Teilen über


In Configuration Manager verwendete Konten

Gilt für: Configuration Manager (Current Branch)

Verwenden Sie die folgenden Informationen, um die Windows-Gruppen, -Konten und SQL Server -Objekte zu identifizieren, die in Configuration Manager verwendet werden, wie sie verwendet werden und welche Anforderungen erforderlich sind.

Wichtig

Wenn Sie ein Konto in einer Remotedomäne oder Gesamtstruktur angeben, achten Sie darauf, den Domänen-FQDN vor dem Benutzernamen und nicht nur den NetBIOS-Domänennamen anzugeben. Geben Sie beispielsweise Corp.Contoso.com\UserName anstelle von Corp\UserName an. Dadurch können Configuration Manager Kerberos verwenden, wenn das Konto für die Authentifizierung beim Remotestandortsystem verwendet wird. Die Verwendung des FQDN behebt häufig Authentifizierungsfehler, die sich aus kürzlich vorgenommenen Härtungsänderungen rund um NTLM in monatlichen Windows-Updates ergeben.

Windows-Gruppen, die Configuration Manager erstellt und verwendet

Configuration Manager erstellt und verwaltet in vielen Fällen automatisch die folgenden Windows-Gruppen:

Hinweis

Wenn Configuration Manager eine Gruppe auf einem Computer erstellt, der ein Domänenmitglied ist, ist die Gruppe eine lokale Sicherheitsgruppe. Wenn der Computer ein Domänencontroller ist, handelt es sich bei der Gruppe um eine lokale Domänengruppe. Dieser Gruppentyp wird von allen Domänencontrollern in der Domäne gemeinsam genutzt.

Konfigurations-Manager_CollectedFilesAccess

Configuration Manager verwendet diese Gruppe, um Zugriff zum Anzeigen von Dateien zu gewähren, die von der Softwareinventur erfasst wurden.

Weitere Informationen finden Sie unter Einführung in die Softwareinventur.

Typ und Speicherort für CollectedFilesAccess

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem primären Standortserver erstellt wird.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Mitgliedschaft für CollectedFilesAccess

Configuration Manager verwaltet automatisch die Gruppenmitgliedschaft. Die Mitgliedschaft umfasst Administratoren, denen die Berechtigung Gesammelte Dateien anzeigen für das sicherungsfähige Sammlungsobjekt von einer zugewiesenen Sicherheitsrolle gewährt wird.

Berechtigungen für CollectedFilesAccess

Diese Gruppe verfügt standardmäßig über die Leseberechtigung für den folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Konfigurations-Manager_DViewAccess

Diese Gruppe ist eine lokale Sicherheitsgruppe, die Configuration Manager auf dem Standortdatenbankserver oder Datenbankreplikatserver für einen untergeordneten primären Standort erstellt. Der Standort erstellt sie, wenn Sie verteilte Sichten für die Datenbankreplikation zwischen Standorten in einer Hierarchie verwenden. Sie enthält den Standortserver und SQL Server Computerkonten des Standorts der zentralen Verwaltung.

Weitere Informationen finden Sie unter Datenübertragungen zwischen Standorten.

Configuration Manager Remotesteuerungsbenutzer

Configuration Manager Remotetools verwenden diese Gruppe, um die Konten und Gruppen zu speichern, die Sie in der Liste Zulässige Viewer eingerichtet haben. Der Standort weist diese Liste jedem Client zu.

Weitere Informationen finden Sie unter Einführung in die Remotesteuerung.

Typ und Standort für Remotesteuerungsbenutzer

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Configuration Manager Client erstellt wird, wenn der Client eine Richtlinie erhält, die Remotetools aktiviert.

Nachdem Sie Remotetools für einen Client deaktiviert haben, wird diese Gruppe nicht automatisch entfernt. Löschen Sie es manuell, nachdem Sie Remotetools deaktiviert haben.

Mitgliedschaft für Remotesteuerungsbenutzer

Standardmäßig sind in dieser Gruppe keine Mitglieder vorhanden. Wenn Sie der Liste Zulässige Viewer Benutzer hinzufügen, werden sie dieser Gruppe automatisch hinzugefügt.

Verwenden Sie die Liste Zulässige Viewer, um die Mitgliedschaft dieser Gruppe zu verwalten, anstatt Dieser Gruppe Benutzer oder Gruppen direkt hinzuzufügen.

Ein Administrator muss nicht nur ein zulässiger Viewer sein, er muss auch über die Remotesteuerungsberechtigung für das Collection-Objekt verfügen. Weisen Sie diese Berechtigung mithilfe der Sicherheitsrolle Remotetoolsoperator zu.

Berechtigungen für Remotesteuerungsbenutzer

Standardmäßig verfügt diese Gruppe nicht über die Berechtigung für den Zugriff auf Speicherorte auf dem Computer. Es wird nur verwendet, um die Liste Zulässige Viewer zu enthalten.

SMS-Administratoren

Configuration Manager verwendet diese Gruppe, um zugriff auf den SMS-Anbieter über WMI zu gewähren. Zugriff auf den SMS-Anbieter ist erforderlich, um Objekte in der Configuration Manager-Konsole anzuzeigen und zu ändern.

Hinweis

Die rollenbasierte Verwaltungskonfiguration eines Administratorbenutzers bestimmt, welche Objekte er anzeigen und verwalten kann, wenn er die Configuration Manager-Konsole verwendet.

Weitere Informationen finden Sie unter Planen des SMS-Anbieters.

Typ und Standort für SMS-Administratoren

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit einem SMS-Anbieter erstellt wird.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Mitgliedschaft für SMS-Administratoren

Configuration Manager verwaltet automatisch die Gruppenmitgliedschaft. Standardmäßig sind jeder Administrator in einer Hierarchie und das Computerkonto des Standortservers Mitglieder der Gruppe SMS-Administratoren auf jedem SMS-Anbietercomputer an einem Standort.

Berechtigungen für SMS-Administratoren

Sie können die Rechte und Berechtigungen für die Gruppe SMS-Administratoren im WMI-Steuerelement-MMC-Snap-In anzeigen. Standardmäßig erhalten diese Gruppe im Root\SMSWMI-Namespace die Berechtigung Konto aktivieren und Remoteaktivierung. Authentifizierte Benutzer verfügen über Ausführungsmethoden, Anbieterschreibvorgänge und Konto aktivieren.

