Configuration Manager-objektsäkerhet
Ombudsverb
Ombudsverb i Configuration Manager ger administratörer ett sätt att tillåta användare att tilldela instansbehörigheterna till ett objekt till andra användare på ett mycket begränsat sätt. De rättigheter som en användare får tilldela (eller återkalla) till andra användare är begränsade till de instansrättigheter som uttryckligen har beviljats till den användaren. När en användare skapar ett skyddat objekt beviljas användaren automatiskt explicita instansrättigheter till objektet (vanligtvis läsa, ändra och ta bort).
I viss utsträckning ger dessa uttryckligen beviljade rättigheter användaren en viss ägarnivå för objektet. Med delegerad behörighet utökas ägarskapet till kontrollen över standardgruppen med instansrättigheter. För att begränsa vilka rättigheter en användare kan delegera kan endast rättigheter som uttryckligen beviljas dem (inte en grupp som de tillhör) delegeras. En användare kan också ta bort andra användares (eller gruppers) instansrättigheter om användaren har delegerad behörighet och uttryckliga rättigheter till ett objekt (det är därför en användare sägs äga ett objekt om de har explicita instansrättigheter). Användare med administratörsbehörighet har fortfarande fullständig kontroll över administratörsbehörigheter.
Ett vanligt scenario för att använda ombudsverb är när en användare har skapat och delegerat rättigheter för en objekttyp och vill skapa ett objekt och tillåta medlemmar i en användargrupp att se det. De skapar en instans av objektet och delegerar sedan läsbehörigheter för instansen till användargruppen.
Ombudsverb gäller för följande Configuration Manager klasser:
SMS_CollectionSMS_PackageSMS_AdvertisementSMS_SiteSMS_QuerySMS_ReportSMS_MeteredProductRule
Systemresurs (SMS_R_System) som en skyddad resurs
Skyddade resurser är resurser (SMS_R_*-klasserna) som kräver att läsbehörighet för samlingen visas. Om användaren har läsbehörighet för samlingen på klassnivå kan användaren se alla instanser av en skyddad resurs. Om användaren bara har läsbehörighet på instansnivå till vissa samlingar har användaren endast behörighet att se resurser som är medlemmar i dessa samlingar.
SMS_R_User och SMS_R_UserGroup är skyddade resurser i SMS 2.0. I SMS 2003 SMS_R_System är (systemresursen) också en skyddad resurs.
Inventeringsinstanser (SMS_G_System_*) skyddas på samma sätt med läsresursverb. Om en användare har behörigheter på klassnivå kan användaren se inventeringsdata som hör till alla resurser. Om användaren inte har behörighet på klassnivå kan användaren bara se inventeringsdata för inventering som tillhör resurser som är medlemmar i samlingar som användaren har läsbehörighet på instansnivå till. Om en användare däremot har läsbehörighet till en samling kan en användare se inventeringsdata för medlemmarna i samlingen. Detta har inte påverkats av ändringen av säkerheten till SMS_R_System. Läsresursrättigheter kan inte beviljas till en användare utan att bevilja läsbehörighet. När en användare inte har rätt samlingsrättigheter på klassnivå framtvingas resurssäkerhet genom insamlingsbegränsning.
Skydda filöverföringar till en Configuration Manager server
Den rekommenderade platsen för att kopiera dataidentifieringspostfiler (DDR) och MIF-filer (Managed Information Format) som inte är relaterade till befintliga Configuration Manager klienter finns direkt i platsserverns inkorgar. Detta kräver att behörigheter på administratörsnivå på platsservern beviljas till det program som kopierar dessa filer. Dessa finns på följande sätt:
DDR-filer: <SMS>/inboxes/ddm.box
MIF-filer: <SMS>/inboxes/inventry.box
Se även
Översikt över objektConfiguration Manager associationsklasser
egenskaper för Configuration Manager bitfält
Configuration Manager datum- och tidsformat
Configuration Manager inbäddade objekt
Configuration Manager utökat WMI-frågespråk
Configuration Manager Lazy-egenskaper
Configuration Manager särskilda frågor
Om fel