設定 Configuration Manager 的安全性

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

如果您想要使用公開金鑰基礎結構 (PKI) 憑證,和使用 Internet Information Services (IIS) 的站台系統進行用戶端連線,請使用下列程序設定這些憑證的設定。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [站台設定],按一下 [站台],然後按一下要設定的主要站台。

  3. 在 [首頁] 索引標籤的 [內容] 群組中按一下 [內容],然後按一下 [用戶端電腦通訊] 索引標籤。

    System_CAPS_note注意事項

    這個索引標籤只能在主要站台使用。 如果沒有看到 [用戶端電腦通訊] 索引標籤,請確認您未連線到管理中心網站或次要站台。

  4. 當您想要讓指派給站台的用戶端,在連線到使用 IIS 的站台系統時永遠使用用戶端 PKI 憑證,請按一下 [僅 HTTPS]。 或者,當您不需要讓用戶端使用 PKI 憑證時,請按一下 [HTTPS 或 HTTP]。

  5. 如果選取的是 [HTTPS 或 HTTP],請在您想要使用用戶端 PKI 憑證進行 HTTP 連線時,按一下 [使用可用的 PKI 用戶端憑證 (用戶端驗證功能)]。 用戶端會改用此憑證而非使用自我簽署憑證,以對站台系統做自我驗證。 如果您選取 [僅 HTTPS],則會自動選取此選項。

    System_CAPS_note注意事項

    當用戶端被偵測到在網際網路上,或是對僅使用網際網路的用戶端管理進行設定時,這些用戶端永遠都會使用用戶端 PKI 憑證。

  6. 當用戶端有一個以上有效的 PKI 用戶端憑證可用時,可按一下 [修改] 設定所選的用戶端選擇方法,然後按一下 [確定]。

    System_CAPS_note注意事項

    如需有關用戶端憑證選擇方法的詳細資訊,請參閱規劃 PKI 用戶端憑證選擇

  7. 選取或清除讓用戶端檢查憑證撤銷清單 (CRL) 的核取方塊。

    System_CAPS_note注意事項

    如需用戶端 CRL 檢查的詳細資訊,請參閱規劃 PKI 憑證撤銷

  8. 如果必須為用戶端指定受信任根憑證授權單位 (CA) 憑證,請按一下 [設定],匯入根 CA 憑證檔案,然後按一下 [確定]。

    System_CAPS_note注意事項

    如需這項設定的詳細資訊,請參閱規劃 PKI 受信任根憑證及憑證簽發者清單

  9. 按一下 [確定] 關閉站台的內容對話方塊。

為階層中的所有主要站台重複此程序。

為站台系統設定站台之所有用戶端皆支援的最安全簽署及加密設定。 這些設定在您讓用戶端使用自我簽署憑證透過 HTTP 與站台系統通訊時,尤其重要。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [站台設定],按一下 [站台],然後按一下要設定的主要站台。

  3. 在 [首頁] 索引標籤的 [內容] 群組中按一下 [內容],然後按一下 [簽署和加密] 索引標籤。

    System_CAPS_note注意事項

    這個索引標籤只能在主要站台使用。 如果沒有看到 [簽署和加密] 索引標籤,請確認您未連線到管理中心網站或次要站台。

  4. 設定所需的簽署及加密選項,然後按一下 [確定]。

    System_CAPS_warning警告

    請先驗證可能指派給站台的所有用戶端皆可支援此雜湊演算法,或者擁有有效的 PKI 用戶端驗證憑證,然後再選取 [需要 SHA-256]。 您可能必須在用戶端上安裝更新或 Hotfix,以支援 SHA-256 。 例如,執行 Windows Server 2003 SP2 的電腦必須安裝 知識庫文章 938397 中所參照的 Hotfix。

    如果您選取此選項,而用戶端不支援 SHA-256 及使用自我簽署憑證,則 Configuration Manager 會拒絕這些設定。 在此案例中,SMS_MP_CONTROL_MANAGER 元件會記錄訊息識別碼 5443。

  5. 按一下 [確定] 關閉站台的 [內容] 對話方塊。

為階層中的所有主要站台重複此程序。

使用本節中的資訊,協助您在 Configuration Manager 中設定以角色為基礎的系統管理。 以角色為基礎的系統管理結合了安全性角色、安全性範圍和指派的集合,為每個系統管理使用者定義系統管理範圍。 系統管理範圍包含系統管理使用者可以在 Configuration Manager 主控台中檢視的物件,以及與這些系統管理使用者擁有執行權限的物件相關的工作。 以角色為基礎的系統管理設定會套用到階層中的每個站台。

