Dell Compellent Storage para ser descontinuado después de la fusión de Dell-EMC
SCCM 2012 R2 viene con nuevo modelo de seguridad llamada. Role Based Access Control se encuentra en muchos productos de Microsoft como Exchange 2010 y System Center 2012. Con SCCM 2007, una de las razones para instalar múltiples sitios primarios a menudo se debió al hecho de que el acceso administrativo tuvieron que ser separados entre los diferentes departamentos dentro de una empresa . En las grandes empresas sobre todo un sitio primario central sería instalado, sin hacer nada, y en virtud de ese sitio primario central, varios sitios secundarios primaria se instalaría necesitando su propio límite administrativo dentro de la jerarquía. Con SCCM 2012 R2, esto ha cambiado para mejor. Ahora, en lugar de implementar un montón de sitios primarios sólo para habilitar la administración granular, puede utilizar la función de control de acceso basado en el nuevo papel de SCCM 2012 para lograr la segregación administrativa extremadamente granular. No sólo restringe lo que los usuarios pueden hacer, que limita lo que los usuarios pueden ver cuando están en la consola. RBAC esconde elementos de la interfaz en función del perfil de usuario de modoque el usuario sólo se muestra lo que es relevante.
Los componentes de control de acceso basado en roles
el control de acceso basado en roles en SCCM 2012 se compone de la combinación de dos elementos administrativos distintos. -role -Ámbito
Un papel SCCM identifica lo que el usuario tiene permiso para hacerlo. SCCM 2012 R2 incluye 14 funciones de seguridad predefinidas y se pueden crear otros nuevos, según sea necesario. Un ámbito de aplicación SCCM abarca los objetos que un usuario puede manipular. SCCM 2012 R2 incluye con sólo dos ámbitos de seguridad, pero puede crear otros nuevos, según sea necesario. Los objetos en SCCM se pueden etiquetar con uno o más de estos ámbitos.
Así que, básicamente, cuando estos dos elementos se solapan, uno se queda con una mirada a las capacidades del usuario en la consola de SCCM.
SCCM 2012 R2 - RBAC
Como se mencionó anteriormente, la SCCM viene con 14 funciones de seguridad predefinidas, pero los administradores pueden crear funciones adicionales para satisfacer las necesidades específicas del negocio. Durante la instalación inicial de SCCM 2012 R2, se añade la cuenta administrativa a la función Administradores totales. He aquí un vistazo a la lista de funciones disponibles en SCCM 2012:
La descripción del papel papel administrador de la aplicación otorga los permisos para realizar tanto el papel del Gestor de despliegue de aplicaciones y la función de aplicación Autor. Los usuarios administrativos que están asociados con esta función también puede gestionar las consultas, ver la programación del sitio, gestionar colecciones y editar la configuración de afinidad de dispositivo de usuario. Aplicación autor otorga permisos para crear, modificar y retirar aplicaciones. Los usuarios administrativos que están asociados con este papel también pueden gestionar aplicaciones, paquetes. Aplicación permisos de Subvenciones de Deployment Manager para desplegar aplicaciones. Los usuarios administrativos que están asociados con este rol pueden ver una lista de aplicaciones, y pueden gestionar las implementaciones de aplicaciones, las alertas, las plantillas y los paquetes y programas. Los usuarios administrativos que están asociados con esta función también puede ver las colecciones y sus miembros, mensajes de estado, consultas y reglas de entrega condicional. Asset Manager otorga los permisos para gestionar el recurso de inteligencia de sincronizaciónPunto, la presentación de informes de Inteligencia de Activos, clases de inventario de software, inventario de hardware, y las reglas de medición. El cumplimiento Administrador de configuración otorga los permisos para definir y monitorear los ajustes de cumplimiento. Los usuarios administrativos asociados con este rol pueden crear, modificar y eliminar elementos de configuración y líneas de base. También pueden implementar líneas de base de configuración de colecciones e iniciar la evaluación del cumplimiento, e iniciar la recuperación de equipos que no cumplen. Endpoint Protection Manager otorga los permisos para definir y supervisar las políticas de seguridad. Los usuarios administrativos que están asociados con este rol pueden crear, modificar y eliminar políticas Endpoint Protection. También pueden implementar políticas de protección de punto final a las colecciones, crear y modificar alertas y controlar el estado de Endpoint Protection. Administrador total Concede todos los permisos en el Administrador de configuración. El usuario administrativo que primero crea una nueva instalación de Configuration Manager está asociado con esta función de seguridad, todos los ámbitos, ytodas las colecciones. Administrador de Infraestructuras Concede permisos para crear, eliminar y modificar la infraestructura de servidor de configuración y para llevar a cabo las tareas de migración. La implementación del sistema operativo permisos Grants Manager para crear imágenes del sistema operativo y desplegarlas a las computadoras. Los usuarios administrativos que están asociados con este rol pueden administrar operan paquetes de instalación del sistema e imágenes, secuencias de tareas, conductores, imágenes de inicio y la configuración de la migración del estado. Operaciones administrador concede permisos para todas las acciones en el Gestor de configuración a excepción de los permisos necesarios para administrar la seguridad, que incluye Gestión de usuarios administrativos, funciones de seguridad, y los ámbitos de seguridad. Permisos de sólo lectura de los analistas de Subvenciones para ver todos los objetos del administrador de configuración. Herramientas remotas operador otorga los permisos para ejecutar y auditar las herramientas de administración remota que ayudan a los usuarios a resolver problemas del equipo. Los usuarios administrativos que están asociados con este rol pueden ejecutar remotoControl, Asistencia remota y Escritorio remoto desde la consola de Configuration Manager. Además, se puede ejecutar el Fuera de la consola de gestión de banda y las opciones de control de potencia de AMT. Administrador de Seguridad otorga los permisos para añadir y eliminar usuarios administrativos y de asociar a los usuarios administrativos con funciones de seguridad, las colecciones y los ámbitos de seguridad. Los usuarios administrativos que están asociados con esta función también puede crear, modificar y eliminar los roles de seguridad y sus ámbitos de seguridad asignados y colecciones. Subvenciones de software de actualización de administrador de permisos para definir e implementar las actualizaciones de software. Los usuarios administrativos que están asociados con este rol pueden administrar grupos de actualización de software, despliegues, plantillas de implementación, y permitir actualizaciones de software para Network Access Protection (NAP).
Como se puede ver en la tabla anterior, todos estos roles definen qué usuarios que son miembros de la función puede hacer. Así que, ¿cómo controlar allí "donde" aspecto?
Ahí es donde los ámbitos de seguridad entran en juego. SCCM 2012 se envía con los ámbitos de seguridad por defecto de dos:
Todas. Un ámbito de seguridad integrado que contiene todos los objetos protegibles. Un administrador del Administrador de configuración asociado con el ámbito de seguridad Todo tendrá los permisos de su papel para cada objeto en el entorno del Gestor de configuración.
Defecto. Un ámbito de la seguridad integrada con la que los objetos protegibles pueden estar asociados.
Ninguno de estos ámbitos de seguridad pueden ser cambiados o borrados.
objetos apropiados en SCCM 2012 etiquetados con ámbitos de seguridad y se pueden agregar a nuevos ámbitos de seguridad, en caso necesario. Así es como se puede evitar tener que crear varios sitios primarios para formar los límites de seguridad.
¿No es el camino más fácil para las organizaciones para restringir el acceso a capacidades de gran alcance de SCCM?
Sin duda recomiendo echar un vistazo en el siguiente enlace de Technet sitio para tener más detalles al respecto.
