Role-Based Administration
В SCCM 2012 появилась новая модель безопасности, представляющая из себя ролевое администрирование. Теперь распределять права стало очень удобно: буквально несколько кликов — и администратор SCCM видит только то, с чем ему нужно работать.
В модель входит несколько «компонентов», речь о которых пойдёт ниже.
Security Roles — предопределённые роли безопасности в количестве 13 штук:
Роль представляет из себя комбинацию типов объектов (например, пакеты или приложения) и операций, которые могут выполняться над объектами (редактирование, удаление и т.д.). Роли определяют функции, которые будет выполнять администратор SCCM, к примеру, «Автор приложений», «Оператор удалённой техпомощи» и прочие.
Новые роли нельзя создавать с нуля, «набрасывая» параметры, но можно клонировать существующие роли и править их. Кроме этого, кастомные роли можно экспортировать в .xml и передавать этот файл другим администраторам для импорта.
Даём имя новой роли и здесь же можем отредактировать права:
Security Scope — это конкретный объект или группа конкретных объектов, с которыми будет работать администратор SCCM. Что он сможет с этими объектами делать — зависит от роли.
Итак, мы создали роль, которая позволит администратору SCCM устанавливать только пакеты, поскольку в примере выше я запретил работу с приложениями. Далее нам нужно создать область безопасности и включить туда нужные конкретные объекты. По умолчанию в SCCM есть две области безопасности — All и Default.
All — это область безопасности со всеми объектами SCCM.
Default — область безопасности, к которой по умолчанию привязываются все создаваемые в SCCM объекты безопасности.
Создадим свою область:
Collection — группа пользователей или компьютеров, объединённых по какому-то общему параметру (или набору параметров). Теперь административной границей является не сайт, а коллекция, что может «разгрузить» иерархию от ненужных сайтов и область действий роли безопасности ограничивается коллекцией. Коллекции могут содержать компьютеры или пользователей всей иерархии.
Administrative Users — учётные записи администраторов SCCM, которым назначаются права.
Добавим новую учётную запись:
Теперь в область безопасности включим пакет:
В результате мы в несколько кликов дали права администратору SCCM Васе:
— только на распространение;
— только пакетов;
— только конкретного пакета Paint.NET;
— только на одну коллекцию seven2.
Что и можно подтвердить, запустив консоль от имени пользователя FIRMA\vasya:
Вопрос:
Как посмотреть список всех объектов включенных в определенную область безопасности? Может быть есть PS скрипт?
Смотрите отчёт «Objects secured by a single security scope».
to admin
1. На самом деле, отчёт «Objects secured by a single security scope» показывает «объекты, принадлежащие и назначенные только выбранной области безопасности» (текст скопирован из самого отчета).
2. Я нашел другой отчет «Безопасность для заданных или нескольких объектов CM» (у меня русскоязычная консоль). Этот отчет мне больше подходит.
Я не совсем понял, почему отчёт не подошёл под Ваши требования.
Отчёт «Objects secured by a single security scope» показывает «объекты, принадлежащие и назначенные ТОЛЬКО выбранной области безопасности». Т.е. если объект входит (включен) в другие области безопасности, Отчёт «Objects secured by a single security scope» его НЕ покажет.
В моем случае объектов входящих в несколько областей безопасности достаточно много. Отчёт «Objects secured by a single security scope» эти объекты НЕ показывает.
Проверил у себя. Да, Вы правы.