segurança do objeto Configuration Manager
Delegar Verbo
O verbo delegado no Configuration Manager fornece aos administradores uma maneira de permitir que os usuários atribuam a outros usuários as permissões de instância a um objeto de forma muito limitada. Os direitos que um usuário pode atribuir (ou revogar) a outros usuários são limitados aos direitos de instância que foram explicitamente concedidos a esse usuário. Quando um usuário cria um objeto protegido, esse usuário recebe automaticamente direitos explícitos de instância para esse objeto (geralmente, leia, modifique e exclua).
Em certa medida, esses direitos concedidos explicitamente fornecem ao usuário um determinado nível de propriedade do objeto. Com o direito de delegado, essa propriedade é estendida ao controle do grupo padrão de direitos de instância. Para limitar quais direitos um usuário pode delegar, somente os direitos concedidos explicitamente a eles (não um grupo ao qual pertencem) podem ser delegados. Um usuário também pode remover outros direitos de instância de usuários (ou grupos) se o usuário tiver a permissão de delegado e direitos explícitos a um objeto (é por isso que um usuário é considerado proprietário de um objeto se tiver direitos de instância explícitos). Os usuários com direitos de administrador ainda têm controle total da administração de permissões.
Um cenário comum para usar o verbo delegado é quando um usuário cria e delega direitos para um tipo de objeto e deseja criar um objeto e permitir que membros de um grupo de usuários o vejam. Eles criam uma instância do objeto e delegam permissões de leitura para a instância para o grupo de usuários.
O verbo delegado é aplicável às seguintes classes de Configuration Manager:
SMS_CollectionSMS_PackageSMS_AdvertisementSMS_SiteSMS_QuerySMS_ReportSMS_MeteredProductRule
Recurso do sistema (SMS_R_System) como um recurso protegido
Recursos protegidos são recursos (as classes SMS_R_* que exigem direitos de leitura de coleção a serem exibidos. Se o usuário tiver direitos de leitura de coleção no nível da classe, o usuário poderá ver todas as instâncias de um recurso protegido. Se o usuário tiver apenas direitos de leitura no nível da instância para determinadas coleções, o usuário só terá direitos de ver recursos que são membros dessas coleções.
SMS_R_User e SMS_R_UserGroup são recursos protegidos no SMS 2.0. No SMS 2003, SMS_R_System (o recurso do sistema) também é um recurso protegido.
As instâncias de inventário (SMS_G_System_*) são protegidas da mesma forma com o verbo do recurso de leitura. Se um usuário tiver direitos de nível de classe, esse usuário poderá ver dados de inventário pertencentes a todos os recursos. Se o usuário não tiver direitos de nível de classe, o usuário poderá ver apenas dados de inventário para inventário que pertencem a recursos que são membros de coleções às quais o usuário tem direitos de recurso de leitura no nível da instância. Por outro lado, se um usuário tiver direitos de recurso de leitura para uma coleção, um usuário poderá ver os dados de inventário para os membros dessa coleção. Isso não foi afetado pela alteração na segurança para SMS_R_System. Os direitos de recurso de leitura não podem ser concedidos a um usuário sem conceder direitos de leitura. Quando um usuário não tem os direitos de coleção de nível de classe apropriados, a segurança do recurso é imposta por meio da limitação de coleção.
Proteger envios de arquivos para um servidor Configuration Manager
O local recomendado para copiar arquivos DDR (registro de descoberta de dados) e arquivos MIF (Formato de Informações Gerenciadas) que não estão relacionados aos clientes Configuration Manager existentes está diretamente nas caixas de entrada do servidor do site. Isso requer permissões de nível de administrador no servidor do site para serem concedidas ao aplicativo que está copiando esses arquivos. Elas estão localizadas da seguinte maneira:
Arquivos DDR: <SMS>/caixas de entrada/ddm.box
Arquivos MIF: <SMS>/caixas de entrada/inventry.box
Confira também
Visão geral de objetosConfiguration Manager Classes de Associação
propriedades do campo de Configuration Manager bit
formatos de data e hora Configuration Manager
Configuration Manager Objetos Incorporados
Configuration Manager Linguagem de Consulta WMI Estendida
Configuration Manager propriedades preguiçosas
Configuration Manager consultas especiais
Sobre erros