Udostępnij za pośrednictwem


Informacje techniczne dotyczące kont używanych w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poniższe informacje umożliwiają poznanie grup systemu Windows oraz kont używanych w programie System Center 2012 Configuration Manager, sposobu ich używania i wszystkich wymagań.

Grupy systemu Windows tworzone i używane przez program Configuration Manager

Program Menedżer konfiguracji automatycznie tworzy, a w wielu przypadku również automatycznie obsługuje następujące grupy systemu Windows:

Uwaga

Gdy program Menedżer konfiguracji tworzy grupę na komputerze należącym do domeny, grupa ta jest lokalną grupą zabezpieczeń. Jeżeli komputer jest kontrolerem domeny, grupa jest lokalną grupą domeny udostępnianą między wszystkimi kontrolerami w domenie.

ConfigMgr_CollectedFilesAccess

Program Menedżer konfiguracji używa tej grupy w celu udzielenia dostępu do wyświetlania plików zebranych w zapasach oprogramowania.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji głównej.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Członkostwo

Program Menedżer konfiguracji automatycznie zarządza członkostwem grupy. Członkostwo obejmuje użytkowników administracyjnych z uprawnieniem Wyświetl zgromadzone pliki w zabezpieczanym obiekcie Kolekcja za pośrednictwem przypisanej roli zabezpieczeń.

Uprawnienia

Domyślnie ta grupa ma uprawnienie Read w następującym folderze na serwerze lokacji: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccess

Ta grupa jest lokalną grupą zabezpieczeń utworzoną przez program System Center 2012 Configuration Manager na serwerze bazy danych lokacji lub serwerze repliki bazy danych i nie jest obecnie używana. To grupa jest zarezerwowana do użytku w przyszłości przez program Menedżer konfiguracji.

Użytkownicy funkcji zdalnego sterowania programu ConfigMgr

Narzędzia zdalne programu Menedżer konfiguracji używają tej grupy do przechowywania kont i grup skonfigurowanych na liście dopuszczonych podglądów, przypisanych do każdego klienta.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną w kliencie programu Menedżer konfiguracji po otrzymaniu przez klienta zasad w celu włączenia narzędzi zdalnych.

System_CAPS_importantWażne

Po wyłączeniu narzędzi zdalnych w kliencie ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie z każdego komputera klienckiego.

Członkostwo

Domyślnie w tej grupie nie ma żadnych członków. Użytkownicy zostaną automatycznie dodani do tej grupy po dodaniu ich do listy dozwolonych osób przeglądających.

System_CAPS_tipPorada

Za pomocą listy dozwolonych osób przeglądających można zarządzać członkostwem w tej grupie bez konieczności bezpośredniego dodawania do niej użytkowników ani grup.

Użytkownik administracyjny oprócz uprawnienia Dozwolona osoba przeglądająca musi również mieć uprawnienie Zdalne sterowanie w obiekcie Kolekcja. To uprawnienie można przypisać za pomocą roli zabezpieczeń zdalnego operatora narzędzi.

Uprawnienia

Domyślnie ta grupa nie ma uprawnień do żadnej lokalizacji na komputerze i służy tylko do przechowywania listy dozwolonych osób przeglądających.

Administratorzy programu SMS

Program Menedżer konfiguracji używa tej grupy w celu udzielenia dostępu do dostawcy programu SMS za pośrednictwem usługi WMI. Dostęp do dostawcy programu SMS jest wymagany w celu wyświetlania i modyfikowania obiektów w konsoli programu Menedżer konfiguracji.

Uwaga

Konfiguracja administracji opartej na rolach określa, które obiekty użytkownicy administracyjni mogą wyświetlać i zarządzać nimi przy użyciu konsoli programu Menedżer konfiguracji.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze z zainstalowanym dostawcą programu SMS.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Członkostwo

Program Menedżer konfiguracji automatycznie zarządza członkostwem grupy. Domyślnie każdy użytkownik administracyjny w hierarchii oraz konto komputera serwera lokacji należą do grupy administratorów programu SMS na każdym komputerze dostawcy programu SMS w lokacji.

Uprawnienia

Uprawnienia administratorów programu SMS są ustawiane w przystawce MMC sterowania usługą WMI. Domyślnie grupie Administratorzy programu SMS są przyznawane uprawnienia Enable Account i Remote Enable w przestrzeni nazw Root\SMS. Użytkownicy uwierzytelnieni mają uprawnienia Execute Methods, Provider Write i Enable Account.

Uwaga

Użytkownicy administracyjni używający zdalnej konsoli programu Menedżer konfiguracji wymagają uprawnień do modelu DCOM zdalnej aktywacji na komputerze serwera lokacji oraz komputerze dostawcy programu SMS. W celu ułatwienia administracji zaleca się przyznanie tych uprawnień administratorom programu SMS, a nie bezpośrednio użytkownikom lub grupom. Więcej informacji znajduje się w sekcji Konfigurowanie uprawnień modelu DCOM dotyczących zdalnych połączeń z konsolą programu Configuration Manager w temacie Zarządzanie konfiguracjami lokacji i hierarchii.

SMS_SiteSystemToSiteServerConnection_MP_< kod lokacji >

Punkty zarządzania programu Menedżer konfiguracji sterowane zdalnie z serwera lokacji używają tej grupy do łączenia się z bazą danych lokacji. Ta grupa umożliwia punktowi zarządzania dostęp do folderów skrzynki odbiorczej na serwerze lokacji i w bazie danych lokacji.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze z zainstalowanym dostawcą programu SMS.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Członkostwo

Program Menedżer konfiguracji automatycznie zarządza członkostwem grupy. Domyślnie członkostwo obejmuje konta komputerów zdalnych, na których znajduje się punkt zarządzania dla danej lokacji.

Uprawnienia

Domyślnie ta grupa ma uprawnienia Read, Read & execute i List folder contents w folderze %path%\Microsoft Configuration Manager\inboxes na serwerze lokacji. Ponadto ta grupa ma dodatkowe uprawnienie Write w różnych podfolderach należących do folderów inboxes, w których punkt zarządzania zapisuje dane klienta.

SMS_SiteSystemToSiteServerConnection_SMSProv_< kod lokacji >

Sterowane zdalnie z serwera lokacji komputery dostawcy programu SMS w ramach programu Menedżer konfiguracji używają tej grupy do łączenia się z serwerem lokacji.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Członkostwo

Program Menedżer konfiguracji automatycznie zarządza członkostwem grupy. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny używane do łączenia się z serwerem lokacji z każdego komputera zdalnego z zainstalowanym dostawcą programu SMS dla danej lokacji.

Uprawnienia

Domyślnie ta grupa ma uprawnienia Read, Read & execute i List folder contents w folderze %path%\Microsoft Configuration Manager\inboxes na serwerze lokacji. Ponadto ta grupa ma dodatkowe uprawnienie Write lub uprawnienia Zapis i Modyfikowanie w różnych podfolderach należących do folderów inboxes, do których dostawca programu SMS wymaga dostępu.

Ta grupa ma również uprawnienia Read, Read & execute, List folder contents, Zapis i Modyfikowanie w folderach należących do katalogu %path%\Microsoft Configuration Manager\OSD\boot oraz uprawnienie Odczyt w folderach należących do katalogu %path%\Microsoft Configuration Manager\OSD\Bin na serwerze lokacji.

SMS_SiteSystemToSiteServerConnection_Stat_< kod lokacji >

Menedżer wysyłania plików na komputerach zdalnego systemu lokacji programu Menedżer konfiguracji używa tej grupy do łączenia się z serwerem lokacji.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Członkostwo

Program Menedżer konfiguracji automatycznie zarządza członkostwem grupy. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny używane do łączenia się z serwerem lokacji z każdego komputera zdalnego systemu lokacji z uruchomionym Menedżerem wysyłania plików.

Uprawnienia

Domyślnie ta grupa ma uprawnienia Read, Read & execute i List folder contents w folderze %path%\Microsoft Configuration Manager\inboxes oraz różnych podfolderach należących do tej lokalizacji na serwerze lokacji. Ponadto ta grupa ma dodatkowe uprawnienia Zapis i Modyfikowanie w folderze %path%\Microsoft Configuration Manager\inboxes\statmgr.box na serwerze lokacji.

SMS_SiteToSiteConnection_< kod lokacji >

Program Menedżer konfiguracji używa tej grupy, aby umożliwić replikację opartą na plikach między lokacjami w hierarchii. Ta grupa zawiera następujące konta dla każdej lokacji zdalnej, która bezpośrednio przesyła pliki do tej lokacji:

  • Konta skonfigurowane jako Konto adresu lokacji z lokacji programu Menedżer konfiguracji bez dodatku Service Pack

  • Konta skonfigurowane jako Konto replikacji plików z lokacji, w których działa program Menedżer konfiguracji SP1 lub nowszy

Uwaga

Począwszy tylko od wersji programu Menedżer konfiguracji z dodatkiem SP1, pojęcie Konto adresu lokacji zostało zastąpione pojęciem Konto replikacji plików.

Poniższa tabela zawiera listę dodatkowych szczegółów dotyczących tej grupy:

Szczegóły

Więcej informacji

Typ i lokalizacja

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.

Członkostwo

Podczas instalowania nowej lokacji jako lokacji podrzędnej program Menedżer konfiguracji automatycznie dodaje konto komputera nowej lokacji do grupy na serwerze lokacji nadrzędnej oraz konto komputera lokacji podrzędnych do grupy na serwerze nowej lokacji. W przypadku określenia innego konta do transferów opartych na plikach należy dodać to konto do grupy na docelowym serwerze lokacji.

Uwaga

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta. Należy usunąć ją ręcznie.

Uprawnienia

Domyślnie ta grupa ma uprawnienie pełnej kontroli w folderze %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konta używane przez program Configuration Manager

W programie Menedżer konfiguracji można skonfigurować następujące konta:

Konto odnajdywania grup usługi Active Directory

Konto odnajdywania grup usługi Active Directory służy do odnajdywania lokalnych, globalnych i uniwersalnych grup zabezpieczeń, członkostwa w tych grupach oraz członkostwa w grupach dystrybucyjnych z określonych lokalizacji w usługach domenowych Active Directory. Grupy dystrybucyjne nie są odnajdywane jako zasoby grupy.

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows. Musi mieć uprawnienie dostępu Odczyt do lokalizacji usługi Active Directory określonych do odnajdywania.

Konto odnajdywania systemu usługi Active Directory

Konto odnajdywania systemu usługi Active Directory służy do odnajdywania komputerów z określonych lokalizacji w usługach domenowych Active Directory.

