System Center 2012 Configuration Manager a fait des progrès considérables sur le plan de la gestion des permissions d’accès au produit. Il y a quelques jours, je peaufinais le modèle de sécurité chez un client et nous procédions à l’ajout d’utilisateurs administrateurs et la modification de permissions sur les rôles du modèles RBAC. Après ces modifications, nous avons souhaité vérifier les changements sans passer par l’extension RBA Viewer. Les utilisateurs administratifs que nous avions ajoutés, ne pouvaient pas se connecter à la console d’administration. Celle-ci renvoyait une erreur spécifiant que l’utilisateur n’était pas autorisé. Pour les rôles où nous avions fait des modifications, les droits que nous avions retirés étaient toujours présents et ce après fermeture et ouverture de la console. Il s’avère que ce client a souhaité mettre en œuvre des mécanismes de haute disponibilité comme l’installation de plusieurs SMS Provider :
- Un SMS Provider est installé sur le serveur de site
- Un SMS Provider est installé sur un serveur distant dédié
Pour les nouveaux utilisateurs administratifs, le groupe SMS Admin du SMS Provider sur le serveur de site semblait être bon ; les groupes ayant été ajoutés. En ce qui concerne le SMS Provider sur le site distant, le groupe SMS Admin ne comprenait pas les changements. La console d’administration que nous utilisions se connectait sur le SMS Provider distant. Vous pouvez vérifier ceci avec le log SMSProv. Il semble que les changements ne soient pas appliqués de suite si le SMS Provider est distant au serveur de site. Après plusieurs minutes, les groupes ont fini par apparaître dans le groupe SMS Admin. De même les permissions modifiées sur les rôles ont été changées plusieurs minutes après la modification des rôles.
Moralité : Il est urgent d’attendre !