Guida tecnica per gli account usati in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Usare le seguenti informazioni per identificare i gruppi Windows e gli account usati in System Center 2012 Configuration Manager, le relative modalità di utilizzo ed eventuali requisiti.
Gruppi Windows creati e usati da Configuration Manager
Configuration Manager crea automaticamente e, in molti casi, gestisce automaticamente i seguenti gruppi Windows:
Nota
Quando Configuration Manager crea un gruppo in un computer appartenente al dominio, il gruppo è un gruppo di sicurezza locale. Se il computer è un controller di dominio, il gruppo è un gruppo locale di dominio condiviso da tutti i controller di dominio del dominio.
ConfigMgr_CollectedFilesAccess
Questo gruppo è usato da Configuration Manager per concedere l'accesso per la visualizzazione dei file raccolti dall'inventario software.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato nel server del sito primario. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Appartenenze |
Configuration Manager gestisce automaticamente l'appartenenza al gruppo. L'appartenenza comprende gli utenti amministratori a cui è concessa l'autorizzazione Visualizza file raccolti per l'oggetto a protezione diretta Raccolta da un ruolo di sicurezza assegnato. |
Autorizzazioni |
Per impostazione predefinita, questo gruppo dispone dell'autorizzazione di Read per la seguente cartella nel server del sito: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Questo gruppo è un gruppo di sicurezza locale creato nel server del database del sito o nel server di replica di database da System Center 2012 Configuration Manager e non è attualmente usato. Questo gruppo è riservato per l'utilizzo futuro da parte da Configuration Manager.
Utenti di Controllo remoto di ConfigMgr
Questo gruppo viene usato dagli strumenti remoti di Configuration Manager per l'archiviazione di account e gruppi configurati nell'elenco dei visualizzatori autorizzati assegnati a ogni client.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
||
---|---|---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato nel client di Configuration Manager quando il client riceve criteri che abilitano gli strumenti remoti.
|
||
Appartenenze |
Per impostazione predefinita, non esistono membri per questo gruppo. Gli utenti aggiunti all'elenco dei visualizzatori autorizzati vengono aggiunti automaticamente a questo gruppo.
Oltre a essere un visualizzatore autorizzato, un utente amministratore deve disporre dell'autorizzazione Controllo remoto per l'oggetto Raccolta. È possibile assegnare questa autorizzazione tramite il ruolo di sicurezza Operatore strumenti remoti. |
||
Autorizzazioni |
Per impostazione predefinita, questo gruppo non dispone delle autorizzazioni per accedere a qualsiasi percorso nel computer e viene usata esclusivamente per includere l'elenco dei visualizzatori autorizzati. |
SMS Admins
Questo gruppo viene usato da Configuration Manager per concedere l'accesso al provider SMS tramite WMI. L'accesso al provider SMS è richiesto per visualizzare e modificare gli oggetti nella console di Configuration Manager.
Nota
La configurazione dell'amministrazione basata su ruoli di un utente amministratore determina gli oggetti che è possibile visualizzare e gestire usando la console di Configuration Manager.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato in ogni computer che dispone di un provider SMS. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Appartenenze |
Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, ogni utente amministratore di una gerarchia e l'account computer del server del sito appartengono al gruppo SMS Admins in ciascun computer del provider SMS in un sito. |
Autorizzazioni |
I diritti e le autorizzazioni SMS Admins vengono impostati nello snap-in MMC del controllo WMI. Per impostazione predefinita, al gruppo SMS Admins vengono concessi Enable Account e Remote Enable nello spazio dei nomi Root\SMS. Gli utenti autenticati dispongono di Execute Methods, Provider Write e Enable Account Nota Gli utenti amministratori che usano una console di Configuration Manager remota richiedono autorizzazioni DCOM per l'attivazione remota sul computer del server del sito e sul computer del provider SMS. È consigliabile concedere questi diritti a SMS Admins per semplificare l'amministrazione anziché concedere questi diritti direttamente a utenti o a gruppi. Per altre informazioni, vedere la sezione Configurare le autorizzazioni DCOM per le connessioni remote della console di Configuration Manager nell'argomento Gestire le configurazioni della gerarchia e del sito. |
SMS_SiteSystemToSiteServerConnection_MP_< sitecode >
Il gruppo è usato dai punti di gestione di Configuration Manager remoti rispetto al server del sito per la connessione al database del sito. Questo gruppo consente l'accesso del punto di gestione alle cartelle della posta in arrivo nel server del sito e nel database del sito.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato in ogni computer che dispone di un provider SMS. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Appartenenze |
Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza include gli account computer dei computer remoti che dispongono di un punto di gestione per il sito. |
Autorizzazioni |
Per impostazione predefinita, questo gruppo dispone delle autorizzazioni di Read, Read & execute e List folder contents per la cartella %path%\Microsoft Configuration Manager\inboxes nel server del sito. Questo gruppo dispone inoltre dell'autorizzazione di Write per varie sottocartelle delle inboxes in cui il punto di gestione scrive i dati client. |
SMS_SiteSystemToSiteServerConnection_SMSProv_< sitecode >
Il gruppo è usato dai computer del provider SMS di Configuration Manager remoti rispetto al server del sito per la connessione al server del sito.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato nel server del sito. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Appartenenze |
Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza comprende l'account computer o l'account utente di dominio usato per la connessione al server del sito da ciascun computer remoto in cui è installato un provider SMS per il sito. |
Autorizzazioni |
Per impostazione predefinita, questo gruppo dispone delle autorizzazioni di Read, Read & execute e List folder contents per la cartella %path%\Microsoft Configuration Manager\inboxes nel server del sito. Questo gruppo dispone inoltre dell'autorizzazione di Write o delle autorizzazioni di Scrittura e Modifica per varie sottocartelle delle inboxes per cui il provider SMS richiede l'accesso. Il gruppo dispone inoltre delle autorizzazioni di Read, Read & execute, List folder contents, Scrittura e Modifica per le cartelle di %path%\Microsoft Configuration Manager\OSD\boot e dell'autorizzazione di Lettura per le cartelle di %path%\Microsoft Configuration Manager\OSD\Bin nel server del sito. |
SMS_SiteSystemToSiteServerConnection_Stat_< sitecode >
Questo gruppo viene usato da Gestione invio file nei computer del sistema del sito remoto di Configuration Manager per la connessione al server del sito.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato nel server del sito. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Appartenenze |
Configuration Manager gestisce automaticamente l'appartenenza al gruppo. Per impostazione predefinita, l'appartenenza comprende l'account computer o l'account utente di dominio usato per la connessione al server del sito da ciascun computer del sistema del sito remoto che esegue Gestione invio file. |
Autorizzazioni |
Per impostazione predefinita, questo gruppo dispone delle autorizzazioni di Read, Read & execute e List folder contents per la cartella %path%\Microsoft Configuration Manager\inboxes e per varie sottocartelle del percorso nel server del sito. Questo gruppo dispone inoltre delle autorizzazioni di Scrittura e Modifica per la cartella %path%\Microsoft Configuration Manager\inboxes\statmgr.box nel server del sito. |
SMS_SiteToSiteConnection_< sitecode >
Questo gruppo viene usato da Configuration Manager per attivare la replica basata su file tra siti di una gerarchia. Per ciascun sito remoto che consente il trasferimento diretto di file in questo sito, questo gruppo contiene i seguenti account:
Account configurati come Account indirizzo sito dai siti di Configuration Manager senza Service Pack
Account configurati come Account replica file dai siti che eseguono Configuration Manager SP1 e versioni successive
Nota
Esclusivamente a partire da Configuration Manager SP1, l'Account replica file sostituisce l'Account indirizzo sito.
Nella seguente tabella sono elencati dettagli aggiuntivi per questo gruppo:
Dettagli |
Altre informazioni |
---|---|
Tipo e percorso |
Questo è un gruppo di sicurezza locale creato nel server del sito. |
Appartenenze |
Quando viene installato un nuovo sito come sito figlio di un altro sito, Configuration Manager aggiunge automaticamente l'account computer del nuovo sito al gruppo nel server del sito padre e l'account computer del sito padre al gruppo nel nuovo server del sito. Se viene specificato un altro account per i trasferimenti basati su file, aggiungere l'account al gruppo nel server del sito di destinazione. Nota Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente e deve essere eliminato manualmente. |
Autorizzazioni |
Per impostazione predefinita, il gruppo dispone del controllo completo per la cartella %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive. |
Account usati da Configuration Manager
È possibile configurare i seguenti account per Configuration Manager:
Account di individuazione gruppo Active Directory
L'account di individuazione gruppo Active Directory viene usato per l'individuazione di gruppi di sicurezza locali, globali e universali, dell'appartenenza all'interno di tali gruppi e dell'appartenenza all'interno dei gruppi di distribuzione dei percorsi specificati in Servizi di dominio Active Directory. I gruppi di distribuzione non vengono rilevati come risorse di gruppo.
Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.
Account individuazione sistema Active Directory
L'account individuazione sistema Active Directory viene usato per l'individuazione dei computer nei percorsi specificati in Servizi di dominio Active Directory.
Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.
Account individuazione utente Active Directory
L'account individuazione utente Active Directory viene usato per l'individuazione degli account utente nei percorsi specificati in Servizi di dominio Active Directory.
Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.
Account foresta Active Directory
L'account foresta Active Directory viene usato per l'individuazione dell'infrastruttura di rete nelle foreste Active Directory. L'account viene inoltre usato dai siti di amministrazione centrale e dai siti primari per la pubblicazione dei dati del sito in Servizi di dominio Active Directory di una foresta.
Nota
I siti secondari usano sempre l'account computer del server del sito secondario per la pubblicazione in Active Directory.
Nota
L'account foresta Active Directory deve essere un account globale per l'individuazione e la pubblicazione in foreste non trusted. Se non si usa l'account computer del server del sito, è possibile selezionare solo un account globale.
L'account deve disporre delle autorizzazioni di Lettura per ogni foresta Active Directory in cui di desidera individuare l'infrastruttura di rete.
L'account deve disporre delle autorizzazioni di Controllo completo per il contenitore di System Management e per i relativi oggetti figlio in tutte le foreste Active Directory in cui si desidera pubblicare i dati del sito.
Account di provisioning e individuazione AMT
L'account di provisioning e individuazione AMT, a livello di funzionalità, è equivalente all'account admin remoto AMT e si trova nell'estensione Management Engine BIOS (MEBx) dei computer basati su Intel AMT. L'account viene usato dal server che esegue il ruolo del punto di servizio fuori banda per la gestione di alcune funzionalità dell'interfaccia di rete di AMT mediante la funzionalità di gestione fuori banda.
Se viene specificato un account di provisioning e individuazione AMT in Configuration Manager, l'account deve corrispondere al nome e alla password dell'account admin remoto AMT specificati nelle estensioni BIOS dei computer basati su AMT.
Nota
Per altre informazioni sulla possibilità di specificare un account di provisioning e individuazione AMT, vedere Passaggio 5: Configurazione fuori banda componente di gestione nell'argomento Il provisioning e configurare i computer basati su AMT in Configuration Manager della guida Risorse e conformità a System Center 2012 Configuration Manager.
L'account viene memorizzato nelle estensioni Management Engine BIOS del computer basato su AMT e non corrisponde a nessun account di Windows.
Account di rimozione provisioning AMT
L'account di rimozione provisioning AMT consente di rimuovere le informazioni di provisioning AMT in caso di necessità di ripristino del sito. Inoltre, potrebbe essere possibile usarlo quando il client di Configuration Manager è stato riassegnato e le informazioni di provisioning AMT non sono state rimosse dal computer nel vecchio sito.
Per rimuovere correttamente le informazioni di provisioning AMT usando l'account di rimozione provisioning AMT, devono verificarsi le condizioni seguenti:
L'account di rimozione provisioning AMT è configurato nelle proprietà del componente di gestione fuori banda.
L'account configurato per l'account di rimozione provisioning AMT è stato configurato come Account utente AMT nelle proprietà del componente di gestione fuori banda durante il provisioning o l'aggiornamento del computer basato su AMT.
L'account configurato per l'Account di rimozione provisioning AMT deve essere membro del gruppo Administrators locale sul computer del punto di servizio fuori banda.
Il registro di controllo di AMT non è abilitato.
Poiché si tratta di un account utente di Windows, specificare un account con una password complessa che non abbia scadenza.
Account admin remoto AMT
L'account admin remoto AMT è l'account nell'estensione Management Engine BIOS (MEBx) dei computer Intel basati su AMT che viene usata dal server che esegue il ruolo del punto di servizio fuori banda per gestire alcune funzionalità dell'interfaccia di rete di AMT in Configuration Manager, usando la funzionalità di gestione fuori banda.
Configuration Manager imposta automaticamente la password dell'account admin remoto per i computer su cui esegue il provisioning AMT e questa viene quindi usata per il successivo accesso autenticato al firmware AMT. Questo account è funzionalmente equivalente all'Account di provisioning e individuazione AMT di Configuration Manager.
L'account viene memorizzato nelle estensioni Management Engine BIOS del computer basato su AMT e non corrisponde a nessun account di Windows.
Account utente AMT
Gli Account utente AMT controllano che gli utenti o i gruppi di Windows possano eseguire funzioni di gestione nella console di gestione fuori banda.
La configurazione degli Account utente AMT crea l'equivalente di un elenco di controllo di accesso (ACL) nel firmware AMT. Quando l'utente connesso tenta di eseguire la console di gestione fuori banda, AMT usa Kerberos per autenticare l'account, quindi autorizza o nega l'accesso all'esecuzione delle funzione di gestione AMT.
Configurare gli Account utente AMT prima di eseguire il provisioning dei computer basati su AMT. Se si configurano gli Account utente AMT dopo aver eseguito il provisioning dei computer per AMT, è necessario aggiornare manualmente la memoria AMT per questi computer, in modo che siano riconfigurati con le nuove impostazioni.
Poiché gli Account utente AMT usano l'autenticazione Kerberos, gli account utente e i gruppi di protezione devono essere presenti in un dominio Active Directory.
Account server proxy del punto di sincronizzazione di Asset Intelligence
L'Account server proxy del punto di sincronizzazione di Asset Intelligence viene usato dal punti di sincronizzazione di Asset Intelligence per accedere a Internet tramite un server proxy o un firewall che richiede l'accesso autenticato.
Sicurezza Nota |
---|
Specificare un account che disponga delle autorizzazioni minime per il server proxy o il firewall richiesti. |
Account del punto di registrazione certificati
L'account del punto di registrazione certificati connette il punto di registrazione certificati al database di Configuration Manager. Per impostazione predefinita, viene usato l'account computer del server del punto di registrazione certificati, ma è tuttavia possibile configurare un account utente. È necessario specificare un account utente ogni volta che il punto di registrazione certificati si trova in un dominio non attendibile dal server del sito. Questo account richiede solo l'accesso in lettura al database del sito, poiché le operazioni di scrittura vengono gestite dal sistema dei messaggio di stato.
Account di acquisizione immagine del sistema operativo
L'Account di acquisizione immagine del sistema operativo viene usato da Configuration Manager per accedere alla cartella in cui sono archiviate le immagini acquisite quando si distribuiscono sistemi operativi. Questo account è necessario se si aggiunge il passaggio Acquisisci immagine del sistema operativo a una sequenza di attività.
L'account deve disporre delle autorizzazioni di Lettura e Scrittura nella condivisione di rete in cui sono archiviate le immagini acquisite.
Se si cambia la password dell'account in Windows, è necessario aggiornare la sequenza di attività con la nuova password. Il client di Configuration Manager riceverà la nuova password durante il successivo download di criteri client.
Se si usa questo account, è possibile creare un account utente di dominio con le autorizzazioni minime per accedere alle risorse di rete richieste e usarlo per tutti gli account delle sequenze di attività.
Sicurezza Nota |
---|
Non assegnare a questo account delle autorizzazioni di accesso interattivo. Non usare l'account di accesso alla rete per questo account. |
Account di installazione push client
L'Account di installazione push client viene usato per la connessione ai computer e per l'installazione del software client di Configuration Manager se si distribuiscono i client usando l'installazione push client. Se questo account non è specificato, l'account del server del sito viene usato per tentare di installare il software client.
Questo account deve essere membro del gruppo Administrators locale sui computer in cui deve essere installato il software client di Configuration Manager. Questo account non necessita di diritti di amministratore di dominio.
È possibile specificare uno o più Account di installazione push client, che Configuration Manager proverà in successione fino a quando uno di essi non avrà esito positivo.
Suggerimento |
---|
Per coordinare in modo più efficace gli aggiornamenti account in distribuzioni ampie di Active Directory, creare un nuovo account con un nome diverso, quindi aggiungere il nuovo account all'elenco degli Account di installazione push client in Configuration Manager. Attendere un tempo sufficiente per la replica del nuovo account da parte dei Servizi di dominio Active Directory, quindi rimuovere il vecchio account da Configuration Manager e dai Servizi di dominio Active Directory. |
Sicurezza Nota |
---|
Non concedere a questo account il diritto di accesso locale. |
account di connessione al punto di registrazione
L'Account di connessione al punto di registrazione collega il punto di registrazione al database del sito di Configuration Manager. Per impostazione predefinita, viene usato l'account computer del punto di registrazione, ma è tuttavia possibile configurare un account utente. È necessario specificare un account utente ogni volta che il punto di registrazione si trova in un dominio non attendibile dal server del sito. Questo account richiede l'accesso in lettura e scrittura al database del sito.
Account di connessione a Exchange Server
L'Account di connessione a Exchange Server collega il server del sito al computer Exchange Server specificato per individuare e gestire i dispositivi mobili che si collegano a Exchange Server. Questo account richiede i cmdlet di Exchange PowerShell che forniscono le autorizzazioni necessarie per il computer Exchange Server. Per altre informazioni sui cmdlet, vedere Come gestire i dispositivi mobili utilizzando Configuration Manager e Exchange.
Account server proxy del connettore Exchange Server
L'Account server proxy del connettore Exchange Server viene usato dal connettore Exchange Server per accedere a Internet tramite un server proxy o un firewall che richiede l'accesso autenticato.
Sicurezza Nota |
---|
Specificare un account che disponga delle autorizzazioni minime per il server proxy o il firewall richiesti. |
Account di connessione al server SMTP di Endpoint Protection
Per Configuration Manager senza service pack: L'Account di connessione al server SMTP di Endpoint Protection viene usato dal server del sito per inviare avvisi e-mail per Endpoint Protection quando il server SMTP richiede l'accesso autenticato.
Sicurezza Nota |
---|
Specificare un account che disponga delle autorizzazioni minime per l'invio di e-mail. |
Account di pubblicazione riferimenti sullo stato di integrità
L'Account di pubblicazione riferimenti sullo stato di integrità viene usato per pubblicare riferimenti sullo stato di integrità della Protezione accesso alla rete (NAP) per Configuration Manager sui Servizi di dominio Active Directory.
Se non si configura un account, Configuration Manager tenterà di usare l'account computer del server del sito per pubblicare i riferimenti sulla stato di integrità.
Questo account richiede le autorizzazioni Lettura, Scrittura e Crea per la foresta Active Directory che archivia i riferimenti sullo stato di integrità.
Creare l'account nella foresta designata per l'archiviazione dei riferimenti sullo stato di integrità. Assegnare a questo account le autorizzazioni minime e non usare lo stesso account specificato per l'Account di query riferimenti sullo stato di integrità che richiede solo autorizzazioni di Lettura.
Account di query riferimenti sullo stato di integrità
L'Account di query riferimenti sullo stato di integrità viene usato per recuperare riferimenti sullo stato di integrità della Protezione accesso alla rete (NAP) per Configuration Manager dai Servizi di dominio Active Directory.
Se non si configura un account, Configuration Manager tenterà di usare l'account computer del server del sito per recuperare i riferimenti sulla stato di integrità.
Questo account richiede autorizzazioni di lettura per il contenitore Configuration Manager Gestione dei sistemi nel catalogo globale.
Creare l'account nella foresta designata per l'archiviazione dei riferimenti sullo stato di integrità. Non usare lo stesso account per l'Account di pubblicazione riferimenti sullo stato di integrità,per cui sono necessari più privilegi.
Sicurezza Nota |
---|
Non concedere a questo account i diritti di accesso interattivo. |
Account di connessione al punto di gestione
L'account di connessione al punto di gestione viene usato per collegare il punto di gestione al database del sito di Configuration Manager, in modo che possa inviare e recuperare informazioni per i client. Per impostazione predefinita, viene usato l'account computer del punto di gestione, ma è tuttavia possibile configurare un account utente. È necessario specificare un account utente ogni volta che il punto di gestione si trova in un dominio non attendibile dal server del sito.
Creare l'account come account locale e con diritti limitati sul computer con Microsoft SQL Server in esecuzione.
Sicurezza Nota |
---|
Non concedere a questo account i diritti di accesso interattivo. |
Account MEBx
L'Account MEBx è l'account nell'estensione Management Engine BIOS (MEBx) sui computer Intel basati su AMT e viene usato per l'accesso autenticato iniziale al firmware AMT su computer basati su AMT.
L'Account MEBx è denominato admin e, per impostazione predefinita, la password è admin. Il produttore potrebbe fornire una password personalizzata oppure l'utente potrebbe avere specificato una password in AMT. Se la password MEBx è impostata su un valore che non corrisponde ad admin, è necessario configurare un Account di provisioning e individuazione AMT. Per altre informazioni, vedere Passaggio 5: Configurazione fuori banda componente di gestione nell'argomento Il provisioning e configurare i computer basati su AMT in Configuration Manager.
L'account è archiviato nelle estensioni di Management Engine BIOS del computer basato su AMT. Questo account non corrisponde a nessun account di Windows.
Se la password MEBx predefinita non è stata modificata prima che Configuration Manager esegua il provisioning del computer per AMT, durante il processo di provisioning AMT, Configuration Manager imposta la password che si configura.
Account di connessione multicast
L'Account di connessione multicast viene usato dai punti di distribuzione configurati affinché il multicast legga le informazioni dal database del sito. Per impostazione predefinita, viene usato l'account computer del punto di distribuzione, ma è tuttavia possibile configurare un account utente. Ogni volta che il database del sito si trova in una foresta non trusted, è necessario specificare un account utente. Ad esempio, se il data center dispone di una rete perimetrale in una foresta diversa dal server del sito e dal database del sito, è possibile usare questo account per leggere le informazioni multicast dal database del sito.
Se si crea questo account, crearlo come account locale e con diritti limitati sul computer con Microsoft SQL Server in esecuzione.
Sicurezza Nota |
---|
Non concedere a questo account i diritti di accesso interattivo. |
Account di accesso alla rete
L'Account di accesso alla rete viene usato dai computer client quando questi non possono usare il loro account computer locale per accedere ai contenuti nei punti di distribuzione. Ad esempio, si applica a client e computer di gruppi di lavoro di domini non attendibili. Questo account può anche essere usato durante la distribuzione del sistema operativo quando il computer che installa il sistema operativo non dispone ancora di un account computer nel dominio.
Nota
L'Account di accesso alla rete non viene mai usato come contesto di protezione per eseguire programmi, installare aggiornamenti software oppure eseguire sequenze di attività, ma solo per l'accesso alle risorse in rete.
Concedere a questo account le autorizzazioni minime appropriate sul contenuto che il client richiede per accedere al software. L'account deve disporre del diritto Accedi al computer dalla rete nel punto di distribuzione o in un altro server che contiene il contenuto del pacchetto. Nelle versioni precedenti a System Center 2012 R2 Configuration Manager, è possibile creare solo un account di accesso alla rete per sito e questo account deve funzionare per tutti i pacchetti e tutte le sequenze di attività per cui è richiesto. A partire da System Center 2012 R2 Configuration Manager, è possibile configurare più account di accesso alla rete per sito.
Avviso |
---|
Quando Configuration Manager tenta di usare l'account nomecomputer$ per scaricare il contenuto ma non ci riesce, ritenta automaticamente con l'Account di accesso alla rete anche se ci ha già provato in precedenza non riuscendoci. |
Creare l'account in tutti i domini che forniranno l'accesso necessario alle risorse. L'account di accesso alla rete deve sempre includere un nome di dominio. La protezione pass-through non è supportata per questo account. Se si dispone di punti di distribuzione in più domini, creare l'account in un dominio attendibile.
Suggerimento |
---|
Per evitare blocchi degli account, non modificare la password per un account di accesso alla rete esistente. Al contrario, creare un nuovo account e configurarlo in Configuration Manager. Quando è trascorso tempo sufficiente e tutti i client hanno ricevuto i dettagli del nuovo account, rimuovere il vecchio account dalle cartelle condivise in rete ed eliminare l'account. |
Sicurezza Nota |
---|
Non concedere a questo account i diritti di accesso interattivo. Non concedere a questo account il diritto di aggiungere computer al dominio. Se è necessario aggiungere computer al dominio durante una sequenza di attività, usare l'account di aggiunta dominio dell'editor della sequenza di attività. |
Per System Center 2012 R2 Configuration Manager e versioni successive: È ora possibile specificare più account di accesso alla rete per un sito. Se i client tentano di accedere ai contenuti e non possono usare il loro account computer locale, useranno innanzitutto l'ultimo account di accesso alla rete connesso correttamente.Configuration Manager supporta l'aggiunta di un massimo di 10 account di accesso alla rete.
Account di accesso al pacchetto
Gli account di accesso al pacchetto consentono di impostare le autorizzazioni NTFS per specificare gli utenti e i gruppi di utenti che possono accedere alla cartella del pacchetto nei punti di distribuzione. Per impostazione predefinita, Configuration Manager garantisce l'accesso solo agli account di accesso generici Utenti e Administrators, ma è possibile controllare l'accesso per i computer client usando gruppi o account Windows aggiuntivi. I dispositivi mobili recuperano sempre il contenuto del pacchetto in modo anonimo, in modo che gli Account di accesso al pacchetto non vengono usati dal dispositivo mobile.
Per impostazione predefinita, quando Configuration Manager crea la condivisione pacchetto in un punto di distribuzione, garantisce l'accesso di Lettura al gruppo Utenti locale e Controllo completo al gruppo Administrators locale. Le autorizzazioni effettivamente necessarie dipenderanno dal pacchetto. Se si dispone di client in gruppi di lavoro o in foreste non trusted, tali client usano l'account di accesso alla rete per accedere al contenuto del pacchetto. Assicurarsi che l'Account di accesso alla rete disponga delle autorizzazioni per il pacchetto usando gli Account di accesso al pacchetto definiti.
Usare gli account in un dominio che possa accedere ai punti di distribuzione. Se si crea o si modifica l'account dopo la creazione del pacchetto, è necessario ridistribuire il pacchetto. L'aggiornamento del pacchetto non modifica le autorizzazioni NTFS sul pacchetto.
Non è necessario aggiungere l'account di accesso alla rete come account di accesso al pacchetto, poiché l'appartenenza al gruppo Utenti lo aggiunge automaticamente. La limitazione dell'account di accesso al pacchetto al solo account di accesso alla rete non impedisce ai client di accedere al pacchetto.
Account punto di Reporting Services
L'account punto di Reporting Services viene usato da SQL Server Reporting Services per recuperare i dati per i report di Configuration Manager dal database del sito. La password e l'account utente Windows specificati vengono crittografati e archiviati nel database di SQL Server Reporting Services.
Account visualizzatori autorizzati di strumenti remoti
Gli account specificati come Visualizzatori autorizzati per il controllo remoto sono un elenco di utenti a cui è consentito usare le funzionalità di strumenti remoti nei client.
Account di installazione sistema del sito
L'account di installazione sistema del sito viene usato dal server del sito per installare, reinstallare, disinstallare e configurare i sistemi del sito. Se si configura il sistema del sito in modo che il server del sito avvii le connessioni a questo sistema del sito, Configuration Manager usa anche questo account per effettuare il pull dei dati dal computer del sistema del sito dopo l'installazione del sistema del sito e di tutti i ruoli del sistema del sito. Ogni sistema del sito può disporre di un account di installazione sistema del sito diverso, ma è possibile configurare solo un account di installazione sistema del sito per gestire tutti i ruoli del sistema del sito in tale sistema del sito.
Questo account richiede le autorizzazioni amministrative locali nei sistemi del sito che verranno installati e configurati. Inoltre, questo account deve disporre del diritto Accedi al computer dalla rete del criterio di sicurezza nei sistemi del sito che verranno installati e configurati.
Suggerimento |
---|
Se si dispone di numerosi controller di dominio e questi account verranno usati nei domini, verificare che gli account siano stati replicati prima di configurare il sistema del sito. Quando si specifica un account locale in ogni sistema del sito da gestire, questa configurazione è più sicura dell'utilizzo di account di dominio poiché limita il danno che gli utenti malintenzionati possono causare se l'account viene compromesso. Tuttavia, gli account di dominio sono più facili da gestire, quindi tenere presente il compromesso tra protezione e amministrazione efficiente. |
Account di connessione al server SMTP
per System Center 2012 Configuration Manager SP1 e versioni successive: L'account di connessione al server SMTP viene usato dal server del sito per inviare avvisi e-mail quando il server SMTP richiede l'accesso autenticato.
Sicurezza Nota |
---|
Specificare un account che disponga delle autorizzazioni minime per l'invio di e-mail. |
Account di connessione al punto di aggiornamento software
L'account di connessione al punto di aggiornamento software viene usato dal server del sito per i due servizi di aggiornamento software:
Configuration Manager WSUS, che configura impostazioni quali classificazioni, definizioni di prodotti e impostazioni upstream.
Gestione sincronizzazione WSUS, che richiede la sincronizzazione a un server WSUS upstream o a Microsoft Update.
L'account di installazione sistema del sito può installare i componenti per gli aggiornamenti software, ma non può eseguire funzioni specifiche di aggiornamenti software nel punto di aggiornamento software. Se non è possibile usare l'account del computer del server di sito per questa funzionalità poiché il punto di aggiornamento software si trova in una foresta non trusted, è necessario specificare questo account oltre all'account di installazione sistema del sito.
Questo account deve essere un amministratore locale nel computer in cui è installato Windows Server Update Services e deve far parte del gruppo Administrators WSUS locale.
Account del server proxy del punto di aggiornamento software
L'account del server proxy del punto di aggiornamento software viene usato dal punto di aggiornamento software per accedere a Internet tramite un server proxy o un firewall che richiede l'accesso autenticato.
Sicurezza Nota |
---|
Specificare un account che disponga delle autorizzazioni minime per il server proxy o il firewall richiesti. |
Account del sito di origine
L'account del sito di origine viene usato dal processo di migrazione per accedere al provider SMS del sito di origine. Questo account richiede autorizzazioni di Lettura per gli oggetti del sito presenti nel sito di origine per raccogliere dati per i processi di migrazione.
Se si aggiornano i siti secondari o i punti di distribuzione di Configuration Manager 2007 che dispongono di punti di distribuzione condivisi nei punti di distribuzione di System Center 2012 Configuration Manager, questo account deve disporre anche delle autorizzazioni Elimina per la classe Sito per rimuovere il punto di distribuzione dal sito di Configuration Manager 2007 durante l'aggiornamento.
Nota
L'account del sito di origine e l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager console.
Account del database del sito di origine
L'account del database del sito di origine viene usato dal processo di migrazione per accedere al database di SQL Server per il sito di origine. Per raccogliere dati dal database di SQL Server del sito di origine, l'account del database del sito di origine deve disporre delle autorizzazioni Lettura e Esegui per il database di SQL Server del sito di origine.
Nota
Se si usa un account computer di System Center 2012 Configuration Manager, verificare che tutte le seguenti opzioni siano vere per tale account:
-
È un membro del gruppo di sicurezza Distributed COM Users nel dominio in cui risiede il sito di Configuration Manager 2007.
-
È un membro del gruppo di sicurezza SMS Admins.
-
Dispone dell'autorizzazione di Lettura per tutti gli oggetti di Configuration Manager 2007.
Nota
L'account del sito di origine e l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager console.
Account di aggiunta dominio dell'editor della sequenza di attività
L'account di aggiunta dominio dell'editor della sequenza di attività viene usato in una sequenza di attività per aggiungere un nuovo computer con immagine a un dominio. Questo account è necessario se si aggiunge il passaggio Aggiunta a dominio o gruppo di lavoro a una sequenza di attività e quindi si seleziona Aggiunta a un dominio. Questo account può essere configurato anche se si aggiunge il passaggio Applica impostazioni di rete a una sequenza di attività, ma non è necessario.
Questo account richiede il diritto Aggiungi a dominio nel dominio a cui il computer verrà aggiunto.
Suggerimento |
---|
Se è necessario questo account per le sequenze attività, è possibile creare un account utente di dominio con le autorizzazioni minime per accedere alle risorse di rete richieste e usarlo per tutti gli account delle sequenze attività. |
Sicurezza Nota |
---|
Non assegnare a questo account delle autorizzazioni di accesso interattivo. Non usare l'account di accesso alla rete per questo account. |
Account di connessione cartella di rete dell'editor della sequenza di attività
L'account di connessione cartella di rete dell'editor della sequenza di attività viene usato da una sequenza di attività per la connessione a una cartella condivisa in rete. Questo account è necessario se si aggiunge il passaggio Connetti alla cartella di rete a una sequenza di attività.
Questo account richiede autorizzazioni per accedere alla cartella condivisa specificata e deve essere un account utente di dominio.
Suggerimento |
---|
Se è necessario questo account per le sequenze attività, è possibile creare un account utente di dominio con le autorizzazioni minime per accedere alle risorse di rete richieste e usarlo per tutti gli account delle sequenze attività. |
Sicurezza Nota |
---|
Non assegnare a questo account delle autorizzazioni di accesso interattivo. Non usare l'account di accesso alla rete per questo account. |
Sequenza di attività eseguita come account
La Sequenza di attività eseguita come account viene usata per eseguire righe di comando in sequenza di attività e usare credenziali diverse dall'account di sistema locale. Questo account è necessario se si aggiunge il passaggio Esegui riga di comando a una sequenza di attività ma non si desidera che questa venga eseguita con autorizzazioni dell'account di sistema locale nel computer gestito.
Configurare l'account in modo che disponga delle autorizzazioni minime necessarie per eseguire la riga di comando specificata nella sequenza di attività. L'account deve disporre dei diritti di accesso interattivo e in genere richiede la possibilità di installare il software e accedere alle risorse di rete.
Sicurezza Nota |
---|
Non usare l'account di accesso alla rete per questo account. Non modificare mai l'account in amministratore di dominio. Non configurare mai profili mobili per questo account. Quando viene eseguita la sequenza di attività, verrà scaricato il profilo mobile per l'account, che rende il profilo vulnerabile all'accesso sul computer locale. Limitare l'ambito dell'account. Ad esempio, creare diverse esecuzioni della sequenza di attività come account per ciascuna sequenza di attività, in modo che nel caso in cui venga compromesso un account, vengano compromessi solo i computer client a cui tale account ha accesso. Se la riga di comando richiede accesso amministrativo al computer, creare un account amministratore locale unicamente per l'esecuzione della sequenza di attività come account su tutti i computer che eseguiranno la sequenza di attività ed eliminare l'account non appena non è più necessario. |