Configuration Manager 对象安全和 WMI 概述
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
WMI 安全
Microsoft System Center Configuration Manager 2007 完全依赖于 Windows 管理规范 (WMI)。WMI 是 Microsoft 对基于 Web 的企业管理 (WBEM) 的实施,该统一架构允许访问来自各种基础技术的数据,包括 Win32、WMI、桌面管理接口 (DMI) 和简单网络管理协议。WBEM 建立在 Desktop Management Task Force 推动的行业标准通用信息模型 (CIM) 架构之上。WMI 使用托管对象格式 (MOF) 文件来确定哪些信息要加载到 CIM 存储库中。WMI 还使用提供程序来访问 CIM 存储库。
WBEM 实质上提供一种标准方式来定义系统应该收集的信息(即 MOF)、表示该信息(即 CIM)以及访问收集的信息。例如,Windows 操作系统中的 WMI 可以从注册表(使用注册表提供程序)以及 Configuration Manager 2007 硬件清单(使用 SMS 提供程序)收集性能信息(使用性能监视器提供程序),并将其全部存储在 CIM 存储库中。然后,您可以在 Configuration Manager 2007 控制台中查看此信息(使用 SMS 提供程序)。
但是,对 CIM 存储库的访问受 WMI 权限控制。默认情况下,本地管理员帐户和本地管理员组有权执行所有操作,包括远程访问。您可以使用 WMI 来控制对命名空间操作的全局权限,如将某些用户的访问权限限制为只读操作。您可以使用“计算机管理”管理工具中提供的 WMI 控制来管理 WMI 安全。在安装 Configuration Manager 2007 时,您可以指定将运行 SMS 提供程序的计算机,如果 SMS 提供程序在远程计算机上,则 Configuration Manager 2007 会在该计算机以及站点服务器上创建 SMS 管理员组。SMS 管理员组有访问 SMS 提供程序所需的权限。有关详细信息,请参阅关于 SMS 管理员组。
Configuration Manager 对象安全
Configuration Manager 2007 本身强制实施安全的唯一方式是通过 SMS 提供程序访问 Configuration Manager 2007 对象时进行。例如,如果 SQL 管理员已授予用户直接访问站点数据库中表的权限,则用户可以在这些权限内执行任何操作,而不考虑已分配的 Configuration Manager 2007 对象安全。
重要
不支持直接访问站点数据库,这可能导致由于更改使得站点无法正常工作。
对象访问权限通过用户或组帐户来授予。在组成员尝试访问对象时将枚举组成员身份。您可以授予对整个对象类(所有包、所有站点、所有集合)或者一个对象的一个实例(“Office 2007 包”、“NYC”子站点、“44 号楼里的计算机”集合)的权限。并非所有类都允许您授予对实例的权限。例如,状态消息过多,将实例权限授予各个状态消息不切实际,因此状态消息只有一个类权限。有关 Configuration Manager 2007 中所有类和实例权限的完整列表,请参阅 Configuration Manager 文档库的“技术参考”部分中的 Configuration Manager 中对象安全的类和实例。
默认对象安全
默认情况下,对 Configuration Manager 2007 控制台中所有对象具有权限的唯一用户是用于运行 Configuration Manager 2007 安装程序(Configuration Manager 安装帐户)和本地系统帐户的用户帐户。您必须显式添加其他帐户并向其授予对 Configuration Manager 2007 对象的权限。此外,如果这些帐户还不是 SMS 管理员的成员,您必须向其授予 WMI 权限。如果没有 WMI 权限,用户根本无法运行 Configuration Manager 2007 控制台。如果没有任何对象权限,可以启动 Configuration Manager 2007 控制台的用户只能看到高级节点以及安全权限和工具。用户看不到安全权限之外的任何其他数据,并且他们不能操作安全权限。
备注
