安全

安全性视图;选择安全性导航按钮,在此您能够设置并管理 管理中心 上的用户和组权限。安全角色可指定不同访问级别,让您能够在管理控制台的某些区域分配服务器范围的安全权限或分配对象安全权限。例如,可能需要锁定跨地域管理员对特定部署组的访问权限,使其只能管理自己的本地托管端点,同时仍能查看(具有只读访问权限)其他部署组。

在此部分:

服务器权限

利用服务器权限,您可以定义 管理中心 中指定用户和组的访问级别,并指定编辑设置和执行操作的权限。

您可浏览本地计算机或域以添加组或用户,并在预定义的“安全角色”列表中分配安全级别,或者分配您创建的自定义角色。

您可以根据 Active Directory 组或用户添加服务器权限。

按组添加

选择服务器权限 > > 添加组。“选择组”对话框随即打开。

在本地计算机或域中进行浏览和选择。

按用户添加

选择服务器权限 > 用户 > 添加用户。“选择用户”对话框随即打开。

在本地计算机或域中进行浏览和选择。

编辑已分配的角色

要编辑分配给组或用户的角色,请选择服务器权限 > 组或用户 > 编辑角色。“全局安全角色”对话框随即打开。

“全局安全角色”对话框将列出默认服务器角色和已创建的任何其他服务器角色。

选择允许将角色分配到组或用户。

添加用户/添加组 - 启动“选择用户”或“选择组”对话框,以便将用户或组添加到列表。

编辑角色 - 启动“全局安全角色”对话框,以便您在可用“安全角色”列表中更改“允许/拒绝”设置。

删除 - 从列表中删除突出显示的组和用户。

对象权限

对象权限属于访问权限,可分配给用户和组进行查看和编辑,或执行针对 管理中心 中特定区域的操作。对象包括 管理中心 的任何特定区域、设置或项目,如下所示:

  • - 查看和编辑。
  • 程序包 - 管理代理和配置。
  • 报告 - 查看和生成所有报告或单个报告。
  • 警报规则 - 查看和编辑所有警报规则或单个警报规则。

通过分配安全角色或所有权,可为特定对象的用户或组授予对象权限。

所有权

显示对象列表和分配给对象的所有者。您可以更改当前对每个对象的所有权分配。

受控制的对象如下:

  • 组 - 查看和编辑。
  • 程序包 - 管理代理和配置。
  • 报告 - 查看和生成所有报告或单个报告。
  • 警报规则 - 查看和编辑所有警报规则或单个警报规则。

您可以切换屏幕,按类型(默认)或所有者为对象分组。在“操作”窗格中,选择按所有者分组按类型分组以改变显示内容。

对象的所有者具有完全控制权,能够覆盖可能也适用于用户或组的任何限制。

要更改对象所有者,请在“操作”窗格中突出显示某个对象,然后选择更改所有权。在“安全性表单”对话框打开后,选择列表中的组或用户,或者选择未列出的组或用户,然后单击添加打开“选择用户或组”对话框,输入或浏览以选择您想成为其对象所有者的组或用户。

用户访问权限

显示已针对用户访问权限进行修改的对象列表。

您可以切换屏幕,按类型(默认)或用户为对象分组。在“操作”窗格中,选择按用户分组按类型分组以改变显示内容。

要更改用户访问权限,请在“操作”窗格中突出显示所需的对象,然后选择编辑角色。“[对象类型名称] 安全性”对话框随即打开。

“[对象类型名称] 安全性”对话框显示以下两个选项卡:

  • 权限 - 添加或删除组或用户访问对象的权限。如果您将权限分配给无权访问管理控制台中对象区域的组或用户,则系统会显示一条警告消息。

    单击允许用户登录。

    选择要为此对象类型的组或用户分配的安全角色。

    安全性 > 安全角色 > 对象中创建对象安全角色。

  • 所有者 - 更改对象的所有者。您可以从列表中选择所有者,或添加新组或用户。所有者具有对象的完全控制权。

所有权操作

按所有者分组 - 按所有者为对象列表排序。

按类型分组 - 按对象类型为对象列表排序。

更改所有权 - 允许您分配或更改当前对象的所有权。

用户访问权限操作

按用户分组 - 按用户为对象列表排序。

按类型分组 - 按对象类型为对象列表排序。

删除 - 在列表中删除突出显示的组和用户。

编辑角色 - 启动“{ObjectName} 安全性”对话框,以便您在可用“安全角色”列表中更改“允许/拒绝”设置,并更改当前对象的所有者。

安全示例

示例 1

仅为用户分配只有拒绝组修改者权限的角色不会产生任何实质性的效果。这是因为,默认情况下,用户没有修改组的权限,因此没有服务器权限进行拒绝。此外,任何对象,如果用户是其所有者,则该用户将仍有修改权限。这是因为服务器和对象角色是集成的。服务器角色不会覆盖对象角色,它们会在整个服务器应用,而不是针对具体的对象。

示例 2

以下示例说明了允许和拒绝之间的关系,以及分配的组和单个用户角色之间的关系。

为 Active Directory 组分配了一个具有允许组修改者权限的角色。然后为该组中的用户分配一个具有拒绝组修改者权限的角色。结果是,除了有明确拒绝权限的那一位用户之外,其他所有组成员都将可以修改组。注意,在上一个例子中,如果该用户是组所有者,那么其将仍然能够修改组。

撤销用户的访问权限

撤销访问权限分为两步,需要先在服务器范围移除访问权限,然后在对象级别移除权限。

首先,移除该用户的任何相关服务器权限。然后,移除该用户的相关对象权限(权限设置位于“所有权”和“用户访问”节点下)。

安全角色

服务器安全角色

服务器安全角色是整个管理服务器的全局设置。

预定义的服务器安全角色

修改者 - 具有编辑/修改组、程序包、报告和警报的权限。您无法创建新的组、程序包、报告或警报。

服务器管理员 - 完整权限。即使您不是对象的所有者,也可以查看所有对象,同时添加、编辑和删除对象。默认情况下,此角色会分配给安装 管理中心 并启用服务器管理员权限的用户 - 请参阅“角色定义”。

查看者 - 仅允许查看对象的权限。

自定义服务器安全角色

在“操作”窗格中选择新建服务器角色以定义新角色。“角色定义”对话框随即打开。

“角色定义”对话框列出了所有服务器角色权限,选择此选项可启用要分配给新角色的权限。可以使用以下权限:

  • 服务器管理员 - 分配给服务器管理员角色。
  • 故障转移服务器管理员
  • 故障转移服务器查看者
  • 部署管理员

以下几项具有管理员、创建者、修改者和查看者权限:

  • 安全性
  • 程序包
  • 报告
  • 警报规则

示例 1

如果管理员想将组管理工作委托给

其他人,则可以创建具有以下权限的“受限组管理员”

角色:

  • 组管理员
  • 程序包查看者
  • 程序包创建者
  • 报告查看者
  • 警报规则查看者
  • 部署管理员

分配到“受限管理员”角色的用户能够执行以下操作:

  • 创建、修改和删除组,然后将计算机分配给这些组。
  • 将部署代理部署到计算机。
  • 查看所有程序包,并将其分配给组。
  • 添加新程序包,并删除这些程序包。
  • 生成报告。

但是,该用户无法执行以下操作:

  • 删除任何现有程序包。
  • 删除任何警报或事件。
  • 删除或添加任何报告。
  • 更改任何对象(该用户创建或添加的对象除外)的安全性。

示例 2

如果有人负责创建和维护产品配置,但不

需要对管理控制台本身的任何访问权限,则管理员可以创建具有以下权限的“程序包编辑者”角色:

  • 程序包管理员

分配到此角色的用户能够使用产品控制台打开和编辑配置以及将配置保存到管理服务器。

对象安全角色

对象安全角色是特定于对象的设置。

预定义的对象安全角色

  • 查看者 - 仅允许查看对象的权限。
  • 修改者 - 执行对象编辑操作的权限,但不能执行删除操作。
  • 完全控制 - 执行对象编辑和删除操作的权限。

服务器角色会覆盖对象角色。

自定义对象安全角色

在“操作”窗格中选择新建对象角色以定义新角色。“角色定义”对话框随即打开。

“角色定义”对话框列出了所有对象角色权限,选择此选项可启用要分配给新角色的权限。可以使用以下权限:

  • 完全控制
  • 安全性
  • 查看
  • 修改
  • 更改所有权
  • 导出报告
  • 计算机分配
  • 警报规则分配
  • 事件查看
  • 安装计划修改
  • 程序包分配

如果管理员想要将分配程序包的责任委托给特定组,则可以创建具有以下权限的“程序包管理者”对象角色:

  • 查看
  • 程序包分配

如果用户随后添加到组安全性中,并且拥有“程序包管理者”角色,则只能查看该组(假设用户没有分配到其他角色)。他们能够查看该组的所有设置,但只能对分配给该组的程序包做出更改。

服务器

  • 新建服务器角色 - 定义新的服务器角色。
  • 属性 - 查看角色详细信息。

对象

  • 新建对象角色 - 定义新的对象角色。
  • 属性 - 查看角色详细信息。

配置安全性

您可以为允许登录管理控制台的组或用户配置安全性。您可以授予服务器管理员权限(完整权限)、修改者或查看者权限。

  1. 在导航窗格中选择安全性按钮。
  2. 要配置组的安全性,请展开服务器权限节点,然后选择节点。
  3. 要配置用户的安全性,请展开服务器权限节点,然后选择用户节点。
  4. 选择组或用户。
  5. 在“操作”菜单上选择编辑角色。“全局安全角色”对话框随即打开。
  6. 选择是允许还是拒绝修改者、服务器管理员查看者权限
  7. 单击确定

您可以为允许登录管理控制台的组配置安全性。您可以授予仅在控制台中查看元素的权限。

  1. 在导航窗格中选择安全性按钮。
  2. 展开服务器权限节点,然后选择节点。
  3. 在“操作”菜单上选择添加组。“选择组”对话框随即打开。
  4. 找到要为其指定查看权限的组,然后单击确定
  5. 在工作区中选择相关组。
  6. 在“操作”菜单上选择编辑角色。“全局安全角色”对话框随即打开。
  7. 在“允许”列中选择查看者选项。
  8. 在“拒绝”列中选择修改者服务器管理员选项。

  9. 单击确定

您可以为允许登录管理控制台的用户配置安全性。您可以授予组或用户仅访问特定部署组的权限。

  1. 在导航窗格中选择安全性按钮。
  2. 展开“服务器权限”节点,然后选择用户节点。
  3. 在“操作”菜单上单击添加用户。“选择用户”对话框随即打开。
  4. 找到要为其提供特定部署组访问权限的用户,然后单击确定
  5. 在导航窗格中选择主页按钮。
  6. 导航到 [服务器] > 部署组节点。
  7. 选择要提供访问权限的部署组。
  8. 在“操作”面板中选择安全性。“[部署组名称] 安全性”对话框随即打开。
  9. 选择权限选项卡并单击添加。“选择用户或组”对话框随即打开。
  10. 找到步骤 4 中指定的用户,然后单击确定
  11. 在“角色”区域的“允许”列中,选择查看者修改者完全控制选项。
  12. 单击确定

相关主题

部署组

程序包

警报

报告