使用管理主控台的角色型存取控制,可判斷已為您的哪些 Active Directory 使用者帳戶授與何種管理權限。

這些角色及其相關聯的權限,將決定使用者可使用管理主控台執行的管理動作。管理主控台功能和元素的可見性受到指派給個人 Active Directory 帳戶的角色所控制。例如,指派角色為服務台唯讀管理員之 Active Directory 群組中的人員,可以導覽至使用者的使用者卡片以及檢視資訊,但無法在桌面上執行作業。指派角色為服務台管理員之 Active Directory 群組中的人員,則可以導覽至使用者卡片並執行疑難排解作業以及檢視資訊。您必須先將角色指派給組織的適當 Active Directory 群組,該群組中的使用者才能登入管理主控台的第二個登入畫面以及存取管理動作。

必要條件

注意: 將角色指派給您現有的 Active Directory 群組之前,請檢閱 Active Directory 群組中的使用者帳戶成員資格,以確保一個使用者帳戶僅會獲得前述的其中一個角色。如有需要,請建立特定 Active Directory 群組。因為這些角色會在 Active Directory 群組的層級上指派,如果使用者的 Active Directory 帳戶屬於兩個 Active Directory 群組,且每個群組已指派不同的角色,則可能會發生某些非預期的結果。管理主控台功能會根據下列優先順序顯示:
  1. 超級管理員
  2. 服務台管理員
  3. 示範管理員
  4. 服務台唯讀管理員

基於此優先順序,如果某個使用者的 Active Directory 帳戶同時屬於 Active Directory 群組 ADGroup1 和 ADGroup2,且您將超級管理員角色指派給 ADGroup1,並將服務台唯讀管理員角色指派給 ADGroup2 角色,則管理主控台將會根據超級管理員角色顯示所有的功能,而非根據其他角色的功能子集來顯示,因為超級管理員角色具有優先權。

注意: 如果您只有一個已指派了超級管理員角色的 Active Directory 群組,請勿從 Active Directory 伺服器中移除該群組。執行此作業可能會導致日後發生登入問題。

程序

  1. 選取設定 > 角色及權限
    [角色及權限] 頁面隨即顯示。
    有四個預設角色,如下表所示。
    角色 說明
    超級管理員 一個必要角色,必須指派給 Active Directory 網域中的至少一個群組,並可選擇性地指派給其他群組。此角色會授與在管理主控台中執行管理動作的所有權限。
    重要:
    • 請確定您將 Active Directory 網域登錄至第一個節點時所指定的網域加入帳戶,屬於已具有超級管理員角色的其中一個群組。端對端作業的成功執行涉及映像和網域加入作業,因此必須為該網域加入帳戶授與此超級管理員角色。
    • 系統一律會為網域繫結帳戶指派超級管理員角色,這會授與在管理主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取網域繫結帳戶。
    服務台管理員 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對管理主控台的存取權,讓具有此角色的 Active Directory 群組可透過使用者卡片功能來:
    • 查看使用者工作階段的狀態。
    • 對工作階段執行疑難排解作業。
    服務台唯讀管理員 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對管理主控台的存取權,讓具有此角色的 Active Directory 群組可透過使用者卡片功能來查看使用者工作階段的狀態。
    示範管理員 一個唯讀角色,可選擇性地指派給一或多個群組。示範管理員可查看設定以及選取選項來檢視主控台中的其他選擇,但選取項目並不會變更組態設定。
  2. 從 [角色] 清單選取角色,並按一下編輯
  3. 在 [編輯] 對話方塊中,使用 Active Directory 搜尋功能來選取角色的群組,並按一下儲存
    重要: 這些角色僅能指派給群組。管理主控台並未提供為每個角色選取個別 Active Directory 使用者帳戶的方法。

    這一點對網域加入帳戶而言十分重要。如果您為初始節點登錄的網域加入帳戶尚不屬於您其中一個 Active Directory 群組,請為該帳戶建立 Active Directory 群組,以確保可將超級管理員角色指派給該網域加入帳戶。您必須為該網域加入帳戶提供超級管理員角色。

    備註: 請勿將相同群組新增到多個角色。這麼做可能會導致該群組中的使用者無法完整存取所有預期的功能。