Обзор безопасности объектов Configuration Manager и WMI
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Безопасность WMI
Microsoft System Center Configuration Manager 2007 полностью основывается на инструментарии управления Windows (WMI). WMI — это реализация от корпорации Майкрософт инициативы Управление предприятием через Интернет (WBEM), которая представляет комплексную архитектуру, позволяющую осуществлять доступ к данным при помощи различных базовых технологий, включая Win32, WMI, DMI и SNMP. Архитектура WBEM основывается на схеме CIM, которая является отраслевым стандартом, продвигаемым рабочей группой по управлению настольными системами (Desktop Management Task Force). WMI использует MOF-фалы для определения информации, которую необходимо загрузить в репозиторий CIM. WMI также использует поставщики для доступа к репозиторию CIM.
По существу, WBEM предоставляет стандартный способ определения информации, которую требуется собрать системе (MOF), стандартный способ представления информации (CIM) и стандартный способ доступа к собранной информации. Например, WMI в операционной системе Windows может собирать сведения о производительности (при помощи поставщика монитора производительности) как из реестра (при помощи поставщика реестра), так и из данных инвентаризации оборудования Configuration Manager 2007 (при помощи поставщика SMS), и сохранять их в репозитории CIM. Затем эти сведения можно просматривать в консоли Configuration Manager 2007 (при помощи поставщика SMS).
Однако доступ к репозиторию CIM контролируется при помощи разрешений WMI. По умолчанию учетная запись локального администратора и локальная группа администраторов имеют права на выполнение всех операций, включая удаленный доступ. Инструментарий WMI можно использовать для контроля глобальных разрешений на выполнение операций пространства имен, например, для предоставления некоторым пользователям доступа в режиме "только чтение". Для управления безопасностью WMI можно использовать управляющий элемент WMI, доступный в средстве администрирования "Управление компьютером". При установке Configuration Manager 2007 необходимо указать компьютер, на котором будет выполняться поставщик SMS, после чего Configuration Manager 2007 создаст группу администраторов SMS на этом компьютере и на сервере сайта, если поставщик SMS находится на удаленном компьютере. Группа администраторов SMS имеет необходимые разрешения для доступа к поставщику SMS. Дополнительные сведения см. в разделе Группа администраторов SMS.
Безопасность объектов Configuration Manager
Configuration Manager 2007 самостоятельно включает функцию обеспечения безопасности только в том случае, если пользователь осуществляет доступ к объекту Configuration Manager 2007 при помощи поставщика SMS. Например, если администратор SQL предоставил пользователю права прямого доступа к базе данных сайта, пользователь может выполнить любую операцию в рамках этих прав, даже если в Configuration Manager 2007 включена функция обеспечения безопасности объектов.
Важно!
Прямой доступ к базе данных сайта не поддерживается, поскольку он может привести к изменениям, в результате которых сайт перестанет функционировать.
Доступ к объектам предоставляется через учетные записи пользователя или группы. Членство в группе перечисляется, когда член группы предпринимает попытку доступа к объекту. Права можно предоставить всему классу объектов (всем пакетам, всем сайтам, всем коллекциям) или конкретному экземпляру объекта (пакету "Office 2007", дочернему сайту "СПб", коллекции "Компьютеры в здании 44"). Не все классы позволяют предоставлять права экземпляру. Например, из-за слишком большого количества сообщений об изменении состояния нецелесообразно предоставлять права каждому отдельному сообщению, поэтому сообщения об изменении состояния имеют только право для класса. Полный список всех разрешений для класса и экземпляра в Configuration Manager 2007 см. в техническом справочнике библиотеки документов Configuration Manager (раздел Классы и экземпляры для безопасности объектов в Configuration Manager).
Безопасность объектов по умолчанию
По умолчанию права доступа ко всем объектам в консоли Configuration Manager 2007 предоставляются только пользователям с учетной записью, которая использовалась для запуска установки Configuration Manager 2007 (учетная запись установки Configuration Manager), и с локальной системной учетной записью. Необходимо явно добавить другие учетные записи и предоставить им разрешения на доступ к объектам Configuration Manager 2007. Кроме того, если эти пользователи не входят в группу администраторов SMS, им необходимо предоставить разрешения WMI. Без разрешений WMI пользователи не смогут запускать консоль Configuration Manager 2007. Пользователи, которые могут запускать консоль Configuration Manager 2007, но не имеют прав доступа к объектам, могут просматривать только высокоуровневые узлы, а также права доступа и средства. Пользователи не могут просматривать какие-либо данные, кроме прав доступа, и не могут управлять правами доступа.
Примечание
В случае обновления предыдущей версии сайта учетная запись, которая имела полные права доступа ко всем объектам, не будет иметь прав доступа к объектам нового типа, пока эти права не будут явно предоставлены. Например, если администратор обновлений программного обеспечения имел полные права доступа ко всем объектам Configuration Manager 2007, но не являлся пользователем, который выполнял обновление, он не будет иметь прав доступа к новым объектам развертывания в Configuration Manager 2007.
Для объектов каждого типа всегда должна существовать по крайней мере одна учетная запись с правом Управление на уровне класса. Это позволяет предотвратить блокирование доступа администраторов к системе Configuration Manager 2007. В результате невозможно удалить последнего пользователя объекта, который имеет для него право Управление. Кроме того, пользователь не может удалить свои собственные права Управление для объекта.
Пользователям, создавшим экземпляр объекта, автоматически назначаются права Читать, Изменить и Удалить для этого экземпляра.
Принцип накопления прав
Права доступа к объектам Configuration Manager 2007 являются кумулятивными. Например, если пользователь имеет право Читать для одной коллекции (например "Все системы") и право Использовать удаленные средства для другой коллекции ("Коллекция A"), тогда он имеет права Читать и Использовать удаленные средства для всех систем, являющихся членами обеих коллекций. Пользователь может просматривать ресурс в коллекции "Все системы" и использовать Удаленные средства с этим ресурсом, если ресурс также является членом коллекции "Коллекция A". Если ресурс не является членом коллекции "Коллекция A", пользователь не может использовать удаленные средства с этим ресурсом. Отсутствие у пользователя права Удаленные средства для коллекции "Все системы" не означает, что ему запрещено применять удаленные средства ко всем компьютерам в коллекции "Все системы". Пользователю запрещено применять удаленные средства только к компьютерам в коллекции "Все системы", входящим в другую коллекцию, для которой у пользователя нет права Использовать удаленные средства.
Права доступа к объектам Configuration Manager 2007 являются кумулятивными, поэтому если предоставить пользователю права доступа для класса, а также права доступа для экземпляра в отношении конкретного объекта безопасности, Configuration Manager 2007 согласует права доступа для класса и права доступа для экземпляра и предоставит наивысшие разрешения. Например, если предоставить пользователю все права для всех пакетов на уровне класса и право Читать для конкретного пакета на уровне экземпляра, действующими правами пользователя будут полные права для всех пакетов, включая конкретный пакет, для которого было предоставлено право "Читать".
Реализация управления доступом к объектам на основе ролей
Можно предоставлять разрешения объектам путем предоставления необходимых прав группам пользователей в организации. Например, если специалисты службы поддержки состоят в группе пользователей, можно предоставить этой группе права Использовать удаленные средства на коллекции. Если пользователям, которые не являются администраторами Configuration Manager 2007, необходимо запрашивать и просматривать данные инвентаризации, собираемые с клиентов, можно предоставить этим пользователям права Читать для коллекций и запросов, а также права Читать ресурсдляколлекций.
Сравнение прав "Управление" и "Делегировать"
При создании объекта (например коллекции или объявления) пользователю может потребоваться разрешить другим пользователям (или группам) использовать или управлять объектом. Это возможно, если у пользователей есть право Управление на уровне класса, которое также позволяет им выполнять любые действия над любым экземпляром данного типа объектов. Более целесообразным является предоставление пользователю права Делегировать на уровне класса, которое позволяет ему предоставлять права для созданных им объектов другим пользователям и группам. Однако при этом пользователи могут предоставлять только те права, которые были предоставлены им на уровне экземпляра; они не могут предоставлять права, которые были предоставлены им через членство в группе или на уровне класса.
Например, пусть у пользователя есть права Создать и Делегировать на уровне класса для коллекций. Пусть у него также есть права Читать, Читать ресурс и Объявление на уровне экземпляра для коллекции "Все системы Windows XP". Тогда пользователь может создать новую коллекцию на основании членства коллекции "Все системы Windows XP". Затем он может предоставить другой группе права Читать и Читать ресурс для новой коллекции, — но не права Создать и Делегировать, — чтобы члены этой группы могли просматривать новую коллекцию.
Примечание
Предоставляйте разрешения каждому администратору осмотрительно — на уровне экземпляра, кроме случаев, когда им требуются разрешения на уровне класса. Создайте коллекцию ресурсов, которой будет управлять каждый администратор, и предоставьте разрешения только на эту коллекцию. В результате каждый администратор сможет просматривать только те объекты безопасности, доступ к которым ему предоставлен.
Просмотр ресурсов в коллекциях и запросах
Зачастую заданные права для коллекций влияют на возможность выполнения задач в других узлах консоли Configuration Manager 2007. Например, предоставление права доступа Читать для коллекции не только дает пользователю возможность просматривать коллекцию, но также позволяет просматривать ресурсы в коллекции. Пользователь может просматривать свойства ресурса и запускать обозреватель ресурсов, но не может просматривать значения групп в обозревателе ресурсов. Для просмотра этих значений пользователю также необходимо право Читать ресурс. Чтобы пользователь мог управлять ресурсами компьютера на более высоком уровне, ему необходимо предоставить право Использовать удаленные средства или Просмотр собранных файлов. Чтобы полностью удалить ресурс Configuration Manager 2007 (а не просто удалить правило коллекции, на основании которого ресурс является ее членом), пользователь должен иметь право Удалить ресурс.
Ресурсами можно управлять посредством запросов, однако наличие права Читать позволяет только просматривать и запускать запросы. Возможность просмотра ресурсов в окне результатов запроса, а также управления этими ресурсами определяется правами, заданными для коллекций, в которых содержатся эти ресурсы.
Права обслуживания сайта
Для управления базой данных сайта можно создать команды обслуживания сайта Microsoft SQL Server в консоли Configuration Manager 2007 в узле Параметры сайта для каждого сайта. Эти команды имеют полные права доступа к базе данных сайта и могут выполнять над данными и базой данных любые операции. Чтобы предотвратить злонамеренное использование этого мощного средства, необходимо предоставить доступ к экземпляру Управление командами SQL класса Сайт только старшим администраторам, которым требуется это право.
Примечание
Для добавления, удаления или изменения команд SQL также необходимо право Изменить для объекта "Сайт".
Права контроля использования программных продуктов
Одной из основных задач контроля использования программных продуктов является создание правил контроля использования программных продуктов. Правила контроля использования программных продуктов могут применяться не только к сайту, для которого они созданы, но также к его дочерним сайтам. Для управления правилами контроля использования программных продуктов администратор Configuration Manager 2007 должен иметь соответствующие права доступа к объектам контроля использования программных продуктов. Для применения этих правил к сайту администратор также должен иметь право Контроль использования на уровне экземпляра класса Сайт или право Контроль использования на уровне класса "Сайт", что позволяет применять правила ко всем сайтам, на которые они распространяются. Релевантными правами Контроль использования являются права на сайте, где было создано правило, а не права на сайтах, на которые это правило было распространено.
Обновления программного обеспечения
Для добавления обновлений программного обеспечения в шаблон или развертывание путем перетаскивания или использования меню "Действие" необходимы следующие права.
Читать | Распространение | Создать | Объявление | |
---|---|---|---|---|
Элементы конфигурации |
X |
X |
|
|
Коллекция |
X |
|
|
X |
Пакет развертывания |
X |
X |
|
|
Шаблон развертывания |
X |
|
|
|
Развертывание |
X |
|
X |
|
Сайт |
x |
|
|
|
Права распространения программного обеспечения
Поскольку объявления включают пакет и коллекцию, для создания объявления необходимы следующие права:
Читать — на коллекцию, получающую объявление;
Объявление — на коллекцию, получающую объявление;
Читать — на пакет, в котором содержится объявленная программа.
Для удаления объявления необходимы следующие права:
Удалить — на объявление;
Объявление — на коллекцию, получающую объявление;
Читать — на пакет, в котором содержится объявленная программа.
Развертывание операционной системы
Для выполнения некоторых задач развертывания операционной системы требуется доступ к пакетам, коллекциям, объявлениям и объектам сайта.
Объект | Права создания | Права изменения | Права удаления | Права распространения |
---|---|---|---|---|
Образы загрузки |
Создать\Пакет образа загрузки, Читать\Пакет образа загрузки |
Изменить\Пакет образа загрузки, Читать\Пакет образа загрузки |
Удалить\Пакет образа загрузки, Читать\Пакет образа загрузки |
Читать\Пакет образа загрузки, Изменить\Пакет образа загрузки, Распространение\Пакет образа загрузки, Читать\Сайт |
Ассоциация компьютера |
Создать\Ассоциация компьютера, Читать\Ассоциация компьютера, Читать\Коллекция |
Изменить\Ассоциация компьютера, Читать\Ассоциация компьютера |
Удалить\Ассоциация компьютера, Читать\Ассоциация компьютера |
Неприменимо |
Образы операционной системы |
Создать\Образ ОС, Читать\Образ ОС |
Изменить\Образ ОС, Читать\Образ ОС |
Удалить\Образ ОС, Читать\Образ ОС |
Изменить\Образ ОС, Читать\Образ ОС, Распространение\Образ ОС, Читать\Сайт |
Пакеты установки операционной системы |
Создать\Установочный пакет ОС, Читать\Установочный пакет ОС |
Изменить\Установочный пакет ОС, Читать\Установочный пакет ОС |
Удалить\Установочный пакет ОС, Читать\Установочный пакет ОС |
Изменить\Установочный пакет ОС, Читать\Установочный пакет ОС, Распространение\Установочный пакет ОС, Читать\Сайт |
Последовательности задач |
Создать\Пакет последовательности задач, Читать\Пакет последовательности задач, Изменить\Пакет последовательности задач |
Изменить\Пакет последовательности задач, Читать\Пакет последовательности задач |
Удалить\Пакет последовательности задач, Читать\Пакет последовательности задач |
Изменить\Пакет последовательности задач, Читать\Пакет последовательности задач, Распространение\Пакет последовательности задач, Читать\Сайт |
Объявление (для последовательности задач) |
Читать\Пакет последовательности задач, Читать\Коллекция, Объявление\Коллекция, Читать\Пакет, Создать\Объявление |
Изменить\Объявление, Читать\Объявление |
Удалить\Объявление, Читать\Объявление |
Неприменимо |
Загрузочные носители с файлами последовательности задач |
Читать\Пакет последовательности задач, Создать носитель с файлом последовательности задач\Пакет последовательности задач, Читать\Сайт, Управлять сертификатами OSD- и ISV-посредников\Сайт, Читать\Образ загрузки |
Изменить\Пакет последовательности задач, Читать\Пакет последовательности задач |
Удалить\Пакет последовательности задач, Читать\Пакет последовательности задач |
Неприменимо |
Драйверы |
Создать\Драйвер устройства, Читать\Драйвер устройства |
Изменить\Драйвер устройства, Читать\Драйвер устройства |
Удалить\Драйвер устройства, Читать\Драйвер устройства |
Неприменимо |
Пакет драйвера |
Создать\Пакет драйвера, Читать\Драйвер устройства |
Изменить\Пакет драйвера, Читать\Пакет драйвера, Распространение\Пакеты драйвера |
Удалить\Пакет драйвера, Читать\Пакет драйвера |
Неприменимо |
Примечание
Если для последовательности задач требуется пакет распространения программного обеспечения или образ ОС, у Configuration Manager 2007 должно быть право "Читать" на уровне класса "Пакет", а не только на уровне экземпляра пакета, подлежащего распространению.
Некоторые действия могут быть выполнены пользователем, даже если у него недостаточно прав. Например, не имея прав создания объектов класса "Пакет образа загрузки", пользователь может начать процесс импорта, но мастер завершит работу с ошибкой вследствие отсутствия необходимых прав.
Диспетчер служб
При работе в диспетчере служб Configuration Manager 2007 необходимо право Управление для объекта основного сайта для выполнения следующих действий:
опрос службы;
остановка службы;
запуск службы;
настройка ведения журнала службы.
Для выполнения этих задач на дополнительном сайте необходимо быть членом локальной группы администраторов.
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.