Configuration Manager için rol tabanlı yönetimin temelleri
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager ile, yönetici kullanıcıların Configuration Manager kullanması gereken erişimin güvenliğini sağlamak için rol tabanlı yönetim kullanırsınız. Ayrıca koleksiyonlar, dağıtımlar ve siteler gibi yönettiğiniz nesnelere erişimin güvenliğini de sağlarsınız.
Rol tabanlı yönetim modeli hiyerarşi genelinde güvenlik erişimini merkezi olarak tanımlar ve yönetir. Bu model, aşağıdaki öğeleri kullanarak tüm siteler ve site ayarları içindir:
Güvenlik rolleri, yönetim kullanıcılarına nesneleri Configuration Manager izni vermek için atanır. Örneğin, istemci ayarlarını oluşturma veya değiştirme izni.
Güvenlik kapsamları , yönetim kullanıcısının yönetmekle sorumlu olduğu nesnelerin belirli örneklerini gruplandırmak için kullanılır. Örneğin, Configuration Manager konsolunu yükleyen bir uygulama.
Koleksiyonlar, yönetici kullanıcının Configuration Manager yönetebileceği kullanıcı ve cihaz gruplarını belirtmek için kullanılır.
Rollerin, kapsamların ve koleksiyonların birleşimiyle, kuruluşunuzun gereksinimlerini karşılayan yönetim atamalarını ayırırsınız. Birlikte kullanıldığında, kullanıcının yönetim kapsamını tanımlar. Bu yönetim kapsamı, yönetici kullanıcının Configuration Manager konsolunda görüntülediği nesneleri denetler ve bir kullanıcının bu nesneler üzerinde sahip olduğu izinleri denetler.
Fayda -ları
Aşağıdaki öğeler, Configuration Manager rol tabanlı yönetimin avantajlarıdır:
Siteler yönetim sınırları olarak kullanılmaz. Başka bir deyişle, yönetim kullanıcılarını ayırmak için tek başına birincil siteyi merkezi yönetim sitesi olan bir hiyerarşiye genişletmeyin.
Hiyerarşi için yönetici kullanıcılar oluşturursunuz ve bunlara yalnızca bir kez güvenlik atamanız gerekir.
Tüm güvenlik atamaları çoğaltılır ve hiyerarşi boyunca kullanılabilir. Rol tabanlı yönetim yapılandırmaları hiyerarşideki her siteye genel veri olarak çoğaltılır ve ardından tüm yönetim bağlantılarına uygulanır.
Önemli
Siteler arası çoğaltma gecikmeleri, sitenin rol tabanlı yönetim için değişiklik almasını engelleyebilir. Siteler arası veritabanı çoğaltmasını izleme hakkında daha fazla bilgi için bkz. Siteler arasında veri aktarımları.
Tipik yönetim görevlerini atamak için kullanılan yerleşik güvenlik rolleri vardır. Belirli iş gereksinimlerinizi desteklemek için kendi özel güvenlik rollerinizi oluşturun.
Yönetici kullanıcılar yalnızca yönetme izinlerine sahip oldukları nesneleri görür.
Yönetim güvenlik eylemlerini denetleyebilirsiniz.
Güvenlik rolleri
Yönetici kullanıcılara güvenlik izinleri vermek için güvenlik rollerini kullanın. Güvenlik rolleri, yönetim görevlerini gerçekleştirebilmeleri için yönetici kullanıcılara atadığınız güvenlik izinleri gruplarıdır. Bu güvenlik izinleri, bir yönetici kullanıcının gerçekleştirebileceği eylemleri ve belirli nesne türleri için verilen izinleri tanımlar. En iyi güvenlik uygulaması olarak, görev için gereken en az izinleri sağlayan güvenlik rollerini atayın.
Configuration Manager, yönetim görevlerinin tipik gruplandırmalarını desteklemek için çeşitli yerleşik güvenlik rollerine sahiptir. Belirli iş gereksinimlerinizi desteklemek için kendi özel güvenlik rollerinizi oluşturabilirsiniz.
Aşağıdaki tabloda tüm yerleşik roller özetlenmiştir:
Name | Açıklama |
---|---|
Uygulama yöneticisi | Uygulama dağıtım yöneticisi ve Uygulamayazarı rollerinin izinlerini birleştirir. Bu roldeki yönetici kullanıcılar sorguları yönetebilir, site ayarlarını görüntüleyebilir, koleksiyonları yönetebilir, kullanıcı cihaz benzinim ayarlarını düzenleyebilir ve App-V sanal ortamlarını yönetebilir. |
Uygulama yazarı | Uygulamaları oluşturabilir, değiştirebilir ve devre dışı bırakabilirsiniz. Bu roldeki yönetici kullanıcılar uygulamaları, paketleri ve App-V sanal ortamlarını da yönetebilir. |
Uygulama dağıtım yöneticisi | Uygulamaları dağıtabilir. Bu roldeki yönetici kullanıcılar uygulamaların listesini görüntüleyebilir. Uygulamalar, uyarılar ve paketler için dağıtımları yönetebilir. Koleksiyonları ve üyelerini, durum iletilerini, sorguları, koşullu teslim kurallarını ve App-V sanal ortamlarını görüntüleyebilir. |
Varlık yöneticisi | Varlık Yönetim Bilgileri eşitleme noktasını, Varlık Yönetim Bilgileri raporlama sınıflarını, yazılım envanterini, donanım envanterini ve ölçüm kurallarını yönetmek için izinler verir. |
Şirket kaynak erişim yöneticisi | Şirket kaynak erişim profillerini oluşturma, yönetme ve dağıtma izinleri verir. Örneğin, Wi-Fi, VPN, Exchange ActiveSync e-posta ve sertifika profilleri. |
Uyumluluk ayarları yöneticisi | Uyumluluk ayarlarını tanımlama ve izleme izinleri verir. Bu roldeki yönetici kullanıcılar yapılandırma öğeleri ve temelleri oluşturabilir, değiştirebilir ve silebilir. Ayrıca koleksiyonlara yapılandırma temelleri dağıtabilir, uyumluluk değerlendirmesini başlatabilir ve uyumlu olmayan bilgisayarlar için düzeltme başlatabilir. |
Uç nokta koruma yöneticisi | Uç nokta koruma ilkeleri oluşturma, değiştirme ve silme izinleri verir. Bu ilkeleri koleksiyonlara dağıtabilir, uyarılar oluşturup değiştirebilir ve uç nokta koruma durumunu izleyebilirler. |
Tam yönetici | Configuration Manager'deki tüm izinleri verir. Configuration Manager yükleyen yönetici kullanıcıya otomatik olarak bu güvenlik rolü, tüm kapsamlar ve tüm koleksiyonlar verilir. |
Altyapı yöneticisi | Configuration Manager sunucu altyapısını oluşturma, silme ve değiştirme ve geçiş görevlerini çalıştırma izinleri verir. |
İşletim sistemi dağıtım yöneticisi | İşletim sistemi görüntüleri oluşturma ve bunları bilgisayarlara dağıtma, işletim sistemi yükseltme paketlerini ve görüntülerini, görev dizilerini, sürücüleri, önyükleme görüntülerini ve durum geçiş ayarlarını yönetme izinleri verir. |
İşlem yöneticisi | Güvenliği yönetme izinleri dışında Configuration Manager'deki tüm eylemler için izinler verir. Bu rol yönetici kullanıcıları, güvenlik rollerini ve güvenlik kapsamlarını yönetemez. |
Salt okunur analist | Tüm Configuration Manager nesnelerini görüntüleme izinleri verir. |
Uzak araçlar işleci | Kullanıcıların bilgisayar sorunlarını çözmesine yardımcı olan uzaktan yönetim araçlarını çalıştırma ve denetleme izinleri verir. Bu roldeki yönetici kullanıcılar Configuration Manager konsolundan uzaktan denetim, uzaktan yardım ve uzak masaüstü çalıştırabilir. |
Güvenlik yöneticisi | Yönetici kullanıcıları ekleme ve kaldırma ve yönetici kullanıcıları güvenlik rolleri, koleksiyonlar ve güvenlik kapsamlarıyla ilişkilendirme izinleri verir. Bu roldeki yönetici kullanıcılar, güvenlik rollerini ve atanmış güvenlik kapsamlarını ve koleksiyonlarını da oluşturabilir, değiştirebilir ve silebilir. |
Yazılım güncelleştirme yöneticisi | Yazılım güncelleştirmelerini tanımlama ve dağıtma izinleri verir. Bu roldeki yönetici kullanıcılar yazılım güncelleştirme gruplarını, dağıtımları ve dağıtım şablonlarını yönetebilir. |
İpucu
İzinleriniz varsa, Configuration Manager konsolunda tüm güvenlik rollerinin listesini görüntüleyebilirsiniz. Rolleri görüntülemek için Yönetim çalışma alanına gidin, Güvenlik'i genişletin ve güvenlik rolleri düğümünü seçin.
Yönetici kullanıcıları ekleme dışında yerleşik güvenlik rollerini değiştiremezsiniz. Rolü kopyalayabilir, değişiklikler yapabilir ve sonra bu değişiklikleri yeni bir özel güvenlik rolü olarak kaydedebilirsiniz. Laboratuvar ortamı gibi başka bir hiyerarşiden dışarı aktardığınız güvenlik rollerini de içeri aktarabilirsiniz. Daha fazla bilgi için bkz. Rol tabanlı yönetimi yapılandırma.
Yerleşik güvenlik rollerini kullanıp kullanmayabileceğinizi veya kendi özel güvenlik rollerinizi oluşturmanız gerekip gerekmediğini belirlemek için güvenlik rollerini ve izinlerini gözden geçirin.
Rol izinleri
Her güvenlik rolünün farklı nesne türleri için belirli izinleri vardır. Örneğin, uygulama yazarı rolü uygulamalar için aşağıdaki izinlere sahiptir:
- Onayla
- Oluşturma
- Silme
- Değiştirme
- Klasörü değiştir
- Nesneyi taşıma
- Okuma
- Raporu çalıştırma
- Güvenlik kapsamını ayarlama
Bu rolün diğer nesneler için izinleri de vardır.
Bir rolün izinlerini görüntüleme veya özel rol izinlerini değiştirme hakkında daha fazla bilgi için bkz. Rol tabanlı yönetimi yapılandırma.
Güvenlik rollerini planlama
Ortamınızdaki Configuration Manager güvenlik rollerini planlamak için bu işlemi kullanın:
Yönetim kullanıcılarının Configuration Manager içinde yapması gereken görevleri belirleyin. Bu görevler bir veya daha fazla yönetim görevi grubuyla ilgili olabilir. Örneğin, uyumluluk için işletim sistemlerini ve ayarları dağıtma.
Bu yönetim görevlerini bir veya daha fazla yerleşik rolle eşleyin.
Yönetici kullanıcılardan bazıları birden çok rolün görevlerini gerçekleştiriyorsa, kullanıcıları birden çok role atayın. İzinleri birleştiren özel bir rol oluşturmayın.
Tanımladığınız görevler yerleşik güvenlik rolleriyle eşlemiyorsa özel roller oluşturun ve test edin.
Daha fazla bilgi için bkz. Özel güvenlik rolleri oluşturma ve Güvenlik rollerini yapılandırma.
Koleksiyon
Koleksiyonlar, yönetici kullanıcının görüntüleyebileceği veya yönetebileceği kullanıcıları ve cihazları belirtir. Örneğin, bir uygulamayı bir cihaza dağıtmak için yönetici kullanıcının, cihazı içeren bir koleksiyona erişim izni veren bir güvenlik rolünde olması gerekir.
Koleksiyonlar hakkında daha fazla bilgi için bkz. Koleksiyonlara giriş.
Rol tabanlı yönetimi yapılandırmadan önce, aşağıdaki nedenlerden herhangi biri nedeniyle yeni koleksiyonlar oluşturmanız gerekip gerekmediğine karar verin:
- İşlevsel kuruluş. Örneğin, ayrı sunucu ve iş istasyonları koleksiyonları.
- Coğrafi hizalama. Örneğin, Kuzey Amerika ve Avrupa için ayrı koleksiyonlar.
- Güvenlik gereksinimleri ve iş süreçleri. Örneğin, üretim ve test bilgisayarları için ayrı koleksiyonlar.
- Kuruluş hizalaması. Örneğin, her iş birimi için ayrı koleksiyonlar.
Daha fazla bilgi için bkz . Güvenliği yönetmek için koleksiyonları yapılandırma.
Güvenlik kapsamları
Yönetici kullanıcılara güvenli hale getirilebilir nesnelere erişim sağlamak için güvenlik kapsamlarını kullanın. Güvenlik kapsamı, yönetici kullanıcılara grup olarak atanan, güvenli hale getirilebilir nesnelerin adlandırılmış bir kümesidir. Güvenliği sağlanabilir tüm nesneler bir veya daha fazla güvenlik kapsamına atanır. Configuration Manager iki yerleşik güvenlik kapsamı vardır:
Tümü: Tüm kapsamlara erişim verir. Bu güvenlik kapsamına nesne atayamazsınız.
Varsayılan: Bu kapsam varsayılan olarak tüm nesneler için kullanılır. Configuration Manager yüklediğinizde, tüm nesneleri bu güvenlik kapsamına atar.
Yönetici kullanıcıların görebileceği ve yönetebileceği nesneleri kısıtlamak istiyorsanız, kendi özel güvenlik kapsamlarınızı oluşturun. Güvenlik kapsamları hiyerarşik bir yapıyı desteklemez ve iç içe kullanılamaz. Güvenlik kapsamları, aşağıdaki öğeleri içeren bir veya daha fazla nesne türü içerebilir:
- Uyarı abonelikleri
- Uygulamalar ve uygulama grupları
- App-V sanal ortamları
- Önyükleme görüntüleri
- Sınır grupları
- Yapılandırma öğeleri ve temelleri
- Özel istemci ayarları
- Dağıtım noktaları ve dağıtım noktası grupları
- Sürücü paketleri
- Uç nokta koruma ilkeleri (tümü)
- Klasör
- Genel koşullar
- Geçiş işleri
- profilleri OneDrive İş
- İşletim sistemi görüntüleri
- İşletim sistemi yükseltme paketleri
- Paket
- Sorgu
- Uzak bağlantı profilleri
- Komut dosyaları
- Site
- Yazılım kullanım ölçümü kuralları
- Yazılım güncelleştirme grupları
- Yazılım güncelleştirme paketleri
- Görev dizileri
- Kullanıcı verileri ve profilleri yapılandırma öğeleri
- İş İçin Windows Update ilkeleri
Güvenlik kapsamlarına ekleyemediğiniz bazı nesneler de vardır çünkü bunlar yalnızca güvenlik rolleri tarafından güvenli hale getirilir. Bu nesnelere yönetim erişimi, kullanılabilir nesnelerin bir alt kümesiyle sınırlı olamaz. Örneğin, belirli bir site için kullanılan sınır grupları oluşturan bir yönetici kullanıcınız olabilir. Sınır nesnesi güvenlik kapsamlarını desteklemediğinden, bu kullanıcıya yalnızca o siteyle ilişkilendirilmiş olabilecek sınırlara erişim sağlayan bir güvenlik kapsamı atayamazsınız. Sınır nesnesi bir güvenlik kapsamıyla ilişkilendirilemediğinden, bir kullanıcıya sınır nesnelerine erişim içeren bir güvenlik rolü atadığınızda, bu kullanıcı hiyerarşideki her sınıra erişebilir.
Güvenlik kapsamlarını desteklemeyen nesneler aşağıdaki öğeleri içerir ancak bunlarla sınırlı değildir:
- Active Directory ormanları
- Yönetici kullanıcılar
- Uyarılar
- Sınır -ları
- Bilgisayar ilişkilendirmeleri
- Varsayılan istemci ayarları
- Dağıtım şablonları
- Cihaz sürücüleri
- Siteden siteye eşlemeleri geçirme
- Güvenlik rolleri
- Güvenlik kapsamları
- Site adresleri
- Site sistemi rolleri
- Yazılım güncelleştirmeleri
- Durum iletileri
- Kullanıcı cihaz benziteleri
Erişimi ayrı nesne örnekleriyle sınırlamanız gerektiğinde güvenlik kapsamları oluşturun. Örneğin:
Uygulamaları test etmek için değil üretim uygulamalarını görmesi gereken bir grup yönetici kullanıcınız var. Üretim uygulamaları için bir güvenlik kapsamı ve test uygulamaları için başka bir güvenlik kapsamı oluşturun.
Bir yönetici kullanıcı grubu, belirli yazılım güncelleştirme grupları için Okuma izni gerektirir. Başka bir yönetici kullanıcı grubu, diğer yazılım güncelleştirme grupları için Değiştirme ve Silme izinleri gerektirir. Bu yazılım güncelleştirme grupları için farklı güvenlik kapsamları oluşturun.
Daha fazla bilgi için bkz . Nesne için güvenlik kapsamlarını yapılandırma.
Sonraki adımlar
Configuration Manager için rol tabanlı yönetimi yapılandırma