Sdílet prostřednictvím


Účty používané v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Pomocí následujících informací identifikujte skupiny, účty a SQL Server objekty windows, které se používají v Configuration Manager, způsob jejich použití a případné požadavky.

Důležité

Pokud zadáváte účet ve vzdálené doméně nebo doménové struktuře, nezapomeňte před uživatelským jménem zadat plně kvalifikovaný název domény, a ne jenom název domény pro rozhraní NetBIOS. Zadejte například Corp.Contoso.com\Uživatelské_jméno místo pouze Corp\UserName. To Configuration Manager umožňuje používat Protokol Kerberos, když se účet používá k ověření ve vzdáleném systému lokality. Použití plně kvalifikovaného názvu domény často řeší chyby ověřování způsobené nedávnými změnami posílení zabezpečení protokolu NTLM v měsíčních aktualizacích Windows.

Skupiny systému Windows, které Configuration Manager vytvoří a používají

Configuration Manager automaticky vytvoří a v mnoha případech automaticky udržuje následující skupiny Windows:

Poznámka

Když Configuration Manager vytvoří skupinu na počítači, který je členem domény, je skupina místní skupinou zabezpečení. Pokud je počítač řadičem domény, je skupina místní doménovou skupinou. Tento typ skupiny se sdílí mezi všemi řadiči domény v doméně.

Manager_CollectedFilesAccess konfigurace

Configuration Manager tuto skupinu používá k udělení přístupu k zobrazení souborů shromážděných inventářem softwaru.

Další informace najdete v tématu Úvod do inventáře softwaru.

Typ a umístění pro CollectedFilesAccess

Tato skupina je místní skupina zabezpečení vytvořená na serveru primární lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro CollectedFilesAccess

Configuration Manager automaticky spravuje členství ve skupině. Členství zahrnuje správce, kteří mají udělené oprávnění Zobrazit shromážděné soubory k zabezpečitelnému objektu kolekce z přiřazené role zabezpečení.

Oprávnění pro CollectedFilesAccess

Ve výchozím nastavení má tato skupina oprávnění ke čtení do následující složky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

konfigurační Manager_DViewAccess

Tato skupina je místní skupina zabezpečení, která Configuration Manager vytvoří na serveru databáze lokality nebo serveru repliky databáze pro podřízenou primární lokalitu. Lokalita ji vytvoří při použití distribuovaných zobrazení pro replikaci databáze mezi lokalitami v hierarchii. Obsahuje server lokality a účty počítačů SQL Server lokality centrální správy.

Další informace najdete v tématu Přenosy dat mezi lokalitami.

uživatelé vzdáleného řízení Configuration Manager

Configuration Manager nástroje Remote Tools tuto skupinu používají k ukládání účtů a skupin, které jste nastavili v seznamu Povolených prohlížečů. Lokalita přiřadí tento seznam každému klientovi.

Další informace najdete v tématu Úvod do vzdáleného řízení.

Typ a umístění pro uživatele vzdáleného řízení

Tato skupina je místní skupina zabezpečení vytvořená v klientovi Configuration Manager, když klient obdrží zásadu, která umožňuje vzdálené nástroje.

Po zakázání vzdálených nástrojů pro klienta se tato skupina automaticky neodebere. Po zakázání vzdálených nástrojů ji ručně odstraňte.

Členství pro uživatele vzdáleného řízení

Ve výchozím nastavení nejsou v této skupině žádní členové. Když přidáte uživatele do seznamu Povolený prohlížeč , automaticky se přidají do této skupiny.

Místo přidávání uživatelů nebo skupin přímo do této skupiny použijte seznam Povolených prohlížečů ke správě členství v této skupině.

Kromě toho, že je povoleným prohlížečem, musí mít správce oprávnění vzdáleného řízení pro objekt Kolekce . Toto oprávnění přiřaďte pomocí role zabezpečení Operátor vzdálených nástrojů .

Oprávnění pro uživatele vzdáleného řízení

Ve výchozím nastavení tato skupina nemá oprávnění pro přístup k žádným umístěním v počítači. Používá se jenom k uložení seznamu Povolených prohlížečů .

Správci SMS

Configuration Manager tuto skupinu používá k udělení přístupu k poskytovateli serveru SMS prostřednictvím rozhraní WMI. K zobrazení a změně objektů v konzole Configuration Manager je nutný přístup k poskytovateli serveru SMS.

Poznámka

Konfigurace správy na základě rolí správce určuje, které objekty může zobrazit a spravovat při použití konzoly Configuration Manager.

Další informace najdete v tématu Plánování pro poskytovatele serveru SMS.

Typ a umístění pro správce SMS

Tato skupina je místní skupina zabezpečení vytvořená v každém počítači, který má poskytovatele serveru SMS.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro správce SMS

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení jsou každý administrativní uživatel v hierarchii a účet počítače serveru lokality členy skupiny Správci serveru SMS na každém počítači poskytovatele serveru SMS v lokalitě.

Oprávnění pro správce SMS

Práva a oprávnění pro skupinu Správci serveru SMS můžete zobrazit v modulu snap-in konzoly MMC Řízení rozhraní WMI . Ve výchozím nastavení má tato skupina v Root\SMS oboru názvů rozhraní WMI uděleno povolení účtu a vzdálené povolení. Ověření uživatelé mají metody Spuštění, Zápis zprostředkovatele a Povolení účtu.

