Безопасность объектов Configuration Manager
Команда делегата
Команда делегата в Configuration Manager предоставляет администраторам возможность назначать другим пользователям разрешения экземпляра для объекта очень ограниченным способом. Права, которые пользователь может назначать (или отзывать) другим пользователям, ограничиваются правами экземпляра, которые были явно предоставлены пользователю. Когда пользователь создает защищенный объект, ему автоматически предоставляются явные права экземпляра для этого объекта (как правило, чтение, изменение и удаление).
В некоторой степени эти явно предоставленные права предоставляют пользователю определенный уровень владения объектом. С правом делегата эта собственность распространяется на управление группой прав экземпляра по умолчанию. Чтобы ограничить права, которые пользователь может делегировать, можно делегировать только права, явно предоставленные ему (а не группе, к которой они принадлежат). Пользователь также может удалить права экземпляра других пользователей (или групп), если пользователь имеет разрешение на делегирование и явные права на объект (именно поэтому пользователь, как говорят, является владельцем объекта, если у него есть явные права экземпляра). Пользователи с правами администратора по-прежнему имеют полный доступ к администрированию разрешений.
Распространенный сценарий использования команды делегата заключается в том, что пользователь создал и делегировал права для типа объекта и хочет создать объект и разрешить членам группы пользователей его видеть. Они создают экземпляр объекта , а затем делегируют разрешения на чтение для экземпляра группе пользователей.
Команда делегата применима к следующим Configuration Manager классам:
SMS_CollectionSMS_PackageSMS_AdvertisementSMS_SiteSMS_QuerySMS_ReportSMS_MeteredProductRule
Системный ресурс (SMS_R_System) в качестве защищенного ресурса
Защищенные ресурсы — это ресурсы (классы SMS_R_*), для просмотра которых требуются права на чтение коллекции. Если у пользователя есть права на чтение коллекции на уровне класса, он может просматривать все экземпляры защищенного ресурса. Если у пользователя есть только права на чтение на уровне экземпляра для определенных коллекций, у него есть только права на просмотр ресурсов, которые являются членами этих коллекций. SMS_R_User и SMS_R_UserGroup являются защищенными ресурсами в SMS 2.0. В SMS 2003 SMS_R_System (системный ресурс) также является защищенным ресурсом.
Экземпляры инвентаризации (SMS_G_System_*) защищены аналогичным образом с помощью команды чтения ресурса. Если у пользователя есть права на уровне класса, он может видеть данные инвентаризации, принадлежащие всем ресурсам. Если у пользователя нет прав на уровне класса, он может просматривать только данные инвентаризации, принадлежащие ресурсам, которые являются членами коллекций, для которых у пользователя есть права на чтение ресурсов на уровне экземпляра. И наоборот, если у пользователя есть права на чтение ресурсов для коллекции, он может просматривать данные инвентаризации для членов этой коллекции. На это не повлияло изменение безопасности на SMS_R_System. Права на доступ к ресурсам чтения не могут быть предоставлены пользователю без предоставления прав на чтение. Если у пользователя нет соответствующих прав на коллекцию на уровне класса, безопасность ресурсов обеспечивается путем ограничения коллекции.
Защита отправки файлов на сервер Configuration Manager
Рекомендуемое расположение для копирования файлов записей обнаружения данных (DDR) и MIF-файлов, не связанных с существующими клиентами Configuration Manager, находится непосредственно в папке "Входящие" сервера сайта. Для этого требуются разрешения уровня администратора на сервере сайта, которые будут предоставлены приложению, копируя эти файлы. Они расположены следующим образом:
Файлы DDR: <SMS>/inboxes/ddm.box
MIF-файлы: <SMS>/inboxes/inventry.box
См. также
Общие сведения об объектахConfiguration Manager классы ассоциаций
Свойства битового поля Configuration Manager
форматы даты и времени Configuration Manager
внедренные объекты Configuration Manager
Configuration Manager расширенный язык запросов WMI
Отложенные свойства Configuration Manager
специальные запросы Configuration Manager
Сведения об ошибках
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по