Configurar a administração baseada em funções para o System Center Configuration Manager

 

Aplica-se a: System Center Configuration Manager (current branch)

No O System Center Configuration Manager, a administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo. Um âmbito administrativo inclui os objetos que um utilizador administrativo pode visualizar na consola do Gestor de configuração, bem como as tarefas relacionadas com esses objetos que o utilizador administrativo tem permissão para executar. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.

Se ainda não estiver familiarizado com os conceitos relativos à administração baseada em funções, consulte Noções básicas da administração baseada em funções para o System Center Configuration Manager


As informações nos procedimentos seguintes poderão ajudá-lo a criar e configurar a administração baseada em funções e as definições de segurança relacionadas.

O Gestor de configuração fornece diversas funções de segurança incorporadas. Se precisar de funções de segurança adicionais, poderá criar uma função de segurança personalizada fazendo uma cópia de uma função existente e modificando-a em seguida. Poderá criar uma função de segurança personalizada para conceder aos utilizadores administrativos as permissões de segurança adicionais de que necessitem e que não se encontrem incluídas na função de segurança atualmente atribuída. Ao utilizar uma função de segurança personalizada, poderá conceder-lhes apenas as permissões de que necessitam, sem ter de atribuir uma função de segurança que conceda permissões adicionais.

Utilize o procedimento seguinte para criar uma nova função de segurança utilizando uma função de segurança existente como modelo.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

    Utilize um dos seguintes processos para criar a nova função de segurança:

    • Para criar uma nova função de segurança personalizada, execute as seguintes ações:

      1. Selecione uma função de segurança existente para utilizar como origem da nova função de segurança.

      2. No separador Home Page, no grupo Função de Segurança, clique em Copiar. Será criada uma cópia da função de segurança de origem.

      3. No assistente Copiar Função de Segurança, especifique um Nome para a nova função de segurança personalizada.

      4. Em Atribuições de operações de segurança, expanda cada nó Operações de Segurança para apresentar as ações disponíveis.

      5. Para alterar a definição de uma operação de segurança, clique na seta para baixo na coluna Valor e selecione Sim ou Não.

        System_CAPS_cautionCuidado

        Ao configurar uma função de segurança personalizada, certifique-se de que não concede aos utilizadores administrativos permissões associadas à nova função de segurança que não sejam necessárias. Por exemplo, o valor Modificar da operação de segurança Funções de Segurança concede aos utilizadores administrativos a permissão para editar qualquer função de segurança acessível, mesmo que não se encontrem associados a essa função de segurança.

      6. Após configurar as permissões, clique em OK para guardar a nova função de segurança.

    • Para importar uma função de segurança que tenha sido exportada de outra hierarquia do Gestor de configuração, execute as seguintes ações:

      1. No separador Home Page, no grupo Criar, clique em Importar Função de Segurança.

      2. Especifique o ficheiro .xml que contém a configuração da função de segurança que pretende importar e clique em Abrir para concluir o procedimento e guardar a função de segurança.

        System_CAPS_noteNota

        Após importar uma função de segurança, poderá editar as propriedades da mesma para alterar as permissões de objetos associadas à função.

Os grupos de permissões de segurança definidos para uma função de segurança são designados atribuições de operações de segurança. As atribuições de operações de segurança representam uma combinação de tipos de objetos e ações disponíveis para cada tipo de objeto. É possível modificar as operações de segurança disponíveis para qualquer função de segurança personalizada, mas não é possível modificar as funções de segurança incorporadas fornecidas pelo Gestor de configuração.

Utilize o procedimento seguinte para modificar as operações de segurança de uma função de segurança.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

  3. Selecione a função de segurança personalizada que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Permissões.

  6. Em Atribuições de operações de segurança, expanda cada nó Operações de Segurança para apresentar as ações disponíveis.

  7. Para alterar a definição de uma operação de segurança, clique na seta para baixo na coluna Valor e selecione Sim ou Não.

    System_CAPS_cautionCuidado

    Ao configurar uma função de segurança personalizada, certifique-se de que não concede aos utilizadores administrativos permissões associadas à nova função de segurança que não sejam necessárias. Por exemplo, o valor Modificar da operação de segurança Funções de Segurança concede aos utilizadores administrativos a permissão para editar qualquer função de segurança acessível, mesmo que não se encontrem associados a essa função de segurança.

