Udostępnij za pośrednictwem


Konta używane w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Poniższe informacje służą do identyfikowania grup, kont i obiektów SQL Server systemu Windows używanych w Configuration Manager, sposobu ich używania i wszelkich wymagań.

Ważna

Jeśli określasz konto w domenie zdalnej lub lesie, należy określić nazwę FQDN domeny przed nazwą użytkownika, a nie tylko nazwę netBIOS domeny. Na przykład określ Corp.Contoso.com\UserName zamiast tylko Corp\UserName. Dzięki temu Configuration Manager używać protokołu Kerberos, gdy konto jest używane do uwierzytelniania w zdalnym systemie lokacji. Korzystanie z nazwy FQDN często naprawia błędy uwierzytelniania wynikające z ostatnich zmian wzmacniania zabezpieczeń wokół NTLM w miesięcznych aktualizacjach systemu Windows.

Grupy systemu Windows, które Configuration Manager tworzą i używają

Configuration Manager automatycznie tworzy i w wielu przypadkach automatycznie utrzymuje następujące grupy systemu Windows:

Uwaga

Gdy Configuration Manager tworzy grupę na komputerze, który jest członkiem domeny, grupa jest lokalną grupą zabezpieczeń. Jeśli komputer jest kontrolerem domeny, grupa jest grupą lokalną domeny. Ten typ grupy jest współużytkowany przez wszystkie kontrolery domeny w domenie.

Manager_CollectedFilesAccess konfiguracji

Configuration Manager używa tej grupy do udzielania dostępu do wyświetlania plików zebranych przez spis oprogramowania.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do spisu oprogramowania.

Typ i lokalizacja funkcji CollectedFilesAccess

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji głównej.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Członkostwo w funkcji CollectedFilesAccess

Configuration Manager automatycznie zarządza członkostwem w grupie. Członkostwo obejmuje użytkowników administracyjnych, którym przyznano uprawnienie Wyświetl zebrane pliki do obiektu zabezpieczanego kolekcji z przypisanej roli zabezpieczeń.

Uprawnienia dla funkcji CollectedFilesAccess

Domyślnie ta grupa ma uprawnienie odczytu do następującego folderu na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess konfiguracji

Ta grupa jest lokalną grupą zabezpieczeń, która Configuration Manager tworzy na serwerze bazy danych lokacji lub serwerze repliki bazy danych dla podrzędnej lokacji głównej. Witryna tworzy ją podczas używania widoków rozproszonych do replikacji bazy danych między lokacjami w hierarchii. Zawiera ona serwer lokacji i SQL Server konta komputerów centralnej lokacji administracyjnej.

Aby uzyskać więcej informacji, zobacz Transfery danych między lokacjami.

Configuration Manager użytkowników zdalnego sterowania

Configuration Manager narzędzia zdalne używają tej grupy do przechowywania kont i grup skonfigurowanych na liście Dozwolonych osób przeglądających. Lokacja przypisuje tę listę do każdego klienta.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zdalnego sterowania.

Typ i lokalizacja dla użytkowników zdalnego sterowania

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na kliencie Configuration Manager, gdy klient otrzymuje zasady, które umożliwiają zdalne narzędzia.

Po wyłączeniu narzędzi zdalnych dla klienta ta grupa nie zostanie automatycznie usunięta. Usuń go ręcznie po wyłączeniu narzędzi zdalnych.

Członkostwo dla użytkowników zdalnego sterowania

Domyślnie w tej grupie nie ma żadnych członków. Po dodaniu użytkowników do listy Dozwoloni osoby przeglądające są automatycznie dodawani do tej grupy.

Użyj listy Dozwolone osoby przeglądające , aby zarządzać członkostwem w tej grupie zamiast dodawać użytkowników lub grupy bezpośrednio do tej grupy.

Oprócz tego, że jest dozwolonym przeglądarką, użytkownik administracyjny musi mieć uprawnienia zdalnego sterowania dla obiektu Kolekcja . Przypisz to uprawnienie przy użyciu roli zabezpieczeń Operator narzędzi zdalnych .

Uprawnienia dla użytkowników zdalnego sterowania

Domyślnie ta grupa nie ma uprawnień dostępu do żadnych lokalizacji na komputerze. Jest on używany tylko do przechowywania listy Dozwolonych osób przeglądających .

Administratorzy programu SMS

Configuration Manager używa tej grupy do udzielania dostępu dostawcy programu SMS za pośrednictwem usługi WMI. Dostęp do dostawcy programu SMS jest wymagany do wyświetlania i zmieniania obiektów w konsoli Configuration Manager.

Uwaga

Konfiguracja administracji opartej na rolach użytkownika administracyjnego określa, które obiekty mogą wyświetlać i zarządzać w przypadku korzystania z konsoli Configuration Manager.

Aby uzyskać więcej informacji, zobacz Planowanie dostawcy programu SMS.

Typ i lokalizacja dla administratorów programu SMS

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze z dostawcą programu SMS.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Członkostwo dla administratorów programu SMS

Configuration Manager automatycznie zarządza członkostwem w grupie. Domyślnie każdy użytkownik administracyjny w hierarchii i konto komputera serwera lokacji są członkami grupy Administratorzy programu SMS na każdym komputerze dostawcy programu SMS w lokacji.

Uprawnienia dla administratorów programu SMS

Prawa i uprawnienia grupy Administratorzy programu SMS można wyświetlić w przystawce MMC kontrolki WMI . Domyślnie ta grupa ma przyznane opcje Włącz konto i Włączanie zdalne w Root\SMS przestrzeni nazw usługi WMI. Uwierzytelnieni użytkownicy mają metody wykonywania, zapis dostawcy i włączanie konta.

W przypadku korzystania ze zdalnej konsoli Configuration Manager skonfiguruj uprawnienia dcom aktywacji zdalnej na komputerze serwera lokacji i dostawcy programu SMS. Przyznaj te prawa grupie Administratorzy programu SMS . Ta akcja upraszcza administrowanie zamiast przyznawania tych praw bezpośrednio użytkownikom lub grupom. Aby uzyskać więcej informacji, zobacz Konfigurowanie uprawnień dcom dla konsoli zdalnego Configuration Manager.

<kod SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Punkty zarządzania, które są zdalne od serwera lokacji, używają tej grupy do nawiązywania połączenia z bazą danych lokacji. Ta grupa zapewnia dostęp punktu zarządzania do folderów skrzynki odbiorczej na serwerze lokacji i w bazie danych lokacji.

