• Artikel

Beveiliging configureren voor Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

Dit onderwerp wordt behandeld in de gids Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager) en in de gids Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager).

Gebruik de informatie in dit onderwerp om u te helpen bij het configureren van de volgende beveiligingsopties:

  • Instellingen configureren voor PKI-clientcertificaten

  • Configureer ondertekening en versleuteling

  • Configureer beheer op basis van rollen

  • Accounts beheren die worden gebruikt door Configuration Manager

Instellingen configureren voor PKI-clientcertificaten

Indien u wilt de openbare-sleutelinfrastructuur (PKI)-certificaten te gebruiken voor clientverbindingen naar sitesystemen die Internet Information Services (IIS) gebruiken, gebruik dan de volgende procedure om instellingen te configureren voor deze instellingen.

Clientinstellingen PKI-certificaat configureren

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Siteconfiguratie uit in de werkruimte Beheer, klik op Sites en klik vervolgens op de primaire site om te configureren.

  3. Klik, in het tabblad Start, in de groep Eigenschappen op Eigenschappen en klik dan op het tabblad Communicatie clientcomputer.

    Notitie

    Dit tabblad is enkel beschikbaar op een primaire site. Indien u het tabblad Communicatie clientcomputer niet ziet, controleer dan dat u niet verbonden bent met een central beheersite of een secundaire site.

  4. Klik op enkel HTTPS wanneer u clients wilt die toegewezen zijn aan de site om altijd een client PKI-certificaat te gebruiken wanneer u verbinding maakt met sitesystemen die IIS gebruiken. Of klik HTTPS of HTTP wanneer u geen clients nodig hebt om PKI-certificaten te gebruiken.

  5. Indien u HTTPS of HTTP selecteerde, klik dan op Gebruik client PKI-certificaat (mogelijkheid tot clientverificatie) indien beschikbaar, indien u een PKI-certificaat voor HTTP-verbindinge wenst te gebruiken. De client gebruikt dit certificaat in plaats van een zelfondertekend certificaat om zichzelf te laten verifiëren door sitesystemen. Deze optie wordt automatisch geselecteerd indien u enkel HTTPS selecteert.

    Notitie

    Wanneer clients gedetecteerd zijn op het Internet, of wanneer ze geconfigureerd zijn voor clientbeheer enkel voor Internet, gebruiken ze altijd een client PKI-certificaat.

  6. Klik op Wijzig om uw gekozen clientselectiemethode te configureren, wanneer meer dan één geldig PKI-clientcertificaat beschikbaar is op een client, en klik dan op OK.

    Notitie

    Voor meer informatie over de selectiemethode voor clientcertificaat, zie Planning voor selectie van PKI-clientcertificaten.

  7. Selecteer of wis het selectievakje voor clients om de lijst van certificaatintrekking (CRL) te controleren.

    Notitie

    Voor meer informatie over CRL-controle voor clients, zie Planning voor intrekking PKI-certificaat.

  8. Indien u vertrouwde basiscertificaten, erkend door een certificeringsinstantie (CA) voor clients, moet opgeven, klik dan op Stel in, importeer de basis-CA-certificaatbestanden en klik dan op OK.

    Notitie

    Voor meer informatie over deze instelling, zie Planning voor de vertrouwde PKI-basiscertificaten en de lijst met certificeringsinstanties.

  9. Klik op OK om het dialoogvenster met eigenschappen voor de site.

Herhaal deze procedure voor alle primaire sites in de hiërarchie.

Configureer ondertekening en versleuteling

Configureer de meest beveiligde ondertekenings- en versleutelingsinstellingen voor sitesystemen die alle clients in de site kunnen ondersteunen. Deze instellingen zijn in het bijzonder belangrijk wanneer u clients laat communiceren met sitesystemen door gebruik te maken van zelfondertekende certificaten via HTTP.

Ondertekening en versleuteling voor een site configureren

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Siteconfiguratie uit in de werkruimte Beheer, klik op Sites en klik vervolgens op de primaire site om te configureren.

  3. Klik, in het tabblad Start, in de groep Eigenschappen op Eigenschappen en klik dan op het tabblad Ondertekening en versleuteling.

    Notitie

    Dit tabblad is enkel beschikbaar op een primaire site. Indien u het tabblad Ondertekening en versleuteling niet ziet, controleer dan dat u niet verbonden bent met een site voor centraal beheer of een secundaire site.

  4. Configureer de ondertekening- en versleutelingopties die u wilt en klik dan op OK.

    System_CAPS_warningWaarschuwing

    Selecteer niet Vereis SHA-256 zonder eerst te verifiëren dat alle clients die kunnen toegewezen zijn aan de site dit hash-algoritme kunnen ondersteunen, of dat ze een geldig PKI-clientverificatiecertificaat hebben. U dient eventueel updates of hotfixes te installeren op clients om SHA-256 te ondersteunen. Zo moeten computers die Windows Server 2003 SP2 uitvoeren bijvoorbeeld een hotfix installeren waarnaar gerefereerd wordt in het KB-artikel 938397.

    Indien u deze optie selecteert en clients kunnen SHA-256 niet ondersteunen en gebruiken zelfondertekende certificaten, weigert Configuration Manager ze. In dit scenario maakt het onderdeel SMS_MP_CONTROL_MANAGER melding van het bericht ID 5443.

  5. Klik op OK om het dialoogvenster eigenschappen voor de site te sluiten.

Herhaal deze procedure voor alle primaire sites in de hiërarchie.

Configureer beheer op basis van rollen

Gebruik de informatie in dit onderwerp om u te helpen bij het configureren van beheer op basis van rollen in Configuration Manager. Beheer op basis van rollen combineert beveiligingsrollen, beveiligingsbereiken en toegewezen verzamelingen om het beheerbereik te definiëren voor elke gebruiker met beheerdersrechten. Een beheerbereik bevat de objecten die een gebruiker met beheerdersrechten kan zien in de Configuration Manager-console en de taken gerelateerd aan deze objecten die een gebruiker met beheerdersrechten gemachtigd is uit te voeren. Configuraties voor beheer op basis van rollen worden toegepast op elke site in een hiërarchie.

De informatie in de volgende procedures kunnen u helpen om beheer op basis van rollen en overeenkomstige beveiligingsinstellingen te maken en te configureren.

  • Aangepaste beveiligingsrollen maken

  • Configureer beveiligingsrollen

  • Beveiligingsbereiken voor een object configureren

  • Verzamelingen voor het beheren van beveiliging configureren

  • Maak een nieuwe gebruiker met beheerdersrechten

  • Het beheerbereik van een gebruiker met beheerdersrechten wijzigen

System_CAPS_importantBelangrijk

Beheer op basis van rollen maakt gebruik van beveiligingsrollen, beveiligingsbereiken en verzamelingen. Deze combineren om een beheerdersbereik te definiëren voor elke gebruiker met beheerdersrechten. Uw eigen beheerdersbereik definieert de objecten en instellingen die u kunt toewijzen wanneer u beheer op basis van rollen configureert voor een andere gebruiker met beheerdersrechten. Zie, voor informatie over planning voor role-gebaseerd beheer de sectie Planning voor op rollen gebaseerd beheer in het onderwerp Beveiliging plannen in Configuration Manager.

Aangepaste beveiligingsrollen maken

Configuration Manager levert verschillende ingebouwde beveiligingsrollen. Indien u bijkomende beveiligingsrollen nodig hebt, kunt u een aangepaste beveiligingsrol maken door een kopie te maken van een bestaande beveiligingsrol en dan de kopie te wijzigen. U kunt een aangepaste beveiligingsrol maken om gebruikers met beheerdersrechten de bijkomende beveiligingsmachtigingen te verlenen die ze nodig hebben en die niet bevat zijn in een huidige, toegewezen beveiligingsrol. Door een aangepaste beveiligingsrol te gebruiken, verleent u hen enkel de machtigingen die ze nodig hebben, en vermijdt u een beveiligingsrol toe te wijzen die meer machtigingen verleent dan ze nodig hebben.

Gebruik de volgende procedure om een nieuwe beveiligingsrol te maken door gebruik te maken van een bestaande beveiligingsrol als sjabloon.

Aangepaste beveiligingsrollen maken

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik dan op Beveiligingsrollen.

    Gebruik één van de volgende processen om de nieuwe beveiligingsrol te maken:

    - Voer de volgende acties uit om een aangepaste beveiligingsrol te maken:

  1.  Selecteer een bestaande beveiligingsrol om die te gebruiken voor de nieuwe beveiligingsrol.

  2.  Klik op **Kopiëren** op het tabblad **Start** in de groep **Beveiligingsrol**. Hiermee maakt u een kopie van de bronbeveiligingsrol.

  3.  Geef in de wizard Beveiligingsrol kopiëren een **Naam** op voor de nieuwe aangepaste beveiligingsrol.

  4.  Vouw in **Toewijzingen beveiligingsbewerking** het knooppunt **Beveiligingsbewerkingen** uit om de beschikbare acties weer te geven.

  5.  Klik, om de instelling voor een beveiligingsbewerking te wijzigen, op de pijl omlaag in de kolom **Waarde** en selecteer dan **Ja** of **Nee**.

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Let op</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Wanneer u een aangepaste beveiligingsrol configureert, zorg er dan voor geen machigingen te verlenen die niet vereist zijn door gebruikers met beheerdersrechten die gekoppeld zijn met de nieuwe beveiligingsrol. Zo verleent bijvoorbeeld de waarde van <strong>Wijzigen</strong> voor de beveligingsbewerking <strong>Beveiligingsrollen</strong> aan gebruikers met beheerdersrechten machtigingen om een beschikbare beveiligingsrol te bewerken, zelfs indien ze niet gekoppeld zijn met deze beveiligingsrol.</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  6.  Klik op **OK** om de nieuwe beveiligingsrol op te slaan.

- Voer de volgende acties uit om een beveiligingsrol te importeren die was geëxporteerd van een andere System Center 2012 Configuration Manager-hiërarchie:

  1.  Klik op **Beveiligingsrol importeren** in het tabblad **Start** in de groep **Maken**.

  2.  Geef het .xml-bestand op dat de configuratie van de beveiligingsrol bevat die u wilt importeren en klik op **Open** om de procedure te vervolledigen en de beveiligingsrol op te slaan.

      <div class="alert">


      > [!NOTE]
      > <P>Nadat u een beveiligingsrol importeert, kunt u de eigenschappen van de beveiligingsrol bewerken om de objectmachtigingen te wijzigen die zijn gekoppeld aan de beveiligingsrol.</P>


      </div>

Configureer beveiligingsrollen

De groepen van beveiligingsmachtiging die gedefinieerd zijn voor een beveiligingsmachtigingen worden beveiligingsbewerkingstoewijzingen genoemd. Beveiligingsbewerkingstoewijzingen vertegenwoordigen een combinatie van objecttypes en -acties die beschikbaar zijn voor elk type object. U kunt wijzigen welke beveiligingsbewerkingen beschikbaar zijn voor een aangepaste beveiligingsrol, maar u kunt niet de ingebouwde beveiligingsrollen wijzigen die Configuration Manager levert.

Gebruik de volgende procedure om de beveiligingsbewerkingen te wijzigen voor een beveiligingsrol.

Beveiligingsrollen wijzigen

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik dan op Beveiligingsrollen.

  3. Selecteer de aangepaste beveiligingsrol die u wilt wijzigen.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op het tabblad machtigingen.

  6. Vouw in Toewijzingen beveiligingsbewerking het knooppunt Beveiligingsbewerkingen uit om de beschikbare acties weer te geven.

  7. Klik, om de instelling voor een beveiligingsbewerking te wijzigen, op de pijl omlaag in de kolom Waarde en selecteer dan Ja of Nee.

    System_CAPS_cautionLet op

    Wanneer u een aangepaste beveiligingsrol configureert, zorg er dan voor geen machigingen te verlenen die niet vereist zijn door gebruikers met beheerdersrechten die gekoppeld zijn met de nieuwe beveiligingsrol. Zo verleent bijvoorbeeld de waarde van Wijzigen voor de beveligingsbewerking Beveiligingsrollen aan gebruikers met beheerdersrechten machtigingen om een beschikbare beveiligingsrol te bewerken, zelfs indien ze niet gekoppeld zijn met deze beveiligingsrol.

  8. Klik op OK om de nieuwe beveiligingsrol op te slaan, wanneer u klaar bent met het configureren van beveiligingsbewerkingstoewijzingen.

Beveiligingsbereiken voor een object configureren

U kunt de koppeling van een beveiligingsbereik beheren voor een object vanaf het object en niet vanaf het beveiligingsbereik. De enige directe configuraties die beveiligingsbereiken ondersteunen zijn wijzigingen aan zijn naam en beschrijving. Om de naam en beschrijving van een beveiligingsbereik te wijzigen wanneer u de eigenschappen van het beveiligingsbereik ziet, moet u de Wijzig-machtiging hebben voor het met Beveiligingsbereiken te beveiligen object.

Wanneer u een nieuw object maakt in Configuration Manager, is het nieuwe object gekoppeld met de beveiligingsrollen van de account die gebruikt wordt om het object te maken, wanneer deze beveiligingsrollen de machtiging Maken bieden of de machtiging Beveiligingsbereik instellen. Enkel nadat het object is gemaakt, kunt u de beveiligingsbereiken wijzigen die ermee gekoppeld zijn.

Indien u bijvoorbeeld een beveiligingsrol toegewezen kreeg die u de machtiging geeft om een nieuwe grensgroep te maken. Wanneer u een nieuwe grensgroep maakt, hebt u geen optie waaraan u specifieke beveiligingsgroepen kunt toewijzen. In plaats daarvan zijn de beveiligingsgroepen, die beschikbaar zijn vanaf de beveiligingsrollen waarmee u gekoppeld bent, automatisch toegewezen aan de nieuwe grensgroep. Nadat u de nieuwe grensgroep opslaat, kunt u de beveiligingsbereiken gekoppeld met de nieuwe grensgroep bewerken.

Gebruik de volgende procedure om de beveiligingsbereiken te configureren toegewezen aan een object.

Beveiligingsbereiken voor een object configureren

  1. Selecteer in de Configuration Manager-console, een object dat toewijzing ondersteunt aan een beveiligingsbereik.

  2. Klik op Stel beveiligingsbereiken in op het Start tabblad in de Classificeren groep.

  3. Selecteer of wis de beveiligingsbereiken waarmee dit object is gekoppeld in het dialoogvenster Beveiligingsbereiken instellen. Elk object dat beveiligingsbereiken ondersteunt, moet toegewezen zijn aan minstens één beveiligingsbereik.

  4. Klik op OK om de toegewezen beveiligingsbereiken op te slaan.

    Notitie

    Wanneer u een nieuw object maakt, moet u het object toewijzen aan verschillende beveiligingsbereiken. Om het aantal beveiligingsbereiken dat gekoppeld is met het object te wijzigen, moet u deze toewijzing wijzigen nadat het object gemaakt is.

Verzamelingen voor het beheren van beveiliging configureren

Er zijn geen procedures voor het configureren van verzamelingen voor rolgebaseerd beheer. Verzamelingen hebben geen configuratie van beheer op basis van rollen; in plaats daarvan wijst u verzamelingen toe aan een gebruiker met beheerdersrechten wanneer u de gebruiker met beheerdersrechten configureert. De beveiligingsbewerkingen van de verzameling die ingeschakeld zijn in de toegewezen beveiligingsrollen van de gebruiker, bepalen de machtigingen die een gebruiker met beheerdersrechten heeft voor verzamelingen en verzamelingbronnen (verzameling leden).

Wanneer een gebruiker met beheerdersrechten machtigingen heeft voor een verzameling, heeft hij ook machtigingen voor verzamelingen die beperkt zijn tot deze verzameling. Uw organisatie gebruikt bijvoorbeeld een verzameling met de naam Alle bureaubladen en er bestaat een verzameling met de naam Alle bureaubladen van Noord-Amerika, die beperkt is tot de verzameling Alle bureaubladen. Indien een gebruiker met beheerdersrechten machtigingen heeft tot Alle bureaubladen, hebben ze ook dezelfde machtigingen tot de verzameling Alle bureaubladen van Noord-Amerika. Bovendien kan een gebruiker met beheerdersrechten de machtiging Wissen of Wijzigen niet gebruiken op een verzameling die direct aan hem teogewezen is, maar kan hij deze machtigingen gebruiken op de verzamelingen die beperkt zijn tot deze verzameling. In het vorige voorbeeld kan de gebruiker met beheerdersrechten de verzameling Alle bureaubladen van Noord-Amerika wissen of wijzigen, maar niet de verzameling Alle bureaubladen.

Maak een nieuwe gebruiker met beheerdersrechten

Om toegang te verlenen aan individuen of leden van een beveiligingsgroep om Configuration Manager te beheren, maakt u een gebruiker met beheerdersrechten in Configuration Manager en specificeert het Windows-account van de gebruiker of gebruikersgroep. Aan elke gebruiker met beheerdersrechten in Configuration Manager moet minimaal één beveiligingsrol en één beveiligingsbereik worden toegewezen. U kunt tevens verzamelingen toewijzen om het beheerbereik van de gebruiker met beheerdersrechten te beperken.

Gebruik de volgende procedures om nieuwe gebruikers met beheerdersrechten te maken.

Maken van een nieuwe gebruiker met beheerdersrechten

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik vervolgens op Gebruikers met beheerdersrechten.

  3. Klik op Gebruiker of groep toevoegen in het tabblad Start, in de groep Maken.

  4. Klik op Bladeren en selecteer vervolgens het gebruikersaccount of de groep die voor deze nieuwe gebruiker met beheerdersrechten gebruikt wordt.

    Notitie

    Bij beheer via de console kunnen alleen domeingebruikers of beveiligingsgroepen worden gespecificeerd als een gebruiker met beheerdersrechten.

  5. Klik voor Gekoppelde beveiligingsrollen op Toevoegen om een lijst te openen met de beschikbare beveiligingsrollen, selecteer het selectievakje voor één of meer beveiligingsrollen, en klik dan op OK.

  6. Selecteer een van de volgende twee opties om het gedrag van het beveiligbare object voor de nieuwe gebruiker te definiëren.

    - **Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen**: Deze optie koppelt de gebruiker met beheerdersrechten aan het beveiligingsbereik **Alle** en de op basisniveau ingebouwde verzamelingen voor **Alle systemen**, en **Alle gebruikers en gebruikersgroepen**. De aan de gebruiker toegewezen beveiligingsrollen definiëren de toegang tot objecten. Nieuwe objecten die door deze gebruiker met beheerdersrechten worden gemaakt, worden toegewezen aan het beveiligingsbereik **Standaard**.

- **Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen**: Deze optie koppelt de gebruiker met beheerdersrechten standaard aan het beveiligingsbereik **Standaard** en aan de verzamelingen **Alle systemen** en **Alle gebruikers en gebruikersgroepen**. De werkelijke beveiligingsbereiken en verzamelingen zijn echter beperkt tot die welke gekoppeld zijn aan het account dat u hebt gebruikt om de nieuwe gebruiker met beheerdersrechten te maken. Deze optie ondersteunt het toevoegen of verwijderen van beveiligingsbereiken en verzamelingen om het beheerbereik van de gebruiker met beheerdersrechten aan te passen.
    System_CAPS_importantBelangrijk

    De voorgaande opties koppelen elk toegewezen beveiligingsbereik en verzameling aan elke beveiligingsrol die aan de gebruiker met beheerdersrechten is toegewezen. Een derde optie, Alleen beveiligbare objecten zoals bepaald door de beveiligingsrollen van de gebruiker met beheerdersrechten, kan worden gebruikt om individuele beveiligingsrollen te koppelen aan specifieke beveiligingsbereiken en verzamelingen. Deze derde optie is beschikbaar nadat u de nieuwe gebruiker met beheerdersrechten maakt, wanneer u de gebruiker met beheerdersrechten wijzigt.

  7. Voer, afhankelijk van uw selectie in stap 6, de volgende handeling uit:

    - Als u **Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen** hebt geselecteerd, klik dan op **OK** om deze procedure te voltooien.

