Účty používané v nástroji Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Pomocí následujících informací identifikujte skupiny, účty a objekty SYSTÉMU Windows, které se používají v nástroji Configuration Manager, způsob jejich použití a případné požadavky.

• Skupiny systému Windows, které nástroj Configuration Manager vytvoří a používá

  • Manager_CollectedFilesAccess konfigurace
  • konfigurační Manager_DViewAccess
  • Uživatelé vzdáleného řízení nástroje Configuration Manager
  • Správci SMS
  • <SMS_SiteSystemToSiteServerConnection_MP_kód lokality>
  • <SMS_SiteSystemToSiteServerConnection_SMSProv_kód lokality>
  • <SMS_SiteSystemToSiteServerConnection_Stat_kód lokality>
  • <SMS_SiteToSiteConnection_kód lokality>

• Účty, které nástroj Configuration Manager používá

  • Účet zjišťování skupin služby Active Directory
  • Účet zjišťování systému služby Active Directory
  • Účet zjišťování uživatelů služby Active Directory
  • Účet doménové struktury služby Active Directory
  • Účet bodu registrace certifikátu
  • Účet zachycení image operačního systému
  • Účet nabízené instalace klienta
  • Účet připojení bodu registrace
  • Účet připojení k Exchange Serveru
  • Účet připojení bodu správy
  • Účet připojení vícesměrového vysílání
  • Účet pro přístup k síti
  • Účet pro přístup k balíčku
  • Účet bodu služby Reporting Services
  • Účty prohlížeče s povolenými vzdálenými nástroji
  • Účet instalace lokality
  • Účet instalace systému lokality
  • Účet proxy serveru systému lokality
  • Účet připojení serveru SMTP
  • Účet připojení bodu aktualizace softwaru
  • Účet zdrojového webu
  • Účet databáze zdrojové lokality
  • Účet připojení k doméně pořadí úkolů
  • Účet připojení síťové složky v pořadí úkolů
  • Účet spustit jako pořadí úkolů

• Uživatelské objekty, které Configuration Manager používá v SQL

  • smsdbuser_ReadOnly
  • smsdbuser_ReadWrite
  • smsdbuser_ReportSchema

• Databázové role, které Configuration Manager používá v SQL

  • smsdbrole_AITool
  • smsdbrole_AIUS
  • smsdbrole_CRP
  • smsdbrole_CRPPfx
  • smsdbrole_DMP
  • smsdbrole_DmpConnector
  • smsdbrole_DViewAccess
  • smsdbrole_DWSS
  • smsdbrole_EnrollSvr
  • smsdbrole_extract
  • smsdbrole_HMSUser
  • smsdbrole_MCS
  • smsdbrole_MP
  • smsdbrole_MPMBAM
  • smsdbrole_MPUserSvc
  • smsdbrole_siteprovider
  • smsdbrole_siteserver
  • smsdbrole_SUP
  • smsschm_users

Skupiny systému Windows, které nástroj Configuration Manager vytvoří a používá

Configuration Manager automaticky vytvoří a v mnoha případech automaticky udržuje následující skupiny Windows:

Poznámka

Když Configuration Manager vytvoří skupinu na počítači, který je členem domény, je skupina místní skupinou zabezpečení. Pokud je počítač řadičem domény, je skupina místní doménovou skupinou. Tento typ skupiny se sdílí mezi všemi řadiči domény v doméně.

Manager_CollectedFilesAccess konfigurace

Configuration Manager používá tuto skupinu k udělení přístupu k zobrazení souborů shromážděných inventářem softwaru.

Další informace najdete v tématu Úvod do inventáře softwaru.

Typ a umístění pro CollectedFilesAccess

Tato skupina je místní skupina zabezpečení vytvořená na serveru primární lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro CollectedFilesAccess

Configuration Manager automaticky spravuje členství ve skupině. Členství zahrnuje správce, kteří mají udělené oprávnění Zobrazit shromážděné soubory k zabezpečitelnému objektu kolekce z přiřazené role zabezpečení.

Oprávnění pro CollectedFilesAccess

Ve výchozím nastavení má tato skupina oprávnění ke čtení do následující složky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

konfigurační Manager_DViewAccess

Tato skupina je místní skupina zabezpečení, kterou nástroj Configuration Manager vytvoří na serveru databáze lokality nebo serveru repliky databáze pro podřízenou primární lokalitu. Lokalita ji vytvoří při použití distribuovaných zobrazení pro replikaci databáze mezi lokalitami v hierarchii. Obsahuje server lokality a účty počítačů SQL Serveru lokality centrální správy.

Další informace najdete v tématu Přenosy dat mezi lokalitami.

Uživatelé vzdáleného řízení nástroje Configuration Manager

Vzdálené nástroje Configuration Manageru používají tuto skupinu k ukládání účtů a skupin, které jste nastavili v seznamu Povolených prohlížečů . Lokalita přiřadí tento seznam každému klientovi.

Další informace najdete v tématu Úvod do vzdáleného řízení.

Typ a umístění pro uživatele vzdáleného řízení

Tato skupina je místní skupina zabezpečení vytvořená v klientovi nástroje Configuration Manager, když klient obdrží zásadu, která umožňuje vzdálené nástroje.

Po zakázání vzdálených nástrojů pro klienta se tato skupina automaticky neodebere. Po zakázání vzdálených nástrojů ji ručně odstraňte.

Členství pro uživatele vzdáleného řízení

Ve výchozím nastavení nejsou v této skupině žádní členové. Když přidáte uživatele do seznamu Povolený prohlížeč , automaticky se přidají do této skupiny.

Místo přidávání uživatelů nebo skupin přímo do této skupiny použijte seznam Povolených prohlížečů ke správě členství v této skupině.

Kromě toho, že je povoleným prohlížečem, musí mít správce oprávnění vzdáleného řízení pro objekt Kolekce . Toto oprávnění přiřaďte pomocí role zabezpečení Operátor vzdálených nástrojů .