Pokud používáte vzdálenou konzolu Configuration Manager, nakonfigurujte oprávnění DCOM pro vzdálenou aktivaci na počítači serveru lokality i u poskytovatele serveru SMS. Udělte tato práva skupině SMS Admins . Tato akce zjednodušuje správu namísto udělování těchto práv přímo uživatelům nebo skupinám. Další informace najdete v tématu Konfigurace oprávnění modelu DCOM pro vzdálené konzoly Configuration Manager.

<SMS_SiteSystemToSiteServerConnection_MP_kód lokality>

Body správy vzdálené od serveru lokality používají tuto skupinu pro připojení k databázi lokality. Tato skupina poskytuje přístup k bodům správy ke složkám doručené pošty na serveru lokality a k databázi lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_MP

Tato skupina je místní skupina zabezpečení vytvořená v každém počítači, který má poskytovatele serveru SMS.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účty počítačů vzdálených počítačů, které mají bod správy pro lokalitu.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_MP

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky k následující složce na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes. Tato skupina má také oprávnění k zápisu do podsložek pod doručenou schránkou, do kterých bod správy zapisuje data klienta.

<SMS_SiteSystemToSiteServerConnection_SMSProv_kód lokality>

Počítače vzdáleného poskytovatele serveru SMS používají tuto skupinu pro připojení k serveru lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_SMSProv

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účet počítače nebo účet uživatele domény. Tento účet používá k připojení k serveru lokality od každého vzdáleného poskytovatele serveru SMS.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_SMSProv

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky k následující složce na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes. Tato skupina má také oprávnění k zápisu a úpravám podsložek pod doručenou schránkou. Poskytovatel serveru SMS vyžaduje přístup k těmto složkám.

Tato skupina má také oprávnění ke čtení podsložek na serveru lokality níže C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Má také následující oprávnění k následujícím C:\Program Files\Microsoft Configuration Manager\OSD\bootpodsložkům:

  • Číst
  • Čtení & spuštění
  • Vypsat obsah složky
  • Psát
  • Upravit

<SMS_SiteSystemToSiteServerConnection_Stat_kód lokality>

Komponenta správce odesílání souborů na Configuration Manager vzdálených počítačích systému lokality používá tuto skupinu pro připojení k serveru lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_Stat

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účet počítače nebo uživatelský účet domény. Tento účet používá k připojení k serveru lokality z každého vzdáleného systému lokality, který spouští správce odesílání souborů.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_Stat

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky pro následující složku a její podsložky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes.

Tato skupina má také oprávnění k zápisu a úpravě následující složky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_kód lokality>

Configuration Manager tuto skupinu používá k povolení replikace na základě souborů mezi lokalitami v hierarchii. Pro každou vzdálenou lokalitu, která přímo přenáší soubory do této lokality, má tato skupina účty nastavené jako účet replikace souborů.

Typ a umístění pro SMS_SiteToSiteConnection

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Členství pro SMS_SiteToSiteConnection

Když nainstalujete novou lokalitu jako podřízenou jinou lokalitu, Configuration Manager automaticky přidá účet počítače nového serveru lokality do této skupiny na nadřazený server lokality. Configuration Manager také přidá účet počítače nadřazené lokality do skupiny na novém serveru lokality. Pokud zadáte jiný účet pro přenosy souborů, přidejte tento účet do této skupiny na cílovém serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Oprávnění pro SMS_SiteToSiteConnection

Ve výchozím nastavení má tato skupina úplnou kontrolu nad následující složkou: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Účty, které Configuration Manager používají

Pro Configuration Manager můžete nastavit následující účty.

Tip

Nepoužívejte znak procenta (%) v hesle pro účty, které zadáte v konzole Configuration Manager. Ověření účtu se nezdaří.

Účet zjišťování skupin služby Active Directory

Lokalita používá účet zjišťování skupiny služby Active Directory ke zjištění následujících objektů z umístění v Active Directory Domain Services, které zadáte:

  • Místní, globální a univerzální skupiny zabezpečení
  • Členství v těchto skupinách.
  • Členství v rámci distribučních skupin.
    • Distribuční skupiny se nezjišťuje jako prostředky skupiny.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování skupin služby Active Directory.

Účet zjišťování systému služby Active Directory

Lokalita používá účet zjišťování systému služby Active Directory ke zjišťování počítačů z umístění v Active Directory Domain Services, které zadáte.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování systému služby Active Directory.

Účet zjišťování uživatelů služby Active Directory

Web používá účet zjišťování uživatelů služby Active Directory ke zjišťování uživatelských účtů z umístění v Active Directory Domain Services, které zadáte.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování uživatelů služby Active Directory.

Účet doménové struktury služby Active Directory

Lokalita používá účet doménové struktury služby Active Directory ke zjišťování síťové infrastruktury z doménových struktur služby Active Directory. Lokality centrální správy a primární lokality ji také používají k publikování dat lokality do Active Directory Domain Services pro doménovou strukturu.

Poznámka

Sekundární lokality vždy používají účet počítače serveru sekundární lokality k publikování do služby Active Directory.

Pokud chcete zjistit a publikovat v nedůvěryhodných doménových strukturách, musí být účet doménové struktury služby Active Directory globálním účtem. Pokud nepoužíváte účet počítače serveru lokality, můžete vybrat pouze globální účet.

Tento účet musí mít oprávnění ke čtení pro každou doménovou strukturu služby Active Directory, ve které chcete zjistit síťovou infrastrukturu.

Tento účet musí mít oprávnění Úplné řízení ke kontejneru Správa systému a všem jeho podřízeným objektům v každé doménové struktuře služby Active Directory, do které chcete publikovat data lokality.

Další informace najdete v tématu Příprava služby Active Directory pro publikování webů.

Další informace najdete v tématu Zjišťování doménové struktury služby Active Directory.

Účet bodu registrace certifikátu

Upozornění

Od verze 2203 se bod registrace certifikátu už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

Bod registrace certifikátu používá účet bodu registrace certifikátu pro připojení k databázi Configuration Manager. Ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat uživatelský účet. Pokud je bod registrace certifikátu ze serveru lokality v nedůvěryhodné doméně, musíte zadat uživatelský účet. Tento účet vyžaduje pouze přístup pro čtení databáze lokality, protože systém stavových zpráv zpracovává úlohy zápisu.

Další informace najdete v tématu Úvod do profilů certifikátů.

Účet zachycení image operačního systému

Když zachytíte image operačního systému, Configuration Manager použije účet Capture OS image pro přístup ke složce, do které ukládáte zachycené image. Pokud do pořadí úkolů přidáte krok Zachytit image operačního systému, je tento účet povinný.

Účet musí mít ke sdílené síťové složce, do které ukládáte zachycené image, oprávnění ke čtení a zápisu .

Pokud změníte heslo účtu ve Windows, aktualizujte pořadí úloh novým heslem. Klient Configuration Manager obdrží nové heslo při příštím stažení zásad klienta.

Pokud potřebujete použít tento účet, vytvořte jeden uživatelský účet domény. Udělte mu minimální oprávnění pro přístup k požadovaným síťovým prostředkům a použijte je pro všechna pořadí úkolů zachycení.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Další informace najdete v tématu Vytvoření pořadí úkolů pro zachycení operačního systému.

Účet nabízené instalace klienta

Když nasazujete klienty pomocí metody klientské nabízené instalace, lokalita používá účet klientské nabízené instalace pro připojení k počítačům a instalaci Configuration Manager klientského softwaru. Pokud tento účet nezadáte, server lokality se pokusí použít svůj účet počítače.

Tento účet musí být členem místní skupiny Administrators na cílových klientských počítačích. Tento účet nevyžaduje práva Správa domény.

Můžete zadat více než jeden účet nabízené instalace klienta. Configuration Manager zkouší každou z nich, dokud se to nepodaří.

Tip

Pokud máte velké prostředí služby Active Directory a potřebujete tento účet změnit, pomocí následujícího postupu můžete tuto aktualizaci účtu efektivněji koordinovat:

  1. Vytvořte nový účet s jiným názvem.
  2. Přidejte nový účet do seznamu klientských účtů nabízené instalace v Configuration Manager.
  3. Počkejte dostatek času, aby Active Directory Domain Services replikovat nový účet.
  4. Potom odeberte starý účet ze Configuration Manager a Active Directory Domain Services.

Důležité

Pomocí doménových zásad nebo zásad místní skupiny přiřaďte uživateli Windows právo odepřít místní přihlášení. Jako člen skupiny Administrators bude mít tento účet právo přihlásit se místně, což není potřeba. Kvůli lepšímu zabezpečení výslovně odepřete právo na tento účet. Právo odepřít nahrazuje právo povolit.

Další informace najdete v tématu Klientská nabízená instalace.

Účet připojení bodu registrace

Bod registrace používá účet připojení bodu registrace k připojení k databázi Configuration Manager lokality. Ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat uživatelský účet. Pokud je bod registrace ze serveru lokality v nedůvěryhodné doméně, musíte zadat uživatelský účet. Tento účet vyžaduje přístup ke čtení a zápisu k databázi lokality.

Další informace najdete v tématu Instalace rolí systému lokality pro místní správu mobilních zařízení (MDM).

Exchange Server účet připojení

Server lokality používá Exchange Server účet připojení pro připojení k zadanému Exchange Server. Toto připojení používá k vyhledání a správě mobilních zařízení, která se připojují k Exchange Server. Tento účet vyžaduje rutiny Prostředí Exchange PowerShell, které poskytují požadovaná oprávnění Exchange Server počítači. Další informace o rutinách najdete v tématu Instalace a konfigurace konektoru Exchange.

Účet připojení bodu správy

Bod správy používá účet připojení bodu správy k připojení k databázi Configuration Manager lokality. Toto připojení používá k odesílání a načítání informací pro klienty. Bod správy ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat alternativní účet služby. Pokud je bod správy ze serveru lokality v nedůvěryhodné doméně, je nutné zadat alternativní účet služby.

Poznámka

V případě rozšířeného stavu zabezpečení doporučujeme pro účet připojení bodu správy místo účtu počítače použít jiný účet služby.

Na počítači, na kterém běží Microsoft SQL Server, vytvořte účet služby jako účet služby s nízkou úrovní oprávnění.

Důležité

  • Neudělujte tomuto účtu interaktivní přihlašovací práva.
  • Pokud zadáváte účet ve vzdálené doméně nebo doménové struktuře, nezapomeňte před uživatelským jménem zadat plně kvalifikovaný název domény, a ne jenom název domény pro rozhraní NetBIOS. Zadejte například Corp.Contoso.com\Uživatelské_jméno místo pouze Corp\UserName. To Configuration Manager umožňuje používat Protokol Kerberos, když se účet používá k ověření ve vzdáleném systému lokality. Použití plně kvalifikovaného názvu domény často řeší chyby ověřování způsobené nedávnými změnami posílení zabezpečení protokolu NTLM v měsíčních aktualizacích Windows.

