Configurando a segurança do Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Use as informações neste tópico como auxílio para configurar as seguintes opções de segurança:

  • Definir configurações para certificados PKI de clientes

  • Configurar assinatura e criptografia

  • Configurar administração baseada em funções

  • Gerenciar contas usadas pelo Configuration Manager

Definir configurações para certificados PKI de clientes

Se você quiser usar certificados PKI (infraestrutura de chave pública) para conexões de clientes a sistemas de site que usam IIS (Serviços de Informações da Internet), use o procedimento a seguir para definir as configurações para esses certificados.

Para definir configurações de certificados PKI de clientes

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Configuração de Site, clique em Sites e depois no site primário a ser configurado.

  3. Na guia Início, no grupo Propriedades, clique em Propriedades e clique na guia Comunicação de Computador Cliente.

    System_CAPS_noteObservação

    Essa guia está disponível somente em site primário. Se você não vir a guia Comunicação de Computador Cliente, verifique se você não está conectado a um site de administração central ou um site secundário.

  4. Clique em Somente HTTPS quando quiser que os clientes atribuídos ao site sempre usem um certificado PKI de cliente ao se conectarem a sistemas de site que usam IIS. Ou clique em HTTPS ou HTTP quando você não exigir que os clientes usem certificados PKI.

  5. Se você tiver selecionado HTTPS ou HTTP, clique em Usar certificado PKI de cliente (recurso de autenticação de cliente) quando disponível quando quiser usar um certificado PKI de cliente para conexões HTTP. O cliente usa esse certificado em vez de um certificado autoassinado para se autenticar para sistemas de site. Esta opção será selecionada automaticamente se você selecionar Somente HTTPS.

    System_CAPS_noteObservação

    Quando os clientes são detectados na Internet ou estão configurados para gerenciamento de cliente apenas de Internet, eles sempre usam um certificado PKI de cliente.

  6. Clique em Modificar para configurar o método de seleção de cliente escolhido para quando houver mais de um certificado de cliente PKI válido disponível em um cliente, e clique em OK.

    System_CAPS_noteObservação

    Para obter mais informações sobre o método de seleção de certificado de cliente, veja Planejando a seleção de certificado PKI de cliente.

  7. Marque ou desmarque a caixa de seleção para os clientes verificarem a CRL (lista de certificados revogados).

    System_CAPS_noteObservação

    Para obter mais informações sobre a verificação CRL para clientes, veja Planejando a revogação de certificados PKI.

  8. Se for necessário especificar certificados de autoridade de certificação (AC) raiz confiáveis para clientes, clique em Definir, importe os arquivos de certificado AC raiz e clique em OK.

    System_CAPS_noteObservação

    Para obter mais informações sobre esta configuração, veja Planejando certificados PKI de raiz confiável e a lista de emissores de certificados.

  9. Clique em OK para fechar a caixa de diálogo de propriedades do site.

Repita esse procedimento para todos os sites primários da hierarquia.

Configurar assinatura e criptografia

Defina as configurações de assinatura e criptografia mais seguras para sistemas de site, às quais todos os clientes do site deem suporte. Essas configurações são especialmente importantes quando você permite que os clientes se comuniquem com sistemas de site usando certificados autoassinados por meio de HTTP.

Para configurar assinatura e criptografia para um site

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Configuração de Site, clique em Sites e depois no site primário a ser configurado.

  3. Na guia Início, no grupo Propriedades, clique em Propriedades e clique na guia Assinatura e Criptografia.

    System_CAPS_noteObservação

    Essa guia está disponível somente em site primário. Se você não vir a guia Assinatura e Criptografia, verifique se você não está conectado a um site de administração central ou um site secundário.

  4. Configure as opções de assinatura e criptografia desejadas e clique em OK.

    System_CAPS_warningAviso

    Não selecione Exigir SHA-256 sem antes verificar se todos os clientes que podem ser atribuídos ao site oferecem suporte a esse algoritmo de hash ou se eles têm um certificado de autenticação de cliente PKI válido. Talvez você precise instalar atualizações ou hotfixes nos clientes para dar suporte ao SHA-256. Por exemplo, computadores que executam Windows Server 2003 SP2 devem instalar um hotfix que é referido no KB artigo 938397.

    Se você selecionar essa opção e os clientes não oferecerem suporte a SHA-256 e usarem certificados autoassinados, o Gerenciador de Configurações irá rejeitá-los. Nesse cenário, o componente SMS_MP_CONTROL_MANAGER registra a identificação 5443 da mensagem.

  5. Clique em OK para fechar a caixa de diálogo Propriedades do site.

Repita esse procedimento para todos os sites primários da hierarquia.

Configurar administração baseada em funções

Use as informações desta seção para ajudá-lo a configurar a administração baseada em funções no Gerenciador de Configurações. A administração baseada em funções combina funções de segurança, escopos de segurança e coleções atribuídas para definir o escopo administrativo para cada usuário administrativo. Um escopo administrativo inclui os objetos que um usuário administrativo pode exibir no console do Gerenciador de Configurações e as tarefas relacionadas a esses objetos que o usuário administrativo tem permissão para realizar. As configurações de administração baseada em funções são aplicadas em cada site de uma hierarquia.

As informações contidas nos procedimentos a seguir podem ajudá-lo a criar e configurar a administração baseada em funções e as configurações de segurança relacionadas.

  • Criar funções de segurança personalizadas

  • Configurar funções de segurança

  • Configurar escopos de segurança para um objeto

  • Configurar coleções para gerenciar a segurança

  • Criar um novo usuário administrativo

  • Modificar o escopo administrativo de um usuário administrativo

System_CAPS_importantImportante

A administração baseada em funções usa funções de segurança, escopos de segurança e coleções. Elas são combinadas para definir um escopo administrativo para cada usuário administrativo. Seu próprio escopo administrativo define os objetos e as configurações que você pode atribuir ao configurar a administração baseada em funções para outro usuário administrativo. Para obter informações sobre como planejar a administração baseada em funções, veja a seção Planejando a administração baseada em funções no tópico Planejando a segurança no Configuration Manager.

Criar funções de segurança personalizadas

OGerenciador de Configurações oferece várias funções de segurança interna. Se necessitar de funções de segurança adicionais, você poderá criar uma função de segurança personalizada criando a cópia de uma função de segurança existente e modificando essa cópia. Você pode criar uma função de segurança personalizada para conceder aos usuários administrativos as permissões de segurança adicionais de que eles necessitam e que não estão incluídas atualmente em uma função de segurança atribuída. Usando uma função de segurança personalizada, você pode conceder a eles somente as permissões de que eles precisam e impedir a atribuição de uma função de segurança que conceda mais permissões do que eles precisam.

Use o procedimento a seguir para criar uma nova atribuição de segurança usando uma função de segurança existente como modelo.

Para criar funções de segurança personalizadas

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

    Use um dos seguintes processos para criar a nova função de segurança:

    - Para criar uma nova função de segurança personalizada, execute as seguintes ações:
    
      1.  Selecione uma função de segurança existente para usar como origem para a nova função de segurança.
    
      2.  Na guia **Início**, no grupo **Função de Segurança**, clique em **Copiar**. Isso criará uma cópia da função de segurança de origem.
    
      3.  No assistente Copiar Função de Segurança, especifique um **Nome** para a nova função de segurança personalizada.
    
      4.  Em **Atribuições de operações de segurança**, expanda cada nó **Operações de Segurança** para exibir as ações disponíveis.
    
      5.  Para alterar a configuração de uma operação de segurança, clique na seta para baixo na coluna **Valor** e selecione **Sim** ou **Não**.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/Hh427332.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-caution(TechNet.10).jpeg" title="System_CAPS_caution" alt="System_CAPS_caution" />Cuidado</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>Ao configurar uma atribuição de segurança personalizada, não conceda permissões que não sejam exigidas pelos usuários administrativos associados à nova função de segurança. Por exemplo, o valor <strong>Modificar</strong> para a operação de segurança <strong>Funções de Segurança</strong> concede aos usuários administrativos permissão para editar toda função de segurança acessível, mesmo que eles não estejam associados a essa função de segurança.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
      6.  Após configurar as permissões, clique em **OK** para salvar a nova função de segurança.
    
    - Para importar uma função de segurança exportada de outra hierarquia do System Center 2012 Configuration Manager, execute as seguintes ações:
    
      1.  Na guia **Início**, no grupo **Criar**, clique em **Importar Função de Segurança**.
    
      2.  Especifique o arquivo .xml que contém a configuração da função de segurança que você deseja importar e clique em **Abrir** para concluir o procedimento e salvar a função de segurança.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/JJ851033.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Observação</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>Após importar uma função de segurança, você poderá editar as propriedades dessa função para alterar as permissões de objeto associadas a ela.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    

Configurar funções de segurança

Os grupos de permissões de segurança definidos para uma função de segurança são chamados de atribuições de operação de segurança. As atribuições de operação de segurança representam uma combinação de tipos de objetos e ações que estão disponíveis para cada tipo de objeto. Você pode modificar as operações de segurança disponíveis para toda função de segurança personalizada, mas não pode modificar as funções de segurança internas que o Gerenciador de Configurações fornece.

Use o procedimento a seguir para modificar as operações de segurança para uma função de segurança.

Para modificar as funções de segurança

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Funções de Segurança.

  3. Selecione a função de segurança personalizada que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique na guia Permissões.

  6. Em Atribuições de operações de segurança, expanda cada nó Operações de Segurança para exibir as ações disponíveis.

  7. Para alterar a configuração de uma operação de segurança, clique na seta para baixo na coluna Valor e selecione Sim ou Não.

    System_CAPS_cautionCuidado

    Ao configurar uma atribuição de segurança personalizada, não conceda permissões que não sejam exigidas pelos usuários administrativos associados à nova função de segurança. Por exemplo, o valor Modificar para a operação de segurança Funções de Segurança concede aos usuários administrativos permissão para editar toda função de segurança acessível, mesmo que eles não estejam associados a essa função de segurança.

  8. Após concluir a configuração das atribuições de operação de segurança, clique em OK para salvar a nova atribuição de segurança.

Configurar escopos de segurança para um objeto

Você gerencia a associação de um escopo de segurança para um objeto a partir do objeto e não a partir do escopo de segurança. As únicas configurações diretas para as quais os escopos de segurança oferecem suporte são as alterações de nome e descrição. Para alterar o nome e a descrição de um escopo de segurança ao exibir as propriedades dele, é necessário ter a permissão Modificar para o objeto protegível dos Escopos de Segurança.

Quando você cria um objeto no Gerenciador de Configurações, esse novo objeto é associado a cada escopo de segurança que está associado às funções de segurança da conta usada para criar o objeto quando essas funções de segurança fornecem a permissão Criar ou Definir Escopo de Segurança. Somente após o objeto ser criado você poderá alterar os escopos de segurança aos quais ele está associado.

Por exemplo, foi atribuída a você uma função de segurança que lhe concede permissão para criar um novo grupo de limites. Quando você cria um novo grupo de limites, você não tem opção à qual você possa atribuir escopos de segurança específicos. Em vez disso, os escopos de segurança disponíveis nas funções de segurança às quais você está associado são automaticamente atribuídos ao novo grupo de limites. Após salvar o novo grupo de limites, você poderá editar os escopos de segurança associados a ele.

Use o procedimento a seguir para configurar os escopos de segurança atribuídos a um objeto.

Para configurar escopos de segurança para um objeto

  1. No console do Gerenciador de Configurações, selecione um objeto que ofereça suporte à atribuição a um escopo de segurança.

  2. Na guia Início, no grupo Classificar, clique em Definir Escopos de Segurança.

  3. Na caixa de diálogo Definir Escopos de Segurança, selecione ou apague os escopos de segurança aos quais esse objeto está associado. Cada objeto que oferece suporte a escopos de segurança deve ser atribuído a pelo menos um escopo de segurança.

  4. Clique em OK para salvar os escopos de segurança atribuídos.

    System_CAPS_noteObservação

    Quando você cria um novo objeto, você pode atribuí-lo a vários escopos de segurança. Para modificar o número de escopos de segurança associados ao objeto, é necessário alterar essa atribuição após a criação do objeto.

Configurar coleções para gerenciar a segurança

Não existem procedimentos para configurar coleções para a administração baseada em funções. As coleções não possuem uma configuração de administração baseada em funções; em vez disso, você atribui coleções a um usuário administrativo quando você configura o usuário. As operações de segurança da coleção permitidas nas funções de segurança atribuídas aos usuários determinam as permissões que um usuário administrativo tem para coleções e recursos da coleção (membros da coleção).

Quando um usuário administrativo possui permissões para uma coleção, ele também tem permissões para coleções que estão limitadas a essa coleção. Por exemplo, a sua organização usa uma coleção chamada Todos os Desktops, e lá há uma coleção chamada Todos os Desktops da América do Norte que está limitada à coleção Todos os Desktops. Se um usuário administrativo tiver permissões para Todos os Desktops, ele também terá as mesmas permissões para a coleção Todos os Desktops da América do Norte. Além disso, um usuário administrativo não pode usar a permissão Excluir ou Modificar na coleção que está diretamente atribuída a ele, mas pode usar essas permissões nas coleções que estão limitadas a essa coleção. Usando o exemplo anterior, o usuário administrativo pode excluir ou modificar a coleção Todos os Desktops da América do Norte, mas não pode excluir ou modificar a coleção Todos os Desktops.

Criar um novo usuário administrativo

Para conceder a indivíduos ou membros um acesso ao grupo de segurança para gerenciar o Gerenciador de Configurações, criar um usuário administrativo no Gerenciador de Configurações e especificar a conta do Windows do Usuário ou Grupo de Usuários. Cada usuário administrativo no Gerenciador de Configurações deve ser atribuído a pelo menos uma função de segurança e um escopo de segurança. Você também pode atribuir coleções para limitar o escopo administrativo do usuário administrativo.

Use os procedimentos a seguir para criar novos usuários administrativos.

Para criar um novo usuário administrativo

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Usuários Administrativos.

  3. Na guia Início, no grupo Criar, clique em Adicionar Usuário ou Grupo.

  4. Clique em Procurar e selecione a conta de usuário ou grupo a ser usada para esse novo usuário administrativo.

    System_CAPS_noteObservação

    Para a administração baseada em console, somente os usuários de domínio ou grupos de segurança podem ser especificados como um usuário administrativo.

  5. Para Funções de segurança associadas, clique em Adicionar para abrir a lista de funções de segurança disponíveis, marque a caixa de seleção para uma ou mais funções de segurança e clique em OK.

  6. Selecione uma das duas opções a seguir para definir o comportamento de objeto protegível para o novo usuário:

    - **Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas**: Essa opção associa o usuário administrativo a **Todos** os escopos de segurança e coleções internas de nível raiz para **Todos os Sistemas**, **Todos os Usuários** e Grupos de Usuários. As funções de segurança atribuídas ao usuário definem o acesso a objetos. Os novos objetos que esse usuário administrativo cria são atribuídos ao escopo de segurança **Padrão**.
    
    - **Somente objetos protegíveis em escopos de segurança ou coleções especificadas**: Por padrão, essa opção associa o usuário administrativo ao escopo de segurança **Padrão** e às coleções **Todos os Sistemas** e **Todos os Usuários e Grupos de Usuários**. No entanto, os escopos de segurança e as coleções atuais são limitados aos que estão associados à conta que você usou para criar o novo usuário administrativo. Essa opção oferece suporte à adição ou remoção de escopos de segurança e coleções para personalizar o escopo administrativo do usuário administrativo.
    
    System_CAPS_importantImportante

    As opções anteriores associam cada escopo de segurança e coleção associados a cada função de segurança atribuída ao usuário administrativo. Uma terceira opção, Somente objetos protegíveis como determinado pelas funções de segurança do usuário administrativo, pode ser usada para associar funções de segurança individuais a escopos de segurança e coleções específicos. Essa terceira opção fica disponível com a criação do novo usuário administrativo, quando você modifica o usuário administrativo.

  7. Dependendo da sua seleção na etapa 6, execute a seguinte ação:

    - Se você selecionou **Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas**, clique em **OK** para concluir esse procedimento.
    
    - Se você selecionou **Somente objetos protegíveis em escopos de segurança ou coleções especificadas**, clique em **Adicionar** para selecionar coleções e escopos de segurança adicionais ou selecione um ou mais objetos na lista e clique em **Remover** para removê-los. Clique em **OK** para concluir esse procedimento.
    

Modificar o escopo administrativo de um usuário administrativo

É possível modificar o escopo administrativo de um usuário administrativo ao adicionar ou remover funções de segurança, escopos de segurança e coleções que estão associados ao usuário. Cada usuário administrativo deve ser associado a pelo menos uma função de segurança e um escopo de segurança. Talvez você precise atribuir uma ou mais coleções para o escopo administrativo do usuário. A maioria das funções de segurança interagem com as coleções e não funcionam corretamente sem uma coleção atribuída.

Ao modificar um usuário administrativo, você pode alterar o comportamento de como os objetos protegíveis são associados às funções de segurança atribuídas. Os três comportamentos que podem ser selecionados são:

  • Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas: Essa opção associa o usuário administrativo a Todos os escopos e coleções internas de nível raiz para Todos os Sistemas e Todos os Usuários e Grupos de Usuários. As funções de segurança que são atribuídas ao usuário definem o acesso a objetos.

  • Somente objetos protegíveis em escopos de segurança ou coleções especificadas: Essa opção associa o usuário administrativo aos mesmos escopos de segurança e coleções que estão associados à conta que você usa para configurar o usuário administrativo. Essa opção oferece suporte à adição ou remoção de funções de segurança e coleções para personalizar o escopo administrativo do usuário administrativo.

  • Somente objetos protegíveis como determinado pelas funções de segurança do usuário administrativo: Essa opção permite que você crie as associações específicas entre as funções de segurança individuais, os escopos de segurança e as coleções específicos para o usuário.

    System_CAPS_noteObservação

    Essa opção está disponível somente quando você modifica as propriedades de um usuário administrativo.

A configuração atual para o comportamento de objeto protegível altera o processo que você usa para atribuir as funções de segurança adicionais. Use os procedimentos a seguir que são baseados em opções diferentes para objetos protegíveis a fim de ajudá-lo a gerenciar um usuário administrativo.

Use o procedimento a seguir para exibir e gerenciar a configuração de objetos protegíveis para um usuário administrativo:

Para exibir e gerenciar o comportamento do objeto protegível para um usuário administrativo

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique na guia Escopos de Segurança para exibir a configuração atual de objetos protegíveis para esse usuário administrativo.

  6. Para modificar o comportamento do objeto protegível, selecione uma nova opção para o comportamento do objeto protegível. Feita a mudança dessa configuração, faça a referência do procedimento apropriado para consulta futura para configurar os escopos de segurança, as coleções e as funções de segurança para esse usuário administrativo.

  7. Clique em OK para concluir o procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que têm o comportamento de objeto protegível definido como Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas:

Opção: Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas:

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique na guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas.

  6. Para modificar as funções de segurança atribuídas, clique na guia Funções de Segurança.

    - Para atribuir funções de segurança adicionais para esse usuário administrativo, clique em **Adicionar**, marque a caixa de seleção para cada função de segurança adicional que deseja atribuir e clique em **OK**.
    
    - Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e clique em **Remover**.
    
  7. Para modificar o comportamento de objeto protegível, clique na guia Escopos de Segurança e selecione a nova opção para o comportamento de objeto protegível. Feita a mudança dessa configuração, faça a referência do procedimento apropriado para consulta futura para configurar os escopos de segurança, as coleções e as funções de segurança para esse usuário administrativo.

    System_CAPS_noteObservação

    Quando o comportamento de objeto protegível está definido como Todos os objetos protegíveis que são relevantes para suas funções de segurança associadas, você não pode adicionar ou remover escopos de segurança e coleções específicas.

  8. Clique em OK para concluir esse procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que tem o comportamento de objeto protegível definido como Somente objetos protegíveis em escopos de segurança ou coleções especificadas.

Opção: Somente objetos protegíveis em escopos de segurança ou coleções especificadas

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique na guia Escopos de Segurança para confirmar se o usuário está configurado para Somente objetos protegíveis em escopos de segurança ou coleções especificadas.

  6. Para modificar as funções de segurança atribuídas, clique na guia Funções de Segurança.

    - Para atribuir funções de segurança adicionais para esse usuário, clique em **Adicionar**, marque a caixa de seleção para cada função de segurança adicional que deseja atribuir e clique em **OK**.
    
    - Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e clique em **Remover**.
    
  7. Para modificar os escopos de segurança e as coleções associados a funções de segurança, clique na guia Escopos de Segurança.

    - Para associar novos escopos de segurança ou coleções com todas as funções de segurança que estão atribuídos a esse usuário administrativo, clique em **Adicionar** e selecione uma das quatro opções. Se você selecionar **Escopo de Segurança** ou **Coleção**, marque a caixa de seleção para um ou mais objetos para concluir essa seleção e clique em **OK**.
    
    - Para remover um escopo de segurança ou uma coleção, selecione o objeto e clique em **Remover**.
    
  8. Clique em OK para concluir esse procedimento.

Use o procedimento a seguir para modificar um usuário administrativo que tem o comportamento de objeto protegível definido como Somente objetos protegíveis como determinado pelas funções de segurança do usuário administrativo.

Opção: Somente objetos protegíveis como determinado pelas funções de segurança do usuário administrativo

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Usuários Administrativos.

  3. Selecione o usuário administrativo que deseja modificar.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique na guia Escopos de Segurança para confirmar se o usuário administrativo está configurado para Somente objetos protegíveis em escopos de segurança ou coleções especificadas.

  6. Para modificar as funções de segurança atribuídas, clique na guia Funções de Segurança.

    - Para atribuir funções de segurança adicionais para esse usuário administrativo, clique em **Adicionar**. Na caixa de diálogo **Adicionar Função de Segurança**, selecione uma ou mais funções de segurança disponíveis, clique em **Adicionar** e selecione um tipo de objeto para associar a funções de segurança selecionadas. Se você selecionar **Escopo de Segurança** ou **Coleção**, marque a caixa de seleção para um ou mais objetos para concluir essa seleção e clique em **OK**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/JJ851033.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Observação</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Você deve configurar pelo menos um escopo de segurança antes das funções de segurança selecionadas poder ser atribuídas ao usuário administrativo. Quando você seleciona várias funções de segurança, cada escopo de segurança e coleção que você configura está associado a cada uma das funções de segurança selecionadas.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - Para remover as funções de segurança, selecione uma ou mais funções de segurança da lista e clique em **Remover**.
    
  7. Para modificar os escopos de segurança e as coleções associados a uma função de segurança específica, clique na guia Escopos de Segurança, selecione a função de segurança e clique em Editar.

    - Para associar novos objetos a essa função de segurança, clique em **Adicionar** e selecione um tipo de objeto para associar a funções de segurança selecionadas. Se você selecionar **Escopo de Segurança** ou **Coleção**, marque a caixa de seleção para um ou mais objetos para concluir essa seleção e clique em **OK**.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/JJ851033.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Observação</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Você deve configurar pelo menos um escopo de segurança.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - Para remover uma coleção ou escopo de segurança que está associado a essa função de segurança, selecione o objeto e clique em **Remover**.
    
    - Modificados os objetos associados, clique em **OK**.
    
  8. Clique em OK para concluir esse procedimento.

    System_CAPS_cautionCuidado

    Quando uma função de segurança concede a usuários administrativos a permissão de implantação de coleção, os usuários administrativos podem distribuir objetos a partir de qualquer escopo de segurança para os quais eles têm permissões de leitura de objetos, mesmo se o escopo de segurança esteja associado a uma função de segurança diferente.

Gerenciar contas usadas pelo Configuration Manager

O Gerenciador de Configurações oferece suporte a contas do Windows para várias tarefas e usos diferentes.

Use o procedimento a seguir para exibir quais contas estão configuradas para tarefas diferentes e para gerenciar a senha que o Gerenciador de Configurações usa para cada conta.

Para gerenciar as contas usadas pelo Gerenciador de Configurações

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Segurança e clique em Contas para exibir as contas que estão configuradas para o Gerenciador de Configurações.

  3. Para alterar a senha de uma conta que está configurada para o Gerenciador de Configurações, selecione a conta.

  4. Na guia Início, no grupo Propriedades, clique em Propriedades.

  5. Clique em Definir para abrir a caixa de diálogo Conta de Usuário do Windows e especifique a nova senha para o Gerenciador de Configurações usar para a conta.

    System_CAPS_noteObservação

    A senha que você especificar deverá corresponder à senha especificada para a conta em Usuários e Computadores do Active Directory.

  6. Clique em OK para concluir o procedimento.