Oprávnění pro uživatele vzdáleného řízení

Ve výchozím nastavení tato skupina nemá oprávnění pro přístup k žádným umístěním v počítači. Používá se jenom k uložení seznamu Povolených prohlížečů .

Správci SMS

Configuration Manager používá tuto skupinu k udělení přístupu k poskytovateli serveru SMS prostřednictvím rozhraní WMI. K zobrazení a změně objektů v konzole nástroje Configuration Manager se vyžaduje přístup k poskytovateli serveru SMS.

Poznámka

Konfigurace správy na základě rolí administrativního uživatele určuje, které objekty může zobrazit a spravovat při použití konzoly nástroje Configuration Manager.

Další informace najdete v tématu Plánování pro poskytovatele serveru SMS.

Typ a umístění pro správce SMS

Tato skupina je místní skupina zabezpečení vytvořená v každém počítači, který má poskytovatele serveru SMS.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro správce SMS

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení jsou každý administrativní uživatel v hierarchii a účet počítače serveru lokality členy skupiny Správci serveru SMS na každém počítači poskytovatele serveru SMS v lokalitě.

Oprávnění pro správce SMS

Práva a oprávnění pro skupinu Správci serveru SMS můžete zobrazit v modulu snap-in konzoly MMC Řízení rozhraní WMI . Ve výchozím nastavení má tato skupina v Root\SMS oboru názvů rozhraní WMI uděleno povolení účtu a vzdálené povolení. Ověření uživatelé mají metody Spuštění, Zápis zprostředkovatele a Povolení účtu.

Pokud používáte vzdálenou konzolu nástroje Configuration Manager, nakonfigurujte oprávnění DCOM pro vzdálenou aktivaci na počítači serveru lokality i u poskytovatele serveru SMS. Udělte tato práva skupině SMS Admins . Tato akce zjednodušuje správu namísto udělování těchto práv přímo uživatelům nebo skupinám. Další informace najdete v tématu Konfigurace oprávnění modelu DCOM pro vzdálené konzoly nástroje Configuration Manager.

<SMS_SiteSystemToSiteServerConnection_MP_kód lokality>

Body správy vzdálené od serveru lokality používají tuto skupinu pro připojení k databázi lokality. Tato skupina poskytuje přístup k bodům správy ke složkám doručené pošty na serveru lokality a k databázi lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_MP

Tato skupina je místní skupina zabezpečení vytvořená v každém počítači, který má poskytovatele serveru SMS.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účty počítačů vzdálených počítačů, které mají bod správy pro lokalitu.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_MP

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky k následující složce na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes. Tato skupina má také oprávnění k zápisu do podsložek pod doručenou schránkou, do kterých bod správy zapisuje data klienta.

<SMS_SiteSystemToSiteServerConnection_SMSProv_kód lokality>

Počítače vzdáleného poskytovatele serveru SMS používají tuto skupinu pro připojení k serveru lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_SMSProv

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účet počítače nebo účet uživatele domény. Tento účet používá k připojení k serveru lokality od každého vzdáleného poskytovatele serveru SMS.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_SMSProv

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky k následující složce na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes. Tato skupina má také oprávnění k zápisu a úpravám podsložek pod doručenou schránkou. Poskytovatel serveru SMS vyžaduje přístup k těmto složkám.

Tato skupina má také oprávnění ke čtení podsložek na serveru lokality níže C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Má také následující oprávnění k následujícím C:\Program Files\Microsoft Configuration Manager\OSD\bootpodsložkům:

• Číst
• Čtení & spuštění
• Vypsat obsah složky
• Psát
• Upravit

<SMS_SiteSystemToSiteServerConnection_Stat_kód lokality>

Komponenta správce odesílání souborů na vzdálených počítačích systému lokality nástroje Configuration Manager používá tuto skupinu pro připojení k serveru lokality.

Typ a umístění pro SMS_SiteSystemToSiteServerConnection_Stat

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Členství pro SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager automaticky spravuje členství ve skupině. Ve výchozím nastavení členství zahrnuje účet počítače nebo uživatelský účet domény. Tento účet používá k připojení k serveru lokality z každého vzdáleného systému lokality, který spouští správce odesílání souborů.

Oprávnění pro SMS_SiteSystemToSiteServerConnection_Stat

Ve výchozím nastavení má tato skupina oprávnění Číst, Číst & spustit a Vypsat obsah složky pro následující složku a její podsložky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes.

Tato skupina má také oprávnění k zápisu a úpravě následující složky na serveru lokality: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_kód lokality>

Configuration Manager používá tuto skupinu k povolení replikace na základě souborů mezi lokalitami v hierarchii. Pro každou vzdálenou lokalitu, která přímo přenáší soubory do této lokality, má tato skupina účty nastavené jako účet replikace souborů.

Typ a umístění pro SMS_SiteToSiteConnection

Tato skupina je místní skupina zabezpečení vytvořená na serveru lokality.

Členství pro SMS_SiteToSiteConnection

Když nainstalujete novou lokalitu jako podřízenou lokalitu jiné lokality, nástroj Configuration Manager automaticky přidá účet počítače nového serveru lokality do této skupiny na nadřazený server lokality. Configuration Manager také přidá účet počítače nadřazené lokality do skupiny na novém serveru lokality. Pokud zadáte jiný účet pro přenosy souborů, přidejte tento účet do této skupiny na cílovém serveru lokality.

Když web odinstalujete, tato skupina se automaticky neodebere. Po odinstalaci lokality ji ručně odstraňte.

Oprávnění pro SMS_SiteToSiteConnection

Ve výchozím nastavení má tato skupina úplnou kontrolu nad následující složkou: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Účty, které nástroj Configuration Manager používá

Pro Configuration Manager můžete nastavit následující účty.

Tip

Nepoužívejte znak procenta (%) v hesle pro účty, které zadáte v konzole nástroje Configuration Manager. Ověření účtu se nezdaří.

