Configuration Manager 物件安全性
委派動詞
Configuration Manager 中的委派動詞可讓系統管理員以非常有限的方式,允許使用者將實例許可權指派給其他使用者。 允許使用者指派 (或撤銷) 給其他用戶的許可權,僅限於已明確授與該用戶的實例許可權。 當使用者建立安全物件時,該用戶會自動授與該物件的明確實例許可權, (通常會讀取、修改和刪除) 。
在某些程度上,這些明確授與的許可權會為使用者提供特定層級的對象擁有權。 使用委派權時,此擁有權會延伸至實例權的預設群組控制。 若要限制使用者可以委派的許可權,只能將許可權明確授與他們 (不能委派他們所屬的群組) 。 如果使用者具有物件的委派許可權和明確許可權,則使用者也可以移除 (或群組) 實例許可權的其他使用者 (這就是為什麼當使用者具有明確的實例許可權) 時,會說他們擁有物件的原因。 具有系統管理員許可權的使用者仍然擁有管理許可權的完整控制權。
使用委派動詞的常見案例是當使用者已建立和委派物件類型的許可權,而且想要建立對象並允許使用者群組的成員查看它時。 他們會建立 對象的實例,然後將實例的讀取許可權委派給使用者群組。
委派動詞動詞適用於下列 Configuration Manager 類別:
SMS_CollectionSMS_PackageSMS_AdvertisementSMS_SiteSMS_QuerySMS_ReportSMS_MeteredProductRule
系統資源 (SMS_R_System) 為安全資源
安全的資源是 (需要檢視集合讀取許可權的SMS_R_* 類別) 資源。 如果使用者具有類別層級集合讀取許可權,則使用者可以看到安全資源的所有實例。 如果使用者只有特定集合的實例層級讀取許可權,則使用者只有許可權可查看屬於這些集合成員的資源。 SMS_R_User 和 SMS_R_UserGroup 是SMS 2.0中的安全資源。 在 SMS 2003 中, SMS_R_System (系統資源) 也是安全的資源。
(SMS_G_System_*) 的清查實例受到類似讀取資源動詞保護。 如果使用者具有類別層級許可權,該使用者會看到屬於所有資源的清查數據。 如果使用者沒有類別層級許可權,則使用者只能看到屬於屬於使用者具有實例層級讀取資源許可權之集合成員之資源的清查數據。 相反地,如果使用者具有集合的讀取資源許可權,則使用者可以看到該集合成員的清查數據。 這並未受到安全 SMS_R_System性變更的影響。 若未授與讀取許可權,就無法將讀取資源許可權授與使用者。 當用戶沒有適當的類別層級集合許可權時,會透過集合限制來強制執行資源安全性。
保護提交至 Configuration Manager 伺服器的檔案
將數據探索記錄複製 (DDR) 檔案和受控資訊格式的建議位置, (MIF) 與現有 Configuration Manager 客戶端無關的檔案直接位於月臺伺服器收件匣中。 這需要將月臺伺服器的系統管理員層級許可權授與複製這些檔案的應用程式。 這些位置如下:
DDR 檔案: <SMS>/inboxes/ddm.box
MIF 檔案: <SMS>/inboxes/inventry.box
另請參閱
物件概觀Configuration Manager 關聯類別
Configuration Manager 位欄位屬性
Configuration Manager 日期和時間格式
Configuration Manager內嵌物件
Configuration Manager 擴充 WMI 查詢語言
Configuration Manager 延遲屬性
Configuration Manager 特殊查詢
關於錯誤
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應