Разрешенные наблюдатели на самом деле не являются учетными записями, для которых задаются имена и пароли. Это список пользователей, которым разрешено удаленными средствами Microsoft System Center Configuration Manager 2007 на клиентских компьютерах. Например, можно указать пользователей, которые войдут в штат службы поддержки.

Необходимые права и разрешения

Учетные записи в списке Разрешенные наблюдатели должны также иметь право Использовать удаленные средства по отношению к коллекциям, которыми они будут управлять.

При добавлении пользователей в список разрешенных наблюдателей они автоматически добавляются в группу пользователей удаленного управления ConfigMgr, что дает им необходимые права для использования средств удаленного управления на компьютерах с операционными системами Windows XP, Windows Server 2003 и Windows Vista. Разрешенным средствам просмотра не нужны дополнительные права для работы с клиентами Windows 2000. Разрешенным средствам просмотра не нужны права доступа администратора к компьютерам, которыми они управляют.

Создание учетной записи и пароля

Обычно учетные записи уже существуют и добавляются в список, если им необходима функциональность средств удаленного управления клиентскими компьютерами.

Расположение учетной записи

Учетные записи можно создавать везде.

Обслуживание учетной записи

Никакого обслуживания не требуется. Программа Configuration Manager 2007 не хранит информацию о пароле этой учетной записи.

Рекомендации по безопасности

Грамотным или упорным злоумышленникам не составит труда обойти ограничение, связанное с правом использования удаленных средств в коллекции. Они могут настроить сайт Configuration Manager 2007, который не входит в вашу иерархию, и создать учетные записи ресурсов для клиентов, которыми они хотят управлять, а потом дать себе право Использовать удаленные средства для этих ресурсов. Злоумышленники также могут создать с помощью команды Remote.exe сеанс удаленных средств, поскольку при выполнении этой команды не проверяются указанные в базе данных разрешенные наблюдатели, если эта проверка не задана в командной строке.

Важно!
Удаленные средства работы с коллекциями следует воспринимать как удобный инструмент, а не средство безопасности.

Члены глобальных групп, которые являются членами локальных групп, включенных в список Разрешенные наблюдатели, не нумеруются, поэтому членам глобальных групп не предоставляются права доступа, если они также являются членами локальных групп. Четко избежать этого, явно укажите все глобальные группы в списке разрешенных наблюдателей.

Список Разрешенные наблюдатели является внутренне несогласованным, поскольку проверка подлинности пользователя по этому списку производится на клиенте, а сервер сайта может не иметь доступа к тем же доменам, что и сайт. Следовательно, в список Разрешенные наблюдатели можно ввести имя учетной записи, не указывая для нее домен. Однако список должен быть понятным для клиента. Поэтому рекомендуется вводить в список Разрешенные наблюдатели имя учетной записи в формате домен\учетная_запись, чтобы избежать возможных неоднозначностей на клиенте.

См. также