Grupo de acesso de autorização do Windows

Eu originalmente escrevi esta postagem do blog quando System Center 2012 R2 Configuration Managerde (SCCM) Administração baseada em funções (RBA) era relativamente novo. Desde então, o RBA agora é amplamente utilizado, então achei que era o momento certo para revisitar este post. Aqui vou demonstrar como adicionar um SQL Server Reporting Services (SSRS) execução ou conta de computador para o Grupo de acesso de autorização do Windows. Isso permitirá que o recurso RBA do SCCM funcione corretamente com os usuários e funções de segurança SCCM.

Para que SCCM use o recurso RBA no SSRS, a execução do SSRS ou a conta do computador precisa determinar quem está executando o relatório. Em seguida, ele determina quais direitos SCCM o usuário possui antes de exibir os resultados do relatório.

Em alguns casos, no entanto, após a atualização para SCCM Filial Atual, ao executar um relatório de SSRS, você receberá a seguinte mensagem de erro:

A expressão DefaultValue para o parâmetro de relatório 'UserTokenSIDs' contém um erro: O atributo ou valor do serviço de diretório especificado não existe.

A solução para este problema é adicionar a execução ou conta de computador ao Grupo de acesso de autorização do Windows (Grupo de segurança do Active Directory (AD)). A documentação online para Grupo de acesso de autorização do Windows diz:

Os membros deste grupo têm acesso ao atributo GroupsGlobalAndUniversal do token computado nos objetos Usuário. Alguns aplicativos têm recursos que lêem o atributo token-groups-global-and-universal (TGGAU) em objetos de conta de usuário ou em objetos de conta de computador nos Serviços de Domínio Active Directory. Algumas funções do Win32 facilitam a leitura do atributo TGGAU. Os aplicativos que leem esse atributo ou que chamam uma API (chamada de função) que lê esse atributo não terão êxito se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (também conhecido como operações de mestre único flexível ou FSMO).


Em termos de SCCM, isso significa que a conta de execução SSRS terá permissão para consultar o atributo “... token GroupsGlobalAndUniversal, este token é usado para determinar quem está executando os relatórios e, portanto, usando RBA, pode verificar quais objetos SCCM (Coleções, Grupos de atualização de software, etc.), o usuário que está executando o SSRS tem permissão para acessar. ”

Abaixo estão as etapas e minhas capturas de tela da postagem original do blog. Embora eu estivesse usando SCCM 2012 R2 na época, as etapas ainda são as mesmas com Filial Atual.

Como adicionar uma execução ou conta de computador ao grupo de acesso de autorização do Windows

Grupo de acesso de autorização do Windows

Aberto Usuários e computadores do Active Directory (ADUC) e navegue até o Construídas em recipiente. Clique duas vezes no Grupo de acesso de autorização do Windows.

Propriedades do Grupo de Acesso de Autorização do Windows

Clique no Membros aba.

Propriedades do Grupo de Acesso de Autorização do Windows - Guia Membros

Clique Adicionar

Grupo de acesso de autorização do Windows - Adicionar conta

Adicione a execução ou conta de computador e clique em OK duas vezes para voltar ao ADUC.

Deste ponto em diante, a conta SCCM SSRS será capaz de ler o token de acesso do AD e os relatórios funcionarão corretamente.

Se você tiver alguma dúvida, sinta-se à vontade para entrar em contato comigo @GarthMJ.

Você tem uma ideia para uma postagem no blog sobre um System Center Configuration Manager consulta ou tópico de relatório? Avise. Sua ideia pode se tornar o foco da minha próxima postagem no blog!

Veja como Right Click Tools está mudando a forma como os sistemas são gerenciados.

Aumente imediatamente a produtividade com o nosso limitado e gratuito, Community Edition.

Comece com Right Click Tools hoje:

Compartilhar isso:

Suporte

  • Este campo é para fins de validação e não deve ser alterado.

Contato

  • Este campo é para fins de validação e não deve ser alterado.

Ao enviar este formulário, você entende que o Recast Software pode processar seus dados conforme descrito no Recast Software Política de Privacidade.

pt_BRPortuguese