Учетные записи, используемые в Configuration Manager

Относится к Configuration Manager (Current Branch)

Используйте следующие сведения, чтобы определить группы Windows, учетные записи и объекты SQL Server, используемые в Configuration Manager, способы их использования и любые требования.

Важно!

Если вы указываете учетную запись в удаленном домене или лесу, обязательно укажите полное доменное доменное имя перед именем пользователя, а не только netBIOS-именем домена. Например, укажите Corp.Contoso.com\UserName, а не только Corp\UserName. Это позволяет Configuration Manager использовать Kerberos, когда учетная запись используется для проверки подлинности в удаленной системе сайта. Использование полного доменного имени часто устраняет сбои проверки подлинности, вызванные недавними изменениями защиты NTLM в ежемесячных обновлениях Windows.

Группы Windows, которые Configuration Manager создает и использует

Configuration Manager автоматически создает и во многих случаях автоматически обслуживает следующие группы Windows:

Примечание.

Когда Configuration Manager создает группу на компьютере, который является членом домена, группа является локальной группой безопасности. Если компьютер является контроллером домена, группа является локальной группой домена. Этот тип группы является общим для всех контроллеров домена в домене.

Manager_CollectedFilesAccess конфигурации

Configuration Manager использует эту группу для предоставления доступа к просмотру файлов, собранных инвентаризацией программного обеспечения.

Дополнительные сведения см. в статье Общие сведения о инвентаризации программного обеспечения.

Тип и расположение для CollectedFilesAccess

Эта группа является локальной группой безопасности, созданной на сервере первичного сайта.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Членство в CollectedFilesAccess

Configuration Manager автоматически управляет членством в группе. Членство включает пользователей с правами администратора, которым предоставлено разрешение Просмотр собранных файлов для защищаемого объекта Collection из назначенной роли безопасности.

Разрешения для CollectedFilesAccess

По умолчанию эта группа имеет разрешение на чтение для следующей папки на сервере сайта: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess конфигурации

Эта группа представляет собой локальную группу безопасности, которую Configuration Manager создать на сервере базы данных сайта или на сервере базы данных реплика для дочернего первичного сайта. Сайт создает его при использовании распределенных представлений для репликации базы данных между сайтами в иерархии. Он содержит сервер сайта и учетные записи SQL Server компьютеров сайта центра администрирования.

Дополнительные сведения см. в разделе Передача данных между сайтами.

Configuration Manager пользователей удаленного управления

Configuration Manager средства удаленного управления используют эту группу для хранения учетных записей и групп, настроенных в списке Разрешенные средства просмотра. Сайт назначает этот список каждому клиенту.

Дополнительные сведения см. в статье Введение в удаленное управление.

Тип и расположение для пользователей удаленного управления

Эта группа представляет собой локальную группу безопасности, созданную на Configuration Manager клиенте, когда клиент получает политику, которая включает удаленные инструменты.

После отключения удаленных средств для клиента эта группа не удаляется автоматически. Удалите его вручную после отключения средств удаленной работы.

Членство для пользователей удаленного управления

По умолчанию в этой группе нет членов. При добавлении пользователей в список Разрешенные средства просмотра они автоматически добавляются в эту группу.

Используйте список Разрешенные средства просмотра для управления членством в этой группе вместо добавления пользователей или групп непосредственно в эту группу.

Помимо разрешенного просмотра, пользователь с правами администратора должен иметь разрешение на удаленное управление для объекта Collection . Назначьте это разрешение с помощью роли безопасности оператора удаленных средств .

Разрешения для пользователей удаленного управления

По умолчанию эта группа не имеет разрешения на доступ к каким-либо расположениям на компьютере. Он используется только для хранения списка Разрешенные средства просмотра .

Администраторы SMS

Configuration Manager использует эту группу для предоставления доступа к поставщику SMS через WMI. Доступ к поставщику SMS необходим для просмотра и изменения объектов в консоли Configuration Manager.

Примечание.

Конфигурация администрирования на основе ролей пользователя с правами администратора определяет, какие объекты он может просматривать и управлять ими при использовании консоли Configuration Manager.

Дополнительные сведения см. в разделе Планирование поставщика SMS.

Тип и расположение для администраторов SMS

Эта группа представляет собой локальную группу безопасности, созданную на каждом компьютере с поставщиком SMS.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Членство для администраторов SMS

Configuration Manager автоматически управляет членством в группе. По умолчанию каждый пользователь с правами администратора в иерархии и учетная запись компьютера сервера сайта являются членами группы администраторов SMS на каждом компьютере поставщика SMS на сайте.

Разрешения для администраторов SMS

Вы можете просмотреть права и разрешения для группы администраторов SMS в оснастке УПРАВЛЕНИЯ WMI . По умолчанию этой группе предоставляются значения Enable Account (Включить учетную запись ) и Remote Enable (Включить учетную запись) и Remote Enable (Удаленное включение ) Root\SMS в пространстве имен WMI. Пользователи, прошедшие проверку подлинности, имеют методы выполнения, запись поставщика и включение учетной записи.

При использовании удаленной консоли Configuration Manager настройте разрешения DCOM удаленной активации на компьютере сервера сайта и поставщике SMS. Предоставьте эти права группе администраторов SMS . Это действие упрощает администрирование, а не предоставляет эти права непосредственно пользователям или группам. Дополнительные сведения см. в разделе Настройка разрешений DCOM для удаленных Configuration Manager консолей.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Точки управления, удаленные от сервера сайта, используют эту группу для подключения к базе данных сайта. Эта группа предоставляет точку управления доступ к папкам папки папки "Входящие" на сервере сайта и в базе данных сайта.