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows. Musi mieć uprawnienie dostępu Odczyt do lokalizacji usługi Active Directory określonych do odnajdywania.

Konto odnajdywania użytkowników usługi Active Directory

Konto odnajdywania użytkowników usługi Active Directory służy do odnajdywania kont użytkowników z określonych lokalizacji w usługach domenowych Active Directory.

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows. Musi mieć uprawnienie dostępu Odczyt do lokalizacji usługi Active Directory określonych do odnajdywania.

Konto lasu usługi Active Directory

Konto lasu usługi Active Directory służy do odnajdywania infrastruktury sieci z lasów usługi Active Directory, a także jest używane przez centralne lokacje administracyjne i lokacje główne do publikowania danych lokacji w lesie usług domenowych Active Directory.

Uwaga

Lokacje dodatkowe zawsze publikują dane w usłudze Active Directory przy użyciu konta komputera serwera lokacji dodatkowej.

Uwaga

W celu odnajdywania i publikowania w niezaufanych lasach konto lasu usługi Active Directory musi być kontem globalnym. Jeżeli nie używasz konta komputera serwera lokacji, możesz wybrać tylko konto globalne.

To konto musi mieć uprawnienia Odczyt w każdym lesie usługi Active Directory, w którym ma zostać przeprowadzone odnajdywanie infrastruktury sieci.

To konto musi mieć uprawnienia Pełna kontrola w kontenerze zarządzania systemem oraz wszystkie jego obiekty podrzędne w każdym lesie usługi Active Directory, w którym będą publikowane dane lokacji.

Konto odnajdywania i udostępniania AMT

Konto odnajdywania i udostępniania AMT pełni taką samą funkcję jak konto administratora zdalnego AMT i znajduje się w rozszerzeniu systemu BIOS aparatu zarządzania (MEBx) na komputerach Intel AMT. Tego konta używa serwer z rolą punktu obsługi poza pasmem w celu zarządzania niektórymi funkcjami interfejsu sieci technologii AMT, korzystając z funkcji zarządzania poza pasmem.

W przypadku określenia w programie Menedżer konfiguracji konta odnajdywania i udostępniania AMT musi ono mieć taką samą nazwę oraz hasło jak konto administratora zdalnego AMT określone w rozszerzenia systemu BIOS na komputerach opartych na technologii AMT.

Konto jest przechowywane w rozszerzeniach systemu BIOS aparatu zarządzania na komputerze opartym na technologii AMT i nie jest zgodne z żadnym kontem systemu Windows.

Konto usuwania udostępniania AMT

Konto usuwania udostępniania AMT umożliwia usunięcie informacji o udostępnianiu AMT w przypadku konieczności przywrócenia lokacji. Użytkownik może go również używać po ponownym przypisaniu klienta Menedżer konfiguracji i pozostawieniu informacji o udostępnianiu AMT na komputerze w starej lokacji.

Aby pomyślnie usunąć informacje o udostępnianiu AMT przy użyciu konta usuwania udostępniania AMT należy spełnić wszystkie następujące warunki:

  • Konto usuwania udostępniania AMT jest skonfigurowane we właściwościach składnika zarządzania poza pasmem.

  • Konto skonfigurowane w ramach konta usuwania udostępniania AMT zostało skonfigurowane we właściwościach składnika zarządzania poza pasmem jako konto użytkownika AMT podczas udostępniania lub aktualizacji komputera opartego na technologii AMT.

  • Konto skonfigurowane w ramach konta usuwania udostępniania AMT musi być członkiem lokalnej grupy administratorów na komputerze punktu usługi poza pasmem.

  • Dziennik inspekcji AMT nie jest włączony.

To jest konto użytkownika systemu Windows i należy określić konto z silnym hasłem, które nie wygaśnie.

Konto administratora zdalnego AMT

Konto administratora zdalnego AMT znajduje się w rozszerzeniu systemu BIOS aparatu zarządzania (MEBx) na komputerach Intel AMT i używa go serwer z rolą punktu obsługi poza pasmem w celu zarządzania niektórymi funkcjami interfejsu sieci technologii AMT w programie Menedżer konfiguracji, korzystając z funkcji zarządzania poza pasmem.

Program Menedżer konfiguracji automatycznie ustawia hasło konta administratora zdalnego na komputerach, które udostępnia w ramach technologii AMT. Hasło to jest następnie używane do późniejszego dostępu uwierzytelnionego do oprogramowania układowego AMT. To konto pełni taką samą funkcję jak konto odnajdywania i udostępniania AMT w programie Menedżer konfiguracji.

Konto jest przechowywane w rozszerzeniach systemu BIOS aparatu zarządzania na komputerze opartym na technologii AMT i nie jest zgodne z żadnym kontem systemu Windows.

Konta użytkowników AMT

Konta użytkowników AMT kontrolują, którzy użytkownicy lub które grupy systemu Windows mogą uruchamiać funkcje zarządzania w konsoli zarządzania poza pasmem.

Konfiguracja kont użytkowników AMT tworzy w oprogramowaniu układowym AMT odpowiednik listy kontroli dostępu (ACL). Gdy zalogowany użytkowników próbuje uruchomić konsolę zarządzania poza pasmem, technologia AMT przeprowadza uwierzytelnianie konta przy użyciu protokołu Kerberos, a następnie autoryzuje lub odmawia dostępu do funkcji zarządzania AMT.

Przed udostępnieniem komputerów opartych na technologii AMT należy skonfigurować konta użytkowników AMT. W przypadku skonfigurowania kont użytkowników AMT po udostępnieniu komputerów do zarządzania AMT należy ręcznie zaktualizować pamięć AMT dla tych komputerów, aby skonfigurować je ponownie przy użyciu nowych ustawień.

Konta użytkowników AMT przeprowadzają uwierzytelnianie przy użyciu protokołu Kerberos, dlatego konta użytkowników i grupy zabezpieczeń muszą istnieć w domenie usługi Active Directory.

Konto serwera proxy punktu synchronizacji analizy zasobów

Punkt synchronizacji analizy zasobów używa tego konta w celu uzyskania dostępu do Internetu za pośrednictwem serwera proxy lub zapory wymagających dostępu uwierzytelnionego.

System_CAPS_security Zabezpieczenia Uwaga

Określ konto, które ma najniższe możliwe uprawnienia do wymaganego serwera proxy lub zapory.

Konto punktu rejestracji certyfikatu

Konto punktu rejestracji certyfikatu łączy punkt rejestracji certyfikatu z bazą danych programu Menedżer konfiguracji. Domyślnie jest używane konto komputera serwera punktu rejestracji certyfikatu, ale można skonfigurować również konto użytkownika. Konto użytkownika należy zawsze określić, gdy punkt rejestracji certyfikatu znajduje się w niezaufanej domenie na serwerze lokacji. To konto wymaga dostępu do odczytu w bazie danych lokacji, ponieważ operacje zapisu wykonuje system komunikatów o stanie.

Konto przechwytywania obrazu systemu operacyjnego

Program Menedżer konfiguracji używa konta przechwytywania obrazu systemu operacyjnego w celu uzyskania dostępu do folderu, w którym są przechowywane obrazy przechwycone podczas wdrażania systemów operacyjnych. To konto jest wymagane w przypadku dodania do sekwencji zadań kroku Przechwyć obraz systemu operacyjnego.

Konto musi mieć uprawnienia Odczyt i Zapis w udziale sieciowym, w którym jest przechowywany przechwycony obraz.

Jeżeli hasło do konta zostanie zmienione w systemie Windows, należy zaktualizować sekwencję zdarzeń, podając nowe hasło. Klient programu Menedżer konfiguracji odbierze nowe hasło podczas następnego pobierania zasad klienta.

W przypadku używania tego konta można utworzyć jedno konto użytkownika domeny z minimalnymi uprawnienia dostępu do wymaganych zasobów sieciowych i używać go w ramach wszystkich kont sekwencji zadań.

System_CAPS_security Zabezpieczenia Uwaga

Nie przypisuj temu kontu interaktywnych uprawnień logowania.

Nie używaj na tym koncie konta dostępu do sieci.

Konto instalacji wypychanej klienta

Konto instalacji wypychanej klienta służy do nawiązywania połączenia z komputerami i instalowania oprogramowania klienta programu Menedżer konfiguracji, jeżeli wdrażanie klientów odbywa się przy użyciu instalacji wypychanej. Jeśli takie konto nie zostanie określone, do zainstalowania oprogramowania klienta będzie używane konto serwera lokacji.

To konto musi należeć do lokalnej grupy Administratorzy na komputerach, na których zostanie zainstalowane oprogramowanie klienta programu Menedżer konfiguracji. To konto nie wymaga uprawnień administratora domeny.

Istnieje możliwość określenia jednego lub większej liczby kont instalacji wypychanej agenta, których program Menedżer konfiguracji kolejno próbuje użyć aż do znalezienia właściwego konta.

System_CAPS_tipPorada

Aby bardziej wydajnie zarządzać aktualizacjami konta w dużych wdrożeniach usługi Active Directory, utwórz nowe konto o innej nazwie, a następnie dodaj je do listy Konta instalacji wypychanej klienta w programie Menedżer konfiguracji. Zapewnij usługom domenowym Active Directory wystarczającą ilość czasu na replikację nowego konta, a następnie usuń stare konto z programu Menedżer konfiguracji i usług domenowych Active Directory.

System_CAPS_security Zabezpieczenia Uwaga

Nie przyznawaj temu kontu uprawnienia do lokalnego logowania.

Konto połączenia punktu rejestracyjnego

Konto połączenia punktu rejestracyjnego łączy punkt rejestracyjny z bazą danych lokacji programu Menedżer konfiguracji. Domyślnie jest używane konto komputera punktu rejestracyjnego, ale można skonfigurować również konto użytkownika. Konto użytkownika należy zawsze określić, gdy punkt rejestracyjny znajduje się w niezaufanej domenie na serwerze lokacji. To konto wymaga uprawnień dostępu do odczytu i zapisu w bazie danych lokacji.

Konto połączenia serwera Exchange

Konto połączenia serwera Exchange łączy serwer lokacji z określonym komputerem serwera Exchange w celu znalezienia urządzeń przenośnych łączących się z tym serwerem i zarządzania nimi. To konto wymaga poleceń cmdlet środowiska PowerShell w ramach serwera Exchange, które zapewniają wymagane uprawnienia na komputerze serwera Exchange. Więcej informacji o poleceniach cmdlet znajduje się w temacie Jak zarządzać urządzeniami przenośnymi za pomocą programu Configuration Manager i Exchange.

Konto serwera proxy łącznika serwera Exchange

Łącznik serwera Exchange używa tego konta w celu uzyskania dostępu do Internetu za pośrednictwem serwera proxy lub zapory wymagających dostępu uwierzytelnionego.

System_CAPS_security Zabezpieczenia Uwaga

Określ konto, które ma najniższe możliwe uprawnienia do wymaganego serwera proxy lub zapory.

Konto połączenia serwera SMTP ochrony punktu końcowego

Program Configuration Manager bez dodatku Service Pack: Serwer lokacji używa konta połączenia serwera SMTP ochrony punktu końcowego do wysyłania za pośrednictwem poczty e-mail alertów dotyczących ochrony punktu końcowego, gdy serwer SMTP wymaga dostępu uwierzytelnionego.

System_CAPS_security Zabezpieczenia Uwaga

Określ konto, które ma najniższe możliwe uprawnienia do wysyłania wiadomości e-mail.

Konto publikowania odwołań do kondycji

Konto publikowania odwołań do kondycji służy do publikowania w usługach domenowych Active Directory odwołania do kondycji Ochrony dostępu do sieci (NAP) dla programu Menedżer konfiguracji.

Jeśli konto nie zostanie skonfigurowane, program Menedżer konfiguracji będzie próbował opublikować odwołania do kondycji za pomocą komputera serwera lokacji.

To konto wymaga uprawnień Odczyt, Zapis i Tworzenie w lesie usługi Active Directory przechowującym odwołanie do kondycji.

Utwórz konto w lesie przeznaczonym do przechowywania odwołań do kondycji. Przypisz temu kontu najniższe możliwe uprawnienia i nie używaj tego samego konta określonego w ramach konta kwerendy odwołania do kondycji, które wymaga tylko uprawnienia dostępu Odczyt.

Konto kwerendy odwołania do stanu kondycji

Konto kwerendy odwołania do stanu kondycji służy do pobierania z usług domenowych Active Directory odwołania do kondycji Ochrony dostępu do sieci (NAP) dla programu Menedżer konfiguracji.

Jeśli konto nie zostanie skonfigurowane, program Menedżer konfiguracji będzie próbował pobrać odwołania do kondycji za pomocą komputera serwera lokacji.

To konto wymaga uprawnień Odczyt do kontenera Zarządzanie systemami programu Menedżer konfiguracji w wykazie globalnym.

Utwórz konto w lesie przeznaczonym do przechowywania odwołań do kondycji. Nie używaj tego samego konta w ramach konta publikowania odwołań do kondycji, które wymaga wyższego poziomu uprawnień.

System_CAPS_security Zabezpieczenia Uwaga

Nie przyznawaj temu kontu interaktywnych uprawnień logowania.

Konto połączenia punktu zarządzania

Konto połączenia punktu zarządzania służy do łączenia punktu zarządzania z bazą danych lokacji programu Menedżer konfiguracji, co umożliwia wysyłanie i pobieranie informacji na potrzeby klientów. Domyślnie jest używane konto komputera punktu zarządzania, ale można skonfigurować również konto użytkownika. Konto użytkownika należy zawsze określić, gdy punkt zarządzania znajduje się w niezaufanej domenie na serwerze lokacji.

Utwórz konto lokalne z niskimi uprawnieniami na komputerze z uruchomionym programem Microsoft SQL Server.

System_CAPS_security Zabezpieczenia Uwaga

Nie przyznawaj temu kontu interaktywnych uprawnień logowania.

Konto MEBx

Konto MEBx znajduje się w rozszerzeniu systemu BIOS aparatu zarządzania (MEBx) na komputerach z technologią AMT. Służy ono do początkowego dostępu uwierzytelnionego do oprogramowania układowego AMT na komputerach z technologią AMT.

Konto MEBx ma nazwę admin i domyślne hasło admin. Producent może dostarczyć niestandardowe hasło lub użytkownik może określić swoje hasło w technologii AMT. W przypadku ustawienia innej wartości hasła MEBx niż admin należy skonfigurować konto odnajdywania i udostępniania AMT. Aby uzyskać więcej informacji, zobacz sekcję Krok 5: Konfigurowanie poza pasmem składnika zarządzania w temacie Sposób obsługi administracyjnej i konfigurowania komputerach opartych na technologii AMT w programie Configuration Manager.

Konto jest przechowywane w rozszerzeniach systemu BIOS aparatu zarządzania na komputerze z technologią AMT. To konto nie odpowiada żadnemu kontu w systemie Windows.

Jeżeli domyślne hasło MEBx nie zostało zmienione przed udostępnieniem przez program Menedżer konfiguracji komputera w ramach technologii AMT, program Menedżer konfiguracji ustawi skonfigurowane hasło podczas procesu udostępniania AMT.

Konto połączenia multiemisji

Punkty dystrybucji skonfigurowane do multiemisji używają konta połączenia multiemisji w celu odczytywania informacji z bazy danych lokacji. Domyślnie jest używane konto komputera punktu dystrybucji, ale można skonfigurować również konto użytkownika. Konto użytkownika należy zawsze określić, gdy baza danych lokacji znajduje się w niezaufanym lesie. Jeżeli na przykład centrum danych ma sieć obwodową w lesie innym niż serwer lokacji i baza danych lokacji, tego konta można używać do odczytywania informacji o multiemisji z bazy danych lokacji.

To konto należy utworzyć jako konto lokalne z niskimi uprawnieniami na komputerze z uruchomionym programem Microsoft SQL Server.

System_CAPS_security Zabezpieczenia Uwaga

Nie przyznawaj temu kontu interaktywnych uprawnień logowania.

Konto dostępu do sieci

Konta dostępu do sieci używają komputery klienckie, gdy nie mogą użyć lokalnego konta komputera w celu uzyskania dostępu do zawartości w punktach dystrybucji. Dotyczy to na przykład komputerów i klientów grupy roboczej z niezaufanych domen. Tego konta można również używać podczas wdrażania systemu operacyjnego, jeżeli komputer instalujący system operacyjny nie ma jeszcze konta komputera w domenie.

Uwaga

Nigdy nie należy używać konta dostępu do sieci jako kontekstu zabezpieczeń do uruchamiania programów, instalowania aktualizacji oprogramowania lub uruchamiania sekwencji zadań; to konto zapewnia tylko dostęp do zasobów w sieci.

Przyznaj temu kontu najniższe odpowiednie uprawnienia w zawartości wymaganej przez klienta w celu uzyskania dostępu do oprogramowania. Konto musi mieć uprawnienie Uzyskiwanie dostępu do tego komputera z sieci w punkcie dystrybucji lub na innym serwerze z zawartością pakietu. W programach starszych niż program System Center 2012 R2 Configuration Manager można utworzyć tylko jedno konto dostępu do sieci na lokację i musi ono działać w ramach wszystkich pakietów oraz sekwencji zadań, do których jest wymagane. Począwszy od programu System Center 2012 R2 Configuration Manager w każdej lokacji można skonfigurować wiele kont dostępu do sieci.

System_CAPS_warningOstrzeżenie

Gdy program Configuration Manager próbuje pobrać zawartość przy użyciu konta o nazwie computername$ i operacja nie powiedzie się, automatycznie ponownie próbuje użyć konta dostępu do sieci, nawet jeśli poprzednia próba zakończyła się niepowodzeniem.

Utwórz konto w dowolnej domenie, która zapewni wymagany dostęp do zasobów. Konto dostępu do sieci zawsze musi zawierać nazwę domeny. To konto nie obsługuje przekazywanych zabezpieczeń. Jeżeli punkty dystrybucji znajdują się w wielu domenach, należy utworzyć konto w zaufanej domenie.

System_CAPS_tipPorada

Aby uniknąć blokad konta, nie należy zmieniać hasła w istniejącym koncie dostępu do sieci. Należy zamiast tego utworzyć nowe konto i skonfigurować je w programie Menedżer konfiguracji. Po upłynięciu wystarczającego czasu na pobranie szczegółów nowego konta przez wszystkich klientów należy usunąć stare konto z udostępnianych folderów sieciowych, a następnie usunąć konto całkowicie.

System_CAPS_security Zabezpieczenia Uwaga

Nie przyznawaj temu kontu interaktywnych uprawnień logowania.

Nie należy przyznawać temu kontu uprawnienia do dołączania komputerów do domeny. Jeżeli musisz dołączyć komputery do domeny podczas sekwencji zadań, użyj konta dołączania do domeny edytora sekwencji zadań.

Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: Teraz można określić wiele kont dostępu do sieci dla lokacji. Gdy klienci próbują uzyskać dostęp do zawartości i nie mogą użyć lokalnego konta komputera, w pierwszej kolejności używają ostatniego konta dostępu do sieci, za pomocą którego pomyślnie nawiązano połączenie. Program Menedżer konfiguracji obsługuje dodanie maksymalnie dziesięciu kont dostępu do sieci.

Konto dostępu do pakietu

Konta dostępu do pakietów umożliwiają skonfigurowanie uprawnień systemu plików NTFS w celu określenia użytkowników i grup użytkowników mogących uzyskiwać dostęp do folderów pakietów w punktach dystrybucji. Program Menedżer konfiguracji umożliwia domyślnie dostęp tylko dla ogólnych kont dostępu Użytkownicy oraz Administratorzy, można jednak sterować dostępem dla komputerów klienckich przy użyciu dodatkowych kont lub grup w systemie Windows. Urządzenia przenośne zawsze pobierają zawartość pakietu anonimowo i nie używają kont dostępu do pakietów.

Gdy program Menedżer konfiguracji utworzy udział pakietu w punkcie dystrybucji, domyślnie przyzna uprawnienie dostępu Odczyt lokalnej grupie Użytkownicy oraz uprawnienie Pełna kontrola lokalnej grupie Administratorzy. Rzeczywiste wymagane uprawnienia są uzależnione od pakietu. Klienci w grupach roboczych lub lasach niezaufanych uzyskują dostęp do zawartości pakietu przy użyciu konta dostępu do sieci. Należy się upewnić, że konto dostępu do sieci dysponuje uprawnieniami dostępu do pakietu przy użyciu zdefiniowanych kont dostępu do pakietów.

Należy użyć kont w domenie mającej dostęp do punktów dystrybucji. W przypadku utworzenia lub zmodyfikowania konta po utworzeniu pakietu należy go ponownie rozesłać. Aktualizacja pakietu nie zmienia uprawnień systemu plików NTFS w pakiecie.

Nie ma konieczności dodawania konta dostępu do sieci jako konta dostępu do pakietu, ponieważ zostanie ono dodane automatycznie w ramach członkostwa grupie Użytkownicy. Ograniczenie konta dostępu do pakietu wyłącznie do konta dostępu do sieci nie uniemożliwi klientom uzyskania dostępu do pakietu.

Konto punktu usług raportowania

Usługi SQL Server Reporting Services używają konta punktu usług raportowania w celu pobrania z bazy danych lokacji danych do raportów programu Menedżer konfiguracji. Określone konto użytkownika systemu Windows i hasło są szyfrowane oraz przechowywane w bazie danych usług SQL Server Reporting Services.

Konta dopuszczonych poglądów narzędzi zdalnych

Konta określone jako Dopuszczone podglądy w ramach zdalnego sterowania stanowią listę użytkowników mogących korzystać z funkcji narzędzi zdalnych na klientach.

Konto instalacji systemu lokacji

Serwer lokacji używa tego konta w celu instalowania, ponownego instalowania, odinstalowywania i konfigurowania systemów lokacji. W przypadku skonfigurowania systemu lokacji, aby wymagał serwera lokacji do nawiązania połączenia z tym systemem, program Menedżer konfiguracji również używa tego konta do pobierania danych z komputera systemu lokacji po zainstalowaniu systemu lokacji i wszelkich jego ról. Każdy system lokacji może mieć inne konto instalacji systemu lokacji, ale można skonfigurować tylko jedno takie konto do zarządzania wszystkimi rolami tego systemu lokacji.

To konto wymaga lokalnych uprawnień administracyjnych w instalowanych i konfigurowanych systemach lokacji. Ponadto to konto musi mieć uprawnienie Uzyskiwanie dostępu do tego komputera z sieci w zasadach zabezpieczeń w ramach instalowanych i konfigurowanych systemów lokacji.

System_CAPS_tipPorada

Jeżeli istnieje wiele kontrolerów domen, a konta te będą używane między domenami, przed skonfigurowaniem systemu lokacji sprawdź, czy konta zostały zreplikowane.

Konfiguracja z określonym kontem lokalnym w każdym zarządzanym systemie lokacji jest bezpieczniejsza niż używanie kont domeny, ponieważ ogranicza ryzyko uszkodzeń spowodowanych przez osoby atakujące w razie złamania zabezpieczeń konta. Kontami domeny można jednak łatwiej zarządzać, dlatego należy rozważyć kompromis między bezpieczeństwem a efektywną administracją.

Konto połączenia serwera SMTP

Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji: Serwer lokacji używa konta połączenia serwera SMTP do wysyłania za pośrednictwem poczty e-mail alertów, gdy serwer SMTP wymaga dostępu uwierzytelnionego.

System_CAPS_security Zabezpieczenia Uwaga

Określ konto, które ma najniższe możliwe uprawnienia do wysyłania wiadomości e-mail.

Konto połączenia punktu aktualizacji oprogramowania

Konta połączenia punktu aktualizacji oprogramowania używa serwer lokacji w ramach dwóch następujących usług aktualizowania oprogramowania:

  • Menedżer konfiguracji programu WSUS, który konfiguruje ustawienia, takie jak definicje, klasyfikacje i ustawienia nadrzędne produktu.

  • Menedżer synchronizacji programu WSUS, który wysyła do nadrzędnego serwera programu WSUS lub usługi Microsoft Update żądania synchronizacji.

Konto instalacji systemu lokacji może instalować składniki w ramach aktualizacji oprogramowania, ale nie może wykonywać funkcji związanych z aktualizacjami w punkcie aktualizacji oprogramowania. Jeżeli punkt aktualizacji oprogramowania znajduje się w niezaufanym lesie i nie można użyć konta komputera serwera lokacji w ramach tej funkcji, należy określić to konto oprócz konta instalacji systemu lokacji.

To konto musi mieć uprawnienia administratora lokalnego na komputerze z zainstalowanym programem WSUS i należeć do grupy administratorów programu WSUS.

Konto serwera proxy punktu aktualizacji oprogramowania

Punkt aktualizacji oprogramowania używa tego konta w celu uzyskania dostępu do Internetu za pośrednictwem serwera proxy lub zapory wymagających dostępu uwierzytelnionego.

System_CAPS_security Zabezpieczenia Uwaga

Określ konto, które ma najniższe możliwe uprawnienia do wymaganego serwera proxy lub zapory.

Konto lokacji źródłowej

Konto lokacji źródłowej jest używane w procesie migracji w celu uzyskania dostępu do dostawcy programu SMS lokacji źródłowej. To konto wymaga uprawnienia dostępu Odczyt w obiektach lokacji źródłowej w celu zbierania danych dotyczących zadań migracji.

Jeśli uaktualniasz punkty dystrybucji programu Configuration Manager 2007 lub jego lokacje dodatkowe, które zawierają punkty dystrybucji kolokowane do punktów dystrybucji programu System Center 2012 Configuration Manager, to konto musi mieć również przypisane uprawnienie Usuń względem klasy Lokacja, gdyż w przeciwnym razie pomyślne usunięcie punktu dystrybucji z lokacji programu Configuration Manager 2007 nie będzie możliwe podczas uaktualniania.

Uwaga

Zarówno konto lokacji źródłowej, jak i konto bazy danych lokacji źródłowej mają zdefiniowany typ Menedżer migracji w węźle Konta obszaru roboczego Administracja w konsoli programu Menedżer konfiguracji.

Konto bazy danych lokacji źródłowej

Konto bazy danych lokacji źródłowej jest używane w procesie migracji w celu uzyskiwania dostępu do bazy danych SQL Server lokacji źródłowej. Aby zbierać dane z bazy danych programu SQL Server lokacji źródłowej, konto bazy danych lokacji źródłowej musi mieć przypisane uprawnienia Odczytaj i Wykonaj względem tej bazy danych.

Uwaga

Jeśli używasz konta komputera programu System Center 2012 Configuration Manager, upewnij się, że są względem niego spełnione wszystkie poniższe warunki:

  • To konto jest członkiem grupy zabezpieczeń Użytkownicy DCOM w domenie, w której znajduje się lokacja źródłowa programu Configuration Manager 2007.

  • To konto jest członkiem grupy zabezpieczeń Administratorzy programu SMS.

  • Konto ma przypisane uprawnienie Odczytaj względem wszystkich obiektów programu Configuration Manager 2007.

Uwaga

Zarówno konto lokacji źródłowej, jak i konto bazy danych lokacji źródłowej mają zdefiniowany typ Menedżer migracji w węźle Konta obszaru roboczego Administracja w konsoli programu Menedżer konfiguracji.

Konto dołączania do domeny edytora sekwencji zadań

Konto dołączania do domeny edytora sekwencji zadań pozwala w sekwencji zadań przyłączać do domeny komputery, w których przypadku utworzono nowe obrazy. To konto jest wymagane w przypadku dodania do sekwencji zadań kroku Przyłącz do domeny lub grupy roboczej, a następnie wybrania kroku Przyłącz do domeny. To konto można również skonfigurować w przypadku dodania do sekwencji zadań kroku Zastosuj ustawienia sieci, jednak nie jest to konieczne.

To konto wymaga uprawnienia Przyłącz do domeny względem domeny, do której będzie przyłączany komputer.

System_CAPS_tipPorada

Jeśli potrzebujesz tego konta w sekwencjach zadań, możesz utworzyć jedno konto użytkownika domeny z minimalnymi uprawnieniami dostępu do wymaganych zasobów sieciowych i użyć go w odniesieniu do wszystkich kont sekwencji zadań.

System_CAPS_security Zabezpieczenia Uwaga

Nie przypisuj temu kontu interaktywnych uprawnień logowania.

Nie używaj na tym koncie konta dostępu do sieci.

Konto łączenia z folderem sieciowym edytora sekwencji zadań

Konto łączenia z folderem sieciowym edytora sekwencji zadań pozwala w sekwencji zadań połączyć się z folderem udostępnionym w sieci. To konto jest wymagane w przypadku dodania do sekwencji zadań kroku Połącz z folderem sieciowym.

To konto wymaga uprawnienia dostępu do konkretnego folderu sieciowego i musi być kontem domeny użytkownika.

System_CAPS_tipPorada

Jeśli potrzebujesz tego konta w sekwencjach zadań, możesz utworzyć jedno konto użytkownika domeny z minimalnymi uprawnieniami dostępu do wymaganych zasobów sieciowych i użyć go w odniesieniu do wszystkich kont sekwencji zadań.

System_CAPS_security Zabezpieczenia Uwaga

Nie przypisuj temu kontu interaktywnych uprawnień logowania.

Nie używaj na tym koncie konta dostępu do sieci.

Konto Uruchom jako w sekwencji zadań

Konto Uruchom jako w sekwencji zadań pozwala uruchamiać wiersze poleceń w sekwencjach zadań oraz korzystać z poświadczeń innych niż poświadczenia konta systemu lokalnego. To konto jest wymagane w przypadku dodania do sekwencji zadań kroku Uruchom wiersz polecenia, gdy nie chcesz, aby sekwencja zadań była uruchamiana z uprawnieniami konta systemu lokalnego na zarządzanym komputerze.

Skonfiguruj konto tak, aby miało przypisane minimalne uprawnienia wymagane do uruchamiania wiersza polecenia zdefiniowanego w sekwencji zadań. To konto wymaga praw logowania interakcyjnego. Wymaga zwykle również możliwości instalowania oprogramowania i dostępu do zasobów sieciowych.

System_CAPS_security Zabezpieczenia Uwaga

Nie używaj na tym koncie konta dostępu do sieci.

Nigdy nie konfiguruj konta administratorem domeny.

Nigdy nie konfiguruj profilów mobilnych dla tego konta. Po uruchomieniu sekwencji zadań pobiera ona profil mobilny dla konta, co sprawia, że profil jest narażony na dostęp na komputerze lokalnym.

Ogranicz zakres konta. Utwórz na przykład różne konta Uruchom jako dla poszczególnych sekwencji zadań. W przypadku złamania zabezpieczeń jednego konta zostaną złamane wyłącznie zabezpieczenia komputerów klienckich, do których to konto ma dostęp.

Jeśli wiersz polecenia wymaga dostępu administracyjnego na komputerze, na wszystkich komputerach uruchamiających sekwencję zadań możesz utworzyć konta administratora lokalnego przeznaczone wyłącznie na potrzeby konta Uruchom jako sekwencji zadań, a następnie usunąć te konta, gdy tylko nie będą potrzebne.