• Artykuł

Konfigurowanie zabezpieczeń w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Uwaga

Ten temat występuje w — przewodniki Administrowanie witryną dla programu System Center 2012 Configuration Manager oraz Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.

Informacje w tym temacie ułatwią skonfigurowanie następujących opcji dotyczących zabezpieczeń:

  • Konfigurowanie ustawień certyfikatów PKI klienta

  • Konfigurowanie podpisywania i szyfrowania

  • Konfigurowanie administracji opartej na rolach

  • Zarządzanie kontami używanymi przez program Configuration Manager

Konfigurowanie ustawień certyfikatów PKI klienta

Aby użyć certyfikatów infrastruktury klucza publicznego (PKI) dla połączeń klienckich z systemami lokacji, które korzystają z programu Internet Information Services (IIS), należy wykonać poniższą procedurę w celu skonfigurowania ustawień tych certyfikatów.

Aby skonfigurować ustawienia certyfikatu PKI klienta

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, kliknij przycisk Lokacje, a następnie kliknij lokację podstawową do skonfigurowania.

  3. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości, a następnie kliknij kartę Komunikacja komputerów klienckich.

    Uwaga

    Ta karta jest dostępna tylko w lokacji głównej. Jeżeli karta Komunikacja komputerów klienckich nie jest widoczna, należy sprawdzić, czy nawiązano połączenie z centralną lokacją administracyjną czy lokacją dodatkową.

  4. Kliknij opcję Tylko HTTPS, aby klienci przypisani do lokacji zawsze używali certyfikatu PKI klienta, gdy łączą się z systemami lokacji korzystającymi z programu IIS. Można też kliknąć opcję HTTPS lub HTTP, jeżeli nie jest wymagane, aby klienci korzystali z certyfikatów PKI.

  5. Jeżeli wybrano opcję HTTPS lub HTTP, kliknij opcję Użyj certyfikatu klienta PKI (możliwość uwierzytelniania klienta), jeśli jest dostępny, jeżeli chcesz użyć certyfikatu PKI klienta dla połączeń HTTP. Klient korzysta z tego certyfikatu zamiast z certyfikatu z podpisem własnym, aby uwierzytelniać się w systemach lokacji. Ta opcja jest automatycznie wybierana, jeżeli wybrano opcję Tylko HTTPS.

    Uwaga

    W przypadku wykrycia połączenia klientów z Internetem lub ich skonfigurowana w celu zarządzania klientami tylko przez Internet zawsze korzystają z certyfikatu PKI klienta.

  6. Kliknij przycisk Modyfikuj, aby skonfigurować wybraną metodę wyboru klienta, jeżeli na kliencie jest dostępny więcej niż jeden prawidłowy certyfikat PKI klienta, a następnie kliknij przycisk OK.

    Uwaga

    Więcej informacji o metodzie wyboru certyfikatu klienta znajduje się w temacie Planowanie wyboru certyfikatu klienta PKI.

  7. Zaznacz lub usuń zaznaczenie pola wyboru, aby klienci sprawdzali listę odwołania certyfikatów (CRL).

    Uwaga

    Więcej informacji o sprawdzaniu listy CRL znajduje się w temacie Planowanie odwoływania certyfikatów PKI.

  8. Jeżeli konieczne jest określenie zaufanego głównego urzędu certyfikacji (CA) dla klientów, kliknij przycisk Ustaw, zaimportuj plik certyfikatu CA, a następnie kliknij przycisk OK.

    Uwaga

    Więcej informacji o tym ustawieniu znajduje się w temacie Planowanie zaufanych certyfikatów głównych PKI i listy wystawców certyfikatów.

  9. Kliknij przycisk OK, aby zamknąć okno dialogowe właściwości tej lokacji.

Powtórz te czynności dla wszystkich lokacji podstawowych w hierarchii.

Konfigurowanie podpisywania i szyfrowania

Należy skonfigurować najbardziej bezpieczne ustawienia podpisywania i szyfrowania dla systemów lokacji, jakie obsługują wszyscy klienci w tej lokacji. Te ustawienia są szczególnie ważne, gdy umożliwiają klientom komunikację z systemami lokacji przy użyciu certyfikatów z podpisem własnym za pośrednictwem protokołu HTTP.

Aby skonfigurować podpisanie i szyfrowanie dla lokacji

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, kliknij przycisk Lokacje, a następnie kliknij lokację podstawową do skonfigurowania.

  3. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości, a następnie kliknij kartę Podpisywanie i szyfrowanie.

    Uwaga

    Ta karta jest dostępna tylko w lokacji głównej. Jeżeli karta Podpisywanie i szyfrowanie nie jest widoczna, należy sprawdzić, czy nawiązano połączenie z centralną lokacją administracyjną czy lokacją dodatkową.

  4. Skonfiguruj opcje podpisywania i szyfrowania, a następnie kliknij przycisk OK.

    System_CAPS_warningOstrzeżenie

    Nie należy wybierać opcji Algorytm SHA-256 wymagany bez wcześniejszego sprawdzenia, czy wszyscy klienci, którzy mogą zostać przypisani do tej lokacji, obsługują ten algorytm skrótu lub mają certyfikat uwierzytelniania klienta PKI. W celu obsługi algorytmu SHA-256 konieczne może być zainstalowanie aktualizacji lub poprawek. Przykładowo na komputerach z systemem Windows Server 2003 z dodatkiem SP2 należy zainstalować poprawkę opisaną w artykule Bazy Wiedzy 938397.

    Jeżeli wybrano tę opcję, a klienci nie obsługują algorytmu SHA-256 i używają certyfikatów z podpisem własnym, program Menedżer konfiguracji je odrzuci. W tym scenariuszu składnik SMS_MP_CONTROL_MANAGER zarejestruje komunikat o identyfikatorze 5443.

  5. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości tej lokacji.

Powtórz te czynności dla wszystkich lokacji podstawowych w hierarchii.

Konfigurowanie administracji opartej na rolach

Informacje w tej sekcji ułatwią skonfigurowanie administracji opartej na rolach w programie Menedżer konfiguracji. Administracja oparta na rolach łączy role zabezpieczeń, zakresy zabezpieczeń i przypisane kolekcje w celu zdefiniowana zakresu administracyjnego dla każdego użytkownika administracyjnego. Zakres administracyjny obejmuje obiekty, które użytkownik administracyjny może wyświetlać w konsoli programu Menedżer konfiguracji, i zadania związane z tymi obiektami, do których wykonywania jest uprawniony użytkownik administracyjny. Konfiguracje administracji opartej na rolach są stosowane w każdej lokacji w hierarchii.

Informacje w poniższych procedurach ułatwią utworzenie i skonfigurowanie administracji opartej na rolach i powiązanych ustawień zabezpieczeń.

  • Tworzenie niestandardowych ról zabezpieczeń

  • Konfigurowanie ról zabezpieczeń

  • Konfigurowanie zakresów zabezpieczeń dla obiektu

  • Konfigurowanie kolekcji w celu zarządzania zabezpieczeniami

  • Tworzenie nowego użytkownika administracyjnego

  • Modyfikacja zakresu administracyjnego użytkownika administracyjnego

System_CAPS_importantWażne

Administracja oparta na rolach wykorzystuje role zabezpieczeń, zakresy zabezpieczeń i kolekcje. Ich połączenie umożliwia zdefiniowanie zakresu administracyjnego dla każdego użytkownika administracyjnego. Zakres administracyjny danego użytkownika określa obiekty i ustawienia, które można przypisać podczas konfigurowania administracji opartej na rolach dla innego użytkownika administracyjnego. Więcej informacji o planowaniu dotyczącym administracji opartej na rolach znajduje się w sekcji Planowanie administracji opartej na rolach w temacie Planowanie bezpieczeństwa w programie Configuration Manager.

Tworzenie niestandardowych ról zabezpieczeń

W programie Menedżer konfiguracji dostępnych jest kilka ról zabezpieczeń. Jeżeli wymagane są dodatkowe role zabezpieczeń, można utworzyć niestandardową rolę zabezpieczeń, tworząc kopię istniejącej roli zabezpieczeń, a następnie modyfikując kopię. Niestandardową rolę zabezpieczeń można utworzyć, aby przyznać użytkownikom administracyjnym dodatkowe wymagane uprawnienia zabezpieczeń, które nie są zawarte w aktualnie przypisanej roli. Używając niestandardowej roli zabezpieczeń, można przyznać im tylko wymagane uprawnienia i uniknąć przypisania roli zabezpieczeń, która przyznaje więcej uprawnień niż jest to konieczne.

Poniższa procedura umożliwia utworzenie nowej roli zabezpieczeń z wykorzystaniem istniejącej roli zabezpieczeń jako szablonu.

Aby utworzyć niestandardowe role zabezpieczeń

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Role zabezpieczeń.

    Aby utworzyć nową rolę zabezpieczeń, wykonaj jedną z poniższych procedur:

    - Wykonaj poniższe czynności, aby utworzyć nową niestandardową rolę zabezpieczeń:

  1.  Wybierz istniejącą rolę, która będzie podstawą dla nowej roli zabezpieczeń.

  2.  Na karcie **Narzędzia główne** w grupie **Rola zabezpieczeń** kliknij przycisk **Kopiuj**. Spowoduje to utworzenie kopii źródłowej roli zabezpieczeń.

  3.  W kreatorze Kopiowanie roli zabezpieczeń w polu **Nazwa** wpisz nazwę nowej niestandardowej roli zabezpieczeń.

  4.  W obszarze **Przypisania operacji zabezpieczeń** rozwiń każdy węzeł **Operacje zabezpieczeń**, aby wyświetlić dostępne akcje.

  5.  Aby zmienić ustawienie operacji zabezpieczeń, kliknij strzałkę w dół w kolumnie **Wartość**, a następnie wybierz opcję **Tak** lub **Nie**.

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh240236.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-caution(SC.12).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Przestroga</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Podczas konfigurowania niestandardowej roli zabezpieczeń należy upewnić się, że nie przyznano uprawnień niewymaganych przez użytkowników administracyjnych skojarzonych przez nową rolę zabezpieczeń. Przykładowo wartość <strong>Modyfikuj</strong> operacji zabezpieczeń <strong>Role zabezpieczeń</strong> przyznaje użytkownikom administracyjnym uprawnienie do edycji każdej dostępnej roli zabezpieczeń, nawet jeżeli nie są z nią skojarzeni.</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  6.  Po skonfigurowaniu uprawnień kliknij przycisk **OK**, aby zapisać nową rolę zabezpieczeń.

- Wykonaj poniższe czynności, aby zaimportować rolę zabezpieczeń wyeksportowaną z innej hierarchii programu System Center 2012 Configuration Manager:

  1.  Na karcie **Narzędzia główne** w grupie **Utwórz** kliknij opcję **Importuj rolę zabezpieczeń**.

  2.  Wybierz plik xml zawierający konfigurację roli zabezpieczeń, którą chcesz zaimportować, i kliknij przycisk **Otwórz**, aby dokończyć i zapisać rolę zabezpieczeń.

      <div class="alert">


      > [!NOTE]
      > <P>Po zaimportowaniu roli zabezpieczeń można edytować jej właściwości, aby zmienić uprawnienia do obiektu skojarzone z rolą zabezpieczeń.</P>


      </div>

Konfigurowanie ról zabezpieczeń

Grupy uprawnień zabezpieczeń zdefiniowane dla roli zabezpieczeń są nazywane przypisaniami operacji zabezpieczeń. Przypisania operacji zabezpieczeń stanową kombinację typów obiektów i akcji dostępnych dla każdego typu obiektu. Operacje zabezpieczeń dostępne dla każdej niestandardowej roli zabezpieczeń można zmienić, ale nie można modyfikować wbudowanych ról zabezpieczeń dostępnych w programie Menedżer konfiguracji.

Poniższa procedura umożliwia zmodyfikowanie operacji zabezpieczeń dla roli zabezpieczeń.

Aby zmodyfikować role zabezpieczeń

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Role zabezpieczeń.

  3. Wybierz niestandardową rolę zabezpieczeń, którą chcesz zmodyfikować.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij kartę Uprawnienia.

  6. W obszarze Przypisania operacji zabezpieczeń rozwiń każdy węzeł Operacje zabezpieczeń, aby wyświetlić dostępne akcje.

  7. Aby zmienić ustawienie operacji zabezpieczeń, kliknij strzałkę w dół w kolumnie Wartość, a następnie wybierz opcję Tak lub Nie.

    System_CAPS_cautionPrzestroga

    Podczas konfigurowania niestandardowej roli zabezpieczeń należy upewnić się, że nie przyznano uprawnień niewymaganych przez użytkowników administracyjnych skojarzonych przez nową rolę zabezpieczeń. Przykładowo wartość Modyfikuj operacji zabezpieczeń Role zabezpieczeń przyznaje użytkownikom administracyjnym uprawnienie do edycji każdej dostępnej roli zabezpieczeń, nawet jeżeli nie są z nią skojarzeni.

  8. Po zakończeniu konfigurowania przypisań operacji zabezpieczeń kliknij przycisk OK, aby zapisać nową rolę zabezpieczeń.

Konfigurowanie zakresów zabezpieczeń dla obiektu

Skojarzeniami zakresu zabezpieczeń obiektu zarządza się z obiektu a nie z zakresu zabezpieczeń. Jedyną bezpośrednią konfiguracją obsługiwaną przez zakresy zabezpieczeń są zmiany nazwy i opisu. Do zmiany nazwy i opisu zakresu zabezpieczeń po wyświetleniu właściwości zakresu zabezpieczeń wymagane jest uprawnienie Modyfikuj do obiektu zabezpieczanego Zakresy zabezpieczeń.

Po utworzeniu nowego obiektu w programie Menedżer konfiguracji jest on kojarzony z każdym zakresem zabezpieczeń skojarzonym z rolami zabezpieczeń konta użytego do utworzenia obiektu, gdy te role zabezpieczeń zawierają uprawnienie Utwórz lub Ustaw zakres zabezpieczeń. Zakresy zabezpieczeń, z którymi jest skojarzony obiekt, można zmienić dopiero po jego utworzeniu.

Załóżmy, że użytkownikowi przypisano rolę zabezpieczeń przyznającą uprawnienie do tworzenia nowej grupy granic. W przypadku tworzenia nowej grupy granic nie jest dostępna opcja, do której można przypisać określone zakresy zabezpieczeń. Zamiast tego zakresy zabezpieczeń dostępne z ról zabezpieczeń, z którym skojarzony jest użytkownik, są automatycznie przypisywane do nowej grupy granic. Po zapisaniu nowej grupy granic można edytować zakresy zabezpieczeń skojarzone z nową grupą granic.

Poniższa procedura umożliwia skonfigurowanie zakresów zabezpieczeń przypisanych do obiektu.

Aby skonfigurować zakresy zabezpieczeń dla obiektu

  1. W konsoli programu Menedżer konfiguracji wybierz obiekt, który obsługuje przypisanie do zakresu zabezpieczeń.

  2. Na karcie Narzędzia główne w grupie Klasyfikuj kliknij opcję Ustaw zakresy zabezpieczeń.

  3. W oknie dialogowym Ustaw zakresy zabezpieczeń zaznacz lub usuń zaznaczenie zakresów zabezpieczeń, z którymi skojarzony jest ten obiekt. Każdy obiekt, który obsługuje zakresy zabezpieczeń, musi zostać przypisany do co najmniej jednego zakresu zabezpieczeń.

  4. Kliknij przycisk OK, aby zapisać przypisane zakresy zabezpieczeń.

    Uwaga

    Podczas tworzenia nowego obiektu można przypisać go do kilku zakresów zabezpieczeń. Aby zmodyfikować liczbę zakresów zabezpieczeń skojarzonych z obiektem, należy zmienić to przypisanie po utworzeniu obiektu.

Konfigurowanie kolekcji w celu zarządzania zabezpieczeniami

Nie istnieją procedury konfigurowania kolekcji dla administracji opartej na rolach. Kolekcje nie mają konfiguracji administracji opartej na rolach; należy przypisać kolekcje do użytkownika administracyjnego podczas jego konfigurowania. Operacje zabezpieczeń kolekcji włączone w rolach zabezpieczeń przypisanych do użytkowników określają uprawnienia użytkownika administracyjnego do kolekcji i zasobów kolekcji (członków kolekcji).

Gdy użytkownik administracyjny ma uprawnienia do jednej kolekcji, ma także uprawnienia do zbioru kolekcji ograniczonego do tej określonej kolekcji. Załóżmy, że organizacja korzysta z kolekcji o nazwie Wszystkie komputery stacjonarne, i istnieje kolekcja o nazwie Wszystkie komputery stacjonarne w Ameryce Północnej ograniczona do kolekcji Wszystkie komputery stacjonarne. Jeżeli użytkownik administracyjny ma uprawnienia do Wszystkich komputerów stacjonarnych, ma także te same uprawnienia do kolekcji Wszystkie komputery stacjonarne w Ameryce Północnej. Ponadto użytkownik administracyjny nie może użyć uprawnienia Usuń ani Modyfikuj w kolekcji przypisanej bezpośrednio do niego, ale może użyć tych uprawnień w kolekcjach ograniczonych do tej kolekcji. Na podstawie poprzedniego przykładu użytkownik administracyjny może usunąć lub zmodyfikować kolekcję Wszystkie komputery stacjonarne w Ameryce Północnej, ale nie może usunąć ani zmodyfikować kolekcji Wszystkie komputery stacjonarne.

Tworzenie nowego użytkownika administracyjnego

Aby przydzielić poszczególnym osobom lub członkom grupy zabezpieczeń dostęp do zarządzania programem Menedżer konfiguracji, utwórz użytkownika administracyjnego w programie Menedżer konfiguracji, określając je w systemie Windows jako konto użytkownika lub grupy użytkowników. Każdy użytkownik administracyjny w programie Menedżer konfiguracji musi mieć przypisaną przynajmniej jedną rolę zabezpieczeń i jeden zakres zabezpieczeń. Istnieje także możliwość przypisania kolekcji, aby ograniczyć zakres administracyjny użytkownika administracyjnego.

Aby utworzyć nowych użytkowników administracyjnych, wykonaj następującą procedurę.

Aby utworzyć nowego użytkownika administracyjnego

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Użytkownicy administracyjni.

  3. Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Dodaj użytkownika lub grupę.

  4. Kliknij przycisk Przeglądaj i wybierz konto użytkownika lub grupę, których chcesz użyć w nowym użytkowniku administracyjnym.

    Uwaga

    Przy zarządzaniu z konsoli jako użytkownika administracyjnego można określić tylko użytkownika domeny lub grupę zabezpieczeń.

  5. W polu Skojarzone role zabezpieczeń kliknij przycisk Dodaj, aby otworzyć listę dostępnych ról zabezpieczeń, wybierz pole wyboru w przynajmniej jednej roli zabezpieczeń i kliknij przycisk OK.

  6. Zdefiniuj zachowanie zabezpieczanego obiektu u nowego użytkownika, wybierając jedną z dwóch następujących opcji:

    - **Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń**: Ta opcja kojarzy użytkownika administracyjnego ze **wszystkimi** zakresami zabezpieczeń oraz wbudowanymi kolekcjami poziomu głównego dla zakresów **Wszystkie systemy** i **Wszyscy użytkownicy oraz wszystkie grupy użytkowników**. Role zabezpieczeń przypisane do użytkownika definiują dostęp użytkownika do obiektów. Nowe obiekty utworzone przez tego użytkownika administracyjnego są przypisywane do zakresu zabezpieczeń **Domyślny**.

- **Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach**: Domyślnie ta opcja kojarzy użytkownika administracyjnego z **domyślnym** zakresem zabezpieczeń oraz kolekcjami **Wszystkie systemy** i **Wszyscy użytkownicy oraz wszystkie grupy użytkowników**. Jednak rzeczywiste zakresy zabezpieczeń i kolekcje są ograniczone do tych, które są skojarzone z kontem użytym do utworzenia nowego użytkownika administracyjnego. Ta opcja obsługuje dodawanie i usuwanie zakresów zabezpieczeń i kolekcji w celu dostosowania zakresu administracyjnego użytkownika administracyjnego.
    System_CAPS_importantWażne

    Poprzednie opcje pozwalają na skojarzenie przypisanych zakresów zabezpieczeń i kolekcji do każdej roli zabezpieczeń przypisanej do użytkownika administracyjnego. Trzecia opcja to Tylko zabezpieczane obiekty określone przez role zabezpieczeń użytkownika administracyjnego pozwala na skojarzenie poszczególnych ról zabezpieczeń z określonymi zakresami zabezpieczeń i kolekcjami. Ta trzecia opcja jest dostępna po utworzeniu nowego użytkownika administracyjnego i podczas jego modyfikacji.