  8. Quando tiver concluído a configuração das atribuições de operações de segurança, clique em OK para guardar a nova função de segurança.

A associação de um âmbito de segurança para um objeto é gerida a partir do objeto e não a partir do âmbito de segurança. As únicas configurações diretas suportadas pelos âmbitos de segurança são as alterações ao respetivo nome e descrição. Para alterar o nome e descrição de um âmbito de segurança ao visualizar as propriedades do âmbito, terá de possuir a permissão Modificar no objeto com capacidade de segurança Âmbitos de Segurança.

Ao criar um novo objeto no Gestor de configuração, o novo objeto é associado a cada âmbito de segurança que se encontra associado às funções de segurança da conta utilizada para criar o objeto, quando esses âmbitos de segurança fornecem a permissão Criar ou a permissão Definir Âmbito de Segurança. Só após a criação do objeto poderá alterar os âmbitos de segurança a que este se encontra associado.

Por exemplo, é-lhe atribuída uma função de segurança que lhe concede permissão para criar um novo grupo de limites. Ao criar um novo grupo de limites, não tem nenhuma opção a que possa atribuir âmbitos de segurança específicos. Em vez disso, os âmbitos de segurança disponíveis a partir das funções de segurança a que se encontra associado são automaticamente atribuídos ao novo grupo de limites. Após guardar o novo grupo de limites, poderá editar os âmbitos de segurança que lhe estão associados.

Utilize o procedimento seguinte para configurar os âmbitos de segurança atribuídos a um objeto.

  1. Na consola do Gestor de configuração, selecione um objeto que suporte a atribuição a um âmbito de segurança.

  2. No separador Home Page, no grupo Classificar, clique em Definir Âmbitos de Segurança.

  3. Na caixa de diálogo Definir Âmbitos de Segurança, selecione ou desmarque os âmbitos de segurança a que este objeto se encontra associado. Cada objeto que suporte âmbitos de segurança tem de ser atribuído a pelo menos um âmbito de segurança.

  4. Clique em OK para guardar os âmbitos de segurança atribuídos.

    System_CAPS_noteNota

    Ao criar um novo objeto, poderá atribuir o objeto a vários âmbitos de segurança. Para modificar o número de âmbitos de segurança associados ao objeto, terá de alterar esta atribuição após a criação do objeto.

Não existem procedimentos para configurar coleções para administração baseada em funções. As coleções não têm uma configuração de administração baseada em funções. Em vez disso, são atribuídas a um utilizador administrativo quando este é configurado. As operações de segurança da coleção ativadas nas funções de segurança atribuídas aos utilizadores determinam as permissões que um utilizador administrativo possui para as coleções e recursos de coleção (membros da coleção).

Quando um utilizador administrativo tem permissões para uma coleção, também tem permissões para coleções que estejam limitadas a essa coleção. Por exemplo, a sua organização utiliza uma coleção com o nome Todos os Ambientes de Trabalho e existe uma coleção com o nome Todos os Ambientes de Trabalho da América do Norte que se encontra limitada à coleção Todos os Ambientes de Trabalho. Se um utilizador administrativo tiver permissões para Todos os Ambientes de Trabalho, também terá as mesmas permissões para a coleção Todos os Ambientes de Trabalho da América do Norte. Além disso, um utilizador administrativo não poderá utilizar a permissão Eliminar ou Modificar numa coleção que lhe esteja diretamente atribuída, mas poderá utilizar essas permissões nas coleções que estejam limitadas a essa coleção. Utilizando o exemplo anterior, o utilizador administrativo poderá eliminar ou modificar a coleção Todos os Ambientes de Trabalho da América do Norte, mas não poderá eliminar nem modificar a coleção Todos os Ambientes de Trabalho.

Para conceder a utilizadores individuais ou membros de um grupo de segurança acesso para gerir o Gestor de configuração, é necessário criar um utilizador administrativo no Gestor de configuração e especificar a conta do Windows do Utilizador ou Grupo de Utilizadores. Deve ser atribuído a cada utilizador administrativo do Gestor de configuração, pelo menos, um âmbito de segurança e uma função de segurança. Também é possível atribuir coleções para limitar o âmbito administrativo do utilizador administrativo.

Utilize os procedimentos seguintes para criar novos utilizadores administrativos.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. No separador Home Page, no grupo Criar, clique em Adicionar Utilizador ou Grupo.

  4. Clique em Procurar e, em seguida, selecione a conta de utilizador ou grupo a utilizar para este novo utilizador administrativo.

