Każdy, kto zna oprogramowanie do zarządzania systemami zwane dawniej Systems Management Server (obecnie Configuration Manager) pamięta zapewne, że uprawnienia nadawane były zazwyczaj użytkowników lub grup przy użyciu ich nazw, a nie identyfikatorów SID. Prowadziło to do kłopotliwych sytuacji, gdy po zmianie nazwy obiektu w AD uprawnienia „znikały” z punktu widzenia użytkowników. Jak sytuacja wygląda obecnie?

Gdy spojrzymy na uprawnienia zapisane w zakładce Security jakiegoś obiektu, zauważymy tam nazwy kont oraz przypisane im uprawnienia, odnoszące się do danego obiektu.

 


Rys. 1. Lista uprawnionych do obiektu – zakładka SECURITY

 
Oczywiście uprawnienia przechowywane są w rzeczywistości w tabelach bazy SQL
 


Rys. 2. Lista użytkowników administracyjnych, zapisanych w tabeli RBAC_ADMINS

 

I tu mamy pierwszą niespodziankę. Oprócz nazwy (pole LogonName) mamy także w postaci szesnastkowej SID konta (pole AdminSID). Pozwala to przypuszczać, że obecnie uprawnienia przyznawane są na SID konta, a nie jedynie na jego nazwę. Prosty eksperyment pozwala zweryfikować to przypuszczenie. Jeżeli uprawnienie związane jest jedynie z nazwą konta, to po zmianie nazwy w AD nastąpi utrata uprawnień obiektowych wewnątrz Configuration Manager-a, w przypadku związania uprawnień z SID-em takie zjawisko nie wystąpi

 

Nowa kolekcja (TEST-PERM3) utworzona w konsoli ma nadane uprawnienia dla konta użytkownika JanTestowy.


Rys. 3. Informacja o koncie administracyjnym

 

Użytkownik JanTestowy może uruchomić konsolę i jako jedyną kolekcję widać w niej TEST PERM3.

 


Rys. 4. Użytkownik JanTestowy widzi w konsoli jedną kolekcję, do kótrej ma uprawnienia

 

Po zmianie nazwy użytkownika na JanZmieniony, może on bez przeszkód uruchomić konsolę administracyjna z nowymi poświadczeniami:


Rys. 5. Uruchamianie konsoli na koncie użytkownika (RUN AS)

 
W konsoli jest dalej widoczna kolekcja, do której ma uprawnienia:
 

 

Uprawnienia więc pozostają, choć podgląd zakładki Security pokazuje dalej nazwę użytkownika przed przemianowaniem:


Rys 6. Lista uprawnień do kolekcji

 

Zatem użytkownik nie traci już uprawnień na skutek przemianowania konta. Nie trzeba też po zmianie nazwy konta w AD podejmować działań po stronie Configuration Manager-a.

Cierpliwy administrator zauważy, że po pewnym czasie informacja o koncie posiadającym uprawnienia „przestawi się” automatycznie na nową wartość. Odpowiada za to serwis składowy SMS_HIERARCHY_MANAGER, sprawdzający nazwy użytkowników administracyjnych, w razie potrzeby aktualizując wpisy. Parametr konfiguracyjny tego serwisu User Info Scan Interval domyślnie wynosi 86400 (wartość w sekundach, oznaczająca dobową częstotliwość).

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *