Présentation de la sécurité des objets Configuration Manager et de WMI
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Sécurité WMI
Microsoft System Center Configuration Manager 2007 repose entièrement sur la technologie WMI (Windows Management Instrumentation). WMI est l'implémentation de Microsoft du Web Based Enterprise Management (WBEM). WBEM est une architecture d'unification qui permet d'accéder à des données de diverses technologies sous-jacentes, notamment Win32, WMI, l'interface DMI (Desktop Management Interface) et le protocole SNMP (Simple Network Management Protocol). L'architecture WBEM est fondée sur le schéma CIM (Common Information Model, norme industrielle gérée par le DMTF (Desktop Management Task Force). WMI utilise des fichiers MOF (Managed Object Format) pour déterminer les informations à charger dans l'espace de stockage CIM. WMI utilise également des fournisseurs pour accéder à l'espace de stockage CIM.
WBEM propose essentiellement un moyen standard de définir les informations qu'un système doit collecter (fichiers MOF), une méthode standard de représentation de ces informations (espace de stockage CIM) et un mode d'accès standard aux informations collectées. Par exemple, dans un système d'exploitation Windows, WMI peut collecter des informations de performance (à l'aide du fournisseur d'Analyseur de performances) à partir du Registre (à l'aide du fournisseur de Registre) et de l'inventaire matériel Configuration Manager 2007 (à l'aide du fournisseur SMS), puis les stocker toutes dans l'espace de stockage CIM. Vous pouvez ensuite afficher les informations dans la console Configuration Manager 2007 (via le fournisseur SMS).
En revanche, l'accès à l'espace de stockage CIM est contrôlé par les autorisations WMI. Par défaut, le compte d’administrateur local et le groupe Administrateurs local se voient attribuer des droits pour tout type d’opération, y compris l’accès distant. Vous pouvez utiliser WMI pour contrôler les autorisations globales dans des opérations d'espace de noms, telles que la possibilité de limiter l'accès de certains utilisateurs aux opérations en lecture seule. Vous pouvez utiliser le contrôle WMI (disponible dans les outils d'administration de la Gestion de l'ordinateur) pour gérer la sécurité WMI. Lorsque vous installez Configuration Manager 2007, vous désignez l'ordinateur sur lequel le fournisseur SMS sera exécuté. Configuration Manager 2007 crée alors le groupe Administrateurs SMS sur cet ordinateur et sur le serveur de site si le fournisseur SMS est situé sur un ordinateur distant. Le groupe Administrateurs SMS bénéficie des autorisations nécessaires pour accéder au fournisseur SMS. Pour plus d'informations, consultez À propos du groupe Administrateurs SMS.
Sécurité d'objet dans Configuration Manager
La seule option pour Configuration Manager 2007 d'appliquer directement la sécurité est lorsque vous accédez à un objet Configuration Manager 2007 via le fournisseur SMS. Si, par exemple, l'administrateur SQL a accordé à l'utilisateur des droits d'accès directs aux tables de la base de données de site, l'utilisateur peut entreprendre n'importe quelle action avec ces droits, quelle que soit la sécurité d'objet Configuration Manager 2007 qui a été attribuée.
Important
L'accès direct à la base de données de site n'est pas pris en charge et peut entraîner des modifications susceptibles d'empêcher votre site de fonctionner.
L'accès aux objets est octroyé par le biais de comptes d'utilisateurs ou de groupes. L'appartenance au groupe est énumérée lorsque le membre du groupe tente d'accéder à l'objet. Vous pouvez octroyer des droits à une classe entière d'objets (l'ensemble des packages, sites et regroupements) ou à une instance d'un objet (le package Office, le site enfant New York, le regroupement Ordinateurs du bâtiment 44). Toutes les classes ne vous autorisent pas à accorder des droits à une instance. Par exemple, il existe trop de messages d'état pour octroyer facilement des autorisations d'instance à chacun de ces messages. Les messages d'état ne disposent donc que d'un droit de classe. Pour obtenir une liste complète de toutes les autorisations de classe et d'instance dans Configuration Manager 2007, consultez Classes et instances de sécurité des objets dans Configuration Manager dans la section Référence technique de la bibliothèque de documentation de Configuration Manager.
