zabezpieczenia obiektów Configuration Manager

Zlecenie delegata

Zlecenie delegata w Configuration Manager zapewnia administratorom sposób zezwalania użytkownikom na przypisywanie innym użytkownikom uprawnień wystąpienia do obiektu w bardzo ograniczony sposób. Prawa, które użytkownik może przypisać (lub odwołać) innym użytkownikom, są ograniczone do praw wystąpienia, które zostały jawnie przyznane temu użytkownikowi. Gdy użytkownik tworzy zabezpieczony obiekt, automatycznie otrzymuje jawne prawa do wystąpienia do tego obiektu (zwykle odczyt, modyfikowanie i usuwanie).

W pewnym stopniu te jawnie przyznane prawa zapewniają użytkownikowi pewien poziom własności obiektu. Z uprawnieniami pełnomocnika ta własność jest rozszerzona na kontrolę nad domyślną grupą praw wystąpienia. Aby ograniczyć uprawnienia, które użytkownik może delegować, można delegować tylko prawa jawnie mu przyznane (a nie grupy, do której należy). Użytkownik może również usunąć inne prawa wystąpień użytkowników (lub grup), jeśli użytkownik ma uprawnienie delegata i jawne prawa do obiektu (dlatego użytkownik jest nazywany właścicielem obiektu, jeśli ma jawne prawa do wystąpienia). Użytkownicy z uprawnieniami administratora nadal mają pełną kontrolę nad administrowaniem uprawnieniami.

Typowym scenariuszem korzystania z zlecenia delegata jest sytuacja, gdy użytkownik utworzył i delegował prawa dla typu obiektu i chce utworzyć obiekt i zezwolić członkom grupy użytkowników na jego wyświetlanie. Tworzą wystąpienie obiektu, a następnie delegują uprawnienia do odczytu dla wystąpienia do grupy użytkowników.

Zlecenie delegata ma zastosowanie do następujących klas Configuration Manager:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Zasób systemowy (SMS_R_System) jako zabezpieczony zasób

Zabezpieczone zasoby to zasoby (klasy SMS_R_*), które wymagają wyświetlania praw do odczytu kolekcji. Jeśli użytkownik ma prawa do odczytu kolekcji na poziomie klasy, użytkownik może zobaczyć wszystkie wystąpienia zabezpieczonego zasobu. Jeśli użytkownik ma tylko uprawnienia do odczytu na poziomie wystąpienia do niektórych kolekcji, użytkownik ma tylko prawa do wyświetlenia zasobów będących członkami tych kolekcji. SMS_R_User i SMS_R_UserGroup są zabezpieczone zasoby w programie SMS 2.0. W programie SMS 2003 SMS_R_System (zasób systemowy) jest również zabezpieczonym zasobem.

Wystąpienia spisu (SMS_G_System_*) są zabezpieczone podobnie za pomocą czasownika zasobu odczytu. Jeśli użytkownik ma prawa na poziomie klasy, ten użytkownik może wyświetlić dane spisu należące do wszystkich zasobów. Jeśli użytkownik nie ma praw na poziomie klasy, może wyświetlić tylko dane spisu dla spisu, które należą do zasobów należących do kolekcji, do których użytkownik ma prawa do odczytu na poziomie wystąpienia. Z drugiej strony, jeśli użytkownik ma prawa do odczytu zasobów do kolekcji, użytkownik może wyświetlić dane spisu dla członków tej kolekcji. Zmiana zabezpieczeń SMS_R_Systemna wartość nie ma na to wpływu. Nie można przyznać praw do zasobu do odczytu użytkownikowi bez przyznawania praw do odczytu. Jeśli użytkownik nie ma odpowiednich praw do zbierania na poziomie klasy, zabezpieczenia zasobów są wymuszane przez ograniczanie kolekcji.

Zabezpieczanie przesyłania plików na serwer Configuration Manager

Zalecana lokalizacja kopiowania plików rekordu odnajdywania danych (DDR) i plików mif (Managed Information Format), które nie są związane z istniejącymi klientami Configuration Manager, znajduje się bezpośrednio w skrzynkach odbiorczych serwera lokacji. Wymaga to przyznania uprawnień na poziomie administratora na serwerze lokacji aplikacji, która kopiuje te pliki. Znajdują się one w następujący sposób:

Pliki DDR: <SMS>/inboxes/ddm.box

Pliki MIF: <SMS>/inboxes/inventry.box

Zobacz też

Omówienie obiektówConfiguration Manager klasy skojarzeń
właściwości pola bitowego Configuration Manager
formaty daty i godziny Configuration Manager
obiekty osadzone Configuration Manager
Configuration Manager rozszerzony język zapytań WMI
właściwości Configuration Manager z opóźnieniem
Configuration Manager specjalnych zapytań
Informacje o błędach