Účet připojení vícesměrového vysílání

Distribuční body s podporou vícesměrového vysílání používají účet připojení vícesměrového vysílání ke čtení informací z databáze lokality. Server ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat účet služby. Pokud je databáze lokality v nedůvěryhodné doménové struktuře, musíte zadat účet služby. Pokud má vaše datové centrum například hraniční síť v jiné doménové struktuře, než je server lokality a databáze lokality, použijte tento účet ke čtení informací vícesměrového vysílání z databáze lokality.

Pokud tento účet potřebujete, vytvořte si ho na počítači, na kterém běží Microsoft SQL Server, jako účet služby s nízkou úrovní oprávnění.

Poznámka

Pokud chcete zvýšit stav zabezpečení, doporučujeme pro účet připojení vícesměrového vysílání místo účtu počítače použít účet služby.

Důležité

Neudělujte tomuto účtu služby interaktivní přihlašovací práva.

Další informace najdete v tématu Použití vícesměrového vysílání k nasazení Windows přes síť.

Účet pro přístup k síti

Klientské počítače používají účet síťového přístupu , když nemůžou použít účet místního počítače pro přístup k obsahu v distribučních bodech. Většinou se vztahuje na klienty pracovní skupiny a počítače z nedůvěryhodných domén. Tento účet se používá také při nasazování operačního systému, kdy počítač, který operační systém instaluje, ještě nemá účet počítače v doméně.

Důležité

Účet pro přístup k síti se nikdy nepoužívá jako kontext zabezpečení ke spouštění programů, instalaci aktualizací softwaru nebo spouštění pořadí úkolů. Používá se jenom pro přístup k prostředkům v síti.

Klient Configuration Manager se nejprve pokusí použít svůj účet počítače ke stažení obsahu. Pokud selže, automaticky se pokusí o účet pro přístup k síti.

Pokud lokalitu nakonfigurujete pro https nebo rozšířený protokol HTTP, pracovní skupina nebo klient připojený k Microsoft Entra může bezpečně přistupovat k obsahu z distribučních bodů bez nutnosti síťového přístupového účtu. Toto chování zahrnuje scénáře nasazení operačního systému se pořadím úkolů spuštěným ze spouštěcího média, technologie PXE nebo Centra softwaru. Další informace najdete v tématu Komunikace mezi klientem a bodem správy.

Poznámka

Pokud povolíte rozšířený protokol HTTP, aby nevyžadovat účet pro přístup k síti, distribuční body musí být spuštěné aktuálně podporované verze systému Windows Server nebo Windows 10/11.

Oprávnění pro účet pro přístup k síti

Udělte tomuto účtu minimální příslušná oprávnění pro obsah, který klient vyžaduje pro přístup k softwaru. Účet musí mít přístup k tomuto počítači ze sítě přímo v distribučním bodě. Pro každou lokalitu můžete nakonfigurovat až 10 účtů síťového přístupu.

Vytvořte účet v libovolné doméně, který poskytuje potřebný přístup k prostředkům. Účet pro přístup k síti musí vždy obsahovat název domény. Tento účet nepodporuje předávací zabezpečení. Pokud máte distribuční body ve více doménách, vytvořte účet v důvěryhodné doméně.

Tip

Abyste se vyhnuli uzamčení účtu, neměňte heslo u existujícího účtu pro přístup k síti. Místo toho vytvořte nový účet a nastavte ho v Configuration Manager. Až uplyne dostatek času, aby všichni klienti obdrželi podrobnosti o novém účtu, odeberte starý účet ze sdílených síťových složek a odstraňte účet.

Důležité

Neudělujte tomuto účtu interaktivní přihlašovací práva.

Neudělujte tomuto účtu právo připojit počítače k doméně. Pokud musíte počítače připojit k doméně během pořadí úkolů, použijte účet připojení k doméně pořadí úkolů.

Konfigurace účtu pro přístup k síti

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality. Pak vyberte web.

  2. Na pásu karet ve skupině Nastavení vyberte Konfigurovat součásti webu a zvolte Distribuce softwaru.

  3. Zvolte kartu Účet přístupu k síti . Nastavte jeden nebo více účtů a pak zvolte OK.

Akce, které vyžadují účet pro přístup k síti

Účet pro přístup k síti se stále vyžaduje pro následující akce (včetně scénářů eHTTP & PKI):

  • Vysílání multicast. Další informace najdete v tématu Použití vícesměrového vysílání k nasazení Windows přes síť.

  • Možnost nasazení pořadí úkolů pro přístup k obsahu přímo z distribučního bodu v případě, že to vyžaduje spuštěné pořadí úkolů. Další informace najdete v tématu Možnosti nasazení pořadí úloh.

  • Použijte možnost kroku pořadí úkolů Image operačního systému pro přístup k obsahu přímo z distribučního bodu. Tato možnost je primárně určená pro scénáře se systémem Windows Embedded s nedostatkem místa na disku, kde je ukládání obsahu do mezipaměti na místní disk nákladné. Další informace najdete v tématu Přístup k obsahu přímo z distribučního bodu.

  • Pokud se stažení balíčku z distribučního bodu pomocí HTTP/HTTPS nezdaří, může se vrátit ke stažení balíčku pomocí protokolu SMB ze sdílené složky balíčku v distribučním bodu. Stažení balíčku pomocí protokolu SMB ze sdílené složky balíčku v distribučním bodě vyžaduje použití účtu pro přístup k síti. K tomuto záložnímu chování dochází pouze v případě, že je na kartě Přístup k datům ve vlastnostech balíčku povolena možnost Kopírovat obsah tohoto balíčku do sdílené složky balíčku v distribučních bodech. Pokud chcete toto chování zachovat, ujistěte se, že účet pro přístup k síti není zakázaný nebo odebraný. Pokud už toto chování není žádoucí, ujistěte se, že u žádného balíčku není povolená možnost Kopírovat obsah tohoto balíčku do sdílené složky balíčku v distribučních bodech .