Účet zjišťování skupin služby Active Directory

Lokalita používá účet zjišťování skupiny služby Active Directory ke zjištění následujících objektů z umístění ve službě Active Directory Domain Services, která zadáte:

• Místní, globální a univerzální skupiny zabezpečení
• Členství v těchto skupinách.
• Členství v rámci distribučních skupin.
  • Distribuční skupiny se nezjišťuje jako prostředky skupiny.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování skupin služby Active Directory.

Účet zjišťování systému služby Active Directory

Lokalita používá účet zjišťování systému služby Active Directory ke zjišťování počítačů z umístění ve službě Active Directory Domain Services, která zadáte.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování systému služby Active Directory.

Účet zjišťování uživatelů služby Active Directory

Lokalita používá účet zjišťování uživatelů služby Active Directory ke zjišťování uživatelských účtů z umístění ve službě Active Directory Domain Services, která zadáte.

Tento účet může být počítačový účet serveru lokality, který spouští zjišťování, nebo uživatelský účet systému Windows. Musí mít oprávnění ke čtení umístění služby Active Directory, která zadáte pro zjišťování.

Další informace najdete v tématu Zjišťování uživatelů služby Active Directory.

Účet doménové struktury služby Active Directory

Lokalita používá účet doménové struktury služby Active Directory ke zjišťování síťové infrastruktury z doménových struktur služby Active Directory. Lokality centrální správy a primární lokality ji také používají k publikování dat lokality ve službě Active Directory Domain Services pro doménovou strukturu.

Poznámka

Sekundární lokality vždy používají účet počítače serveru sekundární lokality k publikování do služby Active Directory.

Pokud chcete zjistit a publikovat v nedůvěryhodných doménových strukturách, musí být účet doménové struktury služby Active Directory globálním účtem. Pokud nepoužíváte účet počítače serveru lokality, můžete vybrat pouze globální účet.

Tento účet musí mít oprávnění ke čtení pro každou doménovou strukturu služby Active Directory, ve které chcete zjistit síťovou infrastrukturu.

Tento účet musí mít oprávnění Úplné řízení ke kontejneru Správa systému a všem jeho podřízeným objektům v každé doménové struktuře služby Active Directory, do které chcete publikovat data lokality.

Další informace najdete v tématu Příprava služby Active Directory pro publikování webů.

Další informace najdete v tématu Zjišťování doménové struktury služby Active Directory.

Účet bodu registrace certifikátu

Upozornění

Od verze 2203 se bod registrace certifikátu už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

Bod registrace certifikátu používá účet bodu registrace certifikátu pro připojení k databázi nástroje Configuration Manager. Ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat uživatelský účet. Pokud je bod registrace certifikátu ze serveru lokality v nedůvěryhodné doméně, musíte zadat uživatelský účet. Tento účet vyžaduje pouze přístup pro čtení databáze lokality, protože systém stavových zpráv zpracovává úlohy zápisu.

Další informace najdete v tématu Úvod do profilů certifikátů.

Účet zachycení image operačního systému

Když zachytíte image operačního systému, configuration Manager použije účet Capture OS pro přístup ke složce, do které ukládáte zachycené image. Pokud do pořadí úkolů přidáte krok Zachytit image operačního systému, je tento účet povinný.

Účet musí mít ke sdílené síťové složce, do které ukládáte zachycené image, oprávnění ke čtení a zápisu .

Pokud změníte heslo účtu ve Windows, aktualizujte pořadí úloh novým heslem. Klient nástroje Configuration Manager obdrží nové heslo při příštím stažení zásad klienta.

Pokud potřebujete použít tento účet, vytvořte jeden uživatelský účet domény. Udělte mu minimální oprávnění pro přístup k požadovaným síťovým prostředkům a použijte je pro všechna pořadí úkolů zachycení.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Další informace najdete v tématu Vytvoření pořadí úkolů pro zachycení operačního systému.

Účet nabízené instalace klienta

Když nasazujete klienty pomocí metody klientské nabízené instalace, lokalita používá účet klientské nabízené instalace pro připojení k počítačům a instalaci klientského softwaru nástroje Configuration Manager. Pokud tento účet nezadáte, server lokality se pokusí použít svůj účet počítače.

Tento účet musí být členem místní skupiny Administrators na cílových klientských počítačích. Tento účet nevyžaduje oprávnění správce domény .

Můžete zadat více než jeden účet nabízené instalace klienta. Configuration Manager zkouší každou z nich, dokud nebude úspěšný.

Tip

Pokud máte velké prostředí služby Active Directory a potřebujete tento účet změnit, pomocí následujícího postupu můžete tuto aktualizaci účtu efektivněji koordinovat:

1. Vytvořte nový účet s jiným názvem.
2. Přidejte nový účet do seznamu klientských účtů nabízené instalace v nástroji Configuration Manager.
3. Počkejte dostatek času, aby služba Active Directory Domain Services mohla replikovat nový účet.
4. Potom odeberte starý účet z Configuration Manageru a služby Active Directory Domain Services.

Důležité

Pomocí doménových zásad nebo zásad místní skupiny přiřaďte uživateli Windows právo odepřít místní přihlášení. Jako člen skupiny Administrators bude mít tento účet právo přihlásit se místně, což není potřeba. Kvůli lepšímu zabezpečení výslovně odepřete právo na tento účet. Právo odepřít nahrazuje právo povolit.

Další informace najdete v tématu Klientská nabízená instalace.

Účet připojení bodu registrace

Bod registrace používá účet připojení bodu registrace k připojení k databázi lokality nástroje Configuration Manager. Ve výchozím nastavení používá svůj účet počítače, ale místo toho můžete nakonfigurovat uživatelský účet. Pokud je bod registrace ze serveru lokality v nedůvěryhodné doméně, musíte zadat uživatelský účet. Tento účet vyžaduje přístup ke čtení a zápisu k databázi lokality.

