Configuration Manager kullanılan hesaplar
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager kullanılan Windows gruplarını, hesaplarını ve SQL Server nesnelerini, bunların nasıl kullanıldığını ve gereksinimleri belirlemek için aşağıdaki bilgileri kullanın.
Önemli
Uzak etki alanında veya ormanda bir hesap belirtiyorsanız, etki alanı FQDN'sini yalnızca etki alanı NetBIOS adından değil, kullanıcı adından önce belirttiğinizden emin olun. Örneğin, yalnızca Corp\UserName yerine Corp.Contoso.com\UserName değerini belirtin. Bu, hesap uzak site sisteminde kimlik doğrulaması yapmak için kullanıldığında Configuration Manager Kerberos kullanmasına olanak tanır. FQDN'nin kullanılması genellikle Windows aylık güncelleştirmelerinde NTLM çevresinde yapılan son sağlamlaştırma değişikliklerinden kaynaklanan kimlik doğrulama hatalarını düzeltir.
Configuration Manager oluşturan ve kullanan Windows grupları
- Yapılandırma Manager_CollectedFilesAccess
- Yapılandırma Manager_DViewAccess
- Uzaktan Denetim Kullanıcılarını Configuration Manager
- SMS Yöneticileri
- <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
- <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
- <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
- <SMS_SiteToSiteConnection_sitecode>
Configuration Manager kullanan hesaplar
- Active Directory grup bulma hesabı
- Active Directory sistem bulma hesabı
- Active Directory kullanıcı bulma hesabı
- Active Directory orman hesabı
- Sertifika kayıt noktası hesabı
- İşletim sistemi görüntü hesabını yakalama
- İstemci anında yükleme hesabı
- Kayıt noktası bağlantı hesabı
- bağlantı hesabını Exchange Server
- Yönetim noktası bağlantı hesabı
- Çok noktaya yayın bağlantı hesabı
- Ağ erişim hesabı
- Paket erişim hesabı
- Raporlama hizmetleri noktası hesabı
- Uzak araçlara izin verilen görüntüleyici hesapları
- Site yükleme hesabı
- Site sistemi yükleme hesabı
- Site sistemi proxy sunucu hesabı
- SMTP sunucusu bağlantı hesabı
- Yazılım güncelleştirme noktası bağlantı hesabı
- Kaynak site hesabı
- Kaynak site veritabanı hesabı
- Görev dizisi etki alanına katılma hesabı
- Görev dizisi ağ klasörü bağlantı hesabı
- Görev dizisi farklı çalıştır hesabı
Configuration Manager SQL'de kullandığı veritabanı rolleri
- smsdbrole_AITool
- smsdbrole_AIUS
- smsdbrole_CRP
- smsdbrole_CRPPfx
- smsdbrole_DMP
- smsdbrole_DmpConnector
- smsdbrole_DViewAccess
- smsdbrole_DWSS
- smsdbrole_EnrollSvr
- smsdbrole_extract
- smsdbrole_HMSUser
- smsdbrole_MCS
- smsdbrole_MP
- smsdbrole_MPMBAM
- smsdbrole_MPUserSvc
- smsdbrole_siteprovider
- smsdbrole_siteserver
- smsdbrole_SUP
- smsschm_users
Configuration Manager oluşturan ve kullanan Windows grupları
Configuration Manager aşağıdaki Windows gruplarını otomatik olarak oluşturur ve çoğu durumda otomatik olarak korur:
Not
Configuration Manager etki alanı üyesi olan bir bilgisayarda grup oluşturduğunda, grup yerel bir güvenlik grubudur. Bilgisayar bir etki alanı denetleyicisiyse, grup bir etki alanı yerel grubudur. Bu grup türü, etki alanındaki tüm etki alanı denetleyicileri arasında paylaşılır.
Yapılandırma Manager_CollectedFilesAccess
Configuration Manager, yazılım envanteri tarafından toplanan dosyaları görüntüleme erişimi vermek için bu grubu kullanır.
Daha fazla bilgi için bkz. Yazılım envanterine giriş.
CollectedFilesAccess için tür ve konum
Bu grup, birincil site sunucusunda oluşturulan yerel bir güvenlik grubudur.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
CollectedFilesAccess üyeliği
Configuration Manager grup üyeliğini otomatik olarak yönetir. Üyelik, atanmış bir güvenlik rolünden Koleksiyon güvenliği sağlanabilir nesnesine Toplanan Dosyaları Görüntüleme izni verilen yönetici kullanıcıları içerir.
CollectedFilesAccess izinleri
Varsayılan olarak, bu grubun site sunucusunda aşağıdaki klasör üzerinde Okuma izni vardır: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol
Yapılandırma Manager_DViewAccess
Bu grup, Configuration Manager bir alt birincil site için site veritabanı sunucusunda veya veritabanı çoğaltma sunucusunda oluşturan yerel bir güvenlik grubudur. Bir hiyerarşideki siteler arasında veritabanı çoğaltması için dağıtılmış görünümler kullandığınızda site bunu oluşturur. Merkezi yönetim sitesinin site sunucusunu ve SQL Server bilgisayar hesaplarını içerir.
Daha fazla bilgi için bkz . Siteler arasında veri aktarımları.
Uzaktan Denetim Kullanıcılarını Configuration Manager
Configuration Manager uzak araçlar, İzin Verilen Görüntüleyiciler listesinde ayarladığınız hesapları ve grupları depolamak için bu grubu kullanır. Site bu listeyi her istemciye atar.
Daha fazla bilgi için bkz. Uzaktan denetime giriş.
Uzaktan denetim kullanıcıları için tür ve konum
Bu grup, istemci uzak araçları etkinleştiren bir ilke aldığında Configuration Manager istemcisinde oluşturulan yerel bir güvenlik grubudur.
İstemci için uzak araçları devre dışı bırakdıktan sonra bu grup otomatik olarak kaldırılmaz. Uzak araçları devre dışı bırakdıktan sonra el ile silin.
Uzaktan denetim kullanıcıları için üyelik
Varsayılan olarak, bu grupta üye yoktur. İzin Verilen Görüntüleyiciler listesine kullanıcı eklediğinizde, kullanıcılar otomatik olarak bu gruba eklenir.
Kullanıcıları veya grupları doğrudan bu gruba eklemek yerine bu grubun üyeliğini yönetmek için İzin Verilen Görüntüleyiciler listesini kullanın.
Yönetici kullanıcı, izin verilen bir görüntüleyici olmasının yanı sıra Collection nesnesi için Uzaktan Denetim iznine de sahip olmalıdır. Uzak Araçlar İşleci güvenlik rolünü kullanarak bu izni atayın.
Uzaktan denetim kullanıcıları için izinler
Varsayılan olarak, bu grubun bilgisayardaki herhangi bir konuma erişme izni yoktur. Yalnızca İzin Verilen Görüntüleyiciler listesini tutmak için kullanılır.
SMS Yöneticileri
Configuration Manager, WMI aracılığıyla SMS Sağlayıcısına erişim vermek için bu grubu kullanır. Configuration Manager konsolundaki nesneleri görüntülemek ve değiştirmek için SMS Sağlayıcısına erişim gereklidir.
Not
Yönetici kullanıcının rol tabanlı yönetim yapılandırması, Configuration Manager konsolunu kullanırken hangi nesneleri görüntüleyip yönetebileceğini belirler.
Daha fazla bilgi için bkz. SMS Sağlayıcısını planlama.
SMS Yöneticileri için tür ve konum
Bu grup, SMS Sağlayıcısı olan her bilgisayarda oluşturulan yerel bir güvenlik grubudur.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
SMS Yöneticileri için üyelik
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, bir hiyerarşideki her yönetici kullanıcı ve site sunucusu bilgisayar hesabı, bir sitedeki her SMS Sağlayıcısı bilgisayarındaki SMS Yöneticileri grubunun üyeleridir.
SMS Yöneticileri için İzinler
WMI Denetimi MMC ek bileşeninde SMS Yöneticileri grubunun haklarını ve izinlerini görüntüleyebilirsiniz. Varsayılan olarak, bu gruba WMI ad alanında Hesabı Etkinleştir ve Uzaktan EtkinleştirmeRoot\SMS verilir. Kimliği doğrulanmış kullanıcıların Yürütme Yöntemleri, Sağlayıcı Yazma ve Hesabı Etkinleştir'i vardır.
Uzak Configuration Manager konsolu kullandığınızda, hem site sunucusu bilgisayarında hem de SMS Sağlayıcısında Uzaktan Etkinleştirme DCOM izinlerini yapılandırın. Bu hakları SMS Yöneticileri grubuna verin. Bu eylem, bu hakları doğrudan kullanıcılara veya gruplara vermek yerine yönetimi basitleştirir. Daha fazla bilgi için bkz. Uzak Configuration Manager konsolları için DCOM izinlerini yapılandırma.
<SMS_SiteSystemToSiteServerConnection_MP_sitecode>
Site sunucusundan uzak olan yönetim noktaları, site veritabanına bağlanmak için bu grubu kullanır. Bu grup, site sunucusundaki ve site veritabanındaki gelen kutusu klasörlerine yönetim noktası erişimi sağlar.
SMS_SiteSystemToSiteServerConnection_MP için tür ve konum
Bu grup, SMS Sağlayıcısı olan her bilgisayarda oluşturulan yerel bir güvenlik grubudur.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
SMS_SiteSystemToSiteServerConnection_MP üyeliği
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak üyelik, site için bir yönetim noktası olan uzak bilgisayarların bilgisayar hesaplarını içerir.
SMS_SiteSystemToSiteServerConnection_MP izinleri
Varsayılan olarak, bu grubun site sunucusunda aşağıdaki klasör için Okuma, Okuma & yürütme ve Klasör içeriğini listeleme izinleri vardır: C:\Program Files\Microsoft Configuration Manager\inboxes. Bu grup ayrıca, yönetim noktasının istemci verilerini yazdığı gelen kutularının altındaki alt klasörler için Yazma iznine de sahiptir.
<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
Uzak SMS Sağlayıcısı bilgisayarları site sunucusuna bağlanmak için bu grubu kullanır.
SMS_SiteSystemToSiteServerConnection_SMSProv için tür ve konum
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
SMS_SiteSystemToSiteServerConnection_SMSProv üyeliği
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, üyelik bir bilgisayar hesabı veya etki alanı kullanıcı hesabı içerir. Her uzak SMS Sağlayıcısından site sunucusuna bağlanmak için bu hesabı kullanır.
SMS_SiteSystemToSiteServerConnection_SMSProv izinleri
Varsayılan olarak, bu grubun site sunucusunda aşağıdaki klasör için Okuma, Okuma & yürütme ve Klasör içeriğini listeleme izinleri vardır: C:\Program Files\Microsoft Configuration Manager\inboxes. Bu grup, gelen kutularının altındaki alt klasörler için Yazma ve Değiştirme izinlerine de sahiptir. SMS Sağlayıcısı bu klasörlere erişim gerektirir.
Bu grup ayrıca aşağıdaki C:\Program Files\Microsoft Configuration Manager\OSD\Binsite sunucusundaki alt klasörler için Okuma iznine sahiptir.
Ayrıca aşağıdaki C:\Program Files\Microsoft Configuration Manager\OSD\bootalt klasörler için aşağıdaki izinlere sahiptir:
- Okuma
- Okuma & yürütme
- Klasör içeriğini listeleme
- Yazma
- Değiştirme
<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
Configuration Manager uzak site sistemi bilgisayarlarında dosya dağıtım yöneticisi bileşeni, site sunucusuna bağlanmak için bu grubu kullanır.
SMS_SiteSystemToSiteServerConnection_Stat için tür ve konum
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
SMS_SiteSystemToSiteServerConnection_Stat üyeliği
Configuration Manager grup üyeliğini otomatik olarak yönetir. Üyelik varsayılan olarak bilgisayar hesabını veya etki alanı kullanıcı hesabını içerir. Bu hesabı, dosya dağıtım yöneticisini çalıştıran her uzak site sisteminden site sunucusuna bağlanmak için kullanır.
SMS_SiteSystemToSiteServerConnection_Stat izinleri
Varsayılan olarak, bu grup şu klasöre ve site sunucusundaki alt klasörlerine Okuma, Okuma & yürütme ve Klasör içeriğini listeleme iznine sahiptir: C:\Program Files\Microsoft Configuration Manager\inboxes.
Bu grup, site sunucusunda aşağıdaki klasör için Yazma ve Değiştirme izinlerine de sahiptir: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.
<SMS_SiteToSiteConnection_sitecode>
Configuration Manager, hiyerarşideki siteler arasında dosya tabanlı çoğaltmayı etkinleştirmek için bu grubu kullanır. Bu siteye doğrudan dosya aktaran her uzak site için, bu grubun Dosya Çoğaltma Hesabı olarak ayarlanmış hesapları vardır.
SMS_SiteToSiteConnection için tür ve konum
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur.
SMS_SiteToSiteConnection üyeliği
Yeni bir siteyi başka bir sitenin alt öğesi olarak yüklediğinizde, Configuration Manager yeni site sunucusunun bilgisayar hesabını otomatik olarak üst site sunucusundaki bu gruba ekler. Configuration Manager ayrıca üst sitenin bilgisayar hesabını yeni site sunucusundaki gruba ekler. Dosya tabanlı aktarımlar için başka bir hesap belirtirseniz, bu hesabı hedef site sunucusundaki bu gruba ekleyin.
Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz. Siteyi kaldırdıktan sonra el ile silin.
SMS_SiteToSiteConnection izinleri
Varsayılan olarak, bu grubun şu klasörde Tam denetimi vardır: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.
Configuration Manager kullanan hesaplar
Configuration Manager için aşağıdaki hesapları ayarlayabilirsiniz.
İpucu
Configuration Manager konsolunda belirttiğiniz hesaplar için paroladaki yüzde karakterini (%) kullanmayın. Hesabın kimliği doğrulanamadı.
Active Directory grup bulma hesabı
Site, belirttiğiniz Active Directory Domain Services konumlarından aşağıdaki nesneleri bulmak için Active Directory grup bulma hesabını kullanır:
- Yerel, genel ve evrensel güvenlik grupları.
- Bu gruplar içindeki üyelik.
- Dağıtım grupları içindeki üyelik.
- Dağıtım grupları grup kaynakları olarak bulunmaz.
Bu hesap, bulma işlemini çalıştıran site sunucusunun bir bilgisayar hesabı veya bir Windows kullanıcı hesabı olabilir. Bulma için belirttiğiniz Active Directory konumları için Okuma erişimi iznine sahip olmalıdır.
Daha fazla bilgi için bkz. Active Directory Grup Keşfi.
Active Directory sistem bulma hesabı
Site, belirttiğiniz Active Directory Domain Services konumlarındaki bilgisayarları bulmak için Active Directory sistem bulma hesabını kullanır.
Bu hesap, bulma işlemini çalıştıran site sunucusunun bir bilgisayar hesabı veya bir Windows kullanıcı hesabı olabilir. Bulma için belirttiğiniz Active Directory konumları için Okuma erişimi iznine sahip olmalıdır.
Daha fazla bilgi için bkz. Active Directory Sistem Keşfi.
Active Directory kullanıcı bulma hesabı
Site, belirttiğiniz Active Directory Domain Services konumlarından kullanıcı hesaplarını bulmak için Active Directory kullanıcı bulma hesabını kullanır.
Bu hesap, bulma işlemini çalıştıran site sunucusunun bir bilgisayar hesabı veya bir Windows kullanıcı hesabı olabilir. Bulma için belirttiğiniz Active Directory konumları için Okuma erişimi iznine sahip olmalıdır.
Daha fazla bilgi için bkz. Active Directory kullanıcı keşfi.
Active Directory orman hesabı
Site , Active Directory ormanlarından ağ altyapısını bulmak için Active Directory orman hesabını kullanır. Merkezi yönetim siteleri ve birincil siteler, site verilerini bir orman için Active Directory Domain Services yayımlamak için de kullanır.
Not
İkincil siteler, Active Directory'de yayımlamak için her zaman ikincil site sunucusu bilgisayar hesabını kullanır.
Güvenilmeyen ormanları bulmak ve yayımlamak için Active Directory orman hesabının genel bir hesap olması gerekir. Site sunucusunun bilgisayar hesabını kullanmıyorsanız, yalnızca genel bir hesap seçebilirsiniz.
Bu hesap, ağ altyapısını bulmak istediğiniz her Active Directory ormanı için Okuma izinlerine sahip olmalıdır.
Bu hesabın, site verilerini yayımlamak istediğiniz her Active Directory ormanındaki Sistem Yönetimi kapsayıcısı ve tüm alt nesneleri üzerinde Tam Denetim izinlerine sahip olması gerekir.
Daha fazla bilgi için bkz. Active Directory'yi site yayımlamaya hazırlama.
Daha fazla bilgi için bkz. Active Directory orman bulma.
Sertifika kayıt noktası hesabı
Uyarı
Sürüm 2203'den itibaren sertifika kayıt noktası artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.
Sertifika kayıt noktası, Configuration Manager veritabanına bağlanmak için Sertifika kayıt noktası hesabını kullanır. Varsayılan olarak bilgisayar hesabını kullanır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Sertifika kayıt noktası site sunucusundan güvenilmeyen bir etki alanında olduğunda, bir kullanıcı hesabı belirtmeniz gerekir. Durum iletisi sistemi yazma görevlerini işlediğinden bu hesap yalnızca site veritabanına Okuma erişimi gerektirir.
Daha fazla bilgi için bkz. Sertifika profillerine giriş.
İşletim sistemi görüntü hesabını yakalama
bir işletim sistemi görüntüsü yakaladığınızda, Configuration Manager yakalanan görüntüleri depoladığınız klasöre erişmek için İşletim sistemi görüntüsü yakalama hesabını kullanır. Bir görev dizisine İşletim Sistemi Görüntüsünü Yakala adımını eklerseniz, bu hesap gereklidir.
Hesabın, yakalanan görüntüleri depoladığınız ağ paylaşımında Okuma ve Yazma izinleri olmalıdır.
Windows'da hesabın parolasını değiştirirseniz görev dizisini yeni parolayla güncelleştirin. Configuration Manager istemcisi, istemci ilkesini bir sonraki indirdiğinde yeni parolayı alır.
Bu hesabı kullanmanız gerekiyorsa bir etki alanı kullanıcı hesabı oluşturun. Gerekli ağ kaynaklarına erişmek için en düşük izinleri verin ve tüm yakalama görev dizileri için kullanın.
Önemli
Bu hesaba etkileşimli oturum açma izinleri atamayın.
Bu hesap için ağ erişim hesabını kullanmayın.
Daha fazla bilgi için bkz. İşletim sistemi yakalamak için görev dizisi oluşturma.
İstemci anında yükleme hesabı
İstemcileri istemci anında yükleme yöntemini kullanarak dağıttığınızda, site bilgisayarlara bağlanmak ve Configuration Manager istemci yazılımını yüklemek için İstemci anında yükleme hesabını kullanır. Bu hesabı belirtmezseniz, site sunucusu bilgisayar hesabını kullanmayı dener.
Bu hesap, hedef istemci bilgisayarlarda yerel Yöneticiler grubunun bir üyesi olmalıdır. Bu hesap, Etki alanı Yönetici hakları gerektirmez.
Birden fazla istemci anında yükleme hesabı belirtebilirsiniz. Configuration Manager başarılı olana kadar her birini sırayla dener.
İpucu
Büyük bir Active Directory ortamınız varsa ve bu hesabı değiştirmeniz gerekiyorsa, bu hesap güncelleştirmesini daha etkili bir şekilde koordine etmek için aşağıdaki işlemi kullanın:
- Farklı bir adla yeni bir hesap oluşturun.
- yeni hesabı Configuration Manager'daki istemci anında yükleme hesapları listesine ekleyin.
- Active Directory Domain Services yeni hesabı çoğaltması için yeterli süre tanıyın.
- Ardından eski hesabı Configuration Manager ve Active Directory Domain Services kaldırın.
Önemli
Windows kullanıcısına yerel olarak oturum açmayı reddetme hakkı atamak için etki alanı veya yerel grup ilkesini kullanın. Yöneticiler grubunun bir üyesi olarak bu hesap yerel olarak oturum açma hakkına sahip olur ve bu gerekli değildir. Daha iyi bir güvenlik için bu hesabın hakkını açıkça reddedin. Reddetme hakkı, izin verme hakkının yerini alır.
Daha fazla bilgi için bkz. İstemci anında yükleme.
Kayıt noktası bağlantı hesabı
Kayıt noktası, Configuration Manager site veritabanına bağlanmak için Kayıt noktası bağlantı hesabını kullanır. Varsayılan olarak bilgisayar hesabını kullanır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Kayıt noktası site sunucusundan güvenilmeyen bir etki alanında olduğunda, bir kullanıcı hesabı belirtmeniz gerekir. Bu hesap, site veritabanına Okuma ve Yazma erişimi gerektirir.
Daha fazla bilgi için bkz. Şirket içi MDM için site sistemi rollerini yükleme.
bağlantı hesabını Exchange Server
Site sunucusu, belirtilen Exchange Server bağlanmak için Exchange Server bağlantı hesabını kullanır. Exchange Server bağlanan mobil cihazları bulmak ve yönetmek için bu bağlantıyı kullanır. Bu hesap, Exchange Server bilgisayara gerekli izinleri sağlayan Exchange PowerShell cmdlet'lerini gerektirir. Cmdlet'ler hakkında daha fazla bilgi için bkz. Exchange bağlayıcısını yükleme ve yapılandırma.
Yönetim noktası bağlantı hesabı
Yönetim noktası, Configuration Manager site veritabanına bağlanmak için Yönetim noktası bağlantı hesabını kullanır. İstemciler için bilgi göndermek ve almak için bu bağlantıyı kullanır. Yönetim noktası varsayılan olarak bilgisayar hesabını kullanır, ancak bunun yerine alternatif bir hizmet hesabı yapılandırabilirsiniz. Yönetim noktası site sunucusundan güvenilmeyen bir etki alanında olduğunda, alternatif bir hizmet hesabı belirtmeniz gerekir.
Not
Gelişmiş güvenlik duruşu için 'Yönetim noktası bağlantı hesabı' için Bilgisayar hesabı yerine alternatif hizmet hesabından yararlanmanız önerilir.
Hesabı Microsoft SQL Server çalıştıran bilgisayarda düşük sağ hizmet hesabı olarak oluşturun.
Önemli
- Bu hesaba etkileşimli oturum açma hakları vermeyin.
- Uzak etki alanında veya ormanda bir hesap belirtiyorsanız, etki alanı FQDN'sini yalnızca etki alanı NetBIOS adından değil, kullanıcı adından önce belirttiğinizden emin olun. Örneğin, yalnızca Corp\UserName yerine Corp.Contoso.com\UserName değerini belirtin. Bu, hesap uzak site sisteminde kimlik doğrulaması yapmak için kullanıldığında Configuration Manager Kerberos kullanmasına olanak tanır. FQDN'nin kullanılması genellikle Windows aylık güncelleştirmelerinde NTLM çevresinde yapılan son sağlamlaştırma değişikliklerinden kaynaklanan kimlik doğrulama hatalarını düzeltir.
Çok noktaya yayın bağlantı hesabı
Çok noktaya yayın özellikli dağıtım noktaları, site veritabanındaki bilgileri okumak için Çok noktaya yayın bağlantı hesabını kullanır. Sunucu varsayılan olarak bilgisayar hesabını kullanır, ancak bunun yerine bir hizmet hesabı yapılandırabilirsiniz. Site veritabanı güvenilmeyen bir ormandayken bir hizmet hesabı belirtmeniz gerekir. Örneğin, veri merkezinizin site sunucusu ve site veritabanı dışında bir ormanda çevre ağı varsa, site veritabanından çok noktaya yayın bilgilerini okumak için bu hesabı kullanın.
Bu hesaba ihtiyacınız varsa, Microsoft SQL Server çalıştıran bilgisayarda düşük sağ hizmet hesabı olarak oluşturun.
Not
Gelişmiş güvenlik duruşu için 'Çok noktaya yayın bağlantı hesabı' için Bilgisayar hesabı yerine hizmet hesabından yararlanmanız önerilir.
Önemli
Bu hizmet hesabına etkileşimli oturum açma hakları vermeyin.
Daha fazla bilgi için bkz. Windows'un ağ üzerinden dağıtılması için çok noktaya yayın kullanma.
Ağ erişim hesabı
İstemci bilgisayarlar, dağıtım noktalarındaki içeriğe erişmek için yerel bilgisayar hesabını kullanamadıklarında ağ erişim hesabını kullanır. Çoğunlukla çalışma grubu istemcileri ve güvenilmeyen etki alanlarından bilgisayarlar için geçerlidir. Bu hesap, işletim sistemini yükleyen bilgisayarın etki alanında henüz bir bilgisayar hesabı olmadığında işletim sistemi dağıtımı sırasında da kullanılır.
Önemli
Ağ erişim hesabı hiçbir zaman programları çalıştırmak, yazılım güncelleştirmelerini yüklemek veya görev dizilerini çalıştırmak için güvenlik bağlamı olarak kullanılmaz. Yalnızca ağdaki kaynaklara erişmek için kullanılır.
bir Configuration Manager istemcisi önce içeriği indirmek için bilgisayar hesabını kullanmayı dener. Başarısız olursa, ağ erişim hesabını otomatik olarak dener.
Siteyi HTTPS veya Gelişmiş HTTP için yapılandırdığınızda, bir çalışma grubu veya Microsoft Entra katılmış istemci, ağ erişim hesabına gerek kalmadan dağıtım noktalarından içeriğe güvenli bir şekilde erişebilir. Bu davranış, önyükleme medyasından, PXE'den veya Yazılım Merkezi'nden çalıştırılan bir görev dizisiyle işletim sistemi dağıtım senaryolarını içerir. Daha fazla bilgi için bkz. İstemciden yönetim noktasına iletişim.
Not
Gelişmiş HTTP'yi ağ erişim hesabı gerektirmemesi için etkinleştirirseniz, dağıtım noktalarının şu anda desteklenen Windows Server veya Windows 10/11 sürümlerini çalıştırması gerekir.
Ağ erişim hesabı izinleri
Bu hesaba, istemcinin yazılıma erişmesi için gereken içerik için en düşük uygun izinleri verin. Hesabın bu bilgisayara ağdan doğrudan dağıtım noktasında erişmesi gerekir. Site başına en fazla 10 ağ erişim hesabı yapılandırabilirsiniz.
Kaynaklara gerekli erişimi sağlayan herhangi bir etki alanında bir hesap oluşturun. Ağ erişim hesabı her zaman bir etki alanı adı içermelidir. Bu hesap için doğrudan güvenlik desteklenmez. Birden çok etki alanında dağıtım noktalarınız varsa, hesabı güvenilen bir etki alanında oluşturun.
İpucu
Hesap kilitlenmelerini önlemek için mevcut bir ağ erişim hesabındaki parolayı değiştirmeyin. Bunun yerine yeni bir hesap oluşturun ve yeni hesabı Configuration Manager'da ayarlayın. Tüm istemcilerin yeni hesap ayrıntılarını almaları için yeterli süre geçtiğinde, eski hesabı ağ paylaşılan klasörlerinden kaldırın ve hesabı silin.
Önemli
Bu hesaba etkileşimli oturum açma hakları vermeyin.
Bu hesaba bilgisayarları etki alanına ekleme hakkı verme. Bir görev dizisi sırasında bilgisayarları etki alanına katmak zorundaysanız, Görev dizisi etki alanına katılma hesabını kullanın.
Ağ erişim hesabını yapılandırma
Configuration Manager konsolunda Yönetim çalışma alanına gidin, Site Yapılandırması'nı genişletin ve Siteler düğümünü seçin. Ardından siteyi seçin.
Şeridin Ayarlar grubunda Site Bileşenlerini Yapılandır'ı ve ardından Yazılım Dağıtımı'nı seçin.
Ağ erişim hesabı sekmesini seçin. Bir veya daha fazla hesap ayarlayın ve tamam'ı seçin.
Ağ erişim hesabı gerektiren eylemler
Ağ erişim hesabı hala aşağıdaki eylemler için gereklidir (eHTTP & PKI senaryoları dahil):
Çok noktaya yayın. Daha fazla bilgi için bkz. Windows'un ağ üzerinden dağıtılması için çok noktaya yayın kullanma.
Çalışan görev dizisinin gerektiğinde doğrudan bir dağıtım noktasından içeriğe erişmesi için görev dizisi dağıtım seçeneği. Daha fazla bilgi için bkz . Görev dizisi dağıtım seçenekleri.
doğrudan dağıtım noktasından içeriğe erişmek için İşletim Sistemi Görüntüsü görev dizisi adımı seçeneğini uygulayın. Bu seçenek öncelikli olarak içeriği yerel diske önbelleğe almanın maliyetli olduğu düşük disk alanına sahip Windows Embedded senaryolarına yöneliktir. Daha fazla bilgi için bkz. İçeriğe doğrudan dağıtım noktasından erişme.
HTTP/HTTPS kullanarak bir dağıtım noktasından paket indirme işlemi başarısız olursa, dağıtım noktasındaki paket paylaşımından SMB kullanarak paketi indirme özelliğine geri dönebilir. Dağıtım noktasındaki paket paylaşımından SMB kullanarak paketi indirmek için ağ erişim hesabının kullanılması gerekir. Bu geri dönüş davranışı yalnızca bu paketteki içeriği dağıtım noktalarındaki bir paket paylaşımına kopyala seçeneği bir paketin özelliklerindeki Veri Erişimi sekmesinin altında etkinleştirildiğinde oluşur. Bu davranışı korumak için ağ erişim hesabının devre dışı bırakılmadığından veya kaldırılmadığından emin olun. Bu davranış artık istenmiyorsa, Bu paketteki içeriği dağıtım noktalarındaki bir paket paylaşımına kopyala seçeneğinin hiçbir pakette etkinleştirilmediğinden emin olun.
Durum Deposu isteği görev dizisi adımı. Görev dizisi, cihazın bilgisayar hesabını kullanarak durum geçiş noktasıyla iletişim kuramıyorsa, ağ erişim hesabını kullanmaya geri döner. Daha fazla bilgi için bkz. Durum Deposu İsteme.
Görev Dizisi özellikleri ayarını Önce başka bir program çalıştır olarak ayarlayın. Bu ayar, görev dizisi başlamadan önce ağ paylaşımından bir paket ve program çalıştırır. Daha fazla bilgi için bkz . Görev dizileri özellikleri: Gelişmiş sekmesi.
Güvenilmeyen etki alanlarında ve ormanlar arası senaryolarda istemcileri yönetmek birden çok ağ erişim hesabına olanak tanır.
Paket erişim hesabı
Paket erişim hesabı, dağıtım noktalarında paket içeriğine erişebilecek kullanıcıları ve kullanıcı gruplarını belirtmek için NTFS izinlerini ayarlamanıza olanak tanır. Varsayılan olarak, Configuration Manager yalnızca Kullanıcı ve Yönetici genel erişim hesaplarına erişim verir. diğer Windows hesaplarını veya gruplarını kullanarak istemci bilgisayarlara erişimi denetleyebilirsiniz. Mobil cihazlar her zaman paket içeriğini anonim olarak alır, böylece paket erişim hesabı kullanmaz.
varsayılan olarak, Configuration Manager içerik dosyalarını bir dağıtım noktasına kopyaladığında, yerel Kullanıcılar grubuna Okuma erişimi ve yerel Yöneticiler grubuna Tam Denetim izni verir. Gereken gerçek izinler pakete bağlıdır. Çalışma gruplarında veya güvenilmeyen ormanlarda istemcileriniz varsa, bu istemciler paket içeriğine erişmek için ağ erişim hesabını kullanır. Tanımlanan paket erişim hesaplarını kullanarak ağ erişim hesabının pakete yönelik izinlere sahip olduğundan emin olun.
Dağıtım noktalarına erişebilen bir etki alanındaki hesapları kullanın. Paketi oluşturduktan sonra hesabı oluşturur veya değiştirirseniz paketi yeniden dağıtmanız gerekir. Paketin güncelleştirilmesi, paket üzerindeki NTFS izinlerini değiştirmez.
Kullanıcılar grubundaki üyelik otomatik olarak eklediği için ağ erişim hesabını paket erişim hesabı olarak eklemeniz gerekmez. Paket erişim hesabının yalnızca ağ erişim hesabıyla kısıtlanması istemcilerin pakete erişmesini engellemez.
Paket erişim hesaplarını yönetme
Configuration Manager konsolunda Yazılım Kitaplığı çalışma alanına gidin.
Yazılım Kitaplığı çalışma alanında, erişim hesaplarını yönetmek istediğiniz içerik türünü belirleyin ve sağlanan adımları izleyin:
Uygulama: Uygulama Yönetimi'ni genişletin, Uygulamalar'ı ve ardından erişim hesaplarının yönetileceği uygulamayı seçin.
Paket: Uygulama Yönetimi'ni genişletin, Paketler'i seçin ve ardından erişim hesaplarının yönetileceği paketi seçin.
Yazılım güncelleştirme dağıtım paketi: Yazılım Güncelleştirmeler genişletin, Dağıtım Paketleri'ni seçin ve ardından erişim hesaplarının yönetileceği dağıtım paketini seçin.
Sürücü paketi: İşletim Sistemleri'ni genişletin, Sürücü Paketleri'ni seçin ve ardından erişim hesaplarının yönetileceği sürücü paketini seçin.
İşletim sistemi görüntüsü: İşletim Sistemleri'ni genişletin, İşletim Sistemi Görüntüleri'ni seçin ve ardından erişim hesaplarının yönetileceği işletim sistemi görüntüsünü seçin.
İşletim sistemi yükseltme paketi: İşletim Sistemleri'ni genişletin, İşletim sistemi yükseltme paketleri'ni seçin ve ardından erişim hesaplarının yönetileceği işletim sistemi yükseltme paketini seçin.
Önyükleme görüntüsü: İşletim Sistemleri'ni genişletin, Önyükleme Görüntüleri'ni seçin ve ardından erişim hesaplarının yönetileceği önyükleme görüntüsünü seçin.
Seçili nesneye sağ tıklayın ve ardından Erişim Hesaplarını Yönet'i seçin.
Hesap Ekle iletişim kutusunda, içeriğe erişim verilecek hesap türünü belirtin ve ardından hesapla ilişkili erişim haklarını belirtin.
Not
Hesap için bir kullanıcı adı eklediğinizde ve Configuration Manager hem yerel kullanıcı hesabını hem de bu ada sahip bir etki alanı kullanıcı hesabını bulduğunda, Configuration Manager etki alanı kullanıcı hesabı için erişim haklarını ayarlar.
Raporlama hizmetleri noktası hesabı
SQL Server Reporting Services, site veritabanından Configuration Manager raporların verilerini almak için Raporlama hizmetleri noktası hesabını kullanır. Belirttiğiniz Windows kullanıcı hesabı ve parolası şifrelenir ve SQL Server Reporting Services veritabanında depolanır.
Not
Belirttiğiniz hesabın, SQL Server Reporting Services veritabanını barındıran bilgisayarda Yerel olarak oturum açma izinlerine sahip olması gerekir.
Hesaba, Configuration Manager veritabanındaki smsschm_users SQL Server Veritabanı Rolüne eklenerek gerekli tüm haklar otomatik olarak verilir.
Daha fazla bilgi için bkz. Raporlamaya giriş.
Uzak araçlara izin verilen görüntüleyici hesapları
Uzaktan denetim için İzin Verilen Görüntüleyiciler olarak belirttiğiniz hesaplar, istemcilerde uzak araçlar işlevini kullanmasına izin verilen kullanıcıların listesidir.
Daha fazla bilgi için bkz. Uzaktan denetime giriş.
Site yükleme hesabı
Kurulum Configuration Manager çalıştırdığınız sunucuda oturum açmak ve yeni bir site yüklemek için bir etki alanı kullanıcı hesabı kullanın.
Bu hesap aşağıdaki hakları gerektirir:
Aşağıdaki sunucularda yönetici:
- Site sunucusu
- Site veritabanını barındıran her sunucu
- Site için SMS Sağlayıcısının her örneği
Site veritabanını barındıran SQL Server örneğinde Sysadmin
Configuration Manager kurulumu bu hesabı otomatik olarak SMS Yöneticileri grubuna ekler.
Yüklemeden sonra, Configuration Manager konsolunda hakları olan tek hesap bu hesaptır. Bu hesabı kaldırmanız gerekiyorsa, önce bu hesabın haklarını başka bir kullanıcıya eklediğinizden emin olun.
Tek başına bir siteyi merkezi bir yönetim sitesi içerecek şekilde genişletirken, bu hesap tek başına birincil sitede Tam Yönetici veya Altyapı Yöneticisi rol tabanlı yönetim hakları gerektirir.
Site sistemi yükleme hesabı
Site sunucusu site sistemlerini yüklemek, yeniden yüklemek, kaldırmak ve ayarlamak için Site sistemi yükleme hesabını kullanır. Site sistemini, site sunucusunun bu site sistemine bağlantı başlatmasını gerektirecek şekilde ayarlarsanız, Configuration Manager site sistemini ve herhangi bir rolü yükledikten sonra site sisteminden veri çekmek için de bu hesabı kullanır. Her site sisteminin farklı bir yükleme hesabı olabilir, ancak bu site sistemindeki tüm rolleri yönetmek için yalnızca bir yükleme hesabı ayarlayabilirsiniz.
Bu hesap, hedef site sistemlerinde yerel yönetim izinleri gerektirir. Ayrıca, bu hesabın hedef site sistemlerindeki güvenlik ilkesinde bu bilgisayara ağdan erişmesi gerekir.
Önemli
Uzak etki alanında veya ormanda bir hesap belirtiyorsanız, etki alanı FQDN'sini yalnızca etki alanı NetBIOS adından değil, kullanıcı adından önce belirttiğinizden emin olun. Örneğin, yalnızca Corp\UserName yerine Corp.Contoso.com\UserName değerini belirtin. Bu, hesap uzak site sisteminde kimlik doğrulaması yapmak için kullanıldığında Configuration Manager Kerberos kullanmasına olanak tanır. FQDN'nin kullanılması genellikle Windows aylık güncelleştirmelerinde NTLM çevresinde yapılan son sağlamlaştırma değişikliklerinden kaynaklanan kimlik doğrulama hatalarını düzeltir.
İpucu
Etki alanları arasında çok sayıda etki alanı denetleyiciniz varsa ve bu hesaplar kullanılıyorsa, site sistemini ayarlamadan önce Active Directory'nin bu hesapları çoğaltıp çoğaltmadığını denetleyin.
Yönetilecek her site sisteminde bir hizmet hesabı belirttiğinizde, bu yapılandırma daha güvenlidir. Saldırganların yapabilecekleri zararı sınırlar. Ancak, etki alanı hesaplarını yönetmek daha kolaydır. Güvenlik ve etkin yönetim arasındaki dengeyi göz önünde bulundurun.
Site sistemi proxy sunucu hesabı
Aşağıdaki site sistemi rolleri, kimliği doğrulanmış erişim gerektiren bir ara sunucu veya güvenlik duvarı üzerinden İnternet'e erişmek için Site sistemi proxy sunucu hesabını kullanır:
- Varlık Yönetim Bilgileri eşitleme noktası
- bağlayıcıyı Exchange Server
- Hizmet bağlantı noktası
- Yazılım güncelleştirme noktası
Önemli
Gerekli ara sunucu veya güvenlik duvarı için mümkün olan en düşük izinlere sahip bir hesap belirtin.
Daha fazla bilgi için bkz . Ara sunucu desteği.
SMTP sunucusu bağlantı hesabı
SITE sunucusu , SMTP sunucusu kimliği doğrulanmış erişim gerektirdiğinde e-posta uyarıları göndermek için SMTP sunucusu bağlantı hesabını kullanır.
Önemli
E-posta göndermek için mümkün olan en düşük izinlere sahip bir hesap belirtin.
Daha fazla bilgi için bkz. Uyarıları yapılandırma.
Yazılım güncelleştirme noktası bağlantı hesabı
Site sunucusu, aşağıdaki iki yazılım güncelleştirme hizmeti için Yazılım güncelleştirme noktası bağlantı hesabını kullanır:
Ürün tanımları, sınıflandırmalar ve yukarı akış ayarları gibi ayarları ayarlayan Windows Server Update Services (WSUS).
Yukarı akış WSUS sunucusuna veya Microsoft Update'e eşitleme isteğinde bulunan WSUS Eşitleme Yöneticisi.
Site sistemi yükleme hesabı yazılım güncelleştirmeleri için bileşenleri yükleyebilir, ancak yazılım güncelleştirme noktasında yazılım güncelleştirmesine özgü işlevleri gerçekleştiremez. Yazılım güncelleştirme noktası güvenilmeyen bir ormanda olduğundan bu işlev için site sunucusu bilgisayar hesabını kullanamıyorsanız, site sistemi yükleme hesabıyla birlikte bu hesabı da belirtmeniz gerekir.
Bu hesap, WSUS yüklediğiniz bilgisayarda yerel yönetici olmalıdır. Ayrıca yerel WSUS Yöneticileri grubunun bir parçası olmalıdır.
Daha fazla bilgi için bkz. Yazılım güncelleştirmelerini planlama.
Kaynak site hesabı
Geçiş işlemi , kaynak sitenin SMS Sağlayıcısına erişmek için Kaynak site hesabını kullanır. Bu hesap, geçiş işlerinin verilerini toplamak için kaynak sitedeki site nesneleri için Okuma izinleri gerektirir.
Configuration Manager 2007 dağıtım noktalarınız veya birlikte bulunan dağıtım noktalarına sahip ikincil siteleriniz varsa, bunları Configuration Manager (geçerli dal) dağıtım noktalarına yükselttiğiniz zaman, bu hesabın Site sınıfı için Silme izinlerine de sahip olması gerekir. Bu izin, yükseltme sırasında dağıtım noktasını Configuration Manager 2007 sitesinden başarıyla kaldırmaktır.
Not
Hem kaynak site hesabı hem de kaynak site veritabanı hesabı, Configuration Manager konsolundaki Yönetim çalışma alanının Hesaplar düğümünde Geçiş Yöneticisi olarak tanımlanır.
Daha fazla bilgi için bkz. Hiyerarşiler arasında veri geçirme.
Kaynak site veritabanı hesabı
Geçiş işlemi, kaynak sitenin SQL Server veritabanına erişmek için Kaynak site veritabanı hesabını kullanır. Kaynak sitenin SQL Server veritabanından veri toplamak için, kaynak site veritabanı hesabının kaynak sitenin SQL Server veritabanında Okuma ve Yürütme izinlerine sahip olması gerekir.
Configuration Manager (geçerli dal) bilgisayar hesabını kullanıyorsanız, bu hesap için aşağıdakilerin tümünün doğru olduğundan emin olun:
- Configuration Manager 2012 sitesiyle aynı etki alanındaki Dağıtılmış COM Kullanıcıları güvenlik grubunun bir üyesidir.
- SMS Yöneticileri güvenlik grubunun bir üyesidir.
- Tüm Configuration Manager 2012 nesneleri için Okuma iznine sahiptir.
Not
Hem kaynak site hesabı hem de kaynak site veritabanı hesabı, Configuration Manager konsolundaki Yönetim çalışma alanının Hesaplar düğümünde Geçiş Yöneticisi olarak tanımlanır.
Daha fazla bilgi için bkz. Hiyerarşiler arasında veri geçirme.
Görev dizisi etki alanına katılma hesabı
Windows Kurulumu, yeni görüntülenmiş bir bilgisayarı bir etki alanına eklemek için Görev dizisi etki alanına katılma hesabını kullanır. Bu hesap, Etki Alanına Katıl veya Çalışma Grubu görev dizisi adımında Etki alanına katıl seçeneğiyle gereklidir. Bu hesap Ağ Ayarlarını Uygula adımıyla da ayarlanabilir, ancak gerekli değildir.
Bu hesap, doğrudan hedef etki alanında Etki Alanına Katılmayı gerektirir.
İpucu
Etki alanına katılmak için en düşük izinlere sahip bir etki alanı kullanıcı hesabı oluşturun ve bunu tüm görev dizileri için kullanın.
Önemli
Bu hesaba etkileşimli oturum açma izinleri atamayın.
Bu hesap için ağ erişim hesabını kullanmayın.
Görev dizisi ağ klasörü bağlantı hesabı
Görev dizisi altyapısı, ağdaki paylaşılan bir klasöre bağlanmak için Görev dizisi ağ klasörü bağlantı hesabını kullanır. Bu hesap , Ağ Klasörüne Bağlan görev dizisi adımında gereklidir.
Bu hesap, belirtilen paylaşılan klasöre erişmek için izinler gerektirir. Bir etki alanı kullanıcı hesabı olmalıdır.
İpucu
Gerekli ağ kaynaklarına erişmek için en düşük izinlere sahip bir etki alanı kullanıcı hesabı oluşturun ve bunu tüm görev dizileri için kullanın.
Önemli
Bu hesaba etkileşimli oturum açma izinleri atamayın.
Bu hesap için ağ erişim hesabını kullanmayın.
Görev dizisi farklı çalıştır hesabı
Görev dizisi altyapısı, komut satırlarını çalıştırmak için Görev dizisi farklı çalıştır hesabını veya Yerel Sistem hesabı dışındaki kimlik bilgileriyle PowerShell Betikleri'ni kullanır. Bu hesap, Komut Satırını Çalıştır ve PowerShell Betiğini Çalıştır görev dizisi adımları için aşağıdaki hesap seçili olarak Bu adımı çalıştır seçeneğiyle gereklidir.
Hesabı, görev dizisinde belirttiğiniz komut satırını çalıştırmak için gereken en düşük izinlere sahip olacak şekilde ayarlayın. Hesap için etkileşimli oturum açma hakları gerekir. Genellikle yazılım yükleme ve ağ kaynaklarına erişme olanağı gerektirir. PowerShell Betiğini Çalıştır görevi için bu hesap yerel yönetici izinleri gerektirir.
Önemli
Bu hesap için ağ erişim hesabını kullanmayın.
Hesabı hiçbir zaman etki alanı yöneticisi yapma.
Bu hesap için hiçbir zaman gezici profiller ayarlama. Görev dizisi çalıştırıldığında, hesap için dolaşım profilini indirir. Bu, profili yerel bilgisayarda erişime açık bırakır.
Hesabın kapsamını sınırlayın. Örneğin, her görev dizisi için hesap olarak çalışan farklı görev dizileri oluşturun. Ardından, bir hesabın güvenliği aşılırsa, yalnızca o hesabın erişimi olan istemci bilgisayarlar tehlikeye girer.
Komut satırı bilgisayarda yönetici erişimi gerektiriyorsa, görev dizisini çalıştıran tüm bilgisayarlarda yalnızca bu hesap için yerel bir yönetici hesabı oluşturmayı göz önünde bulundurun. Artık ihtiyacınız kalmadıkça hesabı silin.
Configuration Manager SQL Server'de kullandığı kullanıcı nesneleri
Configuration Manager SQL'de otomatik olarak aşağıdaki kullanıcı nesnelerini oluşturur ve korur. Bu nesneler Configuration Manager veritabanında Güvenlik/Kullanıcılar altında bulunur.
Önemli
Bu nesnelerin değiştirilmesi veya kaldırılması, Configuration Manager ortamında önemli sorunlara neden olabilir. Bu nesnelerde değişiklik yapmamanızı öneririz.
smsdbuser_ReadOnly
Bu nesne, sorguları salt okunur bağlam altında çalıştırmak için kullanılır. Bu nesne çeşitli saklı yordamlarla kullanılır.
smsdbuser_ReadWrite
Bu nesne, dinamik SQL deyimleri için izinler sağlamak için kullanılır.
smsdbuser_ReportSchema
Bu nesne SQL Server Raporlama Yürütmelerini çalıştırmak için kullanılır. Bu işlevle aşağıdaki saklı yordam kullanılır: spSRExecQuery.
Configuration Manager SQL'de kullandığı veritabanı rolleri
Configuration Manager SQL'de otomatik olarak aşağıdaki rol nesnelerini oluşturur ve korur. Bu roller belirli saklı yordamlara, tablolara, görünümlere ve işlevlere erişim sağlar. Bu roller Configuration Manager veritabanına veri alır veya ekler. Bu nesneler Configuration Manager veritabanında Güvenlik/Roller/Veritabanı Rolleri altında bulunur.
Önemli
Bu nesnelerin değiştirilmesi veya kaldırılması, Configuration Manager ortamında önemli sorunlara neden olabilir. Bu nesneleri değiştirmeyin. Aşağıdaki liste yalnızca bilgi amaçlıdır.
smsdbrole_AITool
Configuration Manager, Varlık Yönetim Bilgileri için toplu lisans bilgilerini içeri aktarmak için rol tabanlı erişim temelinde yönetici kullanıcı hesaplarına bu izni verir. Bu hesap Tam Yönetici, İşlem Yöneticisi veya Varlık Yöneticisi rolü ya da 'Varlık Yönetim Bilgilerini Yönetme' iznine sahip herhangi bir rol tarafından eklenebilir.
smsdbrole_AIUS
Configuration Manager Varlık Yönetim Bilgileri eşitleme noktası hesabı barındıran bilgisayar hesabına Varlık Yönetim Bilgileri proxy verilerini almak ve karşıya yükleme için bekleyen yapay zeka verilerini görüntülemek için erişim verir.
smsdbrole_CRP
Configuration Manager, sertifika imzalama ve yenileme için Basit Sertifika Kayıt Protokolü (SCEP) desteği için sertifika kayıt noktasını destekleyen site sisteminin bilgisayar hesabına izin verir.
smsdbrole_CRPPfx
Configuration Manager, imzalama ve yenileme için PFX desteği için yapılandırılan sertifika kayıt noktasını destekleyen site sisteminin bilgisayar hesabına izin verir.
smsdbrole_DMP
Configuration Manager, mobil cihazların ve Mac bilgisayarların bu yönetim noktasını kullanmasına izin ver seçeneğine sahip bir yönetim noktası için bilgisayar hesabına bu izni verir ve MDM'ye kayıtlı cihazlar için destek sağlama olanağı sunar.
smsdbrole_DmpConnector
Configuration Manager tanılama verilerini almak ve sağlamak, bulut hizmetlerini yönetmek ve hizmet güncelleştirmelerini almak için hizmet bağlantı noktasını barındıran bilgisayar hesabına bu izni verir.
smsdbrole_DViewAccess
Configuration Manager, çoğaltma bağlantısı özelliklerinde SQL Server dağıtılmış görünümler seçeneği belirlendiğinde CAS üzerindeki birincil site sunucularının bilgisayar hesabına bu izni verir.
smsdbrole_DWSS
Configuration Manager, veri ambarı rolünü barındıran bilgisayar hesabına bu izni verir.
smsdbrole_EnrollSvr
Configuration Manager, MDM aracılığıyla cihaz kaydına izin vermek için kayıt noktasını barındıran bilgisayar hesabına bu izni verir.
smsdbrole_extract
Tüm genişletilmiş şema görünümlerine erişim sağlar.
smsdbrole_HMSUser
Hiyerarşi yöneticisi hizmeti için. Configuration Manager, bu hesaba yük devretme durumu iletilerini yönetme ve hiyerarşi içindeki siteler arasında Aracı işlemleri SQL Server izinleri verir.
Not
smdbrole_WebPortal rolü varsayılan olarak bu rolün bir üyesidir.
smsdbrole_MCS
Configuration Manager, çok noktaya yayını destekleyen dağıtım noktasının bilgisayar hesabına bu izni verir.
smsdbrole_MP
Configuration Manager, Configuration Manager istemcileri için destek sağlamak üzere yönetim noktası rolünü barındıran bilgisayar hesabına bu izni verir.
smsdbrole_MPMBAM
Configuration Manager, bir ortam için BitLocker'ı yöneten yönetim noktasını barındıran bilgisayar hesabına bu izni verir.
smsdbrole_MPUserSvc
Configuration Manager, kullanıcı tabanlı uygulama isteklerini desteklemek için yönetim noktasını barındıran bilgisayar hesabına bu izni verir.
smsdbrole_siteprovider
Configuration Manager, SMS Sağlayıcısı rolünü barındıran bilgisayar hesabına bu izni verir.
smsdbrole_siteserver
Configuration Manager, birincil siteyi veya CAS'yi barındıran bilgisayar hesabına bu izni verir.
smsdbrole_SUP
Configuration Manager, üçüncü taraf güncelleştirmelerle çalışmak için yazılım güncelleştirme noktasını barındıran bilgisayar hesabına bu izni verir.
smsschm_users
Configuration Manager, Configuration Manager raporlama verilerini görüntülemek üzere SMS raporlama görünümlerine erişim izni vermek için raporlama hizmetleri noktası hesabı için kullanılan hesaba erişim verir. Veriler rol tabanlı erişim kullanımıyla daha da kısıtlanır.
Yükseltilmiş izinler
Configuration Manager bazı hesapların devam eden işlemler için yükseltilmiş izinlere sahip olmasını gerektirir. Örneğin, bkz. Birincil site yükleme önkoşulları. Aşağıdaki listede bu izinler ve bunların gerekli olmasının nedenleri özetlemektedir.
Birincil site sunucusunun ve merkezi yönetim site sunucusunun bilgisayar hesabı şunları gerektirir:
Tüm site sistem sunucularında Yerel Yönetici hakları. Bu izin, sistem hizmetlerini yönetmek, yüklemek ve kaldırmaktır. Site sunucusu, rol eklediğinizde veya kaldırdığınızda site sistemindeki yerel grupları da güncelleştirir.
Site veritabanı için SQL Server örneğine Sysadmin erişimi. Bu izin, site için SQL Server yapılandırmak ve yönetmektir. Configuration Manager SQL ile sıkı bir şekilde tümleştirildiğinde bu yalnızca bir veritabanı değildir.
Tam Yönetici rolündeki kullanıcı hesapları şunları gerektirir:
Tüm site sunucularında Yerel Yönetici hakları. Bu izin, sistem hizmetlerini, kayıt defteri anahtarlarını ve değerlerini ve WMI nesnelerini görüntülemek, düzenlemek, kaldırmak ve yüklemektir.
Site veritabanı için SQL Server örneğine Sysadmin erişimi. Bu izin, kurulum veya kurtarma sırasında veritabanını yüklemek ve güncelleştirmektir. Ayrıca SQL Server bakım ve işlemler için de gereklidir. Örneğin, istatistikleri yeniden dizinleme ve güncelleştirme.
Not
Bazı kuruluşlar sysadmin erişimini kaldırmayı ve yalnızca gerekli olduğunda vermeyi seçebilir. Bu davranış bazen "tam zamanında (JIT) erişim" olarak adlandırılır. Bu durumda, Tam Yönetici rolüne sahip kullanıcıların Configuration Manager veritabanında saklı yordamları okuma, güncelleştirme ve yürütme erişimine sahip olması gerekir. Bu izinler, tam sysadmin erişimi olmadan çoğu sorunu gidermelerine olanak sağlar.