  • Krok pořadí úkolů úložiště stavu požadavku Pokud pořadí úkolů nemůže komunikovat s bodem migrace stavu pomocí účtu počítače zařízení, vrátí se zpět k použití účtu pro přístup k síti. Další informace najdete v tématu Úložiště stavu požadavků.

  • Nastavení vlastností pořadí úkolů na Možnost Nejprve spustit jiný program Toto nastavení spustí balíček a program ze sdílené síťové složky před spuštěním pořadí úkolů. Další informace najdete v tématu Vlastnosti pořadí úloh: karta Upřesnit.

  • Správa klientů v nedůvěryhodných doménách a scénářích mezi doménovými strukturami umožňuje více účtů síťového přístupu.

Účet pro přístup k balíčku

Účet pro přístup k balíčku umožňuje nastavit oprávnění NTFS a určit uživatele a skupiny uživatelů, kteří mají přístup k obsahu balíčku v distribučních bodech. Ve výchozím nastavení Configuration Manager uděluje přístup pouze k obecným účtům přístupu User a Administrator. Přístup ke klientským počítačům můžete řídit pomocí jiných účtů nebo skupin systému Windows. Mobilní zařízení vždy načítají obsah balíčku anonymně, takže nepoužívají účet pro přístup k balíčku.

Když Configuration Manager ve výchozím nastavení zkopíruje soubory obsahu do distribučního bodu, udělí místní skupině Users přístup ke čtení a místní skupině Administratorsúplné řízení. Skutečná požadovaná oprávnění závisí na balíčku. Pokud máte klienty v pracovních skupinách nebo nedůvěryhodných doménových strukturách, používají tito klienti pro přístup k obsahu balíčku účet pro přístup k síti. Pomocí definovaných účtů pro přístup k balíčku se ujistěte, že účet pro přístup k síti má oprávnění k balíčku.

Používejte účty v doméně, které mají přístup k distribučním bodům. Pokud vytvoříte nebo upravíte účet po vytvoření balíčku, musíte balíček znovu distribuovat. Aktualizace balíčku nezmění oprávnění NTFS pro balíček.

Účet pro přístup k síti nemusíte přidávat jako účet pro přístup k balíčku, protože ho automaticky přidá členství ve skupině Uživatelé . Omezení účtu pro přístup k balíčku pouze na účet pro přístup k síti nezabrání klientům v přístupu k balíčku.

Správa účtů pro přístup k balíčkům

  1. V konzole Configuration Manager přejděte do pracovního prostoru Softwarová knihovna.

  2. V pracovním prostoru Softwarová knihovna určete typ obsahu, pro který chcete spravovat přístupové účty, a postupujte podle uvedených kroků:

    • Aplikace: Rozbalte položku Správa aplikací, zvolte Aplikace a pak vyberte aplikaci, pro kterou chcete spravovat přístupové účty.

    • Balíček: Rozbalte položku Správa aplikací, zvolte Balíčky a pak vyberte balíček, pro který chcete spravovat přístupové účty.

    • Balíček pro nasazení aktualizace softwaru: Rozbalte položku Software Aktualizace, zvolte Balíčky pro nasazení a pak vyberte balíček pro nasazení, pro který chcete spravovat přístupové účty.

    • Balíček ovladačů: Rozbalte položku Operační systémy, zvolte Balíčky ovladačů a pak vyberte balíček ovladače, pro který chcete spravovat přístupové účty.

    • Image operačního systému: Rozbalte položku Operační systémy, zvolte Bitové kopie operačního systému a pak vyberte image operačního systému, pro kterou chcete spravovat přístupové účty.

    • Balíček pro upgrade operačního systému: Rozbalte položku Operační systémy, zvolte Balíčky pro upgrade operačního systému a pak vyberte balíček pro upgrade operačního systému, pro který chcete spravovat přístupové účty.

    • Spouštěcí image: Rozbalte položku Operační systémy, zvolte Spouštěcí bitové kopie a pak vyberte spouštěcí bitovou kopii, pro kterou chcete spravovat přístupové účty.

  3. Klikněte pravým tlačítkem na vybraný objekt a pak zvolte Spravovat přístupové účty.

  4. V dialogovém okně Přidat účet zadejte typ účtu, kterému bude udělen přístup k obsahu, a pak zadejte přístupová práva přidružená k účtu.

    Poznámka

    Když pro účet přidáte uživatelské jméno a Configuration Manager najde místní uživatelský účet i účet uživatele domény s tímto názvem, Configuration Manager nastaví přístupová práva pro účet uživatele domény.

Účet bodu služby Reporting Services

SQL Server Reporting Services používá účet bodu služby Reporting Services k načtení dat pro sestavy Configuration Manager z databáze lokality. Zadaný uživatelský účet a heslo systému Windows jsou zašifrovány a uloženy v databázi SQL Server Reporting Services.

Poznámka

Zadaný účet musí mít oprávnění přihlásit se místně na počítači, který je hostitelem databáze SQL Server Reporting Services.

Účet se automaticky udělí všechna potřebná práva tím, že se přidá do role smsschm_users SQL Server databáze v databázi Configuration Manager.

Další informace najdete v tématu Úvod do vytváření sestav.

