通过

Configuration Manager对象安全性

  • 项目

委托谓词

Configuration Manager 中的委托谓词为管理员提供了一种允许用户以非常有限的方式向其他用户分配对象实例权限的方法。 允许用户向其他用户分配 (或撤销) 的权限仅限于已显式授予该用户的实例权限。 当用户创建安全对象时,会自动向该用户授予该对象的显式实例权限, (通常读取、修改和删除) 。

在某种程度上,这些显式授予的权限为用户提供了对象的某种级别的所有权。 使用委托权限时,此所有权将扩展到默认实例权限组的控制。 为了限制用户可以委派的权限,只能委托显式授予的权限 (他们不属于) 组。 如果用户具有对对象的委托权限和显式权限,则用户还可以删除其他用户 (或组) 实例权限, (这就是用户拥有对象(如果他们具有显式实例权限) )的原因。 具有管理员权限的用户仍完全控制管理权限。

使用委托谓词的常见方案是,用户已为对象类型创建和委派权限,并且想要创建对象并允许用户组的成员查看该对象。 创建 对象的实例,然后将该实例的读取权限委托给用户组。

委托谓词适用于以下Configuration Manager类:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

作为安全资源 (SMS_R_System) 系统资源

受保护的资源是 (SMS_R_* 类) 的资源,需要查看集合读取权限。 如果用户具有类级集合读取权限,则用户可以查看受保护资源的所有实例。 如果用户仅具有对某些集合的实例级读取权限,则用户仅有权查看属于这些集合成员的资源。 SMS_R_UserSMS_R_UserGroup 是 SMS 2.0 中的安全资源。 在 SMS 2003 中, SMS_R_System (系统资源) 也是受保护的资源。

(SMS_G_System_*) 清单实例的安全方式与读取资源谓词类似。 如果用户具有类级权限,则用户可以看到属于所有资源的清单数据。 如果用户没有类级权限,则用户只能查看属于属于用户具有实例级读取资源权限的集合成员的资源的清单数据的清单数据。 相反,如果用户具有对集合的读取资源权限,则用户可以看到该集合成员的清单数据。 这不受安全性 SMS_R_System更改的影响。 如果不授予读取权限,则无法向用户授予读取资源权限。 如果用户没有适当的类级集合权限,则通过集合限制强制实施资源安全性。

保护文件提交到Configuration Manager服务器

建议将与现有Configuration Manager客户端无关的文件 (DDR) 文件和托管信息格式 (MIF) 文件复制数据发现记录的位置直接位于站点服务器收件箱中。 这要求向正在复制这些文件的应用程序授予站点服务器上的管理员级别权限。 这些位置如下:

DDR 文件: <SMS>/inboxes/ddm.box

MIF 文件: <SMS>/inboxes/inventry.box

另请参阅

对象概述Configuration Manager关联类
Configuration Manager位字段属性
Configuration Manager日期和时间格式
Configuration Manager嵌入对象
Configuration Manager扩展 WMI 查询语言
Configuration Manager延迟属性
Configuration Manager特殊查询
关于错误