Sécurité d'objet par défaut
Par défaut, les seuls utilisateurs bénéficiant de droits d'accès à l'ensemble des objets dans la console Configuration Manager 2007 sont le compte d'utilisateur utilisé pour exécuter le programme d'installation de Configuration Manager 2007 (compte d'installation de Configuration Manager) et le compte système local. Vous devez explicitement ajouter d'autres comptes et leur accorder des autorisations pour les objets Configuration Manager 2007. De plus, s'ils ne sont pas déjà membres du groupe Administrateurs SMS, vous devez leur accorder des autorisations WMI. Sans autorisations WMI, les utilisateurs ne peuvent en aucun cas exécuter la console Configuration Manager 2007. S'ils ne bénéficient pas de droits pour des objets, les utilisateurs ayant la possibilité de démarrer la console Configuration Manager 2007 peuvent uniquement afficher les nœuds de niveau supérieur, ainsi que les outils et les droits de sécurité. Les utilisateurs ne peuvent pas afficher d'autres données que les droits de sécurité et ne peuvent manipuler ces droits.
Notes
Si vous avez mis le site à niveau à partir d'une version précédente, le compte qui disposait de droits complets pour tous les objets ne bénéficiera d'aucun droit pour les nouveaux types d'objets jusqu'à ce que vous octroyiez explicitement ces droits. Par exemple, malgré les droits complets dont il dispose pour tous les objets Configuration Manager 2007, si l'administrateur des mises à jour logicielles n'est pas l'utilisateur qui a procédé à la mise à niveau, il ne jouira d'aucun droit pour les nouveaux objets de déploiement dans Configuration Manager 2007.
Pour chaque type d'objet, il doit exister au moins un compte doté du droit Administrer au niveau de la classe. Ceci permet d'éviter que les administrateurs ne soient verrouillés et hors de portée du système Configuration Manager 2007. Par conséquent, il n'est pas possible de supprimer l'utilisateur final sur un type d'objet avec le droit Administrer. De même, vous ne pouvez pas supprimer vos propres droits Administrer sur un objet.
Les utilisateurs qui créent une instance d'un objet se voient automatiquement attribuer des droits Lire, Modifier et Supprimer pour cette instance.
Mode de cumul des droits
Vous pouvez cumuler des droits d'objet Configuration Manager 2007. Par exemple, si un utilisateur dispose du droit Lire pour un regroupement (par exemple, « Tous les systèmes ») et du droit Utiliser les outils de contrôle à distance pour un autre regroupement (« Regroupement A »), il bénéficie alors des droits Lire et Utiliser les outils de contrôle à distance pour tous les systèmes étant membres de ces deux regroupements. L'utilisateur peut afficher une ressource dans le regroupement « Tous les systèmes » et utiliser les Outils de contrôle à distance avec cette ressource si cette dernière se trouve également dans le regroupement A. Si la ressource ne se trouve pas dans le regroupement « Regroupement A », l'utilisateur ne peut pas utiliser les Outils de contrôle à distance avec cette ressource. Le fait que l'utilisateur ne dispose pas du droit Outils de contrôle à distance dans le regroupement « Tous les systèmes » ne signifie pas que l'utilisation des Outils de contrôle à distance leur est refusée sur tous les ordinateurs dans le regroupement « Tous les systèmes ». L'utilisation des Outils de contrôle à distance est uniquement refusée à l'utilisateur pour les ordinateurs du regroupement « Tous les systèmes » qui ne bénéficient pas du droit Utiliser les outils de contrôle à distance dans tous les autres regroupements qui incluent ces ordinateurs.
Du fait que les droits Configuration Manager 2007 peuvent être cumulés, si vous accordez à un utilisateur des droits de sécurité de classe pour un objet de sécurité et des droits de sécurité d'instance conflictuels à un objet de sécurité spécifique, Configuration Manager 2007 rapproche les droits de sécurité de classe et d'instance pour accorder le niveau d'autorisation le plus élevé. Par exemple, si vous accordez à l'utilisateur tous les droits à tous les packages au niveau de la classe et le droit Lire pour un package spécifique au niveau de l'instance, les droits effectifs de l'utilisateur sont des droits d'accès complets à tous les packages, y compris le package spécifique défini avec le droit Lire.
Implémentation de la sécurité basée sur les rôles à l'aide de la sécurité d'objet
Vous pouvez accorder des autorisations à des objets en octroyant des droits à des groupes d'utilisateurs au sein de votre organisation pour répondre à leurs besoins spécifiques. Par exemple, si les techniciens de votre support technique possèdent un groupe d'utilisateurs, vous pouvez accorder à ce groupe des droits Utiliser les outils de contrôle à distance pour les regroupements. Si des utilisateurs qui ne sont pas des administrateurs Configuration Manager 2007 souhaitent consulter et interroger un inventaire dressé à partir de clients, vous pouvez accorder à ces utilisateurs les droits Lire pour les regroupements et les requêtes, ainsi que les droitsLire la ressource pourles regroupements.
Administrer et Déléguer
Lors de la création d'un objet (par exemple, un regroupement ou une publication), l'utilisateur peut choisir d'autoriser d'autres utilisateurs (ou groupes) pour utiliser ou gérer l'objet. Ceci est possible si l'utilisateur dispose du droit Administrer au niveau de la classe mais il peut aussi utiliser comme bon lui semble n'importe quelle instance de ce type d'objet. Une meilleure solution est d'accorder à l'utilisateur le droit Déléguer au niveau de la classe. Il peut alors accorder des droits à des utilisateurs et des groupes pour des objets que créent ces derniers. En revanche, les utilisateurs peuvent uniquement octroyer des droits qui leurs sont accordés explicitement au niveau de l'instance ; ils ne peuvent pas accorder des droits qui leur sont accordés par appartenance au groupe ou au niveau de la classe.
Par exemple, un utilisateur peut disposer des droits Créer et Déléguer au niveau de la classe pour les regroupements. L'utilisateur bénéficie aussi des droits Lire, Lire la ressource et Publier au niveau de l'instance pour le regroupement « Tous les systèmes Windows XP ». Il peut alors créer un nouveau regroupement sur la base de l'appartenance au regroupement « Tous les systèmes Windows XP ». Il peut ensuite accorder les droits Lire et Lire la ressource pour le nouveau regroupement (mais pas les droits Créer ou Déléguer) à un autre groupe afin que les membres de ce dernier puissent afficher les membres de ce nouveau regroupement.
Notes
Accordez soigneusement des autorisations à chaque administrateur au niveau de l'instance, sauf s'ils ont besoin d'autorisations au niveau de la classe. Créez un regroupement de ressources géré par chaque administrateur et octroyez des autorisations uniquement à ce regroupement. De ce fait, chaque administrateur voit uniquement s'afficher les objets de sécurité dont l'accès est autorisé.
Affichage des ressources dans les regroupements et les requêtes
Souvent, les droits que vous définissez pour les regroupements affectent votre capacité à effectuer des tâches dans d'autres nœuds de la console Configuration Manager 2007. Par exemple, en octroyant le droit de sécurité d'objet Lire à un regroupement, vous ne donnez pas uniquement à l'utilisateur le droit de consulter ce regroupement mais aussi celui de consulter les ressources que contient ce regroupement. L'utilisateur peut afficher les propriétés de la ressource et ouvrir l'Explorateur de ressources mais il ne peut pas afficher les valeurs des groupes de l'Explorateur de ressources. Pour ce niveau de détail, l'utilisateur a également besoin du droit Lire la ressource. Pour mieux gérer les ressources informatiques, accordez à l'utilisateur le droit Utiliser les outils de contrôle à distance ou Afficher les fichiers collectés. Pour supprimer entièrement la ressource de Configuration Manager 2007 (et non simplement la règle de regroupement qui fait de cette ressource un membre du regroupement), l'utilisateur doit disposer du droit Supprimer la ressource.
Vous pouvez gérer des ressources par le biais de requêtes mais le droit Lire appliqué aux requêtes vous confère uniquement le droit d'afficher et d'exécuter les requêtes. Le droit d'afficher des ressources dans la fenêtre des résultats d'une requête et de gérer ces mêmes ressources provient des droits définis pour les regroupements dans lesquels figurent ces ressources.
Droits de maintenance de site
Pour gérer la base de données du site, vous pouvez créer les commandes Microsoft SQL Server de maintenance de site dans la console Configuration Manager 2007, sous le nœud Paramètres du site de chaque site. Ces commandes disposent de droits complets dans la base de données de site et peuvent manipuler à leur guise les données et la base de données. Pour empêcher toute utilisation malveillante de cette fonctionnalité puissante, vous devez limiter l'instance Gérer les commandes SQL de la classe Site uniquement aux administrateurs principaux pour qui ce droit est nécessaire.
Notes
Pour ajouter, supprimer ou modifier des commandes SQL, vous devez disposer des droits Modifier sur l'objet de site.
Droits de contrôle des logiciels
L'un des tâches principales liées au contrôle des logiciels est de créer une règle de contrôle des logiciels. Vous pouvez appliquer des règles de contrôle des logiciels non seulement aux sites pour lesquels elles sont créées mais également aux sites enfants de ce site. Pour gérer des règles de contrôle des logiciels, l'administrateur Configuration Manager 2007 doit disposer des droits de sécurité d'objet appropriés en matière de règle de contrôle des logiciels. Pour que ces règles s'appliquent à un site, l'administrateur doit également bénéficier du droit d'instance Compteur de la classe Site ou du droit Compteur du site au niveau de la classe, auquel cas les règles s'appliquent à tous les sites auxquels la règle est distribuée. Les droits Compteur pertinents sont les droits issus du site d'où provient la règle et non les droits sur les sites où la règle est distribuée.
mises à jour logicielles
Pour ajouter des mises à jour logicielles à un modèle ou à un déploiement (par une opération de glisser-déplacer ou à l'aide du menu Action), vous devez disposer des droits suivants.
| Lecture | Distribuer | Créer | Publier | |
|---|---|---|---|---|
Éléments de configuration |
X |
X |
|
|
Regroupement |
X |
|
|
X |
Package de déploiement |
X |
X |
|
|
Modèle de déploiement |
X |
|
|
|
Déploiement |
X |
|
X |
|
Site |
x |
|
|
|
Droits de distribution de logiciels
Étant donné que les publications impliquent le package et le regroupement, vous devez posséder les droits suivants pour créer une publication :
Droits Lire pour le regroupement recevant la publication
Droits Publier pour le regroupement recevant la publication
Droits Lire pour le package contenant le programme publié
Vous devez posséder les droits suivants pour supprimer une publication :
Droits Supprimer pour la publication
Droits Publier pour le regroupement recevant la publication
Droits Lire pour le package contenant le programme publié
Déploiement du système d'exploitation
Certaines tâches de déploiement de système d'exploitation nécessitent un accès aux packages, aux regroupements, aux publications et aux objets de site.
