11.3 Делегирование административных полномочий и предоставление разрешений в SMS 2003

Разрешения в SMS 2003, группы SMS Admins и SMS Reporting Users, делегирование административных полномочий, разрешения на класы (class security rights) и разрешения на экземпляры классов (instance security rights)

По умолчанию тот пользователь, от имени которого производится установка сервера SMS 2003, автоматически становится его администратором (конечно же, для того, чтобы произвести установку сервера SMS 2003? он должен обладать правами группы Domain Admins, а для того, чтобы внести изменения в структур Active Directory — еще и группы Schema Admins в корневом домене леса). Конечно же, на большом предприятии, скорее всего, потребуется предоставить административные права на сайт SMS 2003 и другим администраторам. Сделать это несложно: достаточно добавить соответствующие учетные записи в группу SMS Admins в домене. Отметим также группу SMS Reporting Users: пользователи этой группы автоматически получают права на запуск и просмотр отчетов сервера SMS 2003.

Если же пользователю нужны права только на некоторые объекты сервера SMS 2003, придется заняться предоставлением разрешений. Отметим, что, как и для многого другого, для разрешений на сервере SMS 2003 используется подсистема WMI. Таким образом, разрешения на объекты сервера SMS 2003 — это на самом деле разрешения, которые выдаются на провайдеров, классы и экземпляры классов WMI. Тем не менее для предоставления разрешений удобнее всего использовать консоль SMS Administrator.

Разрешения в SMS Administrator принципиально разделяются на два типа:

·        разрешения на классы (class security rights);

·        разрешения на экземпляры классов (instance security rights).

При предоставлении разрешения на класс объектов (коллекции, пакеты, уведомления и т.п.) пользователь автоматически получает права на работу со всеми экземплярами этого класса. При предоставлении разрешения на экземпляр пользователь получает права только на конкретный экземпляр класса (например, на конкретный пакет, конкретную коллекцию и т.п.).

Предоставить разрешения на класс проще всего из контейнера Site database | Security Rights в SMS Administrator. Для этого достаточно щелкнуть правой кнопкой мыши по контейнеру Site Database и в контекстном меню выбрать New | Class Security Rights. Затем в открывшемся окне нужно ввести информацию об учетной записи Active Directory, выбрать требуемый класс объектов сайта SMS 2003 и в нижней части экрана — соответствующее разрешение. Все разрешения вполне очевидны. Отметим только разрешение Delegate, которое предоставляет пользователю право не только самому работать с экземплярами данного класса, но и давать другим пользователям такие же права.

Предоставить разрешения на экземпляра класса можно как при помощи команды New | Instance Security Rights в том же контекстном меню для контейнера Security Rights, так и при просто из свойств соответствующего объекта. Вкладку Security свойств объектов можно использовать не только для предоставления новых разрешений, но и для просмотра имеющихся, в том числе унаследованных.

Еще один способ предоставить разрешения — мастер SMS User Wizard. Он запускается при помощи команды All Tasks | Manage SMS Users из контекстного меню для контейнера Security Rights. Работа с ним вполне очевидна, и каких-либо дополнительных возможностей он не предоставляет.

Получить учебные материалы по этому курсу