Contas utilizadas no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Utilize as seguintes informações para identificar os grupos, contas e objetos de SQL Server do Windows que são utilizados no Configuration Manager, como são utilizados e quaisquer requisitos.
Importante
Se estiver a especificar uma conta num domínio ou floresta remoto, certifique-se de que especifica o FQDN de domínio antes do nome de utilizador e não apenas o nome NetBIOS do domínio. Por exemplo, especifique Corp.Contoso.com\UserName em vez de apenas Corp\UserName. Isto permite que Configuration Manager utilizem Kerberos quando a conta é utilizada para autenticar no sistema de sites remoto. A utilização do FQDN corrige frequentemente falhas de autenticação resultantes de alterações recentes de proteção em torno do NTLM nas atualizações mensais do Windows.
Grupos do Windows que Configuration Manager cria e utiliza
- Configuração Manager_CollectedFilesAccess
- Configuração Manager_DViewAccess
- Configuration Manager Utilizadores de Controlo Remoto
- Administradores de SMS
- <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
- <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
- <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
- <SMS_SiteToSiteConnection_sitecode>
Contas que Configuration Manager utiliza
- Conta de deteção de grupo do Active Directory
- Conta de deteção de sistema do Active Directory
- Conta de deteção de utilizadores do Active Directory
- Conta de floresta do Active Directory
- Conta do ponto de registo de certificados
- Capturar conta de imagem do SO
- Conta de instalação push do cliente
- Conta de ligação do ponto de inscrição
- Exchange Server conta de ligação
- Conta de ligação do ponto de gestão
- Conta de ligação multicast
- Conta de acesso à rede
- Conta de acesso a pacotes
- Conta de ponto do Reporting Services
- Ferramentas remotas de contas de visualizador permitidas
- Conta de instalação do site
- Conta de instalação do sistema de sites
- Conta de servidor proxy do sistema de sites
- Conta de ligação do servidor SMTP
- Conta de ligação do ponto de atualização de software
- Conta do site de origem
- Conta da base de dados do site de origem
- Conta de associação a um domínio de sequência de tarefas
- Conta de ligação da pasta de rede de sequência de tarefas
- Sequência de tarefas executada como conta
Objetos de utilizador que Configuration Manager utiliza no SQL
Funções de base de dados que Configuration Manager utiliza no SQL
- smsdbrole_AITool
- smsdbrole_AIUS
- smsdbrole_CRP
- smsdbrole_CRPPfx
- smsdbrole_DMP
- smsdbrole_DmpConnector
- smsdbrole_DViewAccess
- smsdbrole_DWSS
- smsdbrole_EnrollSvr
- smsdbrole_extract
- smsdbrole_HMSUser
- smsdbrole_MCS
- smsdbrole_MP
- smsdbrole_MPMBAM
- smsdbrole_MPUserSvc
- smsdbrole_siteprovider
- smsdbrole_siteserver
- smsdbrole_SUP
- smsschm_users
Grupos do Windows que Configuration Manager cria e utiliza
Configuration Manager cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos do Windows:
Observação
Quando Configuration Manager cria um grupo num computador que é um membro do domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo é um grupo local de domínio. Este tipo de grupo é partilhado entre todos os controladores de domínio no domínio.
Configuração Manager_CollectedFilesAccess
Configuration Manager utiliza este grupo para conceder acesso para ver ficheiros recolhidos pelo inventário de software.
Para obter mais informações, veja Introdução ao inventário de software.
Tipo e localização para CollectedFilesAccess
Este grupo é um grupo de segurança local criado no servidor do site primário.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Associação a CollectedFilesAccess
Configuration Manager gere automaticamente a associação ao grupo. A associação inclui utilizadores administrativos aos quais é concedida a permissão Ver Ficheiros Recolhidos para o objeto com segurança Coleção a partir de uma função de segurança atribuída.
Permissões para CollectedFilesAccess
Por predefinição, este grupo tem permissão de Leitura para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol
Configuração Manager_DViewAccess
Este grupo é um grupo de segurança local que Configuration Manager cria no servidor da base de dados do site ou no servidor de réplica de base de dados de um site primário subordinado. O site cria-o quando utiliza vistas distribuídas para a replicação de bases de dados entre sites numa hierarquia. Contém o servidor do site e SQL Server contas de computador do site de administração central.
Para obter mais informações, veja Transferências de dados entre sites.
Configuration Manager Utilizadores de Controlo Remoto
Configuration Manager ferramentas remotas utilizam este grupo para armazenar as contas e grupos que configurou na lista Visualizadores Permitidos. O site atribui esta lista a cada cliente.
Para obter mais informações, veja Introdução ao controlo remoto.
Tipo e localização para utilizadores de controlo remoto
Este grupo é um grupo de segurança local criado no cliente Configuration Manager quando o cliente recebe uma política que permite ferramentas remotas.
Depois de desativar as ferramentas remotas para um cliente, este grupo não é removido automaticamente. Elimine-o manualmente depois de desativar as ferramentas remotas.
Associação para utilizadores de controlo remoto
Por predefinição, não existem membros neste grupo. Quando adiciona utilizadores à lista Visualizadores Permitidos , estes são automaticamente adicionados a este grupo.
Utilize a lista Visualizadores Permitidos para gerir a associação deste grupo em vez de adicionar utilizadores ou grupos diretamente a este grupo.
Além de ser um visualizador permitido, um utilizador administrativo tem de ter permissão de Controlo Remoto para o objeto Coleção . Atribua esta permissão utilizando a função de segurança Operador de Ferramentas Remotas .
Permissões para utilizadores de controlo remoto
Por predefinição, este grupo não tem permissão para aceder a quaisquer localizações no computador. É utilizado apenas para conter a lista de Visualizadores Permitidos .
Administradores de SMS
Configuration Manager utiliza este grupo para conceder acesso ao Fornecedor de SMS através da WMI. O acesso ao Fornecedor de SMS é necessário para ver e alterar objetos na consola do Configuration Manager.
Observação
A configuração de administração baseada em funções de um utilizador administrativo determina os objetos que pode ver e gerir ao utilizar a consola Configuration Manager.
Para obter mais informações, veja Planear o Fornecedor de SMS.
Tipo e localização para Administradores de SMS
Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Associação para Administradores de SMS
Configuration Manager gere automaticamente a associação ao grupo. Por predefinição, cada utilizador administrativo numa hierarquia e a conta de computador do servidor do site são membros do grupo Admins de SMS em cada computador do Fornecedor de SMS num site.
Permissões para Administradores de SMS
Pode ver os direitos e permissões do grupo Admins de SMS no snap-in MMC do Controlo WMI . Por predefinição, é concedido a este grupo Ativar Conta e Ativar Remotamente no Root\SMS
espaço de nomes WMI. Os utilizadores autenticados têm Métodos de Execução, Escrita do Fornecedor e Ativar Conta.
Quando utiliza uma consola de Configuration Manager remota, configure as permissões DCOM de Ativação Remota no computador do servidor do site e no Fornecedor de SMS. Conceda estes direitos ao grupo Admins de SMS . Esta ação simplifica a administração em vez de conceder estes direitos diretamente a utilizadores ou grupos. Para obter mais informações, veja Configure DCOM permissions for remote Configuration Manager consoles (Configurar permissões do DCOM para consolas de Configuration Manager remotas).
<SMS_SiteSystemToSiteServerConnection_MP_sitecode>
Os pontos de gestão remotos do servidor do site utilizam este grupo para ligar à base de dados do site. Este grupo fornece acesso de ponto de gestão às pastas da caixa de entrada no servidor do site e na base de dados do site.
Tipo e localização para SMS_SiteSystemToSiteServerConnection_MP
Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Associação a SMS_SiteSystemToSiteServerConnection_MP
Configuration Manager gere automaticamente a associação ao grupo. Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site.
Permissões para SMS_SiteSystemToSiteServerConnection_MP
Por predefinição, este grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes
. Este grupo também tem permissão de Escrita para subpastas abaixo das caixas de entrada, para as quais o ponto de gestão escreve dados de cliente.
<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
Os computadores do Fornecedor remoto de SMS utilizam este grupo para ligar ao servidor do site.
Tipo e localização para SMS_SiteSystemToSiteServerConnection_SMSProv
Este grupo é um grupo de segurança local criado no servidor do site.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Associação para SMS_SiteSystemToSiteServerConnection_SMSProv
Configuration Manager gere automaticamente a associação ao grupo. Por predefinição, a associação inclui uma conta de computador ou uma conta de utilizador de domínio. Utiliza esta conta para ligar ao servidor do site a partir de cada Fornecedor de SMS remoto.
Permissões para SMS_SiteSystemToSiteServerConnection_SMSProv
Por predefinição, este grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes
. Este grupo também tem as permissões de Escrita e Modificação para subpastas abaixo das caixas de entrada. O Fornecedor de SMS necessita de acesso a estas pastas.
Este grupo também tem permissão de Leitura para as subpastas no servidor do site abaixo C:\Program Files\Microsoft Configuration Manager\OSD\Bin
.
Também tem as seguintes permissões para as subpastas abaixo C:\Program Files\Microsoft Configuration Manager\OSD\boot
:
- Leitura
- Ler & executar
- Listar conteúdo da pasta
- Escrever
- Modificar
<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
O componente gestor de distribuição de ficheiros no Configuration Manager computadores do sistema de sites remotos utiliza este grupo para ligar ao servidor do site.
Tipo e localização para SMS_SiteSystemToSiteServerConnection_Stat
Este grupo é um grupo de segurança local criado no servidor do site.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Associação para SMS_SiteSystemToSiteServerConnection_Stat
Configuration Manager gere automaticamente a associação ao grupo. Por predefinição, a associação inclui a conta de computador ou a conta de utilizador do domínio. Utiliza esta conta para ligar ao servidor do site a partir de cada sistema de sites remoto que executa o gestor de distribuição de ficheiros.
Permissões para SMS_SiteSystemToSiteServerConnection_Stat
Por predefinição, este grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta e as respetivas subpastas no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes
.
Este grupo também tem as permissões de Escrita e Modificação para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box
.
<SMS_SiteToSiteConnection_sitecode>
Configuration Manager utiliza este grupo para ativar a replicação baseada em ficheiros entre sites numa hierarquia. Para cada site remoto que transfere diretamente ficheiros para este site, este grupo tem contas configuradas como uma Conta de Replicação de Ficheiros.
Tipo e localização para SMS_SiteToSiteConnection
Este grupo é um grupo de segurança local criado no servidor do site.
Associação para SMS_SiteToSiteConnection
Quando instala um novo site como subordinado de outro site, Configuration Manager adiciona automaticamente a conta de computador do novo servidor do site a este grupo no servidor do site principal. Configuration Manager também adiciona a conta de computador do site principal ao grupo no novo servidor do site. Se especificar outra conta para transferências baseadas em ficheiros, adicione essa conta a este grupo no servidor do site de destino.
Ao desinstalar um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.
Permissões para SMS_SiteToSiteConnection
Por predefinição, este grupo tem controlo total para a seguinte pasta: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive
.
Contas que Configuration Manager utiliza
Pode configurar as seguintes contas para Configuration Manager.
Dica
Não utilize o caráter de percentagem (%
) na palavra-passe das contas que especificar na consola do Configuration Manager. A autenticação da conta não será efetuada.
Conta de deteção de grupo do Active Directory
O site utiliza a conta de deteção de grupos do Active Directory para detetar os seguintes objetos a partir das localizações no Active Directory Domain Services especificar:
- Grupos de segurança locais, globais e universais.
- A associação dentro destes grupos.
- A associação dentro de grupos de distribuição.
- Os grupos de distribuição não são detetados como recursos de grupo.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que especificar para deteção.
Para obter mais informações, consulte Descoberta de Grupo do Active Directory.
Conta de deteção de sistema do Active Directory
O site utiliza a conta de deteção do sistema do Active Directory para detetar computadores a partir das localizações no Active Directory Domain Services especificar.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que especificar para deteção.
Para obter mais informações, consulte Descoberta de sistema do Active Directory.
Conta de deteção de utilizadores do Active Directory
O site utiliza a conta de deteção de utilizadores do Active Directory para detetar contas de utilizador a partir das localizações no Active Directory Domain Services especificar.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que especificar para deteção.
Para obter mais informações, consulte Descoberta de Usuário do Active Directory.
Conta de floresta do Active Directory
O site utiliza a conta de floresta do Active Directory para detetar a infraestrutura de rede a partir de florestas do Active Directory. Os sites de administração central e os sites primários também os utilizam para publicar dados do site para Active Directory Domain Services de uma floresta.
Observação
Os sites secundários utilizam sempre a conta de computador do servidor do site secundário para publicar no Active Directory.
Para detetar e publicar em florestas não fidedignas, a conta de floresta do Active Directory tem de ser uma conta global. Se não utilizar a conta de computador do servidor do site, pode selecionar apenas uma conta global.
Esta conta tem de ter permissões de Leitura para cada floresta do Active Directory onde pretende detetar a infraestrutura de rede.
Esta conta tem de ter permissões de Controlo Total para o contentor de Gestão do Sistema e todos os respetivos objetos subordinados em cada floresta do Active Directory onde pretende publicar dados do site.
Para obter mais informações, veja Preparar o Active Directory para publicação de sites.
Para obter mais informações, veja Deteção de florestas do Active Directory.
Conta do ponto de registo de certificados
Aviso
A partir da versão 2203, o ponto de registo de certificados já não é suportado. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.
O ponto de registo de certificados utiliza a conta do ponto de registo de certificados para ligar à base de dados Configuration Manager. Utiliza a respetiva conta de computador por predefinição, mas pode configurar uma conta de utilizador. Quando o ponto de registo de certificados está num domínio não fidedigno do servidor do site, tem de especificar uma conta de utilizador. Esta conta requer apenas acesso de Leitura à base de dados do site porque o sistema de mensagens de estado processa tarefas de escrita.
Para obter mais informações, veja Introdução aos perfis de certificado.
Capturar conta de imagem do SO
Quando captura uma imagem do SO, Configuration Manager utiliza a conta de imagem Capturar SO para aceder à pasta onde armazena as imagens capturadas. Se adicionar o passo Capturar Imagem do SO a uma sequência de tarefas, esta conta é necessária.
A conta tem de ter permissões de Leitura e Escrita na partilha de rede onde armazena imagens capturadas.
Se alterar a palavra-passe da conta no Windows, atualize a sequência de tarefas com a nova palavra-passe. O cliente Configuration Manager recebe a nova palavra-passe quando transferir a política de cliente em seguida.
Se precisar de utilizar esta conta, crie uma conta de utilizador de domínio. Conceda-lhe permissões mínimas para aceder aos recursos de rede necessários e utilizá-lo para todas as sequências de tarefas de captura.
Importante
Não atribua permissões de início de sessão interativas a esta conta.
Não utilize a conta de acesso à rede para esta conta.
Para obter mais informações, veja Criar uma sequência de tarefas para capturar um SO.
Conta de instalação push do cliente
Quando implementa clientes com o método de instalação push do cliente, o site utiliza a conta de instalação push do cliente para ligar a computadores e instalar o software de cliente Configuration Manager. Se não especificar esta conta, o servidor do site tenta utilizar a respetiva conta de computador.
Esta conta tem de ser um membro do grupo de Administradores local nos computadores cliente de destino. Esta conta não requer direitos de domínio Administração.
Pode especificar mais do que uma conta de instalação push de cliente. Configuration Manager tenta cada um deles por sua vez até que um seja bem-sucedido.
Dica
Se tiver um ambiente grande do Active Directory e precisar de alterar esta conta, utilize o seguinte processo para coordenar mais eficazmente esta atualização de conta:
- Crie uma nova conta com um nome diferente.
- Adicione a nova conta à lista de contas de instalação push do cliente no Configuration Manager.
- Aguarde tempo suficiente para Active Directory Domain Services replicar a nova conta.
- Em seguida, remova a conta antiga de Configuration Manager e Active Directory Domain Services.
Importante
Utilize o domínio ou a política de grupo local para atribuir ao utilizador do Windows o direito de Negar início de sessão localmente. Como membro do grupo Administradores, esta conta terá o direito de iniciar sessão localmente, o que não é necessário. Para uma melhor segurança, negue explicitamente o direito a esta conta. O direito de negação substitui o direito de permissão.
Para obter mais informações, veja Instalação push do cliente.
Conta de ligação do ponto de inscrição
O ponto de inscrição utiliza a conta de ligação do ponto de inscrição para ligar à base de dados Configuration Manager site. Utiliza a respetiva conta de computador por predefinição, mas pode configurar uma conta de utilizador. Quando o ponto de inscrição está num domínio não fidedigno do servidor do site, tem de especificar uma conta de utilizador. Esta conta requer acesso de Leitura e Escrita à base de dados do site.
Para obter mais informações, veja Instalar funções do sistema de sites para MDM no local.
Exchange Server conta de ligação
O servidor do site utiliza a conta de ligação Exchange Server para ligar ao Exchange Server especificado. Utiliza esta ligação para localizar e gerir dispositivos móveis que se ligam ao Exchange Server. Esta conta requer cmdlets do Exchange PowerShell que forneçam as permissões necessárias para o computador Exchange Server. Para obter mais informações sobre os cmdlets, consulte Instalar e configurar o conector do Exchange.
Conta de ligação do ponto de gestão
O ponto de gestão utiliza a conta de ligação do Ponto de gestão para ligar à base de dados Configuration Manager site. Utiliza esta ligação para enviar e obter informações para clientes. O ponto de gestão utiliza a respetiva conta de computador por predefinição, mas pode configurar uma conta de serviço alternativa. Quando o ponto de gestão está num domínio não fidedigno do servidor do site, tem de especificar uma conta de serviço alternativa.
Observação
Para uma postura de segurança melhorada, recomenda-se tirar partido da conta de serviço alternativa em vez da Conta de computador para "Conta de ligação do ponto de gestão".
Crie a conta como uma conta de serviço de baixo direito no computador que executa o Microsoft SQL Server.
Importante
- Não conceda direitos de início de sessão interativos a esta conta.
- Se estiver a especificar uma conta num domínio ou floresta remoto, certifique-se de que especifica o FQDN de domínio antes do nome de utilizador e não apenas o nome NetBIOS do domínio. Por exemplo, especifique Corp.Contoso.com\UserName em vez de apenas Corp\UserName. Isto permite que Configuration Manager utilizem Kerberos quando a conta é utilizada para autenticar no sistema de sites remoto. A utilização do FQDN corrige frequentemente falhas de autenticação resultantes de alterações recentes de proteção em torno do NTLM nas atualizações mensais do Windows.
Conta de ligação multicast
Os pontos de distribuição com multicast ativado utilizam a conta de ligação Multicast para ler informações da base de dados do site. O servidor utiliza a respetiva conta de computador por predefinição, mas pode configurar uma conta de serviço. Quando a base de dados do site está numa floresta não fidedigna, tem de especificar uma conta de serviço. Por exemplo, se o datacenter tiver uma rede de perímetro numa floresta diferente do servidor do site e da base de dados do site, utilize esta conta para ler as informações multicast da base de dados do site.
Se precisar desta conta, crie-a como uma conta de serviço de baixo direito no computador que executa o Microsoft SQL Server.
Observação
Para uma postura de segurança melhorada, recomenda-se tirar partido da conta de serviço em vez da Conta de computador para "Conta de ligação multicast".
Importante
Não conceda direitos de início de sessão interativos a esta conta de serviço.
Para obter mais informações, consulte Utilizar multicast para implementar o Windows através da rede.
Conta de acesso à rede
Os computadores cliente utilizam a conta de acesso à rede quando não podem utilizar a respetiva conta de computador local para aceder ao conteúdo em pontos de distribuição. Aplica-se principalmente a clientes de grupo de trabalho e computadores de domínios não fidedignos. Esta conta também é utilizada durante a implementação do SO, quando o computador que está a instalar o SO ainda não tem uma conta de computador no domínio.
Importante
A conta de acesso à rede nunca é utilizada como contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas. É utilizado apenas para aceder a recursos na rede.
Primeiro, um cliente Configuration Manager tenta utilizar a respetiva conta de computador para transferir o conteúdo. Se falhar, tenta automaticamente a conta de acesso à rede.
Se configurar o site para HTTPS ou HTTP Avançado, um grupo de trabalho ou Microsoft Entra cliente associado pode aceder de forma segura ao conteúdo a partir de pontos de distribuição sem a necessidade de uma conta de acesso à rede. Este comportamento inclui cenários de implementação do SO com uma sequência de tarefas em execução a partir do suporte de dados de arranque, do PXE ou do Centro de Software. Para obter mais informações, veja Comunicação entre cliente e ponto de gestão.
Observação
Se ativar o HTTP Avançado para não exigir a conta de acesso à rede, os pontos de distribuição têm de estar a executar versões suportadas atualmente do Windows Server ou Windows 10/11.
Permissões para a conta de acesso à rede
Conceda a esta conta as permissões mínimas adequadas para o conteúdo que o cliente necessita para aceder ao software. A conta tem de ter Acesso a este computador a partir da rede diretamente no ponto de distribuição. Pode configurar até 10 contas de acesso à rede por site.
Crie uma conta em qualquer domínio que forneça o acesso necessário aos recursos. A conta de acesso à rede tem de incluir sempre um nome de domínio. A segurança pass-through não é suportada para esta conta. Se tiver pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.
Dica
Para evitar bloqueios de conta, não altere a palavra-passe numa conta de acesso à rede existente. Em vez disso, crie uma nova conta e configure a nova conta no Configuration Manager. Quando tiver passado tempo suficiente para que todos os clientes tenham recebido os novos detalhes da conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta.
Importante
Não conceda direitos de início de sessão interativos a esta conta.
Não conceda a esta conta o direito de associar computadores ao domínio. Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a conta de associação a um domínio de sequência de tarefas.
Configurar a conta de acesso à rede
Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Configuração do Site e selecione o nó Sites. Em seguida, selecione o site.
No grupo Definições do friso , selecione Configurar Componentes do Site e selecioneDistribuição de Software.
Selecione o separador Conta de acesso à rede . Configure uma ou mais contas e, em seguida, selecione OK.
Ações que requerem a conta de acesso à rede
A conta de acesso à rede ainda é necessária para as seguintes ações (incluindo cenários PKI de eHTTP &):
Multicast. Para obter mais informações, consulte Utilizar multicast para implementar o Windows através da rede.
Opção de implementação da sequência de tarefas para Aceder a conteúdos diretamente a partir de um ponto de distribuição quando necessário pela sequência de tarefas em execução. Para obter mais informações, veja Opções de implementação da sequência de tarefas.
Aplique a opção passo de sequência de tarefas Imagem do SO ao Aceder ao conteúdo diretamente a partir do ponto de distribuição. Esta opção destina-se principalmente a cenários do Windows Embedded com pouco espaço em disco em que a colocação em cache do conteúdo para o disco local é dispendiosa. Para obter mais informações, veja Aceder a conteúdos diretamente a partir do ponto de distribuição.
Se a transferência de um pacote a partir de um ponto de distribuição através de HTTP/HTTPS falhar, poderá reverter para a transferência do pacote através de SMB a partir da partilha de pacote no ponto de distribuição. A transferência do pacote através do SMB da partilha de pacotes no ponto de distribuição requer a utilização da conta de acesso à rede. Este comportamento de contingência só ocorre se a opção Copiar o conteúdo deste pacote para uma partilha de pacote em pontos de distribuição estiver ativada no separador Acesso a Dados nas propriedades de um pacote. Para manter este comportamento, certifique-se de que a conta de acesso à rede não está desativada ou removida. Se este comportamento já não for pretendido, certifique-se de que a opção Copiar o conteúdo deste pacote para uma partilha de pacote em pontos de distribuição não está ativada em nenhum pacote.
Pedir passo de sequência de tarefas do Arquivo de Estados. Se a sequência de tarefas não conseguir comunicar com o ponto de migração de estado com a conta de computador do dispositivo, a mesma reverterá para a utilização da conta de acesso à rede. Para obter mais informações, veja Request State Store (Pedir Armazenamento de Estados).
Definição de propriedades da Sequência de Tarefas para Executar outro programa primeiro. Esta definição executa um pacote e um programa a partir de uma partilha de rede antes do início da sequência de tarefas. Para obter mais informações, veja Propriedades de sequências de tarefas: separador Avançadas.
A gestão de clientes em domínios não fidedignos e cenários entre florestas permite várias contas de acesso à rede.
Conta de acesso a pacotes
Uma conta de acesso a Pacote permite-lhe definir permissões NTFS para especificar os utilizadores e grupos de utilizadores que podem aceder ao conteúdo do pacote em pontos de distribuição. Por predefinição, Configuration Manager concede acesso apenas às contas de acesso genéricas Utilizador e Administrador. Pode controlar o acesso a computadores cliente através de outras contas ou grupos do Windows. Os dispositivos móveis obtêm sempre o conteúdo do pacote de forma anónima, para que não utilizem uma conta de acesso a pacotes.
Por predefinição, quando Configuration Manager copia os ficheiros de conteúdo para um ponto de distribuição, concede acesso de Leitura ao grupo Utilizadores local e Controlo Total ao grupo administradores local. As permissões reais necessárias dependem do pacote. Se tiver clientes em grupos de trabalho ou em florestas não fidedignas, esses clientes utilizam a conta de acesso à rede para aceder ao conteúdo do pacote. Certifique-se de que a conta de acesso à rede tem permissões para o pacote com as contas de acesso a pacotes definidas.
Utilize contas num domínio que possa aceder aos pontos de distribuição. Se criar ou modificar a conta depois de criar o pacote, tem de redistribuir o pacote. Atualizar o pacote não altera as permissões NTFS no pacote.
Não tem de adicionar a conta de acesso à rede como uma conta de acesso a pacotes porque a associação ao grupo Utilizadores adiciona-a automaticamente. Restringir a conta de acesso ao pacote apenas à conta de acesso à rede não impede que os clientes acedam ao pacote.
Gerir contas de acesso a pacotes
Na consola do Configuration Manager, aceda à área de trabalho Biblioteca de Software.
Na área de trabalho Biblioteca de Software , determine o tipo de conteúdo para o qual pretende gerir contas de acesso e siga os passos indicados:
Aplicação: expanda Gestão de Aplicações, escolha Aplicações e, em seguida, selecione a aplicação para a qual pretende gerir contas de acesso.
Pacote: expanda Gestão de Aplicações, selecione Pacotes e, em seguida, selecione o pacote para o qual pretende gerir contas de acesso.
Pacote de implementação de atualizações de software: expanda Software Atualizações, selecione Pacotes de Implementação e, em seguida, selecione o pacote de implementação para o qual pretende gerir contas de acesso.
Pacote de controlador: expanda Sistemas Operativos, selecione Pacotes de Controladores e, em seguida, selecione o pacote de controlador para o qual pretende gerir contas de acesso.
Imagem do SO: expanda Sistemas Operativos, selecione Imagens do Sistema Operativo e, em seguida, selecione a imagem do sistema operativo para a qual pretende gerir contas de acesso.
Pacote de atualização do SO: expanda Sistemas Operativos, selecione Pacotes de atualização do sistema operativo e, em seguida, selecione o pacote de atualização do SO para o qual pode gerir contas de acesso.
Imagem de arranque: expanda Sistemas Operativos, selecione Imagens de Arranque e, em seguida, selecione a imagem de arranque para a qual pretende gerir contas de acesso.
Clique com o botão direito do rato no objeto selecionado e, em seguida, selecione Gerir Contas de Acesso.
Na caixa de diálogo Adicionar Conta , especifique o tipo de conta ao qual será concedido acesso ao conteúdo e, em seguida, especifique os direitos de acesso associados à conta.
Observação
Quando adiciona um nome de utilizador para a conta e Configuration Manager localiza uma conta de utilizador local e uma conta de utilizador de domínio com esse nome, Configuration Manager define os direitos de acesso para a conta de utilizador do domínio.
Conta de ponto do Reporting Services
SQL Server Reporting Services utiliza a conta de ponto do Reporting Services para obter os dados de Configuration Manager relatórios da base de dados do site. A conta de utilizador e a palavra-passe do Windows que especificar são encriptadas e armazenadas na base de dados SQL Server Reporting Services.
Observação
A conta especificada tem de ter permissões de Início de sessão local no computador que aloja a base de dados SQL Server Reporting Services.
A conta recebe automaticamente todos os direitos necessários ao ser adicionada à Função de Base de Dados do smsschm_users SQL Server na base de dados Configuration Manager.
Para obter mais informações, veja Introdução aos relatórios.
Ferramentas remotas de contas de visualizador permitidas
As contas que especificar como Visualizadores Permitidos para controlo remoto são uma lista de utilizadores com permissão para utilizar a funcionalidade de ferramentas remotas nos clientes.
Para obter mais informações, veja Introdução ao controlo remoto.
Conta de instalação do site
Utilize uma conta de utilizador de domínio para iniciar sessão no servidor onde executa Configuration Manager configuração e instalar um novo site.
Esta conta requer os seguintes direitos:
Administrador nos seguintes servidores:
- O servidor do site
- Cada servidor que aloja a base de dados do site
- Cada instância do Fornecedor de SMS do site
Sysadmin na instância do SQL Server que aloja a base de dados do site
Configuration Manager configuração adiciona automaticamente esta conta ao grupo Admins de SMS.
Após a instalação, esta conta é a única com direitos para a consola Configuration Manager. Se precisar de remover esta conta, certifique-se de que adiciona os respetivos direitos a outro utilizador primeiro.
Ao expandir um site autónomo para incluir um site de administração central, esta conta requer direitos de administração baseada em funções administrador completo ou administrador de infraestrutura no site primário autónomo.
Conta de instalação do sistema de sites
O servidor do site utiliza a conta de instalação do Sistema de sites para instalar, reinstalar, desinstalar e configurar sistemas de sites. Se configurar o sistema de sites para exigir que o servidor do site inicie ligações a este sistema de sites, Configuration Manager também utiliza esta conta para extrair dados do sistema de sites depois de instalar o sistema de sites e quaisquer funções. Cada sistema de sites pode ter uma conta de instalação diferente, mas só pode configurar uma conta de instalação para gerir todas as funções nesse sistema de sites.
Esta conta requer permissões administrativas locais nos sistemas de sites de destino. Além disso, esta conta tem de ter Acesso a este computador a partir da rede na política de segurança nos sistemas de sites de destino.
Importante
Se estiver a especificar uma conta num domínio ou floresta remoto, certifique-se de que especifica o FQDN de domínio antes do nome de utilizador e não apenas o nome NetBIOS do domínio. Por exemplo, especifique Corp.Contoso.com\UserName em vez de apenas Corp\UserName. Isto permite que Configuration Manager utilizem Kerberos quando a conta é utilizada para autenticar no sistema de sites remoto. A utilização do FQDN corrige frequentemente falhas de autenticação resultantes de alterações recentes de proteção em torno do NTLM nas atualizações mensais do Windows.
Dica
Se tiver muitos controladores de domínio e estas contas forem utilizadas em vários domínios, antes de configurar o sistema de sites, marcar que o Active Directory tenha replicado estas contas.
Quando especifica uma conta de serviço em cada sistema de sites a gerir, esta configuração é mais segura. Limita os danos que os atacantes podem causar. No entanto, as contas de domínio são mais fáceis de gerir. Considere a troca entre a segurança e a administração eficaz.
Conta de servidor proxy do sistema de sites
As seguintes funções do sistema de sites utilizam a conta de servidor proxy do Sistema de sites para aceder à Internet através de um servidor proxy ou firewall que requer acesso autenticado:
- Ponto de sincronização do Asset Intelligence
- Conector do Exchange Server
- Ponto de ligação de serviço
- Ponto de atualização de software
Importante
Especifique uma conta que tenha as permissões menos possíveis para o servidor proxy ou firewall necessário.
Para obter mais informações, veja Suporte do servidor proxy.
Conta de ligação do servidor SMTP
O servidor do site utiliza a conta de ligação do servidor SMTP para enviar alertas de e-mail quando o servidor SMTP requer acesso autenticado.
Importante
Especifique uma conta que tenha as permissões menos possíveis para enviar e-mails.
Para obter mais informações, veja Configurar alertas.
Conta de ligação do ponto de atualização de software
O servidor do site utiliza a conta de ligação do ponto de atualização de software para os seguintes dois serviços de atualização de software:
Windows Server Update Services (WSUS), que configura definições como definições de produto, classificações e definições de upstream.
Gestor de Sincronização do WSUS, que pede a sincronização para um servidor WSUS upstream ou o Microsoft Update.
A conta de instalação do sistema de sites pode instalar componentes para atualizações de software, mas não pode efetuar funções específicas de atualização de software no ponto de atualização de software. Se não conseguir utilizar a conta de computador do servidor do site para esta funcionalidade porque o ponto de atualização de software está numa floresta não fidedigna, tem de especificar esta conta juntamente com a conta de instalação do sistema de sites.
Esta conta tem de ser um administrador local no computador onde instala o WSUS. Também tem de fazer parte do grupo de Administradores do WSUS local.
Para obter mais informações, veja Planear atualizações de software.
Conta do site de origem
O processo de migração utiliza a Conta de site de origem para aceder ao Fornecedor de SMS do site de origem. Esta conta requer permissões de Leitura para objetos de site no site de origem para recolher dados para tarefas de migração.
Se tiver Configuration Manager pontos de distribuição do 2007 ou sites secundários com pontos de distribuição colocalizados, ao atualizá-los para pontos de distribuição Configuration Manager (ramo atual), esta conta também tem de ter permissões eliminar para a classe Site. Esta permissão consiste em remover com êxito o ponto de distribuição do site Configuration Manager 2007 durante a atualização.
Observação
Tanto a conta do site de origem como a conta da base de dados do site de origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração na consola do Configuration Manager.
Para obter mais informações, veja Migrar dados entre hierarquias.
Conta da base de dados do site de origem
O processo de migração utiliza a conta da base de dados do site de origem para aceder à base de dados SQL Server do site de origem. Para recolher dados da base de dados SQL Server do site de origem, a conta da base de dados do site de origem tem de ter as permissões De Leitura e Execução para a base de dados SQL Server do site de origem.
Se utilizar a conta de computador Configuration Manager (ramo atual), certifique-se de que todos os seguintes aspetos são verdadeiros para esta conta:
- É membro do grupo de segurança Utilizadores COM Distribuídos no mesmo domínio que o site Configuration Manager 2012.
- É um membro do grupo de segurança Admins de SMS .
- Tem a permissão de Leitura para todos os objetos Configuration Manager 2012.
Observação
Tanto a conta do site de origem como a conta da base de dados do site de origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração na consola do Configuration Manager.
Para obter mais informações, veja Migrar dados entre hierarquias.
Conta de associação a um domínio de sequência de tarefas
A Configuração do Windows utiliza a conta de associação a um domínio de sequência de tarefas para associar um computador com imagens recentes a um domínio. Esta conta é necessária pelo passo de sequência de tarefas Associar Domínio ou Grupo de Trabalho com a opção Associar um domínio . Esta conta também pode ser configurada com o passo Aplicar Definições de Rede , mas não é necessária.
Esta conta requer o direito associação a um domínio no domínio de destino.
Dica
Crie uma conta de utilizador de domínio com as permissões mínimas para aderir ao domínio e utilize-a para todas as sequências de tarefas.
Importante
Não atribua permissões de início de sessão interativas a esta conta.
Não utilize a conta de acesso à rede para esta conta.
Conta de ligação da pasta de rede de sequência de tarefas
O motor de sequência de tarefas utiliza a conta de ligação da pasta de rede sequência de tarefas para ligar a uma pasta partilhada na rede. Esta conta é necessária pelo passo de sequência de tarefas Ligar à Pasta de Rede .
Esta conta requer permissões para aceder à pasta partilhada especificada. Tem de ser uma conta de utilizador de domínio.
Dica
Crie uma conta de utilizador de domínio com permissões mínimas para aceder aos recursos de rede necessários e utilize-a para todas as sequências de tarefas.
Importante
Não atribua permissões de início de sessão interativas a esta conta.
Não utilize a conta de acesso à rede para esta conta.
Sequência de tarefas executada como conta
O motor de sequência de tarefas utiliza a conta Run As da sequência de tarefas para executar linhas de comandos ou Scripts do PowerShell com credenciais que não a conta do Sistema Local. Esta conta é exigida pelos passos de sequência de tarefas Executar Linha de Comandos e Executar Script do PowerShell com a opção Executar este passo como a seguinte conta escolhida.
Configure a conta para ter as permissões mínimas necessárias para executar a linha de comandos que especificar na sequência de tarefas. A conta requer direitos de início de sessão interativos. Normalmente, requer a capacidade de instalar software e aceder a recursos de rede. Para a tarefa Executar Script do PowerShell, esta conta requer permissões de administrador local.
Importante
Não utilize a conta de acesso à rede para esta conta.
Nunca torne a conta num administrador de domínio.
Nunca configure perfis de roaming para esta conta. Quando a sequência de tarefas é executada, transfere o perfil de roaming da conta. Isto deixa o perfil vulnerável ao acesso no computador local.
Limite o âmbito da conta. Por exemplo, crie diferentes sequências de tarefas que são executadas como contas para cada sequência de tarefas. Em seguida, se uma conta for comprometida, apenas os computadores cliente aos quais essa conta tem acesso são comprometidos.
Se a linha de comandos exigir acesso administrativo no computador, considere criar uma conta de administrador local apenas para esta conta em todos os computadores que executam a sequência de tarefas. Elimine a conta assim que já não precisar da mesma.
Objetos de utilizador que Configuration Manager utiliza no SQL Server
Configuration Manager cria e mantém automaticamente os seguintes objetos de utilizador no SQL. Estes objetos estão localizados na base de dados Configuration Manager em Segurança/Utilizadores.
Importante
Modificar ou remover estes objetos pode causar problemas drásticos num ambiente Configuration Manager. Recomendamos que não faça alterações a estes objetos.
smsdbuser_ReadOnly
Este objeto é utilizado para executar consultas no contexto só de leitura. Este objeto é utilizado com vários procedimentos armazenados.
smsdbuser_ReadWrite
Este objeto é utilizado para fornecer permissões para instruções SQL dinâmicas.
smsdbuser_ReportSchema
Este objeto é utilizado para executar SQL Server Execuções de Relatórios. O seguinte procedimento armazenado é utilizado com esta função: spSRExecQuery
.
Funções de base de dados que Configuration Manager utiliza no SQL
Configuration Manager cria e mantém automaticamente os seguintes objetos de função no SQL. Estas funções fornecem acesso a procedimentos armazenados específicos, tabelas, vistas e funções. Estas funções obtêm ou adicionam dados à base de dados Configuration Manager. Estes objetos estão localizados na base de dados Configuration Manager em Segurança/Funções/Funções de Base de Dados.