Тип и расположение для SMS_SiteSystemToSiteServerConnection_MP

Эта группа представляет собой локальную группу безопасности, созданную на каждом компьютере с поставщиком SMS.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Членство в SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager автоматически управляет членством в группе. По умолчанию членство включает учетные записи удаленных компьютеров с точкой управления для сайта.

Разрешения для SMS_SiteSystemToSiteServerConnection_MP

По умолчанию эта группа имеет разрешение чтение, чтение & выполнения и вывод списка содержимого папки для следующей папки на сервере сайта: C:\Program Files\Microsoft Configuration Manager\inboxes. Эта группа также имеет разрешение на запись во вложенные папки под папками "Входящие", в которые точка управления записывает данные клиента.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Компьютеры удаленного поставщика SMS используют эту группу для подключения к серверу сайта.

Тип и расположение для SMS_SiteSystemToSiteServerConnection_SMSProv

Эта группа является локальной группой безопасности, созданной на сервере сайта.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Членство в SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager автоматически управляет членством в группе. По умолчанию членство включает учетную запись компьютера или учетную запись пользователя домена. Эта учетная запись используется для подключения к серверу сайта из каждого удаленного поставщика SMS.

Разрешения для SMS_SiteSystemToSiteServerConnection_SMSProv

По умолчанию эта группа имеет разрешение чтение, чтение & выполнения и вывод списка содержимого папки для следующей папки на сервере сайта: C:\Program Files\Microsoft Configuration Manager\inboxes. Эта группа также имеет разрешения на запись и изменение для вложенных папок под папками "Входящие". Поставщику SMS требуется доступ к этим папкам.

Эта группа также имеет разрешение на чтение вложенных папок на сервере сайта ниже C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Он также имеет следующие разрешения для вложенных папок ниже C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Read
  • Чтение & выполнение
  • Список содержимого папки
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Компонент диспетчера диспетчера файлов на компьютерах удаленной системы сайта Configuration Manager использует эту группу для подключения к серверу сайта.

Тип и расположение для SMS_SiteSystemToSiteServerConnection_Stat

Эта группа является локальной группой безопасности, созданной на сервере сайта.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Членство в SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager автоматически управляет членством в группе. По умолчанию членство включает учетную запись компьютера или учетную запись пользователя домена. Эта учетная запись используется для подключения к серверу сайта из каждой удаленной системы сайта, в которой выполняется диспетчер отправки файлов.

Разрешения для SMS_SiteSystemToSiteServerConnection_Stat

По умолчанию эта группа имеет разрешение чтение, чтение & выполнения и вывод списка содержимого папки для следующей папки и ее вложенных папок на сервере сайта: C:\Program Files\Microsoft Configuration Manager\inboxes.

Эта группа также имеет разрешения на запись и изменение для следующей папки на сервере сайта: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager использует эту группу для включения репликации на основе файлов между сайтами в иерархии. Для каждого удаленного сайта, который напрямую передает файлы на этот сайт, эта группа имеет учетные записи, настроенные в качестве учетной записи репликации файлов.

Тип и расположение для SMS_SiteToSiteConnection

Эта группа является локальной группой безопасности, созданной на сервере сайта.

Членство в SMS_SiteToSiteConnection

При установке нового сайта в качестве дочернего сайта Configuration Manager автоматически добавляет учетную запись компьютера нового сервера сайта в эту группу на родительском сервере сайта. Configuration Manager также добавляет учетную запись компьютера родительского сайта в группу на новом сервере сайта. Если указать другую учетную запись для передачи на основе файлов, добавьте эту учетную запись в эту группу на целевом сервере сайта.

При удалении сайта эта группа не удаляется автоматически. Удалите его вручную после удаления сайта.

Разрешения для SMS_SiteToSiteConnection

По умолчанию эта группа имеет полный доступ к следующей папке: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Учетные записи, которые Configuration Manager использует

Для Configuration Manager можно настроить следующие учетные записи.

Совет

Не используйте символ процента (%) в пароле для учетных записей, указанных в консоли Configuration Manager. Учетная запись не сможет пройти проверку подлинности.

Учетная запись обнаружения группы Active Directory

Сайт использует учетную запись обнаружения групп Active Directory для обнаружения следующих объектов из указанных расположений в доменные службы Active Directory:

  • Локальные, глобальные и универсальные группы безопасности.
  • Членство в этих группах.
  • Членство в группах рассылки.
    • Группы рассылки не обнаруживаются как ресурсы группы.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Он должен иметь разрешение на чтение для расположений Active Directory, указанных для обнаружения.

Для получения дополнительной информации см. Обнаружение группы Active Directory.

Учетная запись обнаружения системы Active Directory

Сайт использует учетную запись обнаружения системы Active Directory для обнаружения компьютеров из указанных расположений в доменные службы Active Directory.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Он должен иметь разрешение на чтение для расположений Active Directory, указанных для обнаружения.

Для получения дополнительной информации см. Обнаружения системы Active Directory.

Учетная запись обнаружения пользователей Active Directory

Сайт использует учетную запись обнаружения пользователей Active Directory для обнаружения учетных записей пользователей из указанных расположений в доменные службы Active Directory.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Он должен иметь разрешение на чтение для расположений Active Directory, указанных для обнаружения.

Для получения дополнительной информации см. Обнаружение пользователей Active Directory.

Учетная запись леса Active Directory

Сайт использует учетную запись леса Active Directory для обнаружения сетевой инфраструктуры из лесов Active Directory. Сайты центра администрирования и первичные сайты также используют его для публикации данных сайта в доменные службы Active Directory леса.

Примечание.

Вторичные сайты всегда используют учетную запись компьютера сервера вторичного сайта для публикации в Active Directory.

Для обнаружения и публикации в ненадежных лесах учетная запись леса Active Directory должна быть глобальной учетной записью. Если вы не используете учетную запись компьютера сервера сайта, можно выбрать только глобальную учетную запись.

Эта учетная запись должна иметь разрешения на чтение для каждого леса Active Directory, в котором требуется обнаружить сетевую инфраструктуру.

Эта учетная запись должна иметь разрешения на полный доступ к контейнеру System Management и всем его дочерним объектам в каждом лесу Active Directory, где требуется опубликовать данные сайта.

Дополнительные сведения см. в статье Подготовка Active Directory к публикации сайта.

Дополнительные сведения см. в разделе Обнаружение леса Active Directory.

Учетная запись точки регистрации сертификата

Предупреждение

Начиная с версии 2203 точка регистрации сертификатов больше не поддерживается. Дополнительные сведения см. в статье Часто задаваемые вопросы об устаревании доступа к ресурсам.

Точка регистрации сертификата использует учетную запись точки регистрации сертификата для подключения к базе данных Configuration Manager. По умолчанию используется учетная запись компьютера, но вместо нее можно настроить учетную запись пользователя. Если точка регистрации сертификата находится в недоверенном домене с сервера сайта, необходимо указать учетную запись пользователя. Для этой учетной записи требуется доступ только на чтение к базе данных сайта, так как система сообщений о состоянии обрабатывает задачи записи.

Дополнительные сведения см. в статье Общие сведения о профилях сертификатов.

Запись учетной записи образа ОС

При записи образа ОС Configuration Manager использует учетную запись Захвата образа ОС для доступа к папке, в которой хранятся захваченные образы. Если добавить шаг "Запись образа ОС " в последовательность задач, эта учетная запись является обязательной.

Учетная запись должна иметь разрешения на чтение и запись в сетевой папке, в которой хранятся захваченные образы.

Если вы измените пароль для учетной записи в Windows, обновите последовательность задач новым паролем. Клиент Configuration Manager получает новый пароль при следующем скачивании политики клиента.

Если вам нужно использовать эту учетную запись, создайте одну учетную запись пользователя домена. Предоставьте ему минимальные разрешения на доступ к необходимым сетевым ресурсам и используйте его для всех последовательностей задач записи.

Важно!

Не назначайте этой учетной записи разрешения на интерактивный вход.

Не используйте учетную запись доступа к сети для этой учетной записи.

Дополнительные сведения см. в разделе Создание последовательности задач для записи ОС.

Учетная запись принудительной установки клиента

При развертывании клиентов с помощью метода принудительной установки клиента сайт использует учетную запись принудительной установки клиента для подключения к компьютерам и установки клиентского программного обеспечения Configuration Manager. Если эта учетная запись не указана, сервер сайта попытается использовать свою учетную запись компьютера.

Эта учетная запись должна быть членом локальной группы администраторов на целевых клиентских компьютерах. Для этой учетной записи не требуются права Администратор домена.

Можно указать несколько учетных записей принудительной установки клиента. Configuration Manager пытается каждый из них по очереди, пока не будет выполнено успешно.

Совет

Если у вас большая среда Active Directory и вам нужно изменить эту учетную запись, используйте следующий процесс для более эффективной координации обновления учетной записи:

  1. Создайте учетную запись с другим именем.
  2. Добавьте новую учетную запись в список учетных записей принудительной установки клиента в Configuration Manager.
  3. Дайте доменные службы Active Directory достаточно времени для репликации новой учетной записи.
  4. Затем удалите старую учетную запись из Configuration Manager и доменные службы Active Directory.

Важно!

Используйте домен или локальную групповую политику, чтобы назначить пользователю Windows право на локальный вход. Как член группы администраторов эта учетная запись будет иметь право на локальный вход, что не требуется. Для повышения безопасности явно отклоните право на эту учетную запись. Отклонить право заменяет право разрешения.

Дополнительные сведения см. в разделе Принудительная установка клиента.

Учетная запись подключения точки регистрации

Точка регистрации использует учетную запись подключения точки регистрации для подключения к базе данных сайта Configuration Manager. По умолчанию используется учетная запись компьютера, но вместо нее можно настроить учетную запись пользователя. Если точка регистрации находится в недоверенном домене с сервера сайта, необходимо указать учетную запись пользователя. Для этой учетной записи требуется доступ на чтение и запись к базе данных сайта.

Дополнительные сведения см. в статье Установка ролей системы сайта для локальных MDM.

учетная запись подключения Exchange Server

Сервер сайта использует учетную запись подключения Exchange Server для подключения к указанному Exchange Server. Оно использует это подключение для поиска и управления мобильными устройствами, которые подключаются к Exchange Server. Для этой учетной записи требуются командлеты Exchange PowerShell, которые предоставляют необходимые разрешения для Exchange Server компьютера. Дополнительные сведения о командлетах см. в статье Установка и настройка соединителя Exchange.

Учетная запись подключения точки управления

Точка управления использует учетную запись подключения точки управления для подключения к базе данных сайта Configuration Manager. Это подключение используется для отправки и извлечения сведений для клиентов. Точка управления по умолчанию использует свою учетную запись компьютера, но вместо нее можно настроить альтернативную учетную запись службы. Если точка управления находится в недоверенном домене с сервера сайта, необходимо указать альтернативную учетную запись службы.

Примечание.

Для повышения уровня безопасности рекомендуется использовать альтернативную учетную запись службы, а не учетную запись компьютера для учетной записи подключения точки управления.

Создайте учетную запись как учетную запись службы с низким правом прав на компьютере, на котором работает Microsoft SQL Server.

Важно!

  • Не предоставляйте этой учетной записи права интерактивного входа.
  • Если вы указываете учетную запись в удаленном домене или лесу, обязательно укажите полное доменное доменное имя перед именем пользователя, а не только netBIOS-именем домена. Например, укажите Corp.Contoso.com\UserName, а не только Corp\UserName. Это позволяет Configuration Manager использовать Kerberos, когда учетная запись используется для проверки подлинности в удаленной системе сайта. Использование полного доменного имени часто устраняет сбои проверки подлинности, вызванные недавними изменениями защиты NTLM в ежемесячных обновлениях Windows.

Учетная запись подключения многоадресной рассылки

Точки распространения с поддержкой многоадресной рассылки используют учетную запись подключения многоадресной рассылки для чтения сведений из базы данных сайта. Сервер использует свою учетную запись компьютера по умолчанию, но вместо нее можно настроить учетную запись службы. Если база данных сайта находится в недоверенном лесу, необходимо указать учетную запись службы. Например, если ваш центр обработки данных имеет сеть периметра в лесу, отличном от сервера сайта и базы данных сайта, используйте эту учетную запись для чтения сведений о многоадресной рассылке из базы данных сайта.

Если вам нужна эта учетная запись, создайте ее как учетную запись службы с низким уровнем прав на компьютере, на котором работает Microsoft SQL Server.

Примечание.

Для повышения уровня безопасности рекомендуется использовать учетную запись службы, а не учетную запись компьютера для учетной записи многоадресной рассылки.

Важно!

Не предоставляйте этой учетной записи службы права интерактивного входа.

Дополнительные сведения см . в статье Использование многоадресной рассылки для развертывания Windows по сети.

Учетная запись доступа к сети

Клиентские компьютеры используют учетную запись сетевого доступа , если они не могут использовать свою учетную запись локального компьютера для доступа к содержимому в точках распространения. В основном это относится к клиентам и компьютерам рабочей группы из недоверенных доменов. Эта учетная запись также используется во время развертывания ОС, если компьютер, устанавливающий ОС, еще не имеет учетной записи компьютера в домене.

Важно!

Учетная запись сетевого доступа никогда не используется в качестве контекста безопасности для запуска программ, установки обновлений программного обеспечения или выполнения последовательностей задач. Он используется только для доступа к ресурсам в сети.

Клиент Configuration Manager сначала пытается скачать содержимое с помощью своей учетной записи компьютера. В случае сбоя он автоматически пытается использовать учетную запись доступа к сети.

Если на сайте настроен протокол HTTPS или расширенный HTTP, клиент, присоединенный к рабочей группе или Microsoft Entra, сможет безопасно получать доступ к содержимому из точек распространения без необходимости использования учетной записи сетевого доступа. Это поведение включает сценарии развертывания ОС с последовательностью задач, выполняемой с загрузочного носителя, PXE или Центра программного обеспечения. Дополнительные сведения см. в разделе Обмен данными между клиентом и точкой управления.

Примечание.

Если включить расширенный протокол HTTP, чтобы не требовать учетную запись доступа к сети, точки распространения должны работать под управлением поддерживаемых версий Windows Server или Windows 10/11.

Разрешения для учетной записи доступа к сети

Предоставьте этой учетной записи минимальные необходимые разрешения для содержимого, которое требуется клиенту для доступа к программному обеспечению. Учетная запись должна иметь доступ к этому компьютеру из сети прямо в точке распространения. Для каждого сайта можно настроить до 10 учетных записей сетевого доступа.

Создайте учетную запись в любом домене, который предоставляет необходимый доступ к ресурсам. Учетная запись доступа к сети всегда должна содержать доменное имя. Безопасность сквозной передачи не поддерживается для этой учетной записи. Если у вас есть точки распространения в нескольких доменах, создайте учетную запись в доверенном домене.

Совет

Чтобы избежать блокировки учетных записей, не изменяйте пароль для существующей учетной записи доступа к сети. Вместо этого создайте новую учетную запись и настройте новую учетную запись в Configuration Manager. Когда прошло достаточно времени, чтобы все клиенты получили новые сведения об учетной записи, удалите старую учетную запись из общих сетевых папок и удалите учетную запись.

Важно!

Не предоставляйте этой учетной записи права интерактивного входа.

Не предоставляйте этой учетной записи право на присоединение компьютеров к домену. Если необходимо присоединить компьютеры к домену во время последовательности задач, используйте учетную запись присоединения к домену последовательности задач.

Настройка учетной записи доступа к сети

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты. Затем выберите сайт.

  2. В группе Параметры ленты выберите Настроить компоненты сайта и выберите Распространение программного обеспечения.

  3. Выберите вкладку Учетная запись сетевого доступа . Настройте одну или несколько учетных записей, а затем нажмите кнопку ОК.

Действия, для которых требуется учетная запись доступа к сети

Учетная запись сетевого доступа по-прежнему требуется для следующих действий (включая eHTTP & сценарии PKI):

  • Многоадресная рассылка. Дополнительные сведения см . в статье Использование многоадресной рассылки для развертывания Windows по сети.

  • Параметр развертывания последовательности задач для доступа к содержимому непосредственно из точки распространения, когда это необходимо для выполняемой последовательности задач. Дополнительные сведения см. в разделе Параметры развертывания последовательности задач.

  • Примените шаг последовательности задач образа ОС для доступа к содержимому непосредственно из точки распространения. Этот вариант в первую очередь предназначен для сценариев Windows Embedded с небольшим объемом места на диске, где кэширование содержимого на локальный диск является дорогостоящим. Дополнительные сведения см. в разделе Доступ к содержимому непосредственно из точки распространения.

  • Если скачивание пакета из точки распространения по протоколу HTTP/HTTPS завершается сбоем, он может вернуться к скачиванию пакета с помощью SMB из общей папки пакета в точке распространения. Для скачивания пакета с помощью SMB из общей папки пакета на точке распространения требуется учетная запись сетевого доступа. Это резервное поведение возникает только в том случае, если параметр Копировать содержимое этого пакета в общую папку пакета на точках распространения включен на вкладке Доступ к данным в свойствах пакета. Чтобы сохранить это поведение, убедитесь, что учетная запись сетевого доступа не отключена или удалена. Если такое поведение больше не требуется, убедитесь, что параметр Копировать содержимое этого пакета в общую папку пакета в точках распространения не включен ни для одного пакета.

  • Шаг последовательности задач "Запросить хранилище состояний". Если последовательность задач не может взаимодействовать с точкой миграции состояния с помощью учетной записи компьютера устройства, она возвращается к учетной записи сетевого доступа. Дополнительные сведения см. в разделе Хранилище состояний запросов.

  • Для свойств последовательности задач необходимо сначала запустить другую программу. Этот параметр запускает пакет и программу из общей сетевой папки перед запуском последовательности задач. Дополнительные сведения см. в разделе Свойства последовательностей задач: вкладка Дополнительно.

  • Управление клиентами в недоверенных доменах и сценариях между лесами позволяет использовать несколько учетных записей сетевого доступа.

Учетная запись доступа к пакету

Учетная запись доступа к пакету позволяет задать разрешения NTFS, чтобы указать пользователей и группы пользователей, которые могут получать доступ к содержимому пакета в точках распространения. По умолчанию Configuration Manager предоставляет доступ только учетным записям универсального доступа " Пользователь и администратор". Вы можете управлять доступом к клиентским компьютерам с помощью других учетных записей Или групп Windows. Мобильные устройства всегда получают содержимое пакета анонимно, поэтому они не используют учетную запись доступа к пакету.

По умолчанию, когда Configuration Manager копирует файлы содержимого в точку распространения, она предоставляет доступ на чтениелокальной группе "Пользователи", а полный доступ — локальной группе администраторов. Фактические необходимые разрешения зависят от пакета. Если у вас есть клиенты в рабочих группах или в ненадежных лесах, эти клиенты используют учетную запись сетевого доступа для доступа к содержимому пакета. Убедитесь, что учетная запись сетевого доступа имеет разрешения на доступ к пакету с помощью определенных учетных записей доступа к пакету.

Используйте учетные записи в домене, который может получить доступ к точкам распространения. Если вы создаете или изменяете учетную запись после создания пакета, необходимо повторно распространить пакет. Обновление пакета не изменяет разрешения NTFS для пакета.

Вам не нужно добавлять учетную запись доступа к сети в качестве учетной записи доступа к пакету, так как членство в группе Пользователи добавляет ее автоматически. Ограничение учетной записи доступа к пакету только учетной записью доступа к сети не препятствует клиентам получить доступ к пакету.

Управление учетными записями доступа к пакетам

  1. В консоли Configuration Manager перейдите в рабочую область Библиотека программного обеспечения.

  2. В рабочей области Библиотека программного обеспечения определите тип содержимого, для которого требуется управлять учетными записями доступа, и выполните указанные ниже действия.

    • Приложение: разверните узел Управление приложениями, выберите Приложения, а затем выберите приложение, для которого необходимо управлять учетными записями доступа.

    • Пакет. Разверните узел Управление приложениями, выберите Пакеты, а затем выберите пакет, для которого необходимо управлять учетными записями доступа.

    • Пакет развертывания обновлений программного обеспечения. Разверните узел Программное обеспечение Обновления, выберите Пакеты развертывания, а затем выберите пакет развертывания, для которого необходимо управлять учетными записями доступа.

    • Пакет драйверов. Разверните узел Операционные системы, выберите Пакеты драйверов, а затем выберите пакет драйверов, для которого необходимо управлять учетными записями доступа.

    • Образ ОС. Разверните узел Операционные системы, выберите Образы операционной системы, а затем выберите образ операционной системы, для которого необходимо управлять учетными записями доступа.

    • Пакет обновления ОС. Разверните узел Операционные системы, выберите Пакеты обновления операционной системы, а затем выберите пакет обновления ОС, для которого необходимо управлять учетными записями доступа.

    • Загрузочный образ. Разверните узел Операционные системы, выберите Загрузочные образы, а затем выберите загрузочный образ, для которого необходимо управлять учетными записями доступа.

  3. Щелкните выбранный объект правой кнопкой мыши и выберите Управление учетными записями доступа.

  4. В диалоговом окне Добавление учетной записи укажите тип учетной записи, которая будет предоставлять доступ к содержимому, а затем укажите права доступа, связанные с учетной записью.

    Примечание.

    При добавлении имени пользователя для учетной записи и Configuration Manager находит учетную запись локального пользователя и учетную запись пользователя домена с этим именем, Configuration Manager задает права доступа для учетной записи пользователя домена.

Учетная запись точки служб Reporting Services

SQL Server Reporting Services использует учетную запись точки служб Reporting Services для получения данных для Configuration Manager отчетов из базы данных сайта. Указанная учетная запись пользователя Windows и пароль шифруются и хранятся в базе данных SQL Server Reporting Services.

Примечание.

Указанная учетная запись должна иметь разрешения локального входа на компьютере, на котором размещена база данных SQL Server Reporting Services.

Учетной записи автоматически предоставляются все необходимые права путем добавления в роль базы данных smsschm_users SQL Server в базе данных Configuration Manager.

Дополнительные сведения см. в статье Общие сведения о отчетах.

Учетные записи разрешенных средств удаленного просмотра

Учетные записи, указанные как Разрешенные средства просмотра для удаленного управления, представляют собой список пользователей, которым разрешено использовать функции удаленных средств на клиентах.

Дополнительные сведения см. в статье Введение в удаленное управление.

Учетная запись установки сайта

Используйте учетную запись пользователя домена для входа на сервер, на котором выполняется Configuration Manager установки и установки нового сайта.

Для этой учетной записи требуются следующие права:

  • Администратор на следующих серверах:

    • Сервер сайта
    • Каждый сервер, на котором размещается база данных сайта
    • Каждый экземпляр поставщика SMS для сайта
  • Sysadmin в экземпляре SQL Server, в котором размещается база данных сайта

Configuration Manager настройка автоматически добавляет эту учетную запись в группу администраторов SMS.

После установки эта учетная запись является единственной учетной записью с правами на консоль Configuration Manager. Если необходимо удалить эту учетную запись, сначала добавьте ее права другому пользователю.

При расширении автономного сайта для включения сайта центра администрирования для этой учетной записи требуются права администрирования на основе ролей " Полный администратор " или "Администратор инфраструктуры " на автономном первичном сайте.

Учетная запись установки системы сайта

Сервер сайта использует учетную запись установки системы сайта для установки, переустановки, удаления и настройки систем сайта. Если система сайта настроена так, чтобы сервер сайта инициирул подключения к этой системе сайта, Configuration Manager также использует эту учетную запись для извлечения данных из системы сайта после установки системы сайта и любых ролей. Каждая система сайта может иметь разные учетные записи установки, но вы можете настроить только одну учетную запись установки для управления всеми ролями в этой системе сайта.

Для этой учетной записи требуются разрешения локального администратора в системах целевого сайта. Кроме того, эта учетная запись должна иметь доступ к этому компьютеру из сети в политике безопасности в системах целевого сайта.

Важно!

Если вы указываете учетную запись в удаленном домене или лесу, обязательно укажите полное доменное доменное имя перед именем пользователя, а не только netBIOS-именем домена. Например, укажите Corp.Contoso.com\UserName, а не только Corp\UserName. Это позволяет Configuration Manager использовать Kerberos, когда учетная запись используется для проверки подлинности в удаленной системе сайта. Использование полного доменного имени часто устраняет сбои проверки подлинности, вызванные недавними изменениями защиты NTLM в ежемесячных обновлениях Windows.

Совет

Если у вас много контроллеров домена и эти учетные записи используются в разных доменах, перед настройкой системы сайта проверка, что Active Directory реплицировал эти учетные записи.

При указании учетной записи службы в каждой системе сайта, управляемой, эта конфигурация становится более безопасной. Это ограничивает ущерб, который могут нанести злоумышленники. Тем не менее, учетными записями домена проще управлять. Рассмотрите компромисс между безопасностью и эффективным административным управлением.

Учетная запись прокси-сервера системы сайта

Следующие роли системы сайта используют учетную запись прокси-сервера системы сайта для доступа к Интернету через прокси-сервер или брандмауэр, требующий доступа с проверкой подлинности:

  • Точка синхронизации аналитики активов
  • Соединитель Exchange Server
  • Точка подключения службы.
  • Точка обновления программного обеспечения

Важно!

Укажите учетную запись с минимальными разрешениями для требуемого прокси-сервера или брандмауэра.

Дополнительные сведения см. в разделе Поддержка прокси-сервера.

Учетная запись подключения SMTP-сервера

Сервер сайта использует учетную запись подключения SMTP-сервера для отправки оповещений электронной почты, когда SMTP-серверу требуется доступ с проверкой подлинности.

Важно!

Укажите учетную запись с минимальными разрешениями на отправку сообщений электронной почты.

Дополнительные сведения см. в разделе Настройка оповещений.

Учетная запись подключения к точке обновления программного обеспечения

Сервер сайта использует учетную запись подключения точки обновления программного обеспечения для следующих двух служб обновления программного обеспечения:

  • Windows Server Update Services (WSUS), которая настраивает такие параметры, как определения продуктов, классификации и параметры вышестоящий.

  • Диспетчер синхронизации WSUS, который запрашивает синхронизацию с сервером WSUS вышестоящий или Центром обновления Майкрософт.

Учетная запись установки системы сайта может устанавливать компоненты для обновлений программного обеспечения, но не может выполнять функции, связанные с обновлением программного обеспечения, в точке обновления программного обеспечения. Если вы не можете использовать учетную запись компьютера сервера сайта для этой функции, так как точка обновления программного обеспечения находится в недоверенном лесу, необходимо указать эту учетную запись вместе с учетной записью установки системы сайта.

Эта учетная запись должна быть локальным администратором на компьютере, на котором устанавливается WSUS. Он также должен быть частью локальной группы администраторов WSUS .

Дополнительные сведения см. в разделе Планирование обновлений программного обеспечения.

Учетная запись исходного сайта

В процессе миграции используется учетная запись исходного сайта для доступа к поставщику SMS исходного сайта. Для этой учетной записи требуются разрешения на чтение объектов сайта на исходном сайте для сбора данных для заданий миграции.

Если у вас есть Configuration Manager 2007 точек распространения или вторичных сайтов с совместно расположенными точками распространения, то при обновлении их до Configuration Manager (текущей ветви) точек распространения эта учетная запись также должна иметь разрешения на удаление для класса Site. Это разрешение позволяет успешно удалить точку распространения с сайта Configuration Manager 2007 во время обновления.

Примечание.

Учетная запись исходного сайта и учетная запись базы данных исходного сайта идентифицируются как диспетчер миграции в узле Учетные записи рабочей области Администрирование в консоли Configuration Manager.

Дополнительные сведения см. в разделе Перенос данных между иерархиями.

Учетная запись базы данных исходного сайта

В процессе миграции используется учетная запись базы данных исходного сайта для доступа к базе данных SQL Server исходного сайта. Для сбора данных из базы данных SQL Server исходного сайта учетная запись базы данных исходного сайта должна иметь разрешения на чтение и выполнение для базы данных SQL Server исходного сайта.

Если вы используете учетную запись компьютера Configuration Manager (current Branch), убедитесь, что для этой учетной записи выполняются все указанные ниже действия.

  • Он входит в группу безопасности распределенных пользователей COM в том же домене, что и сайт Configuration Manager 2012.
  • Он входит в группу безопасности администраторов SMS .
  • Он имеет разрешение на чтение для всех объектов Configuration Manager 2012 года.

Примечание.

Учетная запись исходного сайта и учетная запись базы данных исходного сайта идентифицируются как диспетчер миграции в узле Учетные записи рабочей области Администрирование в консоли Configuration Manager.

Дополнительные сведения см. в разделе Перенос данных между иерархиями.

Учетная запись присоединения к домену последовательности задач

Программа установки Windows использует учетную запись присоединения к домену последовательности задач для присоединения нового образа компьютера к домену. Эта учетная запись требуется для шага последовательности задач Присоединение к домену или рабочей группе с параметром Присоединиться к домену . Эту учетную запись также можно настроить с помощью шага Применить параметры сети , но это необязательно.

Для этой учетной записи требуется право присоединения к домену в целевом домене.

Совет

Создайте одну учетную запись пользователя домена с минимальными разрешениями для присоединения к домену и используйте ее для всех последовательностей задач.

Важно!

Не назначайте этой учетной записи разрешения на интерактивный вход.

Не используйте учетную запись доступа к сети для этой учетной записи.

Учетная запись подключения к сетевой папке последовательности задач

Подсистема последовательности задач использует учетную запись подключения к сетевой папке последовательности задач для подключения к общей папке в сети. Эта учетная запись требуется на шаге последовательности задач Подключение к сетевой папке .

Для этой учетной записи требуются разрешения на доступ к указанной общей папке. Это должна быть учетная запись пользователя домена.

Совет

Создайте одну учетную запись пользователя домена с минимальными разрешениями для доступа к необходимым сетевым ресурсам и используйте ее для всех последовательностей задач.

Важно!

Не назначайте этой учетной записи разрешения на интерактивный вход.

Не используйте учетную запись доступа к сети для этой учетной записи.

Последовательность задач, выполняемая от имени учетной записи

Подсистема последовательности задач использует учетную запись запуска от имени последовательности задач для выполнения командных строк или сценариев PowerShell с учетными данными, отличными от учетной записи локальной системы. Эта учетная запись требуется для шагов последовательности задач Запуск командной строки и Запуск скрипта PowerShell с параметром Запустить этот шаг, как выбрана следующая учетная запись .

Настройте учетную запись так, чтобы у нее были минимальные разрешения, необходимые для запуска командной строки, указанной в последовательности задач. Для учетной записи требуются права интерактивного входа. Обычно для этого требуется возможность установки программного обеспечения и доступа к сетевым ресурсам. Для задачи Запуск скрипта PowerShell этой учетной записи требуются разрешения локального администратора.

Важно!

Не используйте учетную запись доступа к сети для этой учетной записи.

Никогда не делайте учетную запись администратором домена.

Никогда не настраивайте перемещаемые профили для этой учетной записи. При выполнении последовательности задач она скачивает перемещаемый профиль для учетной записи. Это оставляет профиль уязвимым для доступа на локальном компьютере.

Ограничьте область учетной записи. Например, создайте различные последовательности задач, которые выполняются от имени учетных записей для каждой последовательности задач. Затем, если одна учетная запись скомпрометирована, компрометируются только клиентские компьютеры, к которым эта учетная запись имеет доступ.

Если для командной строки требуется административный доступ на компьютере, рассмотрите возможность создания учетной записи локального администратора только для этой учетной записи на всех компьютерах, на которые выполняется последовательность задач. Удалите учетную запись, когда она больше не нужна.

Пользовательские объекты, которые Configuration Manager используются в SQL Server

Configuration Manager автоматически создает и обслуживает следующие пользовательские объекты в SQL. Эти объекты находятся в базе данных Configuration Manager в разделе Безопасность и пользователи.

Важно!

Изменение или удаление этих объектов может вызвать серьезные проблемы в Configuration Manager среде. Не рекомендуется вносить изменения в эти объекты.

smsdbuser_ReadOnly

Этот объект используется для выполнения запросов в контексте только для чтения. Этот объект используется с несколькими хранимыми процедурами.

smsdbuser_ReadWrite

Этот объект используется для предоставления разрешений для динамических инструкций SQL.

smsdbuser_ReportSchema

Этот объект используется для выполнения SQL Server выполнения отчетов. С этой функцией используется следующая хранимая процедура: spSRExecQuery.

Роли базы данных, которые Configuration Manager использует в SQL

Configuration Manager автоматически создает и обслуживает следующие объекты ролей в SQL. Эти роли предоставляют доступ к определенным хранимым процедурам, таблицам, представлениям и функциям. Эти роли либо получают, либо добавляют данные в базу данных Configuration Manager. Эти объекты находятся в базе данных Configuration Manager в разделе Безопасность,Роли/Роли базы данных.

Важно!

Изменение или удаление этих объектов может вызвать серьезные проблемы в Configuration Manager среде. Не изменяйте эти объекты. Следующий список предназначен только для информационных целей.

smsdbrole_AITool

Configuration Manager предоставляет это разрешение учетным записям администраторов на основе доступа на основе ролей для импорта сведений о корпоративной лицензии для аналитики активов. Эта учетная запись может быть добавлена полным администратором, операционным администратором или ролью диспетчера активов или любой ролью с разрешением "Управление аналитикой активов".

smsdbrole_AIUS

Configuration Manager предоставляет учетной записи компьютера, на котором размещена учетная запись точки синхронизации аналитики активов, доступ для получения данных прокси-сервера аналитики активов и просмотра ожидающих передачи данных ИИ.

smsdbrole_CRP

Configuration Manager предоставляет разрешение учетной записи компьютера системы сайта, которая поддерживает точку регистрации сертификатов для поддержки протокола SCEP для подписывания и продления сертификатов.

smsdbrole_CRPPfx

Configuration Manager предоставляет разрешение учетной записи компьютера системы сайта, которая поддерживает точку регистрации сертификатов, настроенную для поддержки PFX для подписывания и продления.

smsdbrole_DMP

Configuration Manager предоставляет это разрешение учетной записи компьютера для точки управления с параметром Разрешить мобильным устройствам и компьютерам Mac использовать эту точку управления, чтобы обеспечить поддержку устройств, зарегистрированных в MDM.

smsdbrole_DmpConnector

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена точка подключения службы, на получение и предоставление диагностических данных, управление облачными службами и получение обновлений служб.

smsdbrole_DViewAccess

Configuration Manager предоставляет это разрешение учетной записи компьютера серверов первичного сайта в cas-сервере, если в свойствах канала репликации выбран параметр SQL Server распределенных представлений.

smsdbrole_DWSS

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена роль хранилища данных.

smsdbrole_EnrollSvr

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена точка регистрации, чтобы разрешить регистрацию устройства через MDM.

smsdbrole_extract

Предоставляет доступ ко всем расширенным представлениям схемы.

smsdbrole_HMSUser

Для службы диспетчера иерархии. Configuration Manager предоставляет этой учетной записи разрешения на управление сообщениями о состоянии отработки отказа и транзакциями брокера SQL Server между сайтами в иерархии.

Примечание.

Роль smdbrole_WebPortal является членом этой роли по умолчанию.

smsdbrole_MCS

Configuration Manager предоставляет это разрешение учетной записи компьютера точки распространения, поддерживающей многоадресную рассылку.

smsdbrole_MP

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена роль точки управления, чтобы обеспечить поддержку клиентов Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager предоставляет это разрешение учетной записи компьютера, на которой размещена точка управления, управляющая BitLocker для среды.

smsdbrole_MPUserSvc

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена точка управления для поддержки запросов приложений на основе пользователей.

smsdbrole_siteprovider

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена роль поставщика SMS.

smsdbrole_siteserver

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещается основной сайт или cass.

smsdbrole_SUP

Configuration Manager предоставляет это разрешение учетной записи компьютера, на котором размещена точка обновления программного обеспечения для работы со сторонними обновлениями.

smsschm_users

Configuration Manager предоставляет доступ к учетной записи, используемой для учетной записи точки служб отчетов, чтобы разрешить доступ к представлениям отчетов SMS для отображения Configuration Manager данных отчетов. Кроме того, доступ на основе ролей ограничивается.

Повышенные разрешения

Configuration Manager требуется, чтобы некоторые учетные записи имели повышенные разрешения для выполняемых операций. Например, см. раздел Предварительные требования для установки первичного сайта. В следующем списке перечислены эти разрешения и причины, по которым они необходимы.

  • Для учетной записи компьютера сервера первичного сайта и сервера сайта центра администрирования требуется следующее:

    • Права локального администратора на всех серверах системы сайта. Это разрешение предназначено для управления, установки и удаления системных служб. Сервер сайта также обновляет локальные группы в системе сайта при добавлении или удалении ролей.

    • Доступ sysadmin к экземпляру SQL Server для базы данных сайта. Это разрешение предназначено для настройки SQL Server для сайта и управления ими. Configuration Manager тесно интегрируется с SQL, это не только база данных.

  • Для учетных записей пользователей с ролью "Полный администратор" требуется:

    • Права локального администратора на всех серверах сайта. Это разрешение на просмотр, изменение, удаление и установку системных служб, разделов и значений реестра, а также объектов WMI.

    • Доступ sysadmin к экземпляру SQL Server для базы данных сайта. Это разрешение на установку и обновление базы данных во время установки или восстановления. Он также необходим для SQL Server обслуживания и операций. Например, переиндексация и обновление статистики.

      Примечание.

      Некоторые организации могут удалить доступ sysadmin и предоставлять его только при необходимости. Это поведение иногда называется JIT-доступом. В этом случае пользователи с ролью "Полный администратор" по-прежнему должны иметь доступ к чтению, обновлению и выполнению хранимых процедур в базе данных Configuration Manager. Эти разрешения позволяют устранять большинство проблем без полного доступа sysadmin.