下列程序中的資訊,可協助您建立及設定以角色為基礎的系統管理及相關的安全性設定。

System_CAPS_important重要事項

以角色為基礎的系統管理會使用安全性角色、安全性範圍與集合。 這些組合用於定義每個系統管理使用者的系統管理範圍。 您自己的系統管理範圍,定義您在為其他系統管理使用者設定以角色為基礎的系統管理時,可指派的物件和設定。 如需規劃以角色為基礎之系統管理的詳細資訊,請參閱規劃 Configuration Manager 中的安全性主題中的規劃以角色為基礎的系統管理一節。

Configuration Manager 提供數個內建的安全性角色。 如果需要其他安全性角色,您可以建立現有安全性角色的複本,然後再修改該複本,以建立自訂安全性角色。 您可以建立自訂安全性角色,授與系統管理使用者其他安全性權限,這些權限是系統管理使用者所需,但未包含在目前指派的安全性角色中。 藉由使用自訂安全性角色,您可以只授與使用者所需的權限,並避免為使用者指派超過所需權限的安全性角色。

利用下列程序,使用現有的安全性角色作為範本,建立新的安全性角色。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [安全性角色]。

    使用下列其中一個程序,建立新的安全性角色:

    • 若要建立新的自訂安全性角色,請執行下列動作:

      1. 選取現有的安全性角色,當成新安全性角色的來源使用。

      2. 在 [首頁] 索引標籤的 [安全性角色] 群組中,按一下 [複製]。 此動作會建立來源安全性角色的複本。

      3. 在複製安全性角色精靈中,為新的自訂安全性角色指定 [名稱]。

      4. 在 [安全性作業指派] 中,展開 [安全性作業] 節點,顯示可用的動作。

      5. 若要變更安全性作業的設定,請按一下 [值] 欄的向下箭號,然後選取 [是] 或 [否]。

        System_CAPS_caution警告

        當您設定自訂安全性角色時,不得授與和新安全性角色關聯之系統管理使用者不需要的權限。 例如,[安全性角色] 安全性作業的 [修改] 值會授與系統管理使用者權限以編輯可存取的安全性角色,即使這些使用者與該安全性角色沒有任何關聯。

      6. 設定權限後,按一下 [確定] 儲存新的安全性角色。

    • 若要匯入從其他 System Center 2012 Configuration Manager 階層匯出的安全性角色,請執行下列動作:

      1. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [匯入安全性角色]。

      2. 指定包含您要匯入之安全性角色設定的 .xml 檔案,然後按一下 [開啟] 以完成程序,並儲存安全性角色。

        System_CAPS_note注意事項

        匯入安全性角色後,您可以編輯安全性角色內容,以變更與安全性角色相關聯的物件權限。

針對安全性角色定義的安全性權限群組,稱為安全性作業指派。 安全性作業指派代表一組物件類型,和可供每個物件類型使用的動作。 您可以修改可讓任何自訂安全性角色使用的安全性作業,但無法修改 Configuration Manager 提供的內建安全性角色。

利用下列程序修改安全性角色的安全性作業。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [安全性角色]。

  3. 選取要修改的自訂安全性角色。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [權限] 索引標籤。

  6. 在 [安全性作業指派] 中,展開 [安全性作業] 節點,顯示可用的動作。

  7. 若要變更安全性作業的設定,請按一下 [值] 欄的向下箭號,然後選取 [是] 或 [否]。

    System_CAPS_caution警告

    當您設定自訂安全性角色時,不得授與和新安全性角色關聯之系統管理使用者不需要的權限。 例如,[安全性角色] 安全性作業的 [修改] 值會授與系統管理使用者權限以編輯可存取的安全性角色,即使這些使用者與該安全性角色沒有任何關聯。

  8. 當您完成安全性作業指派時,可按一下 [確定] 儲存新的安全性角色。

您可以管理來自物件的物件而不是來自安全性範圍的物件安全性範圍關聯。 安全性範圍唯一支援的直接設定,是變更其名稱和描述。 若要在檢視安全性範圍內容時變更安全性範圍的名稱和描述,您必須擁有 [安全性範圍] 安全物件的 [修改] 權限。

當您在 Configuration Manager 建立新的物件時,新的物件與每個安全性範圍相關聯,其中該安全性範圍與提供 [建立] 權限,或 [設定安全性範圍] 權限的安全性角色時,用來建立此物件的帳戶安全性角色相關聯 。 只有在建立物件後,您才可以變更與該物件關聯的安全性範圍。

例如,您獲指派一個安全性角色,授與您建立新界限群組的權限。 當您建立新的界限群組時,無法選擇可指派的特定安全性範圍。 不過,安全性範圍可以透過與自動指派給新界限群組建立關聯的安全性角色進行存取。 儲存新界限群組後,您就可以編輯與新界限群組關聯的安全性範圍。

利用下列程序設定指派給物件的安全性範圍。

  1. 在 Configuration Manager 主控台中,選取支援指派給安全性範圍的物件。

  2. 在 [首頁] 索引標籤的 [分類] 群組中,按一下 [設定安全性範圍]。

  3. 在 [設定安全性範圍] 對話方塊中,選取或清除與此物件關聯的安全性範圍。 每個支援安全性範圍的物件,必須至少指派給一個安全性範圍。

  4. 按一下 [確定] 以儲存指派的安全性範圍。

    System_CAPS_note注意事項

    當您建立新的物件時,可以將物件指派給多個安全性範圍。 若要修改與物件關聯的安全性範圍數目,您必須在建立物件後變更此指派。

目前沒有程序可為以角色為基礎的系統管理設定集合。 集合沒有以角色為基礎的系統管理設定,但您可以在設定系統管理使用者時,改為將集合指派給系統管理使用者。 在已指派安全性角色的使用者中啟用的集合安全性作業,可判斷系統管理使用者是否有集合與集合資源 (集合成員) 的權限。

當系統管理使用者擁有某個集合的權限時,表示他們也擁有受限於該集合的集合權限。 例如,您的組織使用名為 All Desktops 的集合,而其中存在名為 All North America Desktops 的集合,該集合受限於 All Desktops 集合。 如果系統管理使用者擁有 All Desktops 的權限,則他們在 All North America Desktops 集合也擁有相同權限。 此外,系統管理使用者無法在直接指派給他們的集合上使用 [刪除] 或 [修改] 權限,但可以在受限於該集合的其他集合上使用這些權限。 在先前的範例中,系統管理員可以刪除或修改 All North America Desktops 集合,但無法刪除或修改 All Desktops 集合。

若要授與個人或安全性群組成員管理 Configuration Manager 的存取權限,請在 Configuration Manager 中建立系統管理使用者,並指定 User 或 User Group 的 Windows 帳戶。Configuration Manager 中的每一位系統管理使用者,都必須至少有一個指派的安全性角色和安全性範圍。 您也可以指派集合來限制系統管理使用者的系統管理範圍。

利用下列程序建立新的系統管理使用者。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [系統管理使用者]。

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [新增使用者或群組]。

  4. 按一下 [瀏覽],然後選取要用於這個新的系統管理使用者的使用者帳戶或群組。

    System_CAPS_note注意事項

    對於主控台架構的系統管理,只能指定網域使用者或安全性群組做為系統管理使用者。

  5. 針對 [相關聯的安全性角色] 按一下 [新增],開啟可用安全性角色的清單,選取一個或多個安全性角色的核取方塊,然後按一下 [確定]。

  6. 選取下列兩個選項的其中一個,定義新使用者的安全物件行為:

    • 與相關聯安全性角色相關的所有安全物件:此選項會將系統管理使用者與 [全部] 安全性範圍,及根層級的 [所有系統] 和 [所有使用者和使用者群組] 內建集合產生關聯。 指派至使用者的安全性角色會定義物件存取權限。 此系統管理使用者建立的新物件會指派至 [預設] 安全性範圍。

    • 僅限指定的安全性範圍或集合中的安全物件:根據預設,此選項會將系統管理使用者與 [預設] 安全性範圍,及 [所有系統] 和 [所有使用者和使用者群組] 集合產生關聯。 不過,實際的安全性範圍和集合會限於與您用來建立新系統管理使用者的帳戶相關聯的範圍和集合。 此選項支援加入或移除安全性範圍和集合,以自訂系統管理使用者的系統管理範圍。

    System_CAPS_important重要事項

    上述選項會將每個指派的安全性範圍和集合,與指派至系統管理使用者的每個安全性角色產生關聯。 第三個選項 [僅限系統管理使用者的安全性角色所決定的安全物件] 可用來將個別安全性角色與特定安全性範圍和集合產生關聯。 第三個選項會在您建立新的系統管理使用者後,修改系統管理使用者時提供。

  7. 根據您在步驟 6 中的選取項目,採取下列動作:

    • 如果您選取 [與相關聯安全性角色相關的所有安全物件],請按一下 [確定] 完成此程序。

    • 如果您選取 [僅限指定的安全性範圍或集合中的安全物件],可以按一下 [新增] 選取其他集合和安全性範圍,或選取清單中的一個或多個物件,然後按一下 [移除] 將它們移除。 按一下 [確定] 完成此程序。

您可以藉由新增或移除與使用者相關聯的安全性角色、安全性範圍和集合,修改系統管理使用者的系統管理範圍。 每一位系統管理使用者都必須至少與一個安全性角色和一個安全性範圍相關聯。 您可能需要指派一個或多個集合至使用者的系統管理範圍。 大部分安全性角色是與集合互動,沒有指派的集合時會無法正常運作。

當您修改系統管理使用者時,可以變更安全物件與指派的安全性角色相關聯的行為。 您可以選取的三種行為如下所述:

  • 與相關聯安全性角色相關的所有安全物件:此選項會將系統管理使用者與 [全部] 範圍,及根層級的 [所有系統] 和 [所有使用者和使用者群組] 內建集合產生關聯。 指派至使用者的安全性角色會定義物件存取權限。

  • 僅限指定的安全性範圍或集合中的安全物件:此選項會將系統管理使用者,與您用來設定系統管理使用者的帳戶所關聯的相同安全性範圍和集合產生關聯。 此選項支援加入或移除安全性角色和集合,以自訂系統管理使用者的系統管理範圍。

  • 僅限系統管理使用者的安全性角色所決定的安全物件:此選項可讓您在個別安全性角色與使用者的特定安全性範圍和集合之間建立特定關聯。

    System_CAPS_note注意事項

    此選項僅在您修改系統管理使用者的內容時提供。

安全物件行為的目前設定會改變您用來指派其他安全性角色的程序。 利用下列根據不同安全物件選項的程序,可幫助您管理系統管理使用者。

利用下列程序檢視及管理系統管理使用者的安全物件設定。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [系統管理使用者]。

  3. 選取您要修改的系統管理使用者。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [安全性範圍] 索引標籤,檢視此系統管理使用者目前的安全物件設定。

  6. 若要修改安全物件行為,請為安全物件行為選取新選項。 變更此設定後,請參考適當的程序,以取得設定此系統管理使用者的安全性範圍和集合,以及安全性角色的進一步指引。

  7. 按一下 [確定] 完成程序。

利用下列程序修改安全物件行為設為 [與相關聯安全性角色相關的所有安全物件] 的系統管理使用者:

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [系統管理使用者]。

  3. 選取您要修改的系統管理使用者。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [安全性範圍] 索引標籤,確認系統管理使用者設定為使用 [與相關聯安全性角色相關的所有安全物件]。

  6. 若要修改指派的安全性角色,請按一下 [安全性角色] 索引標籤。

    • 若要指派其他安全性角色至此系統管理使用者,請按一下 [新增],選取您要指派的每一個其他安全性角色的核取方塊,然後按一下 [確定]。

    • 若要移除安全性角色,請從清單中選取一個或多個安全性角色,然後按一下 [移除]。

  7. 若要修改安全物件行為,請按一下 [安全性範圍] 索引標籤,並且為安全物件行為選取新選項。 變更此設定後,請參考適當的程序,以取得設定此系統管理使用者的安全性範圍和集合,以及安全性角色的進一步指引。

    System_CAPS_note注意事項

    當安全物件行為設為 [與相關聯安全性角色相關的所有安全物件] 時,您無法新增或移除特定安全性範圍和集合。

  8. 按一下 [確定] 完成此程序。

利用下列程序修改安全物件行為設為 [僅限指定的安全性範圍或集合中的安全物件] 的系統管理使用者。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [系統管理使用者]。