Další informace najdete v tématu Instalace rolí systému lokality pro místní správu mobilních zařízení (MDM).

Účet připojení k Exchange Serveru

Server lokality používá účet připojení exchange serveru pro připojení k zadanému serveru Exchange Server. Toto připojení používá k vyhledání a správě mobilních zařízení, která se připojují k Exchange Serveru. Tento účet vyžaduje rutiny Prostředí Exchange PowerShell, které poskytují požadovaná oprávnění k počítači se systémem Exchange Server. Další informace o rutinách najdete v tématu Instalace a konfigurace konektoru Exchange.

Účet připojení bodu správy

Bod správy používá účet připojení bodu správy k připojení k databázi lokality nástroje Configuration Manager. Toto připojení používá k odesílání a načítání informací pro klienty. Bod správy používá ve výchozím nastavení svůj účet počítače, ale můžete místo toho nakonfigurovat uživatelský účet. Pokud je bod správy ze serveru lokality v nedůvěryhodné doméně, musíte zadat uživatelský účet.

Vytvořte účet jako místní účet na počítači, na kterém běží Microsoft SQL Server.

Důležité

Neudělujte tomuto účtu interaktivní přihlašovací práva.

Účet připojení vícesměrového vysílání

Distribuční body s podporou vícesměrového vysílání používají účet připojení vícesměrového vysílání ke čtení informací z databáze lokality. Server ve výchozím nastavení používá svůj účet počítače, ale můžete místo toho nakonfigurovat uživatelský účet. Pokud je databáze lokality v nedůvěryhodné doménové struktuře, musíte zadat uživatelský účet. Pokud má vaše datové centrum například hraniční síť v jiné doménové struktuře, než je server lokality a databáze lokality, použijte tento účet ke čtení informací vícesměrového vysílání z databáze lokality.

Pokud tento účet potřebujete, vytvořte ho jako místní účet na počítači, na kterém běží Microsoft SQL Server.

Důležité

Neudělujte tomuto účtu interaktivní přihlašovací práva.

Další informace najdete v tématu Použití vícesměrového vysílání k nasazení Windows přes síť.

Účet pro přístup k síti

Klientské počítače používají účet síťového přístupu , když nemůžou použít účet místního počítače pro přístup k obsahu v distribučních bodech. Většinou se vztahuje na klienty pracovní skupiny a počítače z nedůvěryhodných domén. Tento účet se používá také při nasazování operačního systému, kdy počítač, který operační systém instaluje, ještě nemá účet počítače v doméně.

Důležité

Účet pro přístup k síti se nikdy nepoužívá jako kontext zabezpečení ke spouštění programů, instalaci aktualizací softwaru nebo spouštění pořadí úkolů. Používá se jenom pro přístup k prostředkům v síti.

Klient nástroje Configuration Manager se nejprve pokusí stáhnout obsah pomocí svého účtu počítače. Pokud selže, automaticky se pokusí o účet pro přístup k síti.

Pokud lokalitu nakonfigurujete pro HTTPS nebo rozšířený protokol HTTP, pracovní skupina nebo klient připojený k Microsoft Entra může bezpečně přistupovat k obsahu z distribučních bodů bez nutnosti síťového přístupového účtu. Toto chování zahrnuje scénáře nasazení operačního systému se pořadím úkolů spuštěným ze spouštěcího média, technologie PXE nebo Centra softwaru. Další informace najdete v tématu Komunikace mezi klientem a bodem správy.

Poznámka

Pokud povolíte rozšířený protokol HTTP , který nevyžaduje účet pro přístup k síti, musí být v distribučních bodech spuštěné aktuálně podporované verze Systému Windows Server nebo Windows 10/11.

Oprávnění pro účet pro přístup k síti

Udělte tomuto účtu minimální příslušná oprávnění pro obsah, který klient vyžaduje pro přístup k softwaru. Účet musí mít přístup k tomuto počítači ze sítě přímo v distribučním bodě. Pro každou lokalitu můžete nakonfigurovat až 10 účtů síťového přístupu.

Vytvořte účet v libovolné doméně, který poskytuje potřebný přístup k prostředkům. Účet pro přístup k síti musí vždy obsahovat název domény. Tento účet nepodporuje předávací zabezpečení. Pokud máte distribuční body ve více doménách, vytvořte účet v důvěryhodné doméně.

Tip

Abyste se vyhnuli uzamčení účtu, neměňte heslo u existujícího účtu pro přístup k síti. Místo toho vytvořte nový účet a nastavte nový účet v Configuration Manageru. Až uplyne dostatek času, aby všichni klienti obdrželi podrobnosti o novém účtu, odeberte starý účet ze sdílených síťových složek a odstraňte účet.

Důležité

Neudělujte tomuto účtu interaktivní přihlašovací práva.

Neudělujte tomuto účtu právo připojit počítače k doméně. Pokud musíte počítače připojit k doméně během pořadí úkolů, použijte účet připojení k doméně pořadí úkolů.

Konfigurace účtu pro přístup k síti

1. V konzole nástroje Configuration Manager přejděte do pracovního prostoru Správa , rozbalte položku Konfigurace lokality a vyberte uzel Lokality . Pak vyberte web.

2. Na pásu karet ve skupině Nastavení vyberte Konfigurovat součásti webu a zvolte Distribuce softwaru.

3. Zvolte kartu Účet přístupu k síti . Nastavte jeden nebo více účtů a pak zvolte OK.

Akce, které vyžadují účet pro přístup k síti

Účet pro přístup k síti se stále vyžaduje pro následující akce (včetně scénářů eHTTP & PKI):

• Vysílání multicast. Další informace najdete v tématu Použití vícesměrového vysílání k nasazení Windows přes síť.

• Možnost nasazení pořadí úkolů pro přístup k obsahu přímo z distribučního bodu v případě, že to vyžaduje spuštěné pořadí úkolů. Další informace najdete v tématu Možnosti nasazení pořadí úloh.

