Übersicht über Objektsicherheit und WMI in Configuration Manager

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

WMI-Sicherheit

Die Funktionen von Microsoft System Center Configuration Manager 2007 basieren vollständig auf der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI). WMI stellt die Microsoft-Implementierung von WBEM (Web Based Enterprise Management) dar, einer übergreifenden Architektur, die den Zugriff auf Daten über eine Reihe von zugrunde liegenden Technologien wie Win32, WMI, DMI (Desktop Management Interface) oder SNMP (Simple Network Management Protocol) ermöglicht. WBEM basiert auf dem Common Information Model (CIM)-Schema, einem von der Desktop Management Task Force entwickelten und verabschiedeten Industriestandard. WMI verwendet MOF-Dateien (Managed Object Format) zur Bestimmung der in das CIM-Repository zu ladenden Informationen. Darüber hinaus verwendet WMI Anbieter, um auf das CIM-Repository zuzugreifen.

Im Wesentlichen stellt WBEM Standardverfahren bereit, mit denen die von einem System zu sammelnden Informationen (die MOF-Dateien) definiert, die Informationen (das CIM) dargestellt und auf die gesammelten Informationen zugegriffen werden kann. Zum Beispiel kann die WMI in einem Windows-Betriebssystem Leistungsinformationen mithilfe des Systemmonitoranbieters aus der Registrierung (über den Registrierungsanbieter) und aus der Configuration Manager 2007-Hardwareinventur (über den SMS-Anbieter) sammeln und sie im CIM-Repository speichern. Anschließend können Sie diese Information in der Configuration Manager 2007-Konsole (über den SMS-Anbieter) anzeigen.

Der Zugriff auf das CIM-Repository wird jedoch über WMI-Berechtigungen gesteuert. Das lokale Administratorkonto und die lokale Gruppe „Administratoren“ verfügen standardmäßig über Rechte für alle Vorgänge, einschließlich des Remotezugriffs. Mit der WMI können Sie die Vergabe von globalen Berechtigungen für Namespace-Operationen steuern. So ist es beispielsweise möglich, den Zugriff bestimmter Benutzer auf Operationen ohne Schreibzugriff zu beschränken. Zum Verwalten der WMI-Sicherheit können Sie die WMI-Steuerung verwenden, die über die Verwaltungstools der Computerverwaltung aufgerufen werden kann. Bei der Installation von Configuration Manager 2007 legen Sie den Computer fest, auf dem der SMS-Anbieter ausgeführt werden soll. Configuration Manager 2007 erstellt dann die Gruppe „SMS-Administratoren“ auf diesem Computer und, sofern der SMS-Anbieter sich auf einem Remotecomputer befindet, auf dem Standortserver. Die Gruppe „SMS-Administratoren“ verfügt über die erforderlichen Berechtigungen für den Zugriff auf den SMS-Anbieter. Weitere Informationen finden Sie unter Informationen zur Gruppe „SMS-Administratoren“.

Configuration Manager-Objektsicherheit

Von Configuration Manager 2007 wird Sicherheit nur dann eigenständig erzwungen, wenn Sie über den SMS-Anbieter auf ein Configuration Manager 2007-Objekt zugreifen. Wenn beispielsweise ein SQL-Administrator einem Benutzer direkte Zugriffsrechte auf Tabellen in der Standortdatenbank gewähren würde, könnte der betreffende Benutzer unabhängig von der zugewiesenen Configuration Manager 2007-Objektsicherheit alle Aktionen, die im Rahmen dieser Rechte zulässig sind, ausführen.

Wichtig

Ein direkter Zugriff auf die Standortdatenbank wird nicht unterstützt, da solche Änderungen den Standort außer Betrieb setzen könnten.

Der Objektzugriff wird über Benutzer- oder Gruppenkonten gewährt. Die Gruppenmitgliedschaft wird aufgelistet, wenn das Gruppenmitglied versucht, auf das Objekt zuzugreifen. Zugriffsrechte können einer gesamten Klasse von Objekten (allen Pakete, allen Standorte, allen Sammlungen) oder einer Instanz eines Objekts (dem „Office 2000-Paket“, dem untergeordneten Standort „NYC“, der Sammlung „Computer in Gebäude 44“) gewährt werden. Nicht bei allen Klassen ist es möglich, einer Instanz der betreffenden Klasse Rechte zu gewähren. Zum Beispiel wäre es aufgrund der großen Anzahl von verschiedenen Statusmeldungen nicht praktikabel, jeder einzelnen Statusmeldung Instanzenberechtigungen zu erteilen. Daher verfügt die Klasse „Statusmeldung“ nur über ein Klassenrecht. Eine vollständige Liste aller Klassen- und Instanzenberechtigungen in Configuration Manager 2007 finden Sie unter Klassen und Instanzen für Objektsicherheit in Configuration Manager im Abschnitt „Technische Referenz“ der Configuration Manager-Dokumentationsbibliothek.

Standardobjektsicherheit

Standardmäßig sind die einzige Benutzerkonten, die Zugriffsrechte für alle Objekte in der Configuration Manager 2007-Konsole haben, das Benutzerkonto, über das Configuration Manager 2007-Setup ausgeführt worden ist (das Configuration Manager-Installationskonto) und das Konto „Lokales System“. Andere Konten müssen Sie explizit hinzufügen und ihnen Berechtigungen für Configuration Manager 2007-Objekte erteilen. Ferner müsse Sie ihnen WMI-Berechtigungen erteilen, wenn sie nicht bereits Mitglieder der Gruppe „SMS-Administratoren“ sind. Ohne WMI-Berechtigungen können Benutzer die Configuration Manager 2007-Konsole nicht ausführen. Benutzern, die die Configuration Manager 2007-Konsole zwar starten können, aber über keinerlei Objektrechte verfügen, werden lediglich die Knoten der obersten Ebene sowie die Knoten „Sicherheitsrechte“ und „Tools“ angezeigt. Benutzern werden keine anderen Daten außer den Sicherheitsrechten angezeigt, und die Sicherheitsrechte können von den Benutzern nicht geändert werden.

Hinweis

Wenn Sie den Standort von einer vorherigen Version aktualisiert haben, kann das Konto, das Vollzugriff auf alle Objekte hatte, erst dann auf die neuen Objekttypen zugreifen, wenn Sie ihm die entsprechenden Rechte explizit gewähren. Wenn zum Beispiel ein anderer Benutzer als der Softwareupdateadministrator das Upgrade ausgeführt hat, verfügt der Softwareupdateadministrator über keinerlei Rechte für den Zugriff auf die neuen Bereitstellungsobjekte in Configuration Manager 2007, obwohl er ursprünglich Vollzugriff auf alle Configuration Manager 2007-Objekte hatte.

Zu jedem Objekttyp muss stets mindestens ein Konto vorhanden sein, das auf Klassenebene über das Recht Verwalten verfügt. Auf diese Weise wird verhindert, dass Administratoren aus dem Configuration Manager 2007-System ausgesperrt werden. Entsprechend ist es nicht möglich, alle Benutzer eines Objekttyps zu löschen, die über das Recht Verwalten verfügen. Ferner können Sie nicht Ihr eigenes Recht Verwalten für ein Objekt löschen.

Benutzern, die Instanzen eines Objekts erstellen, werden automatisch die Rechte Lesen, Ändern und Löschen für die betreffenden Instanzen zugewiesen.

Akkumulierung von Rechten

Configuration Manager 2007-Objektrechte sind kumulativ. Wenn beispielsweise ein Benutzer für eine Sammlung (z. B. „Alle Systeme“) über das Recht Lesen und für eine andere Sammlung („Sammlung A“) über das Recht Remotetools verwenden verfügt, dann verfügt der betreffende Benutzer auf allen Systemen über die Rechte Lesen und Remotetools verwenden, die Mitglied beider Sammlungen sind. Der Benutzer kann eine Ressource in der Sammlung „Alle Systeme" anzeigen und Remotetools für diese Ressource verwenden, wenn diese Ressource auch in „Sammlung A“ vorhanden ist. Wenn die Ressource nicht in „Sammlung A“ vorhanden ist, kann der Benutzer die Remotetools für diese Ressourcen nicht verwenden. Die Tatsache, dass der Benutzer nicht über das Recht Remotetools verwenden in der Sammlung „Alle Systeme“ verfügt, bedeutet nicht, dass der betreffende Benutzer für keinen Computer in der Sammlung „Alle Systeme“ Remotetools verwenden darf. Dem Benutzer ist die Verwendung von Remotetools lediglich für solche Computer in der Sammlung „Alle Systeme“ nicht gestattet, für die das Recht Remotetools verwenden in keiner anderen Sammlung gewährt wurde, die den betreffenden Computer enthält.

Wenn einem Benutzer Klassensicherheitsrechte für ein Sicherheitsobjekt und dazu in Konflikt stehende Instanzensicherheitsrechte für ein bestimmtes Sicherheitsobjekt gewährt werden, kann Configuration Manager 2007 aufgrund der kumulativen Eigenschaft der Configuration Manager 2007-Rechte die Klassen- und Instanzensicherheitsrechte so abstimmen, dass die höchste Berechtigungsebene gewährt wird. Wenn z. B. einem Benutzer auf Klassenebene alle Rechte für alle Pakete gewährt werden und gleichzeitig auf Instanzebene das Recht Lesen für ein bestimmtes Paket gewährt wird, verfügt der Benutzer effektiv über alle Rechte für alle Pakete einschließlich dem speziellen Paket, für das nur das Leserecht festgelegt war.

Implementieren von rollenbasierter Sicherheit mithilfe der Objektsicherheit

Sie können Berechtigungen für Objekte erteilen, indem Sie Benutzergruppen in Ihrer Organisation Rechte gewähren, um deren Anforderungen zu erfüllen. Wenn beispielsweise für die Helpdesktechniker in Ihrer Organisation eine Benutzergruppe eingerichtet ist, können Sie dieser Gruppe für Sammlungen das Recht Remotetools verwenden gewähren. Wenn Benutzer, die keine Configuration Manager 2007-Administratoren sind, Inventuren anzeigen und abfragen möchten, die auf Clients gesammelt wurden, können Sie diesen Benutzern für Sammlungen und Abfragen das Recht Lesen und fürSammlungen das RechtRessource lesen gewähren.

Unterschied zwischen Verwalten und Delegieren

Wenn Benutzer Objekte (z. B. Sammlungen oder Ankündigungen) erstellen, möchten sie u. U. anderen Benutzern (oder Gruppen) das Verwenden oder Verwalten der betreffenden Objekte gestatten. Dies ist möglich, wenn die Benutzer auf Klassenebene über das Recht Verwalten verfügen. Dieses Recht gestattet ihnen allerdings, beliebige Änderungen an beliebigen Instanzen dieses Objekttyps vorzunehmen. Eine bessere Lösung ist es, den Benutzern auf Klassenebene das Recht Delegieren zu gewähren. Dieses ermöglicht ihnen, Benutzern und Gruppen Rechte für selbst erstellte Objekte zu gewähren. Die Benutzer können dabei jedoch nur solche Rechte gewähren, die ihnen auf der Instanzebene gewährt wurden. Sie können keine Rechte gewähren, die ihnen über die Gruppenmitgliedschaft oder auf der Klassenebene gewährt wurden.

Beispiel: Angenommen ein Benutzer verfügt auf Klassenebene für Sammlungen über die Rechte Erstellen und Delegieren. Der Benutzer verfügt außerdem auf Instanzebene für die Sammlung „Alle Windows XP-Systeme“ über die Rechte Lesen, Ressource lesen und Ankündigen. In diesem Fall kann der Benutzer eine neue Sammlung erstellen, die auf der Mitgliedschaft bei der Sammlung „Alle Windows XP-Systeme“ basiert. Der Benutzer kann anschließend einer anderen Gruppe für die neue Sammlung die Rechte Lesen und Ressourcen lesen, jedoch nicht die Rechte Erstellen und Delegieren, gewähren, sodass die Mitglieder dieser Gruppe Mitglieder der neuen Sammlung anzeigen können.

Hinweis

Erteilen Sie den Administratoren sicherheitshalber nur dann Berechtigungen auf Klassenebene, wenn Berechtigungen auf Instanzebene nicht ausreichen. Erstellen Sie eine Sammlung mit den Ressourcen, die von den Administratoren verwalten werden sollen, und erteilen Sie nur für diese Sammlung Berechtigungen. Dementsprechend werden den Administratoren nur die Sicherheitsobjekte angezeigt, auf die sie Zugriff haben.

Anzeigen von Ressourcen in Sammlungen und Abfragen

Für Sammlungen festgelegte Rechte haben häufig Auswirkungen auf die Ausführbarkeit bestimmter Aufgaben in anderen Knoten der Configuration Manager 2007-Konsole. Das Gewähren des Objektsicherheitsrechts Lesen für eine Sammlung ermöglicht den Benutzern nicht nur, diese Sammlung, sondern auch die Ressourcen in dieser Sammlung anzuzeigen. Die Benutzer können die Eigenschaften der Ressourcen anzeigen und den Ressourcen-Explorer aufrufen, die Werte der Ressourcen-Explorer-Gruppen werden ihnen jedoch nicht anzeigen. Für diese Detailebene benötigen die Benutzer zusätzlich das Recht Ressource lesen. Um den Benutzern weitergehende Verwaltungsmöglichkeiten für Computerressourcen einzuräumen, müssen Sie ihnen die Rechte Remotetools verwenden oder Gesammelte Dateien anzeigen gewähren. Um Ressourcen aus Configuration Manager 2007 vollständig entfernen zu können (im Gegensatz zum einfachen Entfernen der Sammlungsregel, die die betreffende Ressource als Mitglied der Sammlung definiert), müssen die Benutzer über das Recht Ressource löschen verfügen.

Sie können Ressourcen über Abfragen verwalten, aber das Recht Lesen gestattet Ihnen bei Abfragen lediglich, die Abfragen anzuzeigen und auszuführen. Das Recht zum Anzeigen von Ressourcen in einem Abfrageergebnisfenster und zum Verwalten dieser Ressourcen wird über die Rechte gewährt, die für Sammlungen festgelegt sind, in denen sich diese Ressourcen befinden.

Standortwartungsrechte

Zum Verwalten der Standortdatenbank können Sie Microsoft SQL Server-Standortverwaltungsbefehle für den jeweiligen Standort in der Configuration Manager 2007-Konsole unter dem Knoten Standorteinstellungen erstellen. Diese Befehle verfügen über umfassende Rechte in der Standortdatenbank und können beliebige Änderungen an den Daten und der Datenbank vornehmen. Um Schäden durch die Verwendung dieser leistungsfähigen Funktionen zu verhindern, sollten Sie den Zugriff auf die Instanz SQL-Befehle verwalten der Klasse Standort auf erfahrene Administratoren beschränken, die dieses Recht benötigen.

Hinweis

Zum Hinzufügen, Löschen oder Ändern von SQL-Befehlen müssen Sie auch über das Recht Ändern für das Standortobjekt verfügen.

Softwaremessungsrechte

Eine der Hauptaufgaben bei der Softwaremessung ist das Erstellen von Softwaremessungsregeln. Softwaremessungsregeln können nicht nur auf den Standort angewendet werden, auf dem sie erstellt wurden, sondern auch auf dessen untergeordnete Standorte. Zum Verwalten von Softwaremessungsregeln muss der Configuration Manager 2007-Administrator über die entsprechenden Objektsicherheitsrechte für Softwaremessungsregeln verfügen. Für Regeln, die auf einen Standort angewendet werden sollen, muss der Administrator zusätzlich über das Instanzrecht zum Messen für die Klasse Standort oder das Klassenrecht zum Messen für den Standort verfügen. In diesem Fall werden die Regeln auf alle Standorte angewendet, an die sie verteilt werden. Relevant sind dabei die Rechte zum Messen an dem Standort, auf dem die Regeln erstellt wurden, und nicht die Rechte an den Standorten, an die die Regeln verteilt werden.

Softwareupdates

Zum Hinzufügen von Softwareupdates zu einer Vorlage oder einer Bereitstellung per Drag & Drop oder über das Menü „Aktion“ müssen Sie über die folgenden Rechte verfügen.

  Lesen Verteilen Erstellen Ankündigen

Konfigurationselemente

X

X

 

 

Sammlung

X

 

 

X

Bereitstellungspaket

X

X

 

 

Bereitstellungsvorlage

X

 

 

 

Bereitstellung

X

 

X

 

Standort

X

 

 

 

Softwareverteilungsrechte

Da Ankündigungen Pakete und Sammlungen betreffen, müssen Sie zum Erstellen einer Ankündigung über die folgenden Rechte verfügen:

  • Leserechte für die Zielsammlung der Ankündigung

  • Ankündigungsrechte für die Zielsammlung der Ankündigung

  • Leserechte für das Paket mit dem angekündigten Programm

Zum Löschen einer Ankündigung müssen Sie über die folgenden Rechte verfügen:

  • Löschrechte für die Ankündigung

  • Ankündigungsrechte für die Zielsammlung der Ankündigung

  • Leserechte für das Paket mit dem angekündigten Programm

Betriebssystembereitstellung

Für einige Betriebssystembereitstellungstasks ist der Zugriff auf Pakete, Sammlungen, Ankündigungen und Standortobjekte erforderlich.

Objekt Rechte zum Erstellen Rechte zum Ändern Rechte zum Löschen Rechte zum Verteilen

Startabbilder

Erstellen\Startabbildpaket, Lesen\Startabbildpaket

Ändern\Startabbildpaket, Lesen\Startabbildpaket

Löschen\Startabbildpaket, Lesen\Startabbildpaket

Lesen\Startabbildpaket, Ändern\Startabbildpaket, Verteilen\Startabbildpaket, Lesen\Standort

Computerzuordnung

Erstellen\Computerzuordnung, Lesen\Computerzuordnung, Lesen\Sammlung

Ändern\Computerzuordnung, Lesen\Computerzuordnung

Löschen\Computerzuordnung, Lesen\Computerzuordnung

Nicht zutreffend

Betriebssystemabbilder

Erstellen\Betriebssystemabbild, Lesen\Betriebssystemabbild

Ändern\Betriebssystemabbild, Lesen\Betriebssystemabbild

Löschen\Betriebssystemabbild, Lesen\Betriebssystemabbild

Ändern\Betriebssystemabbild, Lesen\Betriebssystemabbild, Verteilen\Betriebssystemabbild, Lesen\Standort

Betriebssysteminstallationspakete

Erstellen\Betriebssysteminstallationspaket, Lesen\Betriebssysteminstallationspaket

Ändern\Betriebssysteminstallationspaket, Lesen\Betriebssysteminstallationspaket

Löschen\Betriebssysteminstallationspaket, Lesen\Betriebssysteminstallationspaket

Ändern\Betriebssysteminstallationspaket, Lesen\Betriebssysteminstallationspaket, Verteilen\Betriebssysteminstallationspaket, Lesen\Standort

Tasksequenzen

Erstellen\Tasksequenzpaket, Lesen\Tasksequenzpaket, Ändern\Tasksequenzpaket

Ändern\Tasksequenzpaket, Lesen\Tasksequenzpaket

Löschen\Tasksequenzpaket, Lesen\Tasksequenzpaket

Ändern\Tasksequenzpaket, Lesen\Tasksequenzpaket, Verteilen\Tasksequenzpaket, Lesen\Standort

Ankündigung (für Taktsequenz)

Lesen\Tasksequenzpaket, Lesen\Sammlung, Ankündigen\Sammlung, Lesen\Paket, Erstellen\Ankündigung

Ändern\Ankündigung, Lesen\Ankündigung

Löschen\Ankündigung, Lesen\Ankündigung

Nicht zutreffend

Startbare Tasksequenzmedien

Lesen\Tasksequenzpaket, Tasksequenzmedien erstellen\Tasksequenzpaket, Lesen\Standort, OSD- und ISV-Proxyzertifikate verwalten\Standort, Lesen\Startabbild

Ändern\Tasksequenzpaket, Lesen\Tasksequenzpaket

Löschen\Tasksequenzpaket, Lesen\Tasksequenzpaket

Nicht zutreffend

Treiber

Erstellen\Gerätetreiber, Lesen\Gerätetreiber

Ändern\Gerätetreiber, Lesen\Gerätetreiber

Löschen\Gerätetreiber, Lesen\Gerätetreiber

Nicht zutreffend

Treiberpaket

Erstellen\Treiberpaket, Lesen\Gerätetreiber

Ändern\Treiberpaket, Lesen\Treiberpaket, Verteilen\Treiberpakete

Löschen\Treiberpaket, Lesen\Treiberpaket

Nicht zutreffend

Hinweis

Wenn für eine Tasksequenz ein Softwareverteilungspaket oder ein Betriebssystemabbild erforderlich ist, muss Configuration Manager 2007 über Leseberechtigungen für die Paketklasse und nicht nur für die Instanz des zu verteilenden Pakets verfügen.

Einige Aktionen scheinen zu funktionieren, auch wenn der Benutzer nicht über die erforderlichen Rechte verfügt. Auch wenn ein Benutzer beispielsweise nicht über Rechte zum Erstellen von Objekten in der Startabbildpaket-Klasse verfügt, kann er den Importvorgang starten. Der Assistent schlägt jedoch aufgrund unzureichender Rechte fehl.

Dienst-Manager

Im Configuration Manager 2007-Dienst-Manager müssen Sie über das Recht Verwalten für das primäre Standortobjekt verfügen, um folgende Aufgaben ausführen zu können:

  • Abfragen eines Diensts

  • Beenden eines Diensts

  • Starten eines Diensts

  • Konfigurieren der Dienstprotokollierung

Auf einem sekundären Standort müssen Sie Mitglied der lokalen Gruppe „Administratoren“ sein, um diese Aufgaben ausführen zu können.

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com