    System_CAPS_noteNota

    Para a administração baseada em consolas, apenas podem ser especificados utilizadores de domínio ou grupos de segurança como utilizadores administrativos.

  5. Para Funções de segurança associadas, clique em Adicionar para abrir uma lista de funções de segurança disponíveis, selecione a caixa de verificação de uma ou mais funções de segurança e, em seguida, clique em OK.

  6. Selecione uma das duas opções seguintes para definir o comportamento do objeto com capacidade de segurança para o novo utilizador:

    • Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas: Esta opção associa o utilizador administrativo ao âmbito de segurança Todos e às coleções incorporadas do nível de raiz para Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores. As funções de segurança atribuídas ao utilizador definem o acesso aos objetos. Os novos objetos criados por este utilizador administrativo são atribuídos ao âmbito de segurança Predefinido.

    • Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados: Por predefinição, esta opção associa o utilizador administrativo ao âmbito de segurança Predefinido e às coleções Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores. No entanto, os âmbitos de segurança e coleções reais estão limitados aos que estão associados à conta utilizada para criar o novo utilizador administrativo. Esta opção suporta a adição ou remoção de âmbitos de segurança e de coleções para personalizar o âmbito administrativo do utilizador administrativo.

    System_CAPS_importantImportante

    As opções anteriores associam cada âmbito de segurança atribuído, bem como cada coleção atribuída, a cada uma das funções de segurança atribuídas ao utilizador administrativo. É possível utilizar uma terceira opção, Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo, para associar funções de segurança individuais a coleções e âmbitos de segurança específicos. Esta terceira opção está disponível após a criação do novo utilizador administrativo, quando este é modificado.

  7. Dependendo da seleção no passo 6, execute a ação seguinte:

    • Se selecionou Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas, clique em OK para concluir este procedimento.

    • Se selecionou Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados, pode clicar em Adicionar para selecionar coleções e âmbitos de segurança adicionais. Também pode selecionar um ou mais objetos na lista e, em seguida, clicar em Remover para removê-los. Clique em OK para concluir este procedimento.

Para modificar o âmbito administrativo de um utilizador administrativo, adicione ou remova funções de segurança, âmbitos de segurança e coleções que estejam associados ao utilizador. Cada utilizador administrativo tem de estar associado, pelo menos, a uma função de segurança e a um âmbito de segurança. Poderá ser necessário atribuir uma ou mais coleções ao âmbito administrativo do utilizador. A maior parte das funções de segurança interagem com coleções e não funcionam corretamente sem uma coleção atribuída.

Quando modifica um utilizador administrativo, pode alterar o comportamento para a forma como os objetos com capacidade de segurança são associados às funções de segurança atribuídas. Os três comportamentos que pode selecionar são os seguintes:

  • Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas: Esta opção associa o utilizador administrativo ao âmbito Todos e às coleções incorporadas do nível de raiz para Todos os Sistemas e Todos os Utilizadores e Grupos de Utilizadores. As funções de segurança atribuídas ao utilizador definem o acesso aos objetos.

  • Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados: Esta opção associa o utilizador administrativo aos mesmos âmbitos de segurança e coleções que estão associados à conta utilizada para configurar o utilizador administrativo. Esta opção suporta a adição ou remoção de funções de segurança e de coleções para personalizar o âmbito administrativo do utilizador administrativo.

  • Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo: Esta opção permite criar associações específicas entre funções de segurança individuais e coleções e âmbitos de segurança específicos do utilizador.

    System_CAPS_noteNota

    Esta opção está disponível apenas quando modificar as propriedades de um utilizador administrativo.

A configuração atual do comportamento do objeto com capacidade de segurança altera o processo utilizado para atribuir funções de segurança adicionais. Utilize os procedimentos seguintes que são baseados nas diferentes opções para objetos com capacidade de segurança para o ajudar a gerir um utilizador administrativo.

Utilize o procedimento seguinte para ver e gerir a configuração dos objetos com capacidade de segurança de um utilizador administrativo:

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para ver a configuração atual dos objetos com capacidade de segurança deste utilizador administrativo.

  6. Para modificar o comportamento do objeto com capacidade de segurança, selecione uma nova opção para o comportamento do objeto com capacidade de segurança. Após alterar esta configuração, utilize o procedimento adequado para obter orientações adicionais para configurar âmbitos de segurança, coleções e funções de segurança para este utilizador administrativo.

