Configuration de la sécurité pour Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Cette rubrique s'affiche dans le guide Administration de site pour System Center 2012 Configuration Manager et dans le guide Sécurité et confidentialité pour System Center 2012 Configuration Manager.
Utilisez les informations de cette rubrique pour vous aider à configurer les options de sécurité suivantes :
Configurer les paramètres pour les certificats client PKI
Configurer la signature et le chiffrement
Configurer l'administration basée sur des rôles
Gérer les comptes qui sont utilisés par Configuration Manager
Configurer les paramètres pour les certificats client PKI
Si vous souhaitez utiliser des certificats PKI (infrastructure à clés publiques) pour les connexions client aux systèmes de site utilisant les services IIS (Internet Information Services), la procédure suivante vous permet de configurer les paramètres pour ces certificats.
Pour configurer des paramètres de certificat client PKI
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Configuration du site, cliquez sur Sites, puis sélectionnez le site principal à configurer.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés, puis cliquez sur l'onglet Communication de l'ordinateur client.
Notes
Cet onglet est disponible uniquement sur un site principal. Si vous ne voyez pas l'onglet Communication de l'ordinateur client, vérifiez que vous n'êtes pas connecté à un site d'administration centrale ni à un site secondaire.
-
Cliquez sur HTTPS uniquement lorsque vous souhaitez que les clients attribués au site utilisent toujours un certificat client PKI lorsqu'ils se connectent aux systèmes de site qui utilisent IIS. Ou bien, cliquez sur HTTPS ou HTTP lorsqu'il n'est pas nécessaire que clients utilisent des certificats PKI.
-
Si vous avez sélectionné HTTPS ou HTTP, cliquez sur Utiliser le certificat client PKI (fonctionnalité d'authentification client) si possible lorsque vous souhaitez utiliser un certificat client PKI pour des connexions HTTP. Le client utilise ce certificat au lieu d'un certificat auto-signé pour s'authentifier auprès des systèmes de site. Cette option est automatiquement sélectionnée si vous sélectionnez HTTPS uniquement.
Notes
Lorsque des clients sont détectés sur Internet ou qu''ils sont configurés pour la gestion des clients Internet uniquement, ils utilisent toujours un certificat client PKI.
-
Cliquez sur Modifier pour configurer votre méthode de sélection de client lorsque plusieurs certificats client PKI valides sont disponibles sur un client, puis cliquez sur OK.
Notes
Pour plus d'informations sur la méthode de sélection de certificat client, consultez Planification de la sélection des certificats client PKI.
-
Activez ou désactivez la case à cocher pour permettre aux clients de vérifier la liste de révocation de certificats.
Notes
Pour plus d'informations sur la vérification de la liste de révocation des certificats pour les clients, consultez Planification de la révocation de certificats PKI.
-
Si vous devez spécifier des certificats d'autorité de certification racine approuvés pour les clients, cliquez sur Définir, importez les fichiers de certificats d'autorité de certification racine, puis cliquez sur OK.
Notes
Pour plus d'informations sur ce paramètre, consultez Planification des certificats racine approuvés PKI et de la liste des émetteurs de certificats.
-
Cliquez sur OK pour fermer la boîte de dialogue des propriétés du site.
Répétez cette procédure pour tous les sites principaux de la hiérarchie.
Configurer la signature et le chiffrement
Configurez les paramètres de signature et de chiffrement les plus sécurisés pour les systèmes de site pris en charge par tous les clients du site. Ces paramètres sont particulièrement importants lorsque vous permettez aux clients de communiquer avec les systèmes de site à l'aide de certificats auto-signés via HTTP.
Pour configurer la signature et le chiffrement pour un site
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Configuration du site, cliquez sur Sites, puis sélectionnez le site principal à configurer.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés, puis cliquez sur l'onglet Signature et chiffrement.
Notes
Cet onglet est disponible uniquement sur un site principal. Si vous ne voyez pas l'onglet Signature et chiffrement, vérifiez que vous n'êtes pas connecté à un site d'administration centrale ni à un site secondaire.
-
Configurez les options de signature et de chiffrement de votre choix, puis cliquez sur OK.
Avertissement Ne sélectionnez pas l'option Demander SHA-256 sans vérifier d'abord que tous les clients susceptibles d'être attribués au site peuvent prendre en charge l'algorithme de hachage ou qu''ils disposent d'un certificat d'authentification client PKI valide. Vous devrez peut-être installer des mises à jour ou des correctifs logiciels sur les clients pour prendre en charge SHA-256. Par exemple, les ordinateurs qui exécutent Windows Server 2003 SP2 doivent installer un correctif qui est référencé dans l'article 938397 de la Base de connaissances Microsoft.
Si vous sélectionnez cette option, et que les clients ne prennent en charge la fonctionnalité SHA-256 et utilisent des certificats auto-signés, Configuration Manager les rejette. Dans ce scénario, le composant SMS_MP_CONTROL_MANAGER enregistre l'ID de message 5443.
-
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du site.
Répétez cette procédure pour tous les sites principaux de la hiérarchie.
Configurer l'administration basée sur des rôles
Utilisez les informations de cette section pour vous aider à configurer l'administration basée sur des rôles dans Configuration Manager. L'administration basée sur des rôles combine des rôles de sécurité, des étendues de sécurité et des regroupements attribués pour définir l'étendue administrative de chaque utilisateur administratif. L'étendue administrative inclut les objets qu''un utilisateur administratif peut afficher dans la console Configuration Manager et les tâches associées à ces objets que cet utilisateur est autorisé à exécuter. Les configurations d'administration basée sur des rôles s'appliquent à chaque site dans une hiérarchie.
Les informations dans les procédures suivantes peuvent vous aider à créer et à configurer une administration basée sur les rôles et des paramètres liés à la sécurité.
Créer des rôles de sécurité personnalisés
Configurer des rôles de sécurité
Configurer des étendues de sécurité pour un objet
Configurer des regroupements pour gérer la sécurité
Créer un utilisateur administratif
Modifier l'étendue administrative d'un utilisateur administratif
Important
L'administration basée sur des rôles utilise des rôles de sécurité, des étendues de sécurité et des regroupements. Ces paramètres peuvent être associés pour définir une étendue administrative pour chaque utilisateur administratif. Votre propre étendue administrative définit les objets et les paramètres que vous pouvez attribuer lorsque vous configurez une administration basée sur des rôles pour un autre utilisateur administratif. Pour plus d'informations sur la planification de l'administration basée sur les rôles, consultez la section Planification de l'administration basée sur des rôles de la rubrique Planification de la sécurité dans Configuration Manager.
Créer des rôles de sécurité personnalisés
Configuration Manager fournit plusieurs rôles de sécurité intégrés. Si vous avez besoin de rôles de sécurité supplémentaires, vous pouvez créer un rôle de sécurité personnalisé à l'aide d'une copie d'un rôle de sécurité existant, que vous modifiez par la suite. Vous pouvez créer un rôle de sécurité personnalisé pour accorder aux utilisateurs administratifs les autorisations de sécurité supplémentaires dont ils ont besoin et qui ne figurent pas dans le rôle de sécurité actuellement attribué. Un rôle de sécurité personnalisé permet de leur accorder uniquement les autorisations dont ils ont besoin sans pour autant leur attribuer un rôle de sécurité avec plus d'autorisations que nécessaire.
Pour créer un rôle de sécurité à l'aide d'un rôle de sécurité existant en tant que modèle, procédez comme suit.
Pour créer des rôles de sécurité personnalisés
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Rôles de sécurité.
Utilisez l'une des procédures suivantes pour créer le rôle de sécurité :
- Pour créer un rôle de sécurité personnalisé, effectuez les actions suivantes : 1. Sélectionnez un rôle de sécurité existant à utiliser comme source pour le nouveau rôle de sécurité. 2. Dans l'onglet **Accueil**, dans le groupe **Rôle de sécurité**, cliquez sur **Copier**. Vous créez ainsi une copie du rôle de sécurité source. 3. Dans l'Assistant Copier le rôle de sécurité, spécifiez un **Nom** pour le nouveau rôle de sécurité personnalisé. 4. Dans **Attributions d'opérations de sécurité**, développez chaque nœud **Opérations de sécurité** pour afficher les actions disponibles. 5. Pour modifier le paramètre d'une opération de sécurité, cliquez sur la flèche vers le bas dans la colonne **Valeur**, puis sélectionnez **Oui** ou **Non**. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Dn768230.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-caution(SC.12).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Attention</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Lorsque vous configurez un rôle de sécurité personnalisé, assurez-vous que ne pas accorder des autorisations dont les utilisateurs administratifs associés au nouveau rôle de sécurité n'ont pas besoin. Par exemple, la valeur <strong>Modifier</strong> pour l'opération de sécurité <strong>Rôles de sécurité</strong> accorde aux utilisateurs administratifs l'autorisation de modifier tout rôle accessible, même s'ils ne sont pas associés à ce rôle de sécurité.</p></td> </tr> </tbody> </table> </div> 6. Après avoir configuré les autorisations, cliquez sur **OK** pour enregistrer le nouveau rôle de sécurité. - Pour importer un rôle de sécurité exporté à partir d'une autre hiérarchie System Center 2012 Configuration Manager, effectuez les actions suivantes : 1. Dans l'onglet **Accueil**, dans le groupe **Créer**, cliquez sur **Importer un rôle de sécurité**. 2. Spécifiez le fichier .xml contenant la configuration de rôle de sécurité que vous souhaitez importer, puis cliquez sur **Ouvrir** pour terminer la procédure et enregistrer le rôle de sécurité. <div class="alert"> > [!NOTE] > <P>Après avoir importé un rôle de sécurité, vous pouvez en modifier les propriétés pour changer les autorisations d'objet associées au rôle de sécurité.</P> </div>
Configurer des rôles de sécurité
Les groupes d'autorisations de sécurité définis pour un rôle de sécurité sont appelés des attributions d'opérations de sécurité. Les attributions d'opérations de sécurité représentent une association de types d'objet et d'actions disponibles pour chaque type d'objet. Vous pouvez modifier les opérations de sécurité disponibles pour tout rôle de sécurité personnalisé, mais vous ne pouvez pas modifier les rôles de sécurité intégrés qui sont fournis par Configuration Manager.
Utilisez la procédure suivante pour modifier les opérations de sécurité pour un rôle de sécurité.
Pour modifier des rôles de sécurité
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Rôles de sécurité.
-
Sélectionnez le rôle de sécurité personnalisé à modifier.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur l'onglet Autorisations.
-
Dans Attributions d'opérations de sécurité, développez chaque nœud Opérations de sécurité pour afficher les actions disponibles.
-
Pour modifier le paramètre d'une opération de sécurité, cliquez sur la flèche vers le bas dans la colonne Valeur, puis sélectionnez Oui ou Non.
Attention Lorsque vous configurez un rôle de sécurité personnalisé, assurez-vous que ne pas accorder des autorisations dont les utilisateurs administratifs associés au nouveau rôle de sécurité n'ont pas besoin. Par exemple, la valeur Modifier pour l'opération de sécurité Rôles de sécurité accorde aux utilisateurs administratifs l'autorisation de modifier tout rôle accessible, même s'ils ne sont pas associés à ce rôle de sécurité.
-
Après avoir terminé la configuration des attributions d'opérations de sécurité, cliquez sur OK pour enregistrer le nouveau rôle de sécurité.
Configurer des étendues de sécurité pour un objet
L'association d'une étendue de sécurité pour un objet est gérée à partir de l'objet et non à partir de l'étendue de sécurité. Les seules configurations directes prises en charge par l'étendue de sécurité sont les modifications apportées à son nom et à sa description. Pour modifier le nom et la description d'une étendue de sécurité lorsque vous affichez les propriétés d'étendue de sécurité, vous devez disposer de l'autorisation Modifier pour l'objet sécurisable Étendues de sécurité.
Lorsque vous créez un objet dans Configuration Manager, il est associé à chaque étendue de sécurité qui est associée aux rôles de sécurité du compte utilisé pour créer l'objet si ces rôles de sécurité disposent de l'autorisation Créer ou de l'autorisation Définir l'étendue de sécurité. Une fois l'objet créé, vous pouvez modifier les étendues de sécurité associées.
Par exemple, un rôle de sécurité accordant l'autorisation de créer un groupe de limites vous est attribué. Lorsque vous créez un groupe de limites, vous ne disposez pas d'option à laquelle vous pouvez attribuer des étendues de sécurité spécifiques. Au lieu de cela, les étendues de sécurité disponibles des rôles de sécurité auxquels vous êtes associé sont attribués automatiquement au nouveau groupe de limites. Après l'enregistrement du nouveau groupe de limites, vous pouvez modifier les étendues de sécurité associées au nouveau groupe limites.
Utilisez la procédure suivante pour configurer les étendues de sécurité attribuées à un objet.
Pour configurer des étendues de sécurité pour un objet
-
Dans la console Configuration Manager, sélectionnez un objet prenant en charge l'attribution à une étendue de sécurité.
-
Dans l'onglet Accueil, dans le groupe Classer, cliquez sur Définir des étendues de sécurité.
-
Dans la boîte de dialogue Définir des étendues de sécurité, activez ou désactivez les étendues de sécurité auxquelles cet objet est associé. Chaque objet prenant en charge des étendues de sécurité doit être attribué à une étendue de sécurité au moins.
-
Cliquez sur OK pour enregistrer les étendues de sécurité attribuées.
Notes
Lorsque vous créez un objet, vous pouvez l'attribuer à plusieurs étendues de sécurité. Pour modifier le nombre d'étendues de sécurité associées à l'objet, vous devez modifier cette attribution une fois que l'objet a été créé.
Configurer des regroupements pour gérer la sécurité
Aucune procédure de configuration de regroupements n'est disponible pour l'administration basée sur des rôles. Il n'existe pas de configuration d'administration basée sur des rôles pour les regroupements ; à la place, vous attribuez des regroupements à un utilisateur administratif lorsque vous configurez ce dernier. Les opérations de sécurité du regroupement qui sont activées dans les rôles de sécurité attribués aux utilisateurs déterminent les autorisations d'un utilisateur administratif en ce qui concerne les regroupements et les ressources du regroupement (membres du regroupement).
Lorsqu'un utilisateur administratif dispose d'autorisations sur un regroupement, il dispose également d'autorisations sur des regroupements limités à ce regroupement. Par exemple, votre organisation utilise un regroupement nommé Tous les postes de travail, et il existe un regroupement nommé Tous les bureaux en Amérique du Nord qui est limité au regroupement Tous les postes de travail. Si un utilisateur administratif dispose des autorisations sur Tous les postes de travail, il dispose également des mêmes autorisations sur le regroupement Tous les bureaux en Amérique du Nord. De plus, un utilisateur administratif ne peut pas utiliser l'autorisation Supprimer ou Modifier sur un regroupement qui lui est directement attribué ; il peut toutefois utiliser ces autorisations sur les regroupements limités à ce regroupement. Basé sur l'exemple précédent, l'utilisateur administratif peut supprimer ou modifier le regroupement Tous les bureaux en Amérique du Nord, mais il ne peut pas supprimer ou modifier le regroupement Tous les postes de travail.
Créer un utilisateur administratif
Afin d'accorder aux personnes ou aux membres d'un groupe de sécurité l'accès pour gérer Configuration Manager, créez un utilisateur administratif dans Configuration Manager et spécifiez le compte Windows de l'utilisateur ou du groupe d'utilisateurs. Au moins un rôle de sécurité et une étendue de sécurité doivent être attribués à chaque utilisateur administratif dans Configuration Manager. Vous pouvez également attribuer des regroupements pour limiter l'étendue administrative de l'utilisateur administratif.
Utilisez les procédures suivantes pour créer de nouveaux utilisateurs administratifs.
Pour créer un nouvel utilisateur administratif
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Utilisateurs administratifs.
-
Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Ajouter un utilisateur ou un groupe.
-
Cliquez sur Parcourir, puis sélectionnez le compte d'utilisateur ou le groupe à utiliser pour ce nouvel utilisateur administratif.
Notes
Pour l'administration basée sur la console, seuls les utilisateurs du domaine ou les groupes de sécurité peuvent devenir des utilisateurs administratifs.
-
Pour les Rôles de sécurité associés, cliquez sur Ajouter pour ouvrir la liste des rôles de sécurité disponibles, cochez la case d'un ou plusieurs rôles de sécurité, puis cliquez sur OK.
-
Sélectionnez l'une des deux options suivantes pour définir le comportement de l'objet sécurisable pour le nouvel utilisateur :
- **Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés** : Cette option associe l'utilisateur administratif à l'étendue de sécurité **Tout** ainsi qu'aux regroupements intégrés de niveau racine pour **Tous les systèmes** et **Tous les utilisateurs et groupes d'utilisateurs**. Les rôles de sécurité attribués à l'utilisateur définissent l'accès aux objets. Les nouveaux objets créés par cet utilisateur administratif sont attribués à l'étendue de sécurité **Par défaut**. - **Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés** : Par défaut, cette option associe l'utilisateur administratif avec l'étendue de sécurité **Par défaut** et les regroupements **Tous les systèmes** et **Tous les utilisateurs et groupes d'utilisateurs**. Toutefois, les étendues de sécurité et les regroupements réels sont limités à ceux qui sont associés au compte que vous avez utilisé pour créer le nouvel utilisateur administratif. Cette option prend en charge l'ajout ou la suppression d'étendues de sécurité et de regroupements pour personnaliser l'étendue administrative de l'utilisateur administratif.
Important
Les options précédentes associent chaque étendue de sécurité et regroupement attribué à chaque rôle de sécurité attribué à l'utilisateur administratif. Une troisième option, Seuls les objets sécurisables définis par les rôles de sécurité de l'utilisateur administratif peut être utilisée pour associer des rôles de sécurité individuels à des étendues de sécurité et des regroupements spécifiques. Cette troisième option est disponible après la création du nouvel utilisateur administratif, lorsque vous modifiez l'utilisateur administratif.
-
Selon l'option sélectionnée à l'étape 6, effectuez l'action suivante :
- Si vous avez sélectionné **Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés**, cliquez sur **OK** pour terminer cette procédure. - Si vous avez sélectionné **Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés**, vous pouvez cliquer sur **Ajouter** pour sélectionner des regroupements ou des étendues de sécurité supplémentaires, ou sélectionner un ou plusieurs objets dans la liste, puis cliquer sur **Supprimer** pour les supprimer. Cliquez sur **OK** pour terminer cette procédure.
Modifier l'étendue administrative d'un utilisateur administratif
Vous pouvez modifier l'étendue administrative d'un utilisateur administratif en ajoutant ou en supprimant des rôles de sécurité, des étendues de sécurité et des regroupements associés à l'utilisateur. Chaque utilisateur administratif doit être associé à au moins un rôle de sécurité et une étendue de sécurité. Vous devrez peut-être affecter un ou plusieurs regroupements à l'étendue administrative de l'utilisateur. La plupart des rôles de sécurité interagissent avec les regroupements et ne fonctionnent pas correctement sans regroupement attribué.
Lorsque vous modifiez un utilisateur administratif, vous pouvez modifier le comportement des objets sécurisables au niveau de leur association avec les rôles de sécurité attribués. Les trois comportements que vous pouvez sélectionner sont les suivants :
Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés : cette option associe l'utilisateur administratif à l'étendue Tout ainsi qu'aux regroupements intégrés de niveau racine pour Tous les systèmes et Tous les utilisateurs et groupes d'utilisateurs. Les rôles de sécurité attribués à l'utilisateur définissent l'accès aux objets.
Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés : cette option associe l'utilisateur administratif aux mêmes étendues de sécurité et regroupements qui sont associés au compte que vous utilisez pour configurer l'utilisateur administratif. Cette option prend en charge l'ajout ou la suppression de rôles de sécurité et de regroupements pour personnaliser l'étendue administrative de l'utilisateur administratif.
Seuls les objets sécurisables déterminés par les rôles de sécurité de l'utilisateur administratif : cette option vous permet de créer des associations spécifiques entre des rôles de sécurité individuels et des étendues de sécurité et des regroupements spécifiques pour l'utilisateur.