• Použijte možnost kroku pořadí úkolů Image operačního systému pro přístup k obsahu přímo z distribučního bodu. Tato možnost je primárně určená pro scénáře se systémem Windows Embedded s nedostatkem místa na disku, kde je ukládání obsahu do mezipaměti na místní disk nákladné. Další informace najdete v tématu Přístup k obsahu přímo z distribučního bodu.

• Pokud se stažení balíčku z distribučního bodu pomocí HTTP/HTTPS nezdaří, může se vrátit ke stažení balíčku pomocí protokolu SMB ze sdílené složky balíčku v distribučním bodu. Stažení balíčku pomocí protokolu SMB ze sdílené složky balíčku v distribučním bodě vyžaduje použití účtu pro přístup k síti. K tomuto záložnímu chování dochází pouze v případě, že je na kartě Přístup k datům ve vlastnostech balíčku povolena možnost Kopírovat obsah tohoto balíčku do sdílené složky balíčku v distribučních bodech. Pokud chcete toto chování zachovat, ujistěte se, že účet pro přístup k síti není zakázaný nebo odebraný. Pokud už toto chování není žádoucí, ujistěte se, že u žádného balíčku není povolená možnost Kopírovat obsah tohoto balíčku do sdílené složky balíčku v distribučních bodech .

• Krok pořadí úkolů úložiště stavu požadavku Pokud pořadí úkolů nemůže komunikovat s bodem migrace stavu pomocí účtu počítače zařízení, vrátí se zpět k použití účtu pro přístup k síti. Další informace najdete v tématu Úložiště stavu požadavků.

• Nastavení vlastností pořadí úkolů na Možnost Nejprve spustit jiný program Toto nastavení spustí balíček a program ze sdílené síťové složky před spuštěním pořadí úkolů. Další informace najdete v tématu Vlastnosti pořadí úloh: karta Upřesnit.

• Správa klientů v nedůvěryhodných doménách a scénářích mezi doménovými strukturami umožňuje více účtů síťového přístupu.

Účet pro přístup k balíčku

Účet pro přístup k balíčku umožňuje nastavit oprávnění NTFS a určit uživatele a skupiny uživatelů, kteří mají přístup k obsahu balíčku v distribučních bodech. Ve výchozím nastavení nástroj Configuration Manager uděluje přístup pouze k obecným účtům přístupu Uživatele a Správce. Přístup ke klientským počítačům můžete řídit pomocí jiných účtů nebo skupin systému Windows. Mobilní zařízení vždy načítají obsah balíčku anonymně, takže nepoužívají účet pro přístup k balíčku.

Když Nástroj Configuration Manager zkopíruje soubory obsahu do distribučního bodu, ve výchozím nastavení udělí místní skupině Users přístup ke čtení a místní skupině Administrators úplné řízení. Skutečná požadovaná oprávnění závisí na balíčku. Pokud máte klienty v pracovních skupinách nebo nedůvěryhodných doménových strukturách, používají tito klienti pro přístup k obsahu balíčku účet pro přístup k síti. Pomocí definovaných účtů pro přístup k balíčku se ujistěte, že účet pro přístup k síti má oprávnění k balíčku.

Používejte účty v doméně, které mají přístup k distribučním bodům. Pokud vytvoříte nebo upravíte účet po vytvoření balíčku, musíte balíček znovu distribuovat. Aktualizace balíčku nezmění oprávnění NTFS pro balíček.

Účet pro přístup k síti nemusíte přidávat jako účet pro přístup k balíčku, protože ho automaticky přidá členství ve skupině Uživatelé . Omezení účtu pro přístup k balíčku pouze na účet pro přístup k síti nezabrání klientům v přístupu k balíčku.

Správa účtů pro přístup k balíčkům

1. V konzole nástroje Configuration Manager přejděte do pracovního prostoru Softwarová knihovna .

2. V pracovním prostoru Softwarová knihovna určete typ obsahu, pro který chcete spravovat přístupové účty, a postupujte podle uvedených kroků:

   • Aplikace: Rozbalte položku Správa aplikací, zvolte Aplikace a pak vyberte aplikaci, pro kterou chcete spravovat přístupové účty.

   • Balíček: Rozbalte položku Správa aplikací, zvolte Balíčky a pak vyberte balíček, pro který chcete spravovat přístupové účty.

   • Balíček pro nasazení aktualizací softwaru: Rozbalte aktualizace softwaru, zvolte Balíčky nasazení a pak vyberte balíček nasazení, pro který chcete spravovat přístupové účty.

   • Balíček ovladačů: Rozbalte položku Operační systémy, zvolte Balíčky ovladačů a pak vyberte balíček ovladače, pro který chcete spravovat přístupové účty.

   • Image operačního systému: Rozbalte položku Operační systémy, zvolte Bitové kopie operačního systému a pak vyberte image operačního systému, pro kterou chcete spravovat přístupové účty.

   • Balíček pro upgrade operačního systému: Rozbalte položku Operační systémy, zvolte Balíčky pro upgrade operačního systému a pak vyberte balíček pro upgrade operačního systému, pro který chcete spravovat přístupové účty.

   • Spouštěcí image: Rozbalte položku Operační systémy, zvolte Spouštěcí bitové kopie a pak vyberte spouštěcí bitovou kopii, pro kterou chcete spravovat přístupové účty.

3. Klikněte pravým tlačítkem na vybraný objekt a pak zvolte Spravovat přístupové účty.

4. V dialogovém okně Přidat účet zadejte typ účtu, kterému bude udělen přístup k obsahu, a pak zadejte přístupová práva přidružená k účtu.

   Poznámka

   Když přidáte uživatelské jméno pro účet a Nástroj Configuration Manager najde místní uživatelský účet i účet uživatele domény s tímto názvem, nástroj Configuration Manager nastaví přístupová práva pro uživatelský účet domény.

Účet bodu služby Reporting Services

Služba SQL Server Reporting Services používá účet bodu služby Reporting Services k načtení dat pro sestavy nástroje Configuration Manager z databáze lokality. Uživatelský účet a heslo systému Windows, které zadáte, jsou zašifrovány a uloženy v databázi služby SQL Server Reporting Services.

Poznámka

Zadaný účet musí mít oprávnění k místnímu přihlášení na počítači, který je hostitelem databáze služby SQL Server Reporting Services.

Účet se automaticky udělí všechna potřebná práva tím, že se přidá do role databáze smsschm_users SQL Serveru v databázi nástroje Configuration Manager.

Další informace najdete v tématu Úvod do vytváření sestav.

Účty prohlížeče s povolenými vzdálenými nástroji

Účty, které zadáte jako Povolené prohlížeče pro vzdálené řízení, jsou seznamem uživatelů, kteří můžou používat funkce vzdálených nástrojů na klientech.

Další informace najdete v tématu Úvod do vzdáleného řízení.

Účet instalace lokality

Pomocí účtu uživatele domény se přihlaste k serveru, na kterém spustíte instalaci nástroje Configuration Manager, a nainstalujte novou lokalitu.

Tento účet vyžaduje následující práva:

• Správce na následujících serverech:

  • Server lokality
  • Každý server, který je hostitelem databáze lokality
  • Každá instance poskytovatele serveru SMS pro lokalitu

• Správce systému v instanci SQL Serveru, který je hostitelem databáze lokality

Nastavení Configuration Manageru automaticky přidá tento účet do skupiny SMS Admins .

Po instalaci je tento účet jediným účtem s právy ke konzole nástroje Configuration Manager. Pokud potřebujete tento účet odebrat, nezapomeňte nejprve přidat jeho práva jinému uživateli.

Při rozšiřování samostatné lokality tak, aby zahrnovala lokalitu centrální správy, tento účet vyžaduje oprávnění správce úplného správce nebo správce infrastruktury na základě role v samostatné primární lokalitě.

Účet instalace systému lokality

Server lokality používá účet instalace systému lokality k instalaci, přeinstalaci, odinstalaci a nastavení systémů lokality. Pokud nastavíte systém lokality tak, aby vyžadoval, aby server lokality inicioval připojení k tomuto systému lokality, nástroj Configuration Manager tento účet použije také k načtení dat ze systému lokality po instalaci systému lokality a všech rolí. Každý systém lokality může mít jiný instalační účet, ale můžete nastavit pouze jeden instalační účet pro správu všech rolí v tomto systému lokality.

Tento účet vyžaduje oprávnění místního správce v systémech cílové lokality. Tento účet navíc musí mít přístup k tomuto počítači ze sítě v zásadách zabezpečení v systémech cílové lokality.

Důležité

Pokud zadáváte účet ve vzdálené doméně nebo doménové struktuře, nezapomeňte před uživatelským jménem zadat plně kvalifikovaný název domény, a ne jenom název domény pro rozhraní NetBIOS. Zadejte například Corp.Contoso.com\Uživatelské_jméno místo pouze Corp\UserName. To umožňuje nástroji Configuration Manager používat protokol Kerberos, když se účet používá k ověření ve vzdáleném systému lokality. Použití plně kvalifikovaného názvu domény často řeší chyby ověřování způsobené nedávnými změnami posílení zabezpečení protokolu NTLM v měsíčních aktualizacích Windows.

Tip

Pokud máte mnoho řadičů domény a tyto účty se používají napříč doménami, před nastavením systému lokality zkontrolujte, jestli služba Active Directory tyto účty replikovala.

Když v každém systému lokality zadáte místní účet, který se má spravovat, bude tato konfigurace bezpečnější než použití účtů domény. Omezuje poškození, které můžou útočníci způsobit v případě ohrožení zabezpečení účtu. Správa doménových účtů je ale jednodušší. Zvažte kompromis mezi zabezpečením a efektivní správou.

Účet proxy serveru systému lokality

Následující role systému lokality používají účet proxy serveru systému lokality pro přístup k internetu přes proxy server nebo bránu firewall, která vyžaduje ověřený přístup:

• Bod synchronizace funkce Asset Intelligence
• Exchange Server Connector
• Spojovací bod služby
• Bod aktualizace softwaru

Důležité

Zadejte účet, který má nejmenší možná oprávnění pro požadovaný proxy server nebo bránu firewall.

Další informace najdete v tématu Podpora proxy serveru.

Účet připojení serveru SMTP

Server lokality používá účet připojení serveru SMTP k odesílání e-mailových upozornění, když server SMTP vyžaduje ověřený přístup.

Důležité

Zadejte účet, který má nejmenší možná oprávnění k odesílání e-mailů.

Další informace najdete v tématu Konfigurace upozornění.

Účet připojení bodu aktualizace softwaru

Server lokality používá účet připojení bodu aktualizace softwaru pro následující dvě služby aktualizace softwaru:

• Služba Windows Server Update Services (WSUS), která nastavuje nastavení, jako jsou definice produktů, klasifikace a upstreamová nastavení.

• Správce synchronizace služby WSUS, který požaduje synchronizaci s nadřazeným serverem WSUS nebo službou Microsoft Update.

Instalační účet systému lokality může instalovat součásti pro aktualizace softwaru, ale nemůže provádět funkce specifické pro aktualizaci softwaru v bodě aktualizace softwaru. Pokud pro tuto funkci nemůžete použít účet počítače serveru lokality, protože se bod aktualizace softwaru nachází v nedůvěryhodné doménové struktuře, musíte tento účet zadat společně s účtem instalace systému lokality.

Tento účet musí být místním správcem na počítači, na který instalujete službu WSUS. Musí být také součástí místní skupiny WSUS Administrators .

Další informace najdete v tématu Plánování aktualizací softwaru.

Účet zdrojového webu

Proces migrace používá účet zdrojové lokality pro přístup k poskytovateli serveru SMS zdrojové lokality. Tento účet vyžaduje oprávnění ke čtení objektů lokality ve zdrojové lokalitě ke shromažďování dat pro úlohy migrace.

Pokud máte distribuční body nástroje Configuration Manager 2007 nebo sekundární lokality se spolulokovanými distribučními body, při jejich upgradu na distribuční body nástroje Configuration Manager (aktuální větev) musí mít tento účet také oprávnění Odstranit pro třídu Lokality . Toto oprávnění slouží k úspěšnému odebrání distribučního bodu z lokality nástroje Configuration Manager 2007 během upgradu.

Poznámka

Účet zdrojové lokality i účet databáze zdrojové lokality jsou v uzlu Účty pracovního prostoru Správa v konzole nástroje Configuration Manager identifikovány jako Správce migrace.

Další informace najdete v tématu Migrace dat mezi hierarchiemi.

Účet databáze zdrojové lokality

Proces migrace používá účet databáze zdrojové lokality pro přístup k databázi SQL Serveru pro zdrojová lokalita. Pokud chcete shromažďovat data z databáze SQL Serveru zdrojové lokality, musí mít účet databáze zdrojové lokality oprávnění Číst a Spustit k databázi SQL Serveru zdrojové lokality.

Pokud používáte účet počítače nástroje Configuration Manager (aktuální větev), ujistěte se, že pro tento účet platí všechny následující podmínky:

• Je členem skupiny zabezpečení Distributed COM Users ve stejné doméně jako lokalita Configuration Manageru 2012.
• Je členem skupiny zabezpečení SMS Admins .
• Má oprávnění ke čtení pro všechny objekty nástroje Configuration Manager 2012.

Poznámka

Účet zdrojové lokality i účet databáze zdrojové lokality jsou v uzlu Účty pracovního prostoru Správa v konzole nástroje Configuration Manager identifikovány jako Správce migrace.

Další informace najdete v tématu Migrace dat mezi hierarchiemi.

Účet připojení k doméně pořadí úkolů

Instalační program systému Windows používá účet pro připojení k doméně pořadí úkolů k připojení počítače s nově vytvořenými imagemi k doméně. Tento účet vyžaduje krok pořadí úkolů Připojit se k doméně nebo pracovní skupině s možností Připojit k doméně . Tento účet je také možné nastavit pomocí kroku Použít nastavení sítě , ale není to nutné.

Tento účet vyžaduje oprávnění Připojení k doméně v cílové doméně.

Tip

Vytvořte jeden uživatelský účet domény s minimálními oprávněními pro připojení k doméně a použijte ho pro všechna pořadí úkolů.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Účet připojení síťové složky v pořadí úkolů

Modul pořadí úkolů používá účet připojení síťové složky pořadí úkolů pro připojení ke sdílené složce v síti. Tento účet vyžaduje krok pořadí úkolů Připojit k síťové složce .

Tento účet vyžaduje oprávnění pro přístup k zadané sdílené složce. Musí se jednat o účet uživatele domény.

Tip

Vytvořte jeden účet uživatele domény s minimálními oprávněními pro přístup k požadovaným síťovým prostředkům a použijte ho pro všechna pořadí úkolů.

Důležité

Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění.

Nepoužívejte pro tento účet účet pro přístup k síti.

Účet spustit jako pořadí úkolů

Modul pořadí úkolů používá ke spuštění příkazového řádku nebo skriptů PowerShellu s jinými přihlašovacími údaji, než je účet Místního systému, spustit pořadí úkolů jako účet . Tento účet vyžadují kroky pořadí úkolů Spustit příkazový řádek a Spustit skript PowerShellu s vybranou možností Spustit tento krok jako následující účet .

Nastavte účet tak, aby měl minimální oprávnění požadovaná ke spuštění příkazového řádku, který zadáte v pořadí úkolů. Účet vyžaduje interaktivní přihlašovací práva. Obvykle vyžaduje možnost instalace softwaru a přístupu k síťovým prostředkům. Pro úlohu Spustit skript PowerShellu tento účet vyžaduje oprávnění místního správce.

Důležité

Nepoužívejte pro tento účet účet pro přístup k síti.

Nikdy neudělejte účet jako správce domény.

Pro tento účet nikdy nenastavujte cestovní profily. Když se pořadí úkolů spustí, stáhne cestovní profil pro účet. Profil tak zůstane zranitelný pro přístup k místnímu počítači.

Omezte rozsah účtu. Můžete například vytvořit různá pořadí úkolů, která se budou spouštět jako účty pro každé pořadí úkolů. Pokud dojde k ohrožení zabezpečení jednoho účtu, budou ohroženy pouze klientské počítače, ke kterým má tento účet přístup.

Pokud příkazový řádek vyžaduje přístup správce v počítači, zvažte vytvoření účtu místního správce výhradně pro tento účet na všech počítačích, na kterých je spuštěné pořadí úkolů. Jakmile už účet nepotřebujete, odstraňte ho.

Objekty uživatelů, které Configuration Manager používá na SQL Serveru

Configuration Manager automaticky vytváří a udržuje následující uživatelské objekty v SQL. Tyto objekty se nacházejí v databázi nástroje Configuration Manager v části Zabezpečení/Uživatelé.

Důležité

Úprava nebo odebrání těchto objektů může způsobit drastické problémy v prostředí nástroje Configuration Manager. Doporučujeme, abyste v těchto objektech neprobíjeli žádné změny.

smsdbuser_ReadOnly

Tento objekt se používá ke spouštění dotazů v kontextu jen pro čtení. Tento objekt se používá s několika uloženými procedurami.

smsdbuser_ReadWrite

Tento objekt slouží k poskytování oprávnění pro dynamické příkazy SQL.

smsdbuser_ReportSchema

Tento objekt se používá ke spouštění spuštění generování sestav SQL Serveru. S touto funkcí se používá následující uložená procedura: spSRExecQuery.

Databázové role, které Configuration Manager používá v SQL

Configuration Manager automaticky vytváří a udržuje následující objekty rolí v SQL. Tyto role poskytují přístup ke konkrétním uloženým procedur, tabulkám, zobrazením a funkcím. Tyto role buď získají nebo přidají data do databáze nástroje Configuration Manager. Tyto objekty se nacházejí v databázi nástroje Configuration Manager v části Zabezpečení/Role/Databázové role.

Důležité

Úprava nebo odebrání těchto objektů může způsobit drastické problémy v prostředí nástroje Configuration Manager. Tyto objekty neměňte. Následující seznam slouží pouze pro informační účely.

smsdbrole_AITool

Configuration Manager uděluje toto oprávnění uživatelským účtům pro správu na základě přístupu na základě role k importu informací o multilicenčních licencích pro funkci Asset Intelligence. Tento účet může být přidán rolí správce s úplným oprávněním, správcem provozu nebo správcem prostředků nebo libovolnou rolí s oprávněním Spravovat funkci Asset Intelligence.

smsdbrole_AIUS

Configuration Manager udělí účtu počítače, který je hostitelem účtu bodu synchronizace funkce Asset Intelligence, přístup k získání dat proxy funkce Asset Intelligence a zobrazení čekajících dat AI k nahrání.

smsdbrole_CRP

Nástroj Configuration Manager uděluje oprávnění účtu počítače systému lokality, který podporuje bod registrace certifikátu pro podporu protokolu SCEP (Simple Certificate Enrollment Protocol) pro podepisování a obnovení certifikátu.

smsdbrole_CRPPfx

Configuration Manager udělí oprávnění účtu počítače systému lokality, který podporuje bod registrace certifikátu nakonfigurovaný pro podporu podepisování a obnovení PFX.

smsdbrole_DMP

Configuration Manager udělí toto oprávnění účtu počítače pro bod správy, který má možnost Povolit mobilním zařízením a počítačům Mac používat tento bod správy, což je možnost poskytovat podporu pro zařízení zaregistrovaná v MDM.

smsdbrole_DmpConnector

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem spojovacího bodu služby, k načítání a poskytování diagnostických dat, správě cloudových služeb a načítání aktualizací služby.

smsdbrole_DViewAccess

Configuration Manager udělí toto oprávnění účtu počítače serverů primární lokality v cas, když je ve vlastnostech odkazu replikace vybraná možnost distribuovaných zobrazení SQL Serveru.

smsdbrole_DWSS

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role datového skladu.

smsdbrole_EnrollSvr

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu registrace, a povolí registraci zařízení přes MDM.

smsdbrole_extract

Poskytuje přístup ke všem rozšířeným zobrazením schématu.

smsdbrole_HMSUser

Pro službu správce hierarchie. Configuration Manager uděluje tomuto účtu oprávnění ke správě zpráv o stavu převzetí služeb při selhání a transakcí služby SQL Server Broker mezi lokalitami v hierarchii.

Poznámka

Role smdbrole_WebPortal je ve výchozím nastavení členem této role.

smsdbrole_MCS

Configuration Manager udělí toto oprávnění účtu počítače distribučního bodu, který podporuje vícesměrové vysílání.

smsdbrole_MP

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role bodu správy, aby mohl poskytovat podporu pro klienty nástroje Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu správy, který spravuje nástroj BitLocker pro prostředí.

smsdbrole_MPUserSvc

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu správy, aby podporoval žádosti aplikací založené na uživatelích.

smsdbrole_siteprovider

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem role poskytovatele serveru SMS.

smsdbrole_siteserver

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem primární lokality nebo cas.

smsdbrole_SUP

Configuration Manager udělí toto oprávnění účtu počítače, který je hostitelem bodu aktualizace softwaru pro práci s aktualizacemi třetích stran.

smsschm_users

Configuration Manager uděluje přístup k účtu používanému pro účet bodu služby Reporting Services, aby byl povolen přístup k zobrazením sestav SMS, aby se zobrazila data sestav nástroje Configuration Manager. Data jsou dále omezena použitím přístupu na základě role.

Zvýšená oprávnění

Configuration Manager vyžaduje, aby některé účty měly zvýšená oprávnění pro probíhající operace. Viz například Požadavky pro instalaci primární lokality. Následující seznam shrnuje tato oprávnění a důvody, proč jsou potřeba.

• Účet počítače serveru primární lokality a serveru lokality centrální správy vyžaduje:

  • Práva místního správce na všech serverech systému lokality Toto oprávnění slouží ke správě, instalaci a odebírání systémových služeb. Server lokality také aktualizuje místní skupiny v systému lokality, když přidáte nebo odeberete role.

  • Přístup správce systému k instanci SQL Serveru pro databázi lokality. Toto oprávnění slouží ke konfiguraci a správě SQL Serveru pro lokalitu. Configuration Manager se úzce integruje s SQL, není to jen databáze.

• Uživatelské účty s rolí Úplný správce vyžadují:

  • Práva místního správce na všech serverech lokality. Toto oprávnění slouží k zobrazení, úpravám, odebírání a instalaci systémových služeb, klíčů a hodnot registru a objektů rozhraní WMI.

  • Přístup správce systému k instanci SQL Serveru pro databázi lokality. Toto oprávnění slouží k instalaci a aktualizaci databáze během instalace nebo obnovení. Vyžaduje se také pro údržbu a operace SQL Serveru. Například přeindexování a aktualizace statistik.

    Poznámka

    Některé organizace můžou odebrat přístup správce systému a udělit ho jenom v případě potřeby. Toto chování se někdy označuje jako přístup za běhu (JIT). V tomto případě by uživatelé s rolí úplný správce měli mít stále přístup ke čtení, aktualizaci a spouštění uložených procedur v databázi nástroje Configuration Manager. Tato oprávnění jim umožňují řešit většinu problémů bez úplného přístupu správce systému.