  3. 選取您要修改的系統管理使用者。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [安全性範圍] 索引標籤,確認使用者設定為使用 [僅限指定的安全性範圍或集合中的安全物件]。

  6. 若要修改指派的安全性角色,請按一下 [安全性角色] 索引標籤。

    • 若要指派其他安全性角色至此使用者,請按一下 [新增],選取您要指派的每一個其他安全性角色的核取方塊,然後按一下 [確定]。

    • 若要移除安全性角色,請從清單中選取一個或多個安全性角色,然後按一下 [移除]。

  7. 若要修改與安全性角色相關聯的安全性範圍和集合,請按一下 [安全性範圍] 索引標籤。

    • 若要將新的安全性範圍或集合,與指派至此系統管理使用者的所有安全性角色產生關聯,請按一下 [新增] 並選取四個選項的其中一個。 如果您選取 [安全性範圍] 或 [集合],請選取一個或多個物件的核取方塊來完成該選取項目,然後按一下 [確定]。

    • 若要移除安全性範圍或集合,請選取物件,然後按一下 [移除]。

  8. 按一下 [確定] 完成此程序。

利用下列程序修改安全物件行為設為 [僅限系統管理使用者的安全性角色所決定的安全物件] 的系統管理使用者。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [系統管理使用者]。

  3. 選取您要修改的系統管理使用者。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [安全性範圍] 索引標籤,確認系統管理使用者設定為使用 [僅限指定的安全性範圍或集合中的安全物件]。

  6. 若要修改指派的安全性角色,請按一下 [安全性角色] 索引標籤。

    • 若要指派其他安全性角色至此系統管理使用者,請按一下 [新增]。 在 [新增安全性角色] 對話方塊中,選取一個或多個可用的安全性角色,按一下 [新增],然後選取要與所選取安全性角色產生關聯的物件類型。 如果您選取 [安全性範圍] 或 [集合],請選取一個或多個物件的核取方塊來完成該選取項目,然後按一下 [確定]。

      System_CAPS_note注意事項

      您必須至少設定一個安全性範圍,所選取的安全性角色才能指派至系統管理使用者。 若您選取多個安全性角色,您設定的每一個安全性範圍和集合都會與每一個選取的安全性角色產生關聯。

    • 若要移除安全性角色,請從清單中選取一個或多個安全性角色,然後按一下 [移除]。

  7. 若要修改與特定安全性角色相關聯的安全性範圍和集合,請按一下 [安全性範圍] 索引標籤,選取安全性角色,然後按一下 [編輯]。

    • 若要將新物件與此安全性角色產生關聯,請按一下 [新增],然後選取要與所選取安全性角色產生關聯的物件類型。 如果您選取 [安全性範圍] 或 [集合],請選取一個或多個物件的核取方塊來完成該選取項目,然後按一下 [確定]。

      System_CAPS_note注意事項

      您必須至少設定一個安全性範圍。

    • 若要移除與此安全性角色相關聯的安全性範圍或集合,請選取物件,然後按一下 [移除]。

    • 完成修改相關聯的物件時,按一下 [確定]。

  8. 按一下 [確定] 完成此程序。

    System_CAPS_caution警告

    當安全性角色授與系統管理使用者集合部署權限時,這些系統管理使用者就能從本身具有物件 [讀取] 權限的任何安全性範圍發佈物件,即使該安全性範圍是與不同的安全性角色相關聯。

Configuration Manager 支援用於多種不同工作及用途的 Windows 帳戶。

利用下列程序檢視針對不同工作設定的帳戶,以及管理 Configuration Manager 用於每個帳戶的密碼。

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [安全性],然後按一下 [帳戶],以檢視針對 Configuration Manager 設定的帳戶。

  3. 若要變更針對 Configuration Manager 所設定帳戶的密碼,請選取帳戶。

  4. 在 [首頁] 索引標籤的 [內容] 群組中,按一下 [內容]。

  5. 按一下 [設定] 以開啟 [Windows 使用者帳戶] 對話方塊,並指定 Configuration Manager 的新密碼,以使用該帳戶。

    System_CAPS_note注意事項

    您指定的密碼必須符合在 [Active Directory 使用者和電腦] 中為帳戶指定的密碼。

  6. 按一下 [確定] 完成程序。

顯示: