Teilen über


Configuration Manager Object Security

Delegatverb

Das Delegatverb in Configuration Manager bietet Administratoren die Möglichkeit, Benutzern zu ermöglichen, anderen Benutzern die Instanzberechtigungen für ein Objekt auf sehr begrenzte Weise zuzuweisen. Die Rechte, die ein Benutzer anderen Benutzern zuweisen (oder widerrufen) darf, sind auf die Instanzrechte beschränkt, die diesem Benutzer explizit gewährt wurden. Wenn ein Benutzer ein geschütztes Objekt erstellt, werden diesem Benutzer automatisch explizite Instanzrechte für dieses Objekt gewährt (in der Regel Lesen, Ändern und Löschen).

Bis zu einem gewissen Grad bieten diese explizit gewährten Rechte dem Benutzer ein bestimmtes Maß an Besitz für das Objekt. Mit dem Delegatrecht wird dieser Besitz auf die Steuerung der Standardgruppe von Instanzrechten erweitert. Um einzuschränken, welche Rechte ein Benutzer delegieren kann, können nur Rechte delegiert werden, die ihm explizit (nicht einer Gruppe, zu der er gehört) gewährt werden. Ein Benutzer kann auch andere Benutzer (oder Gruppen) Instanzrechte entfernen, wenn der Benutzer über die Stellvertretungsberechtigung und explizite Rechte für ein Objekt verfügt (aus diesem Grund wird ein Benutzer als Besitzer eines Objekts bezeichnet, wenn er über explizite Instanzrechte verfügt). Benutzer mit Administratorrechten haben weiterhin die vollständige Kontrolle über die Verwaltung von Berechtigungen.

Ein häufiges Szenario für die Verwendung des Delegatverbs ist, wenn ein Benutzer Rechte für einen Objekttyp erstellt und delegiert hat und ein Objekt erstellen und Mitgliedern einer Benutzergruppe erlauben möchte, es anzuzeigen. Sie erstellen eine Instanz des Objekts und delegieren dann Leseberechtigungen für die Instanz an die Benutzergruppe.

Das Delegatverb gilt für die folgenden Configuration Manager Klassen:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Systemressource (SMS_R_System) als geschützte Ressource

Geschützte Ressourcen sind Ressourcen (die SMS_R_*-Klassen), für die Leserechte für Sammlungen erforderlich sind, um angezeigt zu werden. Wenn der Benutzer über Leseberechtigungen auf Sammlungsebene auf Klassenebene verfügt, kann der Benutzer alle Instanzen einer geschützten Ressource sehen. Wenn der Benutzer nur über Leserechte auf Instanzebene für bestimmte Sammlungen verfügt, verfügt der Benutzer nur über Rechte zum Anzeigen von Ressourcen, die Mitglieder dieser Sammlungen sind. SMS_R_User und SMS_R_UserGroup sind geschützte Ressourcen in SMS 2.0. In SMS 2003 SMS_R_System ist (die Systemressource) ebenfalls eine geschützte Ressource.

Bestandsinstanzen (SMS_G_System_*) werden auf ähnliche Weise mit dem Leseressourcenverb geschützt. Wenn ein Benutzer über Rechte auf Klassenebene verfügt, kann dieser Benutzer Bestandsdaten anzeigen, die zu allen Ressourcen gehören. Wenn der Benutzer nicht über Berechtigungen auf Klassenebene verfügt, kann der Benutzer nur Inventurdaten für den Bestand anzeigen, der zu Ressourcen gehört, die Mitglieder von Sammlungen sind, für die der Benutzer über Leseberechtigungen auf Instanzebene verfügt. Wenn ein Benutzer dagegen über Leseberechtigungen für eine Sammlung verfügt, kann er die Bestandsdaten für die Mitglieder dieser Sammlung anzeigen. Dies wurde durch die Änderung der Sicherheit in SMS_R_Systemnicht beeinflusst. Leseressourcenrechte können einem Benutzer nicht gewährt werden, ohne Leseberechtigungen zu gewähren. Wenn ein Benutzer nicht über die entsprechenden Sammlungsrechte auf Klassenebene verfügt, wird die Ressourcensicherheit durch Sammlungsbeschränkungen erzwungen.

Schützen von Dateiübermittlungen an einen Configuration Manager Server

Der empfohlene Speicherort zum Kopieren von DDR-Dateien (Data Discovery Record) und MIF-Dateien (Managed Information Format), die sich nicht auf vorhandene Configuration Manager Clients beziehen, befindet sich direkt in den Posteingängen des Standortservers. Dies erfordert, dass der Anwendung, die diese Dateien kopiert, Berechtigungen auf Administratorebene auf dem Standortserver erteilt werden. Diese befinden sich wie folgt:

DDR-Dateien: <SMS>/inboxes/ddm.box

MIF-Dateien: <SMS>/inboxes/inventry.box

Siehe auch

Übersicht über ObjekteConfiguration Manager Association Classes
Configuration Manager Bitfeldeigenschaften
Configuration Manager Datums- und Uhrzeitformate
Configuration Manager Eingebettete Objekte
Configuration Manager Erweiterte WMI-Abfragesprache
Configuration Manager Verzögerte Eigenschaften
spezielle Abfragen Configuration Manager
Informationen zu Fehlern