none
SCCM2007R3 - Reporting Verrechtung RRS feed

  • Frage

  • Hallo!

    ich würde gerne einem user das recht geben einen speziellen report aufzurufen, nicht aber die anderen reports. ich nutze die standard reporting engine. über die security rights habe ich ihm bereits folgende rechte zugewiesen:

    Report (All Instances) (No Permissions)
    Report (MeinReportdenichfreigebe) (Read)

    Das funktioniert auch, sprich der User kann den report über einen direktlink aufrufen, nur leider wenn er den http pfad auf SMS_ReportingSItename abändert kommt er auf die standard Reporting Site und kann jeglichen report ausführen...

    Mache ich was falsch?

    IISreset habe ich nach jeder änderung gemacht & IE restart am Testclient :(

    grüße

     

    Freitag, 15. Juli 2011 06:58

Antworten

  • ich habs.

    wenn der user nicht in der gruppe ist kam ja HTTP 500er

    hier ist die lösung:
     

     Run dcomcnfg.exe

    2.       expand Component Services

    3.       expand My Computer

    4.       expand DCOM Config

    5.       right-click on the SMS_REPORTING_POINT node

    6.       click on Properties

    7.       Go to the Security tab and in the top section

    8.       "Launch and Activation Permissions" click on Customize and then click on the Edit button 

     

     

    c&p von hier http://social.technet.microsoft.com/Forums/en-US/configmgrgeneral/thread/d5702b61-8dbf-4ab0-aaa4-69208676cda9


    Grüße 

    PS: wichtig ist das der USER nicht eine gruppe verrechtet werden darf!

     

    • Als Antwort markiert gnatkopf Dienstag, 19. Juli 2011 12:31
    • Bearbeitet gnatkopf Dienstag, 19. Juli 2011 12:44 gruppe / user
    Dienstag, 19. Juli 2011 12:31

Alle Antworten

  • zusatz: ich spreche nur von der Weboberfläche nicht von der console
    Freitag, 15. Juli 2011 07:19
  • Die Idee ist schon richtig und sollte auch funktionieren. Ich kann mir nur vorstellen, dass über Gruppenmitgliedschaften des Benutzers noch weitere Rechte hinzukommen.
    Torsten Meringer | http://www.mssccmfaq.de
    Freitag, 15. Juli 2011 07:40
    Beantworter
  • wahnsinn.. ich hatte mit dem user schonmal was getestet, er war noch in einer lokalen gruppe drin.

    habe ihn jetzt raus und jetzt hat er gar keinen zugriff mehr. beim direktaufruf des reports bekomme ich einen http500er. -.- das gibts doch nicht!

    Freitag, 15. Juli 2011 09:20
  • Der User muss auf jeden Fall in der lokalen Gruppe "SMS Reporting Users" sein, sonst geht gar nichts. Und dann zusätzlich eben die ConfigMgr Security Rights haben (wie oben erwähnt).
    Torsten Meringer | http://www.mssccmfaq.de
    Freitag, 15. Juli 2011 10:14
    Beantworter
  • hi torsten,

     

    habs genau so umgesetzt, leider hat der user nach wie vor zugriff auf alle anderen reports. 

    funktioniert es denn generell überhaupt user einzuschränken nur auf bestimmte reports zuzugreifen?

    Grüße
    ben

     

    Dienstag, 19. Juli 2011 09:37
  • Ja sicher funktioniert das. Der Benutzer (oder eine Gruppe) muss Mitglieder der lokalen "SMS Reporting Users" sein und Instance-Permissions auf einen oder mehrere Reports haben. Dann werden auch nur die Reports angezeigt, auf die der Benutzer Instance-Rechte hat. Alle anderen werden nicht angezeigt. Andernfalls kommen die Berechtigungen evtl doch noch über andere Gruppenmitgliedschaften oder Security Rights.
    Torsten Meringer | http://www.mssccmfaq.de
    • Als Antwort markiert gnatkopf Dienstag, 19. Juli 2011 13:03
    • Tag als Antwort aufgehoben gnatkopf Dienstag, 19. Juli 2011 13:03
    Dienstag, 19. Juli 2011 10:25
    Beantworter
  • falsch.

    die lokale SMS Reporting Users gruppe hat Read rechte auf die Object Class Report und alle Instances, daher kann ich verrechten soviel ich will über die gruppe bekommt der user die rechte immer wieder.

    nehme ich den user aus der gruppe raus geht gar nix mehr... ich werd verrückt....

     

    Dienstag, 19. Juli 2011 12:17
  • ich habs.

    wenn der user nicht in der gruppe ist kam ja HTTP 500er

    hier ist die lösung:
     

     Run dcomcnfg.exe

    2.       expand Component Services

    3.       expand My Computer

    4.       expand DCOM Config

    5.       right-click on the SMS_REPORTING_POINT node

    6.       click on Properties

    7.       Go to the Security tab and in the top section

    8.       "Launch and Activation Permissions" click on Customize and then click on the Edit button 

     

     

    c&p von hier http://social.technet.microsoft.com/Forums/en-US/configmgrgeneral/thread/d5702b61-8dbf-4ab0-aaa4-69208676cda9


    Grüße 

    PS: wichtig ist das der USER nicht eine gruppe verrechtet werden darf!

     

    • Als Antwort markiert gnatkopf Dienstag, 19. Juli 2011 12:31
    • Bearbeitet gnatkopf Dienstag, 19. Juli 2011 12:44 gruppe / user
    Dienstag, 19. Juli 2011 12:31
  • falsch.

    die lokale SMS Reporting Users gruppe hat Read rechte auf die Object Class Report und alle Instances,

    Nicht falsch! Per default hat die Gruppe keine ConfigMgr-Security-Permissions; das wurde dann manuell gemacht: http://technet.microsoft.com/de-de/library/bb693974.aspx. Dort steht auch der DCOM-Hinweis. Ebenso ist es egal, ob ein User oder eine Gruppe verwendet wird.


    Torsten Meringer | http://www.mssccmfaq.de
    Dienstag, 19. Juli 2011 13:00
    Beantworter
  • okay das mag sein das dies im rahmen des consultings durchgeführt wurde. der unterschied zwischen user und gruppe ist aber dennoch. aber egal es funktioniert.

     

    Dienstag, 19. Juli 2011 13:04