Product Documentation

使用 RBAC 配置角色

Jan 10, 2017

Each predefined role-based access control (RBAC) role has certain access and feature permissions associated with the role. This article describes what each of those permissions does. For a full list of default permissions for each built-in role, download Role-Based Access Control Defaults

When you apply permissions, you are defining the user groups the RBAC role has the permission to manage. Note that the default administrator cannot change the applied permission settings; by default, the applied permissions apply to all user groups.

When you make an assignment, you are assigning the RBAC role to a group, so that the group of users owns the RBAC administrator rights.

管理角色
设备置备角色
支持角色
用户角色

使用 RBAC 配置角色

通过 XenMobile 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。 这些权限控制用户对系统功能的访问级别。

XenMobile 实现四种默认用户角色,用于在逻辑上区分系统功能的访问权限:

  • 管理员。 授予完整系统访问权限。
  • 设备置备: 授权访问针对 Windows CE 设备的基本设备管理。
  • 支持。 授予对远程支持的访问权限。
  • 用户。 供可以注册设备和访问自助服务门户的用户使用。

您可以使用默认角色作为模板,通过自定义来创建具有默认角色定义的功能之外的其他特定系统功能的访问权限的新用户角色。

角色可以分配给本地用户(在用户级别)或 Active Directory 组(此组中的所有用户具有相同的权限)。 如果用户属于多个 Active Directory 组,则所有权限合并起来,以定义该用户的权限。 例如,如果 ADGroupA 可以查找管理员设备,ADGroupB 用户可以擦除员工设备,则同时属于这两个组的用户可以查找和擦除管理员和员工的设备。

注意:本地用户可以仅分配有一个角色。

可以使用 XenMobile 中的 RBAC 功能执行以下操作:

  • 创建新角色。
  • 将组添加到角色。
  • 向本地用户分配角色。

1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。 此时将显示设置页面。

2. 单击基于角色的访问控制。 此时将出现基于角色的访问控制页面,其中显示了四种默认用户角色以及您之前添加的任何角色。

localized image

如果单击某个角色旁边的加号 (+),角色将展开以显示此角色的所有权限,如下图所示。

localized image

3. 单击添加可添加新用户角色,单击现有角色右侧的铅笔图标可以编辑此角色,单击您之前所定义角色右侧的垃圾箱图标可以删除此角色。 无法删除默认用户角色。

  • 单击添加或铅笔图标时,将显示添加角色编辑角色页面。
  • 单击垃圾箱图标时,将显示一个确认对话框。 单击删除将删除选定角色。

4. 要创建新用户角色或编辑现有用户角色,请输入以下信息:

  • RBAC 名称:输入新用户角色的描述性名称。 无法更改现有角色的名称。
  • RBAC 模板:可选,单击某个模板以将其作为新角色的起点。 如果正在编辑现有角色,则无法选择模板。

RBAC 模板是默认用户角色。 它们定义与此角色关联的用户对系统功能的访问权限。 选择某个 RBAC 模板后,可以在授权访问控制台功能字段看到此角色关联的所有权限。 使用模板为可选操作;您也可以直接在授权访问控制台功能字段选择要分配给角色的选项。

localized image

5. 单击 RBAC 模板字段右侧的应用以使用选定模板的预定义访问权限和功能权限填充授权访问控制台功能复选框。

localized image

6. 选中或取消选中授权访问控制台功能复选框可自定义角色。

如果单击某项控制台功能旁边的三角形,将显示特定于此功能的权限,您可以选中或取消选中相应的权限。 单击顶层的复选框可以阻止访问此控制台部分;您必须选择顶层下面的单独选项,才能启用这些选项。 例如,在下图中,完全擦除设备清除限制选项不会显示在分配给此角色的用户的控制台上,但是,选中的选项会显示。

localized image

7. 应用权限:选择要向其应用选定权限的组。 如果单击至特定用户组,将显示组的列表,您可以从中选择一个或多个组。

localized image

8. 单击下一步。 此时将显示分配页面。

localized image

9. 输入下列信息,以将角色分配给用户组。

  • 选择域:在列表中,单击某个域。
  • 包括用户组:单击搜索以查看所有可用组的列表,或键入完整或部分组名称以将列表限制为仅显示具有此名称的组。
  • 在显示的列表中,选择要向其分配角色的用户组。 选择某个用户组后,此组将显示在选定用户组列表中。
localized image

注意:要从选定用户组列表删除用户组,请单击用户组名称旁边的 X。

10. 单击保存