  7. W zależności od wyboru w kroku 6 należy podjąć następujące działania:

    - Po wybraniu opcji **Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń** kliknij przycisk **OK**, aby ukończyć tę procedurę.

- Po wybraniu opcji **Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach** kliknij przycisk **Dodaj**, aby wybrać dodatkowe kolekcje i zakresy zabezpieczeń, lub wybierz przynajmniej jeden obiekt z listy i usuń go, klikając przycisk **Usuń**. Kliknij przycisk **OK**, aby ukończyć tę procedurę.

Modyfikacja zakresu administracyjnego użytkownika administracyjnego

Zakres administracyjny użytkownika administracyjnego można zmodyfikować przez dodanie lub usunięcie ról zabezpieczeń, zakresów zabezpieczeń i kolekcji skojarzonych z użytkownikiem. Każdy użytkownik administracyjny musi być skojarzony z przynajmniej jedną rolą zabezpieczeń i jednym zakresem zabezpieczeń. Konieczne może być przypisanie przynajmniej jednej kolekcji z zakresem administracyjnym użytkownika. Większość ról zabezpieczeń prowadzi interakcję z kolekcjami i nie działa poprawnie bez przypisanej kolekcji.

Podczas modyfikacji użytkownika administracyjnego możesz zmienić zachowanie przy kojarzeniu zabezpieczanych obiektów z przypisanymi rolami zabezpieczeń. Można wybrać trzy następujące zachowania:

  • Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń: Ta opcja kojarzy użytkownika administracyjnego ze wszystkimi zakresami i wbudowanymi kolekcjami poziomu głównego dla zakresów Wszystkie systemy i Wszyscy użytkownicy oraz wszystkie grupy użytkowników. Role zabezpieczeń, które są przypisane do użytkownika, definiują dostęp do obiektów.

  • Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach: Ta opcja kojarzy użytkownika administracyjnego z tymi samymi zakresami zabezpieczeń i kolekcjami, które są skojarzone z kontem używanym do konfiguracji użytkownika administracyjnego. Ta opcja obsługuje dodawanie i usuwanie ról zabezpieczeń i kolekcji w celu dostosowania zakresu administracyjnego użytkownika administracyjnego.

  • Tylko zabezpieczane obiekty określone przez role zabezpieczeń użytkownika administracyjnego: Ta opcja pozwala utworzyć określone skojarzenia między poszczególnymi rolami zabezpieczeń i zakresami zabezpieczeń oraz kolekcjami u użytkownika.

    Uwaga

    Ta opcja jest dostępna wyłącznie przy modyfikacji właściwości użytkownika administracyjnego.

Bieżąca konfiguracja zachowania zabezpieczanego obiektu zmienia proces używany do przypisywania dodatkowych ról zabezpieczeń. Użyj następującej procedury opartej na różnych opcjach zabezpieczanego obiektu. Ułatwi to zarządzanie użytkownikiem administracyjnym.

Aby wyświetlić konfigurację zabezpieczanych obiektów dla użytkownika administracyjnego i zarządzać nią, wykonaj następującą procedurę:

Aby wyświetlić zachowanie zabezpieczanych obiektów dla użytkownika administracyjnego i zarządzać nim

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Użytkownicy administracyjni.

  3. Wybierz użytkownika administracyjnego, którego opcje chcesz zmodyfikować.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij kartę Zakresy zabezpieczeń, aby wyświetlić bieżącą konfigurację zabezpieczanych obiektów dla użytkownika administracyjnego.

  6. Aby zmienić zachowanie zabezpieczanego obiektu, wybierz nową opcję jego zachowania. Po zmianie konfiguracji odwołaj się do odpowiedniej procedury, aby uzyskać dalsze informacje o konfiguracji zakresów zabezpieczeń i kolekcji oraz ról zabezpieczeń u danego użytkownika administracyjnego.

  7. Kliknij przycisk OK, aby ukończyć tę procedurę.

Użyj następującej procedury, aby zmodyfikować użytkownika administracyjnego, u którego zachowanie zabezpieczanego obiektu ma ustawioną opcję Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń:

Opcja: Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Użytkownicy administracyjni.

  3. Wybierz użytkownika administracyjnego, którego opcje chcesz zmodyfikować.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij kartę Zakresy zabezpieczeń, aby potwierdzić, czy u użytkownika administracyjnego została wybrana opcja Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń.

  6. Aby zmodyfikować przypisane role zabezpieczeń, kliknij kartę Role zabezpieczeń.

    - Aby przypisać dodatkowe role zabezpieczeń do danego użytkownika administracyjnego, kliknij przycisk **Dodaj**, zaznacz pole wyboru przy każdej roli zabezpieczeń, którą chcesz przypisać, i kliknij przycisk **OK**.

- Aby usunąć role zabezpieczeń, wybierz z listy jedną lub więcej ról, a następnie kliknij przycisk **Usuń**.

  7. Aby zmienić zachowanie zabezpieczanego obiektu, kliknij kartę Zakresy zabezpieczeń i wybierz nową opcję jego zachowania. Po zmianie konfiguracji odwołaj się do odpowiedniej procedury, aby uzyskać dalsze informacje o konfiguracji zakresów zabezpieczeń i kolekcji oraz ról zabezpieczeń u danego użytkownika administracyjnego.

    Uwaga

    Przy zachowaniu zabezpieczanego obiektu ustawionym na Wszystkie zabezpieczane obiekty, które mają zastosowanie w skojarzonych rolach zabezpieczeń, nie można dodawać ani usuwać określonych zakresów zabezpieczeń ani kolekcji.

  8. Kliknij przycisk OK, aby ukończyć tę procedurę.

Użyj następującej procedury, aby zmodyfikować użytkownika administracyjnego, u którego zachowanie zabezpieczanego obiektu ma ustawioną opcję Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach.

Opcja: Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Użytkownicy administracyjni.

  3. Wybierz użytkownika administracyjnego, którego opcje chcesz zmodyfikować.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij kartę Zakresy zabezpieczeń, aby potwierdzić, czy u użytkownika administracyjnego została wybrana opcja Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach.

  6. Aby zmodyfikować przypisane role zabezpieczeń, kliknij kartę Role zabezpieczeń.

    - Aby przypisać dodatkowe role zabezpieczeń do danego użytkownika, kliknij przycisk **Dodaj**, zaznacz pole wyboru przy każdej roli zabezpieczeń, którą chcesz przypisać, i kliknij przycisk **OK**.

- Aby usunąć role zabezpieczeń, wybierz z listy jedną lub więcej ról, a następnie kliknij przycisk **Usuń**.

  7. Aby zmodyfikować zakresy zabezpieczeń i kolekcje skojarzone z rolami zabezpieczeń, kliknij kartę Zakresy zabezpieczeń.

    - Aby skojarzyć nowe zakresy zabezpieczeń i kolekcje ze wszystkimi rolami zabezpieczeń przypisanymi do użytkownika administracyjnego, kliknij przycisk **Dodaj** i wybierz jedną z czterech opcji. W przypadku wybrania opcji **Zakres zabezpieczeń** lub **Kolekcja** zaznacz pole wyboru przy co najmniej jednym obiekcie, aby ukończyć wybieranie, a następnie kliknij przycisk **OK**.

- Aby usunąć zakres zabezpieczeń lub kolekcję, wybierz obiekt i kliknij przycisk **Usuń**.

  8. Kliknij przycisk OK, aby ukończyć tę procedurę.

Użyj następującej procedury, aby zmodyfikować użytkownika administracyjnego, u którego zachowanie zabezpieczanego obiektu ma ustawioną opcję Tylko zabezpieczane obiekty określone przez role zabezpieczeń użytkownika administracyjnego.

Opcja: Tylko zabezpieczane obiekty określone przez role zabezpieczeń użytkownika administracyjnego

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Użytkownicy administracyjni.

  3. Wybierz użytkownika administracyjnego, którego opcje chcesz zmodyfikować.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij kartę Zakresy zabezpieczeń, aby potwierdzić, czy u użytkownika została wybrana opcja Tylko zabezpieczane obiekty w określonych zakresach zabezpieczeń lub kolekcjach.

