Windowsin valtuutusoikeusryhmä

Kirjoitin tämän blogitekstin alun perin System Center 2012 R2 Configuration Manager's (SCCM) Roolipohjainen hallinto (RBA) -ominaisuus oli suhteellisen uusi. Siitä lähtien RBA: ta on käytetty laajalti, joten ajattelin, että nyt on oikea aika käydä uudelleen tässä viestissä. Tässä esitän kuinka lisätä SQL Server Reporting Services (SSRS) suorittamista tai tietokonetiliä Windowsin valtuutusoikeusryhmä. Tämän avulla SCCM: n RBA -ominaisuus toimii oikein SCCM -suojauksen käyttäjien ja roolien kanssa.

Jotta SCCM voisi käyttää RBA -ominaisuutta SSRS: ssä, SSRS -suorituksen tai tietokonetilin on määritettävä, kuka raportin suorittaa. Sitten se määrittää, mitä SCCM -oikeuksia käyttäjällä on ennen raporttitulosten näyttämistä.

Joissakin tapauksissa kuitenkin SCCM -päivityksen jälkeen Nykyinen haara, kun suoritat SSRS -raportin, saatat saada seuraavan virheilmoituksen:

Raporttiparametrin UserTokenSIDs DefaultValue -lauseke sisältää virheen: Määritettyä hakemistopalvelun määritettä tai arvoa ei ole.

Ratkaisu tähän ongelmaan on lisätä suoritus- tai tietokonetili Windowsin valtuutusoikeusryhmä (Active Directory (AD) -suojausryhmä). Online -dokumentaatio Windowsin valtuutusoikeusryhmä sanoo:

Tämän ryhmän jäsenillä on pääsy User -objektien laskettuun tunnukseen GroupsGlobalAndUniversal. Joissakin sovelluksissa on ominaisuuksia, jotka lukevat TGGAU (token-groups-global-and-universal) -määritteen käyttäjätiliobjekteissa tai Active Directory Domain Services -tietokonetietokohteissa. Jotkut Win32 -toiminnot helpottavat TGGAU -määritteen lukemista. Sovellukset, jotka lukevat tämän määritteen tai kutsuvat tämän määritteen lukevan sovellusliittymän (jota kutsutaan funktioksi), eivät onnistu, jos kutsuvalla suojauskontekstilla ei ole pääsyä määritteeseen. Tämä ryhmä näkyy SID: nä, kunnes toimialueen ohjaimesta tehdään ensisijainen toimialueen ohjain ja sillä on toimintojen päärooli (tunnetaan myös nimellä joustava yksittäinen päätoiminto tai FSMO).


SCCM -termeissä tämä tarkoittaa, että SSRS -suoritustilin sallitaan kysyä määritteestä "… token GroupsGlobalAndUniversal -attribuutti, tätä tunnusta käytetään määrittämään, kuka suorittaa raportit, ja siksi RBA: n avulla se voi tarkistaa, mitä SCCM -objekteja (kokoelmat, Ohjelmistopäivitysryhmät jne.), Jonka SSRS: n suorittava käyttäjä saa käyttää. ”

Alla on vaiheet ja kuvakaappaukseni alkuperäisestä blogiviestistä. Vaikka käytin tuolloin SCCM 2012 R2: ta, vaiheet ovat edelleen samat Nykyinen haara.

Suoritus- tai tietokonetilin lisääminen Windowsin valtuutusoikeusryhmään

Windowsin valtuutusoikeusryhmä

Avata Active Directoryn käyttäjät ja tietokoneet (ADUC) ja selaa kohtaan Sisäänrakennettu kontti. Kaksoisnapsauta Windowsin valtuutusoikeusryhmä.

Windowsin valtuutuskäyttöryhmän ominaisuudet

Klikkaa Jäsenet välilehti.

Windowsin valtuutuskäyttöryhmän ominaisuudet - Jäsenet -välilehti

Klikkaus Lisätä

Windowsin valtuutusoikeusryhmä - Lisää tili

Lisää suoritus- tai tietokonetili ja napsauta OK kahdesti palataksesi takaisin ADUC.

Tästä lähtien SCCM SSRS -tili pystyy lukemaan käyttöoikeustunnuksen AD: ltä ja raportit toimivat oikein.

Jos sinulla on kysyttävää, ota rohkeasti yhteyttä minuun @GarthMJ.

Onko sinulla idea blogikirjoitukseen aiheesta Järjestelmäkeskus Configuration Manager kyselyn tai raportoinnin aihe? Kerro minulle. Ideasi saattaa olla seuraavan blogiviestini painopiste!

Katso, miten Right Click Tools muuttaa järjestelmien hallintatapaa.

Paranna tuottavuutta välittömästi rajoitetulla, ilmaisella Community Editionilla.

Aloita Right Click Tools: n käyttö tänään:

Jaa tämä:

Tuki

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.

Ota yhteyttä

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
fiFinnish