Пользователю удаленных средств Microsoft System Center Configuration Manager 2007 не нужны локальные права администратора. Если пользователь удаленных средств внесен в список Разрешенные наблюдатели и обладает правом Использовать удаленные средства для данной коллекции, он может использовать на клиенте удаленные средства.
Для определения новой учетной записи наблюдателя с разрешением использования удаленных средств
-
На консоли Configuration Manager перейдите к System Center Configuration Manager / База данных сайта / Управление сайтом / <имя сервера сайта> / Параметры сайта / Агенты клиента.
-
В области результатов щелкните правой кнопкой мыши пункт Агент клиента удаленных средств и затем выберите Свойства.
-
В диалоговом окне Свойства агента клиента удаленных средств щелкните вкладку Безопасность.
-
Нажатием кнопки создания откройте диалоговое окно Создать наблюдатель и укажите существующую учетную запись пользователя Microsoft Windows или имя группы.
-
Нажав кнопку ОК, закройте диалоговое окно. Еще раз нажмите ОК, чтобы закрыть диалоговое окно Свойства агента клиента удаленных средств.
Для удаления учетной записи наблюдателя с разрешением использования удаленных средств
-
В консоли Configuration Manager перейдите в раздел System Center Configuration Manager / База данных сайта / Управление сайтом / <имя сервера сайта> / Параметры сайта / Агенты клиента.
-
В области результатов щелкните правой кнопкой мыши пункт Агент клиента удаленных средств и выберите Свойства.
-
В диалоговом окне Свойства агента клиента удаленных средств щелкните вкладку Безопасность.
-
В списке Разрешенные наблюдатели щелкните имя наблюдателя и нажмите кнопку удаления.
-
Нажмите кнопку ОК.
Безопасность
 Важно! |
|---|
| Грамотным или упорным злоумышленникам не составит труда обойти ограничение, связанное с правом Использования удаленных средств в коллекции. Они могут настроить сайт Configuration Manager 2007, который не входит в вашу иерархию, и создать учетные записи ресурсов для клиентов, которыми хотят управлять, а потом присвоить себе право Использовать удаленные средства для этих ресурсов. Иначе, они могут воспользоваться коммутатором Remote.exe /SMS:nosql для создания сеанса удаленных средств без проверки разрешений в базе данных сайта. Удаленные средства работы с коллекциями следует воспринимать как удобный инструмент, а не средство безопасности. |
Члены глобальных групп, которые являются членами локальных групп, включенных в список Разрешенные наблюдатели, не нумеруются, поэтому членам глобальных групп не предоставляются права доступа, если они также являются членами локальных групп. Чтобы избежать этого, явно укажите все глобальные группы в списке Разрешенные наблюдатели.
Список Разрешенные наблюдатели является намеренно несогласованным, поскольку проверка подлинности пользователя производится по списку на клиенте, а сервер сайта может не иметь доступа к тем же доменам, что и клиент. Следовательно, в список Разрешенные наблюдатели можно ввести имя учетной записи, не указывая для нее домен. Однако список должен быть понятным для клиента. Поэтому рекомендуется вводить в список Разрешенные наблюдатели имя учетной записи в формате домен\учетная_запись, что позволит избежать возможных неоднозначностей на клиенте.