Account usati in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Usare le informazioni seguenti per identificare i gruppi, gli account e gli oggetti SQL Server di Windows usati in Configuration Manager, come vengono usati ed eventuali requisiti.

Importante

Se si specifica un account in un dominio o in una foresta remota, assicurarsi di specificare il nome di dominio completo prima del nome utente e non solo il nome NetBIOS del dominio. Ad esempio, specificare Corp.Contoso.com\UserName anziché solo Corp\UserName. In questo modo Configuration Manager di usare Kerberos quando l'account viene usato per l'autenticazione nel sistema del sito remoto. L'uso del nome di dominio completo corregge spesso gli errori di autenticazione risultanti dalle recenti modifiche di protezione avanzata relative a NTLM negli aggiornamenti mensili di Windows.

Gruppi di Windows che Configuration Manager crea e usa

Configuration Manager crea automaticamente e, in molti casi, gestisce automaticamente i gruppi di Windows seguenti:

Nota

Quando Configuration Manager crea un gruppo in un computer membro di dominio, il gruppo è un gruppo di sicurezza locale. Se il computer è un controller di dominio, il gruppo è un gruppo locale di dominio. Questo tipo di gruppo viene condiviso tra tutti i controller di dominio nel dominio.

Manager_CollectedFilesAccess di configurazione

Configuration Manager usa questo gruppo per concedere l'accesso per visualizzare i file raccolti dall'inventario software.

Per altre informazioni, vedere Introduzione all'inventario software.

Tipo e percorso per CollectedFilesAccess

Questo gruppo è un gruppo di sicurezza locale creato nel server del sito primario.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Appartenenza a CollectedFilesAccess

Configuration Manager gestisce automaticamente l'appartenenza al gruppo. L'appartenenza include gli utenti amministratori a cui viene concessa l'autorizzazione Visualizza file raccolti per l'oggetto a protezione diretta collection da un ruolo di sicurezza assegnato.

Autorizzazioni per CollectedFilesAccess

Per impostazione predefinita, questo gruppo dispone dell'autorizzazione lettura per la cartella seguente nel server del sito: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess di configurazione

Questo gruppo è un gruppo di sicurezza locale che Configuration Manager crea nel server di database del sito o nel server di replica di database per un sito primario figlio. Il sito lo crea quando si usano viste distribuite per la replica di database tra siti in una gerarchia. Contiene il server del sito e SQL Server account computer del sito di amministrazione centrale.

Per altre informazioni, vedere Trasferimenti di dati tra siti.

Configuration Manager utenti di controllo remoto

Configuration Manager strumenti remoti usano questo gruppo per archiviare gli account e i gruppi configurati nell'elenco Visualizzatori consentiti. Il sito assegna questo elenco a ogni client.

Per altre informazioni, vedere Introduzione al controllo remoto.

Tipo e posizione per gli utenti di controllo remoto

Questo gruppo è un gruppo di sicurezza locale creato nel client Configuration Manager quando il client riceve un criterio che abilita gli strumenti remoti.

Dopo aver disabilitato gli strumenti remoti per un client, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo aver disabilitato gli strumenti remoti.

Appartenenza per gli utenti di controllo remoto

Per impostazione predefinita, non sono presenti membri in questo gruppo. Quando si aggiungono utenti all'elenco Visualizzatori consentiti , vengono aggiunti automaticamente a questo gruppo.

Usare l'elenco Visualizzatori consentiti per gestire l'appartenenza a questo gruppo anziché aggiungere utenti o gruppi direttamente al gruppo.

Oltre a essere un visualizzatore consentito, un utente amministratore deve disporre dell'autorizzazione Controllo remoto per l'oggetto Collection . Assegnare questa autorizzazione usando il ruolo di sicurezza Operatore strumenti remoti .

Autorizzazioni per gli utenti di controllo remoto

Per impostazione predefinita, questo gruppo non dispone dell'autorizzazione per accedere ad alcuna posizione nel computer. Viene usato solo per contenere l'elenco Visualizzatori consentiti .

Amministratori SMS

Configuration Manager usa questo gruppo per concedere l'accesso al provider SMS tramite WMI. L'accesso al provider SMS è necessario per visualizzare e modificare gli oggetti nella console Configuration Manager.

Nota

La configurazione di amministrazione basata sui ruoli di un utente amministratore determina quali oggetti possono visualizzare e gestire quando si usa la console di Configuration Manager.

Per altre informazioni, vedere Pianificare il provider SMS.

Tipo e posizione per gli amministratori SMS

Questo gruppo è un gruppo di sicurezza locale creato in ogni computer con un provider SMS.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Appartenenza per gli amministratori sms

Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, ogni utente amministratore di una gerarchia e l'account computer del server del sito sono membri del gruppo SMS Admins in ogni computer del provider SMS in un sito.

Autorizzazioni per gli amministratori sms

È possibile visualizzare i diritti e le autorizzazioni per il gruppo SMS Admins nello snap-in MMC controllo WMI . Per impostazione predefinita, a questo gruppo vengono concessi l'abilitazione dell'account e dell'abilitazione remota nello spazio dei Root\SMS nomi WMI. Gli utenti autenticati dispongono di metodi di esecuzione, scrittura del provider e abilitazione dell'account.

Quando si usa una console di Configuration Manager remota, configurare le autorizzazioni DCOM di attivazione remota sia nel computer del server del sito che nel provider SMS. Concedere questi diritti al gruppo SMS Admins . Questa azione semplifica l'amministrazione invece di concedere questi diritti direttamente a utenti o gruppi. Per altre informazioni, vedere Configurare le autorizzazioni DCOM per le console di Configuration Manager remote.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

I punti di gestione remoti dal server del sito usano questo gruppo per connettersi al database del sito. Questo gruppo fornisce l'accesso al punto di gestione alle cartelle posta in arrivo nel server del sito e nel database del sito.

Tipo e posizione per SMS_SiteSystemToSiteServerConnection_MP

Questo gruppo è un gruppo di sicurezza locale creato in ogni computer con un provider SMS.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Appartenenza a SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza include gli account computer dei computer remoti che dispongono di un punto di gestione per il sito.

Autorizzazioni per SMS_SiteSystemToSiteServerConnection_MP

Per impostazione predefinita, questo gruppo dispone dell'autorizzazione Lettura, Lettura & esecuzione ed Elenca contenuto cartella per la cartella seguente nel server del sito: C:\Program Files\Microsoft Configuration Manager\inboxes. Questo gruppo dispone anche dell'autorizzazione di scrittura per le sottocartelle sotto le caselle di posta in arrivo, in cui il punto di gestione scrive i dati client.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

I computer del provider SMS remoto usano questo gruppo per connettersi al server del sito.

Tipo e posizione per SMS_SiteSystemToSiteServerConnection_SMSProv

Questo gruppo è un gruppo di sicurezza locale creato nel server del sito.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Appartenenza a SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza include un account computer o un account utente di dominio. Usa questo account per connettersi al server del sito da ogni provider SMS remoto.

Autorizzazioni per SMS_SiteSystemToSiteServerConnection_SMSProv

Per impostazione predefinita, questo gruppo dispone dell'autorizzazione Lettura, Lettura & esecuzione ed Elenca contenuto cartella per la cartella seguente nel server del sito: C:\Program Files\Microsoft Configuration Manager\inboxes. Questo gruppo dispone anche delle autorizzazioni di scrittura e modifica per le sottocartelle sotto le caselle di posta in arrivo. Il provider SMS richiede l'accesso a queste cartelle.

Questo gruppo dispone anche dell'autorizzazione lettura per le sottocartelle nel server del sito sotto C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Dispone inoltre delle autorizzazioni seguenti per le sottocartelle seguenti C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Lettura
  • Lettura & esecuzione
  • Visualizzazione contenuto cartella
  • Scrittura
  • Modifica

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Il componente gestione invio file in Configuration Manager computer del sistema del sito remoto usa questo gruppo per connettersi al server del sito.

Tipo e posizione per SMS_SiteSystemToSiteServerConnection_Stat

Questo gruppo è un gruppo di sicurezza locale creato nel server del sito.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Appartenenza a SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza include l'account computer o l'account utente di dominio. Usa questo account per connettersi al server del sito da ogni sistema del sito remoto che esegue gestione invio file.

Autorizzazioni per SMS_SiteSystemToSiteServerConnection_Stat

Per impostazione predefinita, questo gruppo dispone dell'autorizzazione Lettura, Lettura & esecuzione ed Elenca il contenuto della cartella per la cartella seguente e le relative sottocartelle nel server del sito: C:\Program Files\Microsoft Configuration Manager\inboxes.

Questo gruppo dispone anche delle autorizzazioni di scrittura e modifica per la cartella seguente nel server del sito: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager usa questo gruppo per abilitare la replica basata su file tra siti in una gerarchia. Per ogni sito remoto che trasferisce direttamente i file a questo sito, questo gruppo dispone di account configurati come account di replica file.

Tipo e posizione per SMS_SiteToSiteConnection

Questo gruppo è un gruppo di sicurezza locale creato nel server del sito.

Appartenenza a SMS_SiteToSiteConnection

Quando si installa un nuovo sito come figlio di un altro sito, Configuration Manager aggiunge automaticamente l'account computer del nuovo server del sito a questo gruppo nel server del sito padre. Configuration Manager aggiunge anche l'account computer del sito padre al gruppo nel nuovo server del sito. Se si specifica un altro account per i trasferimenti basati su file, aggiungere tale account a questo gruppo nel server del sito di destinazione.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente. Eliminarlo manualmente dopo la disinstallazione di un sito.

Autorizzazioni per SMS_SiteToSiteConnection

Per impostazione predefinita, questo gruppo ha il controllo completo sulla cartella seguente: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Account usati Configuration Manager

È possibile configurare gli account seguenti per Configuration Manager.

Consiglio

Non usare il carattere percentuale (%) nella password per gli account specificati nella console di Configuration Manager. L'account non riuscirà a eseguire l'autenticazione.

Account di individuazione del gruppo di Active Directory

Il sito usa l'account di individuazione del gruppo di Active Directory per individuare gli oggetti seguenti dalle posizioni in Active Directory Domain Services specificate:

  • Gruppi di sicurezza locali, globali e universali.
  • Appartenenza all'interno di questi gruppi.
  • Appartenenza all'interno di gruppi di distribuzione.
    • I gruppi di distribuzione non vengono individuati come risorse di gruppo.

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente di Windows. Deve disporre dell'autorizzazione di accesso in lettura per i percorsi di Active Directory specificati per l'individuazione.

Per ulteriori informazioni, vedere Individuazione del gruppo di Active Directory.

Account di individuazione del sistema Active Directory

Il sito usa l'account di individuazione del sistema Active Directory per individuare i computer dalle posizioni in Active Directory Domain Services specificate.

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente di Windows. Deve disporre dell'autorizzazione di accesso in lettura per i percorsi di Active Directory specificati per l'individuazione.

Per ulteriori informazioni, vedere Individuazione del sistema di Active Directory.

Account di individuazione utente di Active Directory

Il sito usa l'account di individuazione utente di Active Directory per individuare gli account utente dalle posizioni in Active Directory Domain Services specificate.

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente di Windows. Deve disporre dell'autorizzazione di accesso in lettura per i percorsi di Active Directory specificati per l'individuazione.

Per ulteriori informazioni, vedere Individuazione dell'utente di Active Directory.

Account foresta Active Directory

Il sito usa l'account della foresta di Active Directory per individuare l'infrastruttura di rete dalle foreste di Active Directory. I siti di amministrazione centrale e i siti primari lo usano anche per pubblicare i dati del sito in Active Directory Domain Services per una foresta.

Nota

I siti secondari usano sempre l'account computer del server del sito secondario per pubblicare in Active Directory.

Per individuare e pubblicare in foreste non attendibili, l'account della foresta di Active Directory deve essere un account globale. Se non si usa l'account computer del server del sito, è possibile selezionare solo un account globale.

Questo account deve disporre delle autorizzazioni di lettura per ogni foresta di Active Directory in cui si vuole individuare l'infrastruttura di rete.

Questo account deve disporre delle autorizzazioni controllo completo per il contenitore Gestione sistema e tutti gli oggetti figlio in ogni foresta di Active Directory in cui si desidera pubblicare i dati del sito.

Per altre informazioni, vedere Preparare Active Directory per la pubblicazione del sito.

Per altre informazioni, vedere Individuazione foresta active directory.

Account del punto di registrazione certificati

Avviso

A partire dalla versione 2203, il punto di registrazione del certificato non è più supportato. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.

Il punto di registrazione del certificato usa l'account del punto di registrazione del certificato per connettersi al database Configuration Manager. Usa il relativo account computer per impostazione predefinita, ma è invece possibile configurare un account utente. Quando il punto di registrazione del certificato si trova in un dominio non attendibile dal server del sito, è necessario specificare un account utente. Questo account richiede solo l'accesso in lettura al database del sito perché il sistema di messaggi di stato gestisce le attività di scrittura.

Per altre informazioni, vedere Introduzione ai profili certificato.

Acquisire l'account dell'immagine del sistema operativo

Quando si acquisisce un'immagine del sistema operativo, Configuration Manager usa l'account di acquisizione dell'immagine del sistema operativo per accedere alla cartella in cui vengono archiviate le immagini acquisite. Se si aggiunge il passaggio Acquisisci immagine del sistema operativo a una sequenza di attività, questo account è obbligatorio.

L'account deve disporre delle autorizzazioni di lettura e scrittura per la condivisione di rete in cui vengono archiviate le immagini acquisite.

Se si modifica la password per l'account in Windows, aggiornare la sequenza di attività con la nuova password. Il client Configuration Manager riceve la nuova password al successivo download dei criteri client.

Se è necessario usare questo account, creare un account utente di dominio. Concederle autorizzazioni minime per accedere alle risorse di rete necessarie e usarle per tutte le sequenze di attività di acquisizione.

Importante

Non assegnare autorizzazioni di accesso interattive a questo account.

Non usare l'account di accesso alla rete per questo account.

Per altre informazioni, vedere Creare una sequenza di attività per acquisire un sistema operativo.

Account di installazione push client

Quando si distribuiscono i client usando il metodo di installazione push client, il sito usa l'account di installazione push client per connettersi ai computer e installare il software client Configuration Manager. Se non si specifica questo account, il server del sito tenta di usare il relativo account computer.

Questo account deve essere un membro del gruppo Administrators locale nei computer client di destinazione. Questo account non richiede diritti di Amministrazione di dominio.

È possibile specificare più di un account di installazione push client. Configuration Manager prova ognuno a turno fino a quando non ha esito positivo.

Consiglio

Se si dispone di un ambiente Active Directory di grandi dimensioni ed è necessario modificare questo account, usare il processo seguente per coordinare in modo più efficace l'aggiornamento dell'account:

  1. Creare un nuovo account con un nome diverso.
  2. Aggiungere il nuovo account all'elenco degli account di installazione push client in Configuration Manager.
  3. Attendere il tempo sufficiente per la replica del nuovo account da parte di Active Directory Domain Services.
  4. Rimuovere quindi l'account precedente da Configuration Manager e Active Directory Domain Services.

Importante

Usare il dominio o i criteri di gruppo locali per assegnare all'utente di Windows il diritto di negare l'accesso in locale. Come membro del gruppo Administrators, questo account avrà il diritto di accedere in locale, che non è necessario. Per una maggiore sicurezza, negare esplicitamente il diritto a questo account. Il diritto di negazione sostituisce il diritto consentito.

Per altre informazioni, vedere Installazione push client.

Account di connessione del punto di registrazione

Il punto di registrazione usa l'account di connessione del punto di registrazione per connettersi al database del sito Configuration Manager. Usa il relativo account computer per impostazione predefinita, ma è invece possibile configurare un account utente. Quando il punto di registrazione si trova in un dominio non attendibile dal server del sito, è necessario specificare un account utente. Questo account richiede l'accesso in lettura e scrittura al database del sito.

Per altre informazioni, vedere Installare i ruoli del sistema del sito per MDM locale.

Exchange Server account di connessione

Il server del sito usa l'account di connessione Exchange Server per connettersi al Exchange Server specificato. Usa questa connessione per trovare e gestire i dispositivi mobili che si connettono al Exchange Server. Questo account richiede cmdlet di Exchange PowerShell che forniscono le autorizzazioni necessarie per il computer Exchange Server. Per altre informazioni sui cmdlet, vedere Installare e configurare Exchange Connector.

Account di connessione del punto di gestione

Il punto di gestione usa l'account di connessione del punto di gestione per connettersi al database del sito Configuration Manager. Usa questa connessione per inviare e recuperare informazioni per i client. Il punto di gestione usa il relativo account computer per impostazione predefinita, ma è invece possibile configurare un account di servizio alternativo. Quando il punto di gestione si trova in un dominio non attendibile dal server del sito, è necessario specificare un account di servizio alternativo.

Nota

Per un comportamento di sicurezza avanzato, è consigliabile sfruttare l'account di servizio alternativo anziché l'account computer per l'account di connessione del punto di gestione.

Creare l'account come account di servizio a destra bassa nel computer che esegue Microsoft SQL Server.

Importante

  • Non concedere diritti di accesso interattivi a questo account.
  • Se si specifica un account in un dominio o in una foresta remota, assicurarsi di specificare il nome di dominio completo prima del nome utente e non solo il nome NetBIOS del dominio. Ad esempio, specificare Corp.Contoso.com\UserName anziché solo Corp\UserName. In questo modo Configuration Manager di usare Kerberos quando l'account viene usato per l'autenticazione nel sistema del sito remoto. L'uso del nome di dominio completo corregge spesso gli errori di autenticazione risultanti dalle recenti modifiche di protezione avanzata relative a NTLM negli aggiornamenti mensili di Windows.

Account di connessione multicast

I punti di distribuzione abilitati per il multicast usano l'account di connessione Multicast per leggere le informazioni dal database del sito. Il server usa il proprio account computer per impostazione predefinita, ma è invece possibile configurare un account del servizio. Quando il database del sito si trova in una foresta non attendibile, è necessario specificare un account del servizio. Ad esempio, se il data center ha una rete perimetrale in una foresta diversa dal server del sito e dal database del sito, usare questo account per leggere le informazioni multicast dal database del sito.

Se è necessario questo account, crearlo come account di servizio a destra bassa nel computer che esegue Microsoft SQL Server.

Nota

Per un comportamento di sicurezza avanzato, è consigliabile sfruttare l'account del servizio anziché l'account computer per "account di connessione Multicast".

Importante

Non concedere diritti di accesso interattivi a questo account del servizio.

Per altre informazioni, vedere Usare il multicast per distribuire Windows in rete.

Account di accesso alla rete

I computer client usano l'account di accesso alla rete quando non possono usare l'account computer locale per accedere al contenuto nei punti di distribuzione. Si applica principalmente ai client e ai computer del gruppo di lavoro da domini non attendibili. Questo account viene usato anche durante la distribuzione del sistema operativo, quando il computer che sta installando il sistema operativo non ha ancora un account computer nel dominio.

Importante

L'account di accesso alla rete non viene mai usato come contesto di sicurezza per eseguire programmi, installare aggiornamenti software o eseguire sequenze di attività. Viene usato solo per accedere alle risorse nella rete.

Un client Configuration Manager tenta innanzitutto di usare il proprio account computer per scaricare il contenuto. Se ha esito negativo, prova automaticamente l'account di accesso alla rete.

Se si configura il sito per HTTPS o HTTP avanzato, un gruppo di lavoro o Microsoft Entra client aggiunto può accedere in modo sicuro al contenuto dai punti di distribuzione senza la necessità di un account di accesso alla rete. Questo comportamento include scenari di distribuzione del sistema operativo con una sequenza di attività in esecuzione da supporti di avvio, PXE o Software Center. Per altre informazioni, vedere Comunicazione da client a punto di gestione.

Nota

Se si abilita HTTP avanzato per non richiedere l'account di accesso alla rete, i punti di distribuzione devono eseguire versioni attualmente supportate di Windows Server o Windows 10/11.

Autorizzazioni per l'account di accesso alla rete

Concedere a questo account le autorizzazioni minime appropriate per il contenuto richiesto dal client per accedere al software. L'account deve avere accesso al computer dalla rete direttamente nel punto di distribuzione. È possibile configurare fino a 10 account di accesso alla rete per sito.

Creare un account in qualsiasi dominio che fornisca l'accesso necessario alle risorse. L'account di accesso alla rete deve sempre includere un nome di dominio. La sicurezza pass-through non è supportata per questo account. Se si dispone di punti di distribuzione in più domini, creare l'account in un dominio attendibile.

Consiglio

Per evitare blocchi dell'account, non modificare la password in un account di accesso alla rete esistente. Creare invece un nuovo account e configurare il nuovo account in Configuration Manager. Quando è trascorso un tempo sufficiente affinché tutti i client abbiano ricevuto i dettagli del nuovo account, rimuovere l'account precedente dalle cartelle condivise di rete ed eliminare l'account.

Importante

Non concedere diritti di accesso interattivi a questo account.

Non concedere a questo account il diritto di aggiungere computer al dominio. Se è necessario aggiungere computer al dominio durante una sequenza di attività, usare l'account di aggiunta al dominio della sequenza di attività.

Configurare l'account di accesso alla rete

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti. Selezionare quindi il sito.

  2. Nel gruppo Impostazioni della barra multifunzione selezionare Configura componenti del sito e scegliere Distribuzione software.

  3. Scegliere la scheda Account di accesso alla rete . Configurare uno o più account e quindi scegliere OK.

Azioni che richiedono l'account di accesso alla rete

L'account di accesso alla rete è ancora necessario per le azioni seguenti (inclusi gli scenari PKI di eHTTP &):

  • Multicast. Per altre informazioni, vedere Usare il multicast per distribuire Windows in rete.

  • Opzione di distribuzione della sequenza di attività per accedere al contenuto direttamente da un punto di distribuzione quando necessario dalla sequenza di attività in esecuzione. Per altre informazioni, vedere Opzioni di distribuzione della sequenza di attività.

  • Applicare l'opzione del passaggio della sequenza di attività Immagine del sistema operativo ad Accedere al contenuto direttamente dal punto di distribuzione. Questa opzione è destinata principalmente agli scenari windows embedded con spazio su disco ridotto, in cui la memorizzazione nella cache del contenuto nel disco locale è costosa. Per altre informazioni, vedere Accedere al contenuto direttamente dal punto di distribuzione.

  • Se il download di un pacchetto da un punto di distribuzione tramite HTTP/HTTPS ha esito negativo, ha la possibilità di tornare a scaricare il pacchetto usando SMB dalla condivisione del pacchetto nel punto di distribuzione. Il download del pacchetto tramite SMB dalla condivisione del pacchetto nel punto di distribuzione richiede l'uso dell'account di accesso alla rete. Questo comportamento di fallback si verifica solo se l'opzione Copiare il contenuto del pacchetto in una condivisione pacchetto nei punti di distribuzione è abilitata nella scheda Accesso ai dati nelle proprietà di un pacchetto. Per mantenere questo comportamento, assicurarsi che l'account di accesso alla rete non sia disabilitato o rimosso. Se questo comportamento non è più desiderato, verificare che l'opzione Copiare il contenuto del pacchetto in una condivisione pacchetto nei punti di distribuzione non sia abilitata in alcun pacchetto.

  • Passaggio della sequenza di attività Request State Store. Se la sequenza di attività non è in grado di comunicare con il punto di migrazione dello stato usando l'account computer del dispositivo, viene usato l'account di accesso alla rete. Per altre informazioni, vedere Request State Store.For more information, see Request State Store.

  • Impostazione delle proprietà della sequenza di attività su Esegui prima un altro programma. Questa impostazione esegue un pacchetto e un programma da una condivisione di rete prima dell'avvio della sequenza di attività. Per altre informazioni, vedere Proprietà delle sequenze di attività: scheda Avanzate.

  • La gestione dei client in domini non attendibili e in scenari tra foreste consente più account di accesso alla rete.

Account di accesso al pacchetto

Un account di accesso al pacchetto consente di impostare le autorizzazioni NTFS per specificare gli utenti e i gruppi di utenti che possono accedere al contenuto del pacchetto nei punti di distribuzione. Per impostazione predefinita, Configuration Manager concede l'accesso solo agli account di accesso generici Utente e Amministratore. È possibile controllare l'accesso ai computer client usando altri account o gruppi di Windows. I dispositivi mobili recuperano sempre il contenuto del pacchetto in modo anonimo, in modo che non usino un account di accesso al pacchetto.

Per impostazione predefinita, quando Configuration Manager copia i file di contenuto in un punto di distribuzione, concede l'accesso in lettura al gruppo Utenti locale e Controllo completo al gruppo Administrators locale. Le autorizzazioni effettive necessarie dipendono dal pacchetto. Se si dispone di client in gruppi di lavoro o in foreste non attendibili, tali client usano l'account di accesso alla rete per accedere al contenuto del pacchetto. Assicurarsi che l'account di accesso alla rete disponga delle autorizzazioni per il pacchetto usando gli account di accesso al pacchetto definiti.

Usare gli account in un dominio che può accedere ai punti di distribuzione. Se si crea o si modifica l'account dopo aver creato il pacchetto, è necessario ridistribuire il pacchetto. L'aggiornamento del pacchetto non modifica le autorizzazioni NTFS per il pacchetto.

Non è necessario aggiungere l'account di accesso alla rete come account di accesso al pacchetto perché l'appartenenza al gruppo Utenti lo aggiunge automaticamente. La limitazione dell'account di accesso al pacchetto solo all'account di accesso alla rete non impedisce ai client di accedere al pacchetto.

Gestire gli account di accesso ai pacchetti

  1. Nella console Configuration Manager passare all'area di lavoro Raccolta software.

  2. Nell'area di lavoro Raccolta software determinare il tipo di contenuto per cui si vogliono gestire gli account di accesso e seguire i passaggi forniti:

    • Applicazione: espandere Gestione applicazioni, scegliere Applicazioni e quindi selezionare l'applicazione per cui gestire gli account di accesso.

    • Pacchetto: espandere Gestione applicazioni, scegliere Pacchetti e quindi selezionare il pacchetto per cui gestire gli account di accesso.

    • Pacchetto di distribuzione dell'aggiornamento software: espandere Software Aggiornamenti, scegliere Pacchetti di distribuzione e quindi selezionare il pacchetto di distribuzione per cui gestire gli account di accesso.

    • Pacchetto driver: espandere Sistemi operativi, scegliere Pacchetti driver e quindi selezionare il pacchetto driver per cui gestire gli account di accesso.

    • Immagine del sistema operativo: espandere Sistemi operativi, scegliere Immagini del sistema operativo e quindi selezionare l'immagine del sistema operativo per cui gestire gli account di accesso.

    • Pacchetto di aggiornamento del sistema operativo: espandere Sistemi operativi, scegliere Pacchetti di aggiornamento del sistema operativo e quindi selezionare il pacchetto di aggiornamento del sistema operativo per cui gestire gli account di accesso.

    • Immagine di avvio: espandere Sistemi operativi, scegliere Immagini di avvio e quindi selezionare l'immagine di avvio per cui gestire gli account di accesso.

  3. Fare clic con il pulsante destro del mouse sull'oggetto selezionato e quindi scegliere Gestisci account di accesso.

  4. Nella finestra di dialogo Aggiungi account specificare il tipo di account a cui verrà concesso l'accesso al contenuto e quindi specificare i diritti di accesso associati all'account.

    Nota

    Quando si aggiunge un nome utente per l'account e Configuration Manager trova sia un account utente locale che un account utente di dominio con tale nome, Configuration Manager imposta i diritti di accesso per l'account utente di dominio.

Account punto di Reporting Services

SQL Server Reporting Services usa l'account punto di Reporting Services per recuperare i dati per i report Configuration Manager dal database del sito. L'account utente e la password di Windows specificati vengono crittografati e archiviati nel database SQL Server Reporting Services.

Nota

L'account specificato deve disporre delle autorizzazioni di accesso locale nel computer che ospita il database SQL Server Reporting Services.

All'account vengono concessi automaticamente tutti i diritti necessari tramite l'aggiunta al ruolo del database smsschm_users SQL Server nel database Configuration Manager.

Per altre informazioni, vedere Introduzione alla creazione di report.

Strumenti remoti permessi account visualizzatore

Gli account specificati come Visualizzatori consentiti per il controllo remoto sono un elenco di utenti autorizzati a usare la funzionalità degli strumenti remoti nei client.

Per altre informazioni, vedere Introduzione al controllo remoto.

Account di installazione del sito

Usare un account utente di dominio per accedere al server in cui si esegue Configuration Manager installazione e installare un nuovo sito.

Questo account richiede i diritti seguenti:

  • Amministratore nei server seguenti:

    • Server del sito
    • Ogni server che ospita il database del sito
    • Ogni istanza del provider SMS per il sito
  • Sysadmin nell'istanza di SQL Server che ospita il database del sito

Configuration Manager configurazione aggiunge automaticamente questo account al gruppo SMS Admins.

Dopo l'installazione, questo account è l'unico con diritti per la console Configuration Manager. Se è necessario rimuovere questo account, assicurarsi di aggiungerne prima i diritti a un altro utente.

Quando si espande un sito autonomo per includere un sito di amministrazione centrale, questo account richiede i diritti di amministrazione basata sul ruolo Amministratore completo o Amministratore dell'infrastruttura nel sito primario autonomo.

Account di installazione del sistema del sito

Il server del sito usa l'account di installazione del sistema del sito per installare, reinstallare, disinstallare e configurare i sistemi del sito. Se si configura il sistema del sito per richiedere al server del sito di avviare le connessioni a questo sistema del sito, Configuration Manager usa anche questo account per eseguire il pull dei dati dal sistema del sito dopo l'installazione del sistema del sito e di eventuali ruoli. Ogni sistema del sito può avere un account di installazione diverso, ma è possibile configurare un solo account di installazione per gestire tutti i ruoli nel sistema del sito.

Questo account richiede autorizzazioni amministrative locali nei sistemi del sito di destinazione. Inoltre, questo account deve avere Accesso al computer dalla rete nei criteri di sicurezza nei sistemi del sito di destinazione.

Importante

Se si specifica un account in un dominio o in una foresta remota, assicurarsi di specificare il nome di dominio completo prima del nome utente e non solo il nome NetBIOS del dominio. Ad esempio, specificare Corp.Contoso.com\UserName anziché solo Corp\UserName. In questo modo Configuration Manager di usare Kerberos quando l'account viene usato per l'autenticazione nel sistema del sito remoto. L'uso del nome di dominio completo corregge spesso gli errori di autenticazione risultanti dalle recenti modifiche di protezione avanzata relative a NTLM negli aggiornamenti mensili di Windows.

Consiglio

Se si dispone di molti controller di dominio e questi account vengono usati tra domini, prima di configurare il sistema del sito, verificare che Active Directory abbia replicato questi account.

Quando si specifica un account di servizio in ogni sistema del sito da gestire, questa configurazione è più sicura. Limita i danni che gli utenti malintenzionati possono fare. Tuttavia, gli account di dominio sono più facili da gestire. Si consideri il compromesso tra sicurezza e amministrazione efficace.

Account del server proxy del sistema del sito

I ruoli del sistema del sito seguenti usano l'account del server proxy del sistema del sito per accedere a Internet tramite un server proxy o un firewall che richiede l'accesso autenticato:

  • Punto di sincronizzazione di Asset Intelligence
  • Connettore di Exchange Server
  • Punto di connessione del servizio
  • Punto di aggiornamento software

Importante

Specificare un account con le autorizzazioni meno possibili per il server proxy o il firewall richiesto.

Per altre informazioni, vedere Supporto del server proxy.

Account di connessione del server SMTP

Il server del sito usa l'account di connessione del server SMTP per inviare avvisi di posta elettronica quando il server SMTP richiede l'accesso autenticato.

Importante

Specificare un account con le autorizzazioni meno possibili per inviare messaggi di posta elettronica.

Per altre informazioni, vedere Configurare gli avvisi.

Account di connessione del punto di aggiornamento software

Il server del sito usa l'account di connessione del punto di aggiornamento software per i due servizi di aggiornamento software seguenti:

  • Windows Server Update Services (WSUS), che configura impostazioni come definizioni di prodotto, classificazioni e impostazioni upstream.

  • Gestione sincronizzazione WSUS, che richiede la sincronizzazione con un server WSUS upstream o Microsoft Update.

L'account di installazione del sistema del sito può installare i componenti per gli aggiornamenti software, ma non può eseguire funzioni specifiche dell'aggiornamento software nel punto di aggiornamento software. Se non è possibile usare l'account computer del server del sito per questa funzionalità perché il punto di aggiornamento software si trova in una foresta non attendibile, è necessario specificare questo account insieme all'account di installazione del sistema del sito.

Questo account deve essere un amministratore locale nel computer in cui si installa WSUS. Deve anche far parte del gruppo administrators WSUS locale.

Per altre informazioni, vedere Pianificare gli aggiornamenti software.

Account del sito di origine

Il processo di migrazione usa l'account del sito di origine per accedere al provider SMS del sito di origine. Questo account richiede autorizzazioni di lettura per gli oggetti sito nel sito di origine per raccogliere dati per i processi di migrazione.

Se si dispone di Configuration Manager punti di distribuzione 2007 o siti secondari con punti di distribuzione colocati, quando si esegue l'aggiornamento a punti di distribuzione Configuration Manager (current branch), questo account deve disporre anche delle autorizzazioni di eliminazione per la classe Site. Questa autorizzazione consente di rimuovere correttamente il punto di distribuzione dal sito Configuration Manager 2007 durante l'aggiornamento.

Nota

Sia l'account del sito di origine che l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager.

Per altre informazioni, vedere Eseguire la migrazione dei dati tra gerarchie.

Account del database del sito di origine

Il processo di migrazione usa l'account del database del sito di origine per accedere al database SQL Server per il sito di origine. Per raccogliere dati dal database SQL Server del sito di origine, l'account del database del sito di origine deve disporre delle autorizzazioni Lettura ed Esecuzione per il database SQL Server del sito di origine.

Se si usa l'account computer Configuration Manager (current branch), assicurarsi che per questo account siano valide tutte le condizioni seguenti:

  • È un membro del gruppo di sicurezza Distributed COM Users nello stesso dominio del sito Configuration Manager 2012.
  • È un membro del gruppo di sicurezza SMS Admins .
  • Dispone dell'autorizzazione Lettura per tutti gli oggetti Configuration Manager 2012.

Nota

Sia l'account del sito di origine che l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager.

Per altre informazioni, vedere Eseguire la migrazione dei dati tra gerarchie.

Account di aggiunta al dominio della sequenza di attività

Il programma di installazione di Windows usa l'account di aggiunta al dominio della sequenza di attività per aggiungere un computer appena immagineto a un dominio. Questo account è richiesto dal passaggio Join Domain or Workgroup task sequence con l'opzione Join a domain (Aggiungi a dominio ). Questo account può anche essere configurato con il passaggio Applica impostazioni di rete , ma non è obbligatorio.

Questo account richiede il diritto Aggiunta al dominio nel dominio di destinazione.

Consiglio

Creare un account utente di dominio con le autorizzazioni minime per l'aggiunta al dominio e usarlo per tutte le sequenze di attività.

Importante

Non assegnare autorizzazioni di accesso interattive a questo account.

Non usare l'account di accesso alla rete per questo account.

Account di connessione della cartella di rete della sequenza di attività

Il motore della sequenza di attività usa l'account di connessione della cartella di rete sequenza attività per connettersi a una cartella condivisa nella rete. Questo account è richiesto dal passaggio della sequenza di attività Connetti alla cartella di rete .

Questo account richiede le autorizzazioni per accedere alla cartella condivisa specificata. Deve essere un account utente di dominio.

Consiglio

Creare un account utente di dominio con autorizzazioni minime per accedere alle risorse di rete necessarie e usarlo per tutte le sequenze di attività.

Importante

Non assegnare autorizzazioni di accesso interattive a questo account.

Non usare l'account di accesso alla rete per questo account.

Sequenza di attività eseguita come account

Il motore della sequenza di attività usa la sequenza di attività eseguita come account per eseguire righe di comando o script di PowerShell con credenziali diverse dall'account del sistema locale. Questo account è necessario per i passaggi della sequenza di attività Esegui riga di comando ed Esegui script di PowerShell con l'opzione Esegui questo passaggio come account scelto.

Configurare l'account in modo che disponga delle autorizzazioni minime necessarie per eseguire la riga di comando specificata nella sequenza di attività. L'account richiede diritti di accesso interattivi. In genere richiede la possibilità di installare software e accedere alle risorse di rete. Per l'attività Esegui script di PowerShell, questo account richiede autorizzazioni di amministratore locale.

Importante

Non usare l'account di accesso alla rete per questo account.

Non rendere mai l'account un amministratore di dominio.

Non configurare mai i profili mobili per questo account. Quando viene eseguita la sequenza di attività, scarica il profilo di roaming per l'account. Ciò lascia il profilo vulnerabile all'accesso nel computer locale.

Limitare l'ambito dell'account. Ad esempio, creare sequenze di attività diverse che vengono eseguite come account per ogni sequenza di attività. Quindi, se un account viene compromesso, vengono compromessi solo i computer client a cui l'account ha accesso.

Se la riga di comando richiede l'accesso amministrativo nel computer, è consigliabile creare un account amministratore locale esclusivamente per questo account in tutti i computer che eseguono la sequenza di attività. Eliminare l'account una volta che non è più necessario.

Oggetti utente usati Configuration Manager in SQL Server

Configuration Manager crea e gestisce automaticamente gli oggetti utente seguenti in SQL. Questi oggetti si trovano all'interno del database Configuration Manager in Sicurezza/Utenti.

Importante

La modifica o la rimozione di questi oggetti può causare problemi drastici all'interno di un ambiente Configuration Manager. È consigliabile non apportare modifiche a questi oggetti.

smsdbuser_ReadOnly

Questo oggetto viene utilizzato per eseguire query nel contesto di sola lettura. Questo oggetto viene utilizzato con diverse stored procedure.

smsdbuser_ReadWrite

Questo oggetto viene utilizzato per fornire le autorizzazioni per le istruzioni SQL dinamiche.

smsdbuser_ReportSchema

Questo oggetto viene utilizzato per eseguire SQL Server esecuzioni di report. Con questa funzione viene utilizzata la stored procedure seguente: spSRExecQuery.

Ruoli del database usati Configuration Manager in SQL

Configuration Manager crea e gestisce automaticamente gli oggetti ruolo seguenti in SQL. Questi ruoli consentono l'accesso a stored procedure, tabelle, viste e funzioni specifiche. Questi ruoli ottengono o aggiungono dati al database Configuration Manager. Questi oggetti si trovano all'interno del database Configuration Manager in Sicurezza/Ruoli/Ruoli database.

Importante

La modifica o la rimozione di questi oggetti può causare problemi drastici all'interno di un ambiente Configuration Manager. Non modificare questi oggetti. L'elenco seguente è solo a scopo informativo.

smsdbrole_AITool

Configuration Manager concede questa autorizzazione agli account utente amministrativi in base all'accesso in base al ruolo per importare informazioni sui contratti multiplo per Asset Intelligence. Questo account può essere aggiunto da un amministratore completo, da un amministratore operativo o da un ruolo di Asset Manager o da qualsiasi ruolo con l'autorizzazione "Gestisci Asset Intelligence".

smsdbrole_AIUS

Configuration Manager concede all'account computer che ospita l'account del punto di sincronizzazione di Asset Intelligence l'accesso per ottenere i dati proxy di Asset Intelligence e per visualizzare i dati di intelligenza artificiale in sospeso per il caricamento.

smsdbrole_CRP

Configuration Manager concede l'autorizzazione all'account computer del sistema del sito che supporta il punto di registrazione del certificato per il supporto SCEP (Simple Certificate Enrollment Protocol) per la firma e il rinnovo del certificato.

smsdbrole_CRPPfx

Configuration Manager concede l'autorizzazione all'account computer del sistema del sito che supporta il punto di registrazione del certificato configurato per il supporto PFX per la firma e il rinnovo.

smsdbrole_DMP

Configuration Manager concede questa autorizzazione all'account computer per un punto di gestione con l'opzione Consenti ai dispositivi mobili e ai computer Mac di usare questo punto di gestione, la possibilità di fornire supporto per i dispositivi registrati MDM.

smsdbrole_DmpConnector

Configuration Manager concede questa autorizzazione all'account computer che ospita il punto di connessione del servizio per recuperare e fornire dati di diagnostica, gestire i servizi cloud e recuperare gli aggiornamenti del servizio.

smsdbrole_DViewAccess

Configuration Manager concede questa autorizzazione all'account computer dei server del sito primario nel server di amministrazione centrale quando l'opzione SQL Server viste distribuite è selezionata nelle proprietà del collegamento di replica.

smsdbrole_DWSS

Configuration Manager concede questa autorizzazione all'account computer che ospita il ruolo del data warehouse.

smsdbrole_EnrollSvr

Configuration Manager concede questa autorizzazione all'account computer che ospita il punto di registrazione per consentire la registrazione del dispositivo tramite MDM.

smsdbrole_extract

Fornisce l'accesso a tutte le visualizzazioni dello schema estese.

smsdbrole_HMSUser

Per il servizio di gestione gerarchia. Configuration Manager concede le autorizzazioni a questo account per gestire i messaggi di stato di failover e le transazioni SQL Server Broker tra siti all'interno di una gerarchia.

Nota

Il ruolo smdbrole_WebPortal è un membro di questo ruolo per impostazione predefinita.

smsdbrole_MCS

Configuration Manager concede questa autorizzazione all'account computer del punto di distribuzione che supporta il multicast.

smsdbrole_MP

Configuration Manager concede questa autorizzazione all'account computer che ospita il ruolo del punto di gestione per fornire il supporto per i client Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager concede questa autorizzazione all'account computer che ospita il punto di gestione che gestisce BitLocker per un ambiente.

smsdbrole_MPUserSvc

Configuration Manager concede questa autorizzazione all'account computer che ospita il punto di gestione per supportare le richieste di applicazioni basate sull'utente.

smsdbrole_siteprovider

Configuration Manager concede questa autorizzazione all'account computer che ospita un ruolo del provider SMS.

smsdbrole_siteserver

Configuration Manager concede questa autorizzazione all'account computer che ospita il sito primario o cas.

smsdbrole_SUP

Configuration Manager concede questa autorizzazione all'account computer che ospita il punto di aggiornamento software per l'uso di aggiornamenti di terze parti.

smsschm_users

Configuration Manager concede l'accesso all'account usato per l'account del punto di Reporting Services per consentire l'accesso alle visualizzazioni di report SMS per visualizzare i dati di report Configuration Manager. I dati sono ulteriormente limitati con l'uso dell'accesso in base al ruolo.

Autorizzazioni con privilegi elevati

Configuration Manager richiede che alcuni account dispongano di autorizzazioni elevate per le operazioni in corso. Ad esempio, vedere Prerequisiti per l'installazione di un sito primario. L'elenco seguente riepiloga queste autorizzazioni e i motivi per cui sono necessarie.

  • L'account computer del server del sito primario e del server del sito di amministrazione centrale richiede:

    • Diritti di amministratore locale in tutti i server del sistema del sito. Questa autorizzazione consente di gestire, installare e rimuovere i servizi di sistema. Il server del sito aggiorna anche i gruppi locali nel sistema del sito quando si aggiungono o si rimuoveno ruoli.

    • Accesso sysadmin all'istanza di SQL Server per il database del sito. Questa autorizzazione consente di configurare e gestire SQL Server per il sito. Configuration Manager si integra strettamente con SQL, non si tratta solo di un database.

  • Gli account utente nel ruolo Amministratore completo richiedono:

    • Diritti di amministratore locale in tutti i server del sito. Questa autorizzazione consente di visualizzare, modificare, rimuovere e installare servizi di sistema, chiavi e valori del Registro di sistema e oggetti WMI.

    • Accesso sysadmin all'istanza di SQL Server per il database del sito. Questa autorizzazione consiste nell'installare e aggiornare il database durante l'installazione o il ripristino. È necessario anche per la manutenzione e le operazioni SQL Server. Ad esempio, reindicizzazione e aggiornamento delle statistiche.

      Nota

      Alcune organizzazioni possono scegliere di rimuovere l'accesso sysadmin e concederlo solo quando è necessario. Questo comportamento viene talvolta definito "accesso JIT". In questo caso, gli utenti con il ruolo Amministratore completo devono comunque avere accesso alle stored procedure di lettura, aggiornamento ed esecuzione nel database Configuration Manager. Queste autorizzazioni consentono di risolvere la maggior parte dei problemi senza accesso sysadmin completo.