Use o controle de acesso baseado em função do Console Administrativo para determinar quais privilégios administrativos são concedidos a quais das suas contas de usuário do Active Directory.

Essas funções e seus direitos associados determinam quais ações de gerenciamento um usuário pode executar utilizando o Console Administrativo. A visibilidade dos elementos e recursos do Console Administrativo é controlada pela função atribuída à conta do Active Directory da pessoa. Por exemplo, uma pessoa em um grupo do Active Directory que recebe a função de Administrador Somente Leitura do Suporte Técnico pode navegar até os cartões de usuário dos usuários finais e visualizar as informações, mas não realizar operações nas áreas de trabalho. Uma pessoa em um grupo do Active Directory que recebe a função de Administrador de Suporte Técnico pode navegar até os cartões de usuário e realizar operações de solução de problemas, bem como visualizar as informações. Você deve atribuir uma função aos grupos apropriados do Active Directory de sua organização antes que os usuários naquele grupo possam fazer login na segunda tela de login do Console Administrativo e acessar ações de gerenciamento.

Pré-requisitos

Cuidado: Antes de atribuir funções aos seus grupos existentes do Active Directory, revise a associação da conta de usuário nos grupos do Active Directory para garantir que uma conta de usuário receba apenas uma destas funções. Crie grupos específicos do Active Directory, se necessário. Como essas funções são atribuídas no nível do grupo do Active Directory, poderão ocorrer alguns resultados inesperados se uma conta do Active Directory do usuário pertencer a dois grupos do Active Directory e cada grupo estiver atribuído a uma função diferente. Os recursos do Console Administrativo são visíveis, de acordo com esta ordem de precedência:
  1. Superadministrador
  2. Administrador do Suporte Técnico
  3. Administrador de Demonstração
  4. Administrador Somente Leitura do Suporte Técnico

Como resultado dessa ordem de precedência, se uma conta de usuário do Active Directory pertencer aos grupos do Active Directory ADGroup1 e ADGroup2, e você atribuir a função de Superadministrador ao ADGroup1 e atribuir a função de Administrador Somente Leitura de Suporte Técnico ao ADGroup2, o Console Administrativo exibirá todos os recursos de acordo com a função de Superadministrador, em vez do subconjunto de recursos para a outra função, pois a função de Superadministrador tem precedência.

Cuidado: Se você tiver apenas um grupo do Active Directory com a função de super administrador atribuída, não remova esse grupo do servidor do Active Directory. Isso pode causar problemas com logins futuros.

Procedimento

  1. Selecione Configurações > Funções e Permissões.
    A página Funções e Permissões é exibida.
    Há quatro funções padrão, mostradas na tabela a seguir.
    Função Descrição
    Super administrador Uma função obrigatória que deve ser atribuída a pelo menos um grupo em seu domínio do Active Directory e opcionalmente a outros. Essa função concede todas as permissões para executar ações de gerenciamento no Console Administrativo.
    Importante:
    • Verifique se a conta de ingresso no domínio que você especificou ao registrar o domínio do Active Directory com o primeiro nó está em um dos grupos que receberam a função de Superadministrador. Para obter sucesso de ponta-a-ponta nas operações que envolvem imagens e operações de ingresso no domínio, essa conta de ingresso no domínio deve receber essa função de Superadministrador.
    • A conta de BIND de domínio sempre recebe a função de superadministrador, que concede todas as permissões para executar ações de gerenciamento no Console Administrativo. Certifique-se de que a conta de BIND de domínio não esteja acessível para os usuários que você não deseja que tenham permissões de superadministrador.
    Administrador do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao Console Administrativo para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para:
    • Ver o status das sessões de usuário final.
    • Realizar operações de solução de problemas nas sessões.
    Administrador Somente Leitura do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao Console Administrativo para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para ver o status das sessões de usuário final.
    Administrador de demonstração Uma função somente leitura que você pode atribuir opcionalmente a um ou mais grupos. Os administradores de demonstração podem visualizar as configurações e selecionar as opções para ver escolhas adicionais no console, mas as seleções não alteram as definições da configuração.
  2. Selecione uma função na lista Funções e clique em Editar.
  3. Na caixa de diálogo Editar, use a função de pesquisa do Active Directory para selecionar um grupo para a função e clique em Salvar.
    Importante: Essas funções podem ser atribuídas somente a grupos. O Console Administrativo não fornece uma maneira de escolher contas de usuário individuais do Active Directory para cada função.

    Esse ponto é fundamental para a conta de ingresso no domínio. Se a conta de ingresso no domínio que você registrou para seu nó inicial já estiver em um dos seus grupos do Active Directory, crie um grupo do Active Directory para essa conta para que você possa garantir que a função de Superadministrador possa ser atribuída a essa conta de ingresso no domínio. Essa conta de ingresso no domínio deve receber a função de Superadministrador.

    Observação: Não adicione o mesmo grupo a mais de uma função. Isso pode fazer com que os usuários nesse grupo não tenham acesso total a todas as funções esperadas.