Implementando funções de usuário
No System Center Operations Manager, as funções de usuário são o método que você usa para atribuir os direitos necessários para acessar dados de monitoramento e executar ações. As funções de usuário foram criadas para aplicação a grupos de usuários que precisam acessar e executar ações no mesmo grupo de objetos monitorados. Por padrão, somente a conta de Administrador do Operations Manager tem o direito de exibir e agir em todos os dados de monitoramento. Todos os outros usuários devem ter uma função de usuário atribuída para exibir ou agir em dados específicos ou em todos os dados de monitoramento.
As funções de usuário são criadas com o Assistente para Criação de Função de Usuário. Neste assistente, você configura quais grupos de segurança do Active Directory recebem essa função de usuário, qual grupo ou grupos de objetos monitorados do Operations Manager esse usuário pode acessar e quais tarefas, painéis e exibições essa função de usuário pode acessar.
Uma função de usuário é a combinação de um perfil e escopo, conforme mostrado na ilustração a seguir. Um usuário pode ser parte de várias funções e o escopo resultante é a união de todas as funções do usuário.
Entender os perfis
Antes de criar funções de usuário em seu grupo de gerenciamento, selecione um perfil que se aplique à função de usuário que você está criando. Um perfil determina as ações que um usuário pode executar. Os perfis têm um conjunto definido de direitos e você não pode adicionar ou remover nenhum desses direitos atribuídos. Ao criar funções de usuário para operadores e outros usuários, selecione o perfil que mais se aproxima das responsabilidades do grupo de usuários em sua implantação do System Center – Operations Manager.
Como o Operations Manager é uma plataforma de monitoramento corporativo, que pode monitorar a infraestrutura, a carga de trabalho ou os aplicativos implantados em sua empresa, talvez você queira alinhar o acesso aos dados de monitoramento com seus processos de operação de serviço, para que as diferentes camadas de suporte de escalonamento de incidentes ou a equipe de desenvolvedores de aplicativos possam ver os dados operacionais relevantes para sua função. A segurança baseada em função permite limitar privilégios de usuários para vários aspectos do Operations Manager.
Importante
Adicionar uma conta de computador a um membro da função de usuário permite que todos os serviços nesse computador tenham acesso no Operations Manager. É recomendável que você não adicione uma conta de computador a nenhuma função de usuário.
No Operations Manager, as operações, como resolver alertas, executar tarefas, substituir monitores, criar funções de usuário, exibir alertas, exibir eventos e assim por diante, foram agrupadas em perfis, com cada perfil representando uma função de trabalho específica, conforme mostrado na tabela a seguir. Para uma lista das operações específicas associadas a cada perfil, consulte Operations Associated with User Role Profiles.
Observação
Um escopo define os grupos de entidades, tipos de objetos, tarefas ou modos de exibição aos quais um perfil está restrito. Nem todos os escopos aplicam-se a todos os perfis.
| Perfil | Funções de trabalho e escopo |
|---|---|
| Administrador | Inclui todos os privilégios disponíveis no Operations Manager. Observação: Você só pode adicionar grupos de segurança do Active Directory à função de Administrador. |
| Operador Avançado | Inclui um conjunto de privilégios desenvolvidos para usuários que precisam de acesso a ajuste limitado de configurações de monitoramento além dos privilégios de Operador. Concede aos membros a habilidade de substituir a configuração de regras e monitores para destinos específicos ou grupos de destinos dentro do escopo configurado. O Operador Avançado também herda privilégios de Operador. |
| Operador de monitoramento de aplicativo | Inclui um conjunto de privilégios projetados para usuários que precisam de acesso ao Application Diagnostics. Uma função de usuário baseada no perfil do Operador de Monitoramento de Aplicativos concede aos membros a capacidade de ver os eventos de Monitoramento de Aplicativos no console Web do Diagnóstico de Aplicativos. Observação: o acesso ao recurso Application Advisor requer o perfil Operador de Relatório ou Administrador. |
| Autor | Inclui um conjunto de privilégios desenvolvidos para a criação de configurações de monitoramento. Concede aos membros a habilidade de criar, editar e excluir configuração de monitoramento (por exemplo, tarefas, regras, monitores e modos de exibição) para destinos específicos ou grupos de destinos dentro do escopo configurado. |
| Operador | Inclui um conjunto de privilégios desenvolvidos para usuários que precisam de acesso a alertas, modos de exibição e tarefas. Concede aos membros a habilidade de interagir com alertas, executar tarefas e acessar modos de exibição de acordo com o escopo configurado. Observação de segurança: quando uma exibição de painel usa dados do banco de dados do data warehouse, os operadores podem exibir dados aos quais não teriam acesso em exibições que usam dados do banco de dados operacional. |
| Operador Somente Leitura | Inclui um conjunto de privilégios desenvolvidos para usuários que precisam de acesso de somente leitura a alertas e modos de exibição. Concede aos membros a habilidade de exibir alertas e acessar modos de exibição de acordo com seu escopo configurado. Observação: Os membros da função Operador Somente Leitura não recebem direitos para a exibição Status da Tarefa. Observação de segurança: quando uma exibição de painel usa dados do banco de dados do data warehouse, os operadores podem exibir dados aos quais não teriam acesso em exibições que usam dados do banco de dados operacional. |
| Operador de Relatórios | Inclui um conjunto de privilégios desenvolvidos para usuários que precisam acessar Relatórios. Concede aos membros a habilidade de exibir relatórios de acordo com seu escopo configurado. Cuidado: os usuários atribuídos a essa função têm acesso a todos os dados de relatório no Data Warehouse de Relatórios e não são limitados pelo escopo. |
| Administrador de Segurança de Relatórios | Permite a integração de segurança do SQL Server Reporting Services com as funções de usuário do Operations Manager. Isso oferece aos Administradores do Operations Manager a habilidade de controlar o acesso a relatórios. Essa função pode ter apenas uma conta-membro e não pode ter escopo. |
Além dos perfis de trabalho existentes listados acima, o Operations Manager 2022 dá suporte aos seguintes novos perfis de trabalho:
| Perfil | Funções de trabalho e escopo |
|---|---|
| Administrador somente leitura | Inclui todos os privilégios de leitura no Operations Manager juntamente com relatórios. |
| Administrador delegado | Inclui todos os privilégios de leitura no Operations Manager, exceto relatórios. Concede ao membro a capacidade de criar uma função de usuário personalizada com o Administrador delegado como perfil base. |
Definir um escopo usando grupos do Operations Manager
O escopo de uma função de usuário determina em quais objetos essa função de usuário pode exibir e executar ações no System Center – Operations Manager. Um escopo é composto por um ou mais grupos do Operations Manager e é definido ao criar uma função de usuário como parte do Assistente para Criar Função de Usuário. A página Escopo do grupo do Assistente de Criação de Função do Usuário fornece uma lista de todos os grupos existentes do Operations Manager. Você pode escolher todos ou alguns desses grupos como o escopo da função de usuário que está criando.
Grupos, como outros objetos do Operations Manager, são definidos em pacotes de gerenciamento. No Operations Manager, os grupos são coleções lógicas de objetos, como computadores baseados no Windows, discos rígidos ou instâncias do Microsoft SQL Server. Vários grupos são criados pelos pacotes de gerenciamento importados automaticamente durante uma instalação do Operations Manager. Se esses grupos não contiverem os objetos monitorados necessários para um escopo, você poderá criar um grupo que contenha. Para fazer isso, você deve sair do Assistente para Criar Função de Usuário, alternar para o espaço de trabalho Monitoramento e usar o Assistente para Criar Grupo para criar um grupo que melhor atenda às suas necessidades.
Atribuir tarefas, painéis e exibições
Uma tarefa é uma ação iniciada pelo usuário do console de Operações que é executada em um agente do Operations Manager ou no sistema do qual o console é iniciado. As tarefas que você concede a uma função de usuário que você está criando podem executar esses comandos ou ações específicas para a função de usuário que você está criando. A configuração padrão é que todos os usuários atribuídos a essa função de usuário podem executar todas as tarefas e abrir todos os painéis e exibições, desde que seu perfil e escopo permitam. A alternativa na página Criar Tarefas do assistente de Função de Usuário é listar as tarefas específicas que a regra de usuário que você está criando pode acessar. Da mesma forma, na página Criar Painéis e Exibições de Função de Usuário é especificar quais painéis e exibições, bem como quais painéis específicos estão disponíveis para acesso no painel Tarefas, podem ser acessados.
Como atribuir membros a funções de usuário internas
O Operations Manager fornece oito funções de usuário padrão que são criadas durante a instalação. Você pode atribuir grupos e indivíduos diretamente a essas funções de usuário internas para fornecer a eles a capacidade de executar determinadas tarefas e acessar determinadas informações. Essas funções internas têm escopo global para o grupo de gerenciamento.
Para limitar o escopo de um usuário, crie uma nova função de usuário.
Para atribuir membros a uma função de usuário interna
No console de Operações, selecione Administração.
Em Segurança, selecione Funções de usuário.
No painel de resultados, clique com o botão direito do mouse em qualquer uma das funções de usuário, como Operadores do Operations Manager, e selecione Propriedades.
Na guia Propriedades Gerais, em Membros da função Usuário, selecione Adicionar.
Em Insira os nomes de objeto a serem selecionados, insira o nome da conta de usuário ou grupo que você deseja adicionar à função de usuário e selecione OK para fechar a caixa de diálogo.
Selecione OK para fechar as propriedades da função de usuário.