  7. Clique em OK para concluir o procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tenha o comportamento de objeto com capacidade de segurança definido para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas:

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador administrativo, clique em Adicionar, selecione a caixa de verificação de cada função de segurança adicional que pretende adicionar e, em seguida, clique em OK.

    • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em Remover.

  7. Para modificar o comportamento do objeto com capacidade de segurança, clique no separador Âmbitos de Segurança e selecione uma nova opção para o comportamento do objeto com capacidade de segurança. Após alterar esta configuração, utilize o procedimento adequado para obter orientações adicionais para configurar âmbitos de segurança, coleções e funções de segurança para este utilizador administrativo.

    System_CAPS_noteNota

    Quando o comportamento do objeto com capacidade de segurança estiver definido para Todos os objetos com capacidade de segurança que são relevantes para as respetivas funções de segurança associadas, não poderá adicionar ou remover coleções e âmbitos de segurança específicos.

  8. Clique em OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tem o comportamento de objeto com capacidade de segurança definido para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador está configurado para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador, clique em Adicionar, selecione a caixa de verificação de cada função de segurança adicional que pretende adicionar e, em seguida, clique em OK.

    • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em Remover.

  7. Para modificar as coleções e os âmbitos de segurança associados a funções de segurança, clique no separador Âmbitos de Segurança.

    • Para associar novos âmbitos de segurança ou coleções a todas as funções de segurança que estão atribuídas a este utilizador administrativo, clique em Adicionar e selecione uma das quatro opções. Se selecionar Âmbito de Segurança ou Coleção, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em OK.

    • Para remover um âmbito de segurança ou uma coleção, selecione o objeto e, em seguida, clique em Remover.

  8. Clique em OK para concluir este procedimento.

Utilize o procedimento seguinte para modificar um utilizador administrativo que tem o comportamento de objeto com capacidade de segurança definido para Apenas objetos com capacidade de segurança conforme determinado pelas funções de segurança do utilizador administrativo.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Segurança e clique em Utilizadores Administrativos.

  3. Selecione o utilizador administrativo que pretende modificar.

  4. No separador Home Page, no grupo Propriedades, clique em Propriedades.

  5. Clique no separador Âmbitos de Segurança para confirmar que o utilizador administrativo está configurado para Apenas objetos com capacidade de segurança em coleções ou âmbitos de segurança especificados.

  6. Para modificar as funções de segurança atribuídas, clique no separador Funções de Segurança.

    • Para atribuir funções de segurança adicionais a este utilizador administrativo, clique em Adicionar. Na caixa de diálogo Adicionar Função de Segurança, selecione uma ou mais funções de segurança disponíveis, clique em Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar Âmbito de Segurança ou Coleção, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em OK.

      System_CAPS_noteNota

      Tem de configurar, pelo menos, um âmbito de segurança para que as funções de segurança selecionadas possam ser atribuídas ao utilizador administrativo. Quando seleciona várias funções de segurança, cada coleção e âmbito de segurança que configura são associados a cada um dos perfis de segurança selecionados.

    • Para remover funções de segurança, selecione uma ou mais funções de segurança na lista e clique em Remover.

  7. Para modificar as coleções e os âmbitos de segurança associados a uma função de segurança específica, clique no separador Âmbitos de Segurança, selecione a função de segurança e, em seguida, clique em Editar.

    • Para associar novos objetos a esta função de segurança, clique em Adicionar e selecione um tipo de objeto para associar às funções de segurança selecionadas. Se selecionar Âmbito de Segurança ou Coleção, selecione a caixa de verificação de um ou mais objetos para concluir a seleção e clique em OK.

      System_CAPS_noteNota

      Tem de configurar, pelo menos, um âmbito de segurança.

    • Para remover uma coleção ou um âmbito de segurança associados a esta função de segurança, selecione o objeto e, em seguida, clique em Remover.

    • Quando tiver terminado a modificação dos objetos associados, clique em OK.

  8. Clique em OK para concluir este procedimento.

    System_CAPS_cautionCuidado

    Quando uma função de segurança concede a utilizadores administrativos a permissão de implementação de coleção, esses utilizadores administrativos podem distribuir objetos de qualquer âmbito de segurança para o qual possuam permissões de leitura de objetos, mesmo que esse âmbito de segurança esteja associado a outra função de segurança.

Mostrar: