Настройка прав доступа

Configuration Manager позволяет подключать множество пользователей, предоставляя им разные права на основании ролей безопасности. Эти роли содержат в себе большое количество разделов и действий, с помощью которых и задаётся определённый доступ, активация происходит установкой значения Yes.

Сначала необходимо в Active Directory создать группу, в которую занести пользователей техподдержки, назовём её Пользователи отчётов SCCM. Затем добавить её в состав локальных администраторов SQL-сервера. После этого в консоли SCCM заходим в раздел Administration->Overview->Security->Administrative Users. По щелчку правой кнопкой мыши вызываем меню, состоящее лишь из одного пункта Add User or Group, по нажатию на него появляется окно, в котором выбираем только что созданную группу.

Далее переходим в подраздел Security Roles, где увидим 15 стандартных (по умолчанию) ролей доступа [ https://blog.eaglenn.ru/rol-bezopasnosti-chtenie-otchetov-v-sccm-2012-r2/ ], они не подлежат изменению. Просмотрев каждую роль, стало понятно, что ни одна из них полностью не подходит под требования руководства. Но SCCM позволяет создавать и свои роли, что иногда более предпочтительнее. В этом случае нужно скопировать одну из ролей (любую), переименовать и включить конкретную коллекцию, доступ к разделу или выполнение действий.

На первый взгляд покажется, что для наших целей достаточно лишь одной созданной роли для отчётов, включающую в себя только Inventory reports (рис. 5). Однако, это не так. Ведь если не предоставить доступ к разделу Site, то никакие отчёты у пользователей техподдержки не отобразятся.

Для большего удобства группу Пользователи отчётов SCCM добавим и в состав стандартной роли Remote Tools Operator, что позволит удалённо подключаться к рабочему столу любого сотрудника не завершая сеанс, а также просмотреть характеристики его компьютера и установленное ПО, это удобно, так как не нужно переходить в другой раздел – Моnitoring - для создания отчёта.

И последнее, предоставим доступ к настройкам клиентской части – агентам сбора информации, чтобы коллеги самостоятельно могли изменять файлы программ для опроса клиента. 

Рисунок 5. Предоставление прав доступа к отчётам.

Итак, перечислим роли и коллекции, которые мы выбрали и активировали.

  1. роль Remote Tools Operator содержит Collection (Control AMT, Read, Read Resource, Remote Control);
  2. роль Read-only Inventory включает в себя Collection (Read, Read Resource, View Collected File), Site (Read), Inventory Reports (Create, Modify, Modify Report, Read, Run Report);
  3. озданная роль Access for client settings содержит Client agent settings (Create, Delete, Modify, Read).

Для удалённого подключения к пользователям, сотрудники техподдержки должны установить консоль SCCM, сделать это можно с установочного диска.

Часто бывает, когда готовыми шаблонами отчётов не обойтись, например, при необходимости вывести разную информацию одним списком – ФИО, название ПК, название отдела, номер кабинета, операционная система, количество памяти, название процессора. В этом случае нужно создавать отчёты вручную, а чтобы получать регулярно отчёты по почте, можно создать на них подписку. 

 

Troubleshooting

После установки роли в SCCM следует проверить её состояние, чтобы иметь полную уверенность в работоспособности. Для этого заходим в раздел Monitoring->Overview->System Status. Если инсталляция прошла успешно, то в подразделе Site Status роль Reporting services point должна иметь статус OK и зелёный индикатор (кружок), и в подразделе Component Status компонент SMS_SRS_REPORTING_POINT должен иметь аналогичный статус.

Если же по какой-то причине возникли ошибки, то на конкретном компоненте жмём правой кнопкой мыши и в появившемся меню выбираем Show Messages->Error (Information или All), устанавливаем период (по умолчанию 1 день) и анализируем неполадку.

Ещё один немаловажный способ сделать выводы об удачном или неудачном процессе установки – это просмотреть лог-файл. Для отчётной системы он называется

srsrp.log и находится в C:\Program Files\Microsoft Configuration Manager\Logs.   

Если на сервере SQL или SCCM (зависит, установлены ли они вместе или разделены) закончиться место на диске C:\, то необходимо проверить размер лог-файла ReportServer_log.ldf базы данных отчётов, который находится в папке С:\Program Files\Microsoft SQL Server\MSSQL11.SQL\MSSQL\DATA. Он может достигать больших размеров, так как по умолчанию в SQL-сервере включено авторасширение лог-файла до 2 Тб. Чтобы этого избежать [4], нужно зайти в SQL Management Studio, в контекстном меню БД ReportServer выбрать Tasks->Shrink->Files и для File Type установить значение Log вместо Data. Снова вызвать контекстное меню базы данных, выделить раздел Files, во второй строке найти столбец Autogrowth/Maxsize, изменить значение с 2 Тб на более подходящее (см. рис. 6).

Рисунок 6. Изменение размера лог-файла.

Продолжение следует...