SCCM 2012 – Role Based Access

    Print Email

Role Based Access

Elke organisatie kent het, wil het, maar past het niet altijd toe. Toch kom je zo nu en dan ergens waar men wel graag een duidelijke segmentering van de bevoegdheden binnen een organisatie terug wil zien in de IT omgeving.

Zo ook voor SCCM2012 R2. Er zijn meerdere mogelijkheden om te zorgen dat een medewerker ,die gebruik moet maken van SCCM,
  alleen maar datgene kan en mag gebruiken dat binnen de kaders van zijn of haar afdeling valt.

Maar hoe pak je dat nou aan? Deze blog gaat in op de RBA mogelijkheden binnen SCCM. 

Inventarisatie

Zoals met alles staat of valt de inrichting van RBA met een goede inventarisatie. Dit kan op zich al een hele uitdaging zijn, dus trek hier wel voldoende tijd voor uit en zorg dat alle betrokken partijen het eens zijn met de manier waarop de console ingericht gaat worden.

  1. Zorg dat je een goed beeld hebt van de IT organisatie

  2. Schedule een meeting met  een “ vertegenwoordiger”  van elk team zodat je duidelijk de wensen, eisen en functionaliteit gedefinieerd krijgt.

  3. Documenteer je bevindingen en begin met het sorteren van de juiste rechten en afdelingen. Zo heeft bijvoorbeeld een servicedesk compleet andere rechten nodig dan werkplekbeheer en/of serverbeheer.

  4. Is je inventarisatie op orde, begin dan met het inrichten van Security binnen SCCM.

Security

Voor het inrichten van RBA binnen SCCM2012 heb je eigenlijk maar 3 onderdelen nodig onder Security:

Te beginnen met de Administrative Users. Maak in AD groepen aan die overeenkomen met de afdeling waar rechten op gezet moeten gaan worden. In deze blog gaan we de rechten inrichten voor de afdeling Werkplek Beheer.

Nadat de juiste AD security group hebt aangemaakt in AD voor werkplek beheer voeg je deze groep toe binnen de console Administrative users. Hiervoor gebruik je de button “ Add User or Group”:

 

Nadat je de groep het toegevoegd kun je met een rechtermuisklik en properties Security Roles en Security Scopes toevoegen.

Security Roles

Security Roles zijn een standaard set ingebouwde rollen die een bepaalde functionaliteit toekennen:

Full Administrator zal tot ieders verbeelding spreken en doet inderdaad dat wat je er van verwacht. Het geeft toegang tot alle functies van de Console. Uiteraard is het de bedoeling dat je de juiste rollen toekend aan de hand van je inventarisatie.

Doordat er tegenwoordig bij verschillende groepen meerdere disciplines zijn belegd zul je merken dat je bijvoorbeeld meerdere rollen aan een AD Security groep zal moeten koppelen.

In dit voorbeeld heeft Werkplek beheer bijvoorbeeld toegang nodig tot de volgende 2 rollen:

Zodra je je rollen hebt toegekend is het zeer belangrijk om ook meteen de scopes te definiëren. Je wilt immers niet dat iemand van bijvoorbeeld Werkplekbeheer servers opnieuw gaat inrichten of dat er bepaalde patches en/of software per ongelijk op een verkeerde device collection worden deployed. Scopes zorgen ervoor dat je, buiten hetgeen dat de security role reeds afschermt, nog meer kunt verbergen voor gebruikers die hier niets te zoeken hebben.

Let op: Security Scopes zijn voor objecten binnen SCCM. Denk hierbij aan Device Collections, Drivers, software, packages, Task Sequences, etc. Roles dekken het administratieve gedeelte af. Het is ook mogelijk om custom roles te bouwen, daar gaan we in deze Blog niet verder op in. Maar het is natuurlijk altijd mogelijk om even te informeren bij de schrijven van deze blog.

Security Scopes

 Zoals hierboven aangegeven heeft een groep, nadat je deze hebt geïmporteerd, buiten de defaults van een Security Role helemaal niets in de console. Het is dus noodzakelijk om nu de Scopes te definieren.

 

 

 

Ga naar de groep Security en voeg bij Security Scopes jouw afdeling toe. In dit voorbeeld zie je een onderscheid tussen server en werkplek:

 

 

Ga terug naar Administrative Users en ga naar de properties van de afdeling die je wilt wijzigen. Voeg hier de scope toe alszijnde seucirty scope. Voeg vervolgens ook de Device collections toe waarvan je wilt dat deze afdeling toegang krijgt. In dit voorbeeld kan Werkplekbheer alleen maar bij de Device Collection WPLS.

 

 

Een gebruiker die in deze groep zit zal dus ook alleen maar devices in deze Device Collection zien en verder helemaal niets. Ook geen software/packages/drivers etc.


 

Je zult dus de console door moeten gaan om de juiste resources toe te kennen aan een afdeling:

 

 

 

Klik de security scope aan die je toegang tot deze resource wilt geven.

 

Op deze manier kun je afdelingen de juiste rechten afdwingen binnen de IT organisatie en voorkom je vervuiling van je SCCM2012 omgeving.

 

Succes!