Configuration Manager Object Security
Delegatverb
Das Delegatverb in Configuration Manager bietet Administratoren die Möglichkeit, Benutzern zu ermöglichen, anderen Benutzern die instance Berechtigungen für ein Objekt auf sehr begrenzte Weise zuzuweisen. Die Rechte, die ein Benutzer anderen Benutzern zuweisen (oder widerrufen) darf, sind auf die instance Rechte beschränkt, die diesem Benutzer explizit gewährt wurden. Wenn ein Benutzer ein geschütztes Objekt erstellt, erhält dieser benutzer automatisch explizite instance Rechte für dieses Objekt (in der Regel Lesen, Ändern und Löschen).
Bis zu einem gewissen Grad bieten diese explizit gewährten Rechte dem Benutzer ein bestimmtes Maß an Besitz am Objekt. Mit dem Delegatrecht wird dieser Besitz auf die Kontrolle der Standardgruppe von instance-Rechten erweitert. Um einzuschränken, welche Rechte ein Benutzer delegieren kann, können nur Rechte delegiert werden, die ihm explizit (nicht einer Gruppe, zu der er gehört) gewährt werden. Ein Benutzer kann auch andere Benutzer (oder Gruppen) instance Rechte entfernen, wenn der Benutzer über die Stellvertretungsberechtigung und explizite Rechte für ein Objekt verfügt (aus diesem Grund wird ein Benutzer als Besitzer eines Objekts bezeichnet, wenn er explizit über instance Rechte verfügt). Benutzer mit Administratorrechten haben weiterhin die vollständige Kontrolle über die Verwaltung von Berechtigungen.
Ein häufiges Szenario für die Verwendung des Delegatverbs ist, wenn ein Benutzer Rechte für einen Objekttyp erstellt und delegiert hat und ein Objekt erstellen und Mitgliedern einer Benutzergruppe erlauben möchte, es anzuzeigen. Sie erstellen eine instance des Objekts und delegieren dann Leseberechtigungen für die instance an die Benutzergruppe.
Das Delegatverb gilt für die folgenden Configuration Manager Klassen:
SMS_Collection
SMS_Package
SMS_Advertisement
SMS_Site
SMS_Query
SMS_Report
SMS_MeteredProductRule
Systemressource (SMS_R_System) als geschützte Ressource
Geschützte Ressourcen sind Ressourcen (die SMS_R_*-Klassen), für die Leserechte für Sammlungen erforderlich sind, um angezeigt zu werden. Wenn der Benutzer über Leseberechtigungen auf Sammlungsebene auf Klassenebene verfügt, kann der Benutzer alle Instanzen einer geschützten Ressource sehen. Wenn der Benutzer nur über Leserechte auf instance Ebene für bestimmte Sammlungen verfügt, verfügt der Benutzer nur über Rechte zum Anzeigen von Ressourcen, die Mitglieder dieser Sammlungen sind.
SMS_R_User
und SMS_R_UserGroup
sind geschützte Ressourcen in SMS 2.0. In SMS 2003 SMS_R_System
ist (die Systemressource) ebenfalls eine gesicherte Ressource.
Bestandsinstanzen (SMS_G_System_*) werden auf ähnliche Weise mit dem Leseressourcenverb geschützt. Wenn ein Benutzer über Rechte auf Klassenebene verfügt, kann dieser Benutzer Bestandsdaten anzeigen, die zu allen Ressourcen gehören. Wenn der Benutzer nicht über Rechte auf Klassenebene verfügt, kann der Benutzer nur Bestandsdaten für den Bestand sehen, der zu Ressourcen gehört, die Mitglieder von Sammlungen sind, für die der Benutzer instance Leseressourcenberechtigungen hat. Wenn ein Benutzer dagegen über Leseberechtigungen für eine Sammlung verfügt, kann er die Bestandsdaten für die Mitglieder dieser Sammlung anzeigen. Dies wurde von der Änderung der Sicherheit SMS_R_System
in nicht beeinflusst. Leseressourcenrechte können einem Benutzer nicht gewährt werden, ohne Leseberechtigungen zu gewähren. Wenn ein Benutzer nicht über die entsprechenden Sammlungsrechte auf Klassenebene verfügt, wird die Ressourcensicherheit durch Sammlungsbeschränkungen erzwungen.
Schützen von Dateiübermittlungen an einen Configuration Manager Server
Der empfohlene Speicherort zum Kopieren von DDR-Dateien (Data Discovery Record) und MIF-Dateien (Managed Information Format), die sich nicht auf vorhandene Configuration Manager Clients beziehen, befindet sich direkt in den Posteingängen des Standortservers. Dies erfordert, dass der Anwendung, die diese Dateien kopiert, Berechtigungen auf Administratorebene auf dem Standortserver erteilt werden. Diese befinden sich wie folgt:
DDR-Dateien: <SMS>/inboxes/ddm.box
MIF-Dateien: <SMS>/inboxes/inventry.box
Siehe auch
Übersicht über ObjekteConfiguration Manager Association Classes
Configuration Manager Bitfeldeigenschaften
Configuration Manager Datums- und Uhrzeitformate
Configuration Manager Eingebettete Objekte
Configuration Manager Erweiterte WMI-Abfragesprache
Configuration Manager Verzögerte Eigenschaften
spezielle Abfragen Configuration Manager
Informationen zu Fehlern