Notes
Cette option est disponible uniquement lorsque vous modifiez les propriétés d'un utilisateur administratif.
La configuration actuelle du comportement de l'objet sécurisable modifie le processus qui vous permet d'attribuer des rôles de sécurité supplémentaires. Utilisez les procédures suivantes, basées sur les différentes options des objets sécurisables, pour vous aider à gérer un utilisateur administratif.
Utilisez la procédure suivante pour afficher et gérer la configuration des objets sécurisables pour un utilisateur administratif :
Pour afficher et gérer le comportement de l'objet sécurisable pour un utilisateur administratif
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Utilisateurs administratifs.
-
Sélectionnez l'utilisateur administratif à modifier.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur l'onglet Étendues de sécurité pour afficher la configuration actuelle des objets sécurisables pour cet utilisateur administratif.
-
Pour modifier le comportement de l'objet sécurisable, sélectionnez une nouvelle option pour le comportement de l'objet sécurisable. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des instructions supplémentaires afin de configurer des étendues de sécurité et des regroupements ainsi que des rôles de sécurité pour cet utilisateur administratif.
-
Cliquez sur OK pour terminer la procédure.
Utilisez la procédure suivante pour modifier un utilisateur administratif pour lequel le comportement de l'objet sécurisable est paramétré sur Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés :
Option : Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Utilisateurs administratifs.
-
Sélectionnez l'utilisateur administratif à modifier.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur l'onglet Étendues de sécurité pour confirmer que l'utilisateur administratif est configuré pour Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés.
-
Pour modifier les rôles de sécurité attribués, cliquez sur l'onglet Rôles de sécurité.
- Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, cliquez sur **Ajouter**, cochez la case de chaque rôle de sécurité supplémentaire que vous souhaitez attribuer, puis cliquez sur **OK**. - Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis cliquez sur **Supprimer**.
-
Pour modifier le comportement de l'objet sécurisable, cliquez sur l'onglet Étendues de sécurité et sélectionnez une nouvelle option pour le comportement de l'objet sécurisable. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des instructions supplémentaires afin de configurer des étendues de sécurité et des regroupements ainsi que des rôles de sécurité pour cet utilisateur administratif.
Notes
Lorsque le comportement de l'objet sécurisable est défini sur Tous les objets sécurisables pertinents pour les rôles de sécurité auxquels ils sont associés, vous ne pouvez pas ajouter ni supprimer d'étendues de sécurité ou de regroupements spécifiques.
-
Cliquez sur OK pour terminer cette procédure.
Utilisez la procédure suivante pour modifier un utilisateur administratif pour lequel le comportement de l'objet sécurisable est paramétré sur Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés.
Option : Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Utilisateurs administratifs.
-
Sélectionnez l'utilisateur administratif à modifier.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur l'onglet Étendues de sécurité pour confirmer que l'utilisateur est configuré pour Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés.
-
Pour modifier les rôles de sécurité attribués, cliquez sur l'onglet Rôles de sécurité.
- Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur, cliquez sur **Ajouter**, cochez la case de chaque rôle de sécurité supplémentaire que vous souhaitez affecter, puis cliquez sur **OK**. - Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis cliquez sur **Supprimer**.
-
Pour modifier les étendues de sécurité et les regroupements associés aux rôles de sécurité, cliquez sur l'onglet Étendues de sécurité.
- Pour associer de nouvelles étendues de sécurité ou de nouveaux regroupements à tous les rôles de sécurité qui sont attribués à cet utilisateur administratif, cliquez sur **Ajouter** et sélectionnez l'une des quatre options. Si vous sélectionnez **Étendue de sécurité** ou **Regroupement**, cochez la case d'un ou plusieurs objets pour terminer cette sélection, puis cliquez sur **OK**. - Pour supprimer une étendue de sécurité ou un regroupement, sélectionnez l'objet, puis cliquez sur **Supprimer**.
-
Cliquez sur OK pour terminer cette procédure.