Wenn Sie eine Remote-Configuration Manager-Konsole verwenden, konfigurieren Sie DCOM-Remoteaktivierungsberechtigungen sowohl auf dem Standortservercomputer als auch auf dem SMS-Anbieter. Erteilen Sie diese Rechte der Gruppe SMS-Administratoren . Diese Aktion vereinfacht die Verwaltung, anstatt benutzern oder Gruppen diese Rechte direkt zu gewähren. Weitere Informationen finden Sie unter Konfigurieren von DCOM-Berechtigungen für Remotekonsolen Configuration Manager.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Verwaltungspunkte, die remote vom Standortserver entfernt sind, verwenden diese Gruppe, um eine Verbindung mit der Standortdatenbank herzustellen. Diese Gruppe bietet Verwaltungspunktzugriff auf die Posteingangsordner auf dem Standortserver und der Standortdatenbank.

Typ und Speicherort für SMS_SiteSystemToSiteServerConnection_MP

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit einem SMS-Anbieter erstellt wird.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Mitgliedschaft für SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager verwaltet automatisch die Gruppenmitgliedschaft. Standardmäßig umfasst die Mitgliedschaft die Computerkonten von Remotecomputern, die über einen Verwaltungspunkt für den Standort verfügen.

Berechtigungen für SMS_SiteSystemToSiteServerConnection_MP

Standardmäßig verfügt diese Gruppe über die Berechtigungen Lesen, Lesen & Ausführen und Auflisten von Ordnerinhalten für den folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes. Diese Gruppe verfügt auch über die Schreibberechtigung für Unterordner unterhalb von Posteingängen, in die der Verwaltungspunkt Clientdaten schreibt.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Computer des Remote-SMS-Anbieters verwenden diese Gruppe, um eine Verbindung mit dem Standortserver herzustellen.

Typ und Speicherort für SMS_SiteSystemToSiteServerConnection_SMSProv

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wird.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Mitgliedschaft für SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager verwaltet automatisch die Gruppenmitgliedschaft. Standardmäßig umfasst die Mitgliedschaft ein Computerkonto oder ein Domänenbenutzerkonto. Dieses Konto wird verwendet, um von jedem SMS-Remoteanbieter aus eine Verbindung mit dem Standortserver herzustellen.

Berechtigungen für SMS_SiteSystemToSiteServerConnection_SMSProv

Standardmäßig verfügt diese Gruppe über die Berechtigungen Lesen, Lesen & Ausführen und Auflisten von Ordnerinhalten für den folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes. Diese Gruppe verfügt auch über die Berechtigungen Schreiben und Ändern für Unterordner unterhalb der Posteingänge. Der SMS-Anbieter benötigt Zugriff auf diese Ordner.

Diese Gruppe verfügt auch über die Leseberechtigung für die Unterordner auf dem Standortserver unter C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Außerdem verfügt sie über die folgenden Berechtigungen für die folgenden C:\Program Files\Microsoft Configuration Manager\OSD\bootUnterordner:

  • Lesen
  • Lesen & Ausführen
  • Ordnerinhalt auflisten
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Die Dateiverteilungs-Manager-Komponente auf Configuration Manager Remotestandortsystemcomputern verwendet diese Gruppe, um eine Verbindung mit dem Standortserver herzustellen.

Typ und Speicherort für SMS_SiteSystemToSiteServerConnection_Stat

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wird.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Mitgliedschaft für SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager verwaltet automatisch die Gruppenmitgliedschaft. Standardmäßig umfasst die Mitgliedschaft das Computerkonto oder das Domänenbenutzerkonto. Dieses Konto wird verwendet, um von jedem Remotestandortsystem, auf dem der Dateiverteilungs-Manager ausgeführt wird, eine Verbindung mit dem Standortserver herzustellen.

Berechtigungen für SMS_SiteSystemToSiteServerConnection_Stat

Standardmäßig verfügt diese Gruppe über die Berechtigungen Lesen, Lesen & Ausführen und Auflisten von Ordnerinhalten für den folgenden Ordner und seine Unterordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes.

Diese Gruppe verfügt auch über die Berechtigungen Schreiben und Ändern für den folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager verwendet diese Gruppe, um die dateibasierte Replikation zwischen Standorten in einer Hierarchie zu aktivieren. Für jeden Remotestandort, der Dateien direkt an diesen Standort überträgt, verfügt diese Gruppe über Konten, die als Dateireplikationskonto eingerichtet sind.

Typ und Speicherort für SMS_SiteToSiteConnection

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wird.

Mitgliedschaft für SMS_SiteToSiteConnection

Wenn Sie einen neuen Standort als untergeordnetes Element eines anderen Standorts installieren, fügt Configuration Manager automatisch das Computerkonto des neuen Standortservers dieser Gruppe auf dem übergeordneten Standortserver hinzu. Configuration Manager fügt der Gruppe auf dem neuen Standortserver auch das Computerkonto des übergeordneten Standorts hinzu. Wenn Sie ein anderes Konto für dateibasierte Übertragungen angeben, fügen Sie dieses Konto dieser Gruppe auf dem Zielstandortserver hinzu.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt. Löschen Sie ihn nach dem Deinstallieren eines Standorts manuell.

Berechtigungen für SMS_SiteToSiteConnection

Standardmäßig verfügt diese Gruppe über Vollzugriff auf den folgenden Ordner: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konten, die Configuration Manager verwenden

Sie können die folgenden Konten für Configuration Manager einrichten.

Tipp

Verwenden Sie nicht das Prozentzeichen (%) im Kennwort für Konten, die Sie in der Configuration Manager-Konsole angeben. Das Konto kann nicht authentifiziert werden.

Active Directory-Gruppenermittlungskonto

Der Standort verwendet das Active Directory-Gruppenermittlungskonto, um die folgenden Objekte an den speicherorten in Active Directory Domain Services zu ermitteln, die Sie angeben:

  • Lokale, globale und universelle Sicherheitsgruppen.
  • Die Mitgliedschaft innerhalb dieser Gruppen.
  • Die Mitgliedschaft in Verteilergruppen.
    • Verteilergruppen werden nicht als Gruppenressourcen erkannt.

Bei diesem Konto kann es sich um ein Computerkonto des Standortservers handeln, auf dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto. Sie muss über die Berechtigung Lesezugriff für die Active Directory-Speicherorte verfügen, die Sie für die Ermittlung angeben.

Weitere Informationen finden Sie unter Active Directory-Gruppenermittlung.

Active Directory-Systemermittlungskonto

Der Standort verwendet das Active Directory-Systemermittlungskonto, um Computer von den von Ihnen angegebenen Standorten in Active Directory Domain Services zu ermitteln.

Bei diesem Konto kann es sich um ein Computerkonto des Standortservers handeln, auf dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto. Sie muss über die Berechtigung Lesezugriff für die Active Directory-Speicherorte verfügen, die Sie für die Ermittlung angeben.

Weitere Informationen finden Sie unter Active Directory-Systemermittlung.

Active Directory-Benutzerermittlungskonto

Der Standort verwendet das Active Directory-Benutzerermittlungskonto, um Benutzerkonten von den Speicherorten in Active Directory Domain Services zu ermitteln, die Sie angeben.

Bei diesem Konto kann es sich um ein Computerkonto des Standortservers handeln, auf dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto. Sie muss über die Berechtigung Lesezugriff für die Active Directory-Speicherorte verfügen, die Sie für die Ermittlung angeben.

Weitere Informationen finden Sie unter Active Directory-Benutzerermittlung.

Active Directory-Gesamtstrukturkonto

Der Standort verwendet das Active Directory-Gesamtstrukturkonto , um die Netzwerkinfrastruktur aus Active Directory-Gesamtstrukturen zu ermitteln. Standorte der zentralen Verwaltung und primäre Standorte verwenden es auch, um Standortdaten in Active Directory Domain Services für eine Gesamtstruktur zu veröffentlichen.

Hinweis

Sekundäre Standorte verwenden immer das Computerkonto des sekundären Standortservers, um in Active Directory zu veröffentlichen.

Zum Ermitteln und Veröffentlichen in nicht vertrauenswürdigen Gesamtstrukturen muss das Active Directory-Gesamtstrukturkonto ein globales Konto sein. Wenn Sie das Computerkonto des Standortservers nicht verwenden, können Sie nur ein globales Konto auswählen.

Dieses Konto muss über Leseberechtigungen für jede Active Directory-Gesamtstruktur verfügen, in der Sie die Netzwerkinfrastruktur ermitteln möchten.

Dieses Konto muss über Vollzugriffsberechtigungen für den Systemverwaltungscontainer und alle untergeordneten Objekte in jeder Active Directory-Gesamtstruktur verfügen, in der Standortdaten veröffentlicht werden sollen.

Weitere Informationen finden Sie unter Vorbereiten von Active Directory für die Websiteveröffentlichung.

Weitere Informationen finden Sie unter Active Directory-Gesamtstrukturermittlung.

Zertifikatregistrierungspunktkonto

Warnung

Ab Version 2203 wird der Zertifikatregistrierungspunkt nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Der Zertifikatregistrierungspunkt verwendet das Konto des Zertifikatregistrierungspunkts, um eine Verbindung mit der Configuration Manager-Datenbank herzustellen. Es verwendet standardmäßig sein Computerkonto, aber Sie können stattdessen ein Benutzerkonto konfigurieren. Wenn sich der Zertifikatregistrierungspunkt in einer nicht vertrauenswürdigen Domäne vom Standortserver befindet, müssen Sie ein Benutzerkonto angeben. Dieses Konto erfordert nur Lesezugriff auf die Standortdatenbank, da das Zustandsmeldungssystem Schreibaufgaben verarbeitet.

Weitere Informationen finden Sie unter Einführung in Zertifikatprofile.

Erfassen des Betriebssystemimagekontos

Wenn Sie ein Betriebssystemimage erfassen, verwendet Configuration Manager das Capture Os Image-Konto, um auf den Ordner zuzugreifen, in dem Sie die erfassten Images speichern. Wenn Sie den Schritt Betriebssystemimage erfassen zu einer Tasksequenz hinzufügen, ist dieses Konto erforderlich.

Das Konto muss über Lese - und Schreibberechtigungen für die Netzwerkfreigabe verfügen, in der Sie erfasste Bilder speichern.

Wenn Sie das Kennwort für das Konto in Windows ändern, aktualisieren Sie die Tasksequenz mit dem neuen Kennwort. Der Configuration Manager Client erhält das neue Kennwort, wenn er die Clientrichtlinie das nächste Mal herunterlädt.

Wenn Sie dieses Konto verwenden müssen, erstellen Sie ein Domänenbenutzerkonto. Gewähren Sie ihr minimale Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen, und verwenden Sie sie für alle Erfassungstasksequenzen.

Wichtig

Weisen Sie diesem Konto keine interaktiven Anmeldeberechtigungen zu.

Verwenden Sie nicht das Netzwerkzugriffskonto für dieses Konto.

Weitere Informationen finden Sie unter Erstellen einer Tasksequenz zum Erfassen eines Betriebssystems.

Clientpushinstallationskonto

Wenn Sie Clients mithilfe der Clientpushinstallationsmethode bereitstellen, verwendet der Standort das Clientpushinstallationskonto, um eine Verbindung mit Computern herzustellen und die Configuration Manager Clientsoftware zu installieren. Wenn Sie dieses Konto nicht angeben, versucht der Standortserver, sein Computerkonto zu verwenden.

Dieses Konto muss Mitglied der lokalen Administratorgruppe auf den Zielclientcomputern sein. Für dieses Konto sind keine Domänen-Admin-Rechte erforderlich.

Sie können mehrere Clientpushinstallationskonten angeben. Configuration Manager probiert jedes nacheinander aus, bis eine erfolgreich ist.

Tipp

Wenn Sie über eine große Active Directory-Umgebung verfügen und dieses Konto ändern müssen, verwenden Sie den folgenden Prozess, um diese Kontoaktualisierung effektiver zu koordinieren:

  1. Erstellen Sie ein neues Konto mit einem anderen Namen.
  2. Fügen Sie das neue Konto der Liste der Clientpushinstallationskonten in Configuration Manager hinzu.
  3. Lassen Sie ausreichend Zeit für Active Directory Domain Services ein, um das neue Konto zu replizieren.
  4. Entfernen Sie dann das alte Konto aus Configuration Manager und Active Directory Domain Services.

Wichtig

Verwenden Sie die Domänen- oder lokale Gruppenrichtlinie, um dem Windows-Benutzer das Recht zuzuweisen, sich lokal anzumelden. Als Mitglied der Gruppe "Administratoren" ist dieses Konto berechtigt, sich lokal anzumelden, was nicht erforderlich ist. Um die Sicherheit zu erhöhen, verweigern Sie explizit das Recht auf dieses Konto. Das Verweigern-Recht ersetzt das Allow-Recht.

Weitere Informationen finden Sie unter Clientpushinstallation.

Verbindungskonto des Registrierungspunkts

Der Registrierungspunkt verwendet das Verbindungskonto des Registrierungspunkts, um eine Verbindung mit der Configuration Manager-Standortdatenbank herzustellen. Es verwendet standardmäßig sein Computerkonto, aber Sie können stattdessen ein Benutzerkonto konfigurieren. Wenn sich der Registrierungspunkt in einer nicht vertrauenswürdigen Domäne vom Standortserver befindet, müssen Sie ein Benutzerkonto angeben. Dieses Konto erfordert Lese - und Schreibzugriff auf die Standortdatenbank.

Weitere Informationen finden Sie unter Installieren von Standortsystemrollen für lokale MDM.For more information, see Install site system roles for on-premises MDM.

Exchange Server-Verbindungskonto

Der Standortserver verwendet das Exchange Server-Verbindungskonto, um eine Verbindung mit dem angegebenen Exchange Server herzustellen. Diese Verbindung wird verwendet, um mobile Geräte zu finden und zu verwalten, die eine Verbindung mit dem Exchange Server herstellen. Dieses Konto erfordert Exchange PowerShell-Cmdlets, die die erforderlichen Berechtigungen für den Exchange Server Computer bereitstellen. Weitere Informationen zu den Cmdlets finden Sie unter Installieren und Konfigurieren des Exchange-Connectors.

Verwaltungspunktverbindungskonto

Der Verwaltungspunkt verwendet das Verbindungskonto des Verwaltungspunkts, um eine Verbindung mit der Configuration Manager-Standortdatenbank herzustellen. Diese Verbindung wird verwendet, um Informationen für Clients zu senden und abzurufen. Der Verwaltungspunkt verwendet standardmäßig sein Computerkonto, aber Sie können stattdessen ein alternatives Dienstkonto konfigurieren. Wenn sich der Verwaltungspunkt in einer nicht vertrauenswürdigen Domäne vom Standortserver befindet, müssen Sie ein alternatives Dienstkonto angeben.

Hinweis

Für einen verbesserten Sicherheitsstatus wird empfohlen, ein alternatives Dienstkonto anstelle des Computerkontos für "Verwaltungspunktverbindungskonto" zu verwenden.

Erstellen Sie das Konto als dienstbasiertes Konto auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird.

Wichtig

  • Gewähren Sie diesem Konto keine interaktiven Anmelderechte.
  • Wenn Sie ein Konto in einer Remotedomäne oder Gesamtstruktur angeben, achten Sie darauf, den Domänen-FQDN vor dem Benutzernamen und nicht nur den NetBIOS-Domänennamen anzugeben. Geben Sie beispielsweise Corp.Contoso.com\UserName anstelle von Corp\UserName an. Dadurch können Configuration Manager Kerberos verwenden, wenn das Konto für die Authentifizierung beim Remotestandortsystem verwendet wird. Die Verwendung des FQDN behebt häufig Authentifizierungsfehler, die sich aus kürzlich vorgenommenen Härtungsänderungen rund um NTLM in monatlichen Windows-Updates ergeben.

Multicastverbindungskonto

Multicast-fähige Verteilungspunkte verwenden das Multicastverbindungskonto , um Informationen aus der Standortdatenbank zu lesen. Der Server verwendet standardmäßig sein Computerkonto, aber Sie können stattdessen ein Dienstkonto konfigurieren. Wenn sich die Standortdatenbank in einer nicht vertrauenswürdigen Gesamtstruktur befindet, müssen Sie ein Dienstkonto angeben. Wenn Ihr Rechenzentrum beispielsweise über ein Umkreisnetzwerk in einer anderen Gesamtstruktur als dem Standortserver und der Standortdatenbank verfügt, verwenden Sie dieses Konto, um die Multicastinformationen aus der Standortdatenbank zu lesen.

Wenn Sie dieses Konto benötigen, erstellen Sie es als Low-Right-Dienstkonto auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird.

Hinweis

Für einen verbesserten Sicherheitsstatus wird empfohlen, das Dienstkonto anstelle des Computerkontos für "Multicastverbindungskonto" zu nutzen.

Wichtig

Gewähren Sie diesem Dienstkonto keine interaktiven Anmelderechte.

Weitere Informationen finden Sie unter Verwenden von Multicast zum Bereitstellen von Windows über das Netzwerk.

Netzwerkzugriffskonto

Clientcomputer verwenden das Netzwerkzugriffskonto , wenn sie ihr lokales Computerkonto nicht für den Zugriff auf Inhalte auf Verteilungspunkten verwenden können. Dies gilt hauptsächlich für Arbeitsgruppenclients und -computer aus nicht vertrauenswürdigen Domänen. Dieses Konto wird auch während der Betriebssystembereitstellung verwendet, wenn der Computer, auf dem das Betriebssystem installiert wird, noch kein Computerkonto in der Domäne hat.

Wichtig

Das Netzwerkzugriffskonto wird nie als Sicherheitskontext zum Ausführen von Programmen, Installieren von Softwareupdates oder Ausführen von Tasksequenzen verwendet. Sie wird nur für den Zugriff auf Ressourcen im Netzwerk verwendet.

Ein Configuration Manager Client versucht zunächst, sein Computerkonto zum Herunterladen des Inhalts zu verwenden. Wenn ein Fehler auftritt, wird automatisch das Netzwerkzugriffskonto versucht.

Wenn Sie den Standort für HTTPS oder erweitertes HTTP konfigurieren, kann eine Arbeitsgruppe oder Microsoft Entra eingebundener Client sicher auf Inhalte von Verteilungspunkten zugreifen, ohne dass ein Netzwerkzugriffskonto erforderlich ist. Dieses Verhalten umfasst Betriebssystembereitstellungsszenarien mit einer Tasksequenz, die über Startmedien, PXE oder das Softwarecenter ausgeführt wird. Weitere Informationen finden Sie unter Client-zu-Verwaltungspunkt-Kommunikation.

Hinweis

Wenn Sie Erweitertes HTTP aktivieren, damit das Netzwerkzugriffskonto nicht erforderlich ist, müssen Verteilungspunkte derzeit unterstützte Versionen von Windows Server oder Windows 10/11 ausführen.

Berechtigungen für das Netzwerkzugriffskonto

Gewähren Sie diesem Konto die mindestens erforderlichen Berechtigungen für den Inhalt, den der Client für den Zugriff auf die Software benötigt. Das Konto muss über den Zugriff auf diesen Computer aus dem Netzwerk direkt am Verteilungspunkt verfügen. Sie können bis zu 10 Netzwerkzugriffskonten pro Standort konfigurieren.

Erstellen Sie ein Konto in einer beliebigen Domäne, die den erforderlichen Zugriff auf Ressourcen bereitstellt. Das Netzwerkzugriffskonto muss immer einen Domänennamen enthalten. Passthrough-Sicherheit wird für dieses Konto nicht unterstützt. Wenn Sie über Verteilungspunkte in mehreren Domänen verfügen, erstellen Sie das Konto in einer vertrauenswürdigen Domäne.

Tipp

Um Kontosperrungen zu vermeiden, ändern Sie das Kennwort für ein vorhandenes Netzwerkzugriffskonto nicht. Erstellen Sie stattdessen ein neues Konto, und richten Sie das neue Konto in Configuration Manager ein. Wenn genügend Zeit vergangen ist, bis alle Clients die neuen Kontodetails erhalten haben, entfernen Sie das alte Konto aus den freigegebenen Netzwerkordnern, und löschen Sie das Konto.

Wichtig

Gewähren Sie diesem Konto keine interaktiven Anmelderechte.

Gewähren Sie diesem Konto nicht das Recht, Computer in die Domäne einzubinden. Wenn Sie Computer während einer Tasksequenz mit der Domäne verbinden müssen, verwenden Sie das Konto für den Domänenbeitritt in Tasksequenz.

Konfigurieren des Netzwerkzugriffskontos

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus. Wählen Sie dann die Website aus.

  2. Wählen Sie im Menüband in der Gruppe Einstellungen die Option Standortkomponenten konfigurieren und dann Softwareverteilung aus.

  3. Wählen Sie die Registerkarte Netzwerkzugriffskonto aus. Richten Sie mindestens ein Konto ein, und wählen Sie dann OK aus.

Aktionen, die das Netzwerkzugriffskonto erfordern

Das Netzwerkzugriffskonto ist weiterhin für die folgenden Aktionen erforderlich (einschließlich eHTTP & PKI-Szenarien):

  • Multicast. Weitere Informationen finden Sie unter Verwenden von Multicast zum Bereitstellen von Windows über das Netzwerk.

  • Tasksequenzbereitstellungsoption für den direkten Zugriff auf Inhalte von einem Verteilungspunkt aus, wenn dies von der ausgeführten Tasksequenz benötigt wird. Weitere Informationen finden Sie unter Tasksequenzbereitstellungsoptionen.

  • Wenden Sie die Tasksequenzschrittoption Betriebssystemimage an, um direkt über den Verteilungspunkt auf Inhalte zuzugreifen. Diese Option gilt in erster Linie für Windows Embedded-Szenarien mit wenig Speicherplatz, bei denen das Zwischenspeichern von Inhalten auf dem lokalen Datenträger teuer ist. Weitere Informationen finden Sie unter Zugreifen auf Inhalte direkt vom Verteilungspunkt aus.

  • Wenn beim Herunterladen eines Pakets von einem Verteilungspunkt mit HTTP/HTTPS ein Fehler auftritt, kann das Paket mithilfe von SMB aus der Paketfreigabe auf dem Verteilungspunkt heruntergeladen werden. Zum Herunterladen des Pakets mit SMB von der Paketfreigabe auf dem Verteilungspunkt ist die Verwendung des Netzwerkzugriffskontos erforderlich. Dieses Fallbackverhalten tritt nur auf, wenn die Option Kopieren des Inhalts in diesem Paket in eine Paketfreigabe auf Verteilungspunkten auf der Registerkarte Datenzugriff in den Eigenschaften eines Pakets aktiviert ist. Um dieses Verhalten beizubehalten, stellen Sie sicher, dass das Netzwerkzugriffskonto nicht deaktiviert oder entfernt wird. Wenn dieses Verhalten nicht mehr gewünscht ist, stellen Sie sicher, dass die Option Inhalt in diesem Paket auf eine Paketfreigabe auf Verteilungspunkten kopieren für kein Paket aktiviert ist.

  • Tasksequenzschritt "Zustandsspeicher anfordern ". Wenn die Tasksequenz nicht über das Computerkonto des Geräts mit dem Zustandsmigrationspunkt kommunizieren kann, greift sie auf die Verwendung des Netzwerkzugriffskontos zurück. Weitere Informationen finden Sie unter Anforderungszustandsspeicher.

  • Tasksequenzeigenschafteneinstellung auf Zuerst ein anderes Programm ausführen. Diese Einstellung führt ein Paket und ein Programm aus einer Netzwerkfreigabe aus, bevor die Tasksequenz gestartet wird. Weitere Informationen finden Sie unter Tasksequenzeigenschaften: Registerkarte "Erweitert".

  • Die Verwaltung von Clients in nicht vertrauenswürdigen Domänen und gesamtstrukturübergreifenden Szenarien ermöglicht mehrere Netzwerkzugriffskonten.

Paketzugriffskonto

Mit einem Paketzugriffskonto können Sie NTFS-Berechtigungen festlegen, um die Benutzer und Benutzergruppen anzugeben, die auf Paketinhalte auf Verteilungspunkten zugreifen können. Standardmäßig gewährt Configuration Manager zugriff nur auf die generischen Zugriffskonten Benutzer und Administrator. Sie können den Zugriff auf Clientcomputer mithilfe anderer Windows-Konten oder -Gruppen steuern. Mobile Geräte rufen Paketinhalte immer anonym ab, sodass sie kein Paketzugriffskonto verwenden.

Wenn Configuration Manager die Inhaltsdateien auf einen Verteilungspunkt kopiert, gewährt er standardmäßig Lesezugriff auf die lokale Gruppe Benutzer und vollzugriff auf die lokale Gruppe Administratoren. Die tatsächlich erforderlichen Berechtigungen hängen vom Paket ab. Wenn Sie Über Clients in Arbeitsgruppen oder in nicht vertrauenswürdigen Gesamtstrukturen verfügen, verwenden diese Clients das Netzwerkzugriffskonto, um auf den Paketinhalt zuzugreifen. Stellen Sie sicher, dass das Netzwerkzugriffskonto über Berechtigungen für das Paket verfügt, indem Sie die definierten Paketzugriffskonten verwenden.

Verwenden Sie Konten in einer Domäne, die auf die Verteilungspunkte zugreifen können. Wenn Sie das Konto nach dem Erstellen des Pakets erstellen oder ändern, müssen Sie das Paket neu verteilen. Durch das Aktualisieren des Pakets werden die NTFS-Berechtigungen für das Paket nicht geändert.

Sie müssen das Netzwerkzugriffskonto nicht als Paketzugriffskonto hinzufügen, da es durch die Mitgliedschaft in der Gruppe Benutzer automatisch hinzugefügt wird. Das Einschränken des Paketzugriffskontos auf das Netzwerkzugriffskonto verhindert nicht, dass Clients auf das Paket zugreifen.

Verwalten von Paketzugriffskonten

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Softwarebibliothek.

  2. Bestimmen Sie im Arbeitsbereich Softwarebibliothek den Inhaltstyp, für den Sie Zugriffskonten verwalten möchten, und führen Sie die angegebenen Schritte aus:

    • Anwendung: Erweitern Sie Anwendungsverwaltung, wählen Sie Anwendungen und dann die Anwendung aus, für die Zugriffskonten verwaltet werden sollen.

    • Paket: Erweitern Sie Anwendungsverwaltung, wählen Sie Pakete aus, und wählen Sie dann das Paket aus, für das Zugriffskonten verwaltet werden sollen.

    • Bereitstellungspaket für Softwareupdates: Erweitern Sie Software Updates, wählen Sie Bereitstellungspakete aus, und wählen Sie dann das Bereitstellungspaket aus, für das Zugriffskonten verwaltet werden sollen.

    • Treiberpaket: Erweitern Sie Betriebssysteme, wählen Sie Treiberpakete und dann das Treiberpaket aus, für das Zugriffskonten verwaltet werden sollen.

    • Betriebssystemimage: Erweitern Sie Betriebssysteme, wählen Sie Betriebssystemabbilder aus, und wählen Sie dann das Betriebssystemabbild aus, für das Zugriffskonten verwaltet werden sollen.

    • Betriebssystemupgradepaket: Erweitern Sie Betriebssysteme, wählen Sie Betriebssystemupgradepakete und dann das Betriebssystemupgradepaket aus, für das Zugriffskonten verwaltet werden sollen.

    • Startimage: Erweitern Sie Betriebssysteme, wählen Sie Startimages und dann das Startimage aus, für das Zugriffskonten verwaltet werden sollen.

  3. Klicken Sie mit der rechten Maustaste auf das ausgewählte Objekt, und wählen Sie dann Zugriffskonten verwalten aus.

  4. Geben Sie im Dialogfeld Konto hinzufügen den Kontotyp an, dem Zugriff auf den Inhalt gewährt wird, und geben Sie dann die dem Konto zugeordneten Zugriffsrechte an.

    Hinweis

    Wenn Sie einen Benutzernamen für das Konto hinzufügen und Configuration Manager sowohl ein lokales Benutzerkonto als auch ein Domänenbenutzerkonto mit diesem Namen findet, legt Configuration Manager Zugriffsrechte für das Domänenbenutzerkonto fest.

Reporting Services-Punktkonto

SQL Server Reporting Services verwendet das Reporting Services-Punktkonto, um die Daten für Configuration Manager Berichte aus der Standortdatenbank abzurufen. Das angegebene Windows-Benutzerkonto und -Kennwort werden verschlüsselt und in der SQL Server Reporting Services-Datenbank gespeichert.

Hinweis

Das angegebene Konto muss auf dem Computer, auf dem die SQL Server Reporting Services Datenbank gehostet wird, über lokale Anmeldeberechtigungen verfügen.

Dem Konto werden automatisch alle erforderlichen Rechte gewährt, indem der smsschm_users SQL Server Datenbankrolle für die Configuration Manager Datenbank hinzugefügt wird.

Weitere Informationen finden Sie unter Einführung in die Berichterstellung.

Zulässige Viewer-Konten für Remotetools

Die Konten, die Sie als Zulässige Viewer für die Remotesteuerung angeben, sind eine Liste von Benutzern, die Remotetools-Funktionen auf Clients verwenden dürfen.

Weitere Informationen finden Sie unter Einführung in die Remotesteuerung.

Standortinstallationskonto

Verwenden Sie ein Domänenbenutzerkonto, um sich bei dem Server anzumelden, auf dem Sie Configuration Manager Setup ausführen und einen neuen Standort installieren.

Für dieses Konto sind die folgenden Rechte erforderlich:

  • Administrator auf den folgenden Servern:

    • Der Standortserver
    • Jeder Server, der die Standortdatenbank hostet
    • Jede instance des SMS-Anbieters für den Standort
  • Sysadmin für die instance von SQL Server, die die Standortdatenbank hostet

Configuration Manager Setup fügt dieses Konto automatisch der Gruppe SMS-Administratoren hinzu.

Nach der Installation ist dieses Konto das einzige Konto mit Rechten für die Configuration Manager Konsole. Wenn Sie dieses Konto entfernen müssen, stellen Sie sicher, dass Sie zuerst seine Rechte einem anderen Benutzer hinzufügen.

Wenn Sie einen eigenständigen Standort auf einen Standort der zentralen Verwaltung erweitern, erfordert dieses Konto entweder die rollenbasierten Administratorrechte "Volladministrator " oder " Infrastrukturadministrator " am eigenständigen primären Standort.

Standortsysteminstallationskonto

Der Standortserver verwendet das Standortsysteminstallationskonto , um Standortsysteme zu installieren, neu zu installieren, zu deinstallieren und einzurichten. Wenn Sie das Standortsystem so einrichten, dass der Standortserver Verbindungen mit diesem Standortsystem initiieren muss, verwendet Configuration Manager dieses Konto auch, um Daten aus dem Standortsystem zu pullen, nachdem es das Standortsystem und alle Rollen installiert hat. Jedes Standortsystem kann über ein anderes Installationskonto verfügen, aber Sie können nur ein Installationskonto einrichten, um alle Rollen auf diesem Standortsystem zu verwalten.

Für dieses Konto sind lokale Administratorberechtigungen für die Zielstandortsysteme erforderlich. Darüber hinaus muss dieses Konto über Zugriff auf diesen Computer über das Netzwerk in der Sicherheitsrichtlinie auf den Zielstandortsystemen verfügen.

Wichtig

Wenn Sie ein Konto in einer Remotedomäne oder Gesamtstruktur angeben, achten Sie darauf, den Domänen-FQDN vor dem Benutzernamen und nicht nur den NetBIOS-Domänennamen anzugeben. Geben Sie beispielsweise Corp.Contoso.com\UserName anstelle von Corp\UserName an. Dadurch können Configuration Manager Kerberos verwenden, wenn das Konto für die Authentifizierung beim Remotestandortsystem verwendet wird. Die Verwendung des FQDN behebt häufig Authentifizierungsfehler, die sich aus kürzlich vorgenommenen Härtungsänderungen rund um NTLM in monatlichen Windows-Updates ergeben.

Tipp

Wenn Sie über viele Domänencontroller verfügen und diese Konten domänenübergreifend verwendet werden, überprüfen Sie vor dem Einrichten des Standortsystems, ob Active Directory diese Konten repliziert hat.

Wenn Sie auf jedem zu verwaltenden Standortsystem ein Dienstkonto angeben, ist diese Konfiguration sicherer. Es begrenzt den Schaden, den Angreifer anrichten können. Domänenkonten sind jedoch einfacher zu verwalten. Berücksichtigen Sie den Kompromiss zwischen Sicherheit und effektiver Verwaltung.

Proxyserverkonto des Standortsystems

Die folgenden Standortsystemrollen verwenden das Proxyserverkonto des Standortsystems , um über einen Proxyserver oder eine Firewall, die authentifizierten Zugriff erfordert, auf das Internet zuzugreifen:

  • Asset Intelligence-Synchronisierungspunkt
  • Exchange Server-Connector
  • Dienstverbindungspunkt
  • Softwareupdatepunkt

Wichtig

Geben Sie ein Konto an, das über die geringstmöglichen Berechtigungen für den erforderlichen Proxyserver oder die erforderliche Firewall verfügt.

Weitere Informationen finden Sie unter Proxyserverunterstützung.

SMTP-Serververbindungskonto

Der Standortserver verwendet das Verbindungskonto des SMTP-Servers , um E-Mail-Warnungen zu senden, wenn der SMTP-Server authentifizierten Zugriff erfordert.

Wichtig

Geben Sie ein Konto an, das über die geringstmöglichen Berechtigungen zum Senden von E-Mails verfügt.

Weitere Informationen finden Sie unter Konfigurieren von Warnungen.

Verbindungskonto für Softwareupdatepunkt

Der Standortserver verwendet das Verbindungskonto des Softwareupdatepunkts für die folgenden beiden Softwareupdatedienste:

  • Windows Server Update Services (WSUS), das Einstellungen wie Produktdefinitionen, Klassifizierungen und Upstream Einstellungen einrichtet.

  • WSUS-Synchronisierungs-Manager, der die Synchronisierung mit einem Upstream WSUS-Server oder Microsoft Update anfordert.

Das Standortsysteminstallationskonto kann Komponenten für Softwareupdates installieren, jedoch keine softwareupdatespezifischen Funktionen auf dem Softwareupdatepunkt. Wenn Sie das Standortservercomputerkonto für diese Funktion nicht verwenden können, weil sich der Softwareupdatepunkt in einer nicht vertrauenswürdigen Gesamtstruktur befindet, müssen Sie dieses Konto zusammen mit dem Standortsysteminstallationskonto angeben.

Dieses Konto muss ein lokaler Administrator auf dem Computer sein, auf dem Sie WSUS installieren. Es muss auch Teil der lokalen WSUS-Administratorgruppe sein.

Weitere Informationen finden Sie unter Planen von Softwareupdates.

Quellstandortkonto

Der Migrationsprozess verwendet das Quellstandortkonto , um auf den SMS-Anbieter des Quellstandorts zuzugreifen. Dieses Konto erfordert Leseberechtigungen für Standortobjekte am Quellstandort, um Daten für Migrationsaufträge zu sammeln.

Wenn Sie über Configuration Manager 2007-Verteilungspunkte oder sekundäre Standorte mit zugeordneten Verteilungspunkten verfügen, muss dieses Konto beim Upgrade auf Configuration Manager Verteilungspunkte (Current Branch) auch über die Berechtigung Löschen für die Site-Klasse verfügen. Diese Berechtigung besteht darin, den Verteilungspunkt während des Upgrades erfolgreich vom Configuration Manager 2007-Standort zu entfernen.

Hinweis

Sowohl das Quellstandortkonto als auch das Datenbankkonto des Quellstandorts werden im Knoten Konten des Arbeitsbereichs Verwaltung in der Configuration Manager-Konsole als Migrations-Manager identifiziert.

Weitere Informationen finden Sie unter Migrieren von Daten zwischen Hierarchien.

Datenbankkonto des Quellstandorts

Der Migrationsprozess verwendet das Datenbankkonto des Quellstandorts, um auf die SQL Server Datenbank für den Quellstandort zuzugreifen. Um Daten aus der SQL Server Datenbank des Quellstandorts zu sammeln, muss das Datenbankkonto des Quellstandorts über die Berechtigungen Lesen und Ausführen für die SQL Server Datenbank des Quellstandorts verfügen.

Wenn Sie das Computerkonto Configuration Manager (Current Branch) verwenden, stellen Sie sicher, dass für dieses Konto folgendes zutrifft:

  • Es ist Mitglied der Sicherheitsgruppe Verteilte COM-Benutzer in derselben Domäne wie die Configuration Manager 2012-Website.
  • Sie ist Mitglied der Sicherheitsgruppe SMS-Administratoren .
  • Sie verfügt über die Leseberechtigung für alle Configuration Manager 2012-Objekte.

Hinweis

Sowohl das Quellstandortkonto als auch das Datenbankkonto des Quellstandorts werden im Knoten Konten des Arbeitsbereichs Verwaltung in der Configuration Manager-Konsole als Migrations-Manager identifiziert.

Weitere Informationen finden Sie unter Migrieren von Daten zwischen Hierarchien.

Tasksequenzdomänenbeitrittskonto

Windows Setup verwendet das Tasksequenz-Domänenbeitrittskonto , um einen neu imageierten Computer mit einer Domäne zu verbinden. Dieses Konto ist für den Tasksequenzschritt Domäne oder Arbeitsgruppe beitreten mit der Option Domäne beitreten erforderlich. Dieses Konto kann auch mit dem Schritt Netzwerkeinstellungen anwenden eingerichtet werden, ist aber nicht erforderlich.

Für dieses Konto ist der Domänenbeitritt direkt in der Zieldomäne erforderlich.

Tipp

Erstellen Sie ein Domänenbenutzerkonto mit den minimalen Berechtigungen, um der Domäne beizutreten, und verwenden Sie es für alle Tasksequenzen.

Wichtig

Weisen Sie diesem Konto keine interaktiven Anmeldeberechtigungen zu.

Verwenden Sie nicht das Netzwerkzugriffskonto für dieses Konto.

Verbindungskonto für Tasksequenznetzwerkordner

Die Tasksequenz-Engine verwendet das Verbindungskonto des Tasksequenznetzwerkordners , um eine Verbindung mit einem freigegebenen Ordner im Netzwerk herzustellen. Dieses Konto ist für den Tasksequenzschritt Verbindung mit Netzwerkordner herstellen erforderlich.

Dieses Konto erfordert Berechtigungen für den Zugriff auf den angegebenen freigegebenen Ordner. Es muss sich um ein Domänenbenutzerkonto handeln.

Tipp

Erstellen Sie ein Domänenbenutzerkonto mit minimalen Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen, und verwenden Sie es für alle Tasksequenzen.

Wichtig

Weisen Sie diesem Konto keine interaktiven Anmeldeberechtigungen zu.

Verwenden Sie nicht das Netzwerkzugriffskonto für dieses Konto.

Als Konto ausgeführte Tasksequenz

Die Tasksequenz-Engine verwendet das Konto "Tasksequenz ausführen als" , um Befehlszeilen oder PowerShell-Skripts mit anderen Anmeldeinformationen als dem lokalen Systemkonto auszuführen. Dieses Konto ist für die Tasksequenzschritte Befehlszeile ausführen und PowerShell-Skript ausführen mit der Option Diesen Schritt ausführen als folgendem Konto erforderlich.

Richten Sie das Konto so ein, dass es über die erforderlichen Mindestberechtigungen zum Ausführen der Befehlszeile verfügt, die Sie in der Tasksequenz angeben. Für das Konto sind interaktive Anmelderechte erforderlich. Dies erfordert in der Regel die Möglichkeit, Software zu installieren und auf Netzwerkressourcen zuzugreifen. Für die Aufgabe PowerShell-Skript ausführen sind für dieses Konto lokale Administratorberechtigungen erforderlich.

Wichtig

Verwenden Sie nicht das Netzwerkzugriffskonto für dieses Konto.

Machen Sie das Konto niemals zum Domänenadministrator.

