Accounts die worden gebruikt in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Gebruik de volgende informatie om de Windows-groepen, -accounts en SQL Server-objecten te identificeren die worden gebruikt in Configuration Manager, hoe ze worden gebruikt en eventuele vereisten.
Belangrijk
Als u een account opgeeft in een extern domein of forest, moet u ervoor zorgen dat u de domein-FQDN voor de gebruikersnaam opgeeft en niet alleen de NetBIOS-naam van het domein. Geef bijvoorbeeld Corp.Contoso.com\Gebruikersnaam op in plaats van alleen Corp\UserName. Hierdoor kunnen Configuration Manager Kerberos gebruiken wanneer het account wordt gebruikt om te verifiëren bij het externe sitesysteem. Het gebruik van de FQDN lost vaak verificatiefouten op die het gevolg zijn van recente wijzigingen in beveiliging rond NTLM in maandelijkse Windows-updates.
Windows-groepen die Configuration Manager maakt en gebruikt
- Configuratie-Manager_CollectedFilesAccess
- Configuratie-Manager_DViewAccess
- gebruikers van extern beheer Configuration Manager
- SMS-beheerders
- <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
- <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
- <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
- <SMS_SiteToSiteConnection_sitecode>
Accounts die Configuration Manager gebruikt
- Active Directory-groepsdetectieaccount
- Active Directory-systeemdetectieaccount
- Active Directory-gebruikersdetectieaccount
- Active Directory-forestaccount
- Account van certificaatregistratiepunt
- Besturingssysteeminstallatiekopieënaccount vastleggen
- Clientpushinstallatieaccount
- Verbindingsaccount voor inschrijvingspunt
- Exchange Server verbindingsaccount
- Verbindingsaccount voor beheerpunt
- Multicast-verbindingsaccount
- Netwerktoegangsaccount
- Account voor pakkettoegang
- Reporting Services-puntaccount
- Toegestane vieweraccounts voor externe hulpprogramma's
- Site-installatieaccount
- Installatieaccount van sitesysteem
- Proxyserveraccount van sitesysteem
- SMTP-serververbindingsaccount
- Verbindingsaccount voor software-updatepunten
- Bronsiteaccount
- Databaseaccount van bronsite
- Takenreeksaccount voor domeindeelname
- Takenreeksnetwerkmapverbindingsaccount
- Takenreeks uitvoeren als account
Gebruikersobjecten die Configuration Manager gebruikt in SQL
Databaserollen die Configuration Manager gebruikt in SQL
- smsdbrole_AITool
- smsdbrole_AIUS
- smsdbrole_CRP
- smsdbrole_CRPPfx
- smsdbrole_DMP
- smsdbrole_DmpConnector
- smsdbrole_DViewAccess
- smsdbrole_DWSS
- smsdbrole_EnrollSvr
- smsdbrole_extract
- smsdbrole_HMSUser
- smsdbrole_MCS
- smsdbrole_MP
- smsdbrole_MPMBAM
- smsdbrole_MPUserSvc
- smsdbrole_siteprovider
- smsdbrole_siteserver
- smsdbrole_SUP
- smsschm_users
Windows-groepen die Configuration Manager maakt en gebruikt
Configuration Manager automatisch de volgende Windows-groepen maakt en in veel gevallen automatisch onderhoudt:
Opmerking
Wanneer Configuration Manager een groep maakt op een computer die lid is van een domein, is de groep een lokale beveiligingsgroep. Als de computer een domeincontroller is, is de groep een lokale domeingroep. Dit type groep wordt gedeeld tussen alle domeincontrollers in het domein.
Configuratie-Manager_CollectedFilesAccess
Configuration Manager gebruikt deze groep om toegang te verlenen om bestanden te bekijken die zijn verzameld door software-inventaris.
Zie Inleiding tot software-inventaris voor meer informatie.
Type en locatie voor CollectedFilesAccess
Deze groep is een lokale beveiligingsgroep die is gemaakt op de primaire siteserver.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Lidmaatschap voor CollectedFilesAccess
Configuration Manager beheert automatisch het groepslidmaatschap. Het lidmaatschap omvat gebruikers met beheerdersrechten waaraan de machtiging Verzamelde bestanden weergeven is verleend voor het beveiligbare object Verzameling van een toegewezen beveiligingsrol.
Machtigingen voor CollectedFilesAccess
Deze groep heeft standaard de machtiging Lezen voor de volgende map op de siteserver: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol
Configuratie-Manager_DViewAccess
Deze groep is een lokale beveiligingsgroep die Configuration Manager maakt op de sitedatabaseserver of databasereplicaserver voor een onderliggende primaire site. De site maakt deze wanneer u gedistribueerde weergaven gebruikt voor databasereplicatie tussen sites in een hiërarchie. Deze bevat de siteserver en SQL Server computeraccounts van de centrale beheersite.
Zie Gegevensoverdracht tussen sites voor meer informatie.
gebruikers van extern beheer Configuration Manager
Configuration Manager externe hulpprogramma's gebruiken deze groep om de accounts en groepen op te slaan die u hebt ingesteld in de lijst Toegestane kijkers. De site wijst deze lijst toe aan elke client.
Zie Inleiding tot beheer op afstand voor meer informatie.
Type en locatie voor gebruikers van extern beheer
Deze groep is een lokale beveiligingsgroep die is gemaakt op de Configuration Manager-client wanneer de client een beleid ontvangt dat externe hulpprogramma's inschakelt.
Nadat u externe hulpprogramma's voor een client hebt uitgeschakeld, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig na het uitschakelen van externe hulpprogramma's.
Lidmaatschap voor gebruikers van extern beheer
Standaard zijn er geen leden in deze groep. Wanneer u gebruikers toevoegt aan de lijst Toegestane kijkers , worden ze automatisch toegevoegd aan deze groep.
Gebruik de lijst Toegestane kijkers om het lidmaatschap van deze groep te beheren in plaats van gebruikers of groepen rechtstreeks aan deze groep toe te voegen.
Een gebruiker met beheerdersrechten moet niet alleen een toegestane viewer zijn, maar moet ook de machtiging Extern beheer hebben voor het verzamelingsobject . Wijs deze machtiging toe met behulp van de beveiligingsrol Operator voor externe hulpprogramma's .
Machtigingen voor gebruikers van extern beheer
Standaard is deze groep niet gemachtigd om toegang te krijgen tot locaties op de computer. Deze wordt alleen gebruikt om de lijst toegestane kijkers op te houden.
SMS-beheerders
Configuration Manager gebruikt deze groep om toegang te verlenen tot de SMS-provider via WMI. Toegang tot de SMS-provider is vereist om objecten in de Configuration Manager-console weer te geven en te wijzigen.
Opmerking
De op rollen gebaseerde beheerconfiguratie van een gebruiker met beheerdersrechten bepaalt welke objecten ze kunnen bekijken en beheren wanneer ze de Configuration Manager-console gebruiken.
Zie Plannen voor de SMS-provider voor meer informatie.
Type en locatie voor SMS-beheerders
Deze groep is een lokale beveiligingsgroep die is gemaakt op elke computer met een SMS-provider.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Lidmaatschap voor SMS-beheerders
Configuration Manager beheert automatisch het groepslidmaatschap. Standaard zijn elke gebruiker met beheerdersrechten in een hiërarchie en het computeraccount van de siteserver lid van de groep SMS-beheerders op elke SMS-providercomputer in een site.
Machtigingen voor SMS-beheerders
U kunt de rechten en machtigingen voor de groep SMS-beheerders bekijken in de MMC-module WMI-beheer . Standaard wordt aan deze groep Account inschakelen en Extern inschakelen verleend in de Root\SMS
WMI-naamruimte. Geverifieerde gebruikers hebben Uitvoeringsmethoden, Schrijven provider en Account inschakelen.
Wanneer u een externe Configuration Manager-console gebruikt, configureert u DCOM-machtigingen voor externe activering op zowel de siteservercomputer als de SMS-provider. Verkeer deze rechten aan de sms-beheerdersgroep . Deze actie vereenvoudigt het beheer in plaats van deze rechten rechtstreeks aan gebruikers of groepen te verlenen. Zie DCOM-machtigingen configureren voor externe Configuration Manager-consoles voor meer informatie.
<SMS_SiteSystemToSiteServerConnection_MP_sitecode>
Beheerpunten die zich op afstand van de siteserver bevinden, gebruiken deze groep om verbinding te maken met de sitedatabase. Deze groep biedt beheerpunt toegang tot de mappen postvak IN op de siteserver en de sitedatabase.
Type en locatie voor SMS_SiteSystemToSiteServerConnection_MP
Deze groep is een lokale beveiligingsgroep die is gemaakt op elke computer met een SMS-provider.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Lidmaatschap voor SMS_SiteSystemToSiteServerConnection_MP
Configuration Manager beheert automatisch het groepslidmaatschap. Lidmaatschap omvat standaard de computeraccounts van externe computers die een beheerpunt voor de site hebben.
Machtigingen voor SMS_SiteSystemToSiteServerConnection_MP
Deze groep heeft standaard de machtiging Lezen, Lezen & uitvoeren en Mapinhoud weergeven voor de volgende map op de siteserver: C:\Program Files\Microsoft Configuration Manager\inboxes
. Deze groep heeft ook schrijfmachtigingen voor submappen onder postvakken IN, waarnaar het beheerpunt clientgegevens schrijft.
<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
Computers met externe SMS-provider gebruiken deze groep om verbinding te maken met de siteserver.
Type en locatie voor SMS_SiteSystemToSiteServerConnection_SMSProv
Deze groep is een lokale beveiligingsgroep die is gemaakt op de siteserver.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Lidmaatschap voor SMS_SiteSystemToSiteServerConnection_SMSProv
Configuration Manager beheert automatisch het groepslidmaatschap. Lidmaatschap omvat standaard een computeraccount of een domeingebruikersaccount. Dit account wordt gebruikt om verbinding te maken met de siteserver van elke externe SMS-provider.
Machtigingen voor SMS_SiteSystemToSiteServerConnection_SMSProv
Deze groep heeft standaard de machtiging Lezen, Lezen & uitvoeren en Mapinhoud weergeven voor de volgende map op de siteserver: C:\Program Files\Microsoft Configuration Manager\inboxes
. Deze groep heeft ook de machtigingen Schrijven en Wijzigen voor submappen onder de postvakken IN. De SMS-provider vereist toegang tot deze mappen.
Deze groep heeft ook de machtiging Lezen voor de submappen op de siteserver hieronder C:\Program Files\Microsoft Configuration Manager\OSD\Bin
.
Het heeft ook de volgende machtigingen voor de onderstaande C:\Program Files\Microsoft Configuration Manager\OSD\boot
submappen:
- Lezen
- Lezen & uitvoeren
- Inhoud van lijstmap
- Schrijven
- Wijzigen
<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
Het onderdeel Bestandsverzendingsbeheer op Configuration Manager externe sitesysteemcomputers gebruikt deze groep om verbinding te maken met de siteserver.
Type en locatie voor SMS_SiteSystemToSiteServerConnection_Stat
Deze groep is een lokale beveiligingsgroep die is gemaakt op de siteserver.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Lidmaatschap voor SMS_SiteSystemToSiteServerConnection_Stat
Configuration Manager beheert automatisch het groepslidmaatschap. Lidmaatschap omvat standaard het computeraccount of het domeingebruikersaccount. Dit account wordt gebruikt om verbinding te maken met de siteserver vanaf elk extern sitesysteem waarop bestandsbeheer wordt uitgevoerd.
Machtigingen voor SMS_SiteSystemToSiteServerConnection_Stat
Deze groep heeft standaard de machtiging Lezen, Lezen & uitvoeren en Mapinhoud weergeven voor de volgende map en de bijbehorende submappen op de siteserver: C:\Program Files\Microsoft Configuration Manager\inboxes
.
Deze groep heeft ook de machtigingen Schrijven en Wijzigen voor de volgende map op de siteserver: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box
.
<SMS_SiteToSiteConnection_sitecode>
Configuration Manager gebruikt deze groep om bestandsreplicatie tussen sites in een hiërarchie in te schakelen. Voor elke externe site die bestanden rechtstreeks naar deze site overdraagt, heeft deze groep accounts ingesteld als een bestandsreplicatieaccount.
Type en locatie voor SMS_SiteToSiteConnection
Deze groep is een lokale beveiligingsgroep die is gemaakt op de siteserver.
Lidmaatschap voor SMS_SiteToSiteConnection
Wanneer u een nieuwe site installeert als onderliggend element van een andere site, Configuration Manager automatisch het computeraccount van de nieuwe siteserver aan deze groep op de bovenliggende siteserver toevoegt. Configuration Manager voegt ook het computeraccount van de bovenliggende site toe aan de groep op de nieuwe siteserver. Als u een ander account opgeeft voor bestandsoverdrachten, voegt u dat account toe aan deze groep op de doelsiteserver.
Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Verwijder deze handmatig nadat u een site hebt verwijderd.
Machtigingen voor SMS_SiteToSiteConnection
Deze groep heeft standaard volledig beheer over de volgende map: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive
.
Accounts die Configuration Manager gebruikt
U kunt de volgende accounts instellen voor Configuration Manager.
Tip
Gebruik niet het percentageteken (%
) in het wachtwoord voor accounts dat u opgeeft in de Configuration Manager-console. Het account kan niet worden geverifieerd.
Active Directory-groepsdetectieaccount
De site gebruikt het Active Directory-groepsdetectieaccount om de volgende objecten te detecteren van de locaties in Active Directory Domain Services die u opgeeft:
- Lokale, wereldwijde en universele beveiligingsgroepen.
- Het lidmaatschap binnen deze groepen.
- Het lidmaatschap binnen distributiegroepen.
- Distributiegroepen worden niet gedetecteerd als groepsresources.
Dit account kan een computeraccount zijn van de siteserver waarop detectie wordt uitgevoerd, of een Windows-gebruikersaccount. Deze moet leestoegangsmachtigingen hebben voor de Active Directory-locaties die u opgeeft voor detectie.
Zie Active Directory-groepsdetectie voor meer informatie.
Active Directory-systeemdetectieaccount
De site gebruikt het Active Directory-systeemdetectieaccount om computers te detecteren vanaf de locaties in Active Directory Domain Services die u opgeeft.
Dit account kan een computeraccount zijn van de siteserver waarop detectie wordt uitgevoerd, of een Windows-gebruikersaccount. Deze moet leestoegangsmachtigingen hebben voor de Active Directory-locaties die u opgeeft voor detectie.
Zie Active Directory Systeemdetectie voor meer informatie.
Active Directory-gebruikersdetectieaccount
De site gebruikt het Active Directory-gebruikersdetectieaccount om gebruikersaccounts te detecteren van de locaties in Active Directory Domain Services die u opgeeft.
Dit account kan een computeraccount zijn van de siteserver waarop detectie wordt uitgevoerd, of een Windows-gebruikersaccount. Deze moet leestoegangsmachtigingen hebben voor de Active Directory-locaties die u opgeeft voor detectie.
Zie Active Directory-gebruikersdetectie voor meer informatie.
Active Directory-forestaccount
De site maakt gebruik van het Active Directory-forestaccount om de netwerkinfrastructuur van Active Directory-forests te detecteren. Centrale beheersites en primaire sites gebruiken deze ook om sitegegevens te publiceren naar Active Directory Domain Services voor een forest.
Opmerking
Secundaire sites gebruiken altijd het computeraccount van de secundaire siteserver om te publiceren naar Active Directory.
Als u niet-vertrouwde forests wilt detecteren en publiceren, moet het Active Directory-forestaccount een globaal account zijn. Als u het computeraccount van de siteserver niet gebruikt, kunt u alleen een globaal account selecteren.
Dit account moet leesmachtigingen hebben voor elk Active Directory-forest waarin u de netwerkinfrastructuur wilt detecteren.
Dit account moet machtigingen voor volledig beheer hebben voor de container Systeembeheer en alle onderliggende objecten in elk Active Directory-forest waarin u sitegegevens wilt publiceren.
Zie Active Directory voorbereiden voor sitepublicatie voor meer informatie.
Zie Active Directory-forestdetectie voor meer informatie.
Account van certificaatregistratiepunt
Waarschuwing
Vanaf versie 2203 wordt het certificaatregistratiepunt niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
Het certificaatregistratiepunt gebruikt het certificaatregistratiepuntaccount om verbinding te maken met de Configuration Manager-database. Standaard wordt het bijbehorende computeraccount gebruikt, maar u kunt in plaats daarvan een gebruikersaccount configureren. Wanneer het certificaatregistratiepunt zich in een niet-vertrouwd domein van de siteserver bevindt, moet u een gebruikersaccount opgeven. Voor dit account is alleen leestoegang tot de sitedatabase vereist, omdat het statusberichtensysteem schrijftaken afhandelt.
Zie Inleiding tot certificaatprofielen voor meer informatie.
Besturingssysteeminstallatiekopieënaccount vastleggen
Wanneer u een installatiekopieën van het besturingssysteem vastlegt, gebruikt Configuration Manager het account Van de installatiekopieën van het besturingssysteem vastleggen om toegang te krijgen tot de map waarin u vastgelegde installatiekopieën opslaat. Als u de stap Installatiekopie van het besturingssysteem vastleggen toevoegt aan een takenreeks, is dit account vereist.
Het account moet lees- en schrijfmachtigingen hebben voor de netwerkshare waarin u vastgelegde installatiekopieën opslaat.
Als u het wachtwoord voor het account in Windows wijzigt, werkt u de takenreeks bij met het nieuwe wachtwoord. De Configuration Manager client ontvangt het nieuwe wachtwoord wanneer het clientbeleid vervolgens wordt gedownload.
Als u dit account wilt gebruiken, maakt u één domeingebruikersaccount. Geef deze minimale machtigingen voor toegang tot de vereiste netwerkresources en gebruik deze voor alle takenreeksen voor vastleggen.
Belangrijk
Wijs geen interactieve aanmeldingsmachtigingen toe aan dit account.
Gebruik het netwerktoegangsaccount niet voor dit account.
Zie Een takenreeks maken om een besturingssysteem vast te leggen voor meer informatie.
Clientpushinstallatieaccount
Wanneer u clients implementeert met behulp van de clientpushinstallatiemethode, gebruikt de site het clientpushinstallatieaccount om verbinding te maken met computers en de Configuration Manager-clientsoftware te installeren. Als u dit account niet opgeeft, probeert de siteserver het computeraccount te gebruiken.
Dit account moet lid zijn van de lokale groep Administrators op de doelclientcomputers. Voor dit account zijn geen domeinrechten Beheer vereist.
U kunt meer dan één clientpushinstallatieaccount opgeven. Configuration Manager probeert ze allemaal om de beurt totdat een slaagt.
Tip
Als u een grote Active Directory-omgeving hebt en dit account wilt wijzigen, gebruikt u het volgende proces om het bijwerken van dit account effectiever te coördineren:
- Maak een nieuw account met een andere naam.
- Voeg het nieuwe account toe aan de lijst met clientpushinstallatieaccounts in Configuration Manager.
- Geef Active Directory Domain Services voldoende tijd om het nieuwe account te repliceren.
- Verwijder vervolgens het oude account uit Configuration Manager en Active Directory Domain Services.
Belangrijk
Gebruik het domein- of lokale groepsbeleid om de Windows-gebruiker het recht toe te wijzen om lokaal aanmelden te weigeren. Als lid van de groep Administrators heeft dit account het recht om zich lokaal aan te melden. Dit is niet nodig. Voor een betere beveiliging kunt u het recht op dit account expliciet weigeren. Het recht weigeren vervangt het recht toestaan.
Zie Clientpushinstallatie voor meer informatie.
Verbindingsaccount voor inschrijvingspunt
Het inschrijvingspunt gebruikt het verbindingsaccount van het inschrijvingspunt om verbinding te maken met de Configuration Manager sitedatabase. Standaard wordt het bijbehorende computeraccount gebruikt, maar u kunt in plaats daarvan een gebruikersaccount configureren. Wanneer het inschrijvingspunt zich in een niet-vertrouwd domein van de siteserver bevindt, moet u een gebruikersaccount opgeven. Voor dit account is lees- en schrijftoegang tot de sitedatabase vereist.
Zie Sitesysteemrollen installeren voor on-premises MDM voor meer informatie.
Exchange Server verbindingsaccount
De siteserver gebruikt het Exchange Server-verbindingsaccount om verbinding te maken met de opgegeven Exchange Server. Deze verbinding wordt gebruikt om mobiele apparaten te zoeken en te beheren die verbinding maken met de Exchange Server. Voor dit account zijn Exchange PowerShell-cmdlets vereist die de vereiste machtigingen bieden voor de Exchange Server computer. Zie De Exchange-connector installeren en configureren voor meer informatie over de cmdlets.
Verbindingsaccount voor beheerpunt
Het beheerpunt gebruikt het verbindingsaccount van het beheerpunt om verbinding te maken met de Configuration Manager sitedatabase. Deze verbinding wordt gebruikt om informatie voor clients te verzenden en op te halen. Het beheerpunt gebruikt standaard het bijbehorende computeraccount, maar u kunt in plaats daarvan een alternatief serviceaccount configureren. Wanneer het beheerpunt zich in een niet-vertrouwd domein van de siteserver bevindt, moet u een alternatief serviceaccount opgeven.
Opmerking
Voor een verbeterde beveiligingsstatus is het raadzaam om een alternatief serviceaccount te gebruiken in plaats van computeraccount voor 'Verbindingsaccount beheerpunt'.
Maak het account als een serviceaccount met een lage rechtse waarde op de computer waarop Microsoft SQL Server wordt uitgevoerd.
Belangrijk
- Ververleent u geen interactieve aanmeldingsrechten voor dit account.
- Als u een account opgeeft in een extern domein of forest, moet u ervoor zorgen dat u de domein-FQDN voor de gebruikersnaam opgeeft en niet alleen de NetBIOS-naam van het domein. Geef bijvoorbeeld Corp.Contoso.com\Gebruikersnaam op in plaats van alleen Corp\UserName. Hierdoor kunnen Configuration Manager Kerberos gebruiken wanneer het account wordt gebruikt om te verifiëren bij het externe sitesysteem. Het gebruik van de FQDN lost vaak verificatiefouten op die het gevolg zijn van recente wijzigingen in beveiliging rond NTLM in maandelijkse Windows-updates.
Multicast-verbindingsaccount
Multicast-distributiepunten gebruiken het Multicast-verbindingsaccount om informatie uit de sitedatabase te lezen. De server gebruikt standaard het computeraccount, maar u kunt in plaats daarvan een serviceaccount configureren. Wanneer de sitedatabase zich in een niet-vertrouwd forest bevindt, moet u een serviceaccount opgeven. Als uw datacenter bijvoorbeeld een perimeternetwerk heeft in een ander forest dan de siteserver en sitedatabase, gebruikt u dit account om de multicastgegevens uit de sitedatabase te lezen.
Als u dit account nodig hebt, maakt u het als een serviceaccount met lage rechten op de computer waarop Microsoft SQL Server wordt uitgevoerd.
Opmerking
Voor een verbeterde beveiligingsstatus is het raadzaam om het serviceaccount te gebruiken in plaats van het computeraccount voor 'Multicast-verbindingsaccount'.
Belangrijk
Ververleent u geen interactieve aanmeldingsrechten voor dit serviceaccount.
Zie Multicast gebruiken om Windows via het netwerk te implementeren voor meer informatie.
Netwerktoegangsaccount
Clientcomputers gebruiken het netwerktoegangsaccount wanneer ze hun lokale computeraccount niet kunnen gebruiken voor toegang tot inhoud op distributiepunten. Het is meestal van toepassing op werkgroepclients en computers uit niet-vertrouwde domeinen. Dit account wordt ook gebruikt tijdens de implementatie van het besturingssysteem, wanneer de computer waarop het besturingssysteem wordt geïnstalleerd nog geen computeraccount in het domein heeft.
Opmerking
Bij het beheren van clients in niet-vertrouwde domeinen en scenario's tussen forests zijn meerdere netwerktoegangsaccounts mogelijk.
Belangrijk
Het account voor netwerktoegang wordt nooit gebruikt als de beveiligingscontext om programma's uit te voeren, software-updates te installeren of takenreeksen uit te voeren. Het wordt alleen gebruikt voor toegang tot resources op het netwerk.
Een Configuration Manager-client probeert eerst het computeraccount te gebruiken om de inhoud te downloaden. Als dit mislukt, wordt automatisch het netwerktoegangsaccount geprobeerd.
Als u de site configureert voor HTTPS of Verbeterde HTTP, kan een werkgroep of Microsoft Entra client die lid is, veilig toegang krijgen tot inhoud van distributiepunten zonder dat hiervoor een netwerktoegangsaccount nodig is. Dit gedrag omvat besturingssysteemimplementatiescenario's met een takenreeks die wordt uitgevoerd vanaf opstartmedia, PXE of het Software Center. Zie Client-naar-beheerpuntcommunicatie voor meer informatie.
Opmerking
Als u Verbeterde HTTP inschakelt om het netwerktoegangsaccount niet te vereisen, moeten distributiepunten momenteel ondersteunde versies van Windows Server of Windows 10/11 worden uitgevoerd.
Machtigingen voor het netwerktoegangsaccount
Geef dit account de minimale juiste machtigingen voor de inhoud die de client nodig heeft om toegang te krijgen tot de software. Het account moet toegang hebben tot deze computer vanaf het netwerk op het distributiepunt. U kunt maximaal 10 netwerktoegangsaccounts per site configureren.
Maak een account in een domein dat de benodigde toegang tot resources biedt. Het netwerktoegangsaccount moet altijd een domeinnaam bevatten. Passthrough-beveiliging wordt niet ondersteund voor dit account. Als u distributiepunten in meerdere domeinen hebt, maakt u het account in een vertrouwd domein.
Tip
Wijzig het wachtwoord voor een bestaand netwerktoegangsaccount niet om accountvergrendelingen te voorkomen. Maak in plaats daarvan een nieuw account en stel het nieuwe account in Configuration Manager. Wanneer er voldoende tijd is verstreken voordat alle clients de nieuwe accountgegevens hebben ontvangen, verwijdert u het oude account uit de gedeelde netwerkmappen en verwijdert u het account.
Belangrijk
Ververleent u geen interactieve aanmeldingsrechten voor dit account.
Geef dit account niet het recht om computers aan het domein toe te voegen. Als u tijdens een takenreeks computers aan het domein moet toevoegen, gebruikt u het account Voor het toevoegen van takenreeksdomeinen.
Het netwerktoegangsaccount configureren
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites. Selecteer vervolgens de site.
Selecteer in de groep Instellingen van het lint de optie Siteonderdelen configureren en kies Softwaredistributie.
Kies het tabblad Netwerktoegangsaccount . Stel een of meer accounts in en kies ok.
Acties waarvoor het netwerktoegangsaccount is vereist
Het netwerktoegangsaccount is nog steeds vereist voor de volgende acties (inclusief eHTTP & PKI-scenario's):
Multicast. Zie Multicast gebruiken om Windows via het netwerk te implementeren voor meer informatie.
Optie voor takenreeksimplementatie om rechtstreeks toegang te krijgen tot inhoud vanaf een distributiepunt wanneer dat nodig is voor de actieve takenreeks. Zie Opties voor takenreeksimplementatie voor meer informatie.
Pas de takenreeksstapoptie Installatiekopieën van het besturingssysteemrechtstreeks vanaf het distributiepunt toe op Toegang tot inhoud. Deze optie is voornamelijk bedoeld voor Windows Embedded-scenario's met weinig schijfruimte waarbij het opslaan van inhoud op de lokale schijf kostbaar is. Zie Inhoud rechtstreeks vanaf het distributiepunt openen voor meer informatie.
Als het downloaden van een pakket van een distributiepunt met behulp van HTTP/HTTPS mislukt, kan het pakket worden gedownload met behulp van SMB van de pakketshare op het distributiepunt. Voor het downloaden van het pakket met behulp van SMB van de pakketshare op het distributiepunt is het gebruik van het netwerktoegangsaccount vereist. Dit terugvalgedrag treedt alleen op als de optie De inhoud in dit pakket kopiëren naar een pakketshare op distributiepunten is ingeschakeld op het tabblad Data Access in de eigenschappen van een pakket. Als u dit gedrag wilt behouden, moet u ervoor zorgen dat het netwerktoegangsaccount niet is uitgeschakeld of verwijderd. Als dit gedrag niet langer gewenst is, controleert u of de optie De inhoud in dit pakket kopiëren naar een pakketshare op distributiepunten niet is ingeschakeld voor een pakket.
Takenreeksstap Statusarchief aanvragen . Als de takenreeks niet kan communiceren met het statusmigratiepunt met behulp van het computeraccount van het apparaat, valt het terug op het gebruik van het netwerktoegangsaccount. Zie State Store aanvragen voor meer informatie.
De eigenschappen van de takenreeks worden ingesteld op Eerst een ander programma uitvoeren. Met deze instelling wordt een pakket en programma uitgevoerd vanaf een netwerkshare voordat de takenreeks wordt gestart. Zie Eigenschappen van takenreeksen: tabblad Geavanceerd voor meer informatie.
Account voor pakkettoegang
Met een account voor pakkettoegang kunt u NTFS-machtigingen instellen om de gebruikers en gebruikersgroepen op te geven die toegang hebben tot pakketinhoud op distributiepunten. Standaard verleent Configuration Manager alleen toegang tot de algemene toegangsaccounts Gebruiker en Beheerder. U kunt de toegang tot clientcomputers beheren met andere Windows-accounts of -groepen. Mobiele apparaten halen pakketinhoud altijd anoniem op, zodat ze geen account voor pakkettoegang gebruiken.
Wanneer Configuration Manager de inhoudsbestanden kopieert naar een distributiepunt, verleent dit standaard leestoegang aan de lokale groep Gebruikers en Volledig beheer aan de lokale groep Administrators. De werkelijke vereiste machtigingen zijn afhankelijk van het pakket. Als u clients in werkgroepen of in niet-vertrouwde forests hebt, gebruiken deze clients het netwerktoegangsaccount voor toegang tot de pakketinhoud. Zorg ervoor dat het netwerktoegangsaccount machtigingen heeft voor het pakket met behulp van de gedefinieerde pakkettoegangsaccounts.
Gebruik accounts in een domein die toegang hebben tot de distributiepunten. Als u het account maakt of wijzigt nadat u het pakket hebt gemaakt, moet u het pakket opnieuw distribueren. Als u het pakket bijwerkt, worden de NTFS-machtigingen voor het pakket niet gewijzigd.
U hoeft het netwerktoegangsaccount niet toe te voegen als een pakkettoegangsaccount, omdat het automatisch wordt toegevoegd door het lidmaatschap van de groep Gebruikers . Als u het toegangsaccount van het pakket beperkt tot alleen het netwerktoegangsaccount, voorkomt u niet dat clients toegang hebben tot het pakket.
Toegangsaccounts voor pakketten beheren
Ga in de Configuration Manager-console naar de werkruimte Softwarebibliotheek.
Bepaal in de werkruimte Softwarebibliotheek het type inhoud waarvoor u toegangsaccounts wilt beheren en volg de opgegeven stappen:
Toepassing: vouw Toepassingsbeheer uit, kies Toepassingen en selecteer vervolgens de toepassing waarvoor u toegangsaccounts wilt beheren.
Pakket: vouw Toepassingsbeheer uit, kies Pakketten en selecteer vervolgens het pakket waarvoor u toegangsaccounts wilt beheren.
Implementatiepakket voor software-updates: vouw Software Updates uit, kies Implementatiepakketten en selecteer vervolgens het implementatiepakket waarvoor u toegangsaccounts wilt beheren.
Stuurprogrammapakket: vouw Besturingssystemen uit, kies Stuurprogrammapakketten en selecteer vervolgens het stuurprogrammapakket waarvoor u toegangsaccounts wilt beheren.
Installatiekopieën van besturingssysteem: vouw Besturingssystemen uit, kies Installatiekopieën van besturingssystemen en selecteer vervolgens de installatiekopieën van het besturingssysteem waarvoor u toegangsaccounts wilt beheren.
Besturingssysteemupgradepakket: vouw Besturingssystemen uit, kies Upgradepakketten voor besturingssysteem en selecteer vervolgens het upgradepakket van het besturingssysteem waarvoor toegangsaccounts moeten worden beheerd.
Opstartinstallatiekopie: vouw Besturingssystemen uit, kies Opstartinstallatiekopieën en selecteer vervolgens de opstartinstallatiekopie waarvoor u toegangsaccounts wilt beheren.
Klik met de rechtermuisknop op het geselecteerde object en kies vervolgens Toegangsaccounts beheren.
Geef in het dialoogvenster Account toevoegen het accounttype op dat toegang tot de inhoud krijgt en geef vervolgens de toegangsrechten op die aan het account zijn gekoppeld.
Opmerking
Wanneer u een gebruikersnaam toevoegt voor het account en Configuration Manager zowel een lokaal gebruikersaccount als een domeingebruikersaccount met die naam vindt, stelt Configuration Manager toegangsrechten in voor het domeingebruikersaccount.
Reporting Services-puntaccount
SQL Server Reporting Services gebruikt het Reporting Services-puntaccount om de gegevens voor Configuration Manager rapporten op te halen uit de sitedatabase. Het Windows-gebruikersaccount en wachtwoord dat u opgeeft, worden versleuteld en opgeslagen in de SQL Server Reporting Services-database.
Opmerking
Het account dat u opgeeft, moet lokale aanmeldingsmachtigingen hebben op de computer die als host fungeert voor de SQL Server Reporting Services-database.
Het account krijgt automatisch alle benodigde rechten door te worden toegevoegd aan de smsschm_users SQL Server databaserol op de Configuration Manager-database.
Zie Inleiding tot rapportage voor meer informatie.
Toegestane vieweraccounts voor externe hulpprogramma's
De accounts die u opgeeft als Toegestane viewers voor extern beheer, zijn een lijst met gebruikers die de functionaliteit van externe hulpprogramma's op clients mogen gebruiken.
Zie Inleiding tot beheer op afstand voor meer informatie.
Site-installatieaccount
Gebruik een domeingebruikersaccount om u aan te melden bij de server waarop u Configuration Manager een nieuwe site instelt en installeert.
Voor dit account zijn de volgende rechten vereist:
Beheerder op de volgende servers:
- De siteserver
- Elke server die als host fungeert voor de sitedatabase
- Elk exemplaar van de SMS-provider voor de site
Sysadmin op het exemplaar van SQL Server dat als host fungeert voor de sitedatabase
Configuration Manager wordt dit account automatisch toegevoegd aan de groep SMS-beheerders.
Na de installatie is dit account het enige account met rechten voor de Configuration Manager-console. Als u dit account wilt verwijderen, moet u eerst de rechten toevoegen aan een andere gebruiker.
Wanneer u een zelfstandige site uitbreidt met een centrale beheersite, hebt u voor dit account op de zelfstandige primaire site op de zelfstandige primaire site beheerdersrechten voor volledige beheerder of infrastructuurbeheerder nodig.
Installatieaccount van sitesysteem
De siteserver gebruikt het installatieaccount van het sitesysteem om sitesystemen te installeren, opnieuw te installeren, te verwijderen en in te stellen. Als u het sitesysteem zo instelt dat de siteserver verbindingen met dit sitesysteem moet initiëren, gebruikt Configuration Manager dit account ook om gegevens op te halen uit het sitesysteem nadat het sitesysteem en eventuele rollen zijn geïnstalleerd. Elk sitesysteem kan een ander installatieaccount hebben, maar u kunt slechts één installatieaccount instellen om alle rollen op dat sitesysteem te beheren.
Dit account vereist lokale beheerdersmachtigingen voor de doelsitesystemen. Bovendien moet dit account Toegang tot deze computer hebben vanaf het netwerk in het beveiligingsbeleid op de doelsitesystemen.
Belangrijk
Als u een account opgeeft in een extern domein of forest, moet u ervoor zorgen dat u de domein-FQDN voor de gebruikersnaam opgeeft en niet alleen de NetBIOS-naam van het domein. Geef bijvoorbeeld Corp.Contoso.com\Gebruikersnaam op in plaats van alleen Corp\UserName. Hierdoor kunnen Configuration Manager Kerberos gebruiken wanneer het account wordt gebruikt om te verifiëren bij het externe sitesysteem. Het gebruik van de FQDN lost vaak verificatiefouten op die het gevolg zijn van recente wijzigingen in beveiliging rond NTLM in maandelijkse Windows-updates.
Tip
Als u veel domeincontrollers hebt en deze accounts worden gebruikt in verschillende domeinen, controleert u voordat u het sitesysteem instelt of Active Directory deze accounts heeft gerepliceerd.
Wanneer u een serviceaccount opgeeft op elk sitesysteem dat moet worden beheerd, is deze configuratie veiliger. Het beperkt de schade die aanvallers kunnen aanbrengen. Domeinaccounts zijn echter eenvoudiger te beheren. Overweeg de afweging tussen beveiliging en effectief beheer.
Proxyserveraccount van sitesysteem
De volgende sitesysteemrollen gebruiken het proxyserveraccount van het sitesysteem om toegang te krijgen tot internet via een proxyserver of firewall waarvoor geverifieerde toegang is vereist:
- Asset Intelligence-synchronisatiepunt
- Exchange Server connector
- Serviceverbindingspunt
- Software-updatepunt
Belangrijk
Geef een account op met de minst mogelijke machtigingen voor de vereiste proxyserver of firewall.
Zie Proxyserverondersteuning voor meer informatie.
SMTP-serververbindingsaccount
De siteserver gebruikt het SMTP-serververbindingsaccount om e-mailwaarschuwingen te verzenden wanneer de SMTP-server geverifieerde toegang vereist.
Belangrijk
Geef een account op met de minst mogelijke machtigingen voor het verzenden van e-mailberichten.
Zie Waarschuwingen configureren voor meer informatie.
Verbindingsaccount voor software-updatepunten
De siteserver gebruikt het verbindingsaccount software-updatepunt voor de volgende twee software-updateservices:
Windows Server Update Services (WSUS), waarmee instellingen zoals productdefinities, classificaties en upstream-instellingen worden ingesteld.
WSUS Synchronization Manager, waarmee synchronisatie naar een upstream WSUS-server of Microsoft Update wordt aangevraagd.
Het installatieaccount van het sitesysteem kan onderdelen voor software-updates installeren, maar kan geen specifieke functies voor software-updates uitvoeren op het software-updatepunt. Als u het computeraccount van de siteserver niet kunt gebruiken voor deze functionaliteit omdat het software-updatepunt zich in een niet-vertrouwd forest bevindt, moet u dit account opgeven, samen met het installatieaccount van het sitesysteem.
Dit account moet een lokale beheerder zijn op de computer waarop u WSUS installeert. Het moet ook deel uitmaken van de lokale WSUS-beheerdersgroep .
Zie Plannen voor software-updates voor meer informatie.
Bronsiteaccount
Het migratieproces maakt gebruik van het bronsiteaccount voor toegang tot de SMS-provider van de bronsite. Voor dit account zijn leesmachtigingen vereist voor siteobjecten op de bronsite om gegevens voor migratietaken te verzamelen.
Als u Configuration Manager 2007-distributiepunten of secundaire sites met distributiepunten met locatie hebt, moet dit account, wanneer u deze bijwerken naar Configuration Manager distributiepunten (current branch), ook de machtigingen Verwijderen hebben voor de klasse Site. Deze machtiging is om het distributiepunt tijdens de upgrade te verwijderen van de site Configuration Manager 2007.
Opmerking
Zowel het bronsiteaccount als het bronsitedatabaseaccount worden geïdentificeerd als Migration Manager in het knooppunt Accounts van de werkruimte Beheer in de Configuration Manager-console.
Zie Gegevens migreren tussen hiërarchieën voor meer informatie.
Databaseaccount van bronsite
Het migratieproces maakt gebruik van het databaseaccount van de bronsite voor toegang tot de SQL Server-database voor de bronsite. Als u gegevens wilt verzamelen uit de SQL Server-database van de bronsite, moet het databaseaccount van de bronsite de machtigingen Lezen en Uitvoeren hebben voor de SQL Server-database van de bronsite.
Als u het computeraccount Configuration Manager (current branch) gebruikt, controleert u of voor dit account het volgende geldt:
- Het is lid van de beveiligingsgroep Gedistribueerde COM-gebruikers in hetzelfde domein als de site Configuration Manager 2012.
- Het is lid van de beveiligingsgroep SMS-beheerders .
- Het heeft de machtiging Lezen voor alle Configuration Manager 2012-objecten.
Opmerking
Zowel het bronsiteaccount als het bronsitedatabaseaccount worden geïdentificeerd als Migration Manager in het knooppunt Accounts van de werkruimte Beheer in de Configuration Manager-console.
Zie Gegevens migreren tussen hiërarchieën voor meer informatie.
Takenreeksaccount voor domeindeelname
Windows Setup maakt gebruik van het takenreeksaccount voor domeindeelname om een nieuwe computer met installatiekopieën toe te voegen aan een domein. Dit account is vereist voor de takenreeksstap Domein of Werkgroep deelnemen met de optie Lid worden van een domein . Dit account kan ook worden ingesteld met de stap Netwerkinstellingen toepassen , maar dit is niet vereist.
Voor dit account is het recht Domeindeelname in het doeldomein vereist.
Tip
Maak één domeingebruikersaccount met de minimale machtigingen om lid te worden van het domein en gebruik dit voor alle takenreeksen.
Belangrijk
Wijs geen interactieve aanmeldingsmachtigingen toe aan dit account.
Gebruik het netwerktoegangsaccount niet voor dit account.
Takenreeksnetwerkmapverbindingsaccount
De takenreeksengine maakt gebruik van het verbindingsaccount van de takenreeksnetwerkmap om verbinding te maken met een gedeelde map op het netwerk. Dit account is vereist voor de takenreeksstap Verbinding maken met netwerkmap .
Voor dit account zijn machtigingen vereist voor toegang tot de opgegeven gedeelde map. Dit moet een domeingebruikersaccount zijn.
Tip
Maak één domeingebruikersaccount met minimale machtigingen voor toegang tot de vereiste netwerkresources en gebruik dit voor alle takenreeksen.
Belangrijk
Wijs geen interactieve aanmeldingsmachtigingen toe aan dit account.
Gebruik het netwerktoegangsaccount niet voor dit account.
Takenreeks uitvoeren als account
De takenreeksengine gebruikt de takenreeks uitvoeren als account om opdrachtregels of PowerShell-scripts uit te voeren met andere referenties dan het lokale systeemaccount. Dit account is vereist voor de takenreeksstappen Opdrachtregel uitvoeren en PowerShell-script uitvoeren met de optie Voer deze stap uit als het volgende account .
Stel het account in om de minimale machtigingen te hebben die nodig zijn om de opdrachtregel uit te voeren die u in de takenreeks opgeeft. Voor het account zijn interactieve aanmeldingsrechten vereist. Hiervoor is meestal de mogelijkheid vereist om software te installeren en toegang te krijgen tot netwerkresources. Voor de taak PowerShell-script uitvoeren heeft dit account lokale beheerdersmachtigingen nodig.
Belangrijk
Gebruik het netwerktoegangsaccount niet voor dit account.
Maak van het account nooit een domeinbeheerder.
Stel nooit zwervende profielen in voor dit account. Wanneer de takenreeks wordt uitgevoerd, wordt het zwervende profiel voor het account gedownload. Hierdoor is het profiel kwetsbaar voor toegang op de lokale computer.
Beperk het bereik van het account. Maak bijvoorbeeld verschillende takenreeksen die als accounts voor elke takenreeks worden uitgevoerd. Als er vervolgens een account is gecompromitteerd, worden alleen de clientcomputers waartoe dat account toegang heeft, aangetast.
Als de opdrachtregel beheerderstoegang op de computer vereist, kunt u overwegen om een lokaal beheerdersaccount te maken dat alleen voor dit account wordt gebruikt op alle computers waarop de takenreeks wordt uitgevoerd. Verwijder het account zodra u het niet meer nodig hebt.
Gebruikersobjecten die Configuration Manager gebruikt in SQL Server
Configuration Manager maakt en onderhoudt automatisch de volgende gebruikersobjecten in SQL. Deze objecten bevinden zich in de Configuration Manager-database onder Beveiliging/gebruikers.
Belangrijk
Het wijzigen of verwijderen van deze objecten kan drastische problemen veroorzaken binnen een Configuration Manager omgeving. We raden u aan geen wijzigingen aan te brengen in deze objecten.
smsdbuser_ReadOnly
Dit object wordt gebruikt om query's uit te voeren onder de context alleen-lezen. Dit object wordt gebruikt met verschillende opgeslagen procedures.
smsdbuser_ReadWrite
Dit object wordt gebruikt om machtigingen te bieden voor dynamische SQL-instructies.
smsdbuser_ReportSchema
Dit object wordt gebruikt om SQL Server rapportage-uitvoeringen uit te voeren. De volgende opgeslagen procedure wordt gebruikt met deze functie: spSRExecQuery
.
Databaserollen die Configuration Manager gebruikt in SQL
Configuration Manager maakt en onderhoudt automatisch de volgende rolobjecten in SQL. Deze rollen bieden toegang tot specifieke opgeslagen procedures, tabellen, weergaven en functies. Met deze rollen worden gegevens opgehaald of toegevoegd aan de Configuration Manager-database. Deze objecten bevinden zich in de Configuration Manager-database onder Beveiliging/rollen/databaserollen.
Belangrijk
Het wijzigen of verwijderen van deze objecten kan drastische problemen veroorzaken binnen een Configuration Manager omgeving. Wijzig deze objecten niet. De volgende lijst is alleen ter informatie.
smsdbrole_AITool
Configuration Manager verleent deze machtiging aan gebruikersaccounts met beheerdersrechten op basis van op rollen gebaseerde toegang tot het importeren van volumelicentiegegevens voor Asset Intelligence. Dit account kan worden toegevoegd door een volledige beheerder, Operations-beheerder of Asset Manager-rol, of elke rol met de machtiging Asset Intelligence beheren.
smsdbrole_AIUS
Configuration Manager verleent het computeraccount dat als host fungeert voor het Asset Intelligence-synchronisatiepuntaccount toegang om Asset Intelligence-proxygegevens op te halen en om openstaande AI-gegevens te bekijken voor uploaden.
smsdbrole_CRP
Configuration Manager verleent toestemming aan het computeraccount van het sitesysteem dat ondersteuning biedt voor het certificaatregistratiepunt voor SCEP-ondersteuning (Simple Certificate Enrollment Protocol) voor certificaatondertekening en verlenging.
smsdbrole_CRPPfx
Configuration Manager verleent toestemming aan het computeraccount van het sitesysteem dat ondersteuning biedt voor het certificaatregistratiepunt dat is geconfigureerd voor PFX-ondersteuning voor ondertekening en verlenging.
smsdbrole_DMP
Configuration Manager verleent deze machtiging aan een computeraccount voor een beheerpunt met de optie Toestaan dat mobiele apparaten en Mac-computers dit beheerpunt gebruiken, de mogelijkheid om ondersteuning te bieden voor mdm-ingeschreven apparaten.
smsdbrole_DmpConnector
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor het serviceverbindingspunt om diagnostische gegevens op te halen en te verstrekken, cloudservices te beheren en service-updates op te halen.
smsdbrole_DViewAccess
Configuration Manager verleent deze machtiging aan het computeraccount van de primaire siteservers op de CAS wanneer de optie SQL Server gedistribueerde weergaven is geselecteerd in de eigenschappen van de replicatiekoppeling.
smsdbrole_DWSS
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor de datawarehouse-rol.
smsdbrole_EnrollSvr
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor het inschrijvingspunt om apparaatinschrijving via MDM toe te staan.
smsdbrole_extract
Biedt toegang tot alle uitgebreide schemaweergaven.
smsdbrole_HMSUser
Voor de hiërarchiebeheerservice. Configuration Manager verleent dit account machtigingen voor het beheren van failoverstatusberichten en het SQL Server Broker-transacties tussen sites binnen een hiërarchie.
Opmerking
De rol smdbrole_WebPortal is standaard lid van deze rol.
smsdbrole_MCS
Configuration Manager verleent deze machtiging aan het computeraccount van het distributiepunt dat multicast ondersteunt.
smsdbrole_MP
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor de beheerpuntrol om ondersteuning te bieden voor de Configuration Manager clients.
smsdbrole_MPMBAM
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor het beheerpunt waarmee BitLocker voor een omgeving wordt beheerd.
smsdbrole_MPUserSvc
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor het beheerpunt om toepassingsaanvragen op basis van gebruikers te ondersteunen.
smsdbrole_siteprovider
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor de sms-providerrol.
smsdbrole_siteserver
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor de primaire site of CAS.
smsdbrole_SUP
Configuration Manager verleent deze machtiging aan het computeraccount dat als host fungeert voor het software-updatepunt voor het werken met updates van derden.
smsschm_users
Configuration Manager verleent toegang tot het account dat wordt gebruikt voor het Reporting Services-puntaccount om toegang te verlenen tot de sms-rapportageweergaven om de Configuration Manager rapportagegegevens weer te geven. De gegevens worden verder beperkt door het gebruik van op rollen gebaseerde toegang.
Verhoogde machtigingen
Configuration Manager vereist dat sommige accounts verhoogde machtigingen hebben voor lopende bewerkingen. Zie Bijvoorbeeld Vereisten voor het installeren van een primaire site. De volgende lijst bevat een overzicht van deze machtigingen en de redenen waarom ze nodig zijn.
Het computeraccount van de primaire siteserver en de centrale beheersiteserver vereist:
Lokale beheerdersrechten op alle sitesysteemservers. Deze machtiging is voor het beheren, installeren en verwijderen van systeemservices. De siteserver werkt ook lokale groepen op het sitesysteem bij wanneer u rollen toevoegt of verwijdert.
Sysadmin-toegang tot het SQL Server-exemplaar voor de sitedatabase. Deze machtiging is voor het configureren en beheren van SQL Server voor de site. Configuration Manager nauw integreert met SQL, is het niet alleen een database.
Voor gebruikersaccounts met de rol Volledige beheerder is het volgende vereist:
Lokale beheerdersrechten op alle siteservers. Deze machtiging is voor het weergeven, bewerken, verwijderen en installeren van systeemservices, registersleutels en -waarden en WMI-objecten.
Sysadmin-toegang tot het SQL Server-exemplaar voor de sitedatabase. Deze machtiging is om de database te installeren en bij te werken tijdens de installatie of het herstel. Het is ook vereist voor SQL Server onderhoud en bewerkingen. Bijvoorbeeld het opnieuw indexeren en bijwerken van statistieken.
Opmerking
Sommige organisaties kunnen ervoor kiezen om sysadmin-toegang te verwijderen en deze alleen toe te kennen wanneer dit nodig is. Dit gedrag wordt ook wel 'Just-In-Time(JIT)-toegang' genoemd. In dit geval moeten gebruikers met de rol Volledige beheerder nog steeds toegang hebben tot het lezen, bijwerken en uitvoeren van opgeslagen procedures op de Configuration Manager-database. Met deze machtigingen kunnen ze de meeste problemen oplossen zonder volledige toegang tot sysadmin.