使用管理控制台创建细颗粒度管理授权组

可通过选择管理资源作为授权组的一部分，来创建细颗粒度的管理授权组。 可以将用户或组指定给此新管理授权组，并且同时为他们提供对包含在其中的管理资源的访问权。

1. 浏览至 安全性 > 管理授权组 > 新建。
2. 在 名称 字段中输入管理授权组的名称。
   此为必填字段。 此名称在单元结构中必须是唯一的。 如果此名称不是唯一的，那么不会在此过程结束时创建新的管理授权组。
3. 从 资源 部分中选择您希望新的管理授权组控制其访问权的资源。

   用黑色文本显示的资源可供选择。

   用灰色显示的资源已经是不同管理授权组的成员。 因此，不能将这些资源包含在新的管理授权组中。 当某个资源是另一个授权组的成员时，该组的名称就会显示在该资源名称旁边。 例如：server_1 (group_1)

   过滤选项包括以下各项：

   • 节点。 （与节点相关联的所有资源。）
   • 服务器。 （与服务器相关联的所有资源。）
   • Web 服务器。 （与 Web 服务器相关联的所有资源。）
   • 聚类。 （与集群相关联的所有资源。）
   • 应用。 （与应用程序相关联的所有资源。）
   • 节点组。 （与节点组相关联的所有资源。）
   • 所有作用域。 （显示授权组树的缺省视图。）
   • 已分配的作用域。 （显示已显式地分配给当前授权组的所有作用域。）
4. 单击 确定 或 应用。
5. 如果要将用户角色关联到此新管理授权组，请执行以下操作：
   1. 单击位于 "其他属性" 部分下的 管理用户角色 。
      可用的用户角色如下所示：

      管理员

      使用管理员角色的个人或组拥有操作员和配置员特权以及单独授予管理员角色的特权。 例如，管理员可以完成下列任务：

      • 修改服务器用户标识和密码。
      • 配置认证和授权机制。
      • 启用或禁用 管理安全性。
      • 启用或禁用 Java™ 2 安全性。
      • 更改轻量级第三方认证 (LTPA) 密码并生成密钥。
      • 在联合存储库配置中创建、更新或删除用户。
      • 在联合存储库配置中创建、更新或删除组。

      注: 管理员无法将用户和组映射到管理员角色。

      .

      配置工具

      使用配置员角色的个人或组具有监视员特权以及更改 WebSphere® Application Server 配置的能力。 配置员可以执行所有日常配置任务。 例如，配置员可以完成下列任务：

      • 创建资源。
      • 映射应用程序服务器。
      • 安装和卸载应用程序。
      • 部署应用程序。
      • 为应用程序指定从用户和组到角色的映射。
      • 为应用程序设置 Java 2 安全许可权。
      • 定制公共安全互操作性 V2 (CSIv2)、安全认证服务 (SAS) 和安全套接字层 (SSL) 配置。
        重要信息: SAS 仅在 V 6.0.x 和已在 V 6.1 单元中联合的先前版本服务器之间受支持。

      部署程序

      被授予此角色的用户可以对应用程序执行配置操作和运行时操作。

      操作员

      使用操作员角色的个人或组拥有监视员特权以及更改运行时状态的能力。 例如，操作员可以完成下列任务：

      • 停止和启动服务器。
      • 在管理控制台中监视服务器状态。

      监控

      使用监视员角色的个人或组拥有最少的特权。 监视员可以完成下列任务：

      • 查看 WebSphere Application Server 配置。
      • 查看 Application Server 的当前状态。

      管理安全管理员

      通过使用 Admin 安全管理员角色，可以对用户和组指定管理用户角色和管理组角色。 但是，管理员不能对用户和组指定包括 Admin 安全管理员角色在内的管理用户角色和管理组角色。

   2. 单击 添加 ...。
      将显示“新建用户”页面。
   3. 从 角色 列表框中选择相应的角色。
   4. 通过在 搜索字符串 字段中输入文本来选择一个或多个用户，然后单击 搜索。 单击箭头以将一个或多个可用用户添加到已映射至角色字段。
      可通过单击全选来选择多个用户和角色。
   5. 单击“确定”。
      将返回“管理用户角色”页面。 会在“管理用户角色”表中显示新用户及其相应的角色。
   6. 对要进行角色映射的每个新用户重复步骤 B 到 E。
6. 如果要将组关联到此新用户角色，请执行以下操作：
   1. 单击位于 "其他属性" 部分下的 管理组角色 。
   2. 单击 添加 ...。
      将显示“新建组”页面。
   3. 从 角色 列表框中选择相应的角色。
   4. 通过在 搜索字符串 字段中输入文本来选择一个或多个用户，然后单击 搜索。 单击箭头以将一个或多个可用用户添加到已映射至角色字段。
      可通过单击全选来选择多个用户和角色。
   5. 选择 从特殊主体集中选择 或 将组映射到指定的下面 选项。

      如果选中从特殊主体集中选择选项，那么可以选择 ALL AUTHENTICATED 或 ALL AUTHENTICATED IN TRUSTED REALMS 值。

      可用和已映射至角色字段中将显示用户组和角色列表。 从可用字段中选择用户组，然后从已映射至角色字段中选择要与一个或多个组相关联的角色。 可以选择多个组和角色。

   6. 单击“确定”。
      将返回“管理组角色”页面。 “管理组角色”表中会显示此新组及其角色。
   7. 对要进行角色映射的每个新组重复步骤 B 到 E。
7. 如果要创建另一个管理授权组，请单击 应用。
   创建了当前管理授权组。 重复步骤 2 到 6 以创建另一个管理授权组。
8. 如果不想创建其他管理授权组，请单击 确定。