- Als u **Alleen beveiligbare objecten in gespecificeerde beveiligingsrollen of verzamelingen** hebt geselecteerd, kunt u op **Toevoegen** klikken om aanvullende verzamelingen en beveiligingsrollen te selecteren, of één of meer objecten in de lijst selecteren en klik op **Verwijderen** om ze te verwijderen. Klik op **OK** om deze procedure te voltooien.

Het beheerbereik van een gebruiker met beheerdersrechten wijzigen

U kunt het beheerbereik van een gebruiker met beheerdersrechten wijzigen door beveiligingsrollen, beveiligingsbereiken, en verzamelingen die aan de gebruiker gekoppeld zijn, toe te voegen of te verwijderen. Aan elke gebruiker met beheerdersrechten moet minimaal één beveiligingsrol en één beveiligingsbereik zijn gekoppeld. Mogelijk moet u één of meer verzamelingen aan het beheerbereik van de gebruiker toewijzen. De meeste beveiligingsrollen communiceren met verzamelingen en functioneren niet goed zonder een toegewezen verzameling.

Wanneer u een gebruiker met beheerdersrechten wijzigt, kunt u het gedrag wijzigen voor hoe beveiligbare objecten zijn gekoppeld aan de toegewezen beveiligingsrollen. Dit zijn de drie soorten gedrag die u kunt selecteren:

  • Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen: Deze optie koppelt de gebruiker met beheerdersrechten aan het bereik Alle en de op basisniveau ingebouwde verzamelingen voor Alle systemen, en Alle gebruikers en gebruikersgroepen. De aan de gebruiker toegewezen beveiligingsrollen definiëren de toegang tot objecten.

  • Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen: Deze optie koppelt de gebruiker met beheerdersrechten aan dezelfde beveiligingsbereiken en verzamelingen die gekoppeld zijn aan het account dat u gebruikt om de gebruiker met beheerdersrechten te configureren. Deze optie ondersteunt het toevoegen of verwijderen van beveiligingsrollen en verzamelingen om het beheerbereik van de gebruiker met beheerdersrechten aan te passen.

  • Alleen beveiligbare objecten zoals bepaald door de beveiligingsrollen van de gebruiker met beheerdersrechten: Met deze optie maakt u specifieke koppelingen tussen individuele beveiligingsrollen en specifieke beveiligingsbereiken en verzamelingen voor de gebruiker.

    Notitie

    Deze optie is alleen beschikbaar wanneer u de eigenschappen van een gebruiker met beheerdersrechten wijzigt.

De huidige configuratie voor het gedrag van het beveiligbare object verandert het proces dat u gebruikt om aanvullende beveiligingsrollen toe te wijzen. Gebruik de volgende procedures die gebaseerd zijn op de verschillende opties voor beveiligbare objecten om u te helpen een gebruiker met beheerdersrechten te beheren.

Gebruik de volgende procedure om de configuratie voor beveiligbare objecten voor een gebruiker met beheerdersrechten te bekijken en te beheren.

Bekijken en beheren van het gedrag van een beveiligbaar object voor een gebruiker met beheerdersrechten

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik vervolgens op Gebruikers met beheerdersrechten.

  3. Selecteer de gebruiker met beheerdersrechten die u wilt wijzigen.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op het tabblad Beveiligingsbereiken om de huidige configuratie voor beveiligbare objecten voor deze gebruiker met beheerdersrechten te bekijken.

  6. Om het gedrag van een beveiligbaar object te wijzigen, selecteert u een nieuwe optie voor het gedrag van een beveiligbaar object. Raadpleeg nadat u deze configuratie hebt gewijzigd de betreffende procedure voor verdere richtlijnen voor het configureren van beveiligingsbereiken en verzamelingen en van beveiligingsrollen voor deze gebruiker met beheerdersrechten.

  7. Klik op OK om de procedure te voltooien.

Gebruik de volgende procedure om een gebruiker met beheerdersrechten te wijzigen voor wie het gedrag van beveiligbare objecten op Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen is ingesteld:

Optie: Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik vervolgens op Gebruikers met beheerdersrechten.

  3. Selecteer de gebruiker met beheerdersrechten die u wilt wijzigen.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op het tabblad Beveiligingsbereiken om te bevestigen dat de gebruiker met beheerdersrechten geconfigureerd is voor Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen.

  6. Klik op het tabblad Beveiligingsrollen om de toegewezen beveiligingsrollen te wijzigen.

    - Om aanvullende beveiligingsrollen aan deze gebruiker met beheerdersrechten toe te wijzen, klikt u op **Toevoegen**, selecteert u het selectievakje van elke aanvullende beveiligingsrol die u wilt toewijzen, en klikt u vervolgens op **OK**.

- Om beveiligingsrollen te verwijderen, selecteert u een of meer beveiligingsrollen uit te lijst en klikt u vervolgens op **Verwijderen**.

  7. Om het gedrag van een beveiligbaar object te wijzigen, klikt u in het tabblad Beveiligingsbereiken en selecteert u een nieuwe optie voor het gedrag van het beveiligbare object. Raadpleeg nadat u deze configuratie hebt gewijzigd de betreffende procedure voor verdere richtlijnen voor het configureren van beveiligingsbereiken en verzamelingen en van beveiligingsrollen voor deze gebruiker met beheerdersrechten.

    Notitie

    Wanneer het gedrag van het beveiligbare object is ingesteld op Alle beveiligbare objecten die relevant zijn voor hun gekoppelde beveiligingsrollen, kunt u geen specifieke beveiligingsrollen en verzamelingen toevoegen of verwijderen.

  8. Klik op OK om deze procedure te voltooien.

Gebruik de volgende procedure om een gebruiker met beheerdersrechten te wijzigen voor wie het gedrag van beveiligbare objecten op Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen is ingesteld:

Optie: Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik vervolgens op Gebruikers met beheerdersrechten.

  3. Selecteer de gebruiker met beheerdersrechten die u wilt wijzigen.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op het tabblad Beveiligingsbereiken om te bevestigen dat de gebruiker geconfigureerd is voor Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen.

  6. Klik op het tabblad Beveiligingsrollen om de toegewezen beveiligingsrollen te wijzigen.

    - Om aanvullende beveiligingsrollen aan deze gebruiker toe te wijzen, klikt u op **Toevoegen**, selecteert u het selectievakje van elke aanvullende beveiligingsrol die u wilt toewijzen, en klikt u vervolgens op **OK**.

- Om beveiligingsrollen te verwijderen, selecteert u een of meer beveiligingsrollen uit te lijst en klikt u vervolgens op **Verwijderen**.

  7. Om de beveiligingsbereiken en verzamelingen, gekoppeld aan beveiligingsrollen te wijzigen, klikt u in het tabblad Beveiligingsrollen.

    - Om nieuwe beveiligingsbereiken of verzamelingen te koppelen aan alle beveiligingsrollen die aan deze gebruiker met beheerdersrechten zijn toegewezen, klikt u op **Toevoegen** en selecteert u één van de vier opties. Als u **Beveiligingsbereik** of **Verzameling** selecteert, vink dan het selectievakje aan voor een of meer objecten om die selectie te voltooien, en klik vervolgens op **OK**.

- Om een beveiligingsbereik of verzameling te verwijderen, selecteert u het object en klikt vervolgens op **Verwijderen**.

  8. Klik op OK om deze procedure te voltooien.

Gebruik de volgende procedure om een gebruiker met beheerdersrechten te wijzigen voor wie het gedrag van beveiligbare objecten op Alleen beveiligbare objecten zoals bepaald door de beveiligingsrollen van de gebruiker met beheerdersrechten is ingesteld:

Optie: Alleen beveiligbare objecten zoals bepaald door de beveiligingsrollen van de gebruiker met beheerdersrechten

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw Beveiliging uit in de werkruimte Beheer en klik vervolgens op Gebruikers met beheerdersrechten.

  3. Selecteer de gebruiker met beheerdersrechten die u wilt wijzigen.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op het tabblad Beveiligingsbereiken om te bevestigen dat de gebruiker met beheerdersrechten geconfigureerd is voor Alleen beveiligbare objecten in gespecificeerde beveiligingsbereiken of verzamelingen.

  6. Klik op het tabblad Beveiligingsrollen om de toegewezen beveiligingsrollen te wijzigen.

    - Klik op **Toevoegen** om aanvullende beveiligingsrollen aan deze gebruiker met beheerdersrechten toe te wijzen. Selecteer één of meer beschikbare beveiligingsrollen in het tabblad **Beveiligingsrol toevoegen**, klik op **Toevoegen**, en selecteer een objecttype dat u aan de geselecteerde beveiligingsrollen wilt koppelen. Als u **Beveiligingsbereik** of **Verzameling** selecteert, vink dan het selectievakje aan voor een of meer objecten om die selectie te voltooien, en klik vervolgens op **OK**.

  <div class="alert">


  > [!NOTE]
  > <P>U moet minimaal één beveiligingsbereik configureren voordat de geselecteerde beveiligingsrollen aan de gebruiker met beheerdersrechten kunnen worden toegewezen. Wanneer u meerdere beveiligingsrollen selecteert, wordt elk beveiligingsbereik en elke verzameling die u configureert gekoppeld aan elk van deze geselecteerde beveiligingsrollen.</P>


  </div>

- Om beveiligingsrollen te verwijderen, selecteert u een of meer beveiligingsrollen uit te lijst en klikt u vervolgens op **Verwijderen**.

  7. Om de beveiligingsbereiken en verzamelingen die zijn gekoppeld aan een specifieke beveiligingsrol te wijzigen, klikt u in het tabblad Beveiligingsbereiken, selecteert u de beveiligingsrol en klikt u vervolgens op Bewerken.

    - Om nieuwe objecten aan deze beveiligingsrol te koppelen, klikt u op **Toevoegen** en selecteert u een objecttype dat u aan de geselecteerde beveiligingsrollen wilt koppelen. Als u **Beveiligingsbereik** of **Verzameling** selecteert, vink dan het selectievakje aan voor een of meer objecten om die selectie te voltooien, en klik vervolgens op **OK**.

  <div class="alert">


  > [!NOTE]
  > <P>U moet ten minste één beveiligingsbereik configureren.</P>


  </div>

- Om een beveiligingsbereik of verzameling te verwijderen welke aan deze beveiligingsrol gekoppeld is, selecteert u het object en klikt vervolgens op **Verwijderen**.

- Wanneer u klaar bent met het wijzigen van de gekoppelde objecten, klikt u op **OK**.

  8. Klik op OK om deze procedure te voltooien.

    System_CAPS_cautionLet op

    Wanneer een beveiligingsrol gebruikers met beheerdersrechten de machtiging voor het implementeren van verzamelingen verleent, kunnen die gebruikers met beheerdersrechten objecten distribueren uit elk beveiligingsbereik waarvoor ze een leesmachtiging hebben, ook als dat beveiligingsbereik gekoppeld is aan een andere beveiligingsrol.

Accounts beheren die worden gebruikt door Configuration Manager

Configuration Manager ondersteunt Windows-accounts voor allerlei taken en gebruiken.

Gebruik de volgende procedure om te bekijken welke accounts voor de verschillende taken zijn geconfigureerd en om het wachtwoord te beheren dat Configuration Manager voor elk account gebruikt.

Om accounts te beheren die gebruikt worden door Configuration Manager

  1. Klik op Beheer in de Configuration Manager-console.

  2. Vouw in de werkruimte Beheer het item Beveiliging uit en klik vervolgens op Accounts om de accounts te bekijken die geconfigureerd zijn voor Configuration Manager.

  3. Om het wachtwoord voor een account dat geconfigureerd is voor Configuration Manager te wijzigen, selecteert u het account.

  4. Klik op Eigenschappen in het tabblad Start, in de groep Eigenschappen.

  5. Klik op Instellen om het dialoogvenster Windows gebruikersaccount te openen en specificeer het nieuwe wachtwoord voor Configuration Manager dat u voor het account wilt gebruiken.

    Notitie

    Het wachtwoord dat u specificeert moet overeenkomen met het wachtwoord dat voor het account gespecificeerd is in Active Directory: gebruikers en computers.

  6. Klik op OK om de procedure te voltooien.