可以使用管理控制台的基于角色的访问控制确定为哪些 Active Directory 用户帐户授予了哪些管理权限。

这些角色及其关联的权限确定用户可以使用管理控制台执行哪些管理操作。显示的管理控制台功能和元素是由为该人员的 Active Directory 帐户分配的角色控制的。例如,Active Directory 组中分配了技术支持部门只读管理员角色的人员可以导航到最终用户的用户卡并查看信息,但无法对桌面执行操作。Active Directory 组中分配了技术支持部门管理员角色的人员可以导航到用户卡,执行故障排除操作并查看信息。您必须先为您的组织的相应 Active Directory 组分配一个角色,然后该组中的用户才能登录到管理控制台的第二个登录屏幕并执行管理操作。

前提条件

小心: 在向现有 Active Directory 组分配角色之前,请查看 Active Directory 组中的用户帐户成员资格,以确保一个用户帐户仅收到其中一个角色。如果需要,请创建特定的 Active Directory 组。由于这些角色是在 Active Directory 组级别分配的,因此,如果用户的 Active Directory 帐户属于两个 Active Directory 组,并且为每个组分配了不同的角色,则可能会出现一些意外的结果。管理控制台功能是按照以下优先顺序显示的:
  1. 超级管理员
  2. 技术支持部门管理员
  3. 演示管理员
  4. 技术支持部门只读管理员

由于采用该优先顺序,如果用户的 Active Directory 帐户属于 Active Directory 组 ADGroup1 和 ADGroup2,为 ADGroup1 分配超级管理员角色,并为 ADGroup2 分配技术支持部门只读管理员角色,则管理控制台根据超级管理员角色显示所有功能,而不是根据另一个角色显示一部分功能,因为超级管理员角色优先。

小心: 如果您仅具有一个分配了超级管理员角色的 Active Directory 组,请不要从 Active Directory 服务器中移除该组。这样做可能会导致将来登录出现问题。

过程

  1. 选择设置 > 角色和权限
    此时会显示“角色和权限”页面。
    如下表所示,有四个默认角色。
    角色 说明
    超级管理员 强制角色,您必须至少将其分配给 Active Directory 域中的一个组,也可选择分配给其他组。此角色可授予在管理控制台中执行管理操作所需的所有权限。
    重要事项:
    • 确保在第一个节点中注册 Active Directory 域时指定的域加入帐户位于授予了超级管理员角色的某个组中。要成功完成涉及映像和域加入操作的端到端操作,必须为域加入帐户授予超级管理员角色。
    • 域绑定帐户始终分配有超级管理员角色,该角色授予在管理控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得域绑定帐户。
    技术支持部门管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供管理控制台的访问权限,以便具有该角色的 Active Directory 组可以使用用户卡功能执行以下操作:
    • 查看最终用户会话的状态。
    • 对会话执行故障排除操作。
    技术支持部门只读管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供管理控制台的访问权限,以便具有该角色的 Active Directory 组可以使用用户卡功能查看最终用户会话的状态。
    演示管理员 只读角色,您可以选择将其分配给一个或多个组。演示管理员可以查看设置并选择用于查看控制台中其他所选内容的选项,但所做的选择不会更改配置设置。
  2. 从“角色”列表中选择角色,然后单击编辑
  3. 在编辑对话框中,使用 Active Directory 搜索功能为角色选择一个组,然后单击保存
    重要事项: 只能为组分配这些角色。管理控制台没有提供为每个角色选择单个 Active Directory 用户帐户的方法。

    对于域加入帐户,这一点是至关重要的。如果您为初始节点注册的域加入帐户尚未位于某个 Active Directory 组中,请为该帐户创建一个 Active Directory 组,以便确保可以将超级管理员角色分配给该域加入帐户。必须为加入域帐户授予超级管理员角色。

    注: 不要将同一个组添加到多个角色中。这样做可能会导致该组中的用户不具备所有预期功能的完全访问权限。