Sicurezza degli oggetti Configuration Manager
Verbo delegato
Il verbo delegato in Configuration Manager offre agli amministratori un modo per consentire agli utenti di assegnare ad altri utenti le autorizzazioni dell'istanza a un oggetto in modo molto limitato. I diritti che un utente può assegnare (o revocare) ad altri utenti sono limitati ai diritti di istanza concessi esplicitamente a tale utente. Quando un utente crea un oggetto protetto, a tale utente vengono concessi automaticamente diritti di istanza espliciti a tale oggetto (in genere lettura, modifica ed eliminazione).
In una certa misura, questi diritti concessi in modo esplicito forniscono all'utente un determinato livello di proprietà dell'oggetto. Con il diritto delegato, questa proprietà viene estesa al controllo del gruppo predefinito di diritti di istanza. Per limitare i diritti che un utente può delegare, è possibile delegare solo i diritti concessi in modo esplicito (non un gruppo a cui appartiene). Un utente può anche rimuovere i diritti di istanza di altri utenti (o gruppi) se l'utente dispone dell'autorizzazione del delegato e dei diritti espliciti per un oggetto ( questo è il motivo per cui un utente è detto proprietario di un oggetto se dispone di diritti di istanza espliciti). Gli utenti con diritti di amministratore hanno ancora il controllo completo dell'amministrazione delle autorizzazioni.
Uno scenario comune per l'uso del verbo delegato è quando un utente ha creato e delegato i diritti per un tipo di oggetto e vuole creare un oggetto e consentire ai membri di un gruppo di utenti di visualizzarlo. Creano un'istanza dell'oggetto e quindi delegano le autorizzazioni di lettura per l'istanza al gruppo di utenti.
Il verbo delegato è applicabile alle classi di Configuration Manager seguenti:
SMS_CollectionSMS_PackageSMS_AdvertisementSMS_SiteSMS_QuerySMS_ReportSMS_MeteredProductRule
Risorsa di sistema (SMS_R_System) come risorsa protetta
Le risorse protette sono risorse (classi SMS_R_*) che richiedono la visualizzazione dei diritti di lettura della raccolta. Se l'utente dispone dei diritti di lettura della raccolta a livello di classe, l'utente può visualizzare tutte le istanze di una risorsa protetta. Se l'utente dispone solo dei diritti di lettura a livello di istanza per determinate raccolte, l'utente dispone solo dei diritti per visualizzare le risorse che sono membri di tali raccolte.
SMS_R_User e SMS_R_UserGroup sono risorse protette in SMS 2.0. In SMS 2003, SMS_R_System (la risorsa di sistema) è anche una risorsa protetta.
Le istanze di inventario (SMS_G_System_*) sono protette in modo analogo con il verbo della risorsa di lettura. Se un utente dispone di diritti a livello di classe, l'utente può visualizzare i dati di inventario appartenenti a tutte le risorse. Se l'utente non dispone di diritti a livello di classe, l'utente può visualizzare solo i dati di inventario per l'inventario appartenenti a risorse membri di raccolte a cui l'utente dispone dei diritti delle risorse di lettura a livello di istanza. Al contrario, se un utente dispone dei diritti di lettura delle risorse per una raccolta, un utente può visualizzare i dati di inventario per i membri di tale raccolta. Questa operazione non è stata influenzata dalla modifica della sicurezza in SMS_R_System. I diritti delle risorse di lettura non possono essere concessi a un utente senza concedere diritti di lettura. Quando un utente non dispone dei diritti di raccolta appropriati a livello di classe, la sicurezza delle risorse viene applicata tramite la limitazione della raccolta.
Protezione degli invii di file a un server Configuration Manager
Il percorso consigliato per la copia di file di record di individuazione dati (DDR) e file MIF (Managed Information Format) non correlati ai client Configuration Manager esistenti si trova direttamente nella posta in arrivo del server del sito. A tale scopo, è necessario concedere all'applicazione che copia questi file le autorizzazioni a livello di amministratore nel server del sito. Questi si trovano nel modo seguente:
File DDR: <SMS>/inboxes/ddm.box
File MIF: <SMS>/posta in arrivo/inventry.box
Vedere anche
Panoramica degli oggettiConfiguration Manager classi di associazione
Proprietà campo Configuration Manager bit
formati di data e ora Configuration Manager
Configuration Manager oggetti incorporati
Configuration Manager linguaggio di query WMI esteso
proprietà lazy Configuration Manager
query speciali Configuration Manager
Informazioni sugli errori