none
Права для helpdesk RRS feed

  • Вопрос

  • Сразу скажу что все статьи технет по теме я прочитал, попробовал-на практике выходит не по-написанному.
    Внедрение SCCM дошло до момента, когда нужно передавать  хелпдескам права.          
    Статьи, типа http://technet.microsoft.com/ru-ru/library/bb632332.aspx
    Что нужно
    Хелпдеск должен
    1) Видеть три коллекции-одну WINDOWS XP с урезанными правами, чтоб не мог удалять, модифицировать ресурсы
    и две-software distribution и OS deploy -c полными правами.
    2)Другие коллекции или хотя бы их содержимое-видеть не должен, а уж творить что либо с их содержимым тем более-там сервера и прочее.
    3)должен мочь делать computer association (естественно эти права я дал юзеру)
    4) должен делать все касаемо установки OS в том числе создание, редактирование task sequence-добовлять дровишки в boot image, clear boot pxe
    Извините, приеду домой в 20-00 допишу вопрос
    capture media,

    22 января 2010 г. 13:30

Ответы

  • Почему бы не создать зарарее одну или несколько коллекций в Software Distribution, как раз для одноразовых действий? Тогда не нужны будут права на создание коллекций и не будет лишней заботы с правами на субколлекции. Хелпдеск будет помещать в/удалять из субколлекций компьютеры, назначать инсталляции, удалять компьютеры по завершении инсталляции и так далее.


    По поводу недостатка прав на импорт машин посмотрите эту тему
    http://social.technet.microsoft.com/Forums/en/configmgradminconsole/thread/80693f3a-50a9-4400-a727-637c569024f9


    Чтобы понять рекурсию, нужно сначала понять рекурсию.
    • Предложено в качестве ответа Nikita PanovModerator 26 января 2010 г. 10:37
    • Помечено в качестве ответа Nikita PanovModerator 28 января 2010 г. 14:12
    25 января 2010 г. 6:06

Все ответы

  •  5) чуть-чуть позже 20-00:)
    также должен мочь все касаемо software distribution-create, modify,distribute, delete
    ________________________________________________
    Очень хочется чтоб ничего более не мог. Консоль ему сделана кастомная-видны коллекции, software distribution и ОСД.
    ____________________________________________
    Очень не хочется, чтоб видел другие коллекции -особенно коллекцию серверов :)
    права такие
     

    Collection-all instance-Create, Advertise

     

    Collection -Windows Xp(со всеми пользователями организации)- Read, Advertise, Read resource, View collected files, view management controllers

     

    Collection-Software Distribution-Read,Read resource, Modify, Advertise, Modify resource, Delete resource, View collected files, view management controllers, manage management controllers(management controllers -что это такое)- хотелось бы чтоб хелпдеск помещал сюда компы и распространял софт

     

    Collection-OS Deploy -Read, Advertise -сюда планируется помещать компы на которые нужно произвести Computer Associations

     

    Collection,All Windows Server 2003 Systems,(No Permissions)-и так же на все какие не хочу, чтобы видел хелпдеск

     

    Collection,Root Collection,(No Permissions),-что это за коллекция, какие нужны права?

     

    Это что касаемо коллекции

     

    Другое

    Site- Read, Manage SQL commands(нужно ли для создание запросов и коллекций на их основе?),

    Import computer entry, Manage OSD and ISV Proxy Certificates (вроде для PXE нужно?)-в консоли для хелпдеска этот класс скрыт

     

    Report,(All Instances),Read,

     

    Query -Read, Modify, Create-в консоли для хелпдеска этот класс скрыт

     

    Package,(All Instances)- Read, Modify, Create, Distribute

     

     

    Advertisemen(All Instances)-Read, Modify, Create,Delete

     

    Configuration items,(All Instances)-Read, Distribute -нафик надо не знаю, но на текнете написано, что надо.

     

    OS install package,(All Instances)-Read,Modify, Create, Distribute

     

    Deployment,(All Instances)-Read, Modify, Create

     

    Computer association,(All Instances)- дал пока вообще все права, причину напишу выше

     

    OS image,(All Instances)-Read,Modify, Create, Distribute

     

    Deployment template,(All Instances)-Read, Modify, Create

     

    Boot image package,(All Instances)-Read, Modify, Create, Distribute

     

    Task sequence package,(All Instances)-Read, Modify, Create, Create task sequence media

    Deployment package,(All Instances)-Read,Modify, Create, Distribute

    Device driver,(All Instances)-Read, Modify, Create,Delete

     

    Driver package,(All Instances),Read, Create, Modify, Delete


    """""""""""""""""""""""""""""""""""""""""""""""""""""

    Права даны в соответствии с текнет, и даже больше.
    Проблемы
    1) мне надо, чтобы можно было устанавливать программы на отдельно взятый компьютер (такая возможность очень нужна),
    и конечно, на ряд таковых. Если в контекстном меню объекта "компьютер" выбрать distribute->software,то придется создавать
    коллекцию-и приходится давать права read, create,advertise -на collection(all instance). Выясняется что хелпдеск тогда несмотря на то что коллекция серверов-no permissions, но по принципу накопления прав, так как инстанс входит в класс -КОЛЛЕКЦИЯ,
    хелпдеск видит все сервера и даже может кое что с помощью right click tool пробовать над ними разное:(
    Так очень некрасиво(но удобно)-появилась идея подкладывать компы в коллекцию Software Distribution, на которую у хелпдеска много прав, такая возможность есть(при приведенных правах) и там уже ставить программы. Минусы налицо-так как у хелпдеска нет права read на коллекцию(созданную внутри software distribution )-он не может убрать за собой мусор.
    Дашь read-начинает видеть что не надо:(

    Второе -вообще непонятно, если с пакетами куда ни шло, то с Computer Accotiation, при попытке импортировать информацию
    о компьютере творится странное
    Пытаюсь добавить компьтер в коллекцию OS deploy и вижу такую ошибку

    Error: Following computers have not been imported:

    Name: in122112211221

    MAC Address: 11:21:21:21:21:21

    SMBIOS GUID:

    Source Computer:

    Choose Target Collection: All Unknown Computers

    Errors

    You do not have security rights to perform this operation.

    ConfigMgr Error Object:

    instance of SMS_ExtendedStatus

    {

    Description = "User \"LGOK\\helpman\" has no read resource rights in any collection for this ResourceID";

    ErrorCode = 1112017920;

    File = "e:\\nts_sms_fre\\sms\\siteserver\\sdk_provider\\smsprov\\sspcollection.cpp";

    Line = 833;

    ObjectInfo = "1";

    Operation = "ExecMethod";

    ParameterInfo = "SMS_Collection.CollectionID=\"SMS000UC\"";

    ProviderName = "WinMgmt";

    StatusCode = 2147749889;

    };

     


    Но на instans класса коллекции SMS000UC право read resource есть -на весь класс нет.
    Перестаю утомлять подробностями -вот вопросы.
    Нужна возможность для хелпдеск делать computer assotiate,(из сообщения об ошибке можно сделать вывод- что нужно право read resource на весь класс collection-а оно дается вместе с правом read)
    можно ли дать такие права , не давая одновременно возможности читать, читать ресурсы, или хотя бы делать пакости(софт ставить, делать advertisiment-на сервера) в некоторых других коллекциях-All System, коллекциях серверов .

    Самый главный вопрос-дайте советы из практики-как сделано у Вас для лиц с ограниченными полномочиями?
    У нас эти лица весьма безответственны:(
    Есть ли у кого документ(или образец)-вот так-то надо. Возможно все надо устроить как-то по другому процесс распространения ПО -посоветуйте
    Очень рад буду любому отзыву. Спасибо заранее. Моя плановая работа стоит -а я не могу передать, блин, полномочия.
    MS желаю в следующей версии -меньше делить права на атомы, а дать возможность делать их на основе ролей.
    Ведь с отчетами так и сделано-занес в группу и дал право read

     

    22 января 2010 г. 23:18
  • Почему бы не создать зарарее одну или несколько коллекций в Software Distribution, как раз для одноразовых действий? Тогда не нужны будут права на создание коллекций и не будет лишней заботы с правами на субколлекции. Хелпдеск будет помещать в/удалять из субколлекций компьютеры, назначать инсталляции, удалять компьютеры по завершении инсталляции и так далее.


    По поводу недостатка прав на импорт машин посмотрите эту тему
    http://social.technet.microsoft.com/Forums/en/configmgradminconsole/thread/80693f3a-50a9-4400-a727-637c569024f9


    Чтобы понять рекурсию, нужно сначала понять рекурсию.
    • Предложено в качестве ответа Nikita PanovModerator 26 января 2010 г. 10:37
    • Помечено в качестве ответа Nikita PanovModerator 28 января 2010 г. 14:12
    25 января 2010 г. 6:06