Segurança de objeto do Configuration Manager

Verbo Delegar

O verbo delegar no Configuration Manager fornece aos administradores uma maneira de permitir que os usuários atribuam a outros usuários as permissões de instância a um objeto de uma maneira muito limitada. Os direitos que um usuário tem permissão para atribuir (ou revogar) a outros usuários estão limitados aos direitos de instância que foram explicitamente concedidos a esse usuário. Quando um usuário cria um objeto protegido, esse usuário é automaticamente concedido direitos de instância explícita a esse objeto (geralmente leitura, modificação e exclusão).

Em certa medida, esses direitos explicitamente concedidos fornecem ao usuário um determinado nível de propriedade do objeto. Com o direito de representante, essa propriedade é estendida ao controle do grupo padrão de direitos de instância. Para limitar quais direitos um usuário pode delegar, somente direitos explicitamente concedidos a ele (não um grupo ao qual pertencem) podem ser delegados. Um usuário também pode remover outros direitos de instância de usuários (ou grupos) se o usuário tiver a permissão delegada e direitos explícitos para um objeto (é por isso que um usuário é dito que possui um objeto se tiver direitos de instância explícitos). Os usuários com direitos de administrador ainda têm controle total sobre a administração de permissões.

Um cenário comum para usar o verbo delegar é quando um usuário tem direitos de criação e delegação para um tipo de objeto e deseja criar um objeto e permitir que membros de um grupo de usuários o vejam. Eles criam uma instância do objeto e delegam permissões de leitura para a instância para o grupo de usuários.

O verbo delegar é aplicável às classes a seguir do Configuration Manager:

  • SMS_Collection

  • SMS_Package

  • SMS_Advertisement

  • SMS_Site

  • SMS_Query

  • SMS_Report

  • SMS_MeteredProductRule

Recurso system (SMS_R_System) como um Recurso Protegido

Recursos protegidos são recursos (as classes SMS_R_* que exigem que os direitos de leitura da coleção sejam exibidos. Se o usuário tiver direitos de leitura de coleção de nível de classe, o usuário poderá ver todas as instâncias de um recurso protegido. Se o usuário tiver apenas direitos de leitura no nível de instância para determinadas coleções, o usuário só tem direitos para ver recursos que são membros dessas coleções. SMS_R_User e SMS_R_UserGroup são recursos protegidos no SMS 2.0. No SMS 2003, SMS_R_System (o recurso do sistema) também é um recurso protegido.

As instâncias de inventário (SMS_G_System_*) são protegidas da mesma forma com o verbo ler recurso. Se um usuário tiver direitos de nível de classe, esse usuário poderá ver dados de inventário pertencentes a todos os recursos. Se o usuário não tiver direitos de nível de classe, o usuário poderá ver apenas os dados de inventário do inventário que pertencem aos recursos que são membros de coleções às quais o usuário tem direitos de recurso de leitura no nível da instância. Por outro lado, se um usuário tiver lido direitos de recurso para uma coleção, um usuário poderá ver os dados de inventário dos membros dessa coleção. Isso não foi afetado pela alteração na segurança para SMS_R_System . Os direitos de recurso de leitura não podem ser concedidos a um usuário sem conceder direitos de leitura. Quando um usuário não tem os direitos de coleção de nível de classe apropriados, a segurança dos recursos é imposta por meio da limitação de coleção.

Proteger envios de arquivos para um servidor do Configuration Manager

O local recomendado para copiar arquivos de registro de descoberta de dados (DDR) e arquivos MIF (Managed Information Format) que não estão relacionados aos clientes existentes do Configuration Manager está diretamente nas caixas de entrada do servidor do site. Isso exige permissões de nível de administrador no servidor de site para serem concedidas ao aplicativo que está copiando esses arquivos. Eles estão localizados da seguinte forma:

Arquivos DDR: <SMS> /inboxes/ddm.box

Arquivos MIF: <SMS> /inboxes/inventry.box

Confira também

Visão geral dos objetos Classes de Associação do Gerenciador de Configurações
Propriedades de campo de bit do Gerenciador de Configurações
Formatos de data e hora do Configuration Manager
Objetos incorporados do Configuration Manager
Idioma estendido de consulta WMI do Configuration Manager
Propriedades do Lazy do Configuration Manager
Consultas especiais do Configuration Manager
Sobre erros