使用使用者角色

您可以在使用者可完成的不同角色之間分割 Client Security 系統管理工作,然後授予使用者必要的權限,來執行與適合其指派角色的工作。如果您的組織將部份角色的責任結合在一起,則可視需要結合權限。例如,如果某特定使用者負責執行原則作者和原則部署者的工作,則可將兩個角色的必要權限授予該使用者。

Client Security 工作可歸納為下表所述之角色。接下來的章節將詳細討論各個角色。

角色 描述

Client Security 系統管理員

  • 存取 Client Security 主控台來檢視儀表板和使用 [原則管理] 索引標籤。
  • 執行隨選掃描。
  • 建立、編輯和刪除 Client Security 原則,但不部署原則。
  • 存取 MOM 操作員主控台來調查和解決 Client Security 警示。
  • 在 MOM 系統管理員主控台中執行 Client Security 的相關工作 (選用)。
  • 檢視報表。

原則作者

  • 存取 Client Security 主控台來檢視儀表板和使用 [原則管理] 索引標籤。
  • 建立、編輯和刪除 Client Security 原則。
  • 僅能將原則部署到登錄檔案。
  • 檢視報表。

原則部署者

  • 存取 Client Security 主控台來檢視儀表板和使用 [原則管理] 索引標籤。
  • 建立、編輯和刪除 Client Security 原則。
  • 將原則部署到下列一或多個目標類型:
    • 組織單位 (OU)
    • 安全性群組
    • 群組原則物件 (GPO)
    • 登錄檔案
  • 檢視報表。

警示管理員

  • 存取 MOM 操作員主控台來調查和解決 Client Security 警示。
  • 檢視報表。

報表檢視者

  • 檢視報表。

下表概述每個角色所需的權限。

角色 檢視報表 存取 MOM 操作員主控台 存取集合資料庫 使用群組原則物件 存取 MOM 系統管理員主控台

Client Security 系統管理員

原則作者

原則部署者

是 (如需詳細資訊,請參閱原則部署者角色)。

警示管理員

報表檢視者

儀表板的使用權限分成三個部份,如下所示:

  • 集合資料庫存取權 - 最重要的主控台存取權限是集合資料庫的存取權限。若無此權限,使用者在存取主控台時會收到資料庫連線錯誤。
  • 檢視報表權限 - 若要參閱儀表板的所有圖表資料,使用者需要具有檢視報表的權限。若無此權限,儀表板圖表只會顯示少量的資料。值得注意的是,[14 天記錄] 圖表不會顯示資料。
  • MOM 操作員主控台存取權 - 若要開啟儀表板的 [通知] 下方的連結,使用者必須具備存取 MOM 操作員主控台的權限。若無此權限,MOM 操作員主控台會拒絕使用者存取。對於不需要存取 MOM 操作員主控台的角色,您可以拒絕此權限。

如果需要以群組原則物件、組織單位或安全性群組部署原則,需則要具有其他權限。如需詳細資訊,請參閱原則部署者角色

Client Security 系統管理員角色可讓使用者執行所有 Client Security 工作,但不能將原則部署到組織單位、安全性群組和群組原則物件。因此,Client Security 系統管理員需要其他 Client Security 使用者角色的所有權限 (群組原則權限除外,該權限已授予擔任原則部署者角色的使用者)。

Client Security 系統管理員可使用 MOM 系統管理員主控台來執行這些工作:

  • 修改 Client Security 警示參數,例如 [偵測到超載的電腦] 事件規則中的 [自動核准擱置電腦] 參數。
  • 手動核淮新的或中斷連線的用戶端。
  • 建立和修改 MOM 通知群組。

此外,Client Security 系統管理員啟動隨選掃描的能力,部份取決於存取 MOM 系統管理員主控台的權限,因為系統管理員必須具備權限,才能使用 MOM 將掃描事件放入佇列並予以排程。

如需授予 Client Security 系統管理員角色必要權限的相關資訊,請參閱下列主題:

原則作者角色需要存取 Client Security 主控台,因為您可以使用主控台的 [原則管理] 索引標籤來建立、編輯和刪除 Client Security 原則。

原則作者可建立、編輯和刪除 Client Security 原則,該原則可定義 Client Security 代理程式行為,例如何時發生排程的掃描、Client Security 代理程式是否在掃描前檢查定義更新,及使用者擁有多少 Client Security 代理程式的控制權限。原則作者角色適合下列使用者:您允許其使用原則 (並可將原則部署到登錄檔案)、但不能將原則部署到組織單位、安全性群組或群組原則物件的使用者。

由於主控台會顯示報告資料並提供更新原則的方法,因此原則作者需要具有權限才能檢視報表與更新集合資料庫。

如需授予原則作者角色必要權限的相關資訊,請參閱下列主題:

原則部署者角色需要存取主控台,因為原則部署者必須使用 [原則管理] 索引標籤來部署和解除部署原則。

原則部署者可將 Client Security 原則部署到使用群組原則的三個部署目標類型的其中之一。視目標而定,原則部署者角色所需的權限會有所不同,如下表所示。

部署目標 必要權限
  • 組織單位
  • 安全性群組
  • 網域

原則部署者必須擁有建立、修改、刪除和連結群組原則物件的權限。若為組織單位部署,原則部署者必須在組織單位層級上具有這些權限。若為安全性群組部署,原則部署者必須在網域層級上具有這些權限。

若要部署到遠端網域的組織單位和安全性群組,原則部署者必須在每個遠端網域中具有建立、修改、刪除和連結群組原則物件的權限;然而,您無法將 Client Security 網域的原則部署者,新增到遠端網域的群組原則建立者擁有者全域群組。相反地,您可以:

  • 將原則部署者新增到 Client Security 網域的群組原則建立者擁有者群組。
  • 在每個遠端網域中:
    • 建立網域-本機群組。
    • 使用群組原則管理主控台,將群組原則物件建立權限委派到新的網域-本機群組。
    • 將 Client Security 網域的群組原則建立者擁有者群組新增到您在遠端網域中建立的網域-本機群組。
  • 群組原則物件

原則部署者必須具有編輯群組原則物件的權限,以便將 Client Security 原則散發到用戶端電腦。

Client Security 支援將一個原則部署到多個目標,包含不同類型的目標。建議您直接保留您的部署策略;然而,您也可以選擇部署到 群組原則物件、組織單位或安全性群組。若授予原則部署者權限以部署到組織單位和安全性群組,則可能也必須授予編輯必要群組原則物件的權限;然而,您應該確認這個動作,才能確保順利完成群組原則物件型部署。

報表檢視權限允許原則部署者使用部署摘要報表及查看 Client Security 主控台的報告資料。

如需授予原則部署者角色必要權限的相關資訊,請參閱下列主題:

警示管理員角色可允許使用者存取與解決 MOM 操作員主控台的警示。警示管理員可使用報表檢視功能來檢視警示相關報表,且當警示管理員沒有立即存取已安裝 MOM 操作員主控台的電腦權限時,此功能特別有用。

您可能需要一部用戶端電腦或所有受管理電腦的隨選掃描功能,才能解決部份警示,例如「惡意程式碼爆發」。然而,警示管理員沒有存取 [立即掃描] 按鈕所在的 Client Security 主控台的權限。建議您搭配使用警示管理員與原則作者或原則部署者,以允許警示管理員要求隨選掃描。

如需授予警示管理員角色必要權限的相關資訊,請參閱下列主題:

報表檢視者角色允許使用者存取網頁型的 Client Security 報表,您可以使用報告伺服器的報表管理員來檢視該報表。這個角色適合關心組織的安全性狀態、但不需要執行其他任何 Client Security 工作的使用者使用。

如需授予報表檢視者角色必要權限的相關資訊,請參閱Controlling report-viewing permission

顯示: