Role-Based Administration

В SCCM 2012 появилась новая модель безопасности, представляющая из себя ролевое администрирование. Теперь распределять права стало очень удобно: буквально несколько кликов — и администратор SCCM видит только то, с чем ему нужно работать.

В модель входит несколько «компонентов», речь о которых пойдёт ниже.

Security Roles — предопределённые роли безопасности в количестве 13 штук:

Роль представляет из себя комбинацию типов объектов (например, пакеты или приложения) и операций, которые могут выполняться над объектами (редактирование, удаление и т.д.). Роли определяют функции, которые будет выполнять администратор SCCM, к примеру, «Автор приложений», «Оператор удалённой техпомощи» и прочие.

Новые роли нельзя создавать с нуля, «набрасывая» параметры, но можно клонировать существующие роли и править их. Кроме этого, кастомные роли можно экспортировать в .xml и передавать этот файл другим администраторам для импорта.

Даём имя новой роли и здесь же можем отредактировать права:

Security Scope — это конкретный объект или группа конкретных объектов, с которыми будет работать администратор SCCM. Что он сможет с этими объектами делать — зависит от роли.

Итак, мы создали роль, которая позволит администратору SCCM устанавливать только пакеты, поскольку в примере выше я запретил работу с приложениями. Далее нам нужно создать область безопасности и включить туда нужные конкретные объекты. По умолчанию в SCCM есть две области безопасности — All и Default.

All — это область безопасности со всеми объектами SCCM.

Default — область безопасности, к которой по умолчанию привязываются все создаваемые в SCCM объекты безопасности.

Создадим свою область:

Collection — группа пользователей или компьютеров, объединённых по какому-то общему параметру (или набору параметров). Теперь административной границей является не сайт, а коллекция, что может «разгрузить» иерархию от ненужных сайтов и область действий роли безопасности ограничивается коллекцией. Коллекции могут содержать компьютеры или пользователей всей иерархии.

Administrative Users — учётные записи администраторов SCCM, которым назначаются права.

Добавим новую учётную запись:

Теперь в область безопасности включим пакет:

В результате мы в несколько кликов дали права администратору SCCM Васе:

— только на распространение;

— только пакетов;

— только конкретного пакета Paint.NET;

— только на одну коллекцию seven2.

Что и можно подтвердить, запустив консоль от имени пользователя FIRMA\vasya:

6 комментариев

  1. wown:

    Вопрос:
    Как посмотреть список всех объектов включенных в определенную область безопасности? Может быть есть PS скрипт?

  2. wown:

    to admin
    1. На самом деле, отчёт «Objects secured by a single security scope» показывает «объекты, принадлежащие и назначенные только выбранной области безопасности» (текст скопирован из самого отчета).
    2. Я нашел другой отчет «Безопасность для заданных или нескольких объектов CM» (у меня русскоязычная консоль). Этот отчет мне больше подходит.

    • admin:

      Я не совсем понял, почему отчёт не подошёл под Ваши требования.

      • wown:

        Отчёт «Objects secured by a single security scope» показывает «объекты, принадлежащие и назначенные ТОЛЬКО выбранной области безопасности». Т.е. если объект входит (включен) в другие области безопасности, Отчёт «Objects secured by a single security scope» его НЕ покажет.
        В моем случае объектов входящих в несколько областей безопасности достаточно много. Отчёт «Objects secured by a single security scope» эти объекты НЕ показывает.

Leave a Reply