如果已从以前的版本升级了站点,则在您显式授予对新对象类型的权限之前,对所有对象具有完全权限的帐户不具有这些权限。例如,即使软件更新管理员对所有 Configuration Manager 2007 对象具有完全权限,如果软件更新管理员不是执行升级的用户,则软件更新管理员对 Configuration Manager 2007 中的新部署对象没有任何权限。
每个对象类型必须始终至少有一个帐户具有类级别的管理权限。这样可以避免管理员被锁定在 Configuration Manager 2007 系统之外。因此,不可能删除对某个对象类型具有管理权限的最后一个用户。此外,不能删除您自己对某个对象的管理权限。
创建对象实例的用户将被自动分配该实例的读取、修改和删除权限。
权限如何累计
Configuration Manager 2007 对象权限可以累计。例如,如果用户对一个集合(如“所有系统”)具有读取权限,对另一集合(“集合 A”)具有“使用远程工具”权限,则该用户对两个集合的所有成员系统具有读取和“使用远程工具”权限。用户可以查看“所有系统”集合中的资源,如果该资源也在“集合 A”集合中,该用户还可以对该资源使用远程工具。如果该资源不在“集合 A”集合中,则用户不能对该资源使用远程工具。用户在“所有系统”集合中没有远程工具权限,这并不意味着他们不能对“所有系统”集合中的所有计算机使用远程工具。在用户对“所有系统”集合中的计算机使用远程工具时,只有当用户对包括该计算机在内的任何其他集合没有使用远程工具权限时才会被拒绝。
由于 Configuration Manager 2007 权限是可累计的,如果您向一个用户授予对安全对象的类安全权限,以及对特定安全对象的冲突实例安全权限,则 Configuration Manager 2007 将协调类和实例安全权限,以授予最高级别的权限。例如,如果您在类级别向用户授予对所有包的所有权限,在实例级别授予对特定包的读取权限,则用户的有效权限是对所有包的所有权限,包括对特定包的读取权限。
使用对象安全实施基于角色的安全性
您可以通过将权限授予您所在组织中的用户组以满足其特定需求来授予对对象的权限。例如,如果您的咨询台技术支持人员有一个用户组,您可以授予该组对集合的“使用远程工具”权限。如果不是 Configuration Manager 2007 管理员的用户要查看和查询从客户端收集的清单,您可以授予这些用户对集合和查询的读取权限,以及对集合的读取资源权限。
管理与委托
在创建对象(如集合或播发)时,用户可能希望允许其他用户(或组)使用或管理此对象。如果用户有类级别的管理权限则可以如此操作,但是这样也会允许他们对该对象类型的任何实例执行任何操作。更好的解决方案是授予用户类级别的委托权限,允许他们向用户和组授予对他们所创建的对象的权限。但是,用户只能授予他们在实例级别被显式授予的权限;而不能授予通过组成员身份或在类级别被授予的权限。
例如,某个用户可能对集合具有类级别的创建和委托权限。该用户还对“所有 Windows XP 系统”集合具有实例级别的读取、读取资源和播发权限。该用户可以基于“所有 Windows XP 系统”集合的成员身份创建新的集合。然后,该用户可以向其他组授予对新集合的读取和读取资源权限(但是不能授予创建或委托权限),以便该组的成员可以查看新集合的成员。
备注
请在实例级别向各个管理员小心授予权限,除非他们需要类级别的权限。创建资源集合,以便每个管理员只能管理和授予对该集合的权限。因此,每个管理员只能看到授予了访问权限的那些安全对象。
在集合和查询中查看资源
对集合设置的权限常常会影响在 Configuration Manager 2007 控制台的其他节点中执行任务的能力。例如,授予对集合的读取对象安全权限不仅会授予用户查看该集合的权限,也会授予用户查看该集合中的资源的权限。用户可以查看资源的属性,还可以调用资源浏览器,但是他们看不到资源浏览器组的值。对于该级别的详细信息,用户还需要读取资源权限。要进一步管理计算机资源,请授予用户“使用远程工具”或“查看收集的文件”权限。要从 Configuration Manager 2007 中删除所有资源(与仅删除使资源成为集合成员的集合规则相反),用户必须具有删除资源权限。
您可以通过查询管理资源,但是对查询的读取权限将仅授予您查看和运行查询的特权。在查询结果窗口中查看资源和管理这些资源的权限要通过为这些资源所在的集合设置的权限来授予。
站点维护权限
要管理站点数据库,可在 Configuration Manager 2007 控制台中每个站点的“站点设置”节点下创建站点维护 Microsoft SQL Server 命令。这些命令对站点数据库具有完全权限,可以任何方式操作数据和数据库。为防止恶意使用这一强大功能,您应该将站点类的“管理 SQL 命令”实例限制为仅需要此权限的高级管理员。
备注
要添加、删除或修改 SQL 命令,您还必须拥有对“站点”对象的修改权限。
软件计数权限
主要软件计数任务之一是创建软件计数规则。软件计数规则不仅可应用于为其创建这些规则的站点,还可应用于其子站点。要管理软件计数规则,Configuration Manager 2007 管理员必须具有合适的软件计数规则对象安全权限。对于应用到站点的规则,管理员还必须具有站点类计数实例权限,或类级别的站点计数权限,在这种情况下规则将应用于分发了该规则的所有站点。相关的计数权限是规则的源站点的权限,而不是分发了规则的站点的权限。
软件更新
要将软件更新添加到模板或部署,您可以采用拖放方式,也可以使用“操作”菜单,但是必须具有下列权限。
| 读取 | 分发 | 创建 | 播发 | |
|---|---|---|---|---|
配置项目 |
X |
X |
|
|
集合 |
X |
|
|
X |
部署包 |
X |
X |
|
|
部署模板 |
X |
|
|
|
部署 |
X |
|
X |
|
站点 |
x |
|
|
|
软件分发权限
由于播发涉及包和集合,您必须具有下列权限才能创建播发:
对接收播发的集合的读取权限
对接收播发的集合的播发权限
对包含播发程序的包的读取权限
您必须具有下列权限才能删除播发:
对播发的删除权限
对接收播发的集合的播发权限
对包含播发程序的包的读取权限
操作系统部署
部分操作系统部署任务需要对包、集合、播发和站点对象具有访问权。
| 对象 | 创建权限 | 修改权限 | 删除权限 | 分发权限 |
|---|---|---|---|---|
启动映像 |
创建\根映像包,读取\根映像包 |
修改\根映像包,读取\根映像包 |
删除\根映像包,读取\根映像包 |
读取\根映像包,修改\根映像包,分发\根映像包,读取\站点 |
计算机关联 |
创建\计算机关联,读取\计算机关联,读取\集合 |
修改\计算机关联,读取\计算机关联 |
删除\计算机关联,读取\计算机关联 |
不适用 |
操作系统映像 |
创建\操作系统映像,读取\操作系统映像 |
修改\操作系统映像,读取\操作系统映像 |
删除\操作系统映像,读取\操作系统映像 |
修改\操作系统映像,读取\操作系统映像,分发\操作系统映像,读取\站点 |
操作系统安装包 |
创建\操作系统安装包,读取\操作系统安装包 |
修改\操作系统安装包,读取\操作系统安装包 |
删除\操作系统安装包,读取\操作系统安装包 |
修改\操作系统安装包,读取\操作系统安装包,分发\操作系统安装包,读取\站点 |
任务序列 |
创建\任务序列包,读取\任务序列包,修改\任务序列包 |
修改\任务序列包,读取\任务序列包 |
删除\任务序列包,读取\任务序列包 |
修改\任务序列包,读取\任务序列包,分发\任务序列包,读取\站点 |
播发(适用于任务序列) |
读取\任务序列包,读取\集合,播发\集合,读取\包,创建\播发 |
修改\播发,读取\播发 |
删除\播发,读取\播发 |
不适用 |
任务序列可启动媒体 |
读取\任务序列包,创建任务序列媒体\任务序列包,读取\站点,管理 OSD 和 ISV 代理证书\站点,读取\根映像 |
修改\任务序列包,读取\任务序列包 |
删除\任务序列包,读取\任务序列包 |
不适用 |
驱动程序 |
创建\设备驱动程序,读取\设备驱动程序 |
修改\设备驱动程序,读取\设备驱动程序 |
删除\设备驱动程序,读取\设备驱动程序 |
不适用 |
驱动程序包 |
创建\驱动程序包,读取\设备驱动程序 |
修改\驱动程序包,读取\驱动程序包,分发\驱动程序包 |
删除\驱动程序包,读取\驱动程序包 |
不适用 |
备注
如果任务序列需要软件分发包或操作系统映像包,Configuration Manager 2007 必须拥有对“包”类的读取权限,而不仅仅是对要分发的包拥有该权限。
即使用户权限不足,似乎某些操作也可以正常执行。例如,即使没有权限在启动映像包类中创建对象,用户也可以开始导入进程,但向导将会由于权限不足而失败。
服务管理器
在 Configuration Manager 2007 服务管理器中,您必须对主站点对象具有管理权限才能执行下列任务:
查询服务
停止服务
启动服务
配置服务日志记录
在辅助站点上,您必须是本地管理员组的成员才能执行这些任务。
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。