seguridad de objetos de Configuration Manager

Verbo delegado

El verbo delegado de Configuration Manager proporciona a los administradores una manera de permitir a los usuarios asignar a otros usuarios los permisos de instancia a un objeto de una manera muy limitada. Los derechos que un usuario puede asignar (o revocar) a otros usuarios se limitan a los derechos de instancia que se han concedido explícitamente a ese usuario. Cuando un usuario crea un objeto protegido, a ese usuario se le conceden automáticamente derechos de instancia explícitos a ese objeto (normalmente se leen, modifican y eliminan).

En cierta medida, estos derechos concedidos explícitamente proporcionan al usuario un determinado nivel de propiedad del objeto. Con el derecho de delegado, esta propiedad se extiende al control del grupo predeterminado de derechos de instancia. Para limitar los derechos que un usuario puede delegar, solo se pueden delegar los derechos que se le conceden explícitamente (no un grupo al que pertenece). Un usuario también puede quitar otros derechos de instancia de usuarios (o grupos) si el usuario tiene el permiso de delegado y derechos explícitos para un objeto (es por eso que se dice que un usuario es propietario de un objeto si tiene derechos de instancia explícitos). Los usuarios con derechos de administrador siguen teniendo el control total de la administración de permisos.

Un escenario común para usar el verbo delegado es cuando un usuario ha creado y delegado derechos para un tipo de objeto y quiere crear un objeto y permitir que los miembros de un grupo de usuarios lo vean. Crean una instancia del objeto y, a continuación, delegan permisos de lectura para la instancia en el grupo de usuarios.

El verbo delegado se aplica a las siguientes clases de Configuration Manager:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Recurso del sistema (SMS_R_System) como recurso protegido

Los recursos protegidos son recursos (las clases SMS_R_*) que requieren que se vean los derechos de lectura de recopilación. Si el usuario tiene derechos de lectura de colección de nivel de clase, el usuario puede ver todas las instancias de un recurso protegido. Si el usuario solo tiene derechos de lectura de nivel de instancia para determinadas colecciones, el usuario solo tiene derechos para ver los recursos que son miembros de esas colecciones. SMS_R_User y SMS_R_UserGroup son recursos protegidos en SMS 2.0. En SMS 2003, SMS_R_System (el recurso del sistema) también es un recurso protegido.

Las instancias de inventario (SMS_G_System_*) se protegen de forma similar con el verbo leer recursos. Si un usuario tiene derechos de nivel de clase, ese usuario puede ver los datos de inventario que pertenecen a todos los recursos. Si el usuario no tiene derechos de nivel de clase, el usuario solo puede ver los datos de inventario del inventario que pertenecen a recursos que son miembros de colecciones a las que el usuario tiene derechos de recurso de lectura en el nivel de instancia. Por el contrario, si un usuario tiene derechos de recurso de lectura para una colección, un usuario puede ver los datos de inventario de los miembros de esa colección. Esto no se ha visto afectado por el cambio de seguridad en SMS_R_System. Los derechos de recurso de lectura no se pueden conceder a un usuario sin conceder derechos de lectura. Cuando un usuario no tiene los derechos de recopilación de nivel de clase adecuados, la seguridad de los recursos se aplica mediante la limitación de recopilación.

Protección de envíos de archivos a un servidor de Configuration Manager

La ubicación recomendada para copiar archivos de registro de detección de datos (DDR) y archivos de formato de información administrada (MIF) que no están relacionados con los clientes Configuration Manager existentes se encuentra directamente en las bandejas de entrada del servidor de sitio. Esto requiere que se concedan permisos de nivel de administrador en el servidor de sitio a la aplicación que está copiando estos archivos. Se encuentran de la siguiente manera:

Archivos DDR: <SMS>/inboxes/ddm.box

Archivos MIF: <SMS>/inboxes/inventry.box

Vea también

Información general sobre objetos Configuration Manager clases de asociación
propiedades de campo de bits de Configuration Manager
Configuration Manager formatos de fecha y hora
Configuration Manager objetos incrustados
Configuration Manager lenguaje de consulta WMI extendido
propiedades diferidas de Configuration Manager
Configuration Manager consultas especiales
Información de los errores