Configuration Manager'da Kullanılan Hesaplar İçin Teknik Başvuru
Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager içinde kullanılan Windows grupları ve hesaplarını belirlemek, nasıl kullanıldıkları ve herhangi bir koşul için aşağıdaki bilgileri kullanın.
Configuration Manager'in Oluşturduğu ve Kullandığı Windows Grupları
Configuration Manager, aşağıdaki Windows gruplarını otomatik olarak oluşturur ve pek çok durumda otomatik olarak bulundurur:
Not
Configuration Manager, etki alanı olan bir bilgisayarda bir grup oluşturduğunda, grup bir yerel güvenlik grubudur. Bilgisayar bir etki alanı denetleyicisiyse, grup, etki alanındaki tüm etki alanı denetleyicileri arasında paylaşılan bir etki alanı yerel grubudur.
ConfigMgr_CollectedFilesAccess
Bu grup Configuration Manager tarafından, yazılım envanteri tarafından toplanan dosyaları görüntülemeye erişim vermek için kullanılır.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, birincil site sunucusunda oluşturulan yerel bir güvenlik grubudur. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
Üyelik |
Configuration Manager grup üyeliğini otomatik olarak yönetir. Üyelik, atanmış bir güvenlik rolünden Koleksiyon güvenliği sağlanabilir nesnesine Toplanan Dosyaları Görüntüleme izni verilen yönetici kullanıcıları içerir. |
İzinler |
Varsayılan ayar olarak, bu grubun, site sunucusunda şu klasör için Read izni vardır: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Bu grup, site veritabanı sunucusunda veya veritabanı çoğaltmasında System Center 2012 Configuration Manager tarafından oluşturulmuş yerel bir güvenlik grubudur ve şu anda kullanılmamaktadır. Bu grup, Configuration Manager tarafından gelecekte kullanım için ayrılmıştır.
ConfigMgr Uzaktan Denetim Kullanıcıları
Bu grup, Configuration Manager uzak araçları tarafından, her bir istemciye atanmış, izin verilen görüntüleyiciler listesinde yapılandırdığınız hesapları ve grupları depolamak için kullanılır.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
||
|---|---|---|---|
Tür ve konum |
Bu grup, istemci uzak araçları etkinleştiren ilkeyi aldığında Configuration Manager istemcisinde oluşturulan yerel bir güvenlik grubudur.
|
||
Üyelik |
Varsayılan olarak, bu grupta bir üye yoktur. İzin Verilen Görüntüleyiciler listesine kullanıcılar eklediğinizde, otomatik olarak bu gruba eklenirler.
Bir İzin Verilen Görüntüleyici olmaya ek olarak, bir yönetici kullanıcı Koleksiyon nesnesine Uzaktan Denetim iznine sahip olmalıdır. Bu izni, Uzak Araçlar İşleci güvenlik rolünü kullanarak atayabilirsiniz. |
||
İzinler |
Varsayılan olarak, bu grubun bilgisayardaki herhangi bir konuma izni yoktur ve yalnızca İzin Verilen Görüntüleyiciler listesini tutmak için kullanılır. |
.jpeg "System_CAPS_important")
ÖnemliSMS Yöneticileri
Bu grup, Configuration Manager tarafından SMS Sağlayıcısına WMI üzerinden erişim vermek üzere kullanılır. SMS Sağlayıcısına erişim, Configuration Manager konsolunda nesneleri görüntülemek ve değiştirmek için gereklidir.
Not
Bir yönetim kullanıcısının rol tabanlı yönetim yapılandırması, Configuration Manager konsolunu kullanırken hangi nesneleri görüntüleyebileceklerini ve yönetebileceklerini belirler.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, bir SMS Sağlayıcısına sahip her bir bilgisayarda oluşturulan yerel bir güvenlik grubudur. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
Üyelik |
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, bir hiyerarşideki ve site sunucusu bilgisayar hesabındaki her bir yönetici kullanıcı, bir sitedeki her bir SMS Sağlayıcısı bilgisayarında yer alan SMS Yöneticileri grubunun üyesidir. |
İzinler |
SMS Admins'e yönelik haklar ve izinler bir MMC ek bileşeni olan WMI Denetimi'nde ayarlanır. Varsayılan ayar olarak, SMS Admins grubuna Enable Account ve Remote Enable izinleri Root\SMS ad alanında verilir. Kimliği Doğrulanmış Kullanıcılara Execute Methods, Provider Write ve Enable Account verilir Not Bir uzak Configuration Manager konsolu kullanacak yönetici kullanıcılar için, hem site sunucusu bilgisayarında hem de SMS Sağlayıcısı bilgisayarında, Uzaktan Etkinleştirilen DCOM izinleri gerekir. Bu hakları doğrudan kullanıcı ya da gruplara vermek yerine, yönetimi basitleştirmek adına SMS yöneticilerine bu hakları vermek, en iyi uygulamadır. Daha fazla bilgi için Site ve Hiyerarşi Yapılandırmalarını Yönetme konusundaki Uzak Configuration Manager Konsolu Bağlantıları için DCOM İzinlerini Yapılandırma bölümüne bakın. |
SMS_SiteSystemToSiteServerConnection_MP_
Bu grup, site sunucusundan uzakta olan Configuration Manager yönetim noktaları tarafından, site veritabanına bağlanmak için kullanılır. Bu grup, site sunucusunda ve site veritabanındaki gelen kutusu klasörlerine bir yönetim noktası erişimi sağlar.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, bir SMS Sağlayıcısına sahip her bir bilgisayarda oluşturulan yerel bir güvenlik grubudur. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
Üyelik |
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, üyelik, site için bir yönetim noktasına sahip uzak bilgisayarların bilgisayar hesaplarını içerir. |
İzinler |
Varsayılan olarak, bu grubun site sunucusunda Read klasörüne Read & execute, List folder contents ve %path%\Microsoft Configuration Manager\inboxes izni vardır. Ek olarak, bu grubun, Write altındaki, yönetim noktasının istemci verileri yazdığı çeşitli alt klasörlerine ilave inboxes izni vardır. |
SMS_SiteSystemToSiteServerConnection_SMSProv_
Bu grup, site sunucusundan uzakta olan Configuration Manager SMS Sağlayıcısı bilgisayarları tarafından, site sunucusuna bağlanmak için kullanılır.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
Üyelik |
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, üyelik, site için bir SMS Sağlayıcısı yüklemiş her bir uzak bilgisayardan site sunucusuna bağlanmak için kullanılan etki alanı kullanıcı hesabı veya bilgisayar hesabını içerir. |
İzinler |
Varsayılan olarak, bu grubun site sunucusunda Read klasörüne Read & execute, List folder contents ve %path%\Microsoft Configuration Manager\inboxes izni vardır. Ayrıca bu grubun, ek olarak Write izni veya SMS Sağlayıcısı'nın erişilmesini gerektirdiği inboxes altındaki çeşitli alt klasörlere Yaz ve Değiştir izinleri vardır. Bu grubun ayrıca, %path%\Microsoft Configuration Manager\OSD\boot altındaki klasörler için Read, Read & execute, List folder contents, Yaz ve Değiştir izinleri ve site sunucusunda %path%\Microsoft Configuration Manager\OSD\Bin altındaki klasörler için de Oku izni vardır. |
SMS_SiteSystemToSiteServerConnection_Stat_
Bu grup, Configuration Manager uzak site sistemi bilgisayarlarında Dosya Gönderme Yöneticisi tarafından, site sunucusuna bağlanmak için kullanılır.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
Üyelik |
Configuration Manager grup üyeliğini otomatik olarak yönetir. Varsayılan olarak, üyelik, Dosya Gönderme Yöneticisi'ni çalıştıran her bir uzak site sistem bilgisayarından site sunucusuna bağlanmak için kullanılan etki alanı kullanıcı hesabı veya bilgisayar hesabını içerir. |
İzinler |
Varsayılan olarak, bu grubun site sunucusunda Read klasörüne ve o konum altındaki çeşitli alt klasörlere Read & execute, List folder contents ve %path%\Microsoft Configuration Manager\inboxes izni vardır. Ayrıca bu grubun, site sunucusundaki %path%\Microsoft Configuration Manager\inboxes\statmgr.box klasörüne Yaz ve Değiştir izinleri ek olarak vardır. |
SMS_SiteToSiteConnection_
Bu grup Configuration Manager tarafından, bir hiyerarşideki siteler arasında dosya tabanlı çoğaltmayı etkinleştirmek için kullanılır. Bu siteye doğrudan dosya aktaran her bir uzak site için, bu grup aşağıdaki hesapları içerir:
Hizmet paketi olmayan Configuration Manager sitelerinden, bir Site Adres Hesabı olarak yapılandırılan hesaplar
Configuration Manager SP1 ve sonraki sürümlerini çalıştıran sitelerden, Dosya Çoğaltma Hesabı olarak yapılandırılmış hesaplar
Not
Yalnızca Configuration Manager SP1 ile başlayarak, Dosya Çoğaltma Hesabı'nın yerini Site Adres Hesabı almaktadır.
Aşağıdaki tabloda, bu grup için ek ayrıntılar listelenir:
Ayrıntı |
Daha fazla bilgi |
|---|---|
Tür ve konum |
Bu grup, site sunucusunda oluşturulan yerel bir güvenlik grubudur. |
Üyelik |
Yeni bir siteyi başka bir sitenin altı olarak yüklediğinizde, Configuration Manager otomatik olarak, yeni sitenin bilgisayar hesabını ana site sunucusundaki gruba ve ana sitenin bilgisayar hesabını yeni site sunucusundaki gruba ekler. Dosya tabanlı aktarımlar için başka bir hesap belirtirseniz, o hesabı hedef site sunucusunda bu gruba ekleyin. Not Bir siteyi kaldırdığınızda, bu grup otomatik olarak kaldırılmaz ve elle silinmesi gerekir. |
İzinler |
Varsayılan olarak, bu grup %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive klasörüne tam denetime sahiptir. |
Configuration Manager'ın Kullandığı Hesaplar
Configuration Manager için aşağıdaki hesapları yapılandırabilirsiniz:
Active Directory Grup Bulma Hesabı
Active Directory Grup Bulma Hesabı, yerel, genel ve evrensel güvenlik gruplarını, bu gruplar içindeki üyelikleri ve dağıtım grupları içindeki üyelikleri, Active Directory Etki Alanı Hizmetleri'nde belirtilen konumlardan bulmak için kullanılır. Dağıtım grupları, grup kaynakları olarak bulunmaz.
Bu hesap, bulmayı çalıştıran site sunucusunun bilgisayar hesabı ya da bir Windows kullanıcı hesabı olabilir. Bulma için belirtilen Active Directory konumlarında Okuma erişim izni olmalıdır.
Active Directory Sistemi Bulma Hesabı
Active Directory Sistemi Bulma Hesabı, Active Directory Etki Alanı Hizmetleri'nde belirtilen konumlardan bilgisayarları bulmak için kullanılır.
