Partager via


sécurité des objets Configuration Manager

Verbe délégué

Le verbe délégué dans Configuration Manager offre aux administrateurs un moyen d’autoriser les utilisateurs à attribuer à d’autres utilisateurs les autorisations d’instance à un objet de manière très limitée. Les droits qu’un utilisateur est autorisé à attribuer (ou révoquer) à d’autres utilisateurs sont limités aux droits d’instance qui ont été explicitement accordés à cet utilisateur. Lorsqu’un utilisateur crée un objet sécurisé, cet utilisateur se voit automatiquement accorder des droits d’instance explicites à cet objet (généralement lire, modifier et supprimer).

Dans une certaine mesure, ces droits explicitement accordés fournissent à l’utilisateur un certain niveau de propriété de l’objet. Avec le droit délégué, cette propriété est étendue au contrôle du groupe par défaut de droits d’instance. Pour limiter les droits qu’un utilisateur peut déléguer, seuls les droits qui lui sont explicitement accordés (et non un groupe auquel il appartient) peuvent être délégués. Un utilisateur peut également supprimer les droits d’instance d’autres utilisateurs (ou groupes) si l’utilisateur dispose de l’autorisation déléguée et des droits explicites sur un objet (c’est pourquoi un utilisateur est déclaré propriétaire d’un objet s’il dispose de droits d’instance explicites). Les utilisateurs disposant de droits d’administrateur ont toujours le contrôle total de l’administration des autorisations.

Un scénario courant pour l’utilisation du verbe délégué est lorsqu’un utilisateur a créé et délégué des droits pour un type d’objet et souhaite créer un objet et autoriser les membres d’un groupe d’utilisateurs à le voir. Ils créent une instance de l’objet, puis délèguent les autorisations de lecture pour l’instance au groupe d’utilisateurs.

Le verbe délégué s’applique aux classes Configuration Manager suivantes :

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Ressource système (SMS_R_System) en tant que ressource sécurisée

Les ressources sécurisées sont des ressources (classes SMS_R_* ) qui nécessitent des droits de lecture de collection pour être consultées. Si l’utilisateur dispose de droits de lecture de collection au niveau de la classe, il peut voir toutes les instances d’une ressource sécurisée. Si l’utilisateur dispose uniquement de droits de lecture au niveau de l’instance sur certaines collections, l’utilisateur dispose uniquement des droits d’affichage des ressources qui sont membres de ces collections. SMS_R_User et SMS_R_UserGroup sont des ressources sécurisées dans SMS 2.0. Dans SMS 2003, SMS_R_System (la ressource système) est également une ressource sécurisée.

Les instances d’inventaire (SMS_G_System_*) sont sécurisées de la même façon avec le verbe de ressource de lecture. Si un utilisateur dispose de droits au niveau de la classe, il peut voir les données d’inventaire appartenant à toutes les ressources. Si l’utilisateur ne dispose pas de droits au niveau de la classe, l’utilisateur peut voir uniquement les données d’inventaire pour l’inventaire qui appartiennent aux ressources qui sont membres de collections pour lesquelles l’utilisateur dispose de droits de ressource de lecture au niveau de l’instance. À l’inverse, si un utilisateur dispose de droits de lecture sur une collection, il peut voir les données d’inventaire des membres de cette collection. Cela n’a pas été affecté par la modification de la sécurité à SMS_R_System. Les droits de ressource en lecture ne peuvent pas être accordés à un utilisateur sans accorder des droits de lecture. Lorsqu’un utilisateur ne dispose pas des droits de collection appropriés au niveau de la classe, la sécurité des ressources est appliquée par le biais de la limitation de la collecte.

Sécurisation des soumissions de fichiers à un serveur Configuration Manager

L’emplacement recommandé pour la copie des fichiers d’enregistrement de découverte de données (DDR) et des fichiers MIF (Managed Information Format) qui ne sont pas liés aux clients Configuration Manager existants se trouve directement dans les boîtes de réception du serveur de site. Cela nécessite que des autorisations de niveau administrateur sur le serveur de site soient accordées à l’application qui copie ces fichiers. Celles-ci se trouvent comme suit :

Fichiers DDR : <SMS>/inboxes/ddm.box

Fichiers MIF : <SMS>/boîtes de réception/inventry.box

Voir aussi

Vue d’ensemble des objetsConfiguration Manager classes d’association
propriétés du champ de bits Configuration Manager
Configuration Manager formats de date et d’heure
objets incorporés Configuration Manager
langage de requête WMI étendu Configuration Manager
Configuration Manager Propriétés différées
Configuration Manager requêtes spéciales
À propos des erreurs