Metro-SCCM-100

SCCM 2012 R2 – Sicherheitsbereiche (Security Scopes)

Was sind Sicherheitsbereiche (Security Scopes)?

  • Unter Sicherheitsbereichen versteht man eine Gruppierung von SCCM Objekten. Diese Gruppierten Elemente werden dann zum Zwecke der gemeinsamen Zuweisung, aller darin enthaltenen Objekte, zu administrativen Benutzern im Configuration Manager verwendet.
  • Sicherheitsbereiche enthalten keine Konfiguration von Berechtigungen. Die SCCM Administratoren erhalten ihre Berechtigungen über die ihnen zugewiesenen Berechtigungsrollen.
  • Sicherheitsbereiche können nicht ineinander verschachtelt werden.

Die Kombination aus Sicherheitsbereich, Sicherheitsrolle und ggf. der Sammlung definiert, welcher Administrator auf welches Objekt welche Berechtigung besitzt.

Build-In Sicherheitsbereiche (Security Scopes)

In allen SCCM 2012 Versionen existieren 2 verwendbare Sicherheitsrollen, ohne dass sie explizit angelegt werden müssten. Diese werden schon bei der Konfiguration des Configuration Managers angelegt.

  • Alle – Darunter sind sämtliche Objekte zusammen gefasst, die im SCCM mit Berechtigungen versehen werden können. Administrative Benutzer die diesem Bereich zugeordnet sind, haben Zugriff auf alle Objekte – Die Berechtigungen darauf hängt dann aber noch an der dem Benutzer zugewiesenen Sicherheitsrolle.
  • Standard – Neue Objekte werden automatisch diesem Sicherheitsbereich zugeordnet. Die Zuordnung zu diesem Sicherheitsbereich kann aufgehoben werden, nachdem ein Objekt einem anderen (selbst erzeugten) Sicherheitsbereich zugeordnet wurde.

Anwendungsbeispiel

Vorstellbar ist die Verwendung von 4 angepassten Sicherheitsbereichen:

  • Desktop Applikationen – Software die ausschließlich auf Desktop Geräten installiert werden sollen
  • Server Applikationen – Software die ausschließlich auf Servern installiert werden sollen
  • Desktop Updates – Updates die auf Desktop Geräten angewendet werden sollen
  • Server Updates – Updates die auf Server angewendet werden sollen

In Kombination mit, je nach Szenario 2 oder 4, erstellten Sicherheitsrollen, lässt sich so die Verwaltung der Applikationsgruppen auf einzelne Administratoren „mappen“. So kann sehr genau gesteuert werden, dass Administratoren nur „ihre Pakete und Anwendungen“ an die Geräte ihres Zuständigkeitsbereiches bereitstellen.
Die Sicherheitsrollen können auch Active Directory Gruppen zugewiesen werden. So lässt sich die Administration ins AD auslagern und weiter zusammenfassen.

Hinweis

Computerobjekte und Benutzerobjekte werden den Sicherheitsbereichen nicht direkt zugewiesen. Diese Arten von Objekten werden in den Sammlungen (Collections) zusammengefasst und darüber indirekt den Sicherheitsbereichen zugewiesen.

Zusammenhänge am Beispiel

Im folgenden Beispiel soll einem SCCM Administrator das Recht eingeräumt werden auf allen SQL Servern Microsoft Updates einzuspielen. Darin eingeschlossen sollen „SQL Server 2012“ und „Windows Server 2012“ Updates sein. Dieser Administrator soll mit möglichst minimalen Berechtigungen ausgestattet sein.

SCCM2012R2-Sicherheitsrollen

Hier die Stelle in der Verwaltung: Sicherheit | Administratoren:

In der Administratorenverwaltung werden die einzelnen Berechtigungskomponenten zusammengeführt:

  1. Hier werden dem einzelnen Administrator die Sicherheitsrollen zugewiesen; in denen seine generellen Berechtigungen auf den einzelnen Objekttypen festgelegt sind.
  2. Die Sicherheitsbereiche werden festgelegt; daraus geht hervor, welche Objekte verwaltet werden dürfen
  3. Die Festlegung der Sammlungen auf die der Administrator Zugriff und administrative Rechte bekommen soll

Sicherheitsbereiche (in SCCM 2012 R2) sind konfigurierbar für:

  • Abfragen
  • Anwendungen
  • Begrenzungsgruppen
  • Benutzerdaten und Profile
  • Benutzerdefinierten Clienteinstellungen
  • Bereitstellungspakete (Updateverwaltung)
  • Betriebssystemabbilder
  • Betriebssysteminstallationspakete
  • Globale Bedingungen
  • Konfigurationselemente
  • Konfigurationsbasislinien
  • Remoteverbindungsprofile
  • Softwareupdategruppen
  • Standorte
  • Startabbilder
  • Verteilungspunkte
  • Verteilungspunktgruppen
  • Pakete
  • Tasksequenzen
  • Treiberpakete
  • Verteilungspunkte
  • Verteilungspunktgruppen
  • Virtuelle App-V Umgebungen
  • Virtuelle Festplatten
  • VPN-Profile
  • Windows-Firewall-Richtlinien
  • WLAN-Profile
  • Zertifikatprofile

Objekte deren Berechtigungen gleichzeitig mit dem Sicherheitsbereich „Standorte“ vergeben werden:

  • Benutzer
  • Clientstandardeinstellungen
  • Ermittlungsmethoden
  • Exchange Server-Connectoren
  • Geräte
  • Standortadressen
  • Standortsystemrollen

Berechtigungen die ausschließlich von Sicherheitsrollen beeinflusst werden:

  • Active Directory-Gesamtstrukturen
  • Administratoren
  • Grenzen
  • Sicherheitsbereiche
  • Sicherheitsrollen

 

VN:F [1.9.22_1171]
Beitrag bitte hier bewerten:
Rating: 0.0/5 (0 votes cast)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.