Bu hesap, bulmayı çalıştıran site sunucusunun bilgisayar hesabı ya da bir Windows kullanıcı hesabı olabilir. Bulma için belirtilen Active Directory konumlarında Okuma erişim izni olmalıdır.
Active Directory Kullanıcı Bulma Hesabı
Active Directory Kullanıcı Bulma Hesabı, Active Directory Etki Alanı Hizmetleri'nde belirtilen konumlardan kullanıcı hesaplarını bulmak için kullanılır.
Bu hesap, bulmayı çalıştıran site sunucusunun bilgisayar hesabı ya da bir Windows kullanıcı hesabı olabilir. Bulma için belirtilen Active Directory konumlarında Okuma erişim izni olmalıdır.
Active Directory Orman Hesabı
Active Directory Orman Hesabı, Active Directory ormanlarından ağ altyapısını keşfetmek için ve ayrıca, merkezi yönetim siteleri ve birincil siteler tarafından site verilerini bir ormanın Active Directory Etki Alanı Hizmetleri'ne yayımlamak için kullanılır.
Not
İkincil siteler, Active Directory'e yayımlamak için daima ikincil site sunucusu bilgisayar hesabını kullanır.
Not
Active Directory Orman Hesabı'nın, güvenilir olmayan ormanları keşfetmek ve onlara yayımlamak için genel bir hesap olması gerekir. Site sunucusunun bilgisayar hesabını kullanmıyorsanız, yalnızca genel bir hesap seçebilirsiniz.
Bu hesabın, ağ altyapısını keşfetmek istediğiniz her bir Active Directory ormanına Okuma izinlerini bulunmalıdır.
Bu hesabın, site verilerini yayımlamak istediğiniz Sistem Yönetimi kapsayıcısına ve Active Directory ormanındaki alt nesnelerinin tümüne Tam Denetim izinleri bulunmalıdır.
AMT Sağlama ve Bulma Hesabı
AMT Sağlama ve Bulma Hesabı, işlevsel olarak AMT Uzak Yönetici Hesabı'na eşdeğerdir ve Intel AMT tabanlı bilgisayarların Yönetim Motoru BIOS uzantısında (MEBx) bulunur. Bu hesap, bant dışı yönetim özeliğini kullanarak AMT'nin bazı ağ arabirimi özelliklerini yönetmek için, bant dışı hizmet noktası rolünü çalıştıran sunucu tarafından kullanılır.
Configuration Manager içinde bir AMT Sağlama ve Bulma Hesabı belirtirseniz, AMT tabanlı bilgisayarlarda BIOS uzantılarında belirtilen AMT Uzak Yönetici Hesabı adı ve parolasıyla aynı olmalıdır.
Not
Bir AMT Sağlama ve Bulma Hesabı belirtip belirtmeme hakkında daha fazla bilgi için, 5. Adım: Bant dışı yönetim bileşeni dışı yapılandırma kılavuzunda Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konusundaki Varlıklar ve uyum System Center 2012 Configuration Manager'da bölümüne bakın.
Hesap, AMT tabanlı bilgisayarın Yönetim Motoru BIOS uzantılarında depolanır ve Windows'ta herhangi bir hesaba karşılık gelmez.
AMT Sağlama Kaldırma Hesabı
AMT Sağlama Kaldırma Hesabı, siteyi kurtarmanız gerekiyorsa, AMT sağlama bilgilerini kaldırabilir. Bunu, bir Configuration Manager istemcisi yeniden atandığında ve AMT sağlama bilgileri eski sitede bilgisayardan kaldırılmadığında da kullanabilirsiniz.
AMT sağlama bilgilerini, AMT Sağlama Kaldırma Hesabı'nı kullanarak başarılı bir şekilde kaldırmak için, aşağıdakilerin tümü doğru olmalıdır:
AMT Sağlama Kaldırma Hesabı, bant dışı yönetim bileşeni özeliklerinde yapılandırılmış olmalıdır.
AMT Sağlama Kaldırma Hesabı için yapılandırılmış hesap, AMT tabanlı bilgisayar sağlandığında veya güncelleştirildiğinde bant dışı yönetim bileşeni özelliklerinde bir AMT Kullanıcı Hesabı olarak yapılandırılmış olmalıdır.
AMT Sağlama Kaldırma Hesabı için yapılandırılan hesabın, bant dışı hizmet noktası bilgisayarında yerel Yöneticiler grubunun bir üyesi olması gerekir.
AMT denetim günlüğü etkinleştirilmemiş olmalıdır.
Bu bir Windows kullanıcı hesabı olduğundan, süresi dolmayan güçlü bir parolası olan bir hesap belirtin.
AMT Uzak Yönetici Hesabı
AMT Uzak Yönetici Hesabı, Intel AMT tabanlı bilgisayarların Yönetim Motoru BIOS uzantısındaki (MEBx), bant dışı hizmet noktası rolünü çalıştıran sunucu tarafından Configuration Manager içinde AMT'nin bazı ağ arabirimi özelliklerini bant dışı yönetim özelliğini kullanarak yönetmek için kullanılan hesaptır.
Configuration Manager, AMT için sağladığı bilgisayarlar için uzak yönetici hesabı parolasını otomatik olarak ayarlar ve ardından bu, AMT bellenimine sonraki kimliği doğrulanmış erişim için kullanılır. Bu hesap işlevsel olarak Configuration Manager AMT Sağlama ve Bulma Hesabına eşdeğerdir.
Hesap, AMT tabanlı bilgisayarın Yönetim Motoru BIOS uzantılarında depolanır ve Windows'ta herhangi bir hesaba karşılık gelmez.
