SCCM 2012 R2 – Sicherheitsbereiche (Security Scopes)

Was sind Sicherheitsbereiche (Security Scopes)?

  • Unter Sicherheitsbereichen versteht man eine Gruppierung von SCCM Objekten. Diese Gruppierten Elemente werden dann zum Zwecke der gemeinsamen Zuweisung, aller darin enthaltenen Objekte, zu administrativen Benutzern im Configuration Manager verwendet.
  • Sicherheitsbereiche enthalten keine Konfiguration von Berechtigungen. Die SCCM Administratoren erhalten ihre Berechtigungen über die ihnen zugewiesenen Berechtigungsrollen.
  • Sicherheitsbereiche können nicht ineinander verschachtelt werden.

Die Kombination aus Sicherheitsbereich, Sicherheitsrolle und ggf. der Sammlung definiert, welcher Administrator auf welches Objekt welche Berechtigung besitzt.

Build-In Sicherheitsbereiche (Security Scopes)

In allen SCCM 2012 Versionen existieren 2 verwendbare Sicherheitsrollen, ohne dass sie explizit angelegt werden müssten. Diese werden schon bei der Konfiguration des Configuration Managers angelegt.

  • Alle – Darunter sind sämtliche Objekte zusammen gefasst, die im SCCM mit Berechtigungen versehen werden können. Administrative Benutzer die diesem Bereich zugeordnet sind, haben Zugriff auf alle Objekte – Die Berechtigungen darauf hängt dann aber noch an der dem Benutzer zugewiesenen Sicherheitsrolle.
  • Standard – Neue Objekte werden automatisch diesem Sicherheitsbereich zugeordnet. Die Zuordnung zu diesem Sicherheitsbereich kann aufgehoben werden, nachdem ein Objekt einem anderen (selbst erzeugten) Sicherheitsbereich zugeordnet wurde.

Anwendungsbeispiel

Vorstellbar ist die Verwendung von 4 angepassten Sicherheitsbereichen:

  • Desktop Applikationen – Software die ausschließlich auf Desktop Geräten installiert werden sollen
  • Server Applikationen – Software die ausschließlich auf Servern installiert werden sollen
  • Desktop Updates – Updates die auf Desktop Geräten angewendet werden sollen
  • Server Updates – Updates die auf Server angewendet werden sollen

In Kombination mit, je nach Szenario 2 oder 4, erstellten Sicherheitsrollen, lässt sich so die Verwaltung der Applikationsgruppen auf einzelne Administratoren „mappen“. So kann sehr genau gesteuert werden, dass Administratoren nur „ihre Pakete und Anwendungen“ an die Geräte ihres Zuständigkeitsbereiches bereitstellen.
Die Sicherheitsrollen können auch Active Directory Gruppen zugewiesen werden. So lässt sich die Administration ins AD auslagern und weiter zusammenfassen.

Hinweis

Computerobjekte und Benutzerobjekte werden den Sicherheitsbereichen nicht direkt zugewiesen. Diese Arten von Objekten werden in den Sammlungen (Collections) zusammengefasst und darüber indirekt den Sicherheitsbereichen zugewiesen.

Zusammenhänge am Beispiel

Werbung

Im folgenden Beispiel soll einem SCCM Administrator das Recht eingeräumt werden auf allen SQL Servern Microsoft Updates einzuspielen. Darin eingeschlossen sollen „SQL Server 2012“ und „Windows Server 2012“ Updates sein. Dieser Administrator soll mit möglichst minimalen Berechtigungen ausgestattet sein.

SCCM2012R2-Sicherheitsrollen

Hier die Stelle in der Verwaltung: Sicherheit | Administratoren:

In der Administratorenverwaltung werden die einzelnen Berechtigungskomponenten zusammengeführt:091014 2023 Sicherheits1

  1. Hier werden dem einzelnen Administrator die Sicherheitsrollen zugewiesen; in denen seine generellen Berechtigungen auf den einzelnen Objekttypen festgelegt sind.
  2. Die Sicherheitsbereiche werden festgelegt; daraus geht hervor, welche Objekte verwaltet werden dürfen
  3. Die Festlegung der Sammlungen auf die der Administrator Zugriff und administrative Rechte bekommen soll

Sicherheitsbereiche (in SCCM 2012 R2) sind konfigurierbar für:

  • Abfragen
  • Anwendungen
  • Begrenzungsgruppen
  • Benutzerdaten und Profile
  • Benutzerdefinierten Clienteinstellungen
  • Bereitstellungspakete (Updateverwaltung)
  • Betriebssystemabbilder
  • Betriebssysteminstallationspakete
  • Globale Bedingungen
  • Konfigurationselemente
  • Konfigurationsbasislinien
  • Remoteverbindungsprofile
  • Softwareupdategruppen
  • Standorte
  • Startabbilder
  • Verteilungspunkte
  • Verteilungspunktgruppen
  • Pakete
  • Tasksequenzen
  • Treiberpakete
  • Verteilungspunkte
  • Verteilungspunktgruppen
  • Virtuelle App-V Umgebungen
  • Virtuelle Festplatten
  • VPN-Profile
  • Windows-Firewall-Richtlinien
  • WLAN-Profile
  • Zertifikatprofile

Objekte deren Berechtigungen gleichzeitig mit dem Sicherheitsbereich „Standorte“ vergeben werden:

  • Benutzer
  • Clientstandardeinstellungen
  • Ermittlungsmethoden
  • Exchange Server-Connectoren
  • Geräte
  • Standortadressen
  • Standortsystemrollen

Berechtigungen die ausschließlich von Sicherheitsrollen beeinflusst werden:

  • Active Directory-Gesamtstrukturen
  • Administratoren
  • Grenzen
  • Sicherheitsbereiche
  • Sicherheitsrollen

 

Veröffentlicht:

Autor:

thanrath

Kategorien:

, , ,

Tags:

,

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.