none
SCCM - Rechte für Zugriff via Powershell

    Question

  • Moin,

    wir haben bei einem Kunden eine Rolle im SCCM eingerichtet, mit der die User einer Abteilung bestimmte Aufgaben erledigen können. Wenn sie dieses über die Konsole tun, funktioniert das auch.

    Nun haben wir für Routineaufgaben einen Powershell Script geschrieben, der einige Aufgaben zusammenfasst und erledigt. Das Script funktioniert als SCCM-Admin ausgeführt auch.

    Führen die eingeschränkten Benutzer das Script aus, funktioniert es nicht.

    Ist ein besonderes Recht für den Zugriff auf SCCM via Powershell erforderlich?


    Thankful for any Suggestion Holger

    Wednesday, July 11, 2018 1:11 PM

Answers

  • Es ist keine Permission, sondern es hängt am Scope. für get-cmuser benötigt der Anwender zugriff auf den Scope, bzw. die Collection "All Users" wir haben die Rolle aber auf eine andere Collection eingeschränkt....


    • Edited by Holger_dV Thursday, July 12, 2018 9:06 AM
    • Marked as answer by Holger_dV Thursday, July 12, 2018 9:11 AM
    Thursday, July 12, 2018 9:05 AM

All replies

  • Moin,

    wir haben bei einem Kunden eine Rolle im SCCM eingerichtet, mit der die User einer Abteilung bestimmte Aufgaben erledigen können. Wenn sie dieses über die Konsole tun, funktioniert das auch.

    Nun haben wir für Routineaufgaben einen Powershell Script geschrieben, der einige Aufgaben zusammenfasst und erledigt. Das Script funktioniert als SCCM-Admin ausgeführt auch.

    Führen die eingeschränkten Benutzer das Script aus, funktioniert es nicht.

    Ist ein besonderes Recht für den Zugriff auf SCCM via Powershell erforderlich?


    Thankful for any Suggestion Holger


    Poste doch mal zunächst das Script, damit man auch ins Detail gehen kann. Es können ja unterschiedlichste Routineaufgaben sein.
    Weiter frage ich mich ob die Executionpolicy richtig gesetzt ist. Was gibt

    Get-Executionpolicy

    aus, wenn es als einer der besagten User ausgeführt wird?

    Wenn da alles passt bau doch mal nen Pause am Ende vom Script ein und gib hier an welche Fehlermeldungen erscheinen.

    Wednesday, July 11, 2018 1:50 PM
  • Moin,

    wenn ich das noch richtig im Kopf habe, brauchst Du das Recht, den WMI-Provider anzusprechen, denn die PowerShell-Automatisierung läuft komplett über diesen. Es könnte also sein, dass nicht so sehr die SCCM-Berechtigungen in der Rolle eine Rolle spiele (no pun intended ;-) ) sondern schlicht die Zugriffsrechte auf den Site Server.

    Aber die wirklich Wissenden melden sich bestimmt auch bald.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Wednesday, July 11, 2018 1:57 PM
  • Nun haben wir für Routineaufgaben einen Powershell Script geschrieben, der einige Aufgaben zusammenfasst und erledigt.


    Ohne genaue Kenntnis, was das Skript tut bzw welche cmdlets o.ä. es verwendet werden, kann man wenig dazu sagen.
    Auf jeden Fall müssen die Benutzer in der lokalen Gruppe "SMS Admins" auf dem Site Server sein.

    Torsten Meringer | http://www.mssccmfaq.de

    Wednesday, July 11, 2018 2:35 PM
    Answerer
  • Wir sind ein stück weiter, haben uns ran getastet und identifiziert an welcher Stelle es scheitert.

    Der Befehl get-cmuser -Name "$meinUser" gibt keinen Wert zurück, in der folge läuft das Script auf den Fehler, logischerweise....

    Nun habe ich geschaut, der ausführende Benutzer hatte tatsächlich keine Rechte auf "User" also haben wir die Berechtigung vergeben.

    Es funktioniert aber trotzdem nicht :-(


    Thankful for any Suggestion Holger

    Wednesday, July 11, 2018 3:00 PM
  • Wie gesagt: ohne weitere Details kann man hier wenig helfen …

    Torsten Meringer | http://www.mssccmfaq.de

    Wednesday, July 11, 2018 3:27 PM
    Answerer
  • Hallo Torsten,

    welche Details benötigst Du?

    Wie oben geschrieben gibt der Befehl get-cmuser nichts zurück.

    Andere Befehle wie get-cmusercollection oder get-cmdevice funktionieren aber. Es ist also kein grundsätzliches, globales Problem.

    Gruß

    Holger


    Thankful for any Suggestion Holger

    Wednesday, July 11, 2018 5:45 PM
  • Das sind doch schon mal mehr Details … Was steckt denn in $meinUser? Welcher Error Code kommt? Oder kommt keiner und er liefert einfach nichts? Liefert denn get-cmuser (ohne jegliche Parameter etwas)?

    Torsten Meringer | http://www.mssccmfaq.de

    Thursday, July 12, 2018 6:51 AM
    Answerer
  • In der Variable $meinUser steckt der Benutzer den ich abfragen will, in der Schreibweise "Domain\Benutzername"

    Wie oben geschrieben get-cmuser gibt nichts zurück, keine Fehlermeldung, keinen Wert. Auch nicht wenn ich den Befehl ohne Parameter eingebe.

    Wie gesagt, das Script funktioniert, wenn es durch einen SCCM Admin ausgeführt wird, wenn es durch einen eingeschränkten User ausgeführt wird nicht. Es ist also ziemlich sicher ein Berechtigungsproblem.

    Die Frage ist nun, welches Recht benötige ich um mit get-cmuser einen Benutzer abzufragen?


    Thankful for any Suggestion Holger

    Thursday, July 12, 2018 8:17 AM
  • Es ist keine Permission, sondern es hängt am Scope. für get-cmuser benötigt der Anwender zugriff auf den Scope, bzw. die Collection "All Users" wir haben die Rolle aber auf eine andere Collection eingeschränkt....


    • Edited by Holger_dV Thursday, July 12, 2018 9:06 AM
    • Marked as answer by Holger_dV Thursday, July 12, 2018 9:11 AM
    Thursday, July 12, 2018 9:05 AM