Importante
Modificar ou remover estes objetos pode causar problemas drásticos num ambiente Configuration Manager. Não altere estes objetos. A lista seguinte destina-se apenas a fins de informações.
smsdbrole_AITool
Configuration Manager concede esta permissão a contas de utilizador administrativas com base no acesso baseado em funções para importar informações de licenciamento em volume para o Asset Intelligence. Esta conta pode ser adicionada por uma função Administrador Completo, Administrador de Operações ou Gestor de Ativos ou qualquer função com a permissão "Gerir Asset Intelligence".
smsdbrole_AIUS
Configuration Manager concede à conta de computador que aloja a conta do ponto de sincronização do Asset Intelligence acesso para obter dados de proxy do Asset Intelligence e para ver os dados de IA pendentes para carregamento.
smsdbrole_CRP
Configuration Manager concede permissão à conta de computador do sistema de sites que suporta o ponto de registo de certificados para o suporte do Protocolo SCEP (Simple Certificate Enrollment Protocol) para assinatura e renovação de certificados.
smsdbrole_CRPPfx
Configuration Manager concede permissão à conta de computador do sistema de sites que suporta o ponto de registo de certificados configurado para suporte PFX para assinatura e renovação.
smsdbrole_DMP
Configuration Manager concede esta permissão a uma conta de computador para um ponto de gestão que tenha a opção Permitir que dispositivos móveis e computadores Mac utilizem este ponto de gestão, a capacidade de fornecer suporte para dispositivos inscritos na MDM.
smsdbrole_DmpConnector
Configuration Manager concede esta permissão à conta de computador que aloja o ponto de ligação de serviço para obter e fornecer dados de diagnóstico, gerir serviços cloud e obter atualizações de serviço.
smsdbrole_DViewAccess
Configuration Manager concede esta permissão à conta de computador dos servidores do site primário no CAS quando a opção SQL Server vistas distribuídas está selecionada nas propriedades da ligação de replicação.
smsdbrole_DWSS
Configuration Manager concede esta permissão à conta de computador que aloja a função do armazém de dados.
smsdbrole_EnrollSvr
Configuration Manager concede esta permissão à conta de computador que aloja o ponto de inscrição para permitir a inscrição de dispositivos através da MDM.
smsdbrole_extract
Fornece acesso a todas as vistas de esquema expandidas.
smsdbrole_HMSUser
Para o serviço gestor de hierarquia. Configuration Manager concede permissões a esta conta para gerir mensagens de estado de ativação pós-falha e SQL Server transações de Mediador entre sites numa hierarquia.
Observação
Por predefinição, a função smdbrole_WebPortal é membro desta função.
smsdbrole_MCS
Configuration Manager concede esta permissão à conta de computador do ponto de distribuição que suporta multicast.
smsdbrole_MP
Configuration Manager concede esta permissão à conta de computador que aloja a função de ponto de gestão para fornecer suporte aos clientes Configuration Manager.
smsdbrole_MPMBAM
Configuration Manager concede esta permissão à conta de computador que aloja o ponto de gestão que gere o BitLocker para um ambiente.
smsdbrole_MPUserSvc
Configuration Manager concede esta permissão à conta de computador que aloja o ponto de gestão para suportar pedidos de aplicações baseados no utilizador.
smsdbrole_siteprovider
Configuration Manager concede esta permissão à conta de computador que aloja uma função de Fornecedor de SMS.
smsdbrole_siteserver
Configuration Manager concede esta permissão à conta de computador que aloja o site primário ou o CAS.
smsdbrole_SUP
Configuration Manager concede esta permissão à conta de computador que aloja o ponto de atualização de software para trabalhar com atualizações de terceiros.
smsschm_users
Configuration Manager concede acesso à conta utilizada para a conta do ponto do Reporting Services para permitir o acesso às vistas de relatórios de SMS para apresentar os dados de relatórios do Configuration Manager. Os dados são ainda mais restritos com a utilização do acesso baseado em funções.
Permissões elevadas
Configuration Manager requer que algumas contas tenham permissões elevadas para operações em curso. Por exemplo, veja Pré-requisitos para instalar um site primário. A lista seguinte resume estas permissões e os motivos pelos quais são necessárias.
A conta de computador do servidor do site primário e do servidor do site de administração central requer:
Direitos de Administrador Local em todos os servidores do sistema de sites. Esta permissão é para gerir, instalar e remover serviços do sistema. O servidor do site também atualiza os grupos locais no sistema de sites quando adiciona ou remove funções.
Acesso do Sysadmin à instância SQL Server da base de dados do site. Esta permissão é para configurar e gerir SQL Server para o site. Configuration Manager totalmente integrado com o SQL, não é apenas uma base de dados.
As contas de utilizador na função Administrador Completo requerem:
Direitos de Administrador Local em todos os servidores do site. Esta permissão é para ver, editar, remover e instalar serviços de sistema, chaves de registo e valores e objetos WMI.
Acesso do Sysadmin à instância SQL Server da base de dados do site. Esta permissão é para instalar e atualizar a base de dados durante a configuração ou recuperação. Também é necessário para operações e manutenção SQL Server. Por exemplo, reindexar e atualizar estatísticas.
Observação
Algumas organizações podem optar por remover o acesso sysadmin e apenas concedê-lo quando for necessário. Por vezes, este comportamento é referido como "acesso just-in-time (JIT)". Neste caso, os utilizadores com a função Administrador Completo ainda devem ter acesso para ler, atualizar e executar procedimentos armazenados na base de dados Configuration Manager. Estas permissões permitem-lhes resolver a maioria dos problemas sem acesso sysadmin completo.