Skip to main content

SCCM Berechtigungen

Für die Arbeit mit dem SCCM Application Manager wird keine Configuration Manager Konsole benötigt. Dennoch: Der SCCM Application Manager stellt ein administratives Tool dar, mit dem es möglich ist, unterschiedliche SCCM-Objekte anzulegen, zu bearbeiten oder zu löschen. Daher sind, wie bei der Arbeit mit der Configuration Manager Konsole auch, folgende administrative Berechtigungen innerhalb von SCCM notwendig:

  • Applikation: Lesen; Ändern; Löschen; Festlegen des Sicherheitsbereichs; Erstellen; Genehmigen; Objekt verschieben; Ordner ändern; Bericht ausführen; Bericht ändern
  • Sammlung: Lesen; Ändern; Löschen; Fernbedienung; Ressource ändern; Ressource löschen; Erstellen; Gesammelte Dateien anzeigen; Ressource lesen; Objekt verschieben; Bereitstellen von Paketen; Überwachungssicherheit; Bereitstellen von Client Einstellungen; Ordner ändern; Sicherheit erzwingen; Bereitstellen von Antimalware-Richtlinien; Bereitstellen von Anwendungen; Sammlungseinstellung ändern; Bereitstellen von Konfigurationselementen; Bereitstellen von Task Sequenzen; Kontroll AMT; Bereitstellung AMT; Bereitstellen von Software Updates; Bereitstellen von Konfigurationsrichtlinien; Client Status Warnung ändern
  • Verteilungspunkt: Lesen, Auf Verteilungspunkt kopieren
  • Verteilungspunktgruppe: Lesen; Auf Verteilungspunkt kopieren
  • Paket: Lesen; Ändern; Löschen; Festlegen des Sicherheitsbereichs; Erstellen; Objekt verschieben; Ordner ändern; Bericht ausführen; Bericht ändern
  • Rolle: Lesen
  • Site: Lesen
  • Ordner (ab Version 1906 erforderlich): Lesen; Ändern; Löschen; Erstellen
  • Und natürlich: Der aktuelle Benutzer darf nicht auf Instanzen der Objekte beschränkt werden, die sich auf die zugewiesenen Sicherheitsrollen beziehen.

Die Bereitstellung dieser Rechte erfolgt am einfachsten durch den Import einer Sicherheitsrolle innerhalb der Configuration Manager Konsole:

import-security-role.png

Für den Import dieser Sicherheitsrolle kann dazu folgende XML-Datei verwendet werden:

<SMS_Roles>
	<SMS_Role CopiedFromID="SMS0001R" RoleName="SCCM Application Manager" RoleDescription="SCCM Application Manager Security Role">
		<Operations>
			<Operation GrantedOperations="1342176935" ObjectTypeID="1" />
			<Operation GrantedOperations="805446679" ObjectTypeID="2" />
			<Operation GrantedOperations="1" ObjectTypeID="6" />
			<Operation GrantedOperations="1" ObjectTypeID="27" />
			<Operation GrantedOperations="805448727" ObjectTypeID="31" />
			<Operation GrantedOperations="9" ObjectTypeID="42" />
			<Operation GrantedOperations="9" ObjectTypeID="43" />
			<Operation GrantedOperations="1031" ObjectTypeID="226" /> <!-- Ab Version 1906 erforderlich -->
		</Operations>
	</SMS_Role>
</SMS_Roles>

Anschließend wird innerhalb der Configuration Manager Konsole ein neuer Benutzer (Gruppe) angelegt, dem die vorgenannte Sicherheitsrolle und der Sicherheitsbereich All instances of the objects[...] zugewiesen werden:

sccm-am-user.png

Mit dem Button Check SCCM Permissions kann im SCCM Application Manager jederzeit überprüft werden, ob die benötigten Rechte vergeben worden sind.

check-permissions.png