Gruppo di accesso all'autorizzazione di Windows

Inizialmente ho scritto questo post sul blog quando System Center 2012 R2 Configuration Managerdi (SCCM) Amministrazione basata sui ruoli (RBA) era relativamente nuova. Da allora, la RBA è ora ampiamente utilizzata, quindi ho pensato che fosse il momento giusto per rivisitare questo post. Qui dimostrerò come aggiungere a SQL Server Reporting Services (SSRS) esecuzione o account del computer al Gruppo di accesso all'autorizzazione di Windows. Ciò consentirà alla funzione RBA di SCCM di funzionare correttamente con utenti e ruoli di sicurezza SCCM.

Affinché SCCM possa utilizzare la funzionalità RBA all'interno di SSRS, l'esecuzione di SSRS o l'account del computer deve determinare chi sta eseguendo il report. Quindi determina quali diritti SCCM ha l'utente prima di visualizzare i risultati del report.

In alcuni casi, tuttavia, dopo l'aggiornamento a SCCM Ramo Attuale, quando esegui un report SSRS potresti ricevere il seguente messaggio di errore:

L'espressione DefaultValue per il parametro del report 'UserTokenSIDs' contiene un errore: l'attributo o il valore del servizio directory specificato non esiste.

La soluzione a questo problema consiste nell'aggiungere l'esecuzione o l'account del computer al Gruppo di accesso all'autorizzazione di Windows (Gruppo di sicurezza di Active Directory (AD)). La documentazione online per Gruppo di accesso all'autorizzazione di Windows dice:

I membri di questo gruppo hanno accesso all'attributo GroupsGlobalAndUniversal del token calcolato sugli oggetti User. Alcune applicazioni dispongono di funzionalità che leggono l'attributo token-groups-global-and-universal (TGGAU) sugli oggetti account utente o sugli oggetti account computer in Servizi di dominio Active Directory. Alcune funzioni Win32 semplificano la lettura dell'attributo TGGAU. Le applicazioni che leggono questo attributo o che chiamano un'API (denominata una funzione) che legge questo attributo non hanno esito positivo se il contesto di sicurezza chiamante non ha accesso all'attributo. Questo gruppo viene visualizzato come SID fino a quando il controller di dominio non diventa il controller di dominio primario e detiene il ruolo di master operazioni (noto anche come operazioni di master singolo flessibile o FSMO).


In termini SCCM ciò significa che l'account di esecuzione SSRS sarà autorizzato a richiedere l'attributo "...token GroupsGlobalAndUniversal, questo token viene utilizzato per determinare chi sta eseguendo i report e quindi utilizzando RBA può verificare quali oggetti SCCM (Collezioni, Gruppi di aggiornamento software, ecc.) l'utente che esegue SSRS è autorizzato ad accedere."

Di seguito sono riportati i passaggi e i miei screenshot dal post del blog originale. Anche se all'epoca stavo usando SCCM 2012 R2, i passaggi sono sempre gli stessi con Ramo Attuale.

Come aggiungere un'esecuzione o un account computer al gruppo di accesso di autorizzazione di Windows

Gruppo di accesso all'autorizzazione di Windows

Aprire Utenti e computer di Active Directory (ADUC) e vai a Incorporato contenitore. Fare doppio clic su Gruppo di accesso all'autorizzazione di Windows.

Proprietà del gruppo di accesso all'autorizzazione di Windows

Clicca sul Membri scheda.

Proprietà del gruppo di accesso all'autorizzazione di Windows - Scheda Membri

Clic Aggiungere

Gruppo di accesso all'autorizzazione di Windows - Aggiungi account

Aggiungi l'esecuzione o l'account del computer e fai clic su ok due volte per tornare al ADUC.

Da questo punto in avanti l'account SSRS SCCM sarà in grado di leggere il token di accesso da AD ei report funzioneranno correttamente.

Se avete domande, non esitate a contattarmi @GarthMJ.

Hai un'idea per un post sul blog su a Centro di sistema Configuration Manager argomento di query o segnalazione? Fammi sapere. La tua idea potrebbe diventare il fulcro del mio prossimo post sul blog!

Scopri come Right Click Tools sta cambiando il modo in cui vengono gestiti i sistemi.

Aumenta immediatamente la produttività con la nostra Community Edition limitata e gratuita.

Inizia oggi con Right Click Tools:

Condividi questo:

Supporto

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Contatti

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.
it_ITItalian