AMT Kullanıcı Hesapları
AMT Kullanıcı Hesapları, hangi Windows kullanıcıları veya gruplarının Bant Dışı Yönetim konsolunda yönetim işlevlerini çalıştırabileceğini denetler.
AMT Kullanıcı Hesaplarının yapılandırılması, AMT belleniminde bir erişim denetimi listesinin (ACL) eşdeğerini oluşturur. Oturum açmış kullanıcı, Bant Dışı Yönetim konsolunu çalıştırmayı denediğinde, AMT, hesabın kimliğini doğrulamak için Kerberos kullanır ve ardından AMT yönetim işlevlerini çalıştırmak üzere erişimi doğrular veya reddeder.
AMT tabanlı bilgisayarları sağlamadan önce AMT Kullanıcı Hesaplarını yapılandırın. AMT Kullanıcı Hesaplarını, bilgisayarlar AMT için sağlandıktan sonra yapılandırırsanız, yeni ayarlarla yeniden yapılandırılabilmeleri adına bu bilgisayarlar için AMT belleğini el ile güncelleştirmeniz gerekir.
AMT Kullanıcı Hesapları Kerberos kimlik doğrulaması kullandığından, kullanıcı hesapları ve güvenlik grupları bir Active Directory etki alanında var olmalıdır.
Varlık Yönetim Bilgisi Eşitleme Noktası Proxy Sunucusu Hesabı
Varlık Yönetim Bilgileri Eşitleme Noktası Proxy Sunucusu Hesabı, Varlık Yönetim Bilgileri eşitleme noktası tarafından, kimlik doğrulamalı erişim gerektiren bir proxy sunucusu veya güvenlik duvarı üzerinden İnternete erişmek için kullanılır.
.jpeg "System_CAPS_security") Güvenlik Not |
|---|
Gerekli proxy sunucusu veya güvenlik duvarı için olabilecek en az sayıda izne sahip bir hesap belirtin. |
Sertifika Kayıt Noktası Hesabı
Sertifika Kayıt Noktası Hesabı, sertifika kayıt noktasını Configuration Manager veritabanına bağlar. Varsayılan olarak, sertifika kayıt noktası sunucusunun bilgisayar hesabı kullanılır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Sertifika kayıt noktası, site sunucusundan, güvenilir olmayan bir etki alanında olduğunda, bir kullanıcı hesabı belirtmeniz gerekir. Bu hesap, veritabanına yalnızca Okuma erişimi gerektirir, çünkü yazma işlemleri durum ileti sistemi tarafından işlenir.
İşletim Sistemi Görüntüsü Yakalama Hesabı
İşletim Sistemi Görüntüsü Yakalama Hesabı, Configuration Manager tarafından, işletim sistemlerini dağıttığınızda yakalanan görüntülerin depolandığı klasöre erişmek için kullanılır. Bir görev dizisine İşletim Sistemi Görüntüsü Yakala adımını eklediğinizde bu görev gereklidir.
Hesabın, yakalanan görüntünün depolandığı ağ paylaşımında Okuma ve Yazma izinlerinin olması gerekir.
Windows'ta hesap parolası değiştirildiyse, görev dizisini yeni parolayla güncelleştirmeniz gerekir.Configuration Manager istemcisi, istemci ilkesini daha sonra indirdiğinde yeni parolayı alır.
Bu hesabı kullanırsanız, gerekli ağ kaynaklarına erişmek için en az izinli bir etki alanı kullanıcı hesabı oluşturabilir ve bunu tüm görev sırası hesapları için kullanabilirsiniz.
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma izinleri atamayın. Bu hesap için Ağ Erişimi hesabı kullanmayın. |
İstemci Anında Yükleme Hesabı
İstemci Anında Yükleme Hesabı, istemcileri istemci anında yükleme kullanarak dağıtırsanız, Configuration Manager istemci yazılımını yüklemek ve bilgisayarlara bağlanmak için kullanılır. Bu hesap belirtilmediğinde, istemci yazılımını yüklemeyi denemek için site sunucusu hesabı kullanılır.
Bu hesabın, Configuration Manager istemci yazılımının yükleneceği bilgisayarlarda yerel Yöneticiler grubunun bir üyesi olması gerekir. Bu hesap, Etki Alanı Yönetici hakları gerektirmez.
Bir veya daha fazla İstemci Anında Yükleme Hesabı belirtebilirsiniz, Configuration Manager, bunları sırayla, biri başarılı olana kadar dener.
.jpeg "System_CAPS_tip") İpucu |
|---|
Büyük Active Directory dağıtımlarında hesap güncelleştirmelerini daha etkin biçimde koordine etmek için, farklı adlı yeni bir hesap oluşturun ve ardından yeni hesabı Configuration Manager içindeki İstemci Anında Yükleme Hesapları listesine ekleyin. Active Directory Etki Alanı hizmetlerinin yeni hesabı çoğaltması için yeterli zaman tanıyın ve ardından eski hesabı Configuration Manager ve Active Directory Etki Alanı Hizmetleri'nden kaldırın. |
| Güvenlik Not |
|---|
Bu hesaba, yerel olarak oturum açma hakkı vermeyin. |
Kayıt Noktası Bağlantı Hesabı
Kayıt Noktası Bağlantı Hesabı, kayıt noktasını Configuration Manager sitesi veritabanına bağlar. Varsayılan olarak, kayıt noktasının bilgisayar hesabı kullanılır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Kayıt noktası, site sunucusundan, güvenilir olmayan bir etki alanında olduğunda, bir kullanıcı hesabı belirtmeniz gerekir. Bu hesap, site veritabanına erişmek için Okuma ve Yazma erişimi gerektirir.
Exchange Server Bağlantı Hesabı
Exchange Server Bağlantı Hesabı, site sunucusunu, Exchange Server'a bağlanan mobil aygıtları bulmak ve yönetmek için, belirtilen Exchange Server'a bağlar. Bu hesap, Exchange Server bilgisayarına gerekli izinleri sağlayan Exchange PowerShell cmdlets gerektirir. cmdlets hakkında daha fazla bilgi edinmek için, bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme.
Exchange Server Bağlayıcısı Proxy Sunucusu Hesabı
Exchange Server Bağlayıcısı Proxy Sunucusu Hesabı, Exchange Server bağlayıcısı tarafından, kimlik doğrulamalı erişim gerektiren bir proxy sunucusu veya güvenlik duvarı üzerinden İnternete erişmek için kullanılır.
| Güvenlik Not |
|---|
Gerekli proxy sunucusu veya güvenlik duvarı için olabilecek en az sayıda izne sahip bir hesap belirtin. |
Uç Nokta Koruma SMTP Sunucusu Bağlantı Hesabı
Hizmet paketi olmayan Configuration Manager için: Uç Nokta Koruma SMTP Sunucusu Bağlantı Hesabı, site sunucusu tarafından, SMTP sunucusu kimlik doğrulamalı erişim gerektirdiğinde, Uç Nokta Koruma için e-posta uyarıları göndermek üzere kullanılır.
| Güvenlik Not |
|---|
E-posta göndermek için olabilecek en az izine sahip bir hesap belirtin. |
Sistem Durumu Başvurusu Yayımlama Hesabı
Sistem Durumu Başvurusu Yayımlama Hesabı, Configuration Manager için Ağ Erişim Koruması (NAP) sistem durumu başvurusunu Active Directory Etki Alanı Hizmetleri'ne yayımlamak için kullanılır.
Bir hesap yapılandırmazsanız, Configuration Manager, sistem durumu başvurularını yayımlamak için site sunucusu bilgisayarını kullanmayı dener.
Bu eylem, sistem durumu başvurusunu depolayan Active Directory ormanına Okuma, Yazma ve Oluşturma izinleri gerektirir.
Hesabı, sistem durumu başvurularını depolamak üzere tasarlanmış ormanda oluşturun. Bu hesaba, olabilecek en az izini atayın ve yalnızca Okuma izinleri gerektiren, Sistem Durumu Başvuru Sorgulama Hesabı için belirtilen hesabın aynısını kullanmayın,
Sistem Durumu Başvurusu Sorgulama Hesabı
Sağlık Durumu Başvurusu Sorgulama Hesabı, Configuration Manager için Ağ Erişim Koruması (NAP) sistem durumu başvurusunu Active Directory Etki Alanı Hizmetlerinden almak için kullanılır.
Bir hesap yapılandırmazsanız, Configuration Manager, sistem durumu başvurularını almak için site sunucusu bilgisayarını kullanmayı dener.
Bu hesap, Genel Katalog'daki Configuration Manager Sistem Yönetimi kapsayıcısına Oku izinleri gerektirir.
Hesabı, sistem durumu başvurularını depolamak üzere tasarlanmış ormanda oluşturun. Aynı hesabı, daha fazla ayrıcalık gerektiren Sistem Durumu Başvurusu Yayımlama Hesabı için kullanmayın.
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma hakları vermeyin. |
Yönetim Noktası Bağlantı Hesabı
Yönetim Noktası Bağlantı Hesabı, yönetim noktasını, istemciler için bilgi gönderip alabilmesi adına Configuration Manager sitesi veritabanına bağlamak için kullanılır. Varsayılan olarak, yönetim noktasının bilgisayar hesabı kullanılır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Yönetim noktası, site sunucusundan, güvenilir olmayan bir etki alanında olduğunda, bir kullanıcı hesabı belirtmeniz gerekir.
Hesabı, Microsoft SQL Server çalıştıran bilgisayarda düşük haklı yerel bir hesap olarak oluşturun.
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma hakları vermeyin. |
MEBx Hesabı
MEBx Hesabı, Intel AMT tabanlı bilgisayarlarda Yönetim Motoru BIOS uzantısındaki (MEBx) hesaptır ve AMT tabanlı bilgisayarlarda AMT bellenimine ilk kimlik doğrulamalı erişim için kullanılır.
MEBx Hesabı adı admin'dir ve varsayılan olarak parola admin'dir. Üreticiniz özel bir parola sağlayabilir veya seçtiğiniz parolayı AMT'de belirtmiş olabilirsiniz. MEBx parolası, admin harici bir değer olarak ayarlanırsa, bir AMT Sağlama ve Bulma Hesabı yapılandırmanız gerekir. Daha fazla bilgi için 5. Adım: Bant dışı yönetim bileşeni dışı yapılandırma konusundaki Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için bölümüne bakın.
Hesap, AMT tabanlı bilgisayarın Yönetim Motoru BIOS uzantılarında depolanır. Bu hesap, Windows'ta herhangi bir hesaba karşılık gelmez.
Varsayılan MEBx parolası, Configuration Manager, bilgisayarı AMT için sağlamadan önce değiştirilmezse, AMT sağlama işlemi sırasında, Configuration Manager, yapılandırdığınız parolayı ayarlar.
Çok Noktaya Yayın Bağlantı Hesabı
Çok Noktaya Yayın Bağlantı Hesabı, çok noktaya yayın için yapılandırılan dağıtım noktaları tarafından, site veritabanından bilgileri okumak üzere kullanılır. Varsayılan olarak, dağıtım noktasının bilgisayar hesabı kullanılır, ancak bunun yerine bir kullanıcı hesabı yapılandırabilirsiniz. Site veritabanı güvenilir olmayan bir ormanda olduğunda, bir kullanıcı hesabı belirtmeniz gerekir. Örneğin, veri merkezinizde, site sunucusu ve site veritabanı haricinde bir ormandaki bir çevre ağı bulunuyorsa, bu hesabı site veritabanından çok noktaya yayın bilgilerini okumak için kullanabilirsiniz.
Bu hesabı oluşturursanız, Microsoft SQL Server çalıştıran bilgisayarda düşük haklı yerel bir hesap olarak oluşturun.
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma hakları vermeyin. |
Ağ Erişim Hesabı
Ağ Erişim Hesabı, dağıtım noktalarındaki içeriğe erişmek için yerel bilgisayar hesaplarını kullanamadıklarında istemci bilgisayarı tarafından kullanılır. Örneğin bu, güvenilir olmayan etki alanlarından bilgisayarlar ve çalışma grubu istemcileri için geçerlidir. Bu hesap, işletim sistemini yükleyen bilgisayarda henüz etki alanında bir bilgisayar olmadığında, işletim sistemi dağıtımı sırasında da kullanılabilir.
Not
Ağ Erişim Hesabı, programları çalıştırmak, yazılım güncelleştirmeleri yüklemek veya görev dizileri çalıştırmak için güvenlik bağlamı olarak hiçbir zaman kullanılmaz; yalnızca ağda kaynakları değerlendirmek için kullanılır.
Bu hesaba, istemcinin yazılıma erişim gerektirdiği içeriğe uygun en az izini verin. Hesabın, paket içeriğini tutan dağıtım noktasında veya diğer sunucuda Bu bilgisayara ağdan erişim hakkında sahip olması gerekir.System Center 2012 R2 Configuration Manager öncesinde, site başına yalnızca bir Ağ Erişim Hesabı oluşturabilirdiniz ve bu hesap, gerektiği tüm paketler ve görev dizileri için işlevsel olmalıydı.System Center 2012 R2 Configuration Manager ile başlayarak, site başına birden çok Ağ Erişim Hesabı oluşturabilirsiniz.
.jpeg "System_CAPS_warning"){kind=icon} Uyarı |
|---|
Configuration Manager, içeriği yüklemek için computername$ hesabını kullanmaya çalıştığında ve başarısız olduğunda, Ağ Erişim Hesabını, önceden deneyip başarısız olmasına rağmen otomatik olarak yeniden dener. |
Hesabı, kaynaklara gerekli erişimi sağlayacak herhangi bir etki alanında oluşturun. Ağ Erişim Hesabı daima bir etki alanı adı içermelidir. Bu hesap için doğrudan geçiş güvenliği desteklenmez. Birden çok etki alanında dağıtım noktalarınız varsa, hesabı güvenilir bir etki alanında oluşturun.
| İpucu |
|---|
Hesap kilitlenmelerini önlemek için, mevcut Ağ Erişim Hesabında parolayı değiştirmeyin. Bunun yerine, yeni bir hesap oluşturun ve yeni hesabı Configuration Manager içinde yapılandırın. Tüm istemcilerin yeni hesap ayrıntılarını alması için yeterli süre geçtiğinde, eski hesabı ağın paylaşılan klasörlerinden kaldırın ve hesabı silin. |
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma hakları vermeyin Bu hesaba bilgisayarları etki alanına birleştirme hakkı vermeyin. Görev sırası sırasında etki alanına bilgisayar katmanız gerekiyorsa, Görev Sırası Düzenleyici Etki Alanına Katılma Hesabı'nı kullanın. |
Yalnızca System Center 2012 R2 Configuration Manager ve sonraki sürümleri için: Artık bir site için birden çok ağ erişim hesabı belirtebilirsiniz. İstemciler içeriğe erişmeye çalıştığında ve yerel bilgisayar hesaplarını kullanamadığında, önce, başarıyla bağlanmış son ağ erişim hesabını kullanırlar.Configuration Manager, on adede kadar ağ erişim hesabı eklenmesini destekler.
Paket Erişim Hesabı
Paket Erişim Hesapları, dağıtım noktalarında bir paket klasörüne erişebilecek kullanıcıları ve kullanıcı gruplarını belirtmek üzere NTFS izinleri ayarlamanızı sağlar. Varsayılan olarak Configuration Manager, yalnızca genel erişim hesapları Kullanıcılar ve Yöneticiler'e erişim verir ancak ek Windows hesapları veya grupları kullanarak istemci bilgisayarları için erişimi denetleyebilirsiniz. Mobil aygıtlar daima paket içeriğini anonim olarak alır, bu yüzden Paket İçerik Hesapları mobil aygıt tarafından kullanılmaz.
Varsayılan olarak, Configuration Manager, bir dağıtım noktasında paket paylaşımını oluşturduğunda, Kullanıcılar grubuna Okuma erişimi ve yerel Yöneticiler grubuna Tam Denetim erişimi verir. Gerekli gerçek izinler, pakete bağlıdır. Çalışma gruplarında veya güvenilir olmayan ormanlarda istemcileriniz varsa, bu istemciler paket içeriğine erişmek için Ağ Erişim Hesabı'nı kullanır. Ağ Erişim Hesabı'nın, tanımlı Paket Erişim Hesapları'nı kullanarak pakete izinleri bulunduğundan emin olun.
Bir etki alanındaki, dağıtım noktalarına erişebilen hesapları kullanın. Paket oluşturulduktan sonra hesabı oluşturur veya değiştirirseniz, paketi yeniden dağıtmanız gerekir. Paketin güncelleştirilmesi, paketteki NTFS izinlerini değiştirmez.
Ağ Erişim Hesabı'nı bir Paket erişim Hesabı olarak eklemeniz gerekmez, çünkü Kullanıcılar grubunun üyeliği onu otomatik olarak ekler. Paket Erişim Hesabı'nı yalnızca Ağ Erişim Hesabı'na kısıtlamak, istemcilerin pakete erişimini önlemez.
Raporlama Hizmetleri Noktası Hesabı
Raporlama Hizmetleri Noktası Hesabı, SQL Server Raporlama Hizmetleri tarafından, site veritabanından Configuration Manager raporları için verileri almak üzere kullanılır. Belirttiğiniz Windows kullanıcı hesabı ve parolası, SQL Server Raporlama Hizmetleri veritabanında şifrelenir ve depolanır.
Uzak Araçlar İzin Verilen Görüntüleyici Hesapları
Uzaktan denetim için İzin Verilen Görüntüleyiciler olarak belirttiğiniz hesaplar, istemcilerde uzak araçlar işlevselliğini kullanmasına izin verilen kullanıcıların bir listesidir.
Site Sistemi Kurulum Hesabı
Site Sistem Yükleme Hesabı, site sunucusu tarafından, site sistemlerini yüklemek, yeniden yüklemek, kaldırmak ve yapılandırmak için kullanılır. Site sistemini, bu site sistemine bağlantılar başlatmak için site sunucusunu gerektirecek şekilde yapılandırdığınızda, Configuration Manager da bu hesabı, site sistemi ve herhangi bir site sistemi rolü yüklendikten sonra site sistem bilgisayarından veri çekmek üzere kullanır. Her bir site sisteminin farklı bir Site Sistem Yükleme Hesabı bulunabilir, ancak o site sisteminde tüm site sistem rollerini yönetmek için yalnızca bir Site Sistem Yükleme Hesabı yapılandırabilirsiniz.
Bu hesap, yükleyecekleri ve yapılandıracakları site sistemlerinde yerel yönetim izinleri gerektirir. Ek olarak, bu hesabın, yükleyecekleri ve yapılandıracakları site sistemlerinde güvenlik ilkesinde Bu bilgisayara ağdan erişim'i bulunması gerekir.
| İpucu |
|---|
Birçok etki alanı denetleyiciniz varsa ve bu hesaplar, etki alanları üzerinde kullanılacaksa, site sistemini yapılandırmadan önce, hesapların çoğaltıldığını doğrulayın. Yönetilecek her bir site sisteminde bir yerel hesap belirttiğinizde, bu yapılandırma, etki alanı hesapları kullanmaktan daha güvenlidir, çünkü, hesap riskli olduğunda saldırganların verebileceği hasarı kısıtlar. Ancak, etki alanı hesaplarının yönetilmesi daha kolaydır, bu yüzden güvenlik ve etkili yönetim arasındaki dengeyi değerlendirin. |
SMTP Sunucusu Bağlantı Hesabı
System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için: SMTP Sunucusu Bağlantı Hesabı, site sunucusu tarafından, SMTP sunucusu kimlik doğrulamalı erişim gerektirdiğinde e-posta uyarıları göndermek üzere kullanılır.
| Güvenlik Not |
|---|
E-posta göndermek için olabilecek en az izine sahip bir hesap belirtin. |
Yazılım Güncelleştirme Noktası Bağlantı Hesabı
Yazılım Güncelleştirme Noktası Bağlantı Hesabı, site sunucusu tarafından, aşağıdaki iki yazılım güncelleştirmeleri hizmeti için kullanılır:
Ürün tanımları, sınıflandırmalar ve yukarı akış ayarları gibi ayarları yapılandıran WSUS Yapılandırma Yöneticisi.
Bir yukarı akış WSUS sunucusuna veya Microsoft Update'e eşitleme isteyen WSUS Eşitleme Yöneticisi.
Site Sistem Yükleme Hesabı, yazılım güncelleştirmeleri için bileşenleri yükleyebilir, ancak yazılım güncelleştirme noktasında yazılım güncelleştirmelerine özel işlevleri gerçekleştiremez. Yazılım güncelleştirme noktası güvenilir olmayan bir ormanda olduğundan site sunucusu bilgisayar hesabını bu işlev için kullanamıyorsanız, Site Sistem Yükleme Hesabı'na ek olarak bu hesabı belirtmeniz gerekir.
Bu hesabın, WSUS yüklü bilgisayarda bir yerel yönetici olması ve yerel WSUS Yöneticileri grubunun bir parçası olması gerekir.
Yazılım Güncelleştirme Noktası Proxy Sunucu Hesabı
Yazılım Güncelleştirme Noktası Proxy Sunucu Hesabı, bir proxy sunucusu veya kimliği doğrulanmış erişim gerektiren güvenlik duvarı ile Internet'e erişmek için yazılım güncelleştirmesi tarafından kullanılır.
| Güvenlik Not |
|---|
Gerekli proxy sunucusu veya güvenlik duvarı için olabilecek en az sayıda izne sahip bir hesap belirtin. |
Kaynak Site Hesabı
Kaynak Site Hesabı, kaynak sitenin SMS Sağlayıcısı'na erişmek için geçiş işlemi tarafından kullanılır. Geçiş işleri için veri toplamak üzere bu hesap, kaynak sitedeki site nesneleri için Okuma izinlerini gerektirir.
Configuration Manager 2007 dağıtım noktalarını veya System Center 2012 Configuration Manager dağıtım noktaları ile birlikte bulunan dağıtım noktaları olan ikincil siteleri yükseltiyorsanız bu hesabın, yükseltme sırasında dağıtım noktasını Configuration Manager 2007 sitesinden başarıyla kaldırması için Site sınıfına yönelik Silme izinlerinin de olması gerekir.