| Objet | Droits de création | Droits de modification | Droits de suppression | Droits de distribution |
|---|---|---|---|---|
Images de démarrage |
Créer\Package d'image de démarrage, Lire\Package d'image de démarrage |
Modifier\Package d'image de démarrage, Lire\Package d'image de démarrage |
Supprimer\Package d'image de démarrage, Lire\Package d'image de démarrage |
Lire\Package d'image de démarrage, Modifier\Package d'image de démarrage, Distribuer\Package d'image de démarrage, Lire\Site |
Association d'ordinateurs |
Créer\Association d'ordinateurs, Lire\Association d'ordinateurs, Lire\Regroupement |
Modifier\Association d'ordinateurs, Lire\Association d'ordinateurs |
Supprimer\Association d'ordinateurs, Lire\Association d'ordinateurs |
Non applicable |
Images du système d'exploitation |
Créer\Image du système d'exploitation, Lire\Image du système d'exploitation |
Modifier\Image du système d'exploitation, Lire\Image du système d'exploitation |
Supprimer\Image du système d'exploitation, Lire\Image du système d'exploitation |
Modifier\Image du système d'exploitation, Lire\Image du système d'exploitation, Distribuer\Image du système d'exploitation, Lire\Site |
Packages d'installation de systèmes d'exploitation |
Créer\Package d'installation du système d'exploitation, Lire\Package d'installation du système d'exploitation |
Modifier\Package d'installation du système d'exploitation, Lire\Package d'installation du système d'exploitation |
Supprimer\Package d'installation du système d'exploitation, Lire\Package d'installation du système d'exploitation |
Modifier\Package d'installation du système d'exploitation, Lire\Package d'installation du système d'exploitation, Distribuer\Package d'installation du système d'exploitation, Lire\Site |
Séquences de tâches |
Créer\Package de séquences de tâches, Lire\Package de séquences de tâches, Modifier\Package de séquences de tâches |
Modifier\Package de séquences de tâches, Lire\Package de séquences de tâches |
Supprimer\Package de séquences de tâches, Lire\Package de séquences de tâches |
Modifier\Package de séquences de tâches, Lire\Package de séquences de tâches, Distribuer\Package de séquences de tâches, Lire\Site |
Publication (pour la séquence de tâches) |
Lire\Package de séquences de tâches, Lire\Regroupement, Publier\Regroupement, Lire\Package, Créer\Publication |
Modifier\Publication, Lire\Publication |
Supprimer\Publication, Lire\Publication |
Non applicable |
Média de démarrage de séquence de tâches |
Lire\Package de séquences de tâches, Créer un média de séquence de tâches\Package de séquences de tâches, Lire\Site, Gérer les certificats proxy OSD et ISV\Site, Lire\Image de démarrage |
Modifier\Package de séquences de tâches, Lire\Package de séquences de tâches |
Supprimer\Package de séquences de tâches, Lire\Package de séquences de tâches |
Non applicable |
Pilotes |
Créer\Pilote de périphérique, Lire\Pilote de périphérique |
Modifier\Pilote de périphérique, Lire\Pilote de périphérique |
Supprimer\Pilote de périphérique, Lire\Pilote de périphérique |
Non applicable |
Package de pilotes |
Créer\Package de pilotes, Lire\Package de pilotes |
Modifier\Package de pilotes, Lire\Package de pilotes, Distribuer\Packages de pilotes |
Supprimer\Package de pilotes, Lire\Package de pilotes |
Non applicable |
Notes
Si une séquence de tâches nécessite un package de distribution de logiciels ou une image du système d'exploitation, Configuration Manager 2007 doit disposer des droits Lire pour la classe de package et pas simplement pour l'instance du package à distribuer.
Certaines actions peuvent sembler fonctionner même si l'utilisateur ne dispose pas des droits appropriés. Par exemple, même lorsqu'il ne dispose pas des droits permettant de créer des objets dans la classe de package d'images de démarrage, un utilisateur peut lancer le processus d'importation, mais l'Assistant ne fonctionnera pas car les droits ne sont pas appropriés.
Gestionnaire de service
Pour effectuer les tâches suivantes, vous devez disposer du droit Administrer pour l'objet de site principal dans le Gestionnaire de service de Configuration Manager 2007 :
Interroger un service
Arrêter un service
Démarrer un service
Configurer l'ouverture de session par le service
Sur un site secondaire, vous devez être membre du groupe Administrateurs local pour réaliser ces tâches.
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.