Typ i lokalizacja dla SMS_SiteSystemToSiteServerConnection_MP

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze z dostawcą programu SMS.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Członkostwo w SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager automatycznie zarządza członkostwem w grupie. Domyślnie członkostwo obejmuje konta komputerów zdalnych, które mają punkt zarządzania lokacji.

Uprawnienia do SMS_SiteSystemToSiteServerConnection_MP

Domyślnie ta grupa ma uprawnienia odczytu, odczytu & wykonywania i spisu zawartości folderu do następującego folderu na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes. Ta grupa ma również uprawnienie Do zapisu podfolderów poniżej skrzynek odbiorczych, do których punkt zarządzania zapisuje dane klienta.

<kod SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Komputery zdalnego dostawcy programu SMS używają tej grupy do nawiązywania połączenia z serwerem lokacji.

Typ i lokalizacja dla SMS_SiteSystemToSiteServerConnection_SMSProv

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Członkostwo w SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager automatycznie zarządza członkostwem w grupie. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny. Używa tego konta do nawiązywania połączenia z serwerem lokacji od każdego zdalnego dostawcy programu SMS.

Uprawnienia dla SMS_SiteSystemToSiteServerConnection_SMSProv

Domyślnie ta grupa ma uprawnienia odczytu, odczytu & wykonywania i spisu zawartości folderu do następującego folderu na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes. Ta grupa ma również uprawnienia do zapisu i modyfikowania podfolderów poniżej skrzynek odbiorczych. Dostawca programu SMS wymaga dostępu do tych folderów.

Ta grupa ma również uprawnienia odczytu do podfolderów na serwerze lokacji poniżej C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Ma również następujące uprawnienia do podfolderów poniżej C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Odczyt
  • Odczyt & wykonania
  • Lista z zawartością folderów
  • Zapis
  • Modyfikowanie

<kod SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Składnik menedżera wysyłania plików na komputerach zdalnego systemu lokacji Configuration Manager używa tej grupy do nawiązywania połączenia z serwerem lokacji.

Typ i lokalizacja dla SMS_SiteSystemToSiteServerConnection_Stat

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Członkostwo w SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager automatycznie zarządza członkostwem w grupie. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny. Używa tego konta do nawiązywania połączenia z serwerem lokacji z każdego zdalnego systemu lokacji, który uruchamia menedżera wysyłania plików.

Uprawnienia do SMS_SiteSystemToSiteServerConnection_Stat

Domyślnie ta grupa ma uprawnienia odczytu, odczytu & wykonywania i spisu zawartości folderu do następującego folderu i jego podfolderów na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes.

Ta grupa ma również uprawnienia Zapisuj i Modyfikuj do następującego folderu na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<kod SMS_SiteToSiteConnection_sitecode>

Configuration Manager używa tej grupy do włączania replikacji opartej na plikach między lokacjami w hierarchii. Dla każdej lokacji zdalnej, która bezpośrednio przesyła pliki do tej lokacji, ta grupa ma konta skonfigurowane jako konto replikacji plików.

Typ i lokalizacja dla SMS_SiteToSiteConnection

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Członkostwo w SMS_SiteToSiteConnection

Po zainstalowaniu nowej lokacji jako element podrzędny innej lokacji Configuration Manager automatycznie dodaje konto komputera nowego serwera lokacji do tej grupy na serwerze lokacji nadrzędnej. Configuration Manager dodaje również konto komputera lokacji nadrzędnej do grupy na nowym serwerze lokacji. Jeśli określisz inne konto dla transferów opartych na plikach, dodaj to konto do tej grupy na serwerze lokacji docelowej.

Po odinstalowaniu witryny ta grupa nie zostanie automatycznie usunięta. Usuń ją ręcznie po odinstalowaniu witryny.

Uprawnienia do SMS_SiteToSiteConnection

Domyślnie ta grupa ma pełną kontrolę nad następującym folderem: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konta używane przez Configuration Manager

Możesz skonfigurować następujące konta dla Configuration Manager.

Porada

Nie używaj znaku procentowego (%) w haśle dla kont określonych w konsoli Configuration Manager. Uwierzytelnianie konta nie powiedzie się.

Konto odnajdywania grupy usługi Active Directory

Lokacja używa konta odnajdywania grupy usługi Active Directory do odnajdywania następujących obiektów z lokalizacji w Active Directory Domain Services, które określisz:

  • Lokalne, globalne i uniwersalne grupy zabezpieczeń.
  • Członkostwo w tych grupach.
  • Członkostwo w grupach dystrybucyjnych.
    • Grupy dystrybucyjne nie są odnajdywane jako zasoby grupy.

To konto może być kontem komputera serwera lokacji z uruchomionym odnajdywaniem lub kontem użytkownika systemu Windows. Musi mieć uprawnienia dostępu do odczytu do lokalizacji usługi Active Directory określonych do odnajdywania.

Aby dowiedzieć się więcej, zapoznaj się z artykułem Odnajdowanie grup usługi Active Directory.

Konto odnajdywania systemu usługi Active Directory

Lokacja używa konta odnajdywania systemu usługi Active Directory do odnajdywania komputerów z lokalizacji w określonych Active Directory Domain Services.

To konto może być kontem komputera serwera lokacji z uruchomionym odnajdywaniem lub kontem użytkownika systemu Windows. Musi mieć uprawnienia dostępu do odczytu do lokalizacji usługi Active Directory określonych do odnajdywania.

Aby dowiedzieć się więcej, zapoznaj się z artykułem Odnajdowanie systemu usługi Active Directory.

Konto odnajdywania użytkowników usługi Active Directory

Witryna używa konta odnajdywania użytkowników usługi Active Directory do odnajdywania kont użytkowników z lokalizacji w określonych Active Directory Domain Services.

To konto może być kontem komputera serwera lokacji z uruchomionym odnajdywaniem lub kontem użytkownika systemu Windows. Musi mieć uprawnienia dostępu do odczytu do lokalizacji usługi Active Directory określonych do odnajdywania.

Aby dowiedzieć się więcej, zapoznaj się z artykułem Odnajdowanie użytkowników usługi Active Directory.

Konto lasu usługi Active Directory

Lokacja używa konta lasu usługi Active Directory do odnajdywania infrastruktury sieci z lasów usługi Active Directory. Centralne lokacje administracyjne i lokacje główne również używają ich do publikowania danych lokacji w celu Active Directory Domain Services dla lasu.

Uwaga

Lokacje dodatkowe zawsze używają konta komputera serwera lokacji dodatkowej do publikowania w usłudze Active Directory.

