Configuration Manager 개체 보안Configuration Manager Object Security

동사 위임Delegate Verb

Configuration Manager의 대리자 동사를 사용 하면 관리자가 다른 사용자에 게 개체에 대 한 인스턴스 사용 권한을 매우 제한 된 방법으로 할당할 수 있습니다.The delegate verb in Configuration Manager provides administrators with a way of allowing users to assign to other users the instance permissions to an object in a very limited way. 사용자가 다른 사용자에 게 할당 하거나 취소할 수 있는 권한은 해당 사용자에 게 명시적으로 부여 된 인스턴스 권한으로 제한 됩니다.The rights that a user is allowed to assign (or revoke) to other users are limited to the instance rights that have been explicitly granted to that user. 사용자가 보안 개체를 만들면 해당 사용자에 게 해당 개체에 대 한 명시적 인스턴스 권한이 자동으로 부여 됩니다 (일반적으로 읽기, 수정 및 삭제).When a user creates a secured object, that user is automatically granted explicit instance rights to that object (usually read, modify, and delete).

일부 범위에서 이러한 명시적으로 부여 된 권한은 사용자에 게 개체의 특정 수준 소유권을 제공 합니다.To some extent, these explicitly granted rights provide the user with a certain level of ownership of the object. 대리자 권한이 있는 경우이 소유권은 기본 인스턴스 권한 그룹의 컨트롤로 확장 됩니다.With the delegate right, this ownership is extended to the control of the default group of instance rights. 사용자가 위임할 수 있는 권한을 제한 하기 위해 자신에 게 명시적으로 부여 된 권한 (자신이 속한 그룹 아님)만 위임할 수 있습니다.To limit which rights a user can delegate, only rights explicitly granted to them (not a group to which they belong) can be delegated. 사용자에 게 대리자 권한 및 개체에 대 한 명시적 권한이 있는 경우에는 사용자가 다른 사용자 (또는 그룹) 인스턴스 권한을 제거할 수도 있습니다 .이 경우 명시적 인스턴스 권한이 있는 경우에는 사용자가 개체를 소유 해야 합니다.A user can also remove other users (or groups) instance rights if the user has the delegate permission and explicit rights to an object (this is why a user is said to own an object if they have explicit instance rights). 관리자 권한을 가진 사용자는 여전히 권한 관리를 완전히 제어할 수 있습니다.Users with administrator rights still have full control of administering permissions.

대리자 동사를 사용 하는 일반적인 시나리오는 사용자가 개체 형식에 대 한 만들기 및 위임 권한을 가지 며 개체를 만들고 사용자 그룹의 멤버가이를 볼 수 있도록 하려는 경우입니다.A common scenario for using the delegate verb is when a user has create and delegate rights for an object type and wants to create an object and allow members of a user group to see it. 개체의 인스턴스를 만든 다음 인스턴스에 대 한 읽기 권한을 사용자 그룹에 위임 합니다.They create an instance of the object and then delegate read permissions for the instance to the user group.

대리자 동사는 다음 Configuration Manager 클래스에 적용 됩니다.The delegate verb is applicable to the follow Configuration Manager classes:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

보안 리소스로 서의 시스템 리소스 (SMS_R_System)System Resource (SMS_R_System) as a Secured Resource

보안 리소스는 컬렉션 읽기 권한을 볼 수 있어야 하는 리소스 (SMS_R_ * 클래스)입니다.Secured resources are resources (the SMS_R_* classes) that require collection read rights to be viewed. 사용자에 게 클래스 수준 컬렉션 읽기 권한이 있는 경우 사용자는 보안 된 리소스의 모든 인스턴스를 볼 수 있습니다.If the user has class-level collection read rights, the user can see all the instances of a secured resource. 특정 컬렉션에 대 한 인스턴스 수준의 읽기 권한만 사용자에 게 있는 경우 해당 사용자는 해당 컬렉션의 멤버인 리소스만 볼 수 있습니다.If the user only has instance-level read rights to certain collections, the user only has rights to see resources that are a members of those collections. SMS_R_UserSMS_R_UserGroup 은 SMS 2.0의 보안 리소스입니다.SMS_R_User and SMS_R_UserGroup are secured resources in SMS 2.0. SMS 2003에서 SMS_R_System (시스템 리소스)는 보안 리소스 이기도 합니다.In SMS 2003, SMS_R_System (the system resource) is also a secured resource.

인벤토리 인스턴스 (SMS_G_System_ *)는 읽기 리소스 동사와 유사 하 게 보호 됩니다.Inventory instances (SMS_G_System_*) are secured similarly with the read resource verb. 사용자에 게 클래스 수준 권한이 있는 경우 해당 사용자는 모든 리소스에 속한 인벤토리 데이터를 볼 수 있습니다.If a user has class-level rights, that user can see inventory data belonging to all resources. 사용자에 게 클래스 수준 권한이 없는 경우 사용자는 인스턴스 수준 읽기 리소스 권한을 가진 컬렉션의 멤버인 리소스에 속하는 인벤토리 데이터만 볼 수 있습니다.If the user does not have class-level rights, the user can see only inventory data for inventory that belongs to resources that are members of collections to which the user has instance-level read resource rights. 반대로 사용자에 게 컬렉션에 대 한 리소스 읽기 권한이 있는 경우 사용자는 해당 컬렉션의 멤버에 대 한 인벤토리 데이터를 볼 수 있습니다.Conversely, if a user has read resource rights to a collection, a user can see the inventory data for the members of that collection. 이는에 대 한 보안 변경의 영향을 받지 않았습니다 SMS_R_System .This has not been affected by the change in security to SMS_R_System. 읽기 권한을 부여 하지 않고 사용자에 게 리소스 읽기 권한을 부여할 수 없습니다.Read resource rights cannot be granted to a user without granting read rights. 사용자에 게 적절 한 클래스 수준 컬렉션 권한이 없는 경우 컬렉션 제한을 통해 리소스 보안이 적용 됩니다.When a user does not have the appropriate class-level collection rights, resource security is enforced through collection limiting.

Configuration Manager 서버에 대 한 파일 전송 보안Securing File Submissions to a Configuration Manager Server

기존 Configuration Manager 클라이언트와 관련이 없는 DDR (데이터 검색 기록) 파일 및 MIF (관리 정보 형식) 파일을 복사 하는 데 권장 되는 위치는 사이트 서버 수신함에 직접 있습니다.The recommended location for copying data discovery record (DDR) files and Managed Information Format (MIF) files that not related to existing Configuration Manager clients is directly in the site server inboxes. 이렇게 하려면 이러한 파일을 복사 하는 응용 프로그램에 사이트 서버에 대 한 관리자 수준 권한이 있어야 합니다.This requires administrator level permissions on the site server to be granted to the application that is copying these files. 이러한 기능은 다음과 같습니다.These are located as follows:

DDR 파일: < SMS>/inboxes/ddm.boxDDR files: <SMS>/inboxes/ddm.box

MIF 파일: < SMS>/inboxes/inventry.boxMIF files: <SMS>/inboxes/inventry.box

참고 항목See Also

개체 개요 Configuration Manager 연결 클래스 Objects overview Configuration Manager Association Classes
Configuration Manager 비트 필드 속성 Configuration Manager Bit Field Properties
Configuration Manager 날짜 및 시간 형식 Configuration Manager Date and Time Formats
포함 개체 Configuration Manager Configuration Manager Embedded Objects
Configuration Manager 확장 WQL(WMI Query Language) Configuration Manager Extended WMI Query Language
지연 속성 Configuration Manager Configuration Manager Lazy Properties
특수 쿼리 Configuration Manager Configuration Manager Special Queries
오류 정보About errors