Referência Técnica para Contas Utilizadas no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Utilize as informações seguintes para identificar os grupos e as contas do Windows usados no System Center 2012 Configuration Manager e como devem ser utilizados, bem como os requisitos.
Grupos do Windows que o Configuration Manager Cria e Utiliza
O Gestor de configuração cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos do Windows:
Nota
Quando o Gestor de configuração cria um grupo num computador que é o membro do domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo é um grupo local de domínio que é partilhado entre todos os controladores de domínio no domínio.
ConfigMgr_CollectedFilesAccess
Este grupo é utilizado pelo Gestor de configuração para conceder acesso para ver os ficheiros recolhidos pelo inventário de software.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado no servidor do site primário. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Associação |
O Gestor de configuração gere automaticamente a associação a grupos. A associação inclui os utilizadores administrativos que recebem permissão para Ver Ficheiros Recolhidos relativamente ao objeto com capacidade de segurança Recolha de uma função de segurança atribuída. |
Permissões |
Por predefinição, este grupo tem permissão de Read para a seguinte pasta no servidor do site: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Este grupo é um grupo de segurança local criado no servidor de base de dados do site ou no servidor de réplicas de base de dados pelo System Center 2012 Configuration Manager e não está a ser utilizado atualmente. Este grupo está reservado para utilização futura pelo Gestor de configuração.
Utilizadores do Controlo Remoto do ConfigMgr
Este grupo é utilizado pelas ferramentas remotas do Gestor de configuração para armazenar contas e grupos que configura na lista de visualizadores autorizados, atribuídos a cada cliente.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
||
---|---|---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado no cliente do Gestor de configuração quando o cliente recebe uma política que ativa as ferramentas remotas.
|
||
Associação |
Por predefinição, não existem membros neste grupo. Quando são adicionados utilizadores à lista de Visualizadores Autorizados, eles são automaticamente adicionados a este grupo.
Além de ser um Visualizador Autorizado, um utilizador administrativo tem de ter permissão de Controlo Remoto para o objeto Recolha. Pode atribuir esta permissão utilizando a função de segurança Operador de Ferramentas Remotas. |
||
Permissões |
Por predefinição, este grupo não tem permissões para localizações no computador e é utilizado apenas para conter a lista de Visualizadores Autorizados. |
Admins de SMS
Este grupo é utilizado pelo Gestor de configuração para conceder acesso ao Fornecedor de SMS, através do WMI. É necessário acesso ao Fornecedor de SMS para ver e modificar objetos na consola do Gestor de configuração.
Nota
A configuração de administração baseada em funções de um utilizador administrativo determina que objetos podem visualizar e gerir ao utilizarem a consola do Gestor de configuração.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Associação |
O Gestor de configuração gere automaticamente a associação a grupos. Por predefinição, cada utilizador administrativo numa hierarquia e a conta do computador do servidor de site são membros do grupo Admins de SMS em cada computador do Fornecedor de SMS num site. |
Permissões |
Os direitos e permissões dos Administradores de SMS estão definidos no snap-in MMC de Controlo WMI. Por predefinição, o grupo Administradores de SMS recebe direitos de Enable Account e Remote Enable no espaço de nomes Raiz\SMS. Utilizadores Autenticados tem Execute Methods, Provider Write e Enable Account Nota Os utilizadores administrativos que utilizem uma consola remota do Gestor de configuração necessitarão de permissões DCOM de Ativação Remota no computador do servidor de sites e no computador do Fornecedor de SMS. É um procedimento recomendado conceder estes direitos a Admins de SMS para simplificar a administração em vez de conceder estes direitos diretamente a utilizadores ou grupos. Para obter mais informações, consulte a secção Configurar Permissões de DCOM para Ligações de Consolas Remotas do Configuration Manager do tópico Gerir Configurações de Site e de Hierarquia. |
SMS_SiteSystemToSiteServerConnection_MP_<códigodosite>
Este grupo é utilizado pelos pontos de gestão do Gestor de configuração que são remotos, a partir do servidor de site para ligar à base de dados do site. Este grupo fornece acesso de ponto de gestão às pastas a receber no servidor do site e na base de dados do site.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Associação |
O Gestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site. |
Permissões |
Por predefinição, este grupo tem permissão de Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Adicionalmente, este grupo tem permissão adicional de Write para várias subpastas em inboxes para as quais o ponto de gestão escreve dados do cliente. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<códigodosite>
Este grupo é utilizado pelos computadores do Fornecedor de SMS do Gestor de configuração que são remotos, a partir do servidor de site para ligar ao servidor do site.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado no servidor do site. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Associação |
O Gestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui a conta do computador ou a conta de utilizador de domínio que é utilizada para ligar ao servidor do site a partir de cada computador remoto que tem o Fornecedor de SMS instalado para o site. |
Permissões |
Por predefinição, este grupo tem permissão de Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Adicionalmente, este grupo tem a permissão adicional de Write ou as permissões de Escrita e Modificar para várias subpastas em inboxes para as quais o Fornecedor de SMS requer acesso. Este grupo tem permissões de Read, Read & execute, List folder contents, Escrita e Modificar para as pastas em %path%\Microsoft Configuration Manager\OSD\boot e de Leitura para as pastas em %path%\Microsoft Configuration Manager\OSD\Bin no mesmo servidor de site. |
SMS_SiteSystemToSiteServerConnection_Stat_<códigodosite>
Este grupo é utilizado pelo Gestor de Distribuição de Ficheiros nos computadores do sistema de sites remoto do Gestor de configuração para ligar ao servidor de site.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado no servidor do site. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Associação |
O Gestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui a conta do computador ou a conta do utilizador de domínio que é usada para ligar ao servidor do site a partir de cada computador do servidor de site remoto que executa o Gestor de Distribuição de Ficheiros. |
Permissões |
Por predefinição, este grupo tem permissão de Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes e várias subpastas na localização do servidor de site. Adicionalmente, este grupo tem permissões adicionais de Escrita e Modificar para a pasta %path%\Microsoft Configuration Manager\inboxes\statmgr.box no servidor do site. |
SMS_SiteToSiteConnection_<códigodosite>
Este grupo é utilizado pelo Gestor de configuração para ativar a replicação baseada em ficheiros entre sites numa hierarquia. Para cada site remoto que transfere diretamente ficheiros para este site, este grupo contém as seguintes contas:
As contas configuradas como uma Conta de Endereço de Site, a partir dos sites do Gestor de configuração sem service pack
As contas configuradas como uma Conta de Replicação de Ficheiros, a partir dos sites que executam o Gestor de configuração SP1 e posterior
Nota
A partir do Gestor de configuração SP1 apenas, a Conta de Replicação de Ficheiros substitui a Conta de Endereço de Site.
A tabela seguinte lista os detalhes adicionais para este grupo:
Detalhe |
Mais informações |
---|---|
Tipo e localização |
Este grupo é um grupo de segurança local criado no servidor do site. |
Associação |
Aquando da instalação de um novo site como subordinado de outro site, o Gestor de configuração adiciona automaticamente a conta de computador do novo site ao grupo do servidor do site principal e a conta de computador dos sites principais ao grupo do novo servidor de site. Se especificar outra conta para transferências baseadas em ficheiros, adicione essa conta a este grupo no servidor do site de destino. Nota Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente. |
Permissões |
Por predefinição, este grupo tem controlo total da pasta %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive. |
Contas que o Configuration Manager Utiliza
Pode configurar as seguintes contas do Gestor de configuração:
Conta de Deteção de Grupos do Active Directory
A Conta de Deteção de Grupos do Active Directory é utilizada para detetar grupos de segurança locais, globais e universais, as associações no âmbito desses grupos e a associação no âmbito de grupos de distribuição a partir de localizações especificadas nos Serviços de Domínio do Active Directory. Os grupos de distribuição não são detetados como recursos de grupo.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que são especificadas para deteção.
Conta de Deteção de Sistemas do Active Directory
A Conta de Deteção de Sistemas do Active Directory é utilizada para detetar computadores a partir de localizações especificadas nos Serviços de Domínio do Active Directory.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que são especificadas para deteção.
Conta de Deteção de Utilizadores do Active Directory
A Conta de Deteção de Utilizadores do Active Directory é utilizada para detetar contas de utilizador a partir de localizações especificadas nos Serviços de Domínio do Active Directory.
Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura para as localizações do Active Directory que são especificadas para deteção.
Conta de Floresta do Active Directory
A Conta de Floresta do Active Directory é utilizada para detetar infraestruturas de rede a partir de florestas do Active Directory e também utilizada pelos sites de administração central e sites primários para publicar dados do site através dos Serviços de Domínio do Active Directory de uma floresta.
Nota
Os sites secundários utilizam sempre a conta de computador de servidor do site secundário para publicar no Active Directory.
Nota
A Conta de Floresta do Active Directory tem de ser uma conta global para detetar e publicar em florestas não fidedignas. Se não utilizar a conta de computador do servidor do site, só pode selecionar uma conta global.
Esta conta deve ter permissões de Leitura para cada floresta do Active Directory onde é necessário detetar infraestruturas de rede.
Esta conta tem de ter permissões de Controlo Total para o contentor de Gestão do Sistema e todos os respetivos objetos subordinados em cada floresta do Active Directory onde é necessário publicar os dados do site.
Conta de Deteção e Aprovisionamento AMT
A Conta de Deteção e Aprovisionamento AMT é funcionalmente equivalente à Conta de Administração Remota AMT e reside na extensão Management Engine BIOS (MEBx) dos computadores baseados em Intel AMT. Esta conta é utilizada pelo servidor que executa a função do ponto de serviço fora de banda para gerir algumas funcionalidades da interface de rede AMT, utilizando a funcionalidade de gestão fora de banda.
Se especificar uma Conta de Deteção e Aprovisionamento AMT no Gestor de configuração, a mesma terá de corresponder ao nome e palavra-passe da Conta de Administração Remota AMT especificados nas extensões da BIOS nos computadores baseados em AMT.
Nota
Para mais informações sobre se deve ou não especificar uma Conta de Deteção e Aprovisionamento AMT, consulte Passo 5: Configurar a fora de banda do componente de gestão no tópico Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager no guia Recursos e conformidade no System Center 2012 Configuration Manager.
A conta é armazenada nas extensões Management Engine BIOS do computador baseado em AMT e não corresponde a qualquer conta no Windows.
Conta de Remoção do Aprovisionamento AMT
A Conta de Remoção do Aprovisionamento AMT pode remover informações de aprovisionamento AMT se for necessário recuperar o site. Poderá igualmente conseguir utilizá-lo se um cliente do Gestor de configuração tiver sido reatribuído e as informações de aprovisionamento AMT não tiverem sido removidas do computador no site antigo.
Para remover com êxito as informações de aprovisionamento AMT utilizando a Conta de Remoção do Aprovisionamento AMT, todas as seguintes características devem ser verdadeiras:
A Conta de Remoção do Aprovisionamento AMT está configurada nas propriedades do componente de gestão fora de banda.
A conta destinada à Conta de Remoção do Aprovisionamento AMT foi configurada como Conta de Utilizador AMT nas propriedades do componente de gestão fora de banda quando o computador baseado em AMT foi aprovisionado ou atualizado.
A conta que foi configurada para a Conta de Remoção do Aprovisionamento AMT tem de ser membro do grupo de Administradores locais no computador do ponto de serviço fora de banda.
O registo de auditoria de AMT não está ativado.
Uma vez que se trata de uma conta de utilizador do Windows, especifique uma conta com uma palavra-passe segura que não expire.
Conta de Administração Remota AMT
A Conta de Administração Remota AMT é a conta na extensão Management Engine BIOS (MEBx) dos computadores baseados em Intel AMT que é utilizada pelo servidor que executa o ponto de serviço fora de banda para gerir algumas funcionalidades da interface de rede AMT no Gestor de configuração, utilizando a funcionalidade de gestão fora de banda.
O Gestor de configuração define automaticamente a palavra-passe de conta de administração remota para computadores aprovisionados para AMT, sendo depois utilizada para subsequente acesso autenticado a firmware AMT. Esta conta é funcionalmente equivalente à Conta de Deteção e Aprovisionamento AMT do Gestor de configuração.
A conta é armazenada nas extensões Management Engine BIOS do computador baseado em AMT e não corresponde a qualquer conta no Windows.
Contas de Utilizador AMT
As Contas de Utilizador AMT controlam que utilizadores ou grupos podem executar funções de gestão na consola de Gestão Fora de Banda.
A configuração das Contas de Utilizador AMT cria o equivalente de uma lista de controlo de acesso (ACL) ao firmware AMT. Quando o utilizador com sessão iniciada tenta executar a consola de Gestão Fora de Banda, o AMT utiliza Kerberos para autenticar a conta e em seguida autoriza ou nega o acesso às funções de gestão AMT.
Configure as Contas de Utilizador AMT antes de aprovisionar os computadores baseados em AMT. Se configurar as Contas de Utilizador AMT depois de os computadores serem aprovisionados para AMT, tem de atualizar manualmente a memória AMT para estes computadores para que possam ser reconfigurados com as novas definições.
Uma vez que as Contas de Utilizador AMT usam a autenticação Kerberos, têm de existir contas de utilizador e grupos de segurança num domínio do Active Directory.
Conta de Servidor Proxy do Ponto de Sincronização do Asset Intelligence
A Conta de Servidor Proxy do Ponto de Sincronização do Asset Intelligence é utilizada pelo ponto de sincronização do Asset Intelligence para aceder à Internet através de um servidor proxy ou de uma firewall que necessite de acesso autenticado.
Segurança Nota |
---|
Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário. |
Conta de Ponto de Registo de Certificados
A Conta de Ponto de Registo de Certificados liga o ponto de registo de certificado à base de dados do Gestor de configuração. Por predefinição, é utilizada a conta de computador do servidor de ponto de registo de certificados, mas também é possível configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que o ponto de registo de certificados está num domínio não fidedigno do servidor do site. Esta conta requer apenas acesso de Leitura na base de dados do site, uma vez que as operações de escrita são processadas pelo sistema de mensagens de estado.
Conta para Captura de Imagem do Sistema Operativo
A Conta para Captura de Imagem do Sistema Operativo é utilizada pelo Gestor de configuração para aceder à pasta onde as imagens capturadas estão armazenadas ao implementar sistemas operativos. Esta conta é necessária se adicionar o passo Capturar Imagem do Sistema Operativo a uma sequência de tarefas.
A conta deve ter permissões de Leitura e Escrita na partilha de rede onde a imagem capturada está armazenada.
Se a palavra-passe da conta for alterada no Windows, é necessário atualizar a sequência de tarefas com a nova palavra-passe. O cliente do Gestor de configuração receberá a nova palavra-passe quando transferir a política de cliente.
Se utilizar esta conta, pode criar uma conta de utilizador de conta de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequência de tarefas.
Segurança Nota |
---|
Não atribua permissões de início de sessão interativo a esta conta. Não utilize a conta de Acesso à Rede para esta conta. |
Conta de instalação para ligar cliente
A conta de instalação para ligar cliente é utilizada para ligar a computadores e instalar o software de cliente Gestor de configuração se implementar clientes utilizando a instalação push do cliente. Se esta conta não for especificada, é utilizada a conta de servidor do site para tentar instalar o software de cliente.
Esta conta tem de ser um membro do grupo de Administradores local nos computadores onde é instalado o software de cliente Gestor de configuração. Esta conta não necessita de direitos de administrador de domínio.
Pode especificar uma ou mais contas de instalação para ligar cliente, que o Gestor de configuração tenta por ordem até uma ter êxito.
Sugestão |
---|
Para coordenar de forma mais eficaz atualizações de conta em grandes implementações de Active Directory, crie uma nova conta com um nome diferente e depois adicione-a à lista das contas de instalação push do cliente no Gestor de configuração. Aguarde que os serviços de domínio do Active Directory repliquem a nova conta e depois remova a conta antiga do Gestor de configuração e dos serviços de domínio do Active Directory. |
Segurança Nota |
---|
Não conceda a esta conta o direito de iniciar sessão localmente. |
Conta de Ligação do Ponto de Registo
A conta de ligação do ponto de registo liga o ponto de registo à base de dados do site do Gestor de configuração. Por predefinição, é utilizada a conta de computador do ponto de registo, mas também pode configurar uma conta de computador. Tem de especificar uma conta de utilizador sempre que o ponto de registo está num domínio não fidedigno do servidor do site. Esta conta necessita de acesso de leitura e escrita à base de dados do site.
Conta de ligação a Exchange Server
A conta de ligação a Exchange Server liga o servidor do site ao computador do Exchange Server especificada para localizar e gerir dispositivos móveis que ligam ao Exchange Server. Esta conta necessita de cmdlets do Exchange PowerShell que forneçam as permissões necessárias ao computador do Exchange Server. Para mais informações sobre os cmdlets, consulte Como Gerir Dispositivos Móveis Através do Configuration Manager e do Exchange.
Conta de servidor proxy de conector do Exchange Server
A conta de servidor proxy de conector do Exchange Server é utilizada pelo conector do Exchange Server para aceder à Internet através de um servidor proxy ou de uma firewall que necessite de acesso autenticado.
Segurança Nota |
---|
Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário. |
Conta de ligação a servidor SMTP de Endpoint Protection
Para um Configuration Manager sem pacote de serviço: A conta de ligação a servidor SMTP de Endpoint Protection é utilizada pelo servidor do site para enviar alertas de correio eletrónico para o Endpoint Protection quando o servidor SMTP necessita de acesso autenticado.
Segurança Nota |
---|
Especifique uma conta que tenha o menor número possível de permissões para enviar mensagens de correio eletrónico. |
Conta de publicação de referência de estado de funcionamento
A conta de publicação de referência de estado de funcionamento é utilizada para publicar a referência do estado de funcionamento da NAP (Proteção de Acesso à Rede) do Gestor de configuração nos serviços de Domínio do Active Directory.
Se não for configurada uma conta, o Gestor de configuração tenta utilizar a conta de computador do servidor de site para publicar as referência de estado de funcionamento.
Esta conta necessita de permissões de Leitura, Escrita e Criação na floresta do Active Directory que armazena a referência de estado de funcionamento.
Crie a conta na floresta que é designada para armazenar as referências de estado de funcionamento. Atribua o menor número possível de permissões a esta conta e não utilize a mesma conta que está especificada para a conta de consulta de referência de estado de funcionamento, que necessita apenas de permissões de Leitura.
Conta de consulta de referência de estado de funcionamento
A conta de consulta de referência de estado de funcionamento é utilizada para obter a referência do estado de funcionamento da NAP (Proteção de Acesso à Rede) do Gestor de configuração dos serviços de Domínio do Active Directory.
Se não for configurada uma conta, o Gestor de configuração tenta utilizar a conta de computador do servidor de site para obter as referência de estado de funcionamento.
Esta conta requer permissões de Leitura para o contentor Gestão de Sistemas do Gestor de configuração no Catálogo Global.
Crie a conta na floresta que é designada para armazenar as referências de estado de funcionamento. Não utilize a mesma conta para conta de publicação de referência de estado de funcionamento, que necessita de mais privilégios.
Segurança Nota |
---|
Não conceda direitos de início de sessão interativo a esta conta. |
Conta de Ligação de Ponto de Gestão
A Conta de Ligação de Ponto de Gestão é utilizada para ligar o ponto de gestão à base de dados do site do Gestor de configuração para que possa enviar e receber informações de clientes. Por predefinição, é utilizada a conta de computador do ponto de gestão, mas também pode configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que o ponto de gestão está num domínio não fidedigno do servidor do site.
Crie a conta como uma conta local, com direitos restritos, no computador que executa o Microsoft SQL Server.
Segurança Nota |
---|
Não conceda direitos de início de sessão interativo a esta conta. |
Conta MEBx
A conta MEBx é a conta na extensão do Management Engine BIOS (MEBx) em computadores Intel AMT e é utilizada para o acesso autenticado inicial ao firmware do AMT em computadores AMT.
A MEBx Account é denominada admin e, por predefinição, a palavra-passe é admin. O fabricante poderá fornecer-lhe uma palavra-passe personalizada, ou poderá ter especificado uma palavra-passe à sua escolha no AMT. Se a palavra-passe MEBx estiver definida para o valor diferente de admin, tem de configurar um Aprovisionamento AMT e Conta de Deteção Para mais informações, consulte a secção Passo 5: Configurar a fora de banda do componente de gestão no tópico Como aprovisionar e configurar computadores baseados em AMT no Configuration Manager.
A conta é armazenada nas extensões do Management Engine BIOS do computador AMT. Esta conta não corresponde a qualquer conta no Windows.
Se a palavra-passe MEBx predefinida não foi alterada antes de o Gestor de configuração aprovisionar o computador para AMT, durante o processo de aprovisionamento do AMT, o Gestor de configuração define a palavra-passe que foi configurada.
Conta de ligação de multicast
A conta de ligação de multicast é utilizada pelos pontos de distribuição que estão configurados para o multicast ler informações da base de dados do site. Por predefinição, é utilizada a conta de computador do ponto de distribuição, mas também pode configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que a base de dados do site estiver numa floresta não fidedigna. Por exemplo, se o seu centro de dados possuir uma rede de perímetro numa floresta que não é o servidor do site e a base de dados do site, pode utilizar esta conta para ler as informações de multicast da base de dados do site.
Se criar esta conta, crie-a como uma conta local, de direitos restritos, no computador que executa o Microsoft SQL Server.
Segurança Nota |
---|
Não conceda direitos de início de sessão interativo a esta conta. |
Conta de Acesso à Rede
A conta de acesso de rede é utilizada por computadores cliente, quando estes não podem utilizar a respetiva conta de computador local para aceder ao conteúdo em pontos de distribuição. Por exemplo, isto aplica-se a clientes e computadores de grupo de trabalho de domínios não fidedignos. Esta conta também pode ser utilizada durante a implementação do sistema operativo quando o computador a instalar o sistema operativo ainda não possui uma conta de computador no domínio.
Nota
A conta de acesso a rede conta nunca é utilizada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas; apenas para aceder a recursos na rede.
Conceda a esta conta o menor número possível de permissões ao nível do conteúdo de que o cliente necessita para aceder ao software. A conta tem de ter o direito de Aceder a este computador a partir da rede no ponto de distribuição ou outro servidor que contém o conteúdo de pacote. Antes do System Center 2012 R2 Configuration Manager, pode criar apenas uma conta de acesso a rede por site e esta conta tem de funcionar para todos os pacotes e sequências de tarefas para os quais é necessária. A partir do System Center 2012 R2 Configuration Manager, pode configurar várias contas de acesso a rede por site.
Aviso |
---|
Quando o Configuration Manager tenta utilizar a conta nomedocomputador$ para transferir o conteúdo sem êxito, volta a tentar automaticamente a conta de acesso a rede, mesmo que tenta tentado sem êxito anteriormente. |
Crie a conta em qualquer domínio que forneça o acesso necessário a recursos. A Conta de Acesso à Rede tem de incluir sempre um nome de domínio. A segurança pass-through não é suportada para esta conta. Se existirem pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.
Sugestão |
---|
Para evitar bloqueios de conta, não altere a palavra-passe de uma Conta de Acesso à Rede existente. Em vez disso, crie uma nova conta e configure-a no Gestor de configuração. Quando tiver passado o tempo suficiente para todos os clientes receberem os detalhes da nova conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta. |
Segurança Nota |
---|
Não conceda direitos de início de sessão interativo a esta conta. Não conceda a esta conta o direito de associar computadores ao domínio. Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a Conta de Adesão ao Domínio do Editor de Sequência de Tarefas. |
Para o System Center 2012 R2 Configuration Manager e posterior: Pode agora especificar múltiplas contas de acesso à rede para um site. Quando os clientes tentam aceder ao conteúdo e não podem utilizar a respetiva conta de computador local, tentam utilizar em primeiro lugar a última conta de acesso à rede que estabeleceu ligação com êxito. O Gestor de configuração suporta a adição de até dez contas de acesso à rede.
Conta de acesso a pacote
As contas de acesso a pacote permitem-lhe definir permissões NTFS para especificar os utilizadores e grupos de utilizadores que podem aceder a uma pasta de pacote. Por predefinição, o Gestor de configuração atribui o acesso apenas às contas de acesso genéricas Utilizadores e Administradores, embora seja possível controlar o acesso de computadores cliente utilizando contas ou grupos adicionais do Windows. Os dispositivos móveis obtêm sempre o conteúdo de pacotes de forma anónima, por isso as contas de acesso a pacote não são utilizadas por dispositivos móveis.
Por predefinição, quando o Gestor de configuração cria a partilha de pacote num ponto de distribuição, concede acesso de Leitura ao grupo de Utilizadores local e de Controlo total ao grupo de Administradores local. As permissões reais necessárias vão depender do pacote. Se tiver clientes localizados em grupos de trabalho ou em florestas não fidedignas, esses clientes utilizam a Conta de Acesso à Rede para aceder ao conteúdo dos pacotes. Certifique-se de que a conta de acesso a rede possui permissões para o pacote utilizando as contas de acesso a pacote definidas.
