System Center Configuration Manager용 역할 기반 관리 구성

 

적용 대상: System Center Configuration Manager (current branch)

System Center Configuration Manager의 역할 기반 관리에서는 각 관리자의 관리 범위를 정의하기 위해 보안 역할, 보안 범위 및 할당된 컬렉션을 결합합니다. 관리 범위에는 관리자가 Configuration Manager 콘솔에서 볼 수 있는 개체 및 해당 개체와 관련이 있고 관리자가 수행할 권한이 있는 작업이 포함됩니다. 역할 기반 관리 구성은 계층의 각 사이트에 적용됩니다.

역할 기반 관리의 개념을 잘 모르는 경우 System Center Configuration Manager의 역할 기반 관리 기본 사항 항목을 참조하세요.


다음 절차의 정보를 참조하여 역할 기반 관리 및 관련된 보안 설정을 만들고 구성할 수 있습니다.

Configuration Manager에서는 몇 가지 기본 제공 보안 역할을 제공합니다. 다른 보안 역할이 필요하면 기존 보안 역할의 사본을 만든 다음 이 사본을 수정하여 사용자 지정 보안 역할을 만들 수 있습니다. 사용자 지정 보안 역할을 만들어 관리자에게 현재 할당된 보안 역할에 포함되지 않은 다른 보안 권한을 부여할 수도 있습니다. 사용자 지정 보안 역할을 사용하면 필요한 권한만 부여할 수 있고 필요한 권한 이상의 권한을 부여하는 보안 역할을 할당하지 않을 수 있습니다.

기존 보안 역할을 템플릿으로 사용하여 새 보안 역할을 만들려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 보안 역할을 클릭합니다.

    다음 절차 중 하나를 수행하여 새 보안 역할을 만듭니다.

    • 새 사용자 지정 보안 역할을 만들려면 다음 작업을 수행합니다.

      1. 새 보안 역할의 원본으로 사용할 기존 보안 역할을 선택합니다.

      2. 탭의 보안 역할 그룹에서 복사를 클릭합니다. 그러면 원본 보안 역할의 사본이 만들어집니다.

      3. 보안 역할 복사 마법사에서 새 사용자 지정 보안 역할의 이름을 지정합니다.

      4. 보안 작업 할당에서 각 보안 작업 노드를 확장하여 사용할 수 있는 작업을 표시합니다.

      5. 보안 작업에 대한 설정을 변경하려면 열에서 아래쪽 화살표를 클릭한 다음 또는 아니요를 선택합니다.

        System_CAPS_caution주의

        사용자 지정 보안 역할을 구성할 때 새 보안 역할과 연결된 관리자에게 불필요한 권한이 부여되지 않도록 하십시오. 예를 들어 보안 역할 보안 작업의 값이 수정이면 관리자가 해당 보안 역할에 연결되어 있지 않아도 액세스 가능한 보안 역할을 편집할 수 있는 권한이 관리자에게 부여됩니다.

      6. 권한을 구성한 후 확인을 클릭하여 새 보안 역할을 저장합니다.

    • 다른 Configuration Manager 계층에서 내보낸 보안 역할을 가져오려면 다음 작업을 수행합니다.

      1. 탭의 만들기 그룹에서 보안 역할 가져오기를 클릭합니다.

      2. 가져올 보안 역할 구성이 포함된 .xml 파일을 지정하고 열기를 클릭하여 절차를 완료하고 보안 역할을 저장합니다.

        System_CAPS_note참고

        보안 역할을 가져온 후에는 보안 역할 속성을 편집하여 해당 보안 역할과 연결된 개체 권한을 변경할 수 있습니다.

보안 역할에 정의된 보안 권한 그룹을 보안 작업 할당이라고 합니다. 보안 작업 할당은 개체 유형과 각 개체 유형에 사용할 수 있는 작업의 조합을 나타냅니다. 사용자 지정 보안 역할에 대해서는 사용 가능한 보안 작업을 수정할 수 있지만 Configuration Manager에서 제공하는 기본 제공 보안 역할은 수정할 수 없습니다.

보안 역할의 보안 작업을 수정하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 보안 역할을 클릭합니다.

  3. 수정할 사용자 지정 보안 역할을 선택합니다.

  4. 탭의 속성 그룹에서 속성을 클릭합니다.

  5. 권한 탭을 클릭합니다.

  6. 보안 작업 할당에서 각 보안 작업 노드를 확장하여 사용할 수 있는 작업을 표시합니다.

  7. 보안 작업에 대한 설정을 변경하려면 열에서 아래쪽 화살표를 클릭한 다음 또는 아니요를 선택합니다.

    System_CAPS_caution주의

    사용자 지정 보안 역할을 구성할 때 새 보안 역할과 연결된 관리자에게 불필요한 권한이 부여되지 않도록 하십시오. 예를 들어 보안 역할 보안 작업의 값이 수정이면 관리자가 해당 보안 역할에 연결되어 있지 않아도 액세스 가능한 보안 역할을 편집할 수 있는 권한이 관리자에게 부여됩니다.

  8. 보안 작업 할당 구성을 마쳤으면 확인을 클릭하여 새 보안 역할을 저장합니다.

개체에 대한 보안 범위의 연결은 보안 범위가 아니라 개체에서 관리합니다. 보안 범위에서 직접 구성할 수 있는 것은 보안 범위의 이름과 설명을 변경하는 것뿐입니다. 보안 범위 속성을 볼 때 보안 범위의 이름과 설명을 변경하려면 보안 범위 보안 개체에 대한 수정 권한이 있어야 합니다.

Configuration Manager에서 새 개체를 만들면 개체를 만드는 데 사용된 계정의 보안 역할이 만들기 권한이나 보안 범위 설정 권한을 제공하는 경우 새 개체는 해당 보안 역할과 연결된 각 보안 범위에 연결됩니다. 개체를 만든 후에만 개체와 연결된 보안 범위를 변경할 수 있습니다.

예를 들어 사용자에게 새 경계 그룹을 만들 수 있는 권한을 부여하는 보안 역할이 할당된 경우 새 경계 그룹을 만들 때 특정 보안 범위를 할당할 수 있는 옵션이 없습니다. 대신 사용자와 연결된 보안 역할에서 사용할 수 있는 보안 범위가 자동으로 새 경계 그룹에 할당됩니다. 새 경계 그룹을 저장한 후에는 새 경계 그룹에 연결된 보안 범위를 편집할 수 있습니다.

개체에 할당된 보안 범위를 구성하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 보안 범위에 할당할 수 있는 개체를 선택합니다.

  2. 탭의 분류 그룹에서 보안 범위 설정을 클릭합니다.

  3. 보안 범위 설정 대화 상자에서 이 개체에 연결할 보안 범위를 선택하거나 선택 해제합니다. 보안 범위를 지원하는 각 개체를 하나 이상의 보안 범위에 할당해야 합니다.

  4. 확인을 클릭하여 할당된 보안 범위를 저장합니다.

    System_CAPS_note참고

    새 개체를 만들 때 개체를 여러 보안 범위에 할당할 수 있습니다. 개체에 연결된 보안 범위 수를 수정하려면 개체를 만든 후에 이 할당을 변경해야 합니다.

역할 기반 관리를 위해 컬렉션을 구성하는 절차는 없습니다. 컬렉션은 역할 기반 관리 구성이 없고, 대신 관리자를 구성할 때 관리자에게 컬렉션을 할당합니다. 사용자에게 할당된 보안 역할에서 사용할 수 있는 컬렉션 보안 작업에 따라 컬렉션 및 컬렉션 리소스(컬렉션 구성원)에 대한 관리자의 권한이 결정됩니다.

관리자에게 한 컬렉션에 대한 권한이 있으면 컬렉션에 대한 권한도 해당 컬렉션으로 제한됩니다. 예를 들어 조직에서 '모든 데스크톱'이라는 컬렉션을 사용하고 '모든 데스크톱' 컬렉션으로 제한된 '모든 북미 데스크톱'이라는 컬렉션이 있는 경우, 관리자에게 '모든 데스크톱'에 대한 권한이 있으면 '모든 북미 데스크톱' 컬렉션에 대해서도 동일한 권한을 갖게 됩니다. 뿐만 아니라 관리자는 자신에게 직접 할당된 컬렉션에 대해서는 삭제 또는 수정 권한을 사용할 수 없지만 해당 컬렉션으로 제한된 컬렉션에 대해서는 이러한 권한을 사용할 수 있습니다. 이전 예에서 보면 관리자가 '모든 북미 데스크톱' 컬렉션은 삭제하거나 수정할 수 있지만 '모든 데스크톱' 컬렉션은 삭제하거나 수정할 수 없습니다.

보안 그룹의 개인 또는 구성원에게 Configuration Manager를 관리할 수 있는 권한을 부여하려면 Configuration Manager에서 관리자를 만들고 사용자 또는 사용자 그룹의 Windows 계정을 지정합니다.Configuration Manager의 각 관리자에게는 보안 역할과 보안 범위를 하나 이상 할당해야 합니다. 관리자의 관리 범위를 제한하는 컬렉션을 할당할 수도 있습니다.

새 관리자를 만들려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 관리자를 클릭합니다.

  3. 탭의 만들기 그룹에서 사용자 또는 그룹 추가를 클릭합니다.

  4. 찾아보기를 클릭한 다음 이 새 관리자에게 사용할 사용자 계정 또는 그룹을 선택합니다.

    System_CAPS_note참고

    콘솔 기반 관리를 위해 도메인 사용자 또는 보안 그룹만 관리자로 지정할 수 있습니다.

  5. 연결된 보안 역할의 경우 추가를 클릭하여 사용 가능한 보안 역할 목록을 열고, 보안 역할 하나 이상의 확인란을 선택한 다음 확인을 클릭합니다.

  6. 새 사용자의 보안 개체 동작을 정의하려면 다음 두 옵션 중 하나를 선택합니다.

    • 연결된 보안 역할과 관련된 모든 보안 개체: 이 옵션은 모두 보안 범위와 모든 시스템모든 사용자 및 사용자 그룹에 대한 루트 수준 기본 제공 컬렉션에 관리자를 연결합니다. 사용자에게 할당된 보안 역할은 개체에 대한 액세스 권한을 정의합니다. 이 관리자가 만드는 새 개체는 기본값 보안 범위에 할당됩니다.

    • 지정한 보안 범위 또는 컬렉션의 보안 개체만: 기본적으로 이 옵션은 기본값 보안 범위와 모든 시스템모든 사용자 및 사용자 그룹 컬렉션에 관리자를 연결합니다. 그러나 실제 보안 범위와 컬렉션은 새 관리자를 만드는 데 사용된 계정에 연결된 보안 범위와 컬렉션으로 제한됩니다. 이 옵션을 선택하면 보안 범위와 컬렉션을 추가하거나 제거하여 관리자의 관리 범위를 사용자 지정할 수 있습니다.

    System_CAPS_important중요

    위의 두 옵션은 할당된 각 보안 범위와 컬렉션을 관리자에게 할당된 각 보안 역할에 연결합니다. 세 번째 옵션인 관리자의 보안 역할에 의해 결정된 보안 개체만은 개별 보안 역할을 특정 보안 범위와 컬렉션에 연결하는 데 사용할 수 있습니다. 이 세 번째 옵션은 새 관리자를 만든 후 관리자를 수정할 때 사용할 수 있습니다.

  7. 6단계에서 선택한 내용에 따라 다음 작업을 수행합니다.

    • 연결된 보안 역할과 관련된 모든 보안 개체를 선택한 경우 확인을 클릭하여 이 절차를 완료합니다.

    • 지정된 보안 범위 또는 컬렉션의 보안 개체만을 선택한 경우 추가를 클릭하여 다른 컬렉션과 보안 범위를 선택하거나, 목록에서 하나 이상의 개체를 선택한 후 제거를 클릭하여 제거할 수 있습니다.확인을 클릭하여 이 절차를 완료합니다.

사용자와 연결된 보안 역할, 보안 범위 및 컬렉션을 추가하거나 제거하여 관리자의 관리 범위를 수정할 수 있습니다. 각 관리자는 각각 하나 이상의 보안 역할과 보안 범위에 연결해야 합니다. 사용자의 관리 범위에 하나 이상의 컬렉션을 할당해야 할 수도 있습니다. 대부분의 보안 역할은 컬렉션과 상호 작용하며 할당된 컬렉션이 없으면 제대로 작동하지 않습니다.

관리자를 수정할 때 할당된 보안 역할에 보안 개체를 연결하는 동작을 변경할 수 있습니다. 선택할 수 있는 동작은 다음 세 가지입니다.

  • 연결된 보안 역할과 관련된 모든 보안 개체: 이 옵션은 모두 범위와 모든 시스템모든 사용자 및 사용자 그룹에 대한 루트 수준 기본 제공 컬렉션에 관리자를 연결합니다. 사용자에게 할당된 보안 역할은 개체에 대한 액세스 권한을 정의합니다.

  • 지정한 보안 범위 또는 컬렉션의 보안 개체만: 이 옵션은 관리자를 구성하는 데 사용하는 계정에 연결된 보안 범위와 컬렉션에 관리자를 연결합니다. 이 옵션을 선택하면 보안 역할과 컬렉션을 추가하거나 제거하여 관리자의 관리 범위를 사용자 지정할 수 있습니다.

  • 관리자의 보안 역할에 의해 결정된 보안 개체만: 이 옵션을 사용하면 개별 보안 역할과 사용자에 대한 특정 보안 범위 및 컬렉션 간에 특정 연결을 만들 수 있습니다.

    System_CAPS_note참고

    이 옵션은 관리자의 속성을 수정할 때만 사용할 수 있습니다.

보안 개체 동작의 현재 구성에 따라 추가 보안 역할을 할당하는 데 사용하는 프로세스가 달라집니다. 관리자를 관리하려면 보안 개체에 대한 여러 가지 옵션에 따라 다음 절차를 수행하십시오.

관리자의 보안 개체에 대한 구성을 보거나 관리하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 관리자를 클릭합니다.

  3. 수정할 관리자를 선택합니다.

  4. 탭의 속성 그룹에서 속성을 클릭합니다.

  5. 보안 범위 탭을 클릭하여 관리자의 보안 개체에 대한 현재 구성을 봅니다.

  6. 보안 개체 동작을 수정하려면 보안 개체 동작에 대한 새 옵션을 선택합니다. 이 구성을 변경한 후에 이 관리자의 보안 범위와 컬렉션 및 보안 역할을 구성하는 데 필요한 추가 지침을 보려면 적절한 절차를 참조하십시오.

  7. 확인을 클릭하여 절차를 완료합니다.

보안 개체 동작이 연결된 보안 역할과 관련된 모든 보안 개체로 설정된 관리자를 수정하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 관리자를 클릭합니다.

  3. 수정할 관리자를 선택합니다.

  4. 탭의 속성 그룹에서 속성을 클릭합니다.

  5. 보안 범위 탭을 클릭하여 관리자가 연결된 보안 역할과 관련된 모든 보안 개체로 구성되었는지 확인합니다.

  6. 연결된 보안 역할을 수정하려면 보안 역할 탭을 클릭합니다.

    • 이 관리자에게 다른 보안 역할을 할당하려면 추가를 클릭하고 할당할 다른 각 보안 역할의 확인란을 선택한 다음 확인을 클릭합니다.

    • 보안 역할을 제거하려면 목록에서 보안 역할을 하나 이상 선택한 후 제거를 클릭합니다.

  7. 보안 개체 동작을 수정하려면 보안 범위 탭을 클릭하고 보안 개체 동작에 대한 새 옵션을 선택합니다. 이 구성을 변경한 후에 이 관리자의 보안 범위와 컬렉션 및 보안 역할을 구성하는 데 필요한 추가 지침을 보려면 적절한 절차를 참조하십시오.

    System_CAPS_note참고

    보안 개체 동작을 연결된 보안 역할과 관련된 모든 보안 개체로 설정한 경우에는 특정 보안 범위와 컬렉션을 추가하거나 제거할 수 없습니다.

  8. 확인을 클릭하여 이 절차를 완료합니다.

보안 개체 동작이 지정된 보안 범위 또는 컬렉션의 보안 개체만로 설정된 관리자를 수정하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 관리자를 클릭합니다.

  3. 수정할 관리자를 선택합니다.

  4. 탭의 속성 그룹에서 속성을 클릭합니다.

  5. 보안 범위 탭을 클릭하여 사용자가 지정된 보안 범위 또는 컬렉션의 보안 개체만으로 구성되었는지 확인합니다.

  6. 연결된 보안 역할을 수정하려면 보안 역할 탭을 클릭합니다.

    • 이 사용자에게 다른 보안 역할을 할당하려면 추가를 클릭하고 할당할 다른 각 보안 역할의 확인란을 선택한 다음 확인을 클릭합니다.

    • 보안 역할을 제거하려면 목록에서 보안 역할을 하나 이상 선택한 후 제거를 클릭합니다.

  7. 보안 역할에 연결된 보안 범위와 컬렉션을 수정하려면 보안 역할 탭을 클릭합니다.

    • 이 관리자에게 연결된 모든 보안 역할에 새 보안 범위 또는 컬렉션을 연결하려면 추가를 클릭하고 네 가지 옵션 중 하나를 선택합니다.보안 범위 또는 컬렉션을 선택하는 경우 개체 하나 이상의 확인란을 선택하여 해당 선택을 완료하고 확인을 클릭합니다.

    • 보안 범위 또는 컬렉션을 제거하려면 개체를 선택하고 제거를 클릭합니다.

  8. 확인을 클릭하여 이 절차를 완료합니다.

보안 개체 동작이 관리자의 보안 역할에 의해 결정된 보안 개체만로 설정된 관리자를 수정하려면 다음 절차를 수행하십시오.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 보안을 확장한 후 관리자를 클릭합니다.

  3. 수정할 관리자를 선택합니다.

  4. 탭의 속성 그룹에서 속성을 클릭합니다.

  5. 보안 범위 탭을 클릭하여 관리자가 지정된 보안 범위 또는 컬렉션의 보안 개체만으로 구성되었는지 확인합니다.

  6. 연결된 보안 역할을 수정하려면 보안 역할 탭을 클릭합니다.

    • 이 관리자에게 다른 보안 역할을 할당하려면 추가를 클릭합니다.보안 역할 추가 대화 상자에서 사용 가능한 보안 역할을 하나 이상 선택하고 추가를 클릭한 후 선택한 보안 역할에 연결할 개체 유형을 선택합니다.보안 범위 또는 컬렉션을 선택하는 경우 개체 하나 이상의 확인란을 선택하여 해당 선택을 완료하고 확인을 클릭합니다.

      System_CAPS_note참고

      선택한 보안 역할을 관리자에게 할당하기 전에 보안 범위를 하나 이상 구성해야 합니다. 여러 보안 역할을 선택하는 경우 구성한 각 보안 범위 및 컬렉션이 선택한 각 보안 역할에 연결됩니다.

    • 보안 역할을 제거하려면 목록에서 보안 역할을 하나 이상 선택한 후 제거를 클릭합니다.

  7. 특정 보안 역할에 연결된 보안 범위와 컬렉션을 수정하려면 보안 범위 탭을 클릭하고 보안 역할을 선택한 후 편집을 클릭합니다.

    • 새 개체를 이 보안 역할에 연결하려면 추가를 클릭하고 선택한 보안 역할에 연결할 개체 유형을 선택합니다.보안 범위 또는 컬렉션을 선택하는 경우 개체 하나 이상의 확인란을 선택하여 해당 선택을 완료하고 확인을 클릭합니다.

      System_CAPS_note참고

      보안 범위를 하나 이상 구성해야 합니다.

    • 이 보안 역할에 연결된 보안 범위 또는 컬렉션을 제거하려면 개체를 선택하고 제거를 클릭합니다.

    • 연결된 개체를 모두 수정했으면 확인을 클릭합니다.

  8. 확인을 클릭하여 이 절차를 완료합니다.

    System_CAPS_caution주의

    보안 역할이 관리자에게 컬렉션 배포 권한을 부여할 경우 해당 관리자가 개체 읽기 권한을 갖고 있는 보안 범위에서 개체를 배포할 수 있습니다. 이 보안 범위가 다른 보안 역할에 연결된 경우에도 마찬가지입니다.

표시: