SCCM Berechtigungen

Der SCCM Rollout Manager (genau genommen der SCCM Rollout Worker) stellt ein administratives Tool dar, mit dem es möglich ist, unterschiedliche SCCM-Objekte anzulegen, zu bearbeiten oder zu löschen. Daher sind, wie bei der Arbeit mit der Configuration Manager Konsole auch, folgende administrative Berechtigungen innerhalb von SCCM notwendig:

  • Applikation: Lesen; Ändern; Löschen; Festlegen des Sicherheitsbereichs; Erstellen; Genehmigen; Objekt verschieben; Ordner ändern; Bericht ausführen; Bericht ändern
  • Sammlung: Lesen; Ändern; Löschen; Fernbedienung; Ressource ändern; Ressource löschen; Erstellen; Gesammelte Dateien anzeigen; Ressource lesen; Objekt verschieben; Bereitstellen von Paketen; Überwachungssicherheit; Bereitstellen von Client Einstellungen; Ordner ändern; Sicherheit erzwingen; Bereitstellen von Antimalware-Richtlinien; Bereitstellen von Anwendungen; Sammlungseinstellung ändern; Bereitstellen von Konfigurationselementen; Bereitstellen von Task Sequenzen; Kontroll AMT; Bereitstellung AMT; Bereitstellen von Software Updates; Bereitstellen von Konfigurationsrichtlinien; Client Status Warnung ändern
  • Verteilungspunkt: Lesen; Auf Verteilungspunkt kopieren
  • Verteilungspunktgruppe: Lesen; Auf Verteilungspunkt kopieren
  • Paket: Lesen; Ändern; Löschen; Festlegen des Sicherheitsbereichs; Erstellen; Objekt verschieben; Ordner ändern; Bericht ausführen; Bericht ändern
  • Rolle: Lesen
  • Site: Lesen

Wichtig: Der aktuelle Benutzer darf nicht auf Instanzen der Objekte beschränkt werden, die sich auf die zugewiesenen Sicherheitsrollen beziehen.

Die Bereitstellung dieser Rechte erfolgt am einfachsten durch den Import einer Sicherheitsrolle innerhalb der Configuration Manager Konsole. Dazu kann folgende XML-Datei verwendet werden:

<SMS_Roles>
	<SMS_Role CopiedFromID="SMS0001R" RoleName="SCCM Rollout Manager" RoleDescription="SCCM Rollout Manager Security Role">
		<Operations>
			<Operation GrantedOperations="1342176935" ObjectTypeID="1" />
			<Operation GrantedOperations="805446679" ObjectTypeID="2" />
			<Operation GrantedOperations="1" ObjectTypeID="6" />
			<Operation GrantedOperations="1" ObjectTypeID="27" />
			<Operation GrantedOperations="805448727" ObjectTypeID="31" />
			<Operation GrantedOperations="25" ObjectTypeID="42" />
			<Operation GrantedOperations="1049631" ObjectTypeID="43" />
		</Operations>
	</SMS_Role>
</SMS_Roles>

Anschließend wird innerhalb der Configuration Manager Konsole ein neuer Benutzer (Gruppe) angelegt, dem die vorgenannte Sicherheitsrolle und der Sicherheitsbereich All instances of the objects[...] zugewiesen werden.

 SQL Berechtigungen

Die Komponenten des SCCM Rollout Managers benötigen darüber hinaus folgende SQL-Datenbankrollen innerhalb der SCCM Datenbank:
  • db_datareader
  • smsschm_users