Technické informace o účtech používaných ve Správci konfigurace
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Pomocí následujících informací identifikujte skupiny systému Windows a účty, které jsou používány v nástroji System Center 2012 Configuration Manager, způsob jejich použití a jakékoli požadavky.
Skupiny systému Windows, které vytváří a používá nástroj Configuration Manager
Nástroj Configuration Manager automaticky vytváří a v mnoha případech automaticky udržuje následující skupiny systému Windows:
Poznámka
Když nástroj Configuration Manager vytvoří skupinu v počítači, který je členem domény, bude skupina místní skupinou zabezpečení. Pokud je počítač řadičem domény, skupina bude místní skupinou domény, která je sdílena mezi všemi řadiči domény v doméně.
ConfigMgr_CollectedFilesAccess
Nástroj Configuration Manager tuto skupinu používá k udělení přístupu k zobrazení souborů shromážděných inventářem softwaru.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení vytvořená na serveru primární lokality. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Členství |
Configuration Manager automaticky řídí členství skupiny. Členství zahrnuje správce, kterým je uděleno oprávnění Zobrazit shromážděné soubory pro zabezpečitelný objekt Kolekce z přiřazené role zabezpečení. |
Oprávnění |
Ve výchozím nastavení má tato skupina oprávnění Read k následující složce na serveru lokality: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Tato skupina je místní skupina zabezpečení vytvořená na databázovém serveru lokality nebo replikačním serveru databáze nástrojem System Center 2012 Configuration Manager a není právě používána. Tato skupina je vyhrazena pro budoucí použití nástrojem Configuration Manager.
Uživatelé vzdáleného ovládání nástroje ConfigMgr
Vzdálené nástroje Configuration Manager tuto skupinu používají k ukládání účtů a skupin konfigurovaných v seznamu povolených prohlížečů, které jsou jednotlivým klientům přiřazeny.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
||
|---|---|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení vytvořená na klientovi nástroje Configuration Manager, když klient obdrží zásadu, která povoluje vzdálené nástroje.
|
||
Členství |
Ve výchozím nastavení nejsou v této skupině žádní členové. Pokud přidáte uživatele do seznamu povolených prohlížečů, budou do této skupiny přidáni automaticky. Tip Seznam povolených prohlížečů lze použít ke správě členství této skupiny místo přidání uživatelů nebo skupin přímo do této skupiny. Správce musí být nejen povoleným prohlížečem, ale také musí mít oprávnění Vzdálené řízení k objektu Kolekce. Toto oprávnění lze přiřadit pomocí role zabezpečení Operátor nástrojů pro vzdálenou správu. |
||
Oprávnění |
Ve výchozím nastavení tato skupina nemá oprávnění pro žádná umístění v počítači a používá se pouze k uložení seznamu povolených prohlížečů. |
.jpeg "System_CAPS_important")
DůležitéSprávci SMS
Nástroj Configuration Manager tuto skupinu používá k udělení přístupu k poskytovateli serveru SMS prostřednictvím služby WMI. Přístup k poskytovateli serveru SMS je nutný k zobrazení a změně objektů v konzole nástroje Configuration Manager.
Poznámka
Konfigurace správy na základě rolí správce určuje, které objekty se mohou zobrazit a spravovat při použití konzoly správy Configuration Manager.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení vytvořená v jednotlivých počítačích, které mají poskytovatele serveru SMS. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Členství |
Configuration Manager automaticky řídí členství skupiny. Ve výchozím nastavení je každý správce v hierarchii a účet počítače serveru lokalit členem skupiny Správci SMS v jednotlivých počítačích poskytovatele SMS v lokalitě. |
Oprávnění |
Práva a oprávnění správců služby SMS se nastavují v modulu snap-in Control MMC v rámci WMI. Ve výchozím nastavení má skupina správců SMS oprávnění Enable Account a Remote Enable v prostoru názvů Root\SMS. Ověření uživatelé mají oprávnění Execute Methods, Provider Write a Enable Account. Poznámka Administrativní uživatelé, kteří používají vzdálenou konzolu nástroje Configuration Manager, vyžaduje oprávnění modelu DCOM pro vzdálenou aktivaci na počítači serveru lokality a na počítači poskytovatele serveru SMS. Osvědčeným postupem je udělení těchto oprávnění správcům služby SMS, aby bylo možné zjednodušit správu, místo udělení těchto oprávnění přímo uživatelům nebo skupinám. Další informace najdete v části Nastavte oprávnění modelu DCOM pro vzdálená připojení konzoly nástroje Configuration Manager v tématu Správa konfigurací lokality a hierarchie. |
SMS_SiteSystemToSiteServerConnection_MP_<kód_lokality>
Tuto skupinu používají body správy nástroje Configuration Manager vzdálené ze serveru lokality, k připojení k databázi lokality. Tato skupina nabízí bodu správy přístup ke složkám příchozí pošty na serveru lokality a v databázi lokality.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení vytvořená v jednotlivých počítačích, které mají poskytovatele serveru SMS. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Členství |
Configuration Manager automaticky řídí členství skupiny. Ve výchozím nastavení členství zahrnuje počítačové účty vzdálených počítačů, které mají pro lokalitu bod správy. |
Oprávnění |
Ve výchozím nastavení má tato skupina oprávnění Read, Read & execute a List folder contents ke složce %path%\Microsoft Configuration Manager\inboxes na serveru lokality. Kromě toho má tato skupina další oprávnění Write k různým podsložkám v rámci složky inboxes, do které bod správy zapisuje data klientů. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<kód_lokality>
Tuto skupinu používají počítače poskytovatele serveru SMS nástroje Configuration Manager vzdálené ze serveru lokality k připojení k databázi lokality.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení na serveru lokality. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Členství |
Configuration Manager automaticky řídí členství skupiny. Ve výchozím nastavení členství zahrnuje počítačový účet nebo uživatelský účet domény, který se používá k připojení serveru lokality z jednotlivých vzdálených počítačů s nainstalovaným poskytovatelem serveru SMS pro danou lokalitu. |
Oprávnění |
Ve výchozím nastavení má tato skupina oprávnění Read, Read & execute a List folder contents ke složce %path%\Microsoft Configuration Manager\inboxes na serveru lokality. Kromě toho má tato skupina další oprávnění Write nebo oprávnění Zapsat a Změnit k různým podsložkám ve složce inboxes, ke kterým poskytovatel serveru SMS požaduje přístup. Tato skupina má také oprávnění Read, Read & execute, List folder contents, Zapsat a Změnit ke složkám ve složce %path%\Microsoft Configuration Manager\OSD\boot a oprávnění Číst ke složkám ve složce %path%\Microsoft Configuration Manager\OSD\Bin na serveru lokality. |
SMS_SiteSystemToSiteServerConnection_Stat_<kód_lokality>
Tato skupina je používána správcem odesílání souborů v počítačích systému vzdálené lokality nástroje Configuration Manager k připojení k serveru lokality.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení na serveru lokality. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Členství |
Configuration Manager automaticky řídí členství skupiny. Ve výchozím nastavení členství zahrnuje počítačový účet nebo uživatelský účet domény, který se používá k připojení serveru lokality z jednotlivých počítačů systému vzdálené lokality se správcem odesílání souborů. |
Oprávnění |
Ve výchozím nastavení má tato skupina oprávnění Read, Read & execute a List folder contents ke složce %path%\Microsoft Configuration Manager\inboxes a různým podsložkám v rámci daného umístění na serveru lokality. Kromě toho má tato skupina další oprávnění Zapsat a Změnit ke složce %path%\Microsoft Configuration Manager\inboxes\statmgr.box na serveru lokality. |
SMS_SiteToSiteConnection_<kód_lokality>
Nástroj Configuration Manager tuto skupinu používá k povolení souborové replikace mezi lokalitami v hierarchii. Pro každou vzdálenou lokalitu, která přímo převádí soubory do této lokality, tato skupina obsahuje následující účty:
Účty konfigurované jako Účet adresy lokality z lokality nástroje Configuration Manager bez jakýchkoli aktualizací Service Pack
Účty konfigurované jako Účet replikace souborů z lokalit s nástrojem Configuration Manager SP1 nebo novějším
Poznámka
Počínaje verzí Configuration Manager SP1 účet replikace souborů nahrazuje účet adresy lokality.
Následující tabulka uvádí dodatečné údaje pro tuto skupinu:
Údaj |
Další informace |
|---|---|
Typ a umístění |
Tato skupina je místní skupina zabezpečení na serveru lokality. |
Členství |
Když instalujete novou lokalitu jako podřízenou jiné lokalitě, nástroj Configuration Manager automaticky přidá počítačový účet nové lokality do skupiny na serveru nadřazené lokality a počítačový účet nadřazené lokality do skupiny na serveru nové lokality. Pokud určíte jiný účet pro souborové přenosy, přidejte daný účet do této skupiny na cílovém serveru lokality. Poznámka Když odinstalujete lokalitu, nebude tato skupina odstraněna automaticky a musíte ji vymazat ručně. |
Oprávnění |
Ve výchozím nastavení má tato skupina oprávnění Úplné řízení ke složce %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive. |
Účty, které používá nástroj Configuration Manager
Pro nástroj Configuration Manager lze konfigurovat následující účty:
Účet zjišťování skupiny služby Active Directory
Účet zjišťování skupiny služby Active Directory se používá k zjišťování místních, globálních a univerzálních skupin zabezpečení, členství v rámci těchto skupin a členství v rámci distribučních skupin z určitých umístění ve službě AD DS (Active Directory Domain Services). Distribuční skupiny nejsou zjišťovány jako zdroje skupiny.
Tento účet může být účet počítače serveru lokality, který spouští zjišťování nebo je to účet uživatele systému Windows. Musí mít přístupové oprávnění k Čtení umístění aktivního adresáře, která jsou určena pro zjišťování.
Účet zjišťování systému služby Active Directory
Účet zjišťování systému služby Active Directory se používá ke zjišťování počítačů z určitých umístění ve službě AD DS (Active Directory Domain Services).
Tento účet může být účet počítače serveru lokality, který spouští zjišťování nebo je to účet uživatele systému Windows. Musí mít přístupové oprávnění k Čtení umístění aktivního adresáře, která jsou určena pro zjišťování.
Účet zjišťování uživatele služby Active Directory
Účet zjišťování uživatele služby Active Directory se používá ke zjišťování účtů z určitých umístění ve službě AD DS (Active Directory Domain Services).
Tento účet může být účet počítače serveru lokality, který spouští zjišťování nebo je to účet uživatele systému Windows. Musí mít přístupové oprávnění k Čtení umístění aktivního adresáře, která jsou určena pro zjišťování.
Účet doménové struktury služby Active Directory
Účet doménové struktury služby Active Directory se používá ke zjišťování síťové infrastruktury z doménové struktury služby Active Directory a také k publikování dat lokality pomocí lokalit centrální správy do služby AD DS (Active Directory Domain Services) doménové struktury.
Poznámka
Sekundární lokality vždy používají k publikování pro službu Active Directory účet počítače serveru sekundární lokality.
Poznámka
Účet doménové struktury služby Active Directory vyžaduje pro zjišťování a publikování na nedůvěryhodných doménových strukturách globální účet. Pokud nepoužíváte účet počítače serveru lokality, můžete zvolit pouze globální účet.
Tento účet musí mít oprávnění Číst k jednotlivým doménovým strukturám služby Active Directory, aby bylo možné zjišťovat síťovou infrastrukturu.
Tento účet musí mít oprávnění Úplné řízení ke kontejneru Správa systému a všem jeho podřízeným objektům v jednotlivých doménových strukturách služby Active Directory, do kterých chcete data lokality publikovat.
Účty zřizování a zjišťování technologie AMT
Účet zřizování a zjišťování technologie AMT je funkčně srovnatelný s účtem vzdáleného správce AMT a je uložen v rozšíření Management Engine BIOS (MEBx) počítačů s podporou technologie Intel AMT. Tento účet používá server, který zastává roli vzdáleného servisního bodu, ke správě některých funkcí síťového rozhraní AMT pomocí funkce vzdálené správy.
Pokud zadáte účet zřizování a zjišťování technologie AMT v nástroji Configuration Manager, musí se shodovat s názvem a heslem účtu vzdáleného správce AMT, který je zadán v rozšíření BIOS v počítačích s podporou technologie AMT.
Poznámka
Další informace o tom, jestli určit účet zřizování a zjišťování AMT, najdete v části Krok 5: Konfigurace mimo pásmo komponenty správy tématu Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager v průvodci Prostředky a kompatibilita v nástroji System Center 2012 Configuration Manager.
Účet je uložen v rozšíření Management Engine BIOS počítače s podporou technologie AMT a neodpovídá žádnému účtu v systému Windows.
Účet pro odebrání zřizování technologie AMT
Účet pro odebrání zřizování technologie AMT může informace o zřizování technologie AMT odebrat, pokud je nutné lokalitu obnovit. Také je možné jej použít, pokud byl znovu přiřazen klient nástroje Configuration Manager a informace o zřizování technologie AMT nebyly odebrány z počítače ve staré lokalitě.
Chcete-li úspěšně odstranit informace o zřizování technologie AMT pomocí účtu pro odebrání zřizování technologie AMT, musí být všechny následující podmínky pravdivé:
Účet pro odebrání zřizování technologie AMT je konfigurován ve vlastnostech součásti vzdálené správy.
Účet konfigurovaný pro účet pro odebrání zřizování technologie AMT byl konfigurován jako účet uživatele AMT ve vlastnostech součásti vzdálené správy, pokud byl počítač s podporou technologie AMT zřízen nebo aktualizován.
Účet, který je nakonfigurován pro účet pro odebrání zřizování technologie AMT, musí být členem místní skupiny správců v počítači vzdáleného servisního bodu.
Protokol auditování AMT není povolen.
Protože se jedná o účet uživatele systému Windows, vyberte účet se silným heslem, jehož platnost nevyprší.
Účet vzdálené správy AMT
Účet vzdálené správy AMT je účet v rozšíření Management Engine BIOS (MEBx) počítačů založených na technologii Intel AMT, který používá server s rolí vzdáleného servisního bodu ke správě některých funkcí síťového rozhraní AMT v nástroji Configuration Manager, prostřednictvím funkce vzdálené správy.
Nástroj Configuration Manager automaticky nastavuje heslo účtu vzdálené správy pro počítače, které pro technologii AMT zajišťuje. Toto heslo se poté používá k následnému ověřenému přístupu k firmwaru AMT. Tento účet je funkčně srovnatelný s účtem pro zřizování a zjišťování technologie AMT nástroje Configuration Manager.
Účet je uložen v rozšíření Management Engine BIOS počítače s podporou technologie AMT a neodpovídá žádnému účtu v systému Windows.
Uživatelské účty s technologií AMT
Uživatelské účty s technologií AMT řídí, kteří uživatelé nebo skupiny systému Windows mohou spouštět funkce správy v konzole pro vzdálenou správu.
Konfigurace uživatelských účtů s technologií AMT tvoří ekvivalent seznamu řízení přístupu (ACL) ve firmwaru AMT. Když se přihlášení uživatelé pokusí spustit konzolu pro vzdálenou správu, technologie AMT použije službu Kerberos k ověření účtu a poté povolí nebo zamítne přístup ke spuštění funkcí správy AMT.
Uživatelské účty technologie AMT je třeba nakonfigurovat před zřízením počítačů založených na technologii AMT. Pokud uživatelské účty s technologií AMT nakonfigurujete po zřízení počítačů pro AMT, je třeba paměť AMT pro tyto počítače ručně aktualizovat, aby byly překonfigurovány s novým nastavením.
Protože uživatelské účty s technologií AMT využívají ověřování Kerberos, uživatelské účty a skupiny zabezpečení musí existovat v doméně služby Active Directory.
Účet proxy serveru bodu synchronizace informací o prostředcích
Účet proxy serveru bodu synchronizace informací o prostředcích se používá bodem synchronizace služby Asset Intelligence k přístupu k internetu prostřednictvím serveru proxy nebo brány firewall, která vyžaduje ověřený přístup.
.jpeg "System_CAPS_security") Zabezpečení – Poznámka |
|---|
Určete účet, který má nejmenší možná oprávnění pro požadovaný proxy server nebo bránu firewall. |
Účet bodu registrace certifikátu
Účet bodu registrace certifikátu slouží k propojení bodu registrace certifikátu s databází nástroje Configuration Manager. Ve výchozím nastavení se používá počítačový účet serveru bodu registrace certifikátu, ale lze místo něj nakonfigurovat uživatelský účet. Uživatelský účet je třeba zadat vždy, když je bod registrace certifikátu nedůvěryhodnou doménou ze serveru lokality. Tento účet vyžaduje pouze oprávnění ke čtení databáze lokality, protože operace zápisu jsou zpracovány systémem stavových zpráv.
Účet zaznamenání bitové kopie operačního systému
Účet zaznamenání bitové kopie operačního systému je používán nástrojem Configuration Manager k přístupu ke složce, kde jsou uloženy zaznamenané bitové kopie, pokud nasazujete operační systémy. Tento účet je nutný, pokud přidáváte krok Zaznamenat kopii operačního systému do pořadí úloh.
Účet musí mít oprávnění Číst a Zapsat ke sdílené síťové složce, ve které je uložena zaznamenaná bitová kopie.
Pokud se v systému Windows změní heslo účtu, je třeba aktualizovat pořadí úloh novým heslem. Klient nástroje Configuration Manager obdrží nové heslo při příštím stažení zásad klienta.
Použijete-li tento účet, můžete vytvořit jeden uživatelský účet domény s minimálními oprávněními pro přístup k požadovaným síťovým zdrojům a použít jej pro všechny účty pořadí úkolů.
| Zabezpečení – Poznámka |
|---|
Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění. Pro tento účet nepoužívejte účet přístupu k síti. |
Účet klientské nabízené instalace
Účet klientské nabízené instalace se používá pro připojování k počítačům a instalaci klientského softwaru Configuration Manager, když nasadíte klienty pomocí klientské nabízené instalace. Pokud není tento účet zadán, bude k instalaci klientského softwaru využit účet serveru lokality.
Tento účet musí být členem místní skupiny Správců v počítačích, do kterých má být nainstalován klientský software Configuration Manager. Tento účet nevyžaduje oprávnění správce domény.
Můžete určit jeden nebo více účtů nabízené klientské instalaci, které se budou Configuration Manager postupně zkoušet, dokud jeden neuspěje.
Tip
Pro efektivnější koordinaci aktualizací účtu ve velkých nasazeních služby Active Directory, vytvořte nový účet s odlišným názvem a pak přidejte nový účet do seznamu účtů nabízené klientské instalace v nástroji Configuration Manager. Nechte službám Active Directory Domain Services dostatek času na replikaci nového účtu a pak odeberte starý účet z nástroje Configuration Manager a služeb Active Directory Domain Services.
| Zabezpečení – Poznámka |
|---|
Neudělujte tomuto účtu oprávnění k místnímu přihlašování. |
Účet připojení bodu zápisu
Účet připojení bodu zápisu se připojuje k bodu zápisu do databáze lokalita nástroje Configuration Manager. Ve výchozím nastavení se používá počítačový účet bodu zápisu, ale lze místo něj nakonfigurovat uživatelský účet. Uživatelský účet je třeba zadat vždy, když je bod zápisu nedůvěryhodnou doménou ze serveru lokality. Tento účet vyžaduje oprávnění čtení a zápisu do databáze lokality.
Účet připojení serveru Exchange
Účet připojení k serveru Exchange připojuje server lokality k určenému počítači serveru Exchange a hledá a spravuje mobilní zařízení, která se připojují k serveru Exchange. Tento účet vyžaduje rutiny Exchange PowerShell, které poskytují nezbytné oprávnění pro počítač serveru Exchange. Další informace o rutinách naleznete v tématu Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange.
Účet proxy serveru konektoru serveru Exchange
Účet proxy serveru konektoru serveru Exchange je používán konektorem serveru Exchange pro přístup k Internetu prostřednictvím serveru proxy nebo brány firewall, která vyžaduje ověřený přístup.
| Zabezpečení – Poznámka |
|---|
Určete účet, který má nejmenší možná oprávnění pro požadovaný proxy server nebo bránu firewall. |
Účet připojení serveru SMTP Endpoint Protection
Pro nástroj Configuration Manager bez aktualizace Service Pack: Účet připojení serveru SMTP Endpoint Protection je používán serverem lokality k odesílání e-mailových upozornění na nástroj Endpoint Protection, pokud server SMTP vyžaduje ověřený přístup.
| Zabezpečení – Poznámka |
|---|
Určete účet s nejmenšími možnými oprávněními k odesílání e-mailů. |
Účet pro publikování odkazu na stav
Účet pro publikování odkazu na stav se používá k publikování odkazů stavu architektury NAP (Network Access Protection) pro nástroj Configuration Manager do služby Active Directory Domain Services.
Pokud neprovedete konfiguraci tohoto účtu, nástroj Configuration Manager se k publikaci odkazů stavu pokusí použít účet počítače serveru lokality.
Tento účet vyžaduje oprávnění Ke čtení, Zápisu a Tvorbě pro strukturu služby Active Directory, která obsahuje odkazy stavu.
Vytvořte ve struktuře účet, který je určen k ukládání odkazů stavu. Přiřaďte tomuto účtu nejmenší možné oprávnění a nepoužívejte stejný účet, který je určen pro účet pro dotazování odkazu na stav, který vyžaduje pouze oprávnění Ke čtení.
Účet pro dotazování odkazu na stav
Účet pro dotazování odkazu na stav se používá k načítání odkazů stavu architektury NAP (Network Access Protection) pro nástroj Configuration Manager ze služby Active Directory Domain Services.
Pokud neprovedete konfiguraci tohoto účtu, nástroj Configuration Manager se k načtení odkazů stavu pokusí použít účet počítače serveru lokality.
Tento účet vyžaduje oprávnění Číst pro kontejner nástroje Configuration ManagerSystems Management v globálním katalogu.
Vytvořte ve struktuře účet, který je určen k ukládání odkazů stavu. Pro účet pro publikování odkazu na stav nepoužívejte stejný účet, jelikož vyžaduje více oprávnění.
| Zabezpečení – Poznámka |
|---|
Neudělujte tomuto účtu interaktivní přihlašovací práva. |
Účet připojení k bodu správy
Účet připojení bodu správy se používá k připojení bodu správy k databázi lokality nástroje Configuration Manager, aby mohla odesílat a přijímat informace pro klienty. Ve výchozím nastavení se používá počítačový účet bodu správy, ale lze místo něj nakonfigurovat uživatelský účet. Uživatelský účet je třeba zadat vždy, když je bod správy nedůvěryhodnou doménou ze serveru lokality.
Vytvořte účet jako místní účet s omezenými právy v počítači, na kterém je spuštěna služba Microsoft SQL Server.
| Zabezpečení – Poznámka |
|---|
Neudělujte tomuto účtu interaktivní přihlašovací práva. |
Účet MEBx
Účet MEBx je účet v rozšíření Management Engine BIOS extension (MEBx) v počítačích s technologií Intel AMT a používá se k počátečnímu ověřenému přístupu do firmwaru AMT v počítačích s technologií AMT.
Účet MEBx má název admin a ve výchozím nastavením je použito heslo admin. Výrobce může poskytovat upravené heslo nebo můžete v prostředí AMT určit vlastní heslo. Pokud je heslo MEBx nastaveno na jinou hodnotu než admin, je nutné konfigurovat účet pro zřizování a zjišťování technologie AMT. Další informace najdete v části Krok 5: Konfigurace mimo pásmo komponenty správy v tématu Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager.
Účet je uložen v rozšíření Management Engine BIOS počítače s podporou technologie AMT. Tento účet neodpovídá žádnému účtu v systému Windows.
Pokud nebylo výchozí heslo MEBx změněno dříve než nástroj Configuration Manager zařídil počítače pro technologii AMT, během procesu zařizování technologie AMT, nástroj Configuration Manager nastaví nakonfigurované heslo.
Účet pro připojení vícesměrového vysílání
Účet pro připojení vícesměrového vysílání je používán distribučními body, které jsou konfigurovány pro vícesměrové vysílání ke čtení informací z databáze lokality. Ve výchozím nastavení se používá počítačový účet distribučního bodu, ale lze místo něj nakonfigurovat uživatelský účet. Uživatelský účet je třeba zadat vždy, když je databáze lokality nedůvěryhodnou doménovou strukturou. Pokud například datové centrum obsahuje hraniční síť v doménové struktuře odlišnou od serveru lokality a databáze lokality, můžete tento účet použít ke čtení informací vícesměrového vysílání z databáze lokality.
Pokud vytvoříte tento účet, vytvořte ho s omezenými právy v počítači, na kterém je spuštěna služba Microsoft SQL Server.
| Zabezpečení – Poznámka |
|---|
Neudělujte tomuto účtu interaktivní přihlašovací práva. |
Účet přístupu k síti
Účet přístupu k síti je používán klientskými počítači, když nemohou používat místní počítačový účet pro přístup k obsahu v distribučních bodech. To například platí pro klienty pracovní skupiny a počítače z nedůvěryhodných domén. Tento účet lze také použít během nasazování operačního systému, když počítač instalující operační systém nemá ještě počítačový účet v doméně.
Poznámka
Účet přístupu k síti se nikdy nepoužívá jako bezpečnostní kontext ke spouštění programů, instalaci softwarových aktualizací nebo spouštění pořadí úloh. Používá se pouze pro přístup ke zdrojům na síti.
Udělte tomuto účtu minimální vhodná oprávnění k přístupu k obsahu, který klient vyžaduje pro přístup k softwaru. Účet musí obsahovat právo Přístup k tomuto počítači ze sítě v distribučním bodě nebo jiném serveru, který obsahuje obsah balíčku. Před verzí nástroje System Center 2012 R2 Configuration Manager jste mohli vytvořit pouze jeden účet přístupu k síti na lokalitu a tento účet musel fungovat pro všechny balíčky a pořadí úloh, pro které byl nezbytný. Od verze System Center 2012 R2 Configuration Manager lze nakonfigurovat několik účtů přístupu k síti pro jednotlivé lokality.
.jpeg "System_CAPS_warning") Upozornění |
|---|
Pokud se nástroj Configuration Manager pokusí použít účet computername$ ke stažení obsahu a selže, automaticky se pokusí znovu použít účet přístupu k síti, i když se o to dříve pokusil a pokus se nezdařil. |
Vytvořte účet v libovolné doméně, která poskytuje nezbytný přístup ke zdrojům. Účet přístupu k síti musí vždy zahrnovat název domény. Předávací zabezpečení není u tohoto účtu podporováno. Pokud máte distribuční body ve více doménách, vytvořte účet v důvěryhodné doméně.
Tip
Chcete-li se vyhnout uzamknutí účtu, neměňte heslo stávajícího účtu přístupu k síti. Místo toho vytvořte nový účet a proveďte konfiguraci nového účtu v Configuration Manager. Po uplynutí dostatečné doby, aby všichni klienti obdrželi nové podrobnosti účtu, odstraňte starý účet ze sdílených síťových složek a účet odstraňte.
| Zabezpečení – Poznámka |
|---|
Neudělujte tomuto účtu interaktivní přihlašovací práva. Neudělujte tomuto účtu oprávnění k připojování počítačů do domény. Pokud musíte během sekvence úlohy připojit počítače k doméně, použijte účet připojení domény editoru sekvence úlohy. |
Pro System Center 2012 R2 Configuration Manager a novější: Nyní můžete určit více účtů přístupu k síti pro danou lokalitu. Když se klienti pokusí o přístup k obsahu a nemůžou použít svůj účet místního počítače, nejprve použijí poslední účet přístupu k síti, který se úspěšně připojil.Configuration Manager podporuje přidání až deseti účtů přístupu k síti.
Účet pro přístup k balíčku
Účty pro přístup k balíčkům umožňují nastavit oprávnění systému souborů NTFS a zadat uživatele a skupiny uživatelů, kteří mohou přistupovat ke složce balíčku v distribučním bodu. Ve výchozím nastavení uděluje nástroj Configuration Manager oprávnění pouze obecným účtům pro přístup ze skupiny Uživatelé a Správci, ale přístup pro klientské počítače můžete řídit pomocí dalších skupin a účtů systému Windows. Mobilní zařízení vždy načítají obsah balíčku anonymně, takže mobilní zařízení účty přístupu k balíčku nevyužívají.
Ve výchozím nastavení, když nástroj Configuration Manager vytvoří sdílení balíčku v distribučním bodě, tak udělí oprávnění Ke čtení místní skupině Uživatelů a Úplné řízení místní skupině Správců. Skutečné vyžadované oprávnění závisí na balíčku. Pokud máte klienty v pracovních skupinách nebo v nedůvěryhodných doménových strukturách, budou tito klienti používat účet přístupu k síti pro přístup k obsahu balíčku. Ověřte, zda má účet přístupu k síti oprávnění k balíčku pomocí definovaných účtů přístupu k balíčku.
Použijte účty v doméně s přístupem k distribučním bodům. Pokud vytvoříte nebo upravíte účet po vytvoření balíčku, je třeba balíček znovu distribuovat. Aktualizace balíčku nezmění oprávnění NTFS v balíčku.
Nemusíte přidávat účet přístupu k síti jako účet přístupu k balíčku, protože členství ve skupině uživatelů ho přidá samostatně. Omezení účtu pro přístup k balíčkům pouze na účet přístupu k síti nezabrání klientům v přístupu k balíčku.
Účet servisního místa služby Reporting Services
Účet servisního místa Reporting Services používají služby SQL Server Reporting Services k načítání dat ze sestav Configuration Manager z databáze lokality. Zadaný uživatelský účet systému Windows a jeho heslo jsou zašifrovány a uloženy v databázi služby SQL Server Reporting Services.
Účty povolených prohlížečů vzdálených nástrojů
Účty, které určíte jako Povolené prohlížeče pro vzdálené řízení, představují seznam uživatelů, kteří mají povoleno používání funkce vzdálených nástrojů v klientech.
Účet instalace systému webových serverů
Účet instalace systému lokality je používán serverem lokality k instalaci, opětovné instalaci, odinstalaci a konfiguraci systémů lokality. Pokud provedete konfiguraci systému lokality tak, aby vyžadovala zahájení připojení k tomuto systému lokality od serveru lokality, nástroj Configuration Manager také využije tento účet k získání dat z počítače systému lokality po instalaci systému lokality a rolí systému lokality. Každý systém lokality může obsahovat různé účty instalace systému lokality, ale vy můžete konfigurovat pouze jeden účet instalace systému lokality ke správě všech rolí systému lokality v daném systému lokality.
Tento účet vyžaduje místní oprávnění ke správě v systémech lokality, ve kterých bude probíhat instalace a konfigurace. Navíc musí tento účet obsahovat oprávnění Přístup k tomuto počítači ze sítě v zabezpečené zásadě v systémech lokality, které budou nainstalovány a konfigurovány.
Tip
Pokud máte mnoho doménových řadičů a tyto účty budou používány napříč doménami, před konfigurací systému lokality ověřte, zda byly účty replikovány.
Když určíte místní účet v každém spravovaném systému lokality, bude tato konfigurace bezpečnější, než použití doménových účtů, jelikož omezuje škody, které může útočník napáchat, pokud dojde k narušení účtu. Doménové účty se však snadněji spravují, takže zvažte rovnováhu mezi zabezpečením a efektivní správou.
Účet připojení serveru SMTP
Pro System Center 2012 Configuration Manager SP1 a novější: Účet připojení serveru SMTP je používán serverem lokality k odesílání e-mailových upozornění, pokud server SMTP vyžaduje ověřený přístup.
| Zabezpečení – Poznámka |
|---|
Určete účet s nejmenšími možnými oprávněními k odesílání e-mailů. |
Účet připojení bodu aktualizace softwaru
Účet připojení bodu aktualizace softwaru používá server lokality pro následující dvě služby softwarových aktualizací:
Nástroj WSUS Configuration Manager, který provádí konfiguraci nastavení jako definic produktů, klasifikace a nadřazeného nastavení.
Nástroj WSUS Synchronization Manager, který vyžaduje synchronizaci s nadřazeným serverem WSUS nebo službou Microsoft Update.
Účet instalace systému lokality je oprávněn instalovat komponenty softwarových aktualizací, ale nesmí provádět konkrétní funkce softwarových aktualizací v bodě softwarových aktualizací. Pokud pro tuto funkci nemůžete použít účet počítače serveru lokality, jelikož se bod softwarových aktualizací nachází v nedůvěryhodné doménové struktuře, musíte určit tento účet navíc k účtu instalace systému lokality.
Tento účet musí být místní správce v počítači, kde je nainstalován nástroj WSUS a musí být součástí místní skupiny správců WSUS.
Účet serveru proxy bodu aktualizace softwaru
Účet proxy serveru bodu softwarových aktualizací je používán bodem softwarových aktualizací pro přístup k Internetu prostřednictvím serveru proxy nebo brány firewall, která vyžaduje ověřený přístup.
| Zabezpečení – Poznámka |
|---|
Určete účet, který má nejmenší možná oprávnění pro požadovaný proxy server nebo bránu firewall. |
Účet zdrojové lokality
Účet zdrojové lokality je používán procesem migrace k přístupu k poskytovateli služeb SMS zdrojové lokality. Tento účet vyžaduje oprávnění Ke čtení pro objekty lokality ve zdrojové lokalitě ke shromažďování dat pro úlohy migrace.
Provedete-li upgrade distribučních bodů nebo sekundárních lokalit aplikace Configuration Manager 2007, které mají společně umístěné distribuční body s distribučními body aplikace System Center 2012 Configuration Manager, musí mít tento účet oprávnění Odstranit pro třídu Lokalita, aby mohl odstranit distribuční bod z lokality aplikace Configuration Manager 2007 během upgrade.
Poznámka
Účet zdrojové lokality a účet databáze zdrojové lokality jsou označeny jako Správce migrace v uzlu Účty pracovního prostoru Správa v konzole aplikace Configuration Manager.
Účet databáze zdrojové lokality
Účet databáze zdrojové lokality je používán procesem migrace k přístupu k databázi serveru SQL Server pro zdrojovou lokalitu. Chcete-li shromažďovat data z databáze serveru SQL Server zdrojové lokality, musí mít účet databáze zdrojové lokality pro databázi serveru SQL Server zdrojové lokality oprávnění úrovně Číst a Vykonat.
Poznámka
Používáte-li účet počítače aplikace System Center 2012 Configuration Manager, zajistěte, aby pro tento účel platilo následující:
-
Je členem skupiny zabezpečení Distributed COM Users v doméně, kde spočívá lokality aplikace Configuration Manager 2007.
-
Je členem skupiny zabezpečení SMS Admins.
-
Má oprávnění Číst pro všechny objekty aplikace Configuration Manager 2007.
Poznámka
Účet zdrojové lokality a účet databáze zdrojové lokality jsou označeny jako Správce migrace v uzlu Účty pracovního prostoru Správa v konzole aplikace Configuration Manager.
Účet připojení domény editoru pořadí úkolů
Účet připojení domény editoru pořadí úkolů se používá v pořadí úloh pro připojení počítačů s nově vytvořenými bitovými kopiemi do domény. Tento účet se vyžaduje v případě, že do pořadí úkolů přidáte krok Připojit k doméně nebo pracovní skupině, pak vyberte možnost Připojit k doméně. Tento účet lze také nakonfigurovat v případě, že do pořadí úkolů přidáte krok Použít nastavení sítě, není však požadován.
Tento účet vyžaduje oprávnění Připojit k doméně v doméně, ke které se bude počítač připojovat.
Tip
Vyžadujete-li tento účet pro své pořadí úkolů, můžete vytvořit jeden uživatelský účet domény s minimálními oprávněními pro přístup k požadovaným síťovým zdrojům a použít jej pro všechny účty pořadí úkolů.
| Zabezpečení – Poznámka |
|---|
Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění. Pro tento účet nepoužívejte účet přístupu k síti. |
Účet připojení síťové složky editoru pořadí úkolů
Účet připojení síťové složky editoru pořadí úkolů je používán pořadím úkolů pro připojení ke sdílené složce v síti. Tento účet je nutný, pokud přidáváte krok Připojit k síťové složce do pořadí úloh.
Tento účet vyžaduje oprávnění pro přístup do stanovené sdílené složky a musí to být účet domény uživatele.
Tip
Vyžadujete-li tento účet pro své pořadí úkolů, můžete vytvořit jeden uživatelský účet domény s minimálními oprávněními pro přístup k požadovaným síťovým zdrojům a použít jej pro všechny účty pořadí úkolů.
| Zabezpečení – Poznámka |
|---|
Nepřiřazujte tomuto účtu interaktivní přihlašovací oprávnění. Pro tento účet nepoužívejte účet přístupu k síti. |
Účet spuštění pořadí úloh jako
Účet spuštění pořadí úloh jako se používá pro spouštění příkazových řádek v pořadí úkolů a používá jiná pověření, než účet místního systému. Tento účet se vyžaduje v případě, že do pořadí úkolů přidáte krok Spustit příkazový řádek, ale nechcete pořadí úkolů na spravovaném počítači spouštět s oprávněním účtu místního systému.
Nakonfigurujte účet tak, aby měl minimální oprávnění potřebná pro spuštění příkazového řádku ve stanoveném pořadí úkolů. Účet vyžaduje interaktivní oprávnění pro přihlášení a obvykle také vyžaduje schopnost instalovat software a přístup k síťovým prostředkům.
| Zabezpečení – Poznámka |
|---|
Pro tento účet nepoužívejte účet přístupu k síti. Nikdy neudělujte účtu správcovství domény. Nikdy nekonfigurujte profily roamingu pro tento účet. Pokud je spuštěno pořadí úloh, je stažen profil roamingu pro účet, takže profil může být zranitelný vůči přístupu v místním počítači. Omezte rozsah účtu. Vytvořte například různé účty spuštění pořadí úloh jako pro každé pořadí úloh, aby byly v případě ohrožení bezpečnosti jednoho účtu ohroženy pouze klientské počítače, ke kterým má tento účet přístup. Pokud příkazový řádek požaduje v počítači oprávnění správce, zvažte vytvoření místního účtu správce výhradně pro účet spuštění pořadí úloh jako ve všech počítačích, který spustí pořadí úloh a odstraní účet, jakmile již nebude požadován. |
Viz také
Technické informace o správě lokalit v nástroji Configuration Manager