee modificar.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en la pestaña Ámbitos de seguridad para confirmar que el usuario administrativo esté configurado con Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados.

  6. Para modificar los roles de seguridad asignados, haga clic en la pestaña Roles de seguridad.

    - Para asignar roles de seguridad adicionales a este usuario administrativo, haga clic en **Agregar**, active la casilla de cada rol de seguridad adicional que desee asignar y, a continuación, haga clic en **Aceptar**.

- Para quitar roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, haga clic en **Quitar**.

  7. Para modificar el comportamiento de los objetos protegibles, haga clic en la pestaña Ámbitos de seguridad y seleccione una opción nueva para el comportamiento de los objetos protegibles. Después de cambiar esta configuración, consulte el procedimiento adecuado para obtener más información para configurar recopilaciones y ámbitos de seguridad y roles de seguridad para este usuario administrativo.

    Nota

    Cuando el comportamiento de objetos protegibles se establece en Todas las instancias de los objetos que están relacionados con los roles de seguridad asignados, no puede agregar ni quitar recopilaciones o ámbitos de seguridad específicos.

  8. Haga clic en Aceptar para completar este procedimiento.

Use el siguiente procedimiento para modificar un usuario administrativo que tenga el comportamiento de objetos protegibles establecido en Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados.

Opción: Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Usuarios administrativos.

  3. Seleccione el usuario administrativo que desee modificar.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en la pestaña Ámbitos de seguridad para confirmar que el usuario esté configurado con Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados.

  6. Para modificar los roles de seguridad asignados, haga clic en la pestaña Roles de seguridad.

    - Para asignar roles de seguridad adicionales a este usuario, haga clic en **Agregar**, active la casilla de cada rol de seguridad adicional que desee asignar y, a continuación, haga clic en **Aceptar**.

- Para quitar roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, haga clic en **Quitar**.

  7. Para modificar las recopilaciones y los ámbitos de seguridad asociados a roles de seguridad, haga clic en la pestaña Ámbitos de seguridad.

    - Para asociar recopilaciones o ámbitos de seguridad nuevos a todos los roles de seguridad que estén asignados a este usuario administrativo, haga clic en **Agregar** y seleccione una de las cuatro opciones. Si seleccionó **Ámbito de seguridad** o **Recopilación**, active la casilla de uno o más objetos para completar esa selección y, a continuación, haga clic en **Aceptar**.

- Para quitar un ámbito de seguridad o recopilación, seleccione el objeto y, a continuación, haga clic en **Quitar**.

  8. Haga clic en Aceptar para completar este procedimiento.

Use el siguiente procedimiento para modificar un usuario administrativo que tenga el comportamiento de objetos protegibles establecido en Asociar roles de seguridad asignados con ámbitos y recopilaciones de seguridad específicos.

Opción: Asociar roles de seguridad asignados con ámbitos y recopilaciones de seguridad específicos

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Usuarios administrativos.

  3. Seleccione el usuario administrativo que desee modificar.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en la pestaña Ámbitos de seguridad para confirmar que el usuario administrativo esté configurado con Solo las instancias de objetos asignados a los ámbitos de seguridad o recopilaciones especificados.

  6. Para modificar los roles de seguridad asignados, haga clic en la pestaña Roles de seguridad.

    - Para asignar roles de seguridad adicionales a este usuario administrativo, haga clic en **Agregar**. En el cuadro de diálogo **Agregar rol de seguridad**, seleccione uno o varios roles de seguridad disponibles, haga clic en **Agregar** y seleccione el tipo de objeto que desea asociar a los roles de seguridad seleccionados. Si seleccionó **Ámbito de seguridad** o **Recopilación**, active la casilla de uno o más objetos para completar esa selección y, a continuación, haga clic en **Aceptar**.

  <div class="alert">


  > [!NOTE]
  > <P>Debe configurar al menos un ámbito de seguridad para que se puedan asignar los roles de seguridad seleccionados al usuario administrativo. Al seleccionar varios roles de seguridad, cada ámbito de seguridad y recopilación que se configure está asociado a cada uno de los roles de seguridad seleccionados.</P>


  </div>

- Para quitar roles de seguridad, seleccione uno o varios roles de seguridad de la lista y, a continuación, haga clic en **Quitar**.

  7. Para modificar las recopilaciones y los ámbitos de seguridad asociados a un rol de seguridad específico, haga clic en la pestaña Ámbitos de seguridad, seleccione el rol de seguridad y, a continuación, haga clic en Editar.

    - Para asociar nuevos objetos a este rol de seguridad, haga clic en **Agregar** y seleccione un tipo de objeto para asociar a los roles de seguridad seleccionados. Si seleccionó **Ámbito de seguridad** o **Recopilación**, active la casilla de uno o más objetos para completar esa selección y, a continuación, haga clic en **Aceptar**.

  <div class="alert">


  > [!NOTE]
  > <P>Debe configurar al menos un ámbito de seguridad.</P>


  </div>

- Para quitar una recopilación o un ámbito de seguridad que esté asociado a este rol de seguridad, seleccione el objeto y, a continuación, haga clic en **Quitar**.

- Cuando haya terminado de modificar los objetos asociados, haga clic en **Aceptar**.

  8. Haga clic en Aceptar para completar este procedimiento.

    System_CAPS_cautionPrecaución

    Cuando un rol de seguridad concede a usuarios administrativos el permiso de implementación de recopilaciones, dichos usuarios administrativos pueden distribuir objetos de cualquier ámbito de seguridad para el que tengan permisos de lectura de objetos, incluso si ese ámbito de seguridad está asociado a un rol de seguridad diferente.

Administrar las cuentas que usa Configuration Manager

Configuration Manager es compatible con cuentas de Windows para muchos usos y tareas diferentes.

Use el procedimiento siguiente para ver qué cuentas están configuradas para las diferentes tareas y para administrar la contraseña que usa Configuration Manager para cada cuenta.

Para administrar las cuentas que usa Configuration Manager

  1. En la consola de Configuration Manager, haga clic en Administración.

  2. En el área de trabajo Administración, expanda Seguridad y, a continuación, haga clic en Cuentas para ver las cuentas configuradas para Configuration Manager.

  3. Para cambiar la contraseña de una cuenta configurada para Configuration Manager, seleccione la cuenta.

  4. En la pestaña Inicio, en el grupo Propiedades, haga clic en Propiedades.

  5. Haga clic en Establecer para abrir el cuadro de diálogo Cuenta de usuario de Windows y especifique la nueva contraseña que usará Configuration Manager para la cuenta.

    Nota

    La contraseña que especifique debe coincidir con la contraseña especificada para la cuenta en Usuarios y equipos de Active Directory.

  6. Haga clic en Aceptar para completar el procedimiento.