Groupe d'accès aux autorisations Windows

J'ai initialement écrit ce billet de blog quand System Center 2012 R2 Configuration Manager's (SCCM) Administration basée sur les rôles (RBA) était relativement nouvelle. Depuis lors, RBA est maintenant largement utilisé, j'ai donc pensé que le moment était venu de revisiter ce post. Ici, je vais montrer comment ajouter un Services de création de rapports SQL Server (SSRS) ou un compte d'ordinateur au Groupe d'accès aux autorisations Windows. Cela permettra à la fonction RBA de SCCM de fonctionner correctement avec les utilisateurs et les rôles de sécurité SCCM.

Pour que SCCM utilise la fonction RBA dans SSRS, l'exécution SSRS ou le compte d'ordinateur doit déterminer qui exécute le rapport. Ensuite, il détermine les droits SCCM de l'utilisateur avant d'afficher les résultats du rapport.

Dans certains cas, cependant, après la mise à niveau vers SCCM Branche actuelle, lorsque vous exécutez un rapport SSRS, le message d'erreur suivant peut s'afficher :

L'expression DefaultValue pour le paramètre de rapport « UserTokenSIDs » contient une erreur : l'attribut ou la valeur du service d'annuaire spécifié n'existe pas.

La solution à ce problème est d'ajouter le compte d'exécution ou d'ordinateur au Groupe d'accès aux autorisations Windows (Groupe de sécurité Active Directory (AD)). La documentation en ligne de Groupe d'accès aux autorisations Windows dit:

Les membres de ce groupe ont accès à l'attribut de jeton calculé GroupsGlobalAndUniversal sur les objets User. Certaines applications ont des fonctionnalités qui lisent l'attribut token-groups-global-and-universal (TGGAU) sur les objets de compte d'utilisateur ou sur les objets de compte d'ordinateur dans les services de domaine Active Directory. Certaines fonctions Win32 facilitent la lecture de l'attribut TGGAU. Les applications qui lisent cet attribut ou qui appellent une API (appelée fonction) qui lit cet attribut échouent si le contexte de sécurité appelant n'a pas accès à l'attribut. Ce groupe apparaît comme un SID jusqu'à ce que le contrôleur de domaine devienne le contrôleur de domaine principal et qu'il détienne le rôle de maître d'opérations (également connu sous le nom d'opérations à maître unique flexible ou FSMO).


En termes SCCM, cela signifie que le compte d'exécution SSRS sera autorisé à interroger l'attribut "…token GroupsGlobalAndUniversal, ce jeton est utilisé pour déterminer qui exécute les rapports et, par conséquent, à l'aide de RBA, il peut vérifier quels objets SCCM (Collections, Groupes de mise à jour de logiciels, etc.), l'utilisateur exécutant le SSRS est autorisé à accéder.

Vous trouverez ci-dessous les étapes et mes captures d'écran de l'article de blog original. Même si j'utilisais SCCM 2012 R2 à l'époque, les étapes sont toujours les mêmes avec Branche actuelle.

Comment ajouter un compte d'exécution ou d'ordinateur au groupe d'accès aux autorisations Windows

Groupe d'accès aux autorisations Windows

Ouvert Utilisateurs et ordinateurs Active Directory (ADUC) et accédez au Intégré récipient. Double-cliquez sur le Groupe d'accès aux autorisations Windows.

Propriétés du groupe d'accès d'autorisation Windows

Clique sur le Membres languette.

Propriétés du groupe d'accès aux autorisations Windows - Onglet Membres

Cliquez sur Ajouter

Groupe d'accès aux autorisations Windows - Ajouter un compte

Ajoutez le compte d'exécution ou d'ordinateur et cliquez sur d'accord deux fois pour revenir au ADUC.

À partir de ce moment, le compte SSRS SCCM pourra lire le jeton d'accès d'AD et les rapports fonctionneront correctement.

Si vous avez des questions, n'hésitez pas à me contacter @GarthMJ.

Avez-vous une idée pour un article de blog sur un Centre système Configuration Manager sujet de requête ou de rapport ? Fais-moi savoir. Votre idée pourrait devenir le sujet de mon prochain article de blog !

Découvrez comment Right Click Tools change la façon dont les systèmes sont gérés.

Augmentez immédiatement votre productivité grâce à notre version Community Edition limitée et gratuite.

Commencez dès aujourd'hui avec Right Click Tools :

Partagez ceci :

Assistance

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Contact

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

En soumettant ce formulaire, vous comprenez que Recast Software peut traiter vos données comme décrit dans le Recast Software Politique de confidentialité.

fr_FRFrench