Configurare l'amministrazione basata su ruoli per Configuration Manager

Si applica a: Configuration Manager (Current Branch)

In Configuration Manager, l'amministrazione basata sui ruoli combina ruoli di sicurezza, ambiti di sicurezza e raccolte assegnate per definire l'ambito amministrativo per ogni utente amministratore. Un ambito amministrativo include gli oggetti che un utente amministratore può visualizzare nella console di Configuration Manager e le attività correlate agli oggetti a cui ha l'autorizzazione.

Se non si ha ancora familiarità con questi concetti, vedere Nozioni fondamentali sull'amministrazione basata sui ruoli.

Usare le informazioni contenute in questo articolo per creare e configurare l'amministrazione basata sui ruoli e le impostazioni di sicurezza correlate.

Nota

Le procedure descritte in questo articolo presuppongono che l'utente amministratore abbia un ruolo di sicurezza con le autorizzazioni necessarie. Ad esempio, i ruoli Amministratore completo o Amministratore sicurezza .

Consiglio

Usare lo strumento di amministrazione e controllo basato sui ruoli per facilitare le azioni seguenti:

  • Autorizzazioni del modello per un nuovo ruolo che si vuole creare.
  • Controllare tutti gli utenti amministrativi, le raccolte e gli ambiti di sicurezza esistenti.
  • Controllare un utente specifico

Creare ruoli di sicurezza personalizzati

Configuration Manager offre diversi ruoli di sicurezza predefiniti. Non è possibile modificare le autorizzazioni dei ruoli predefiniti. Se sono necessari altri ruoli, crearne uno personalizzato. È possibile creare un ruolo personalizzato per concedere agli utenti amministratori altre autorizzazioni necessarie e non incluse in un ruolo predefinito. Usando un ruolo di sicurezza personalizzato, è possibile assegnare loro le autorizzazioni meno necessarie. Un ruolo personalizzato può essere utile per evitare di assegnare un ruolo di sicurezza che concede più autorizzazioni di quelle necessarie.

Come creare ruoli di sicurezza personalizzati

Nella console Configuration Manager passare all'area di lavoro Amministrazione. Espandere Sicurezza e quindi selezionare il nodo Ruoli di sicurezza . Usare quindi uno dei processi seguenti per creare un nuovo ruolo di sicurezza:

Creare un nuovo ruolo di sicurezza personalizzato copiando un ruolo predefinito

  1. Selezionare un ruolo di sicurezza esistente da usare come origine per il nuovo ruolo.

  2. Nel gruppo Ruolo di sicurezza della scheda Home della barra multifunzione selezionare Copia. Questa azione crea una copia del ruolo di sicurezza di origine.

  3. Nella Copia guidata ruolo di sicurezza specificare un nome per il nuovo ruolo di sicurezza personalizzato. La lunghezza massima è 256 caratteri.

  4. Facoltativo ma consigliato, specificare una descrizione per riepilogare lo scopo di questo ruolo di sicurezza personalizzato. La lunghezza massima è di 512 caratteri.

  5. In Autorizzazioni espandere ogni tipo di oggetto per visualizzare le autorizzazioni disponibili.

  6. Per modificare un'autorizzazione, selezionare l'elenco a discesa e scegliere o No.

    Attenzione

    Quando si configura un ruolo di sicurezza personalizzato, concedere solo le autorizzazioni richieste dagli utenti assegnati a questo ruolo. Ad esempio, l'autorizzazione Modifica per l'oggetto Ruoli di sicurezza consente agli utenti assegnati di modificare qualsiasi ruolo di sicurezza accessibile, anche se non sono assegnati a tale ruolo di sicurezza.

  7. Dopo aver configurato le autorizzazioni, selezionare OK per salvare il nuovo ruolo di sicurezza.

Importare un ruolo di sicurezza esportato da un'altra gerarchia di Configuration Manager

Importante

Importare solo file di configurazione del ruolo di sicurezza personalizzati da un'origine attendibile. Quando si esporta un ruolo di sicurezza personalizzato, salvarlo in una posizione sicura. I file XML non sono firmati digitalmente.

  1. Nel gruppo Crea della scheda Home della barra multifunzione scegliere Importa ruolo di sicurezza.

  2. Specificare il file XML che contiene la configurazione del ruolo di sicurezza esportato. Selezionare Apri per completare la procedura e creare il ruolo di sicurezza.

  3. Dopo aver importato un ruolo di sicurezza personalizzato, aprirne le proprietà. Visualizzare le autorizzazioni per verificare che includano le autorizzazioni meno necessarie per questo ruolo. Modificare le autorizzazioni non necessarie in questo ambiente.

Nota

Non è possibile esportare i ruoli di sicurezza predefiniti.

Configurare i ruoli di sicurezza

È possibile modificare le autorizzazioni per un ruolo di sicurezza personalizzato, ma non è possibile modificare i ruoli di sicurezza predefiniti.

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Sicurezza e quindi selezionare il nodo Ruoli di sicurezza.

  2. Selezionare il ruolo di sicurezza personalizzato che si vuole modificare o visualizzare.

  3. Nel gruppo Proprietà della scheda Home della barra multifunzione selezionare Proprietà.

  4. Nella scheda Generale della finestra delle proprietà modificare il nome o la descrizione , se necessario.

  5. Nella scheda Utenti amministrativi visualizzare gli utenti associati a questo ruolo. Per modificare l'assegnazione, passare alle proprietà dell'utente amministratore.

  6. Nella scheda Autorizzazioni espandere ogni tipo di oggetto per visualizzare le autorizzazioni disponibili.

  7. Per modificare un'autorizzazione, selezionare l'elenco a discesa e quindi scegliere o No.

    Attenzione

    Quando si configura un ruolo di sicurezza personalizzato, concedere solo le autorizzazioni richieste dagli utenti assegnati a questo ruolo. Ad esempio, l'autorizzazione Modifica per l'oggetto Ruoli di sicurezza consente agli utenti assegnati di modificare qualsiasi ruolo di sicurezza accessibile, anche se non sono assegnati a tale ruolo di sicurezza.

  8. Al termine, selezionare OK per salvare il ruolo di sicurezza personalizzato.

Configurare gli ambiti di sicurezza per un oggetto

Gestire gli ambiti di sicurezza dall'oggetto a protezione diretta, non dall'ambito di sicurezza. Le uniche proprietà che è possibile modificare in un ambito di sicurezza personalizzato sono il nome e la descrizione. Non è possibile modificare i due ambiti predefiniti. Per modificare il nome e la descrizione di un ambito personalizzato, è necessaria l'autorizzazione Modify per l'oggetto Security Scopes .

Quando si crea un nuovo oggetto in Configuration Manager, è associato a ogni ambito di sicurezza associato ai ruoli di sicurezza dell'account usato per creare l'oggetto. Questo comportamento si verifica quando tali ruoli di sicurezza forniscono l'autorizzazione Crea o Imposta ambito di sicurezza . Dopo aver creato un oggetto, è possibile modificare gli ambiti di sicurezza e assegnarlo a più ambiti.

Ad esempio, viene assegnato un ruolo di sicurezza che concede l'autorizzazione per creare un nuovo gruppo di limiti. Tale ruolo è associato all'ambito di sicurezza Admins . Quando si crea un nuovo gruppo di limiti, non è possibile assegnare ambiti di sicurezza specifici. L'ambito di sicurezza Admins viene assegnato automaticamente al nuovo gruppo di limiti. Dopo aver salvato il nuovo gruppo di limiti, è possibile modificare gli ambiti di sicurezza per il gruppo di limiti.

Per altre informazioni su come aggiungere un ambito per un utente, vedere Modificare l'ambito amministrativo di un utente amministratore.

Come creare un ambito di sicurezza personalizzato

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Sicurezza e quindi selezionare il nodo Ambiti di sicurezza.

  2. Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea ambito di sicurezza.

  3. Nella finestra Crea ambito di sicurezza specificare un nome di ambito di sicurezza. La lunghezza massima è 256 caratteri.

  4. Facoltativo ma consigliato, specificare una descrizione per riepilogare lo scopo di questo ambito di sicurezza personalizzato. La lunghezza massima è di 512 caratteri.

  5. Selezionare o rimuovere le assegnazioni utente amministrative. È possibile modificarli dopo aver creato l'ambito di sicurezza.

  6. Per salvare l'ambito di sicurezza personalizzato, selezionare OK.

Come configurare gli ambiti di sicurezza per un oggetto

  1. Nella console Configuration Manager selezionare un oggetto che supporta l'assegnazione a un ambito di sicurezza. Per l'elenco degli oggetti supportati, vedere Nozioni fondamentali sull'amministrazione basata su ruoli - Ambiti di sicurezza.

  2. Nel gruppo Classifica della scheda Home della barra multifunzione selezionare Imposta ambiti di sicurezza.

    Per una cartella, passare alla scheda Cartella della barra multifunzione. Nel gruppo Azioni selezionare Imposta ambiti di sicurezza.

    Nota

    Un elemento è ricercabile in cartelle esterne all'ambito di sicurezza di un utente se l'utente condivide un ambito di sicurezza con la persona che ha creato l'oggetto.

  3. Nella finestra Imposta ambiti di sicurezza selezionare o deselezionare gli ambiti di sicurezza per questo oggetto. Selezionare almeno un ambito di sicurezza.

  4. Selezionare OK per salvare gli ambiti di sicurezza assegnati.

Configurare le raccolte per gestire la sicurezza

Non sono disponibili procedure per configurare le raccolte per l'amministrazione basata sui ruoli. Le raccolte non hanno una configurazione di amministrazione basata sui ruoli. Le raccolte vengono invece assegnate a un utente amministratore. Per determinare le azioni che un utente amministratore può eseguire a una raccolta e ai relativi membri, visualizzare le autorizzazioni per il tipo di oggetto Collection nel ruolo di sicurezza.

Quando un utente amministratore dispone delle autorizzazioni per una raccolta, ha anche le autorizzazioni per le raccolte limitate a tale raccolta. Ad esempio, l'organizzazione usa una raccolta denominata Tutti i desktop. È disponibile anche una raccolta denominata All America del Nord Desktops limitata alla raccolta All Desktops. Se un utente amministratore dispone delle autorizzazioni per Tutti i desktop, ha le stesse autorizzazioni per la raccolta Tutti i desktop America del Nord.

Un utente amministratore non può usare le autorizzazioni Elimina o Modifica per una raccolta a cui è stato assegnato direttamente. Possono usare queste autorizzazioni per le raccolte limitate a tale raccolta. Nell'esempio precedente l'utente amministratore può eliminare o modificare l'insieme All America del Nord Desktops, ma non può eliminare o modificare l'insieme All Desktops.

Creare un nuovo utente amministratore

Per concedere agli utenti o ai membri di un gruppo di sicurezza l'accesso per gestire Configuration Manager, creare un utente amministratore. Specificare un account di Windows dell'utente o del gruppo di utenti. Assegnare ogni utente amministrativo ad almeno un ruolo di sicurezza e un ambito di sicurezza. È anche possibile assegnare raccolte per limitare l'ambito amministrativo dell'utente o del gruppo.

Come creare un nuovo utente amministratore

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Sicurezza e quindi selezionare il nodo Utenti amministrativi.

  2. Nel gruppo Crea della scheda Home della barra multifunzione selezionare Aggiungi utente o gruppo.

  3. Selezionare Sfoglia e quindi selezionare l'account utente o il gruppo da usare per questo nuovo utente amministrativo in Configuration Manager.

    Nota

    Per l'amministrazione basata su console, è possibile specificare solo gli utenti di dominio o i gruppi di sicurezza di dominio come utente amministratore.

  4. Per Ruoli di sicurezza associati selezionare Aggiungi per aprire un elenco dei ruoli di sicurezza disponibili. Selezionare uno o più ruoli di sicurezza e quindi ok.

  5. Scegliere una delle opzioni seguenti per definire il comportamento dell'oggetto a protezione diretta per il nuovo utente:

    • Tutte le istanze degli oggetti correlati ai ruoli di sicurezza assegnati: Questa opzione presenta i comportamenti seguenti:

      • Ambito di sicurezza: Tutti
      • Raccolte: tutti i sistemi e tutti gli utenti e i gruppi di utenti
      • I ruoli di sicurezza assegnati all'utente definiscono l'accesso agli oggetti.
      • I nuovi oggetti creati dall'utente vengono assegnati all'ambito di sicurezza Predefinito .
    • Solo le istanze di oggetti assegnati agli ambiti di sicurezza e alle raccolte specificati: Questa opzione presenta i comportamenti seguenti:

      • Ambito di sicurezza: predefinito
      • Raccolte: tutti i sistemi e tutti gli utenti e i gruppi di utenti
      • Queste impostazioni predefinite possono essere diverse, in quanto gli ambiti di sicurezza e le raccolte effettivi sono limitati a quelli associati all'account usato per creare l'utente amministratore.
      • Aggiungere o rimuovere insiemi e ambiti di sicurezza per personalizzare l'ambito amministrativo di questo utente.

    Importante

    Dopo aver creato l'utente, visualizzarne le proprietà per selezionare una terza opzione, Associare i ruoli di sicurezza assegnati a insiemi e ambiti di sicurezza specifici. Per altre informazioni, vedere Modificare l'ambito amministrativo di un utente amministratore.

  6. Selezionare OK per chiudere la finestra e creare l'utente amministratore.

Modificare l'ambito amministrativo di un utente amministratore

È possibile modificare l'ambito amministrativo di un utente amministratore aggiungendo o rimuovendo ruoli di sicurezza, ambiti di sicurezza e raccolte associati all'utente. Ogni utente amministratore deve essere associato ad almeno un ruolo di sicurezza e un ambito di sicurezza. Potrebbe essere necessario assegnare una o più raccolte all'ambito amministrativo dell'utente. La maggior parte dei ruoli di sicurezza interagisce con le raccolte e non funziona correttamente senza una raccolta assegnata.

Quando si modifica un utente amministratore, è possibile modificare il comportamento per il modo in cui gli oggetti a protezione diretta sono associati ai ruoli di sicurezza assegnati. I tre comportamenti che è possibile selezionare sono i seguenti:

  • Tutte le istanze degli oggetti correlati ai ruoli di sicurezza assegnati: questa opzione associa l'utente amministratore all'ambito Tutti e alle raccolte Tutti i sistemi e Tutti gli utenti e i gruppi di utenti . I ruoli di sicurezza assegnati all'utente definiscono l'accesso agli oggetti.

  • Solo le istanze di oggetti assegnati agli ambiti di sicurezza e alle raccolte specificati: questa opzione associa l'utente amministratore agli stessi ambiti di sicurezza e raccolte associati all'account usato per configurare l'utente amministrativo. Questa opzione supporta l'aggiunta o la rimozione di ruoli e raccolte di sicurezza per personalizzare l'ambito amministrativo dell'utente amministratore.

  • Associare i ruoli di sicurezza assegnati a insiemi e ambiti di sicurezza specifici: questa opzione consente di creare associazioni specifiche tra singoli ruoli di sicurezza e ambiti e raccolte di sicurezza specifici per l'utente.

    Nota

    Questa opzione è disponibile solo quando si modificano le proprietà di un utente amministratore.

La configurazione corrente per il comportamento dell'oggetto a protezione diretta modifica il processo usato per assegnare ruoli di sicurezza aggiuntivi. Utilizzare le procedure seguenti basate sulle diverse opzioni per gli oggetti a protezione diretta per gestire un utente amministratore.

Utilizzare la procedura seguente per visualizzare e gestire la configurazione per gli oggetti a protezione diretta per un utente amministratore.