Aby odnajdywać i publikować w niezaufanych lasach, konto lasu usługi Active Directory musi być kontem globalnym. Jeśli nie używasz konta komputera serwera lokacji, możesz wybrać tylko konto globalne.

To konto musi mieć uprawnienia do odczytu dla każdego lasu usługi Active Directory, w którym chcesz odnaleźć infrastrukturę sieci.

To konto musi mieć uprawnienia pełnej kontroli do kontenera zarządzania systemem i wszystkich obiektów podrzędnych w każdym lesie usługi Active Directory, w którym chcesz opublikować dane lokacji.

Aby uzyskać więcej informacji, zobacz Przygotowywanie usługi Active Directory do publikowania witryn.

Aby uzyskać więcej informacji, zobacz Odnajdywanie lasu usługi Active Directory.

Konto punktu rejestracji certyfikatu

Ostrzeżenie

Począwszy od wersji 2203, punkt rejestracji certyfikatu nie jest już obsługiwany. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.

Punkt rejestracji certyfikatu używa konta punktu rejestracji certyfikatu do nawiązania połączenia z bazą danych Configuration Manager. Domyślnie używa swojego konta komputera, ale zamiast tego można skonfigurować konto użytkownika. Jeśli punkt rejestracji certyfikatu znajduje się w niezaufanej domenie z serwera lokacji, musisz określić konto użytkownika. To konto wymaga tylko dostępu do odczytu do bazy danych lokacji, ponieważ system komunikatów o stanie obsługuje zadania zapisu.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do profilów certyfikatów.

Przechwytywanie konta obrazu systemu operacyjnego

Podczas przechwytywania obrazu systemu operacyjnego Configuration Manager używa konta przechwytywania obrazu systemu operacyjnego w celu uzyskania dostępu do folderu, w którym są przechowywane przechwycone obrazy. Jeśli dodasz krok Przechwytywanie obrazu systemu operacyjnego do sekwencji zadań, to konto jest wymagane.

Konto musi mieć uprawnienia odczytu i zapisu w udziale sieciowym, w którym przechowywane są przechwycone obrazy.

Jeśli zmienisz hasło dla konta w systemie Windows, zaktualizuj sekwencję zadań przy użyciu nowego hasła. Klient Configuration Manager otrzymuje nowe hasło po następnym pobraniu zasad klienta.

Jeśli musisz użyć tego konta, utwórz jedno konto użytkownika domeny. Przyznaj mu minimalne uprawnienia dostępu do wymaganych zasobów sieciowych i użyj ich do wszystkich sekwencji zadań przechwytywania.

Ważna

Nie przypisuj do tego konta uprawnień do logowania interakcyjnego.

Nie używaj konta dostępu do sieci dla tego konta.

Aby uzyskać więcej informacji, zobacz Tworzenie sekwencji zadań w celu przechwycenia systemu operacyjnego.

Konto instalacji wypychanej klienta

Podczas wdrażania klientów przy użyciu metody instalacji wypychanej klienta lokacja używa konta instalacji wypychanej klienta do łączenia się z komputerami i instalowania oprogramowania klienckiego Configuration Manager. Jeśli nie określisz tego konta, serwer lokacji spróbuje użyć swojego konta komputera.

To konto musi być członkiem lokalnej grupy Administratorzy na docelowych komputerach klienckich. To konto nie wymaga praw Administracja domeny.

Możesz określić więcej niż jedno konto instalacji wypychanej klienta. Configuration Manager próbuje każdego z nich po kolei, dopóki jeden nie powiedzie się.

Porada

Jeśli masz duże środowisko usługi Active Directory i musisz zmienić to konto, użyj następującego procesu, aby skuteczniej koordynować tę aktualizację konta:

  1. Utwórz nowe konto o innej nazwie.
  2. Dodaj nowe konto do listy kont instalacji wypychanej klienta w Configuration Manager.
  3. Zaczekaj wystarczająco dużo czasu, aby Active Directory Domain Services replikować nowe konto.
  4. Następnie usuń stare konto z Configuration Manager i Active Directory Domain Services.

Ważna

Użyj domeny lub lokalnych zasad grupy, aby przypisać użytkownikowi systemu Windows prawo do lokalnego odmowy logowania. Jako członek grupy Administratorzy to konto będzie miało prawo do logowania się lokalnie, co nie jest wymagane. Aby uzyskać lepsze zabezpieczenia, jawnie odmawiaj prawa do tego konta. Prawo odmowy zastępuje prawo zezwalania.

Aby uzyskać więcej informacji, zobacz Instalacja wypychana klienta.

Konto połączenia punktu rejestracji

Punkt rejestracji używa konta połączenia punktu rejestracji w celu nawiązania połączenia z bazą danych Configuration Manager lokacji. Domyślnie używa swojego konta komputera, ale zamiast tego można skonfigurować konto użytkownika. Gdy punkt rejestracji znajduje się w niezaufanej domenie z serwera lokacji, musisz określić konto użytkownika. To konto wymaga dostępu do odczytu i zapisu do bazy danych lokacji.

Aby uzyskać więcej informacji, zobacz Instalowanie ról systemu lokacji dla lokalnego rozwiązania MDM.

Exchange Server konto połączenia

Serwer lokacji używa konta połączenia Exchange Server do nawiązania połączenia z określonym Exchange Server. Używa tego połączenia do znajdowania urządzeń przenośnych łączących się z Exchange Server i zarządzania nimi. To konto wymaga poleceń cmdlet programu Exchange PowerShell, które zapewniają wymagane uprawnienia do komputera Exchange Server. Aby uzyskać więcej informacji na temat poleceń cmdlet, zobacz Instalowanie i konfigurowanie łącznika programu Exchange.

Konto połączenia punktu zarządzania

Punkt zarządzania używa konta połączenia punktu zarządzania, aby nawiązać połączenie z bazą danych lokacji Configuration Manager. Używa tego połączenia do wysyłania i pobierania informacji dla klientów. Punkt zarządzania domyślnie używa swojego konta komputera, ale zamiast tego można skonfigurować alternatywne konto usługi. Gdy punkt zarządzania znajduje się w niezaufanej domenie z serwera lokacji, należy określić alternatywne konto usługi.

Uwaga

W przypadku zwiększonej postawy zabezpieczeń zaleca się korzystanie z alternatywnego konta usługi, a nie konta komputera dla konta "Konto połączenia punktu zarządzania".

Utwórz konto jako konto usługi o niskiej prawej stronie na komputerze z systemem Microsoft SQL Server.

Ważna

  • Nie udzielaj temu kontu interaktywnych praw do logowania.
  • Jeśli określasz konto w domenie zdalnej lub lesie, należy określić nazwę FQDN domeny przed nazwą użytkownika, a nie tylko nazwę netBIOS domeny. Na przykład określ Corp.Contoso.com\UserName zamiast tylko Corp\UserName. Dzięki temu Configuration Manager używać protokołu Kerberos, gdy konto jest używane do uwierzytelniania w zdalnym systemie lokacji. Korzystanie z nazwy FQDN często naprawia błędy uwierzytelniania wynikające z ostatnich zmian wzmacniania zabezpieczeń wokół NTLM w miesięcznych aktualizacjach systemu Windows.

Konto połączenia multiemisji

Punkty dystrybucji z obsługą multiemisji używają konta połączenia multiemisji do odczytywania informacji z bazy danych lokacji. Serwer domyślnie używa swojego konta komputera, ale zamiast tego można skonfigurować konto usługi. Gdy baza danych lokacji znajduje się w lesie niezaufanym, należy określić konto usługi. Jeśli na przykład centrum danych ma sieć obwodową w lesie innym niż serwer lokacji i baza danych lokacji, użyj tego konta, aby odczytać informacje o multiemisji z bazy danych lokacji.

Jeśli potrzebujesz tego konta, utwórz je jako konto usługi o niskiej prawej stronie na komputerze z systemem Microsoft SQL Server.

Uwaga

W przypadku zwiększonej postawy zabezpieczeń zaleca się korzystanie z konta usługi, a nie konta komputera dla "konta połączenia multiemisji".

Ważna

Nie udzielaj interaktywnych praw do logowania do tego konta usługi.

Aby uzyskać więcej informacji, zobacz Używanie multiemisji do wdrażania systemu Windows za pośrednictwem sieci.

Konto dostępu do sieci

Komputery klienckie używają konta dostępu do sieci , gdy nie mogą używać swojego konta komputera lokalnego do uzyskiwania dostępu do zawartości w punktach dystrybucji. Dotyczy to głównie klientów i komputerów grupy roboczej z niezaufanych domen. To konto jest również używane podczas wdrażania systemu operacyjnego, gdy komputer instalujący system operacyjny nie ma jeszcze konta komputera w domenie.

Uwaga

Zarządzanie klientami w niezaufanych domenach i scenariuszach obejmujących wiele lasów umożliwia korzystanie z wielu kont dostępu do sieci.

Ważna

Konto dostępu do sieci nigdy nie jest używane jako kontekst zabezpieczeń do uruchamiania programów, instalowania aktualizacji oprogramowania lub uruchamiania sekwencji zadań. Jest on używany tylko do uzyskiwania dostępu do zasobów w sieci.

Klient Configuration Manager najpierw próbuje pobrać zawartość przy użyciu swojego konta komputera. Jeśli to się nie powiedzie, nastąpi automatyczne próby uzyskania dostępu do konta dostępu do sieci.

W przypadku skonfigurowania lokacji pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP grupa robocza lub Microsoft Entra przyłączony klient może bezpiecznie uzyskiwać dostęp do zawartości z punktów dystrybucji bez konieczności posiadania konta dostępu do sieci. To zachowanie obejmuje scenariusze wdrażania systemu operacyjnego z sekwencją zadań uruchomioną z nośnika rozruchowego, środowiska PXE lub Centrum oprogramowania. Aby uzyskać więcej informacji, zobacz Komunikacja między klientem a punktem zarządzania.

Uwaga

Jeśli włączysz rozszerzony protokół HTTP, aby nie wymagać konta dostępu do sieci, punkty dystrybucji muszą mieć aktualnie obsługiwane wersje systemu Windows Server lub Windows 10/11.

Uprawnienia dla konta dostępu do sieci

Przyznaj temu kontu minimalne odpowiednie uprawnienia do zawartości wymaganej przez klienta w celu uzyskania dostępu do oprogramowania. Konto musi mieć dostęp do tego komputera z sieci bezpośrednio w punkcie dystrybucji. Można skonfigurować maksymalnie 10 kont dostępu do sieci na lokację.

Utwórz konto w dowolnej domenie, która zapewnia niezbędny dostęp do zasobów. Konto dostępu do sieci musi zawsze zawierać nazwę domeny. Zabezpieczenia przekazywane nie są obsługiwane dla tego konta. Jeśli masz punkty dystrybucji w wielu domenach, utwórz konto w zaufanej domenie.

Porada

Aby uniknąć blokad konta, nie zmieniaj hasła na istniejącym koncie dostępu do sieci. Zamiast tego utwórz nowe konto i skonfiguruj nowe konto w Configuration Manager. Gdy upłynie wystarczająco dużo czasu, aby wszyscy klienci otrzymali nowe szczegóły konta, usuń stare konto z udostępnionych folderów sieciowych i usuń konto.

Ważna

Nie udzielaj temu kontu interaktywnych praw do logowania.

Nie przyznaj temu kontu prawa do dołączania komputerów do domeny. Jeśli podczas sekwencji zadań musisz dołączyć komputery do domeny, użyj konta przyłączania do domeny sekwencji zadań.

Konfigurowanie konta dostępu do sieci

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje. Następnie wybierz witrynę.

  2. Na karcie Ustawienia na wstążce wybierz pozycję Konfiguruj składniki lokacji, a następnie wybierz pozycję Dystrybucja oprogramowania.

  3. Wybierz kartę Konto dostępu do sieci . Skonfiguruj co najmniej jedno konto, a następnie wybierz przycisk OK.

Akcje wymagające konta dostępu do sieci

Konto dostępu do sieci jest nadal wymagane dla następujących akcji (w tym scenariuszy infrastruktury kluczy publicznych eHTTP &):

  • Multiemisja. Aby uzyskać więcej informacji, zobacz Używanie multiemisji do wdrażania systemu Windows za pośrednictwem sieci.

  • Opcja wdrożenia sekwencji zadań w celu uzyskania dostępu do zawartości bezpośrednio z punktu dystrybucji, gdy jest to wymagane przez uruchomioną sekwencję zadań. Aby uzyskać więcej informacji, zobacz Opcje wdrażania sekwencji zadań.

  • Zastosuj opcję krok sekwencji zadań Obraz systemu operacyjnego do pozycji Dostęp do zawartości bezpośrednio z punktu dystrybucji. Ta opcja jest przeznaczona głównie dla scenariuszy systemu Windows Embedded z małą ilością miejsca na dysku, gdzie buforowanie zawartości na dysku lokalnym jest kosztowne. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do zawartości bezpośrednio z punktu dystrybucji.

  • Jeśli pobieranie pakietu z punktu dystrybucji przy użyciu protokołu HTTP/HTTPS zakończy się niepowodzeniem, może wrócić do pobierania pakietu przy użyciu protokołu SMB z udziału pakietów w punkcie dystrybucji. Pobranie pakietu przy użyciu protokołu SMB z udziału pakietów w punkcie dystrybucji wymaga użycia konta dostępu do sieci. To rezerwowe zachowanie występuje tylko wtedy, gdy opcja Kopiowanie zawartości w tym pakiecie do udziału pakietów w punktach dystrybucji jest włączona na karcie Dostęp do danych we właściwościach pakietu. Aby zachować to zachowanie, upewnij się, że konto dostępu do sieci nie zostało wyłączone ani usunięte. Jeśli to zachowanie nie jest już pożądane, upewnij się, że opcja Kopiowanie zawartości w tym pakiecie do udziału pakietów w punktach dystrybucji nie jest włączona w żadnym pakiecie.

  • Krok sekwencji zadań Request State Store. Jeśli sekwencja zadań nie może komunikować się z punktem migracji stanu przy użyciu konta komputera urządzenia, powraca do korzystania z konta dostępu do sieci. Aby uzyskać więcej informacji, zobacz Magazyn stanów żądań.

  • Ustawienie właściwości sekwencji zadań w celu uruchomienia innego programu w pierwszej kolejności. To ustawienie uruchamia pakiet i program z udziału sieciowego przed rozpoczęciem sekwencji zadań. Aby uzyskać więcej informacji, zobacz Właściwości sekwencji zadań: karta Zaawansowane.

Konto dostępu do pakietu

Konto dostępu do pakietu umożliwia ustawienie uprawnień NTFS w celu określenia użytkowników i grup użytkowników, którzy mogą uzyskiwać dostęp do zawartości pakietu w punktach dystrybucji. Domyślnie Configuration Manager udziela dostępu tylko do kont dostępu ogólnego Użytkownik i Administrator. Dostęp do komputerów klienckich można kontrolować przy użyciu innych kont lub grup systemu Windows. Urządzenia przenośne zawsze pobierają zawartość pakietu anonimowo, aby nie korzystały z konta dostępu do pakietu.

Domyślnie, gdy Configuration Manager kopiuje pliki zawartości do punktu dystrybucji, udziela ona dostępu do odczytu lokalnej grupie Użytkownicy i pełnej kontroli lokalnej grupie Administratorzy. Rzeczywiste wymagane uprawnienia zależą od pakietu. Jeśli masz klientów w grupach roboczych lub w lasach niezaufanych, klienci ci używają konta dostępu do sieci w celu uzyskania dostępu do zawartości pakietu. Upewnij się, że konto dostępu do sieci ma uprawnienia do pakietu przy użyciu zdefiniowanych kont dostępu do pakietu.

Użyj kont w domenie, która może uzyskiwać dostęp do punktów dystrybucji. Jeśli po utworzeniu pakietu utworzysz lub zmodyfikujesz konto, musisz go ponownie rozpowszechnić. Aktualizowanie pakietu nie powoduje zmiany uprawnień ntfs w pakiecie.

Nie musisz dodawać konta dostępu do sieci jako konta dostępu do pakietu, ponieważ członkostwo w grupie Użytkownicy dodaje je automatycznie. Ograniczenie konta dostępu do pakietu tylko do konta dostępu do sieci nie uniemożliwia klientom uzyskiwania dostępu do pakietu.

Zarządzanie kontami dostępu do pakietów

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Biblioteka oprogramowania.

  2. W obszarze roboczym Biblioteka oprogramowania określ typ zawartości, dla której chcesz zarządzać kontami dostępu, i wykonaj podane kroki:

    • Aplikacja: rozwiń węzeł Zarządzanie aplikacjami, wybierz pozycję Aplikacje, a następnie wybierz aplikację, dla której chcesz zarządzać kontami dostępu.

    • Pakiet: rozwiń węzeł Zarządzanie aplikacjami, wybierz pozycję Pakiety, a następnie wybierz pakiet, dla którego chcesz zarządzać kontami dostępu.

    • Pakiet wdrażania aktualizacji oprogramowania: rozwiń węzeł Aktualizacje oprogramowania, wybierz pozycję Pakiety wdrożeniowe, a następnie wybierz pakiet wdrożeniowy, dla którego chcesz zarządzać kontami dostępu.

    • Pakiet sterowników: rozwiń węzeł Systemy operacyjne, wybierz pozycję Pakiety sterowników, a następnie wybierz pakiet sterowników, dla którego chcesz zarządzać kontami dostępu.

    • Obraz systemu operacyjnego: rozwiń węzeł Systemy operacyjne, wybierz pozycję Obrazy systemu operacyjnego, a następnie wybierz obraz systemu operacyjnego, dla którego chcesz zarządzać kontami dostępu.

    • Pakiet uaktualniania systemu operacyjnego: rozwiń węzeł Systemy operacyjne, wybierz pozycję Pakiety uaktualniania systemu operacyjnego, a następnie wybierz pakiet uaktualniania systemu operacyjnego, dla którego chcesz zarządzać kontami dostępu.

    • Obraz rozruchowy: rozwiń węzeł Systemy operacyjne, wybierz pozycję Obrazy rozruchowe, a następnie wybierz obraz rozruchowy, dla którego chcesz zarządzać kontami dostępu.

  3. Kliknij prawym przyciskiem myszy wybrany obiekt, a następnie wybierz pozycję Zarządzaj kontami dostępu.

  4. W oknie dialogowym Dodawanie konta określ typ konta, któremu zostanie przyznany dostęp do zawartości, a następnie określ prawa dostępu skojarzone z kontem.

    Uwaga

    Po dodaniu nazwy użytkownika konta i Configuration Manager znajduje zarówno konto użytkownika lokalnego, jak i konto użytkownika domeny o tej nazwie, Configuration Manager ustawia prawa dostępu dla konta użytkownika domeny.

Konto punktu usług raportowania

SQL Server Reporting Services używa konta punktu usług Reporting Services do pobierania danych dla raportów Configuration Manager z bazy danych lokacji. Określone konto użytkownika i hasło systemu Windows są szyfrowane i przechowywane w bazie danych SQL Server Reporting Services.

Uwaga

Określone konto musi mieć uprawnienia logowania lokalnego na komputerze hostującym bazę danych SQL Server Reporting Services.

Konto jest automatycznie przyznawane wszystkie niezbędne prawa przez dodanie do roli bazy danych smsschm_users SQL Server w bazie danych Configuration Manager.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do raportowania.

Konta przeglądarki z uprawnieniami narzędzi zdalnych

Konta określone jako Dozwolone osoby przeglądające dla zdalnego sterowania to lista użytkowników, którzy mogą korzystać z funkcji narzędzi zdalnych na klientach.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zdalnego sterowania.

Konto instalacji lokacji

Użyj konta użytkownika domeny, aby zalogować się na serwerze, na którym uruchomiono Configuration Manager skonfigurować i zainstalować nową lokację.

To konto wymaga następujących praw:

  • Administrator na następujących serwerach:

    • Serwer lokacji
    • Każdy serwer hostujący bazę danych lokacji
    • Każde wystąpienie dostawcy programu SMS dla witryny
  • Sysadmin w wystąpieniu SQL Server hostującym bazę danych lokacji

Configuration Manager instalator automatycznie dodaje to konto do grupy Administratorzy programu SMS.

Po instalacji to konto jest jedynym kontem z prawami do konsoli Configuration Manager. Jeśli chcesz usunąć to konto, najpierw dodaj jego prawa do innego użytkownika.

W przypadku rozszerzania autonomicznej lokacji w celu uwzględnienia centralnej lokacji administracyjnej to konto wymaga uprawnień administratora pełnego lub administratora infrastruktury opartych na rolach w autonomicznej lokacji głównej.

Konto instalacji systemu lokacji

Serwer lokacji używa konta instalacji systemu lokacji do instalowania, ponownego instalowania, odinstalowywania i konfigurowania systemów lokacji. Jeśli skonfigurowano system lokacji, aby wymagać od serwera lokacji inicjowania połączeń z tym systemem lokacji, Configuration Manager również używa tego konta do ściągania danych z systemu lokacji po zainstalowaniu systemu lokacji i wszelkich ról. Każdy system lokacji może mieć inne konto instalacyjne, ale można skonfigurować tylko jedno konto instalacyjne do zarządzania wszystkimi rolami w tym systemie lokacji.

To konto wymaga lokalnych uprawnień administracyjnych w docelowych systemach lokacji. Ponadto to konto musi mieć dostęp do tego komputera z sieci w zasadach zabezpieczeń w docelowych systemach lokacji.

Ważna

Jeśli określasz konto w domenie zdalnej lub lesie, należy określić nazwę FQDN domeny przed nazwą użytkownika, a nie tylko nazwę netBIOS domeny. Na przykład określ Corp.Contoso.com\UserName zamiast tylko Corp\UserName. Dzięki temu Configuration Manager używać protokołu Kerberos, gdy konto jest używane do uwierzytelniania w zdalnym systemie lokacji. Korzystanie z nazwy FQDN często naprawia błędy uwierzytelniania wynikające z ostatnich zmian wzmacniania zabezpieczeń wokół NTLM w miesięcznych aktualizacjach systemu Windows.

Porada

Jeśli masz wiele kontrolerów domeny i te konta są używane w różnych domenach, przed skonfigurowaniem systemu lokacji sprawdź, czy usługa Active Directory zreplikowała te konta.

Po określeniu konta usługi w każdym systemie lokacji, który ma być zarządzany, ta konfiguracja jest bezpieczniejsza. Ogranicza to szkody, jakie mogą wyrządzić osoby atakujące. Jednak konta domeny są łatwiejsze do zarządzania. Rozważmy kompromis między bezpieczeństwem a skuteczną administracją.

Konto serwera proxy systemu lokacji

Następujące role systemu lokacji używają konta serwera proxy systemu lokacji do uzyskiwania dostępu do Internetu za pośrednictwem serwera proxy lub zapory, która wymaga uwierzytelnionego dostępu:

  • Punkt synchronizacji analizy zasobów
  • łącznik Exchange Server
  • Punkt połączenia z usługą
  • Punkt aktualizacji oprogramowania

Ważna

Określ konto, które ma najmniejsze możliwe uprawnienia dla wymaganego serwera proxy lub zapory.

Aby uzyskać więcej informacji, zobacz Obsługa serwera proxy.

Konto połączenia serwera SMTP

Serwer lokacji używa konta połączenia serwera SMTP do wysyłania alertów e-mail, gdy serwer SMTP wymaga uwierzytelnionego dostępu.

Ważna

Określ konto, które ma najmniejsze możliwe uprawnienia do wysyłania wiadomości e-mail.

Aby uzyskać więcej informacji, zobacz Konfigurowanie alertów.

Konto połączenia punktu aktualizacji oprogramowania

Serwer lokacji używa konta połączenia punktu aktualizacji oprogramowania dla następujących dwóch usług aktualizacji oprogramowania:

  • Windows Server Update Services (WSUS), która konfiguruje ustawienia, takie jak definicje produktów, klasyfikacje i ustawienia nadrzędne.

  • Menedżer synchronizacji programu WSUS, który żąda synchronizacji z nadrzędnym serwerem WSUS lub usługą Microsoft Update.

Konto instalacji systemu lokacji może instalować składniki aktualizacji oprogramowania, ale nie może wykonywać funkcji specyficznych dla aktualizacji oprogramowania w punkcie aktualizacji oprogramowania. Jeśli nie możesz użyć konta komputera serwera lokacji dla tej funkcji, ponieważ punkt aktualizacji oprogramowania znajduje się w niezaufanym lesie, musisz określić to konto wraz z kontem instalacji systemu lokacji.

To konto musi być administratorem lokalnym na komputerze, na którym jest instalowany program WSUS. Musi również być częścią lokalnej grupy Administratorzy programu WSUS .

Aby uzyskać więcej informacji, zobacz Planowanie aktualizacji oprogramowania.

Konto lokacji źródłowej

Proces migracji używa konta lokacji źródłowej do uzyskania dostępu do dostawcy programu SMS lokacji źródłowej. To konto wymaga uprawnień odczytu do obiektów lokacji w lokacji źródłowej w celu zbierania danych na potrzeby zadań migracji.

Jeśli masz Configuration Manager 2007 punktów dystrybucji lub lokacji dodatkowych ze kolokowanymi punktami dystrybucji, podczas uaktualniania ich do punktów dystrybucji Configuration Manager (bieżąca gałąź) to konto musi mieć również uprawnienia Do usuwania dla klasy Lokacja. To uprawnienie polega na pomyślnym usunięciu punktu dystrybucji z lokacji Configuration Manager 2007 podczas uaktualniania.

Uwaga

Zarówno konto lokacji źródłowej, jak i konto źródłowej bazy danych lokacji są identyfikowane jako Menedżer migracji w węźle Konta obszaru roboczego Administracja w konsoli Configuration Manager.

Aby uzyskać więcej informacji, zobacz Migrowanie danych między hierarchiami.

Konto bazy danych lokacji źródłowej

Proces migracji używa konta bazy danych lokacji źródłowej do uzyskiwania dostępu do bazy danych SQL Server dla lokacji źródłowej. Aby zbierać dane z bazy danych SQL Server lokacji źródłowej, konto bazy danych lokacji źródłowej musi mieć uprawnienia odczytu i wykonywania do bazy danych SQL Server lokacji źródłowej.

Jeśli używasz konta komputera Configuration Manager (bieżąca gałąź), upewnij się, że dla tego konta są spełnione wszystkie następujące warunki:

  • Jest członkiem grupy zabezpieczeń Rozproszoni użytkownicy COM w tej samej domenie co witryna Configuration Manager 2012.
  • Jest członkiem grupy zabezpieczeń Administratorzy programu SMS .
  • Ma uprawnienie Odczyt dla wszystkich obiektów Configuration Manager 2012.

Uwaga

Zarówno konto lokacji źródłowej, jak i konto źródłowej bazy danych lokacji są identyfikowane jako Menedżer migracji w węźle Konta obszaru roboczego Administracja w konsoli Configuration Manager.

Aby uzyskać więcej informacji, zobacz Migrowanie danych między hierarchiami.

Konto przyłączania do domeny sekwencji zadań

Instalator systemu Windows używa konta dołączania do domeny sekwencji zadań , aby dołączyć nowo obraziony komputer do domeny. To konto jest wymagane przez krok sekwencji zadań Dołącz do domeny lub grupy roboczej z opcją Dołącz do domeny . To konto można również skonfigurować za pomocą kroku Zastosuj ustawienia sieciowe , ale nie jest wymagane.

To konto wymaga prawego dołączenia do domeny w domenie docelowej.

Porada

Utwórz jedno konto użytkownika domeny z minimalnymi uprawnieniami do przyłączenia do domeny i użyj go dla wszystkich sekwencji zadań.

Ważna

Nie przypisuj do tego konta uprawnień do logowania interakcyjnego.

Nie używaj konta dostępu do sieci dla tego konta.

Konto połączenia folderu sieciowego sekwencji zadań

Aparat sekwencji zadań używa konta połączenia folderu sieciowego sekwencji zadań w celu nawiązania połączenia z folderem udostępnionym w sieci. To konto jest wymagane przez krok sekwencji zadań Połącz z folderem sieciowym .

To konto wymaga uprawnień dostępu do określonego folderu udostępnionego. Musi to być konto użytkownika domeny.

Porada

Utwórz jedno konto użytkownika domeny z minimalnymi uprawnieniami dostępu do wymaganych zasobów sieciowych i użyj go dla wszystkich sekwencji zadań.

Ważna

Nie przypisuj do tego konta uprawnień do logowania interakcyjnego.

Nie używaj konta dostępu do sieci dla tego konta.

Sekwencja zadań jest uruchamiana jako konto

Aparat sekwencji zadań używa sekwencji zadań uruchamianej jako konto do uruchamiania wierszy poleceń lub skryptów programu PowerShell z poświadczeniami innymi niż konto systemu lokalnego. To konto jest wymagane przez kroki sekwencji zadań Uruchom wiersz polecenia i Uruchom skrypt programu PowerShell z opcją Uruchom ten krok jako wybrane następujące konto .

Skonfiguruj konto, aby mieć minimalne uprawnienia wymagane do uruchomienia wiersza polecenia określonego w sekwencji zadań. Konto wymaga interaktywnych praw do logowania. Zwykle wymaga to możliwości instalowania oprogramowania i uzyskiwania dostępu do zasobów sieciowych. W przypadku zadania Uruchamianie skryptu programu PowerShell to konto wymaga uprawnień administratora lokalnego.

Ważna

Nie używaj konta dostępu do sieci dla tego konta.

Nigdy nie należy tworzyć konta administratorem domeny.

Nigdy nie konfiguruj profilów mobilnych dla tego konta. Po uruchomieniu sekwencji zadań pobiera ona profil roamingu dla konta. Dzięki temu profil jest narażony na dostęp na komputerze lokalnym.

Ogranicz zakres konta. Na przykład utwórz różne sekwencje zadań, które są uruchamiane jako konta dla każdej sekwencji zadań. Następnie, jeśli bezpieczeństwo jednego konta zostanie naruszone, tylko komputery klienckie, do których to konto ma dostęp, zostaną naruszone.

Jeśli wiersz polecenia wymaga dostępu administracyjnego na komputerze, rozważ utworzenie konta administratora lokalnego wyłącznie dla tego konta na wszystkich komputerach z uruchomioną sekwencją zadań. Usuń konto, gdy nie będzie już potrzebne.

Obiekty użytkownika, których Configuration Manager używa w SQL Server

Configuration Manager automatycznie tworzy i utrzymuje następujące obiekty użytkownika w języku SQL. Te obiekty znajdują się w bazie danych Configuration Manager w obszarze Zabezpieczenia/Użytkownicy.

Ważna

Modyfikowanie lub usuwanie tych obiektów może spowodować drastyczne problemy w środowisku Configuration Manager. Zalecamy, aby nie wprowadzać żadnych zmian w tych obiektach.

smsdbuser_ReadOnly

Ten obiekt służy do uruchamiania zapytań w kontekście tylko do odczytu. Ten obiekt jest używany z kilkoma procedurami składowanymi.

smsdbuser_ReadWrite

Ten obiekt służy do udostępniania uprawnień dla dynamicznych instrukcji SQL.

smsdbuser_ReportSchema

Ten obiekt służy do uruchamiania SQL Server Wykonywania raportowania. Z tą funkcją jest używana następująca procedura składowana: spSRExecQuery.

Role bazy danych używane Configuration Manager w języku SQL

Configuration Manager automatycznie tworzy i utrzymuje następujące obiekty roli w języku SQL. Te role zapewniają dostęp do określonych procedur składowanych, tabel, widoków i funkcji. Te role pobierają lub dodają dane do bazy danych Configuration Manager. Te obiekty znajdują się w bazie danych Configuration Manager w obszarze Zabezpieczenia/Role/Role bazy danych.

Ważna

Modyfikowanie lub usuwanie tych obiektów może spowodować drastyczne problemy w środowisku Configuration Manager. Nie zmieniaj tych obiektów. Poniższa lista służy wyłącznie do celów informacyjnych.

smsdbrole_AITool

Configuration Manager przyznaje to uprawnienie do kont użytkowników administracyjnych na podstawie dostępu opartego na rolach do importowania informacji o licencjach zbiorczych na potrzeby analizy zasobów. To konto może zostać dodane przez pełnego administratora, administratora operacji lub rolę menedżera zasobów lub dowolną rolę z uprawnieniami "Zarządzanie analizą zasobów".

smsdbrole_AIUS

Configuration Manager przyznaje kontu komputera hostującego konto punktu synchronizacji analizy zasobów dostęp do pobierania danych serwera proxy analizy zasobów i wyświetlania oczekujących danych AI do przekazania.

smsdbrole_CRP

Configuration Manager udziela uprawnień do konta komputera systemu lokacji, który obsługuje punkt rejestracji certyfikatu dla obsługi protokołu SCEP (Simple Certificate Enrollment Protocol) na potrzeby podpisywania i odnawiania certyfikatów.

smsdbrole_CRPPfx

Configuration Manager udziela uprawnień do konta komputera systemu lokacji, który obsługuje punkt rejestracji certyfikatu skonfigurowany do obsługi pfx do podpisywania i odnawiania.

smsdbrole_DMP

Configuration Manager przyznaje to uprawnienie do konta komputera dla punktu zarządzania z opcją Zezwalaj urządzeniom przenośnym i komputerom Mac na korzystanie z tego punktu zarządzania, co zapewnia obsługę urządzeń zarejestrowanych w rozwiązaniu MDM.

smsdbrole_DmpConnector

Configuration Manager przyznaje to uprawnienie kontu komputera hostującego punkt połączenia z usługą w celu pobierania i dostarczania danych diagnostycznych, zarządzania usługami w chmurze i pobierania aktualizacji usługi.

smsdbrole_DViewAccess

Configuration Manager przyznaje to uprawnienie kontu komputera serwerów lokacji głównej w cas po wybraniu opcji SQL Server widoki rozproszone we właściwości łącza replikacji.

smsdbrole_DWSS

Configuration Manager przyznaje to uprawnienie kontu komputera, które hostuje rolę magazynu danych.

smsdbrole_EnrollSvr

Configuration Manager udziela tego uprawnienia do konta komputera hostującego punkt rejestracji w celu umożliwienia rejestracji urządzeń za pośrednictwem rozwiązania MDM.

smsdbrole_extract

Zapewnia dostęp do wszystkich rozszerzonych widoków schematu.

smsdbrole_HMSUser

Dla usługi menedżera hierarchii. Configuration Manager przyznaje to konto uprawnienia do zarządzania komunikatami o stanie trybu failover i SQL Server transakcji brokera między lokacjami w hierarchii.

Uwaga

Rola smdbrole_WebPortal jest domyślnie członkiem tej roli.

smsdbrole_MCS

Configuration Manager przyznaje to uprawnienie do konta komputera punktu dystrybucji, który obsługuje multiemisji.

smsdbrole_MP

Configuration Manager przyznaje to uprawnienie kontu komputera, które hostuje rolę punktu zarządzania w celu zapewnienia obsługi klientów Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager przyznaje to uprawnienie kontu komputera, które hostuje punkt zarządzania, który zarządza funkcją BitLocker dla środowiska.

smsdbrole_MPUserSvc

Configuration Manager przyznaje to uprawnienie do konta komputera hostującego punkt zarządzania w celu obsługi żądań aplikacji opartych na użytkownikach.

smsdbrole_siteprovider

Configuration Manager przyznaje to uprawnienie kontu komputera, które hostuje rolę dostawcy programu SMS.

smsdbrole_siteserver

Configuration Manager przyznaje to uprawnienie kontu komputera, które hostuje lokację główną lub cas.

smsdbrole_SUP

Configuration Manager przyznaje to uprawnienie do konta komputera hostującego punkt aktualizacji oprogramowania do pracy z aktualizacjami innych firm.

smsschm_users

Configuration Manager udziela dostępu do konta używanego dla konta punktu usług raportowania, aby umożliwić dostęp do widoków raportowania programu SMS w celu wyświetlania Configuration Manager danych raportowania. Dane są dodatkowo ograniczone przy użyciu dostępu opartego na rolach.

Podwyższone uprawnienia

Configuration Manager wymaga, aby niektóre konta miały podwyższone uprawnienia do bieżących operacji. Zobacz na przykład Wymagania wstępne dotyczące instalowania lokacji głównej. Poniższa lista zawiera podsumowanie tych uprawnień i przyczyn, dla których są one potrzebne.

  • Konto komputera serwera lokacji głównej i serwera centralnej lokacji administracyjnej wymaga:

    • Uprawnienia administratora lokalnego na wszystkich serwerach systemu lokacji. To uprawnienie dotyczy zarządzania, instalowania i usuwania usług systemowych. Serwer lokacji aktualizuje również grupy lokalne w systemie lokacji podczas dodawania lub usuwania ról.

    • Dostęp administratora systemu do wystąpienia SQL Server dla bazy danych lokacji. To uprawnienie polega na konfigurowaniu SQL Server lokacji i zarządzaniu nią. Configuration Manager ściśle integruje się z usługą SQL, nie jest to tylko baza danych.

  • Konta użytkowników w roli pełnego administratora wymagają:

    • Uprawnienia administratora lokalnego na wszystkich serwerach lokacji. To uprawnienie dotyczy wyświetlania, edytowania, usuwania i instalowania usług systemowych, kluczy i wartości rejestru oraz obiektów WMI.

    • Dostęp administratora systemu do wystąpienia SQL Server dla bazy danych lokacji. To uprawnienie dotyczy instalowania i aktualizowania bazy danych podczas instalacji lub odzyskiwania. Jest on również wymagany do SQL Server konserwacji i operacji. Na przykład ponowne indeksowanie i aktualizowanie statystyk.

      Uwaga

      Niektóre organizacje mogą zdecydować się na usunięcie dostępu administratora systemu i przyznać go tylko wtedy, gdy jest to wymagane. To zachowanie jest czasami określane jako "dostęp just in time (JIT). W takim przypadku użytkownicy z rolą pełnego administratora powinni nadal mieć dostęp do odczytu, aktualizacji i wykonywania procedur składowanych w bazie danych Configuration Manager. Te uprawnienia umożliwiają rozwiązywanie większości problemów bez pełnego dostępu administratora systemu.