Windows -auktoriseringsåtkomstgrupp

Jag skrev ursprungligen detta blogginlägg när System Center 2012 R2 Configuration Manager's (SCCM) Rollbaserad Administration (RBA) -funktionen var relativt ny. Sedan dess har RBA nu använts i stor utsträckning, så jag trodde att det var dags att besöka detta inlägg igen. Här visar jag hur du lägger till en SQL Server Reporting Services (SSRS) körning eller datorkonto till Windows -auktoriseringsåtkomstgrupp. Om du gör detta kan SCCM: s RBA -funktion fungera korrekt med SCCM -säkerhetsanvändare och roller.

För att SCCM ska kunna använda RBA -funktionen inom SSRS måste SSRS -körningen eller datorkontot avgöra vem som kör rapporten. Sedan bestämmer den vilka SCCM -rättigheter användaren har innan rapportresultaten visas.

I vissa fall dock efter uppgradering till SCCM Nuvarande filial, när du kör en SSRS -rapport kan du få följande felmeddelande:

DefaultValue -uttrycket för rapportparametern 'UserTokenSIDs' innehåller ett fel: Det angivna katalogtjänstattributet eller värdet finns inte.

Lösningen på detta problem är att lägga till körningen eller datorkontot till Windows -auktoriseringsåtkomstgrupp (Active Directory (AD) säkerhetsgrupp). Online -dokumentationen för Windows -auktoriseringsåtkomstgrupp säger:

Medlemmar i denna grupp har tillgång till det beräknade token -attributet GroupsGlobalAndUniversal på användarobjekt. Vissa program har funktioner som läser token-groups-global-and-universal (TGGAU) -attributet på användarkontoobjekt eller på datorkontobjekt i Active Directory Domain Services. Vissa Win32 -funktioner gör det lättare att läsa TGGAU -attributet. Program som läser detta attribut eller som anropar ett API (kallat en funktion) som läser detta attribut lyckas inte om den anropande säkerhetskontexten inte har åtkomst till attributet. Den här gruppen visas som ett SID tills domänkontrollanten görs till den primära domänkontrollanten och den innehar operationsmästarrollen (även känd som flexibel single master -operationer eller FSMO).


I SCCM -termer betyder detta att SSRS -exekveringskontot tillåts att fråga efter attributet "... token GroupsGlobalAndUniversal token, denna token används för att avgöra vem som kör rapporterna och därför kan det med RBA kontrollera vilka SCCM -objekt (Collections, Programuppdateringsgrupper, etc.) får användaren som kör SSRS få åtkomst. ”

Nedan följer stegen och mina skärmdumpar från det ursprungliga blogginlägget. Även om jag använde SCCM 2012 R2 då, är stegen fortfarande desamma Nuvarande filial.

Hur man lägger till ett exekverings- eller datorkonto till Windows Authorization Access Group

Windows -auktoriseringsåtkomstgrupp

Öppen Active Directory -användare och datorer (ADUC) och bläddra till Inbyggt behållare. Dubbelklicka på Windows -auktoriseringsåtkomstgrupp.

Egenskaper för Windows Authorization Access Group

Klicka på Medlemmar flik.

Windows Authorization Access Group Properties - Fliken Medlemmar

Klick Lägg till

Windows Authorization Access Group - Lägg till konto

Lägg till körningen eller datorkontot och klicka på OK två gånger för att återvända till ADUC.

Från och med nu kommer SCCM SSRS -kontot att kunna läsa åtkomsttoken från AD och rapporterna fungerar korrekt.

Om du har några frågor är du välkommen att kontakta mig @GarthMJ.

Har du en idé till ett blogginlägg om en System Center Configuration Manager fråga eller rapporteringsämne? Låt mig veta. Din idé kan bli fokus för mitt nästa blogginlägg!

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Dela detta:

Support

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.
sv_SESwedish