Sdílet prostřednictvím

zabezpečení objektů Configuration Manager

  • Článek

Delegovat sloveso

Příkaz delegovat v Configuration Manager poskytuje správcům způsob, jak umožnit uživatelům přiřadit jiným uživatelům oprávnění k instanci objektu velmi omezeným způsobem. Práva, která může uživatel přiřadit (nebo odvolat) jiným uživatelům, jsou omezena na práva na instanci, která byla výslovně udělena danému uživateli. Když uživatel vytvoří zabezpečený objekt, budou mu automaticky udělena explicitní práva k instanci objektu (obvykle ke čtení, úpravě a odstranění).

Tato explicitně udělená práva do určité míry poskytují uživateli určitou úroveň vlastnictví objektu. S právem delegáta je toto vlastnictví rozšířeno na kontrolu výchozí skupiny práv instance. Pokud chcete omezit, která práva může uživatel delegovat, mohou být delegována pouze práva, která mu byla výslovně udělena (nikoli skupině, do které patří). Uživatel může také odebrat práva instancí jiných uživatelů (nebo skupin), pokud má oprávnění delegáta a explicitní práva k objektu (proto se říká, že uživatel vlastní objekt, pokud má explicitní práva instance). Uživatelé s oprávněními správce mají stále plnou kontrolu nad správou oprávnění.

Běžným scénářem použití příkazu delegáta je situace, kdy uživatel vytvořil a delegoval práva pro typ objektu a chce vytvořit objekt a umožnit členům skupiny uživatelů, aby ho viděli. Vytvoří instanci objektu a pak delegují oprávnění ke čtení instance na skupinu uživatelů.

Příkaz delegáta se vztahuje na následující třídy Configuration Manager:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Systémový prostředek (SMS_R_System) jako zabezpečený prostředek

Zabezpečené prostředky jsou prostředky (třídy SMS_R_*), které vyžadují oprávnění ke čtení kolekce. Pokud má uživatel oprávnění ke čtení kolekce na úrovni třídy, může zobrazit všechny instance zabezpečeného prostředku. Pokud má uživatel oprávnění ke čtení na úrovni instance pouze u určitých kolekcí, má oprávnění k zobrazení prostředků, které jsou členy těchto kolekcí. SMS_R_User a SMS_R_UserGroup jsou zabezpečené prostředky v SMS 2.0. V SMS 2003 SMS_R_System je (systémový prostředek) také zabezpečeným prostředkem.

Instance inventáře (SMS_G_System_*) jsou zabezpečeny podobně pomocí příkazu číst prostředek. Pokud má uživatel práva na úrovni třídy, může zobrazit data inventáře patřící všem prostředkům. Pokud uživatel nemá práva na úrovni třídy, může zobrazit pouze data inventáře pro inventář, který patří k prostředkům, které jsou členy kolekcí, ke kterým má uživatel práva ke čtení prostředků na úrovni instance. Naopak, pokud má uživatel práva ke čtení prostředků ke kolekci, může zobrazit data inventáře pro členy této kolekce. Změna zabezpečení na to nemá vliv.SMS_R_System Práva ke čtení prostředků nelze udělit uživateli bez udělení práv ke čtení. Pokud uživatel nemá příslušná práva ke kolekci na úrovni třídy, zabezpečení prostředků se vynucuje prostřednictvím omezení kolekce.

Zabezpečení odesílaných souborů na Configuration Manager Server

Doporučené umístění pro kopírování souborů záznamů zjišťování dat (DDR) a souborů MIF (Managed Information Format), které nesouvisí s existujícími klienty Configuration Manager, je přímo v doručené poště serveru lokality. To vyžaduje udělení oprávnění na úrovni správce na serveru lokality aplikaci, která tyto soubory kopíruje. Jsou umístěny takto:

DDR soubory: <SMS>/inboxes/ddm.box

SOUBORY MIF: <SMS>/inboxes/inventry.box

Viz taky

Přehled objektůConfiguration Manager třídy přidružení
Configuration Manager bitových vlastností pole
formáty data a času Configuration Manager
Configuration Manager vložené objekty
Configuration Manager rozšířený dotazovací jazyk WMI
Configuration Manager Líná ubytování
Configuration Manager speciální dotazy
Informace o chybách