Per visualizzare e gestire il comportamento dell'oggetto a protezione diretta per un utente amministratore

  1. Nella console Configuration Manager scegliere Amministrazione.
  2. Nell'area di lavoro Amministrazione espandere Sicurezza e quindi scegliere Utenti amministrativi.
  3. Selezionare l'utente amministratore da modificare.
  4. Nel gruppo Proprietà della scheda Home scegliere Proprietà.
  5. Scegliere la scheda Ambiti di sicurezza per visualizzare la configurazione corrente per gli oggetti a protezione diretta per questo utente amministratore.
  6. Per modificare il comportamento dell'oggetto a protezione diretta, selezionare una nuova opzione per il comportamento dell'oggetto a protezione diretta. Dopo aver modificato questa configurazione, vedere la procedura appropriata per altre indicazioni per configurare gli ambiti e le raccolte di sicurezza e i ruoli di sicurezza per questo utente amministratore.
  7. Scegliere OK per completare la procedura.

Utilizzare la procedura seguente per modificare un utente amministratore con il comportamento dell'oggetto a protezione diretta impostato su Tutte le istanze degli oggetti correlati ai ruoli di sicurezza assegnati.

  1. Nella console Configuration Manager scegliere Amministrazione.

  2. Nell'area di lavoro Amministrazione espandere Sicurezza e quindi scegliere Utenti amministrativi.

  3. Selezionare l'utente amministratore da modificare.

  4. Nel gruppo Proprietà della scheda Home scegliere Proprietà.

  5. Scegliere la scheda Ambiti di sicurezza per verificare che l'utente amministratore sia configurato per Tutte le istanze degli oggetti correlati ai ruoli di sicurezza assegnati.

  6. Per modificare i ruoli di sicurezza assegnati, scegliere la scheda Ruoli di sicurezza .

    • Per assegnare ruoli di sicurezza aggiuntivi a questo utente amministratore, scegliere Aggiungi, selezionare la casella per ogni ruolo di sicurezza aggiuntivo che si vuole assegnare e quindi scegliere OK.
    • Per rimuovere i ruoli di sicurezza, selezionare uno o più ruoli di sicurezza dall'elenco e quindi scegliere Rimuovi.
  7. Per modificare il comportamento dell'oggetto a protezione diretta, scegliere la scheda Ambiti di sicurezza e scegliere una nuova opzione per il comportamento dell'oggetto a protezione diretta. Dopo aver modificato questa configurazione, vedere la procedura appropriata per altre indicazioni per configurare gli ambiti e le raccolte di sicurezza e i ruoli di sicurezza per questo utente amministratore.

    Nota

    Quando il comportamento dell'oggetto a protezione diretta è impostato su Tutte le istanze degli oggetti correlati ai ruoli di sicurezza assegnati, non è possibile aggiungere o rimuovere insiemi e ambiti di sicurezza specifici.

  8. Scegliere OK per completare questa procedura.

Utilizzare la procedura seguente per modificare un utente amministratore con il comportamento dell'oggetto a protezione diretta impostato su Solo le istanze di oggetti assegnati agli ambiti di sicurezza e alle raccolte specificati.

Per opzione: solo le istanze di oggetti assegnati agli ambiti di sicurezza e alle raccolte specificati

  1. Nella console Configuration Manager scegliere Amministrazione.

  2. Nell'area di lavoro Amministrazione espandere Sicurezza e quindi scegliere Utenti amministrativi.

  3. Selezionare l'utente amministratore da modificare.

  4. Nel gruppo Proprietà della scheda Home scegliere Proprietà.

  5. Scegliere la scheda Ambiti di sicurezza per verificare che l'utente sia configurato solo per le istanze di oggetti assegnati agli ambiti e alle raccolte di sicurezza specificati.

  6. Per modificare i ruoli di sicurezza assegnati, scegliere la scheda Ruoli di sicurezza .

    • Per assegnare altri ruoli di sicurezza a questo utente, scegliere Aggiungi, selezionare la casella per ogni ruolo di sicurezza aggiuntivo che si vuole assegnare e quindi scegliere OK.
    • Per rimuovere i ruoli di sicurezza, selezionare uno o più ruoli di sicurezza dall'elenco e quindi scegliere Rimuovi.
  7. Per modificare gli ambiti e le raccolte di sicurezza associati ai ruoli di sicurezza, scegliere la scheda Ambiti di sicurezza.

    • Per associare nuovi ambiti o raccolte di sicurezza a tutti i ruoli di sicurezza assegnati a questo utente amministratore, scegliere Aggiungi e selezionare una delle quattro opzioni. Se si seleziona Ambito di sicurezza o Raccolta, selezionare la casella per uno o più oggetti per completare la selezione e quindi scegliere OK.
    • Per rimuovere un ambito o una raccolta di sicurezza, scegliere l'oggetto e quindi scegliere Rimuovi.
  8. Scegliere OK per completare questa procedura.

Utilizzare la procedura seguente per modificare un utente amministratore con il comportamento dell'oggetto a protezione diretta impostato su Associa ruoli di sicurezza assegnati a raccolte e ambiti di sicurezza specifici.

Per l'opzione: Associare ruoli di sicurezza assegnati a raccolte e ambiti di sicurezza specifici

  1. Nella console Configuration Manager scegliere Amministrazione.

  2. Nell'area di lavoro Amministrazione espandere Sicurezza e quindi scegliere Utenti amministrativi.

  3. Selezionare l'utente amministratore da modificare.

  4. Nel gruppo Proprietà della scheda Home scegliere Proprietà.

  5. Scegliere la scheda Ambiti di sicurezza per verificare che l'utente amministratore sia configurato per Associare i ruoli di sicurezza assegnati a raccolte e ambiti di sicurezza specifici.

  6. Per modificare i ruoli di sicurezza assegnati, scegliere la scheda Ruoli di sicurezza .

    • Per assegnare ruoli di sicurezza aggiuntivi a questo utente amministratore, scegliere Aggiungi. Nella finestra di dialogo Aggiungi ruolo di sicurezza selezionare uno o più ruoli di sicurezza disponibili, scegliere Aggiungi e selezionare un tipo di oggetto da associare ai ruoli di sicurezza selezionati. Se si seleziona Ambito di sicurezza o Raccolta, selezionare la casella per uno o più oggetti per completare la selezione e quindi scegliere OK.

      Nota

      È necessario configurare almeno un ambito di sicurezza prima che i ruoli di sicurezza selezionati possano essere assegnati all'utente amministratore. Quando si selezionano più ruoli di sicurezza, ogni ambito di sicurezza e raccolta configurati è associato a ognuno dei ruoli di sicurezza selezionati.

    • Per rimuovere i ruoli di sicurezza, selezionare uno o più ruoli di sicurezza dall'elenco e quindi scegliere Rimuovi.

  7. Per modificare gli ambiti di sicurezza e le raccolte associati a un ruolo di sicurezza specifico, scegliere la scheda Ambiti di sicurezza, selezionare il ruolo di sicurezza e quindi scegliere Modifica.

    • Per associare nuovi oggetti a questo ruolo di sicurezza, scegliere Aggiungi e selezionare un tipo di oggetto da associare ai ruoli di sicurezza selezionati. Se si seleziona Ambito di sicurezza o Raccolta, selezionare la casella per uno o più oggetti per completare la selezione e quindi scegliere OK.

      Nota

      È necessario configurare almeno un ambito di sicurezza.

    • Per rimuovere un ambito di sicurezza o una raccolta associata a questo ruolo di sicurezza, selezionare l'oggetto e quindi scegliere Rimuovi.

    • Al termine della modifica degli oggetti associati, scegliere OK.

  8. Scegliere OK per completare questa procedura.

    Attenzione

    Quando un ruolo di sicurezza concede agli utenti amministratori l'autorizzazione di distribuzione della raccolta, tali utenti amministratori possono distribuire oggetti da qualsiasi ambito di sicurezza per il quale dispongono delle autorizzazioni di lettura degli oggetti, anche se tale ambito di sicurezza è associato a un ruolo di sicurezza diverso.

Automatizzare con Windows PowerShell

È possibile usare i cmdlet di PowerShell seguenti per automatizzare alcune di queste attività:

Gestire gli utenti amministratori:

Gestire ruoli e ambiti per gli utenti:

Gestire i ruoli di sicurezza:

Gestire le autorizzazioni per i ruoli di sicurezza:

Gestire gli ambiti di sicurezza:

Gestire l'ambito di sicurezza degli oggetti:

Passaggi successivi

Strumento di amministrazione e controllo basato sui ruoli

Account usati in Configuration Manager