Utilisez la procédure suivante pour modifier un utilisateur administratif pour lequel le comportement de l'objet sécurisable est paramétré sur Seuls les objets sécurisables déterminés par les rôles de sécurité de l'utilisateur administratif.
Option : Seuls les objets sécurisables déterminés par les rôles de sécurité de l'utilisateur administratif
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Utilisateurs administratifs.
-
Sélectionnez l'utilisateur administratif à modifier.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur l'onglet Étendues de sécurité pour confirmer que l'utilisateur administratif est configuré sur Seuls les objets sécurisables dans des étendues de sécurité ou des regroupements spécifiés.
-
Pour modifier les rôles de sécurité attribués, cliquez sur l'onglet Rôles de sécurité.
- Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, cliquez sur **Ajouter**. Dans la boîte de dialogue **Ajouter un rôle de sécurité**, sélectionnez un ou plusieurs rôles de sécurité disponibles, cliquez sur **Ajouter**, puis sélectionnez un type d'objet à associer aux rôles de sécurité sélectionnés. Si vous sélectionnez **Étendue de sécurité** ou **Regroupement**, cochez la case d'un ou plusieurs objets pour terminer cette sélection, puis cliquez sur **OK**. <div class="alert"> > [!NOTE] > <P>Vous devez configurer au moins une étendue sécurité avant que les rôles de sécurité sélectionnés puissent être attribués à l'utilisateur administratif. Lorsque vous sélectionnez plusieurs rôles de sécurité, chaque étendue de sécurité et regroupement que vous configurez est associé à chacun des rôles de sécurité sélectionnés.</P> </div> - Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis cliquez sur **Supprimer**.
-
Pour modifier les étendues de sécurité et les regroupements associés à un rôle de sécurité spécifique, cliquez sur l'onglet Étendues de sécurité, sélectionnez le rôle de sécurité, puis cliquez sur Modifier.
- Pour associer de nouveaux objets à ce rôle de sécurité, cliquez sur **Ajouter**, puis sélectionnez un type d'objet à associer aux rôles de sécurité sélectionnés. Si vous sélectionnez **Étendue de sécurité** ou **Regroupement**, cochez la case d'un ou plusieurs objets pour terminer cette sélection, puis cliquez sur **OK**. <div class="alert"> > [!NOTE] > <P>Vous devez configurer au moins une étendue de sécurité.</P> </div> - Pour supprimer une étendue de sécurité ou un regroupement associé à ce rôle de sécurité, sélectionnez l'objet et cliquez sur **Supprimer**. - Lorsque vous avez terminé de modifier les objets associés, cliquez sur **OK**.
-
Cliquez sur OK pour terminer cette procédure.
Attention Lorsqu'un rôle de sécurité accorde aux utilisateurs administratifs l'autorisation de déployer un regroupement, ces utilisateurs administratifs peuvent distribuer des objets depuis n'importe quelle étendue de sécurité pour laquelle il disposent d'autorisations de Lecture, même si cette étendue de sécurité est associée à un rôle de sécurité différent.
Gérer les comptes qui sont utilisés par Configuration Manager
Configuration Manager prend en charge les comptes Windows pour de nombreuses tâches et utilisations différentes.
Utilisez la procédure suivante pour afficher les comptes qui sont configurés pour différentes tâches et pour gérer le mot de passe que Configuration Manager utilise pour chaque compte.
Pour gérer les comptes qui sont utilisés par Configuration Manager
-
Dans la console Configuration Manager, cliquez sur Administration.
-
Dans l'espace de travail Administration, développez Sécurité, puis cliquez sur Comptes pour afficher les comptes qui sont configurés pour Configuration Manager.
-
Pour modifier le mot de passe d'un compte qui est configuré pour Configuration Manager, sélectionnez le compte.
-
Dans l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.
-
Cliquez sur Définir pour ouvrir la boîte de dialogue Compte d'utilisateur Windows, puis spécifiez le nouveau mot de passe que Configuration Manager doit utiliser pour ce compte.
Notes
Le mot de passe que vous spécifiez doit correspondre au mot de passe spécifié pour le compte dans Utilisateurs et ordinateurs Active Directory.
-
Cliquez sur OK pour terminer la procédure.