Grupo de acceso de autorización de Windows

Originalmente escribí esta publicación de blog cuando System Center 2012 R2 Configuration Managerde (SCCM) Administración basada en roles (RBA) era relativamente nueva. Desde entonces, RBA ahora se usa ampliamente, así que pensé que era el momento adecuado para volver a visitar esta publicación. Aquí demostraré cómo agregar un Servicios de informes de SQL Server (SSRS) ejecución o cuenta de computadora a la Grupo de acceso de autorización de Windows. Hacer esto permitirá que la función RBA de SCCM funcione correctamente con los usuarios y roles de seguridad de SCCM.

Para que SCCM use la función RBA dentro de SSRS, la ejecución de SSRS o la cuenta de computadora deben determinar quién está ejecutando el informe. Luego determina qué derechos SCCM tiene el usuario antes de mostrar los resultados del informe.

En algunos casos, sin embargo, después de actualizar a SCCM Rama actual, cuando ejecuta un informe SSRS, puede recibir el siguiente mensaje de error:

La expresión DefaultValue para el parámetro de informe 'UserTokenSIDs' contiene un error: el atributo o valor del servicio de directorio especificado no existe.

La solución a este problema es agregar la cuenta de ejecución o de computadora al Grupo de acceso de autorización de Windows (Grupo de seguridad de Active Directory (AD)). La documentación en línea para Grupo de acceso de autorización de Windows dice:

Los miembros de este grupo tienen acceso al atributo de token calculado GroupsGlobalAndUniversal en los objetos de usuario. Algunas aplicaciones tienen características que leen el atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en Servicios de dominio de Active Directory. Algunas funciones de Win32 facilitan la lectura del atributo TGGAU. Las aplicaciones que leen este atributo o que llaman a una API (denominada función) que lee este atributo no tienen éxito si el contexto de seguridad de la llamada no tiene acceso al atributo. Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y tiene la función de maestro de operaciones (también conocido como operaciones de maestro único flexible o FSMO).


En términos de SCCM, esto significa que la cuenta de ejecución de SSRS podrá consultar el atributo "... token GroupsGlobalAndUniversal, este token se utiliza para determinar quién está ejecutando los informes y, por lo tanto, utilizando RBA puede verificar qué objetos SCCM (Colecciones, Grupos de actualización de software, etc.) el usuario que ejecuta SSRS puede acceder ".

A continuación se muestran los pasos y mis capturas de pantalla de la publicación original del blog. Aunque estaba usando SCCM 2012 R2 en ese momento, los pasos siguen siendo los mismos con Rama actual.

Cómo agregar una cuenta de ejecución o de computadora al grupo de acceso de autorización de Windows

Grupo de acceso de autorización de Windows

Abierto Directorio activo de usuarios y computadoras (ADUC) y busque el Incorporado envase. Haga doble clic en el Grupo de acceso de autorización de Windows.

Propiedades del grupo de acceso de autorización de Windows

Haga clic en el Miembros pestaña.

Propiedades del grupo de acceso de autorización de Windows: ficha Miembros

Hacer clic Agregar...

Grupo de acceso de autorización de Windows: Agregar cuenta

Agregue la cuenta de ejecución o computadora y haga clic en OK dos veces para volver a la ADUC.

A partir de este punto, la cuenta SCCM SSRS podrá leer el token de acceso de AD y los informes funcionarán correctamente.

Si tiene alguna pregunta, no dude en ponerse en contacto conmigo. @GarthMJ.

¿Tiene una idea para una publicación de blog sobre un Centro del sistema Configuration Manager tema de consulta o informe? Hágamelo saber. ¡Tu idea podría convertirse en el foco de mi próxima publicación de blog!

Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.

Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.

Comience con Right Click Tools hoy:

Compartir este:

Ayuda

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.
es_MXSpanish