Configuration Manager 中使用的帐户

适用于: Configuration Manager(current branch)

使用以下信息来标识Configuration Manager中使用的 Windows 组、帐户和SQL Server对象、它们的使用方式以及任何要求。

重要

如果要在远程域或林中指定帐户,请确保在用户名之前指定域 FQDN,而不仅仅是域 NetBIOS 名称。 例如,指定 Corp.Contoso.com\UserName,而不仅仅是 Corp\UserName。 这允许Configuration Manager在帐户用于向远程站点系统进行身份验证时使用 Kerberos。 使用 FQDN 通常修复 Windows 每月更新中 NTLM 的最新强化更改导致的身份验证失败。

Configuration Manager创建和使用 Windows 组

Configuration Manager会自动创建并在许多情况下自动维护以下 Windows 组:

注意

当Configuration Manager在属于域成员的计算机上创建组时,该组是本地安全组。 如果计算机是域控制器,则组是域本地组。 这种类型的组在域中的所有域控制器之间共享。

配置Manager_CollectedFilesAccess

Configuration Manager使用此组授予查看软件清单收集的文件的权限。

有关详细信息,请参阅 软件清单简介

CollectedFilesAccess 的类型和位置

此组是在主站点服务器上创建的本地安全组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

CollectedFilesAccess 的成员身份

Configuration Manager自动管理组成员身份。 成员身份包括从分配的安全角色授予对集合安全对象“查看收集的文件”权限的管理用户。

CollectedFilesAccess 的权限

默认情况下,此组对站点服务器上的以下文件夹具有 读取 权限: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

配置Manager_DViewAccess

此组是Configuration Manager在子主站点的站点数据库服务器或数据库副本 (replica) 服务器上创建的本地安全组。 使用分布式视图在层次结构中的站点之间复制数据库时,站点会创建它。 它包含管理中心站点的站点服务器和SQL Server计算机帐户。

有关详细信息,请参阅 站点之间的数据传输

Configuration Manager远程控制用户

Configuration Manager远程工具使用此组来存储在“允许的查看者”列表中设置的帐户和组。 站点将此列表分配给每个客户端。

有关详细信息,请参阅 远程控制简介

远程控制用户的类型和位置

当客户端收到启用远程工具的策略时,此组是在 Configuration Manager 客户端上创建的本地安全组。

为客户端禁用远程工具后,不会自动删除此组。 禁用远程工具后手动删除它。

远程控制用户的成员身份

默认情况下,此组中没有成员。 将用户添加到 “允许的查看者 ”列表中时,这些用户会自动添加到此组。

使用 “允许的查看者 ”列表管理此组的成员身份,而不是直接将用户或组添加到此组。

除了作为允许的查看器之外,管理用户还必须对 Collection 对象具有远程控制权限。 使用 远程工具操作员 安全角色分配此权限。

远程控制用户的权限

默认情况下,此组无权访问计算机上的任何位置。 它仅用于保存 “允许的查看者 ”列表。

短信管理员

Configuration Manager使用此组通过 WMI 授予对 SMS 提供程序的访问权限。 需要访问 SMS 提供程序才能在 Configuration Manager 控制台中查看和更改对象。

注意

管理用户的基于角色的管理配置确定他们在使用 Configuration Manager 控制台时可以查看和管理哪些对象。

有关详细信息,请参阅 规划 SMS 提供程序

SMS 管理员的类型和位置

此组是在具有 SMS 提供程序的每台计算机上创建的本地安全组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

SMS 管理员的成员身份

Configuration Manager自动管理组成员身份。 默认情况下,层次结构中的每个管理用户和站点服务器计算机帐户都是站点中每个 SMS 提供程序计算机上的 SMS 管理员 组的成员。

SMS 管理员的权限

可以在 WMI 控制 MMC 管理单元中查看 SMS 管理员组的权限。 默认情况下,此组在 WMI 命名空间中Root\SMS被授予“启用帐户”和“远程启用”。 经过身份验证的用户具有 Execute 方法提供程序写入启用帐户

使用远程Configuration Manager控制台时,请在站点服务器计算机和 SMS 提供程序上配置远程激活 DCOM 权限。 向 SMS 管理员 组授予这些权限。 此操作简化了管理,而不是直接向用户或组授予这些权限。 有关详细信息,请参阅为远程Configuration Manager控制台配置 DCOM 权限

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

远离站点服务器的管理点使用此组连接到站点数据库。 此组提供对站点服务器和站点数据库上的收件箱文件夹的管理点访问权限。

SMS_SiteSystemToSiteServerConnection_MP的类型和位置

此组是在具有 SMS 提供程序的每台计算机上创建的本地安全组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

SMS_SiteSystemToSiteServerConnection_MP的成员身份

Configuration Manager自动管理组成员身份。 默认情况下,成员身份包括具有站点管理点的远程计算机的计算机帐户。

SMS_SiteSystemToSiteServerConnection_MP的权限

默认情况下,此组具有对站点服务器上以下文件夹的 “读取”、“ 读取 & 执行”和 “列出文件夹内容 ”权限: C:\Program Files\Microsoft Configuration Manager\inboxes。 此组还具有对收件箱下面的子文件夹的写入权限,管理点将客户端数据写入其中。

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

远程 SMS 提供程序计算机使用此组连接到站点服务器。

SMS_SiteSystemToSiteServerConnection_SMSProv的类型和位置

此组是在站点服务器上创建的本地安全组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

SMS_SiteSystemToSiteServerConnection_SMSProv的成员身份

Configuration Manager自动管理组成员身份。 默认情况下,成员身份包括计算机帐户或域用户帐户。 它使用此帐户从每个远程 SMS 提供程序连接到站点服务器。

SMS_SiteSystemToSiteServerConnection_SMSProv的权限

默认情况下,此组具有对站点服务器上以下文件夹的 “读取”、“ 读取 & 执行”和 “列出文件夹内容 ”权限: C:\Program Files\Microsoft Configuration Manager\inboxes。 此组还具有对收件箱下方子文件夹的“写入”和“修改”权限。 SMS 提供程序需要访问这些文件夹。

此组还具有对以下C:\Program Files\Microsoft Configuration Manager\OSD\Bin站点服务器上的子文件夹的读取权限。

它还具有以下对以下 C:\Program Files\Microsoft Configuration Manager\OSD\boot子文件夹的权限:

  • Read
  • 读取 & 执行
  • 列出文件夹内容
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Configuration Manager远程站点系统计算机上的文件调度管理器组件使用此组连接到站点服务器。

SMS_SiteSystemToSiteServerConnection_Stat的类型和位置

此组是在站点服务器上创建的本地安全组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

SMS_SiteSystemToSiteServerConnection_Stat的成员身份

Configuration Manager自动管理组成员身份。 默认情况下,成员身份包括计算机帐户或域用户帐户。 它使用此帐户从运行文件调度管理器的每个远程站点系统连接到站点服务器。

SMS_SiteSystemToSiteServerConnection_Stat的权限

默认情况下,此组具有对站点服务器上以下文件夹及其子文件夹的 “读取”、“ 读取 & 执行”和 “列出文件夹内容 ”权限: C:\Program Files\Microsoft Configuration Manager\inboxes

此组还具有对站点服务器上的以下文件夹的 写入修改 权限: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager使用此组在层次结构中的站点之间启用基于文件的复制。 对于将文件直接传输到此站点的每个远程站点,此组具有设置为 文件复制帐户的帐户

SMS_SiteToSiteConnection的类型和位置

此组是在站点服务器上创建的本地安全组。

SMS_SiteToSiteConnection的成员资格

将新站点安装为另一个站点的子站点时,Configuration Manager自动将新站点服务器的计算机帐户添加到父站点服务器上的此组。 Configuration Manager还会将父站点的计算机帐户添加到新站点服务器上的组中。 如果为基于文件的传输指定另一个帐户,请将该帐户添加到目标站点服务器上的此组。

卸载站点时,此组不会自动删除。 卸载站点后手动将其删除。

SMS_SiteToSiteConnection的权限

默认情况下,此组对以下文件夹具有 完全控制权C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive

Configuration Manager使用的帐户

可以为Configuration Manager设置以下帐户。

提示

请勿在Configuration Manager控制台中指定的帐户的密码中使用百分比字符 % () 。 帐户将无法进行身份验证。

Active Directory 组发现帐户

站点使用 Active Directory 组发现帐户从指定Active Directory 域服务中的位置发现以下对象:

  • 本地、全局和通用安全组。
  • 这些组中的成员身份。
  • 通讯组内的成员身份。
    • 通讯组不会发现为组资源。

此帐户可以是运行发现的站点服务器的计算机帐户,也可以是 Windows 用户帐户。 它必须对你为发现指定的 Active Directory 位置具有 读取 访问权限。

有关详细信息,请参阅 Active Directory 组发现

Active Directory 系统发现帐户

站点使用 Active Directory 系统发现帐户从指定的Active Directory 域服务中的位置发现计算机。

此帐户可以是运行发现的站点服务器的计算机帐户,也可以是 Windows 用户帐户。 它必须对你为发现指定的 Active Directory 位置具有 读取 访问权限。

有关详细信息,请参阅 Active Directory 系统发现

Active Directory 用户发现帐户

站点使用 Active Directory 用户发现帐户从指定Active Directory 域服务中的位置发现用户帐户。

此帐户可以是运行发现的站点服务器的计算机帐户,也可以是 Windows 用户帐户。 它必须对你为发现指定的 Active Directory 位置具有 读取 访问权限。

有关详细信息,请参阅 Active Directory 用户发现

Active Directory 林帐户

站点使用 Active Directory 林帐户 从 Active Directory 林中发现网络基础结构。 管理中心站点和主站点还使用它将站点数据发布到林的Active Directory 域服务。

注意

辅助站点始终使用辅助站点服务器计算机帐户发布到 Active Directory。

若要发现不受信任的林并将其发布到不受信任的林,Active Directory 林帐户必须是全局帐户。 如果不使用站点服务器的计算机帐户,则只能选择全局帐户。

此帐户必须对要发现网络基础结构的每个 Active Directory 林具有 读取 权限。

此帐户必须对要在其中发布站点数据的每个 Active Directory 林中的系统管理容器及其所有子对象具有完全控制权限。

有关详细信息,请参阅 准备 Active Directory 进行网站发布

有关详细信息,请参阅 Active Directory 林发现

证书注册点帐户

警告

从版本 2203 开始,不再支持证书注册点。 有关详细信息,请参阅 有关弃用资源访问的常见问题

证书注册点使用证书注册点帐户连接到 Configuration Manager 数据库。 默认情况下,它使用其计算机帐户,但你可以改为配置用户帐户。 当证书注册点位于站点服务器的不受信任的域中时,必须指定用户帐户。 此帐户只需要对站点数据库的 读取 访问权限,因为状态消息系统处理写入任务。

有关详细信息,请参阅 证书配置文件简介

捕获 OS 映像帐户

捕获 OS 映像时,Configuration Manager使用捕获 OS 映像帐户访问存储捕获映像的文件夹。 如果将 捕获 OS 映像 步骤添加到任务序列,则需要此帐户。

该帐户必须对存储捕获的图像的网络共享具有 读取写入 权限。

如果在 Windows 中更改帐户的密码,请使用新密码更新任务序列。 Configuration Manager客户端在下次下载客户端策略时接收新密码。

如果需要使用此帐户,请创建一个域用户帐户。 向其授予访问所需网络资源的最低权限,并将其用于所有捕获任务序列。

重要

不要为此帐户分配交互式登录权限。

不要为此帐户使用网络访问帐户。

有关详细信息,请参阅 创建任务序列以捕获 OS

客户端请求安装帐户

使用客户端请求安装方法部署客户端时,站点将使用客户端请求安装帐户连接到计算机并安装Configuration Manager客户端软件。 如果未指定此帐户,站点服务器将尝试使用其计算机帐户。

此帐户必须是目标客户端计算机上的本地 管理员 组的成员。 此帐户不需要域管理员权限。

可以指定多个客户端请求安装帐户。 Configuration Manager依次尝试每个操作,直到成功。

提示

如果你有一个大型的 Active Directory 环境,并且需要更改此帐户,请使用以下过程来更有效地协调此帐户更新:

  1. 创建一个具有不同名称的新帐户。
  2. 将新帐户添加到 Configuration Manager 中的客户端请求安装帐户列表中。
  3. 留出足够的时间让Active Directory 域服务复制新帐户。
  4. 然后从 Configuration Manager 和 Active Directory 域服务 中删除旧帐户。

重要

使用域或本地组策略为 Windows 用户分配 拒绝本地登录的权限。 作为管理员组的成员,此帐户将有权在本地登录,这是不需要的。 为了提高安全性,请显式拒绝对此帐户的权限。 拒绝权限取代允许权限。

有关详细信息,请参阅 客户端请求安装

注册点连接帐户

注册点使用注册点连接帐户连接到Configuration Manager站点数据库。 默认情况下,它使用其计算机帐户,但你可以改为配置用户帐户。 当注册点位于站点服务器的不受信任的域中时,必须指定用户帐户。 此帐户需要对站点数据库的 读取写入 访问权限。

有关详细信息,请参阅 安装本地 MDM 的站点系统角色

Exchange Server连接帐户

站点服务器使用 Exchange Server 连接帐户连接到指定的Exchange Server。 它使用此连接来查找和管理连接到Exchange Server的移动设备。 此帐户需要 Exchange PowerShell cmdlet,这些 cmdlet 向Exchange Server计算机提供所需的权限。 有关 cmdlet 的详细信息,请参阅 安装和配置 Exchange 连接器

管理点连接帐户

管理点使用管理点连接帐户连接到Configuration Manager站点数据库。 它使用此连接来发送和检索客户端的信息。 默认情况下,管理点使用其计算机帐户,但你可以改为配置备用服务帐户。 当管理点位于站点服务器的不受信任的域中时,必须指定备用服务帐户。

注意

为了增强安全态势,建议将备用服务帐户而不是计算机帐户用于“管理点连接帐户”。

在运行 Microsoft SQL Server 的计算机上创建帐户作为低权限服务帐户。

重要

  • 不要向此帐户授予交互式登录权限。
  • 如果要在远程域或林中指定帐户,请确保在用户名之前指定域 FQDN,而不仅仅是域 NetBIOS 名称。 例如,指定 Corp.Contoso.com\UserName,而不仅仅是 Corp\UserName。 这允许Configuration Manager在帐户用于向远程站点系统进行身份验证时使用 Kerberos。 使用 FQDN 通常修复 Windows 每月更新中 NTLM 的最新强化更改导致的身份验证失败。

多播连接帐户

启用多播的分发点使用 多播连接帐户 从站点数据库读取信息。 默认情况下,服务器使用其计算机帐户,但你可以改为配置服务帐户。 当站点数据库位于不受信任的林中时,必须指定服务帐户。 例如,如果数据中心在站点服务器和站点数据库以外的林中具有外围网络,请使用此帐户从站点数据库读取多播信息。

如果需要此帐户,请在运行 Microsoft SQL Server 的计算机上将其创建为低权限服务帐户。

注意

为了增强安全态势,建议将服务帐户而不是计算机帐户用于“多播连接帐户”。

重要

不要向此服务帐户授予交互式登录权限。

有关详细信息,请参阅 使用多播通过网络部署 Windows

网络访问帐户

当客户端计算机无法使用本地计算机 帐户访问 分发点上的内容时,它们将使用网络访问帐户。 它主要适用于来自不受信任域的工作组客户端和计算机。 当安装 OS 的计算机在域中尚没有计算机帐户时,也会在 OS 部署期间使用此帐户。

注意

在不受信任的域和跨林方案中管理客户端允许多个网络访问帐户。

重要

网络访问帐户永远不会用作运行程序、安装软件更新或运行任务序列的安全上下文。 它仅用于访问网络上的资源。

Configuration Manager客户端首先尝试使用其计算机帐户下载内容。 如果失败,则会自动尝试网络访问帐户。

如果为 HTTPS 或增强 HTTP 配置站点,则工作组或加入Microsoft Entra的客户端可以安全地访问分发点中的内容,而无需网络访问帐户。 此行为包括操作系统部署方案,其中包含从启动媒体、PXE 或软件中心运行的任务序列。 有关详细信息,请参阅 客户端到管理点通信

注意

如果启用增强型 HTTP 以不需要网络访问帐户,则分发点需要运行当前受支持的 Windows Server 版本或 Windows 10/11。

网络访问帐户的权限

向此帐户授予客户端访问软件所需的内容的最低适当权限。 该帐户必须具有分发点 的“从网络访问此计算机 ”。 每个站点最多可以配置 10 个网络访问帐户。

在提供对资源的必要访问权限的任何域中创建一个帐户。 网络访问帐户必须始终包含域名。 此帐户不支持直通安全性。 如果有多个域中的分发点,请在受信任的域中创建帐户。

提示

若要避免帐户锁定,请不要更改现有网络访问帐户的密码。 请改为在 Configuration Manager 中创建新帐户并设置新帐户。 当所有客户端都经过足够的时间来接收新帐户详细信息时,请从网络共享文件夹中删除旧帐户并删除该帐户。

重要

不要向此帐户授予交互式登录权限。

不要向此帐户授予将计算机加入域的权限。 如果必须在任务序列期间将计算机加入域,请使用 任务序列域加入帐户

配置网络访问帐户

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。 然后选择站点。

  2. 在功能区的 “设置” 组中,选择“ 配置站点组件”,然后选择“ 软件分发”。

  3. 选择“ 网络访问帐户 ”选项卡。设置一个或多个帐户,然后选择 “确定”。

需要网络访问帐户的操作

以下操作仍需要网络访问帐户 (包括 eHTTP & PKI 方案) :

  • 组 播。 有关详细信息,请参阅 使用多播通过网络部署 Windows

  • 任务序列部署选项,用于 在正在运行的任务序列需要时直接从分发点访问内容。 有关详细信息,请参阅 任务序列部署选项

  • 将 OS 映像 任务序列步骤选项应用到 直接从分发点访问内容。 此选项主要适用于磁盘空间不足的 Windows Embedded 方案,其中将内容缓存到本地磁盘的成本很高。 有关详细信息,请参阅 直接从分发点访问内容

  • 如果使用 HTTP/HTTPS 从分发点下载包失败,则它能够回退到使用 SMB 从分发点上的包共享下载包。 使用 SMB 从分发点上的包共享下载包需要使用网络访问帐户。 仅当包属性的“数据访问”选项卡下启用了“将此包中的内容复制到分发点上的包共享”选项时,才会发生此回退行为。 若要保留此行为,请确保未禁用或删除网络访问帐户。 如果不再需要此行为,请确保未在任何包上启用 “将此包中的内容复制到分发点上的包共享 ”选项。

  • 请求状态存储 任务序列步骤。 如果任务序列无法使用设备的计算机帐户与状态迁移点通信,则会回退到使用网络访问帐户。 有关详细信息,请参阅 请求状态存储

  • “任务序列属性”设置为 “先运行另一个程序”。 此设置在任务序列启动之前从网络共享运行包和程序。 有关详细信息,请参阅 任务序列属性:“高级”选项卡

包访问帐户

包访问帐户允许设置 NTFS 权限,以指定可以访问分发点上的包内容的用户和用户组。 默认情况下,Configuration Manager仅向通用访问帐户“用户”和“管理员”授予访问权限。 可以使用其他 Windows 帐户或组来控制对客户端计算机的访问。 移动设备始终以匿名方式检索包内容,因此它们不使用包访问帐户。

默认情况下,当Configuration Manager将内容文件复制到分发点时,它将授予对本地用户组读取访问权限,并授予对本地管理员组的完全控制权限。 所需的实际权限取决于包。 如果在工作组或不受信任的林中有客户端,这些客户端将使用网络访问帐户来访问包内容。 使用定义的包访问帐户,确保网络访问帐户具有对包的权限。

使用域中可访问分发点的帐户。 如果在创建包后创建或修改帐户,则必须重新分发包。 更新包不会更改包的 NTFS 权限。

无需将网络访问帐户添加为包访问帐户,因为 用户组 的成员身份会自动添加该帐户。 将包访问帐户限制为仅网络访问帐户不会阻止客户端访问包。

管理包访问帐户

  1. 在Configuration Manager控制台中,转到“软件库”工作区。

  2. “软件库 ”工作区中,确定要管理其访问帐户的内容类型,并按照提供的步骤操作:

    • 应用程序:展开 “应用程序管理”,选择“ 应用程序”,然后选择要为其管理访问帐户的应用程序。

    • :展开 “应用程序管理”,选择“ ”,然后选择要管理其访问帐户的包。

    • 软件更新部署包:展开“软件汇报”,选择“部署包”,然后选择要为其管理访问帐户的部署包。

    • 驱动程序包:展开 “操作系统”,选择“ 驱动程序包”,然后选择要管理其访问帐户的驱动程序包。

    • OS 映像:展开 “操作系统”,选择“ 操作系统映像”,然后选择要为其管理访问帐户的操作系统映像。

    • OS 升级包:展开 “操作系统”,选择“ 操作系统升级包”,然后选择要为其管理访问帐户的 OS 升级包。

    • 启动映像:展开 “操作系统”,选择“ 启动映像”,然后选择要管理其访问帐户的启动映像。

  3. 右键单击所选对象,然后选择 “管理访问帐户”。

  4. 在“ 添加帐户 ”对话框中,指定将授予对内容的访问权限的帐户类型,然后指定与该帐户关联的访问权限。

    注意

    为帐户添加用户名,Configuration Manager找到本地用户帐户和具有该名称的域用户帐户时,Configuration Manager设置域用户帐户的访问权限。

Reporting Services 点帐户

SQL Server Reporting Services使用 Reporting Services 点帐户从站点数据库中检索Configuration Manager报表的数据。 指定的 Windows 用户帐户和密码已加密并存储在 SQL Server Reporting Services 数据库中。