Utilize contas de um domínio que tenham acesso aos pontos de distribuição. Se criar ou alterar a conta após a criação do pacote, necessitará de redistribuir o pacote. A atualização do pacote não altera as permissões NTFS no pacote.
Não é necessário adicionar a conta de acesso a rede como uma conta de acesso a pacote, pois a associação do grupo de Utilizadores adiciona-a automaticamente. Restringir a Contas de Acesso a Pacotes Apenas à Conta de Acesso à Rede não impedirá o acesso dos clientes ao pacote.
Conta do ponto do Reporting Services
A conta do ponto do Reporting Services é utilizada pelo SQL Server Reporting Services para obter dados dos relatórios do Gestor de configuração a partir da base de dados do site. A conta de utilizador do Windows e a palavra-passe que especificar são encriptadas e armazenadas na base de dados do SQL Server Reporting Services.
Contas de visualizador permitidas por ferramentas remotas
As contas que especificar como Visualizadores permitidos ara o controlo remoto são uma lista de utilizadores autorizados a utilizar a funcionalidade de ferramentas remotas em clientes.
Conta de Instalação de Sistema de Sites
A conta de instalação de sistema de sites é utilizada pelo servidor do site para instalar, reinstalar, desinstalar e configurar sistemas de site. Se configurar o sistema de sites para exigir que o servidor do site inicie ligações a este sistema de site, o Gestor de configuração também utiliza esta conta para retirar dados do computador do sistema de sites após a instalação deste e de todas as respetivas funções. Cada sistema de sites pode ter uma diferente conta de instalação de sistema de sites, mas apenas pode configurar uma conta de instalação de sistema de sites para gerir todas as funções do sistema de sites nesse sistema de sites.
Esta conta necessita de permissões administrativas locais nos sistemas de site que irão instalar e configurar. Além disso, esta conta tem de ter o direito Aceder a este computador a partir da rede na política de segurança nos sistemas de site.
Sugestão |
---|
Se existirem muitos controladores de domínio e se estas contas forem utilizadas em diferentes domínios, confirme se as contas foram replicadas antes de configurar o sistema de sites. Quando especificar uma conta local em cada sistema de sites a gerir, esta configuração é mais segura do que utilizar contas de domínio, pois limita os danos que podem ser feitos por atacantes se a conta for comprometida. No entanto, as contas de domínio são mais fáceis de gerir, por isso considere os diferentes aspetos de garantir maior segurança ou um uma administração eficiente. |
Conta da ligação ao servidor SMTP
Para o System Center 2012 Configuration Manager SP1 e posterior: A Conta de Ligação ao Servidor SMTP é utilizada pelo servidor do site para enviar alertas por e-mail quando o servidor SMTP necessita de acesso autenticado.
Segurança Nota |
---|
Especifique uma conta que tenha o menor número possível de permissões para enviar mensagens de correio eletrónico. |
Conta de ligação de ponto de atualização de software
A conta de ligação de ponto de atualização de software é utilizada pelo servidor do site para os dois serviços de atualização de software que se seguem:
WSUS Configuration Manager, que configura definições como, por exemplo, definições de produto, classificações e definições a montante.
WSUS Synchronization Manager, que pede a sincronização a um servidor WSUS a montante ou ao Microsoft Update.
A conta de instalação de sistema de sites pode instalar componentes para atualizações de software, mas não pode efetuar funções específicas de atualização de software no ponto de atualização de software. Se não for possível utilizar a conta de computador do servidor de site para esta funcionalidade porque o ponto de atualização de software está numa floresta não fidedigna, tem de especificar esta conta para além da conta de instalação de sistema de sites.
Esta conta tem de ser um administrador local no computador onde o WSUS está instalado e fazer parte do grupo de Administradores do WSUS local.
Conta de servidor proxy de ponto de atualização de software
A conta de servidor proxy de ponto de atualização de software é utilizada pelo ponto de atualização de software para aceder à Internet através de um servidor proxy ou de uma firewall que necessite de acesso autenticado.
Segurança Nota |
---|
Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário. |
Conta de site de origem
A conta de site de origem é utilizada pelo processo de migração para aceder ao fornecedor de SMS do site de origem. Esta conta necessita de permissões de Leitura a objetos de site no site de origem para recolher dados para tarefas de migração.
Se atualizar pontos de distribuição do Configuration Manager 2007 ou sites secundários com pontos de distribuição colocalizados para pontos de distribuição do System Center 2012 Configuration Manager, esta conta também deverá ter permissões de Eliminar na classe Site para remover com sucesso o ponto de distribuição do site do Configuration Manager 2007 durante a atualização.
Nota
A Conta de Site de Origem e a Conta de Base de Dados do Site de Origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração da consola do Gestor de configuração.
Conta de base de dados do site de origem
A Conta de Base de Dados do Site de Origem é utilizada pelo processo de migração para aceder à base de dados do SQL Server do site de origem. Para recolher dados da base de dados do SQL Server do site de origem, a Conta de Base de Dados do Site de Origem deve ter permissões de Leitura e Executar na base de dados do SQL Server do site de origem.
Nota
Se utilizar a conta de computador do System Center 2012 Configuration Manager, certifique-se de que todas as opções seguintes são verdadeiras para esta conta:
-
É um membro do grupo de segurança Utilizadores COM Distribuídos no domínio onde reside o site do Configuration Manager 2007.
-
É um membro do grupo de segurança Admins de SMS.
-
Possui permissão de Leitura em todos os objetos do Configuration Manager 2007.
Nota
A Conta de Site de Origem e a Conta de Base de Dados do Site de Origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração da consola do Gestor de configuração.
Conta de adesão ao domínio do editor de sequência de tarefas
A Conta de Adesão ao Domínio do Editor de Sequência de Tarefas é utilizada numa sequência de tarefas para associar um computador com imagem recentemente duplicada a um domínio. Esta conta é necessária se adicionar o passo Associar Domínio ou Grupo de Trabalho a uma sequência de tarefas e selecionar Aderir a um domínio. Esta conta também pode ser configurada se adicionar o passo Aplicar Definições de Rede a uma sequência de tarefas, sem que seja necessário.
Essa conta requer o direito de Associar ao Domínio no domínio a que o computador será associado.
Sugestão |
---|
Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas. |
Segurança Nota |
---|
Não atribua permissões de início de sessão interativo a esta conta. Não utilize a Conta de Acesso à Rede para esta conta. |
Conta de ligação à pasta de rede do editor de sequência de tarefas
A Conta de Ligação à Pasta de Rede do Editor de Sequência de Tarefas é utilizada por uma sequência de tarefas para estabelecer ligação a uma pasta partilhada na rede. Esta conta é necessária se adicionar o passo Ligar à Pasta de Rede a uma sequência de tarefas.
Esta conta necessita de permissões para aceder à pasta partilhada especificada e tem de ser uma conta de domínio de utilizador.
Sugestão |
---|
Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas. |
Segurança Nota |
---|
Não atribua permissões de início de sessão interativo a esta conta. Não utilize a Conta de Acesso à Rede para esta conta. |
Conta Run As de sequência de tarefas
A Conta Run As de Sequência de Tarefas é utilizada para executar linhas de comandos em sequências de tarefas e utilizar credenciais diferentes da conta do sistema local. Esta conta é necessária se adicionar o passo Executar Linha de Comandos a uma sequência de tarefas, mas não pretender que esta seja executada com permissões da conta do Sistema Local no computador gerido.
Configure a conta para ter as permissões mínimas necessárias para executar a linha de comandos especificada na sequência de tarefas. A conta necessita de direitos de início de sessão interativo e normalmente requer a capacidade de instalar software e aceder a recursos de rede.
Segurança Nota |
---|
Não utilize a conta de Acesso à Rede para esta conta. Nunca torne a conta num administrador do domínio. Nunca configure perfis itinerantes para essa conta. Quando a sequência de tarefas for executada, transferirá o perfil itinerante para a conta, o que deixará o perfil vulnerável a acesso no computador local. Limite o âmbito da conta. Por exemplo, crie Contas Run As de Sequência de Tarefas diferentes para cada sequência de tarefas, de modo a que, se uma conta for comprometida, apenas sejam comprometidos os computadores cliente a que essa conta tenha acesso. Se a linha de comandos exigir acesso administrativo no computador, considere a criação de uma conta de administrador local apenas para a Conta Run As de Sequência de Tarefas em todos os computadores que executarão a sequência de tarefas, eliminando-a assim que deixar de ser necessária. |