Účty prohlížeče s povolenými vzdálenými nástroji

Účty, které zadáte jako Povolené prohlížeče pro vzdálené řízení, jsou seznamem uživatelů, kteří můžou používat funkce vzdálených nástrojů na klientech.

Další informace najdete v tématu Úvod do vzdáleného řízení.

Účet instalace lokality

Pomocí uživatelského účtu domény se přihlaste k serveru, na kterém spustíte instalaci Configuration Manager a instalaci nové lokality.

Tento účet vyžaduje následující práva:

  • Správce na následujících serverech:

    • Server lokality
    • Každý server, který je hostitelem databáze lokality
    • Každá instance poskytovatele serveru SMS pro lokalitu
  • Správce systému v instanci SQL Server, která je hostitelem databáze lokality

Configuration Manager nastavení automaticky přidá tento účet do skupiny SMS Admins.

Po instalaci je tento účet jediným účtem s právy ke konzole Configuration Manager. Pokud potřebujete tento účet odebrat, nezapomeňte nejprve přidat jeho práva jinému uživateli.

Při rozšiřování samostatné lokality tak, aby zahrnovala lokalitu centrální správy, tento účet vyžaduje oprávnění správce úplného správce nebo správce infrastruktury na základě role v samostatné primární lokalitě.

Účet instalace systému lokality

Server lokality používá účet instalace systému lokality k instalaci, přeinstalaci, odinstalaci a nastavení systémů lokality. Pokud nastavíte systém lokality tak, aby vyžadoval, aby server lokality inicioval připojení k tomuto systému lokality, Configuration Manager tento účet používá také k načtení dat ze systému lokality po instalaci systému lokality a všech rolí. Každý systém lokality může mít jiný instalační účet, ale můžete nastavit pouze jeden instalační účet pro správu všech rolí v tomto systému lokality.

Tento účet vyžaduje oprávnění místního správce v systémech cílové lokality. Tento účet navíc musí mít přístup k tomuto počítači ze sítě v zásadách zabezpečení v systémech cílové lokality.

Důležité

Pokud zadáváte účet ve vzdálené doméně nebo doménové struktuře, nezapomeňte před uživatelským jménem zadat plně kvalifikovaný název domény, a ne jenom název domény pro rozhraní NetBIOS. Zadejte například Corp.Contoso.com\Uživatelské_jméno místo pouze Corp\UserName. To Configuration Manager umožňuje používat Protokol Kerberos, když se účet používá k ověření ve vzdáleném systému lokality. Použití plně kvalifikovaného názvu domény často řeší chyby ověřování způsobené nedávnými změnami posílení zabezpečení protokolu NTLM v měsíčních aktualizacích Windows.

Tip

Pokud máte mnoho řadičů domény a tyto účty se používají napříč doménami, před nastavením systému lokality zkontrolujte, jestli služba Active Directory tyto účty replikovala.

Když v každém systému lokality zadáte účet služby, který se má spravovat, bude tato konfigurace bezpečnější. Omezuje škody, které můžou útočníci napáchat. Správa doménových účtů je ale jednodušší. Zvažte kompromis mezi zabezpečením a efektivní správou.

Účet proxy serveru systému lokality

Následující role systému lokality používají účet proxy serveru systému lokality pro přístup k internetu přes proxy server nebo bránu firewall, která vyžaduje ověřený přístup:

  • Bod synchronizace funkce Asset Intelligence
  • konektor Exchange Server
  • Spojovací bod služby
  • Bod aktualizace softwaru

Důležité

Zadejte účet, který má nejmenší možná oprávnění pro požadovaný proxy server nebo bránu firewall.

Další informace najdete v tématu Podpora proxy serveru.

Účet připojení serveru SMTP

Server lokality používá účet připojení serveru SMTP k odesílání e-mailových upozornění, když server SMTP vyžaduje ověřený přístup.

Důležité

Zadejte účet, který má nejmenší možná oprávnění k odesílání e-mailů.

Další informace najdete v tématu Konfigurace upozornění.

Účet připojení bodu aktualizace softwaru

Server lokality používá účet připojení bodu aktualizace softwaru pro následující dvě služby aktualizace softwaru:

  • Windows Server Update Services (WSUS), která nastavuje nastavení, jako jsou definice produktů, klasifikace a upstreamová nastavení.

  • Správce synchronizace služby WSUS, který požaduje synchronizaci s nadřazeným serverem WSUS nebo službou Microsoft Update.

Instalační účet systému lokality může instalovat součásti pro aktualizace softwaru, ale nemůže provádět funkce specifické pro aktualizaci softwaru v bodě aktualizace softwaru. Pokud pro tuto funkci nemůžete použít účet počítače serveru lokality, protože se bod aktualizace softwaru nachází v nedůvěryhodné doménové struktuře, musíte tento účet zadat společně s účtem instalace systému lokality.

Tento účet musí být místním správcem na počítači, na který instalujete službu WSUS. Musí být také součástí místní skupiny WSUS Administrators .

Další informace najdete v tématu Plánování aktualizací softwaru.

Účet zdrojového webu

Proces migrace používá účet zdrojové lokality pro přístup k poskytovateli serveru SMS zdrojové lokality. Tento účet vyžaduje oprávnění ke čtení objektů lokality ve zdrojové lokalitě ke shromažďování dat pro úlohy migrace.

Pokud máte Configuration Manager distribučních bodů 2007 nebo sekundárních lokalit se spolulokovanými distribučními body, při jejich upgradu na distribuční body Configuration Manager (aktuální větev) musí mít tento účet také oprávnění Odstranit pro třídu Lokalita. Toto oprávnění slouží k úspěšnému odebrání distribučního bodu z lokality Configuration Manager 2007 během upgradu.

Poznámka

Účet zdrojové lokality i účet databáze zdrojové lokality jsou v uzlu Účty pracovního prostoru Správa v konzole Configuration Manager identifikovány jako Správce migrace.

Další informace najdete v tématu Migrace dat mezi hierarchiemi.

Účet databáze zdrojové lokality

Proces migrace používá účet databáze zdrojové lokality pro přístup k databázi SQL Server zdrojové lokality. Pokud chcete shromažďovat data z databáze SQL Server zdrojové lokality, účet databáze zdrojové lokality musí mít oprávnění Číst a Spustit k SQL Server databázi zdrojové lokality.

Pokud používáte účet počítače Configuration Manager (aktuální větev), ujistěte se, že pro tento účet platí všechny následující podmínky:

  • Je členem skupiny zabezpečení Distributed COM Users ve stejné doméně jako web Configuration Manager 2012.
  • Je členem skupiny zabezpečení SMS Admins .
  • Má oprávnění číst pro všechny objekty Configuration Manager 2012.

Poznámka

Účet zdrojové lokality i účet databáze zdrojové lokality jsou v uzlu Účty pracovního prostoru Správa v konzole Configuration Manager identifikovány jako Správce migrace.

Další informace najdete v tématu Migrace dat mezi hierarchiemi.

Účet připojení k doméně pořadí úkolů

Instalační program systému Windows používá účet pro připojení k doméně pořadí úkolů k připojení počítače s nově vytvořenými imagemi k doméně. Tento účet vyžaduje krok pořadí úkolů Připojit se k doméně nebo pracovní skupině s možností Připojit k doméně . Tento účet je také možné nastavit pomocí kroku Použít nastavení sítě , ale není to nutné.

Tento účet vyžaduje oprávnění Připojení k doméně v cílové doméně.

Tip

Vytvořte jeden uživatelský účet domény s minimálními oprávněními pro připojení k doméně a použijte ho pro všechna pořadí úkolů.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Účet připojení síťové složky v pořadí úkolů

Modul pořadí úkolů používá účet připojení síťové složky pořadí úkolů pro připojení ke sdílené složce v síti. Tento účet vyžaduje krok pořadí úkolů Připojit k síťové složce .

Tento účet vyžaduje oprávnění pro přístup k zadané sdílené složce. Musí se jednat o účet uživatele domény.

Tip

Vytvořte jeden účet uživatele domény s minimálními oprávněními pro přístup k požadovaným síťovým prostředkům a použijte ho pro všechna pořadí úkolů.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Účet spustit jako pořadí úkolů

Modul pořadí úkolů používá ke spuštění příkazového řádku nebo skriptů PowerShellu s jinými přihlašovacími údaji, než je účet Místního systému, spustit pořadí úkolů jako účet . Tento účet vyžadují kroky pořadí úkolů Spustit příkazový řádek a Spustit skript PowerShellu s vybranou možností Spustit tento krok jako následující účet .

Nastavte účet tak, aby měl minimální oprávnění požadovaná ke spuštění příkazového řádku, který zadáte v pořadí úkolů. Účet vyžaduje interaktivní přihlašovací práva. Obvykle vyžaduje možnost instalace softwaru a přístupu k síťovým prostředkům. Pro úlohu Spustit skript PowerShellu tento účet vyžaduje oprávnění místního správce.

Důležité

Nepoužívejte pro tento účet účet pro přístup k síti.

Nikdy neudělejte účet jako správce domény.

Pro tento účet nikdy nenastavujte cestovní profily. Když se pořadí úkolů spustí, stáhne cestovní profil pro účet. Profil tak zůstane zranitelný pro přístup k místnímu počítači.

Omezte rozsah účtu. Můžete například vytvořit různá pořadí úkolů, která se budou spouštět jako účty pro každé pořadí úkolů. Pokud dojde k ohrožení zabezpečení jednoho účtu, budou ohroženy pouze klientské počítače, ke kterým má tento účet přístup.

Pokud příkazový řádek vyžaduje přístup správce v počítači, zvažte vytvoření účtu místního správce výhradně pro tento účet na všech počítačích, na kterých je spuštěné pořadí úkolů. Jakmile už účet nepotřebujete, odstraňte ho.

Objekty uživatelů, které Configuration Manager používají v SQL Server

Configuration Manager automaticky vytváří a udržuje následující objekty uživatelů v SQL. Tyto objekty se nacházejí v databázi Configuration Manager v části Zabezpečení/Uživatelé.

Důležité

Úprava nebo odebrání těchto objektů může způsobit drastické problémy v prostředí Configuration Manager. Doporučujeme, abyste v těchto objektech neprobíjeli žádné změny.

smsdbuser_ReadOnly

Tento objekt se používá ke spouštění dotazů v kontextu jen pro čtení. Tento objekt se používá s několika uloženými procedurami.

smsdbuser_ReadWrite

Tento objekt slouží k poskytování oprávnění pro dynamické příkazy SQL.

smsdbuser_ReportSchema

Tento objekt se používá ke spouštění SQL Server generování sestav. S touto funkcí se používá následující uložená procedura: spSRExecQuery.