注意

指定的帐户必须在托管 SQL Server Reporting Services 数据库的计算机上具有本地登录权限。

通过将帐户添加到Configuration Manager数据库上的 smsschm_users SQL Server 数据库角色,会自动授予帐户所有必要的权限。

有关详细信息,请参阅 报告简介

允许的远程工具查看者帐户

你指定为远程控制的 “允许查看者” 的帐户是允许在客户端上使用远程工具功能的用户列表。

有关详细信息,请参阅 远程控制简介

站点安装帐户

使用域用户帐户登录到运行服务器,Configuration Manager安装程序并安装新站点。

此帐户需要以下权限:

  • 以下服务器上的管理员

    • 站点服务器
    • 托管站点数据库的每个服务器
    • 站点的 SMS 提供程序的每个实例
  • 托管站点数据库的 SQL Server 实例上的 Sysadmin

Configuration Manager安装程序会自动将此帐户添加到 SMS 管理员组。

安装后,此帐户是唯一拥有Configuration Manager控制台权限的帐户。 如果需要删除此帐户,请确保先将其权限添加到其他用户。

扩展独立站点以包含管理中心站点时,此帐户需要在独立主站点上具有 “完全管理员”“基础结构管理员 ”基于角色的管理权限。

站点系统安装帐户

站点服务器使用 站点系统安装帐户 来安装、重新安装、卸载和设置站点系统。 如果将站点系统设置为要求站点服务器启动到此站点系统的连接,Configuration Manager还使用此帐户在安装站点系统和任何角色后从站点系统拉取数据。 每个站点系统可以具有不同的安装帐户,但只能设置一个安装帐户来管理该站点系统上的所有角色。

此帐户需要目标站点系统的本地管理权限。 此外,此帐户必须具有从目标站点系统上的安全策略中的 网络访问此计算机

重要

如果要在远程域或林中指定帐户,请确保在用户名之前指定域 FQDN,而不仅仅是域 NetBIOS 名称。 例如,指定 Corp.Contoso.com\UserName,而不仅仅是 Corp\UserName。 这允许Configuration Manager在帐户用于向远程站点系统进行身份验证时使用 Kerberos。 使用 FQDN 通常修复 Windows 每月更新中 NTLM 的最新强化更改导致的身份验证失败。

提示

如果有多个域控制器,并且这些帐户跨域使用,请在设置站点系统之前,检查 Active Directory 已复制这些帐户。

指定要管理的每个站点系统上的服务帐户时,此配置更安全。 它限制了攻击者可以造成的损害。 但是,域帐户更易于管理。 考虑安全性与有效管理之间的权衡。

站点系统代理服务器帐户

以下站点系统角色使用 站点系统代理服务器帐户 通过需要经过身份验证的访问的代理服务器或防火墙访问 Internet:

  • 资产智能同步点
  • Exchange Server 连接器
  • 服务连接点
  • 软件更新点

重要

指定对所需代理服务器或防火墙具有最小权限的帐户。

有关详细信息,请参阅 代理服务器支持

SMTP 服务器连接帐户

当 SMTP 服务器需要经过身份验证的访问权限时,站点服务器使用 SMTP 服务器 连接帐户 发送电子邮件警报。

重要

指定具有发送电子邮件权限最少的帐户。

有关详细信息,请参阅 配置警报

软件更新点连接帐户

站点服务器将 软件更新点连接帐户 用于以下两项软件更新服务:

  • Windows Server Update Services (WSUS) ,用于设置产品定义、分类和上游设置等设置。

  • WSUS 同步管理器,请求同步到上游 WSUS 服务器或Microsoft更新。

站点系统安装帐户可以安装软件更新的组件,但它不能在软件更新点上执行特定于软件更新的功能。 如果由于软件更新点位于不受信任的林中而无法使用站点服务器计算机帐户实现此功能,则必须指定此帐户以及站点系统安装帐户。

此帐户必须是安装 WSUS 的计算机上的本地管理员。 它还必须是本地 WSUS 管理员组的 一部分。

有关详细信息,请参阅 规划软件更新

源站点帐户

迁移过程使用 源站点帐户 访问源站点的 SMS 提供程序。 此帐户需要对源站点上的站点对象 具有读取 权限才能收集迁移作业的数据。

如果Configuration Manager具有并置分发点的 2007 分发点或辅助站点,则将它们升级到Configuration Manager (当前分支) 分发点时,此帐户还必须具有 Site 类的 Delete 权限。 此权限是在升级期间从 Configuration Manager 2007 站点成功删除分发点。

注意

源站点帐户和源站点数据库帐户在 Configuration Manager 控制台的“管理”工作区的“帐户”节点中标识为迁移管理器

有关详细信息,请参阅 在层次结构之间迁移数据

源站点数据库帐户

迁移过程使用源站点数据库帐户访问源站点的 SQL Server 数据库。 若要从源站点的 SQL Server 数据库中收集数据,源站点数据库帐户必须对源站点的 SQL Server 数据库具有读取和执行权限。

如果使用 Configuration Manager (current Branch) 计算机帐户,请确保此帐户满足以下所有条件:

  • 它是与 Configuration Manager 2012 站点位于同一域中的分布式 COM 用户安全组的成员。
  • 它是 SMS 管理员 安全组的成员。
  • 它具有对所有 Configuration Manager 2012 对象的读取权限。

注意

源站点帐户和源站点数据库帐户在 Configuration Manager 控制台的“管理”工作区的“帐户”节点中标识为迁移管理器

有关详细信息,请参阅 在层次结构之间迁移数据

任务序列域加入帐户

Windows 安装程序使用 任务序列域加入帐户 将新映像的计算机加入域。 具有 “加入域”选项的“加入域”或“工作组” 任务序列步骤需要 帐户。 也可以使用 “应用网络设置” 步骤设置此帐户,但这不是必需的。

此帐户需要目标域中的 域加入 权限。

提示

创建一个具有加入域的最低权限的域用户帐户,并将其用于所有任务序列。

重要

不要为此帐户分配交互式登录权限。

不要为此帐户使用网络访问帐户。

任务序列网络文件夹连接帐户

任务序列引擎使用 任务序列网络文件夹连接帐户 连接到网络上的共享文件夹。 连接到网络文件夹任务序列步骤需要此帐户。

此帐户需要权限才能访问指定的共享文件夹。 它必须是域用户帐户。

提示

创建一个具有访问所需网络资源的最低权限的域用户帐户,并将其用于所有任务序列。

重要

不要为此帐户分配交互式登录权限。

不要为此帐户使用网络访问帐户。

任务序列运行方式帐户

任务序列引擎使用 任务序列运行方式帐户 来使用本地系统帐户以外的凭据运行命令行或 PowerShell 脚本。 “运行命令行”“运行 PowerShell 脚本”任务序列步骤需要此帐户,其中选择了选项“运行此步骤”作为以下帐户

将帐户设置为具有运行任务序列中指定的命令行所需的最低权限。 帐户需要交互式登录权限。 它通常需要能够安装软件和访问网络资源。 对于运行 PowerShell 脚本任务,此帐户需要本地管理员权限。

重要

不要为此帐户使用网络访问帐户。

切勿将帐户设为域管理员。

切勿为此帐户设置漫游配置文件。 任务序列运行时,它会下载帐户的漫游配置文件。 这会使配置文件容易受到本地计算机上的访问。

限制帐户的范围。 例如,创建作为每个任务序列的帐户运行的不同任务序列。 然后,如果一个帐户遭到入侵,则只会泄露该帐户有权访问的客户端计算机。

如果命令行需要在计算机上具有管理访问权限,请考虑仅在运行任务序列的所有计算机上为此帐户创建本地管理员帐户。 不再需要帐户后将其删除。

Configuration Manager在 SQL Server 中使用的用户对象

Configuration Manager在 SQL 中自动创建和维护以下用户对象。 这些对象位于“安全性/用户”下的Configuration Manager数据库中。

重要

修改或删除这些对象可能会导致Configuration Manager环境中出现严重问题。 建议不要对这些对象进行任何更改。

smsdbuser_ReadOnly

此对象用于在只读上下文下运行查询。 此对象与多个存储过程一起使用。

smsdbuser_ReadWrite

此对象用于提供动态 SQL 语句的权限。

smsdbuser_ReportSchema

此对象用于运行SQL Server报告执行。 以下存储过程用于此函数: spSRExecQuery

Configuration Manager在 SQL 中使用的数据库角色

Configuration Manager在 SQL 中自动创建和维护以下角色对象。 这些角色提供对特定存储过程、表、视图和函数的访问权限。 这些角色获取或向Configuration Manager数据库添加数据。 这些对象位于“安全/角色/数据库角色”下的Configuration Manager数据库中。

重要

修改或删除这些对象可能会导致Configuration Manager环境中出现严重问题。 请勿更改这些对象。 以下列表仅供参考。

smsdbrole_AITool

Configuration Manager根据基于角色的访问权限向管理用户帐户授予此权限,以导入资产智能的批量许可证信息。 此帐户可由完全管理员、操作管理员或 Asset Manager 角色或具有“管理资产智能”权限的任何角色添加。

smsdbrole_AIUS

Configuration Manager授予托管资产智能同步点帐户的计算机帐户访问权限,以获取资产智能代理数据并查看待上传的 AI 数据。

smsdbrole_CRP

Configuration Manager向支持简单证书注册协议的证书注册点的站点系统的计算机帐户授予权限 (SCEP) 证书签名和续订支持。

smsdbrole_CRPPfx

Configuration Manager向站点系统的计算机帐户授予权限,该计算机帐户支持为 PFX 支持配置的证书注册点进行签名和续订。

smsdbrole_DMP

Configuration Manager向具有“允许移动设备和 Mac 计算机使用此管理点”选项的计算机帐户授予此权限,以便能够为 MDM 注册的设备提供支持。

smsdbrole_DmpConnector

Configuration Manager向承载服务连接点的计算机帐户授予此权限,以检索和提供诊断数据、管理云服务以及检索服务更新。

smsdbrole_DViewAccess

Configuration Manager在复制链接属性中选择“SQL Server分布式视图”选项时,向 CAS 上的主站点服务器的计算机帐户授予此权限。

smsdbrole_DWSS

Configuration Manager向托管数据仓库角色的计算机帐户授予此权限。

smsdbrole_EnrollSvr

Configuration Manager向托管注册点的计算机帐户授予此权限,以允许通过 MDM 进行设备注册。

smsdbrole_extract

提供对所有扩展架构视图的访问权限。

smsdbrole_HMSUser

对于层次结构管理器服务。 Configuration Manager授予此帐户管理故障转移状态消息的权限,并在层次结构中的站点之间SQL Server Broker 事务。

注意

默认情况下,smdbrole_WebPortal角色是此角色的成员。

smsdbrole_MCS

Configuration Manager向支持多播的分发点的计算机帐户授予此权限。

smsdbrole_MP

Configuration Manager向托管管理点角色的计算机帐户授予此权限,以提供对Configuration Manager客户端的支持。

smsdbrole_MPMBAM

Configuration Manager向托管管理点的计算机帐户授予此权限,该管理点管理环境为 BitLocker。

smsdbrole_MPUserSvc

Configuration Manager向托管管理点的计算机帐户授予此权限,以支持基于用户的应用程序请求。

smsdbrole_siteprovider

Configuration Manager向托管 SMS 提供程序角色的计算机帐户授予此权限。

smsdbrole_siteserver

Configuration Manager向托管主站点或 CAS 的计算机帐户授予此权限。

smsdbrole_SUP

Configuration Manager向托管软件更新点的计算机帐户授予此权限,以使用第三方更新。

smsschm_users

Configuration Manager授予对用于 Reporting Services 点帐户的帐户的访问权限,以允许访问 SMS 报告视图以显示Configuration Manager报告数据。 使用基于角色的访问进一步限制数据。

提升的权限

Configuration Manager要求某些帐户对正在进行的操作具有提升的权限。 例如,请参阅 安装主站点的先决条件。 以下列表汇总了这些权限以及需要这些权限的原因。

  • 主站点服务器和管理中心站点服务器的计算机帐户需要:

    • 所有站点系统服务器上的本地管理员权限。 此权限用于管理、安装和删除系统服务。 添加或删除角色时,站点服务器还会更新站点系统上的本地组。

    • 对站点数据库的 SQL Server 实例的 Sysadmin 访问。 此权限用于配置和管理站点SQL Server。 Configuration Manager与 SQL 紧密集成,它不仅仅是一个数据库。

  • “完全管理员”角色中的用户帐户需要:

    • 所有站点服务器上的本地管理员权限。 此权限用于查看、编辑、删除和安装系统服务、注册表项和值以及 WMI 对象。

    • 对站点数据库的 SQL Server 实例的 Sysadmin 访问。 此权限是在安装或恢复期间安装和更新数据库。 SQL Server维护和操作也需要它。 例如,重新编制索引和更新统计信息。

      注意

      某些组织可能会选择删除 sysadmin 访问权限,并仅在需要时才授予访问权限。 此行为有时称为“实时 (JIT) 访问”。在这种情况下,具有“完全管理员”角色的用户仍应有权读取、更新和执行Configuration Manager数据库上的存储过程。 这些权限允许他们在没有完全 sysadmin 访问权限的情况下排查大多数问题。