  6. Aby zmodyfikować przypisane role zabezpieczeń, kliknij kartę Role zabezpieczeń.

    - Aby przypisać dodatkowe role zabezpieczeń do danego użytkownika administracyjnego, kliknij przycisk **Dodaj**. W oknie dialogowym **Dodaj rolę zabezpieczeń** wybierz przynajmniej jedną dostępną rolę zabezpieczeń, kliknij przycisk **Dodaj** i wybierz typ obiektu do skojarzenia z wybranymi rolami zabezpieczeń. W przypadku wybrania opcji **Zakres zabezpieczeń** lub **Kolekcja** zaznacz pole wyboru przy co najmniej jednym obiekcie, aby ukończyć wybieranie, a następnie kliknij przycisk **OK**.

  <div class="alert">


  > [!NOTE]
  > <P>Przed przypisaniem wybranych ról zabezpieczeń do użytkownika administracyjnego należy skonfigurować przynajmniej jeden zakres zabezpieczeń. Po wybraniu wielu ról zabezpieczeń wszystkie konfigurowane zakresy zabezpieczeń i kolekcje są kojarzone ze wszystkimi wybranymi rolami zabezpieczeń.</P>


  </div>

- Aby usunąć role zabezpieczeń, wybierz z listy jedną lub więcej ról, a następnie kliknij przycisk **Usuń**.

  7. Aby zmodyfikować zakresy zabezpieczeń i kolekcje skojarzone z rolami zabezpieczeń, kliknij kartę Zakresy zabezpieczeń, wybierz rolę zabezpieczeń i kliknij polecenie Edytuj.

    - Aby skojarzyć nowe obiekty z tą rolą zabezpieczeń, kliknij przycisk **Dodaj** i wybierz typ obiektu do skojarzenia z wybranymi rolami zabezpieczeń. W przypadku wybrania opcji **Zakres zabezpieczeń** lub **Kolekcja** zaznacz pole wyboru przy co najmniej jednym obiekcie, aby ukończyć wybieranie, a następnie kliknij przycisk **OK**.

  <div class="alert">


  > [!NOTE]
  > <P>Należy skonfigurować przynajmniej jeden zakres zabezpieczeń.</P>


  </div>

- Aby usunąć zakresy zabezpieczeń lub kolekcje skojarzone z tą rolą zabezpieczeń, wybierz odpowiedni obiekt i kliknij przycisk **Usuń**.

- Po zakończeniu modyfikacji skojarzonych obiektów kliknij przycisk **OK**.

  8. Kliknij przycisk OK, aby ukończyć tę procedurę.

    System_CAPS_cautionPrzestroga

    Użytkownicy administracyjni, którym rola zabezpieczeń przyznaje uprawnienia do wdrażania kolekcji, mogą dystrybuować obiekty z dowolnego zakresu zabezpieczeń, do którego mają uprawnienia odczytu, nawet jeśli dany zakres jest skojarzony z inną rolą.

Zarządzanie kontami używanymi przez program Configuration Manager

Program Menedżer konfiguracji do wielu zadań i zastosowań obsługuje konta systemu Windows.

Użyj następującej procedury, aby wyświetlić konta skonfigurowane dla różnych zadań, oraz zarządzać hasłami, których program Menedżer konfiguracji używa dla poszczególnych kont.

Aby zarządzać kontami używanymi przez program Menedżer konfiguracji

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Administracja.

  2. W obszarze roboczym Administracja rozwiń węzeł Zabezpieczenia, a następnie kliknij przycisk Konta. Zostaną wyświetlone konta skonfigurowane w programie Menedżer konfiguracji.

  3. Aby zmienić hasła dla konta skonfigurowanego w programie Menedżer konfiguracji, wybierz to konto.

  4. Na karcie Narzędzia główne w grupie Właściwości kliknij przycisk Właściwości.

  5. Kliknij przycisk Ustaw, aby otworzyć okno dialogowe Konto użytkownika systemu Windows i wpisać nowe hasło, którego program Menedżer konfiguracji ma używać dla danego konta.

    Uwaga

    Wpisane hasło musi dokładnie pasować do hasła wprowadzonego dla konta w opcji Użytkownicy i komputery usługi Active Directory.

  6. Kliknij przycisk OK, aby ukończyć tę procedurę.