Not
Kaynak Site Hesabı ve Kaynak Site Veritabanı Hesabı, Configuration Manager konsolundaki Yönetim çalışma alanının Hesaplar düğümünde Geçiş Yöneticisi olarak tanımlanır.
Kaynak Site Veritabanı Hesabı
Kaynak Site Veritabanı Hesabı, kaynak siteye ait SQL Server veritabanına erişmek üzere geçiş işlemi tarafından kullanılır. Kaynak siteye ait SQL Server veritabanından veri toplamak üzere Kaynak Site Veritabanı Hesabı'nın kaynak site SQL Server veritabanı için Okuma ve Yürütme izinlerine sahip olması gerekir.
Not
System Center 2012 Configuration Manager bilgisayar hesabını kullanıyorsanız, aşağıdakilerin hepsinin bu hesap için doğru olduğundan emin olun:
-
Configuration Manager 2007 sitesinin bulunduğu etki alanındaki Distributed COM Users güvenlik grubunun bir üyesidir.
-
SMS Admins güvenlik grubunun bir üyesidir.
-
Tüm Configuration Manager 2007 nesneleri için Okuma izni vardır.
Not
Kaynak Site Hesabı ve Kaynak Site Veritabanı Hesabı, Configuration Manager konsolundaki Yönetim çalışma alanının Hesaplar düğümünde Geçiş Yöneticisi olarak tanımlanır.
Görev Sırası Düzenleyicisi Etki Alanı Katılma Hesabı
Görev Sırası Düzenleyicisi Etki Alanı Katılma Hesabı, yeni görüntülenen bilgisayarı bir etki alanına eklemek için bir görev sırasında kullanılır. Bu hesap, Etki Alanına veya Çalışma Grubuna Katıl adımını bir görev sırasına eklediğiniz ve daha sonra Etki alanına katıl'ı seçtiğiniz durumlarda gereklidir. Bu hesap aynı zamanda Ağ Ayarlarını Uygula adımını görev sırasına eklediğiniz durumlarda da yapılandırılabilir, ancak gerekli değildir.
Bu hesap, bilgisayarın katılacağı etki alanında Etki Alanına Katılma hakkını gerektirir.
| İpucu |
|---|
Görev sıralarınız için bu hesaba ihtiyacınız olursa, gereken ağ kaynaklarına erişmek ve tüm görev sırası hesapları için kullanmak üzere en az izinlerle bir etki alanı kullanıcı hesabı oluşturabilirsiniz. |
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma izinleri atamayın. Bu hesap için Ağ Erişim Hesabı kullanmayın. |
Görev Sırası Düzenleyicisi Ağ Klasörü Bağlantı Hesabı
Görev Sırası Düzenleyicisi Ağ Klasörü Bağlantı Hesabı, ağda bulunan paylaşılan bir klasöre bağlanmak için bir görev sırası tarafından kullanılır. Bu hesap, Ağ Klasörüne Bağlan adımını bir görev sırasına eklediğiniz durumlarda gereklidir.
Bu hesap, belirtilen paylaşılan klasöre erişmek için izinler gerektirir ve bir kullanıcı etki alanı hesabı olması gerekir.
| İpucu |
|---|
Görev sıralarınız için bu hesaba ihtiyacınız olursa, gereken ağ kaynaklarına erişmek ve tüm görev sırası hesapları için kullanmak üzere en az izinlerle bir etki alanı kullanıcı hesabı oluşturabilirsiniz. |
| Güvenlik Not |
|---|
Bu hesaba etkileşimli oturum açma izinleri atamayın. Bu hesap için Ağ Erişim Hesabı kullanmayın. |
Görev Sırası Farklı Çalıştır Hesabı
Görev Sırası Farklı Çalıştır Hesabı, görev sıralarında komut satırları çalıştırmak için kullanılır ve yerel sistem hesabı dışında kimlik bilgileri kullanır. Bu hesap, Komut Satırını Çalıştır adımını bir görev sırasına eklediğiniz, ancak görev sırasının yönetilen bilgisayarda Yerel Sistem hesabı izinleriyle çalışmasını istemediğiniz durumlarda gereklidir.
Görev sırasında belirtilen komut satırını çalıştırmak için gereken en az izinlere sahip olmak üzere hesabı yapılandırın. Hesap etkileşimli oturum açma haklarını ve genellikle yazılım yükleme ve ağ kaynaklarına erişme özelliklerini gerektirir.
| Güvenlik Not |
|---|
Bu hesap için Ağ Erişimi hesabı kullanmayın. Hesabı asla etki alanı yöneticisi yapmayın. Bu hesap için asla dolaşım profilleri yapılandırmayın. Görev sırası çalıştırıldığında hesap için dolaşım profilini indirir ve bu durum profili yerel bilgisayarda erişime açık halde bırakır. Hesabın kapsamını sınırlandırın. Örneğin, hesaplardan birinin güvenliği ihlal edildiğinde yalnızca o hesabın erişimi olan istemci bilgisayarlarının güvenliğinin ihlal edilmesi amacıyla her bir görev sırası için farklı Görev Sırası Farklı Çalıştır Hesapları oluşturun. Komut satırı bilgisayarda yönetici erişimi gerektirirse, görev sırasını çalıştıracak olan bilgisayarda yalnızca Görev Sırası Farklı Çalıştır Hesabı için bir yerel yönetici hesabı oluşturmayı ve artık gerekli olmadığında hesabı silmeyi düşünün. |