Compartilhar via

Configuration Manager Object Security

  • Artigo

Verbo Delegado

O verbo delegado no Configuration Manager fornece aos administradores uma forma de permitir que os utilizadores atribuam a outros utilizadores as permissões de instância a um objeto de uma forma muito limitada. Os direitos que um utilizador tem permissão para atribuir (ou revogar) a outros utilizadores estão limitados aos direitos de instância que foram explicitamente concedidos a esse utilizador. Quando um utilizador cria um objeto protegido, é-lhe concedido automaticamente direitos de instância explícitos a esse objeto (normalmente, ler, modificar e eliminar).

Em certa medida, estes direitos explicitamente concedidos fornecem ao utilizador um determinado nível de propriedade do objeto. Com o direito de delegado, esta propriedade é expandida para o controlo do grupo predefinido de direitos de instância. Para limitar os direitos que um utilizador pode delegar, apenas os direitos explicitamente concedidos aos mesmos (não um grupo ao qual pertencem) podem ser delegados. Um utilizador também pode remover outros direitos de instância de utilizadores (ou grupos) se o utilizador tiver a permissão de delegado e direitos explícitos para um objeto (é por isso que um utilizador é considerado proprietário de um objeto se tiver direitos de instância explícitos). Os utilizadores com direitos de administrador ainda têm controlo total sobre a administração de permissões.

Um cenário comum para utilizar o verbo delegado é quando um utilizador cria e delega direitos para um tipo de objeto e quer criar um objeto e permitir que os membros de um grupo de utilizadores o vejam. Criam uma instância do objeto e delegam permissões de leitura para a instância ao grupo de utilizadores.

O verbo delegado é aplicável às seguintes classes de Configuration Manager:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Recurso do Sistema (SMS_R_System) como recurso protegido

Os recursos protegidos são recursos (as classes SMS_R_*) que exigem que os direitos de leitura da coleção sejam visualizados. Se o utilizador tiver direitos de leitura de coleção ao nível da classe, o utilizador pode ver todas as instâncias de um recurso seguro. Se o utilizador tiver apenas direitos de leitura ao nível da instância para determinadas coleções, o utilizador só tem direitos para ver os recursos que são membros dessas coleções. SMS_R_User e SMS_R_UserGroup são recursos protegidos no SMS 2.0. No SMS 2003, SMS_R_System (o recurso do sistema) também é um recurso seguro.

As instâncias de inventário (SMS_G_System_*) são protegidas da mesma forma com o verbo ler recurso. Se um utilizador tiver direitos de nível de classe, esse utilizador pode ver os dados de inventário pertencentes a todos os recursos. Se o utilizador não tiver direitos ao nível da classe, o utilizador só pode ver dados de inventário para o inventário que pertença a recursos que são membros de coleções aos quais o utilizador tem direitos de recurso de leitura ao nível da instância. Por outro lado, se um utilizador tiver direitos de recurso de leitura para uma coleção, um utilizador pode ver os dados de inventário dos membros dessa coleção. Isto não foi afetado pela alteração da segurança para SMS_R_System. Não é possível conceder direitos de recurso de leitura a um utilizador sem conceder direitos de leitura. Quando um utilizador não tem os direitos de recolha adequados ao nível da classe, a segurança dos recursos é imposta através da limitação da coleção.

Proteger Submissões de Ficheiros num Servidor Configuration Manager

A localização recomendada para copiar ficheiros de registo de deteção de dados (DDR) e ficheiros MIF (Managed Information Format) que não estejam relacionados com clientes Configuration Manager existentes está diretamente nas caixas de entrada do servidor do site. Isto requer que as permissões ao nível do administrador no servidor do site sejam concedidas à aplicação que está a copiar estes ficheiros. Estes estão localizados da seguinte forma:

Ficheiros DDR: <SMS>/inboxes/ddm.box

Ficheiros MIF: <SMS>/inboxes/inventry.box

Confira também

Descrição geral dos objetosConfiguration Manager Classes de Associação
Propriedades do Campo de Configuration Manager Bits
Formatos de Data e Hora do Configuration Manager
Objetos incorporados do Configuration Manager
Configuration Manager Linguagem de Consulta WMI Expandida
Configuration Manager Propriedades Lentas
Consultas Especiais do Configuration Manager
Sobre erros