Windows-Autorisierungszugriffsgruppe

Ich habe diesen Blogbeitrag ursprünglich geschrieben, als System Center 2012 R2 Configuration Manager's (SCCM) Rollenbasierte Verwaltung (RBA)-Funktion war relativ neu. Seitdem ist RBA weit verbreitet, daher dachte ich, dass es an der Zeit ist, diesen Beitrag noch einmal zu besuchen. Hier zeige ich, wie man a . hinzufügt SQL Server Reporting Services (SSRS) Ausführung oder Computerkonto an die Windows-Autorisierungszugriffsgruppe. Dadurch kann die RBA-Funktion von SCCM ordnungsgemäß mit SCCM-Sicherheitsbenutzern und -rollen funktionieren.

Damit SCCM die RBA-Funktion innerhalb von SSRS verwenden kann, muss die SSRS-Ausführung oder das Computerkonto bestimmen, wer den Bericht ausführt. Dann bestimmt es, welche SCCM-Rechte der Benutzer hat, bevor die Berichtsergebnisse angezeigt werden.

In einigen Fällen jedoch nach dem Upgrade auf SCCM Aktueller Zweig, erhalten Sie beim Ausführen eines SSRS-Berichts möglicherweise die folgende Fehlermeldung:

Der DefaultValue-Ausdruck für den Berichtsparameter 'UserTokenSIDs' enthält einen Fehler: Das angegebene Verzeichnisdienstattribut oder der angegebene Wert existiert nicht.

Die Lösung für dieses Problem besteht darin, das Ausführungs- oder Computerkonto zum Windows-Autorisierungszugriffsgruppe (Active Directory (AD)-Sicherheitsgruppe). Die Online-Dokumentation für Windows-Autorisierungszugriffsgruppe sagt:

Mitglieder dieser Gruppe haben Zugriff auf das berechnete Token-Attribut GroupsGlobalAndUniversal für Benutzerobjekte. Einige Anwendungen verfügen über Features, die das Attribut token-groups-global-and-universal (TGGAU) für Benutzerkontoobjekte oder Computerkontoobjekte in Active Directory-Domänendiensten lesen. Einige Win32-Funktionen erleichtern das Lesen des TGGAU-Attributs. Anwendungen, die dieses Attribut lesen oder eine API (als Funktion bezeichnet) aufrufen, die dieses Attribut liest, sind nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird und die Betriebsmasterfunktion innehat (auch als flexibler Einzelmasterbetrieb oder FSMO bezeichnet).


In SCCM-Begriffen bedeutet dies, dass das SSRS-Ausführungskonto das „…token GroupsGlobalAndUniversal-Attribut abfragen darf. Software-Update-Gruppen usw.), auf die der Benutzer, der das SSRS ausführt, zugreifen darf.“

Unten sind die Schritte und meine Screenshots aus dem ursprünglichen Blogbeitrag. Obwohl ich zu dieser Zeit SCCM 2012 R2 verwendet habe, sind die Schritte mit immer noch die gleichen Aktueller Zweig.

So fügen Sie der Windows-Autorisierungszugriffsgruppe ein Ausführungs- oder Computerkonto hinzu

Windows-Autorisierungszugriffsgruppe

Offen Aktive Verzeichnisse Benutzer und Computer (ADUC) und navigieren Sie zum Eingebaut Container. Doppelklicken Sie auf das Windows-Autorisierungszugriffsgruppe.

Eigenschaften der Windows-Autorisierungszugriffsgruppe

Klicken Sie auf die Mitglieder Tab.

Eigenschaften der Windows-Autorisierungszugriffsgruppe - Registerkarte "Mitglieder"

Klicken Hinzufügen

Windows-Autorisierungszugriffsgruppe - Konto hinzufügen

Fügen Sie das Ausführungs- oder Computerkonto hinzu und klicken Sie auf OK zweimal, um zurück zu ADUC.

Ab diesem Zeitpunkt kann das SCCM SSRS-Konto das Zugriffstoken von AD lesen und die Berichte funktionieren ordnungsgemäß.

Bei Fragen können Sie mich gerne kontaktieren @GarthMJ.

Hast du eine Idee für einen Blogbeitrag zum Thema a Systemcenter Configuration Manager Abfrage- oder Meldethema? Gib mir Bescheid. Deine Idee könnte im Mittelpunkt meines nächsten Blogbeitrags stehen!

Sehen Sie, wie Right Click Tools die Art und Weise verändert, wie Systeme verwaltet werden.

Steigern Sie sofort die Produktivität mit unserer limitierten, kostenlos nutzbaren Community Edition.

Starten Sie noch heute mit Right Click Tools:

Teile das:

Support

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Kontakt

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Durch das Absenden dieses Formulars erklären Sie sich damit einverstanden, dass Recast Software Ihre Daten wie in Recast Software beschrieben verarbeiten kann Datenschutz-Bestimmungen.

de_DEGerman