SCCM Berechtigungen

Für die Arbeit mit dem SCCM Application Manager wird keine Configuration Manager Konsole benötigt. Dennoch: Der SCCM Application Manager stellt ein administratives Tool dar, mit dem es möglich ist, unterschiedliche SCCM-Objekte anzulegen, zu bearbeiten oder zu löschen. Daher sind, wie bei der Arbeit mit der Configuration Manager Konsole auch, folgende administrative Berechtigungen innerhalb von SCCM notwendig:

SCCM Objekt	Berechtigungen
Application	Read; Modify; Delete; Set Security Scope; Create; Approve; Move Object; Modify Folder; Run Report; Modify Report
Collection	Read; Modify; Delete; Remote Control; Modify Resource; Delete Resource; Create; View Collected File; Read Resource; Move Object; Deploy Packages; Audit Security; Deploy Client Settings; Modify Folder; Enforce Security; Deploy Antimalware Policies; Deploy Applications; Modify Collection Setting; Deploy Configuration Items; Deploy Task Sequences; Control AMT; Provision AMT; Deploy Software Updates; Deploy Configuration Policies; Modify Client Status Alert
Distribution Point	Read; Copy to Distribution Point; Set Security Scope
Distribution Point Group	Read; Modify; Delete; Copy to Distribution Point; Set Security Scope; Create; Create Association to Collection
Package	Read; Modify; Delete; Set Security Scope; Create; Move Object; Modify Folder; Run Report; Modify Report
Site	Read

Die Bereitstellung dieser Rechte erfolgt am einfachsten durch die Erstellung einer Sicherheitsrolle innerhalb von SCCM:

Diese Sicherheitsrolle und die vorgenannten Berechtigungen kann auch mit Hilfe der folgenden XML-Datei importiert werden:

SCCMApplicationManager.xml	Kopiere Code
<SMS_Roles> <SMS_Role CopiedFromID="SMS0001R" RoleName="SCCM Application Manager" RoleDescription="Role for the SCCM Application Manager"> <Operations> <Operation GrantedOperations="1342176935" ObjectTypeID="1" /> <Operation GrantedOperations="805446679" ObjectTypeID="2" /> <Operation GrantedOperations="1" ObjectTypeID="6" /> <Operation GrantedOperations="805448727" ObjectTypeID="31" /> <Operation GrantedOperations="25" ObjectTypeID="42" /> <Operation GrantedOperations="1049631" ObjectTypeID="43" /> </Operations> </SMS_Role> </SMS_Roles>

SCCMApplicationManager.xml

Kopiere Code

<SMS_Roles>
  <SMS_Role CopiedFromID="SMS0001R" RoleName="SCCM Application Manager" RoleDescription="Role for the SCCM Application Manager">
    <Operations>
      <Operation GrantedOperations="1342176935" ObjectTypeID="1" />
      <Operation GrantedOperations="805446679" ObjectTypeID="2" />
      <Operation GrantedOperations="1" ObjectTypeID="6" />
      <Operation GrantedOperations="805448727" ObjectTypeID="31" />
      <Operation GrantedOperations="25" ObjectTypeID="42" />
      <Operation GrantedOperations="1049631" ObjectTypeID="43" />
    </Operations>
  </SMS_Role>
</SMS_Roles>

Anschließend wird der betreffende Anwender den administrativen Benutzern hinzugefügt und ihm die zuvor erstellte Sicherheitsrolle zugeteilt.

Vor jedem Start des SCCM Application Managers und vor jeder Aktion, bei der auf Objekte von SCCM zugegriffen wird, werden die Berechtigungen des Anwenders geprüft. Sind diese nicht ausreichend, kann mit der Applikation nicht weitergearbeitet werden.

SCCM Berechtigungen innerhalb des SCCM Application Managers lassen sich (nach Anmeldung an den SCCM Server) mittels Check SCCM Permissions abfragen: