Configuration Manager objectbeveiliging
Werkwoord delegeren
De gedelegeerde werkwoord in Configuration Manager biedt beheerders een manier om gebruikers toe te staan om de instantiemachtigingen voor een object op een zeer beperkte manier toe te wijzen aan andere gebruikers. De rechten die een gebruiker mag toewijzen (of intrekken) aan andere gebruikers zijn beperkt tot de exemplaarrechten die expliciet aan die gebruiker zijn verleend. Wanneer een gebruiker een beveiligd object maakt, krijgt die gebruiker automatisch expliciete exemplaarrechten voor dat object (meestal lezen, wijzigen en verwijderen).
Tot op zekere hoogte bieden deze expliciet verleende rechten de gebruiker een bepaald niveau van eigendom van het object. Met het gemachtigdenrecht wordt dit eigendom uitgebreid tot het beheer van de standaardgroep van exemplaarrechten. Om te beperken welke rechten een gebruiker kan delegeren, kunnen alleen rechten worden gedelegeerd die expliciet aan hen zijn verleend (niet aan een groep waartoe ze behoren). Een gebruiker kan ook instantierechten van andere gebruikers (of groepen) verwijderen als de gebruiker de machtiging voor gemachtigden en expliciete rechten voor een object heeft (daarom wordt gezegd dat een gebruiker eigenaar is van een object als deze expliciete exemplaarrechten heeft). Gebruikers met beheerdersrechten hebben nog steeds volledige controle over het beheren van machtigingen.
Een veelvoorkomend scenario voor het gebruik van de gedelegeerde werkwoord is wanneer een gebruiker rechten heeft gemaakt en gedelegeerd voor een objecttype en een object wil maken en leden van een gebruikersgroep toestaan dit te zien. Ze maken een exemplaar van het object en delegeren vervolgens leesmachtigingen voor het exemplaar naar de gebruikersgroep.
Het gedelegeerde werkwoord is van toepassing op de volgende Configuration Manager klassen:
SMS_Collection
SMS_Package
SMS_Advertisement
SMS_Site
SMS_Query
SMS_Report
SMS_MeteredProductRule
Systeemresource (SMS_R_System) als beveiligde resource
Beveiligde resources zijn resources (de klassen SMS_R_*) waarvoor leesrechten voor verzamelingen moeten worden weergegeven. Als de gebruiker leesrechten voor verzameling op klasseniveau heeft, kan de gebruiker alle exemplaren van een beveiligde resource zien. Als de gebruiker alleen leesrechten op exemplaarniveau heeft voor bepaalde verzamelingen, heeft de gebruiker alleen rechten om resources te zien die lid zijn van deze verzamelingen.
SMS_R_User
en SMS_R_UserGroup
zijn beveiligde resources in SMS 2.0. In SMS 2003 SMS_R_System
is (de systeemresource) ook een beveiligde resource.
Inventarisexemplaren (SMS_G_System_*) worden op dezelfde manier beveiligd met het leesresource-werkwoord. Als een gebruiker rechten op klasseniveau heeft, kan die gebruiker inventarisgegevens van alle resources zien. Als de gebruiker geen rechten op klasseniveau heeft, kan de gebruiker alleen inventarisgegevens zien voor inventaris die behoren tot resources die lid zijn van verzamelingen waarvan de gebruiker leesresourcerechten op exemplaarniveau heeft. Als een gebruiker daarentegen leesresourcerechten voor een verzameling heeft, kan een gebruiker de inventarisgegevens voor de leden van die verzameling zien. Dit is niet beïnvloed door de wijziging in beveiliging in SMS_R_System
. Leesresourcerechten kunnen niet worden verleend aan een gebruiker zonder leesrechten te verlenen. Wanneer een gebruiker niet over de juiste verzamelingsrechten op klasseniveau beschikt, wordt resourcebeveiliging afgedwongen door verzamelingsbeperking.
Bestandsinzendingen naar een Configuration Manager-server beveiligen
De aanbevolen locatie voor het kopiëren van DDR-bestanden (Data Discovery Record) en MIF-bestanden (Managed Information Format) die niet zijn gerelateerd aan bestaande Configuration Manager clients, bevindt zich rechtstreeks in de postvakken van de siteserver. Hiervoor moeten machtigingen op beheerdersniveau op de siteserver worden verleend aan de toepassing die deze bestanden kopieert. Deze bevinden zich als volgt:
DDR-bestanden: <SMS>/inboxes/ddm.box
MIF-bestanden: <SMS>/inboxes/inventry.box
Zie ook
Overzicht van objectenConfiguration Manager koppelingsklassen
eigenschappen van Configuration Manager-bitsveld
Configuration Manager datum- en tijdnotaties
Ingesloten objecten Configuration Manager
uitgebreide WMI-querytaal Configuration Manager
Configuration Manager luie eigenschappen
Configuration Manager speciale query's
Over fouten