Compartir a través de


Cuentas usadas en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Use la siguiente información para identificar los grupos de Windows, las cuentas y los objetos de SQL Server que se usan en Configuration Manager, cómo se usan y cualquier requisito.

Importante

Si va a especificar una cuenta en un dominio o bosque remotos, asegúrese de especificar el FQDN de dominio antes del nombre de usuario y no solo el nombre netBIOS del dominio. Por ejemplo, especifique Corp.Contoso.com\UserName en lugar de solo Corp\UserName. Esto permite a Configuration Manager usar Kerberos cuando se usa la cuenta para autenticarse en el sistema de sitio remoto. El uso del FQDN suele corregir los errores de autenticación resultantes de cambios recientes de protección en torno a NTLM en las actualizaciones mensuales de Windows.

Grupos de Windows que Configuration Manager crea y usa

Configuration Manager crea automáticamente, y en muchos casos, mantiene automáticamente los siguientes grupos de Windows:

Nota:

Cuando Configuration Manager crea un grupo en un equipo que es miembro de dominio, el grupo es un grupo de seguridad local. Si el equipo es un controlador de dominio, el grupo es un grupo local de dominio. Este tipo de grupo se comparte entre todos los controladores de dominio del dominio.

Manager_CollectedFilesAccess de configuración

Configuration Manager usa este grupo para conceder acceso a los archivos recopilados por el inventario de software.

Para obtener más información, consulte Introducción al inventario de software.

Tipo y ubicación de CollectedFilesAccess

Este grupo es un grupo de seguridad local creado en el servidor de sitio principal.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Pertenencia a CollectedFilesAccess

Configuration Manager administra automáticamente la pertenencia a grupos. La pertenencia incluye a los usuarios administrativos a los que se les concede el permiso Ver archivos recopilados para el objeto protegible Colección de un rol de seguridad asignado.

Permisos para CollectedFilesAccess

De forma predeterminada, este grupo tiene permiso de lectura para la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess de configuración

Este grupo es un grupo de seguridad local que Configuration Manager crea en el servidor de base de datos del sitio o en el servidor de réplica de base de datos para un sitio primario secundario. El sitio lo crea cuando se usan vistas distribuidas para la replicación de bases de datos entre sitios de una jerarquía. Contiene el servidor de sitio y SQL Server cuentas de equipo del sitio de administración central.

Para obtener más información, consulte Transferencias de datos entre sitios.

Configuration Manager usuarios de control remoto

Configuration Manager herramientas remotas usan este grupo para almacenar las cuentas y grupos que configuró en la lista Visores permitidos. El sitio asigna esta lista a cada cliente.

Para obtener más información, consulte Introducción al control remoto.

Tipo y ubicación para los usuarios de control remoto

Este grupo es un grupo de seguridad local creado en el cliente Configuration Manager cuando el cliente recibe una directiva que habilita las herramientas remotas.

Después de deshabilitar las herramientas remotas para un cliente, este grupo no se quita automáticamente. Elimínelo manualmente después de deshabilitar las herramientas remotas.

Pertenencia a usuarios de control remoto

De forma predeterminada, no hay miembros en este grupo. Al agregar usuarios a la lista Visores permitidos , se agregan automáticamente a este grupo.

Use la lista Visores permitidos para administrar la pertenencia de este grupo en lugar de agregar usuarios o grupos directamente a este grupo.

Además de ser un visor permitido, un usuario administrativo debe tener permiso de control remoto para el objeto Collection . Asigne este permiso mediante el rol de seguridad Operador de herramientas remotas .

Permisos para usuarios de control remoto

De forma predeterminada, este grupo no tiene permiso para acceder a ninguna ubicación del equipo. Solo se usa para contener la lista Visores permitidos .

Administradores de SMS

Configuration Manager usa este grupo para conceder acceso al proveedor de SMS a través de WMI. El acceso al proveedor de SMS es necesario para ver y cambiar objetos en la consola de Configuration Manager.

Nota:

La configuración de administración basada en roles de un usuario administrativo determina qué objetos pueden ver y administrar al usar la consola de Configuration Manager.

Para obtener más información, vea Planear el proveedor de SMS.

Tipo y ubicación para administradores de SMS

Este grupo es un grupo de seguridad local creado en cada equipo que tiene un proveedor de SMS.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Pertenencia a administradores de SMS

Configuration Manager administra automáticamente la pertenencia a grupos. De forma predeterminada, cada usuario administrativo de una jerarquía y la cuenta de equipo del servidor de sitio son miembros del grupo Administradores de SMS en cada equipo proveedor de SMS de un sitio.

Permisos para administradores de SMS

Puede ver los derechos y permisos del grupo Administradores de SMS en el complemento MMC de control WMI . De forma predeterminada, a este grupo se le concede Habilitar cuenta y Habilitar remotamente en el Root\SMS espacio de nombres WMI. Los usuarios autenticados tienen los métodos Execute, Provider Write y Enable Account.

Cuando use una consola de Configuration Manager remota, configure los permisos DCOM de activación remota en el equipo servidor de sitio y en el proveedor de SMS. Conceda estos derechos al grupo Administradores de SMS . Esta acción simplifica la administración en lugar de conceder estos derechos directamente a usuarios o grupos. Para obtener más información, consulte Configuración de permisos DCOM para consolas de Configuration Manager remotas.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Los puntos de administración remotos del servidor de sitio usan este grupo para conectarse a la base de datos del sitio. Este grupo proporciona acceso de punto de administración a las carpetas de bandeja de entrada en el servidor de sitio y la base de datos del sitio.

Tipo y ubicación de SMS_SiteSystemToSiteServerConnection_MP

Este grupo es un grupo de seguridad local creado en cada equipo que tiene un proveedor de SMS.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Pertenencia a SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager administra automáticamente la pertenencia a grupos. De forma predeterminada, la pertenencia incluye las cuentas de equipo de equipos remotos que tienen un punto de administración para el sitio.

Permisos para SMS_SiteSystemToSiteServerConnection_MP

De forma predeterminada, este grupo tiene los permisos Leer, Leer & ejecutar y Enumerar contenido de carpeta en la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes. Este grupo también tiene permiso de escritura en subcarpetas debajo de bandejas de entrada, en las que el punto de administración escribe datos de cliente.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Los equipos del proveedor de SMS remoto usan este grupo para conectarse al servidor de sitio.

Tipo y ubicación de SMS_SiteSystemToSiteServerConnection_SMSProv

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Pertenencia a SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager administra automáticamente la pertenencia a grupos. De forma predeterminada, la pertenencia incluye una cuenta de equipo o una cuenta de usuario de dominio. Usa esta cuenta para conectarse al servidor de sitio desde cada proveedor de SMS remoto.

Permisos para SMS_SiteSystemToSiteServerConnection_SMSProv

De forma predeterminada, este grupo tiene los permisos Leer, Leer & ejecutar y Enumerar contenido de carpeta en la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes. Este grupo también tiene los permisos Escribir y Modificar en subcarpetas situadas debajo de las bandejas de entrada. El proveedor de SMS requiere acceso a estas carpetas.

Este grupo también tiene permiso de lectura para las subcarpetas del servidor de sitio debajo C:\Program Files\Microsoft Configuration Manager\OSD\Binde .

También tiene los siguientes permisos para las subcarpetas siguientes C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Read
  • Lectura & ejecución
  • Mostrar el contenido de la carpeta
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

El componente administrador de distribución de archivos en Configuration Manager equipos de sistema de sitio remoto usa este grupo para conectarse al servidor de sitio.

Tipo y ubicación de SMS_SiteSystemToSiteServerConnection_Stat

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Pertenencia a SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager administra automáticamente la pertenencia a grupos. De forma predeterminada, la pertenencia incluye la cuenta de equipo o la cuenta de usuario de dominio. Usa esta cuenta para conectarse al servidor de sitio desde cada sistema de sitio remoto que ejecuta el administrador de distribución de archivos.

Permisos para SMS_SiteSystemToSiteServerConnection_Stat

De forma predeterminada, este grupo tiene los permisos Leer, Leer & ejecutar y Enumerar contenido de carpeta en la carpeta siguiente y sus subcarpetas en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes.

Este grupo también tiene los permisos Escribir y Modificar en la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager usa este grupo para habilitar la replicación basada en archivos entre sitios de una jerarquía. Para cada sitio remoto que transfiere directamente archivos a este sitio, este grupo tiene cuentas configuradas como una cuenta de replicación de archivos.

Tipo y ubicación de SMS_SiteToSiteConnection

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Pertenencia a SMS_SiteToSiteConnection

Al instalar un nuevo sitio como elemento secundario de otro sitio, Configuration Manager agrega automáticamente la cuenta de equipo del nuevo servidor de sitio a este grupo en el servidor de sitio primario. Configuration Manager también agrega la cuenta de equipo del sitio primario al grupo en el nuevo servidor de sitio. Si especifica otra cuenta para las transferencias basadas en archivos, agregue esa cuenta a este grupo en el servidor de sitio de destino.

Al desinstalar un sitio, este grupo no se quita automáticamente. Elimínelo manualmente después de desinstalar un sitio.

Permisos para SMS_SiteToSiteConnection

De forma predeterminada, este grupo tiene control total en la carpeta siguiente: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Cuentas que Configuration Manager usa

Puede configurar las cuentas siguientes para Configuration Manager.

Sugerencia

No use el carácter de porcentaje (%) en la contraseña de las cuentas que especifique en la consola de Configuration Manager. La cuenta no se autenticará.

Cuenta de detección de grupos de Active Directory

El sitio usa la cuenta de detección de grupos de Active Directory para detectar los siguientes objetos de las ubicaciones de Servicios de dominio de Active Directory que especifique:

  • Grupos de seguridad locales, globales y universales.
  • La pertenencia dentro de estos grupos.
  • Pertenencia a grupos de distribución.
    • Los grupos de distribución no se detectan como recursos de grupo.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecuta la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura a las ubicaciones de Active Directory que especifique para la detección.

Para obtener más información, consulte Detección de grupos de Active Directory.

Cuenta de detección del sistema de Active Directory

El sitio usa la cuenta de detección del sistema de Active Directory para detectar equipos de las ubicaciones de Servicios de dominio de Active Directory que especifique.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecuta la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura a las ubicaciones de Active Directory que especifique para la detección.

Para obtener más información, consulte Detección del sistema de Active Directory.

Cuenta de detección de usuarios de Active Directory

El sitio usa la cuenta de detección de usuarios de Active Directory para detectar cuentas de usuario de las ubicaciones de Servicios de dominio de Active Directory que especifique.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecuta la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura a las ubicaciones de Active Directory que especifique para la detección.

Para obtener más información, consulte Detección de usuarios de Active Directory.

Cuenta de bosque de Active Directory

El sitio usa la cuenta de bosque de Active Directory para detectar la infraestructura de red de los bosques de Active Directory. Los sitios de administración central y los sitios primarios también lo usan para publicar datos de sitio para Servicios de dominio de Active Directory para un bosque.

Nota:

Los sitios secundarios siempre usan la cuenta de equipo del servidor de sitio secundario para publicar en Active Directory.

Para detectar y publicar en bosques que no son de confianza, la cuenta de bosque de Active Directory debe ser una cuenta global. Si no usa la cuenta de equipo del servidor de sitio, solo puede seleccionar una cuenta global.

Esta cuenta debe tener permisos de lectura para cada bosque de Active Directory donde quiera detectar la infraestructura de red.

Esta cuenta debe tener permisos de control total para el contenedor de Administración del sistema y todos sus objetos secundarios en cada bosque de Active Directory donde quiera publicar los datos del sitio.

Para obtener más información, consulte Preparación de Active Directory para la publicación de sitios.

Para obtener más información, consulte Detección de bosques de Active Directory.

Cuenta de punto de registro de certificado

Advertencia

A partir de la versión 2203, ya no se admite el punto de registro de certificados. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.

El punto de registro de certificado usa la cuenta de punto de registro de certificado para conectarse a la base de datos Configuration Manager. Usa su cuenta de equipo de forma predeterminada, pero puede configurar una cuenta de usuario en su lugar. Cuando el punto de registro de certificado está en un dominio que no es de confianza desde el servidor de sitio, debe especificar una cuenta de usuario. Esta cuenta solo requiere acceso de lectura a la base de datos del sitio porque el sistema de mensajes de estado controla las tareas de escritura.

Para obtener más información, consulte Introducción a los perfiles de certificado.

Captura de una cuenta de imagen del sistema operativo

Al capturar una imagen del sistema operativo, Configuration Manager usa la cuenta capturar imagen del sistema operativo para acceder a la carpeta donde se almacenan las imágenes capturadas. Si agrega el paso Capturar imagen del sistema operativo a una secuencia de tareas, se requiere esta cuenta.

La cuenta debe tener permisos de lectura y escritura en el recurso compartido de red donde se almacenan las imágenes capturadas.

Si cambia la contraseña de la cuenta en Windows, actualice la secuencia de tareas con la nueva contraseña. El cliente Configuration Manager recibe la nueva contraseña cuando descarga la directiva de cliente.

Si necesita usar esta cuenta, cree una cuenta de usuario de dominio. Concédale permisos mínimos para acceder a los recursos de red necesarios y usarlos para todas las secuencias de tareas de captura.

Importante

No asigne permisos de inicio de sesión interactivos a esta cuenta.

No use la cuenta de acceso de red para esta cuenta.

Para obtener más información, vea Crear una secuencia de tareas para capturar un sistema operativo.

Cuenta de instalación de inserción de cliente

Al implementar clientes mediante el método de instalación de inserción de cliente, el sitio usa la cuenta de instalación de inserción de cliente para conectarse a equipos e instalar el software cliente Configuration Manager. Si no especifica esta cuenta, el servidor de sitio intenta usar su cuenta de equipo.

Esta cuenta debe ser miembro del grupo administradores local en los equipos cliente de destino. Esta cuenta no requiere derechos de Administración de dominio.

Puede especificar más de una cuenta de instalación de inserción de cliente. Configuration Manager intenta cada uno a su vez hasta que uno se ejecuta correctamente.

Sugerencia

Si tiene un entorno de Active Directory grande y necesita cambiar esta cuenta, use el siguiente proceso para coordinar de forma más eficaz esta actualización de cuenta:

  1. Cree una cuenta con un nombre diferente.
  2. Agregue la nueva cuenta a la lista de cuentas de instalación de inserción de cliente en Configuration Manager.
  3. Espere suficiente tiempo para que Servicios de dominio de Active Directory replique la nueva cuenta.
  4. A continuación, quite la cuenta antigua de Configuration Manager y Servicios de dominio de Active Directory.

Importante

Use la directiva de dominio o grupo local para asignar al usuario de Windows el derecho a denegar el inicio de sesión localmente. Como miembro del grupo Administradores, esta cuenta tendrá derecho a iniciar sesión localmente, lo que no es necesario. Para mejorar la seguridad, deniegue explícitamente el derecho a esta cuenta. El derecho de denegación reemplaza al derecho de permitir.

Para obtener más información, consulte Instalación de inserción de cliente.

Cuenta de conexión de punto de inscripción

El punto de inscripción usa la cuenta de conexión del punto de inscripción para conectarse a la base de datos del sitio Configuration Manager. Usa su cuenta de equipo de forma predeterminada, pero puede configurar una cuenta de usuario en su lugar. Cuando el punto de inscripción está en un dominio que no es de confianza desde el servidor de sitio, debe especificar una cuenta de usuario. Esta cuenta requiere acceso de lectura y escritura a la base de datos del sitio.

Para obtener más información, consulte Instalación de roles de sistema de sitio para MDM local.

Exchange Server cuenta de conexión

El servidor de sitio usa la cuenta de conexión Exchange Server para conectarse al Exchange Server especificado. Usa esta conexión para buscar y administrar dispositivos móviles que se conectan a la Exchange Server. Esta cuenta requiere cmdlets de Exchange PowerShell que proporcionen los permisos necesarios para el equipo Exchange Server. Para obtener más información sobre los cmdlets, consulte Instalación y configuración del conector de Exchange.

Cuenta de conexión de punto de administración

El punto de administración usa la cuenta de conexión de punto de administración para conectarse a la base de datos del sitio Configuration Manager. Usa esta conexión para enviar y recuperar información para los clientes. El punto de administración usa su cuenta de equipo de forma predeterminada, pero puede configurar una cuenta de servicio alternativa en su lugar. Cuando el punto de administración está en un dominio que no es de confianza desde el servidor de sitio, debe especificar una cuenta de servicio alternativa.

Nota:

Para mejorar la posición de seguridad, se recomienda aprovechar la cuenta de servicio alternativa en lugar de la cuenta de equipo para "Cuenta de conexión de punto de administración".

Cree la cuenta como una cuenta de servicio de baja derecha en el equipo que ejecuta Microsoft SQL Server.

Importante

  • No conceda derechos de inicio de sesión interactivo a esta cuenta.
  • Si va a especificar una cuenta en un dominio o bosque remotos, asegúrese de especificar el FQDN de dominio antes del nombre de usuario y no solo el nombre netBIOS del dominio. Por ejemplo, especifique Corp.Contoso.com\UserName en lugar de solo Corp\UserName. Esto permite a Configuration Manager usar Kerberos cuando se usa la cuenta para autenticarse en el sistema de sitio remoto. El uso del FQDN suele corregir los errores de autenticación resultantes de cambios recientes de protección en torno a NTLM en las actualizaciones mensuales de Windows.

Cuenta de conexión de multidifusión

Los puntos de distribución habilitados para multidifusión usan la cuenta de conexión multidifusión para leer información de la base de datos del sitio. El servidor usa su cuenta de equipo de forma predeterminada, pero puede configurar una cuenta de servicio en su lugar. Cuando la base de datos del sitio está en un bosque que no es de confianza, debe especificar una cuenta de servicio. Por ejemplo, si el centro de datos tiene una red perimetral en un bosque distinto del servidor de sitio y la base de datos del sitio, use esta cuenta para leer la información de multidifusión de la base de datos del sitio.

Si necesita esta cuenta, créela como una cuenta de servicio de baja derecha en el equipo que ejecuta Microsoft SQL Server.

Nota:

Para mejorar la posición de seguridad, se recomienda aprovechar la cuenta de servicio en lugar de la cuenta de equipo para la "cuenta de conexión de multidifusión".

Importante

No conceda derechos de inicio de sesión interactivo a esta cuenta de servicio.

Para obtener más información, consulte Uso de multidifusión para implementar Windows a través de la red.

Cuenta de acceso de red

Los equipos cliente usan la cuenta de acceso de red cuando no pueden usar su cuenta de equipo local para acceder al contenido de los puntos de distribución. Se aplica principalmente a los clientes y equipos del grupo de trabajo de dominios que no son de confianza. Esta cuenta también se usa durante la implementación del sistema operativo, cuando el equipo que instala el sistema operativo aún no tiene una cuenta de equipo en el dominio.

Nota:

La administración de clientes en dominios que no son de confianza y escenarios entre bosques permite varias cuentas de acceso a la red.

Importante

La cuenta de acceso a la red nunca se usa como contexto de seguridad para ejecutar programas, instalar actualizaciones de software o ejecutar secuencias de tareas. Solo se usa para acceder a los recursos de la red.

Un cliente Configuration Manager primero intenta usar su cuenta de equipo para descargar el contenido. Si se produce un error, intenta automáticamente la cuenta de acceso a la red.

Si configura el sitio para HTTPS o HTTP mejorado, un grupo de trabajo o Microsoft Entra cliente unido puede acceder de forma segura al contenido desde puntos de distribución sin necesidad de una cuenta de acceso a la red. Este comportamiento incluye escenarios de implementación del sistema operativo con una secuencia de tareas que se ejecuta desde medios de arranque, PXE o el Centro de software. Para obtener más información, vea Comunicación de punto de administración a cliente.

Nota:

Si habilita HTTP mejorado para que no requiera la cuenta de acceso de red, los puntos de distribución deben estar ejecutando versiones compatibles actualmente de Windows Server o Windows 10/11.

Permisos para la cuenta de acceso de red

Conceda a esta cuenta los permisos mínimos adecuados para el contenido que el cliente necesita para acceder al software. La cuenta debe tener acceso a este equipo desde la red justo en el punto de distribución. Puede configurar hasta 10 cuentas de acceso de red por sitio.

Cree una cuenta en cualquier dominio que proporcione el acceso necesario a los recursos. La cuenta de acceso a la red siempre debe incluir un nombre de dominio. La seguridad de paso a través no es compatible con esta cuenta. Si tiene puntos de distribución en varios dominios, cree la cuenta en un dominio de confianza.

Sugerencia

Para evitar bloqueos de cuenta, no cambie la contraseña en una cuenta de acceso de red existente. En su lugar, cree una cuenta y configure la nueva cuenta en Configuration Manager. Cuando haya transcurrido suficiente tiempo para que todos los clientes hayan recibido los nuevos detalles de la cuenta, quite la cuenta anterior de las carpetas compartidas de red y elimine la cuenta.

Importante

No conceda derechos de inicio de sesión interactivo a esta cuenta.

No conceda a esta cuenta el derecho de unir equipos al dominio. Si debe unir equipos al dominio durante una secuencia de tareas, use la cuenta de combinación de dominio de secuencia de tareas.

Configuración de la cuenta de acceso a la red

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios. A continuación, seleccione el sitio.

  2. En el grupo Configuración de la cinta de opciones, seleccione Configurar componentes de sitio y elija Distribución de software.

  3. Elija la pestaña Cuenta de acceso de red . Configure una o varias cuentas y, a continuación, elija Aceptar.

Acciones que requieren la cuenta de acceso de red

La cuenta de acceso a la red sigue siendo necesaria para las siguientes acciones (incluidos los escenarios de EHTTP & PKI):

  • Multidifusión. Para obtener más información, consulte Uso de multidifusión para implementar Windows a través de la red.

  • Opción de implementación de secuencia de tareas para acceder al contenido directamente desde un punto de distribución cuando sea necesario para la secuencia de tareas en ejecución. Para obtener más información, consulte Opciones de implementación de secuencia de tareas.

  • Aplique la opción de paso de secuencia de tareas Imagen del sistema operativo a Acceso al contenido directamente desde el punto de distribución. Esta opción es principalmente para escenarios de Windows Embedded con poco espacio en disco donde el almacenamiento en caché de contenido en el disco local es costoso. Para obtener más información, consulte Acceso al contenido directamente desde el punto de distribución.

  • Si se produce un error al descargar un paquete desde un punto de distribución mediante HTTP/HTTPS, tiene la capacidad de volver a descargar el paquete mediante SMB desde el recurso compartido de paquetes en el punto de distribución. La descarga del paquete mediante SMB desde el recurso compartido de paquetes en el punto de distribución requiere el uso de la cuenta de acceso de red. Este comportamiento de reserva solo se produce si la opción Copiar el contenido de este paquete en un recurso compartido de paquetes en puntos de distribución está habilitada en la pestaña Acceso a datos de las propiedades de un paquete. Para conservar este comportamiento, asegúrese de que la cuenta de acceso a la red no esté deshabilitada ni eliminada. Si ya no se desea este comportamiento, asegúrese de que la opción Copiar el contenido de este paquete en un recurso compartido de paquetes en puntos de distribución no esté habilitada en ningún paquete.

  • Paso de secuencia de tareas Solicitar almacén de estado . Si la secuencia de tareas no se puede comunicar con el punto de migración de estado mediante la cuenta de equipo del dispositivo, vuelve a usar la cuenta de acceso de red. Para obtener más información, vea Almacén de estado de solicitud.

  • Las propiedades de secuencia de tareas se establecen primero en Ejecutar otro programa. Esta configuración ejecuta un paquete y un programa desde un recurso compartido de red antes de que se inicie la secuencia de tareas. Para obtener más información, vea Propiedades de secuencias de tareas: pestaña Avanzadas.

Cuenta de acceso de paquete

Una cuenta de acceso de paquete le permite establecer permisos NTFS para especificar los usuarios y grupos de usuarios que pueden acceder al contenido del paquete en los puntos de distribución. De forma predeterminada, Configuration Manager concede acceso solo a las cuentas de acceso genéricas Usuario y administrador. Puede controlar el acceso a los equipos cliente mediante otras cuentas o grupos de Windows. Los dispositivos móviles siempre recuperan el contenido del paquete de forma anónima, por lo que no usan una cuenta de acceso a paquetes.

De forma predeterminada, cuando Configuration Manager copia los archivos de contenido en un punto de distribución, concede acceso de lectura al grupo usuarios local y control total al grupo administradores local. Los permisos reales necesarios dependen del paquete. Si tiene clientes en grupos de trabajo o en bosques que no son de confianza, esos clientes usan la cuenta de acceso de red para acceder al contenido del paquete. Asegúrese de que la cuenta de acceso de red tiene permisos para el paquete mediante las cuentas de acceso de paquete definidas.

Use cuentas en un dominio que pueda acceder a los puntos de distribución. Si crea o modifica la cuenta después de crear el paquete, debe redistribuir el paquete. La actualización del paquete no cambia los permisos NTFS en el paquete.

No es necesario agregar la cuenta de acceso de red como una cuenta de acceso de paquete porque la pertenencia al grupo Usuarios la agrega automáticamente. Restringir la cuenta de acceso del paquete solo a la cuenta de acceso de red no impide que los clientes accedan al paquete.

Administración de cuentas de acceso a paquetes

  1. En la consola de Configuration Manager, vaya al área de trabajo Biblioteca de software.

  2. En el área de trabajo Biblioteca de software , determine el tipo de contenido para el que desea administrar las cuentas de acceso y siga los pasos proporcionados:

    • Aplicación: expanda Administración de aplicaciones, elija Aplicaciones y, a continuación, seleccione la aplicación para la que administrar cuentas de acceso.

    • Paquete: expanda Administración de aplicaciones, elija Paquetes y, a continuación, seleccione el paquete para el que administrar cuentas de acceso.

    • Paquete de implementación de actualizaciones de software: expanda Software Novedades, elija Paquetes de implementación y, a continuación, seleccione el paquete de implementación para el que administrar las cuentas de acceso.

    • Paquete de controladores: expanda Sistemas operativos, elija Paquetes de controladores y, a continuación, seleccione el paquete de controladores para el que administrar cuentas de acceso.

    • Imagen del sistema operativo: expanda Sistemas operativos, elija Imágenes de sistema operativo y, a continuación, seleccione la imagen del sistema operativo para la que administrar las cuentas de acceso.

    • Paquete de actualización del sistema operativo: expanda Sistemas operativos, elija Paquetes de actualización del sistema operativo y, a continuación, seleccione el paquete de actualización del sistema operativo para el que administrar las cuentas de acceso.

    • Imagen de arranque: expanda Sistemas operativos, elija Imágenes de arranque y, a continuación, seleccione la imagen de arranque para la que administrar cuentas de acceso.

  3. Haga clic con el botón derecho en el objeto seleccionado y, a continuación, elija Administrar cuentas de acceso.

  4. En el cuadro de diálogo Agregar cuenta , especifique el tipo de cuenta al que se concederá acceso al contenido y, a continuación, especifique los derechos de acceso asociados a la cuenta.

    Nota:

    Al agregar un nombre de usuario para la cuenta y Configuration Manager busca una cuenta de usuario local y una cuenta de usuario de dominio con ese nombre, Configuration Manager establece derechos de acceso para la cuenta de usuario de dominio.

Cuenta de punto de Reporting Services

SQL Server Reporting Services usa la cuenta de punto de Reporting Services para recuperar los datos de los informes de Configuration Manager de la base de datos del sitio. La cuenta de usuario y la contraseña de Windows que especifique se cifran y almacenan en la base de datos SQL Server Reporting Services.

Nota:

La cuenta que especifique debe tener permisos iniciar sesión localmente en el equipo que hospeda la base de datos SQL Server Reporting Services.

Se conceden automáticamente a la cuenta todos los derechos necesarios al agregarse al rol de base de datos de smsschm_users SQL Server en la base de datos de Configuration Manager.

Para obtener más información, consulte Introducción a los informes.

Cuentas de visor permitidas de herramientas remotas

Las cuentas que especifique como Visores permitidos para el control remoto son una lista de usuarios a los que se les permite usar la funcionalidad de herramientas remotas en los clientes.

Para obtener más información, consulte Introducción al control remoto.

Cuenta de instalación del sitio

Use una cuenta de usuario de dominio para iniciar sesión en el servidor en el que se ejecuta Configuration Manager instalación e instalación de un nuevo sitio.

Esta cuenta requiere los siguientes derechos:

  • Administrador en los servidores siguientes:

    • El servidor de sitio
    • Cada servidor que hospeda la base de datos del sitio
    • Cada instancia del proveedor de SMS para el sitio
  • Sysadmin en la instancia de SQL Server que hospeda la base de datos del sitio

Configuration Manager configuración agrega automáticamente esta cuenta al grupo Administradores de SMS.

Después de la instalación, esta cuenta es la única con derechos para la consola de Configuration Manager. Si necesita quitar esta cuenta, asegúrese de agregar primero sus derechos a otro usuario.

Al expandir un sitio independiente para incluir un sitio de administración central, esta cuenta requiere derechos de administración basada en roles de administrador completo o administrador de infraestructura en el sitio primario independiente.

Cuenta de instalación del sistema de sitio

El servidor de sitio usa la cuenta de instalación del sistema de sitio para instalar, reinstalar, desinstalar y configurar sistemas de sitio. Si configura el sistema de sitio para requerir que el servidor de sitio inicie conexiones con este sistema de sitio, Configuration Manager también usa esta cuenta para extraer datos del sistema de sitio después de instalar el sistema de sitio y los roles. Cada sistema de sitio puede tener una cuenta de instalación diferente, pero solo puede configurar una cuenta de instalación para administrar todos los roles de ese sistema de sitio.

Esta cuenta requiere permisos administrativos locales en los sistemas de sitio de destino. Además, esta cuenta debe tener acceso a este equipo desde la red en la directiva de seguridad de los sistemas de sitio de destino.

Importante

Si va a especificar una cuenta en un dominio o bosque remotos, asegúrese de especificar el FQDN de dominio antes del nombre de usuario y no solo el nombre netBIOS del dominio. Por ejemplo, especifique Corp.Contoso.com\UserName en lugar de solo Corp\UserName. Esto permite a Configuration Manager usar Kerberos cuando se usa la cuenta para autenticarse en el sistema de sitio remoto. El uso del FQDN suele corregir los errores de autenticación resultantes de cambios recientes de protección en torno a NTLM en las actualizaciones mensuales de Windows.

Sugerencia

Si tiene muchos controladores de dominio y estas cuentas se usan entre dominios, antes de configurar el sistema de sitio, compruebe que Active Directory ha replicado estas cuentas.

Al especificar una cuenta de servicio en cada sistema de sitio que se va a administrar, esta configuración es más segura. Limita el daño que pueden hacer los atacantes. Sin embargo, las cuentas de dominio son más fáciles de administrar. Considere el equilibrio entre la seguridad y la administración eficaz.

Cuenta de servidor proxy del sistema de sitio

Los siguientes roles de sistema de sitio usan la cuenta de servidor proxy del sistema de sitio para acceder a Internet a través de un servidor proxy o firewall que requiere acceso autenticado:

  • Punto de sincronización de Asset Intelligence
  • Conector de Exchange Server
  • Punto de conexión de servicio
  • Punto de actualización de software

Importante

Especifique una cuenta que tenga los permisos mínimos posibles para el servidor proxy o el firewall necesarios.

Para obtener más información, consulte Compatibilidad con servidores proxy.

Cuenta de conexión del servidor SMTP

El servidor de sitio usa la cuenta de conexión del servidor SMTP para enviar alertas de correo electrónico cuando el servidor SMTP requiere acceso autenticado.

Importante

Especifique una cuenta que tenga los permisos mínimos posibles para enviar correos electrónicos.

Para obtener más información, vea Configurar alertas.

Cuenta de conexión de punto de actualización de software

El servidor de sitio usa la cuenta de conexión de punto de actualización de software para los dos servicios de actualización de software siguientes:

  • Windows Server Update Services (WSUS), que configura configuraciones como definiciones de productos, clasificaciones y configuraciones ascendentes.

  • Administrador de sincronización de WSUS, que solicita la sincronización con un servidor WSUS ascendente o Microsoft Update.

La cuenta de instalación del sistema de sitio puede instalar componentes para las actualizaciones de software, pero no puede realizar funciones específicas de actualizaciones de software en el punto de actualización de software. Si no puede usar la cuenta de equipo del servidor de sitio para esta funcionalidad porque el punto de actualización de software está en un bosque que no es de confianza, debe especificar esta cuenta junto con la cuenta de instalación del sistema de sitio.

Esta cuenta debe ser un administrador local en el equipo donde instale WSUS. También debe formar parte del grupo de administradores de WSUS local.

Para obtener más información, consulte Planeamiento de actualizaciones de software.

Cuenta de sitio de origen

El proceso de migración usa la cuenta de sitio de origen para acceder al proveedor de SMS del sitio de origen. Esta cuenta requiere permisos de lectura para los objetos de sitio en el sitio de origen para recopilar datos para los trabajos de migración.

Si tiene Configuration Manager puntos de distribución de 2007 o sitios secundarios con puntos de distribución colocados, al actualizarlos a puntos de distribución Configuration Manager (rama actual), esta cuenta también debe tener permisos de eliminación para la clase Site. Este permiso consiste en quitar correctamente el punto de distribución del sitio de Configuration Manager 2007 durante la actualización.

Nota:

Tanto la cuenta de sitio de origen como la cuenta de base de datos del sitio de origen se identifican como Administrador de migración en el nodo Cuentas del área de trabajo Administración de la consola de Configuration Manager.

Para obtener más información, consulte Migración de datos entre jerarquías.

Cuenta de base de datos del sitio de origen

El proceso de migración usa la cuenta de base de datos del sitio de origen para acceder a la base de datos SQL Server del sitio de origen. Para recopilar datos de la base de datos SQL Server del sitio de origen, la cuenta de base de datos del sitio de origen debe tener los permisos Leer y Ejecutar para la base de datos de SQL Server del sitio de origen.

Si usa la cuenta de equipo Configuration Manager (rama actual), asegúrese de que se cumplen todas las siguientes condiciones para esta cuenta:

  • Es miembro del grupo de seguridad Usuarios COM distribuidos en el mismo dominio que el sitio de Configuration Manager 2012.
  • Es miembro del grupo de seguridad Administradores de SMS .
  • Tiene el permiso De lectura para todos los objetos Configuration Manager 2012.

Nota:

Tanto la cuenta de sitio de origen como la cuenta de base de datos del sitio de origen se identifican como Administrador de migración en el nodo Cuentas del área de trabajo Administración de la consola de Configuration Manager.

Para obtener más información, consulte Migración de datos entre jerarquías.

Cuenta de combinación de dominio de secuencia de tareas

El programa de instalación de Windows usa la cuenta de combinación de dominio de secuencia de tareas para unir un equipo recién con imágenes a un dominio. El paso de secuencia de tareas Unir dominio o grupo de trabajo requiere esta cuenta con la opción Unirse a un dominio . Esta cuenta también se puede configurar con el paso Aplicar configuración de red , pero no es necesario.

Esta cuenta requiere el derecho De unión al dominio en el dominio de destino.

Sugerencia

Cree una cuenta de usuario de dominio con los permisos mínimos para unirse al dominio y úsela para todas las secuencias de tareas.

Importante

No asigne permisos de inicio de sesión interactivos a esta cuenta.

No use la cuenta de acceso de red para esta cuenta.

Cuenta de conexión de carpeta de red de secuencia de tareas

El motor de secuencia de tareas usa la cuenta de conexión de la carpeta de red secuencia de tareas para conectarse a una carpeta compartida de la red. El paso de secuencia de tareas Conectar a la carpeta de red requiere esta cuenta.

Esta cuenta requiere permisos para acceder a la carpeta compartida especificada. Debe ser una cuenta de usuario de dominio.

Sugerencia

Cree una cuenta de usuario de dominio con permisos mínimos para acceder a los recursos de red necesarios y úsela para todas las secuencias de tareas.

Importante

No asigne permisos de inicio de sesión interactivos a esta cuenta.

No use la cuenta de acceso de red para esta cuenta.

Ejecución de secuencia de tareas como cuenta

El motor de secuencia de tareas usa la ejecución de secuencia de tareas como cuenta para ejecutar líneas de comandos o scripts de PowerShell con credenciales distintas de la cuenta del sistema local. Esta cuenta es necesaria en los pasos de secuencia de tareas Ejecutar línea de comandos y Ejecutar script de PowerShell con la opción Ejecutar este paso como la siguiente cuenta elegida.

Configure la cuenta para que tenga los permisos mínimos necesarios para ejecutar la línea de comandos que especifique en la secuencia de tareas. La cuenta requiere derechos de inicio de sesión interactivos. Normalmente, requiere la capacidad de instalar software y acceder a los recursos de red. Para la tarea Ejecutar script de PowerShell, esta cuenta requiere permisos de administrador local.

Importante

No use la cuenta de acceso de red para esta cuenta.

Nunca convierta la cuenta en administrador de dominio.

Nunca configure perfiles móviles para esta cuenta. Cuando se ejecuta la secuencia de tareas, descarga el perfil móvil de la cuenta. Esto hace que el perfil sea vulnerable al acceso en el equipo local.

Limite el ámbito de la cuenta. Por ejemplo, cree secuencias de tareas diferentes que se ejecuten como cuentas para cada secuencia de tareas. A continuación, si una cuenta está en peligro, solo se ponen en peligro los equipos cliente a los que esa cuenta tiene acceso.

Si la línea de comandos requiere acceso administrativo en el equipo, considere la posibilidad de crear una cuenta de administrador local únicamente para esta cuenta en todos los equipos que ejecutan la secuencia de tareas. Elimine la cuenta una vez que ya no la necesite.

Objetos de usuario que Configuration Manager usa en SQL Server

Configuration Manager crea y mantiene automáticamente los siguientes objetos de usuario en SQL. Estos objetos se encuentran dentro de la base de datos Configuration Manager en Seguridad/Usuarios.

Importante

La modificación o eliminación de estos objetos puede provocar problemas drásticos dentro de un entorno de Configuration Manager. Se recomienda no realizar ningún cambio en estos objetos.

smsdbuser_ReadOnly

Este objeto se usa para ejecutar consultas en el contexto de solo lectura. Este objeto se usa con varios procedimientos almacenados.

smsdbuser_ReadWrite

Este objeto se usa para proporcionar permisos para instrucciones SQL dinámicas.

smsdbuser_ReportSchema

Este objeto se usa para ejecutar SQL Server ejecuciones de informes. El siguiente procedimiento almacenado se usa con esta función: spSRExecQuery.

Roles de base de datos que Configuration Manager usa en SQL

Configuration Manager crea y mantiene automáticamente los siguientes objetos de rol en SQL. Estos roles proporcionan acceso a procedimientos almacenados, tablas, vistas y funciones específicos. Estos roles obtienen o agregan datos a la base de datos de Configuration Manager. Estos objetos se encuentran dentro de la base de datos de Configuration Manager en Roles de seguridad, roles y roles de base de datos.

Importante

La modificación o eliminación de estos objetos puede provocar problemas drásticos dentro de un entorno de Configuration Manager. No cambie estos objetos. La lista siguiente es solo para fines informativos.

smsdbrole_AITool

Configuration Manager concede este permiso a cuentas de usuario administrativo basadas en el acceso basado en rol para importar información de licencias por volumen para Asset Intelligence. Esta cuenta puede ser agregada por un administrador completo, administrador de operaciones, rol de Asset Manager o cualquier rol con el permiso "Administrar Asset Intelligence".

smsdbrole_AIUS

Configuration Manager concede acceso a la cuenta de equipo que hospeda la cuenta de punto de sincronización de Asset Intelligence para obtener datos de proxy de Asset Intelligence y ver los datos de inteligencia artificial pendientes para su carga.

smsdbrole_CRP

Configuration Manager concede permiso a la cuenta de equipo del sistema de sitio que admite el punto de registro de certificados para la compatibilidad del Protocolo simple de inscripción de certificados (SCEP) con la firma y renovación de certificados.

smsdbrole_CRPPfx

Configuration Manager concede permiso a la cuenta de equipo del sistema de sitio que admite el punto de registro de certificados configurado para la compatibilidad con PFX para la firma y renovación.

smsdbrole_DMP

Configuration Manager concede este permiso a la cuenta de equipo para un punto de administración que tiene la opción Permitir que los dispositivos móviles y equipos Mac usen este punto de administración, la capacidad de proporcionar soporte técnico para dispositivos inscritos en MDM.

smsdbrole_DmpConnector

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el punto de conexión de servicio para recuperar y proporcionar datos de diagnóstico, administrar servicios en la nube y recuperar actualizaciones del servicio.

smsdbrole_DViewAccess

Configuration Manager concede este permiso a la cuenta de equipo de los servidores de sitio principal en cas cuando se selecciona la opción SQL Server vistas distribuidas en las propiedades del vínculo de replicación.

smsdbrole_DWSS

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el rol de almacenamiento de datos.

smsdbrole_EnrollSvr

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el punto de inscripción para permitir la inscripción de dispositivos a través de MDM.

smsdbrole_extract

Proporciona acceso a todas las vistas de esquema extendidas.

smsdbrole_HMSUser

Para el servicio de administrador de jerarquías. Configuration Manager concede permisos a esta cuenta para administrar mensajes de estado de conmutación por error y transacciones de SQL Server Broker entre sitios dentro de una jerarquía.

Nota:

El rol smdbrole_WebPortal es miembro de este rol de forma predeterminada.

smsdbrole_MCS

Configuration Manager concede este permiso a la cuenta de equipo del punto de distribución que admite multidifusión.

smsdbrole_MP

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el rol de punto de administración para proporcionar compatibilidad con los clientes de Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el punto de administración que administra BitLocker para un entorno.

smsdbrole_MPUserSvc

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el punto de administración para admitir solicitudes de aplicación basadas en el usuario.

smsdbrole_siteprovider

Configuration Manager concede este permiso a la cuenta de equipo que hospeda un rol de proveedor de SMS.

smsdbrole_siteserver

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el sitio principal o CAS.

smsdbrole_SUP

Configuration Manager concede este permiso a la cuenta de equipo que hospeda el punto de actualización de software para trabajar con actualizaciones de terceros.

smsschm_users

Configuration Manager concede acceso a la cuenta utilizada para la cuenta de punto de servicios de informes para permitir el acceso a las vistas de informes de SMS para mostrar los datos de informes de Configuration Manager. Los datos se restringen aún más con el uso del acceso basado en roles.

Permisos con privilegios elevados

Configuration Manager requiere que algunas cuentas tengan permisos elevados para las operaciones en curso. Por ejemplo, consulte Requisitos previos para instalar un sitio primario. En la lista siguiente se resumen estos permisos y los motivos por los que se necesitan.

  • La cuenta de equipo del servidor de sitio principal y del servidor de sitio de administración central requiere:

    • Derechos de administrador local en todos los servidores del sistema de sitio. Este permiso es para administrar, instalar y quitar servicios del sistema. El servidor de sitio también actualiza los grupos locales en el sistema de sitio al agregar o quitar roles.

    • Acceso de sysadmin a la instancia de SQL Server para la base de datos del sitio. Este permiso consiste en configurar y administrar SQL Server para el sitio. Configuration Manager se integra estrechamente con SQL, no es solo una base de datos.

  • Las cuentas de usuario del rol Administrador completo requieren:

    • Derechos de administrador local en todos los servidores de sitio. Este permiso consiste en ver, editar, quitar e instalar servicios del sistema, claves y valores del Registro y objetos WMI.

    • Acceso de sysadmin a la instancia de SQL Server para la base de datos del sitio. Este permiso consiste en instalar y actualizar la base de datos durante la instalación o recuperación. También es necesario para SQL Server mantenimiento y operaciones. Por ejemplo, volver a indexar y actualizar estadísticas.

      Nota:

      Algunas organizaciones pueden optar por quitar el acceso sysadmin y concederlo solo cuando sea necesario. Este comportamiento a veces se conoce como "acceso Just-In-Time (JIT) ". En este caso, los usuarios con el rol Administrador completo deben seguir teniendo acceso a procedimientos almacenados de lectura, actualización y ejecución en la base de datos de Configuration Manager. Estos permisos les permiten solucionar la mayoría de los problemas sin acceso sysadmin completo.