Databázové role, které Configuration Manager používají v SQL

Configuration Manager v SQL automaticky vytváří a udržuje následující objekty rolí. Tyto role poskytují přístup ke konkrétním uloženým procedur, tabulkám, zobrazením a funkcím. Tyto role buď získají nebo přidají data do databáze Configuration Manager. Tyto objekty se nacházejí v databázi Configuration Manager v části Zabezpečení/Role/Databázové role.

Důležité

Úprava nebo odebrání těchto objektů může způsobit drastické problémy v prostředí Configuration Manager. Tyto objekty neměňte. Následující seznam slouží pouze pro informační účely.

smsdbrole_AITool

Configuration Manager uděluje toto oprávnění účtům správců na základě přístupu na základě role k importu informací o multilicenčních licencích pro Funkci Asset Intelligence. Tento účet může být přidán rolí správce s úplným oprávněním, správcem provozu nebo správcem prostředků nebo libovolnou rolí s oprávněním Spravovat funkci Asset Intelligence.

smsdbrole_AIUS

Configuration Manager udělí účtu počítače, který je hostitelem účtu bodu synchronizace asset intelligence, přístup k získání dat proxy služby Asset Intelligence a zobrazení čekajících dat AI pro nahrání.

smsdbrole_CRP

Configuration Manager uděluje oprávnění účtu počítače v systému lokality, který podporuje bod registrace certifikátu pro podporu podepisování a obnovení certifikátu pomocí protokolu SCEP (Simple Certificate Enrollment Protocol).

smsdbrole_CRPPfx

Configuration Manager uděluje oprávnění účtu počítače v systému lokality, který podporuje bod registrace certifikátu nakonfigurovaný pro podporu podepisování a obnovení PFX.

smsdbrole_DMP

Configuration Manager udělí toto oprávnění účtu počítače pro bod správy, který má možnost Povolit mobilním zařízením a počítačům Mac používat tento bod správy, možnost poskytovat podporu pro zařízení zaregistrovaná v MDM.

smsdbrole_DmpConnector

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem spojovacího bodu služby, k načítání a poskytování diagnostických dat, správě cloudových služeb a načítání aktualizací služby.

smsdbrole_DViewAccess

Configuration Manager udělí toto oprávnění účtu počítače serverů primární lokality na cas, pokud je ve vlastnostech odkazu replikace vybraná možnost SQL Server distribuovaných zobrazení.

smsdbrole_DWSS

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role datového skladu.

smsdbrole_EnrollSvr

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu registrace, a umožní tak registraci zařízení přes MDM.

smsdbrole_extract

Poskytuje přístup ke všem rozšířeným zobrazením schématu.

smsdbrole_HMSUser

Pro službu správce hierarchie. Configuration Manager uděluje tomuto účtu oprávnění ke správě zpráv o stavu převzetí služeb při selhání a transakcí SQL Server Broker mezi lokalitami v rámci hierarchie.

Poznámka

Role smdbrole_WebPortal je ve výchozím nastavení členem této role.

smsdbrole_MCS

Configuration Manager udělí toto oprávnění účtu počítače distribučního bodu, který podporuje vícesměrové vysílání.

smsdbrole_MP

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role bodu správy, za účelem poskytování podpory pro klienty Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu správy, který spravuje nástroj BitLocker pro dané prostředí.

smsdbrole_MPUserSvc

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu správy, aby podporoval žádosti aplikací založené na uživatelích.

smsdbrole_siteprovider

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role poskytovatele serveru SMS.

smsdbrole_siteserver

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem primární lokality nebo cas.

smsdbrole_SUP

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu aktualizace softwaru, pro práci s aktualizacemi třetích stran.

smsschm_users

Configuration Manager udělí přístup k účtu používanému pro účet bodu služby Reporting Services a umožní přístup k zobrazení sestav SMS pro zobrazení Configuration Manager dat sestav. Data jsou dále omezena použitím přístupu na základě role.

Zvýšená oprávnění

Configuration Manager vyžaduje, aby některé účty měly zvýšená oprávnění pro probíhající operace. Viz například Požadavky pro instalaci primární lokality. Následující seznam shrnuje tato oprávnění a důvody, proč jsou potřeba.

  • Účet počítače serveru primární lokality a serveru lokality centrální správy vyžaduje:

    • Práva místního správce na všech serverech systému lokality Toto oprávnění slouží ke správě, instalaci a odebírání systémových služeb. Server lokality také aktualizuje místní skupiny v systému lokality, když přidáte nebo odeberete role.

    • Přístup správce systému k instanci SQL Server pro databázi lokality. Toto oprávnění slouží ke konfiguraci a správě SQL Server webu. Configuration Manager se úzce integruje s SQL, není to jen databáze.

  • Uživatelské účty s rolí Úplný správce vyžadují:

    • Práva místního správce na všech serverech lokality. Toto oprávnění slouží k zobrazení, úpravám, odebírání a instalaci systémových služeb, klíčů a hodnot registru a objektů rozhraní WMI.

    • Přístup správce systému k instanci SQL Server pro databázi lokality. Toto oprávnění slouží k instalaci a aktualizaci databáze během instalace nebo obnovení. Vyžaduje se také pro údržbu a provoz SQL Server. Například přeindexování a aktualizace statistik.

      Poznámka

      Některé organizace můžou odebrat přístup správce systému a udělit ho jenom v případě potřeby. Toto chování se někdy označuje jako přístup za běhu (JIT). V takovém případě by uživatelé s rolí úplný správce měli mít stále přístup ke čtení, aktualizaci a spouštění uložených procedur v databázi Configuration Manager. Tato oprávnění jim umožňují řešit většinu problémů bez úplného přístupu správce systému.