Richten Sie niemals Roamingprofile für dieses Konto ein. Wenn die Tasksequenz ausgeführt wird, wird das Roamingprofil für das Konto heruntergeladen. Dadurch bleibt das Profil anfällig für den Zugriff auf den lokalen Computer.

Schränken Sie den Bereich des Kontos ein. Erstellen Sie beispielsweise verschiedene Tasksequenzen, die als Konten für jede Tasksequenz ausgeführt werden. Wenn dann ein Konto kompromittiert wird, werden nur die Clientcomputer kompromittiert, auf die dieses Konto Zugriff hat.

Wenn die Befehlszeile Administratorzugriff auf dem Computer erfordert, sollten Sie auf allen Computern, auf denen die Tasksequenz ausgeführt wird, ein lokales Administratorkonto ausschließlich für dieses Konto erstellen. Löschen Sie das Konto, wenn Sie es nicht mehr benötigen.

Benutzerobjekte, die Configuration Manager in SQL Server

Configuration Manager erstellt und verwaltet automatisch die folgenden Benutzerobjekte in SQL. Diese Objekte befinden sich in der Configuration Manager-Datenbank unter Sicherheit/Benutzer.

Wichtig

Das Ändern oder Entfernen dieser Objekte kann zu drastischen Problemen innerhalb einer Configuration Manager Umgebung führen. Es wird empfohlen, keine Änderungen an diesen Objekten vorzunehmen.

smsdbuser_ReadOnly

Dieses Objekt wird verwendet, um Abfragen unter dem schreibgeschützten Kontext auszuführen. Dieses Objekt wird mit mehreren gespeicherten Prozeduren verwendet.

smsdbuser_ReadWrite

Dieses Objekt wird verwendet, um Berechtigungen für dynamische SQL-Anweisungen bereitzustellen.

smsdbuser_ReportSchema

Dieses Objekt wird verwendet, um SQL Server Berichtsausführungen auszuführen. Die folgende gespeicherte Prozedur wird mit dieser Funktion verwendet: spSRExecQuery.

Datenbankrollen, die Configuration Manager in SQL verwenden

Configuration Manager erstellt und verwaltet automatisch die folgenden Rollenobjekte in SQL. Diese Rollen bieten Zugriff auf bestimmte gespeicherte Prozeduren, Tabellen, Sichten und Funktionen. Diese Rollen rufen entweder Daten ab oder fügen sie der Configuration Manager-Datenbank hinzu. Diese Objekte befinden sich in der Configuration Manager Datenbank unter Sicherheit/Rollen/Datenbankrollen.

Wichtig

Das Ändern oder Entfernen dieser Objekte kann zu drastischen Problemen innerhalb einer Configuration Manager Umgebung führen. Ändern Sie diese Objekte nicht. Die folgende Liste dient nur zu Informationszwecken.

smsdbrole_AITool

Configuration Manager gewährt diese Berechtigung Administratorbenutzerkonten basierend auf rollenbasiertem Zugriff zum Importieren von Volumenlizenzinformationen für Asset Intelligence. Dieses Konto kann von einem Volladministrator, einem Betriebsadministrator oder einer Asset Manager-Rolle oder einer beliebigen Rolle mit der Berechtigung "Asset Intelligence verwalten" hinzugefügt werden.

smsdbrole_AIUS

Configuration Manager gewährt dem Computerkonto, das das Asset Intelligence-Synchronisierungspunktkonto hostet, Zugriff zum Abrufen von Asset Intelligence-Proxydaten und zum Anzeigen ausstehender KI-Daten für den Upload.

smsdbrole_CRP

Configuration Manager erteilt dem Computerkonto des Standortsystems, das den Zertifikatregistrierungspunkt für die Unterstützung des Simple Certificate Enrollment Protocol (SCEP) für die Zertifikatsignatur und -verlängerung unterstützt, die Berechtigung.

smsdbrole_CRPPfx

Configuration Manager erteilt berechtigungen für das Computerkonto des Standortsystems, das den zertifikatregistrierungspunkt unterstützt, der für PFX-Unterstützung für signieren und verlängern konfiguriert ist.

smsdbrole_DMP

Configuration Manager gewährt diese Berechtigung für ein Computerkonto für einen Verwaltungspunkt, der über die Option Zulassen, dass mobile Geräte und Mac-Computer diesen Verwaltungspunkt verwenden, die Möglichkeit hat, Unterstützung für MDM-registrierte Geräte bereitzustellen.

smsdbrole_DmpConnector

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das den Dienstverbindungspunkt hostet, um Diagnosedaten abzurufen und bereitzustellen, Clouddienste zu verwalten und Dienstupdates abzurufen.

smsdbrole_DViewAccess

Configuration Manager erteilt diese Berechtigung dem Computerkonto der primären Standortserver auf dem CAS, wenn die Option SQL Server verteilte Ansichten in den Replikationslinkeigenschaften ausgewählt ist.

smsdbrole_DWSS

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das die Data Warehouse-Rolle hostet.

smsdbrole_EnrollSvr

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das den Registrierungspunkt hostet, um die Geräteregistrierung über MDM zu ermöglichen.

smsdbrole_extract

Bietet Zugriff auf alle erweiterten Schemaansichten.

smsdbrole_HMSUser

Für den Hierarchie-Manager-Dienst. Configuration Manager erteilt diesem Konto Berechtigungen zum Verwalten von Failoverstatusmeldungen und SQL Server Brokertransaktionen zwischen Standorten innerhalb einer Hierarchie.

Hinweis

Die smdbrole_WebPortal Rolle ist standardmäßig Mitglied dieser Rolle.

smsdbrole_MCS

Configuration Manager erteilt diese Berechtigung dem Computerkonto des Verteilungspunkts, der Multicast unterstützt.

smsdbrole_MP

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das die Verwaltungspunktrolle hostet, um Unterstützung für die Configuration Manager Clients bereitzustellen.

smsdbrole_MPMBAM

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das den Verwaltungspunkt hostet, der BitLocker für eine Umgebung verwaltet.

smsdbrole_MPUserSvc

Configuration Manager gewährt diese Berechtigung für das Computerkonto, das den Verwaltungspunkt hostet, um benutzerbasierte Anwendungsanforderungen zu unterstützen.

smsdbrole_siteprovider

Configuration Manager erteilt diese Berechtigung dem Computerkonto, das eine SMS-Anbieterrolle hostet.

smsdbrole_siteserver

Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den primären Standort oder die cas hostet.

smsdbrole_SUP

Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den Softwareupdatepunkt für die Arbeit mit Updates von Drittanbietern hostet.

smsschm_users

Configuration Manager gewährt Zugriff auf das Konto, das für das Reporting Services-Punktkonto verwendet wird, um den Zugriff auf die SMS-Berichtsansichten zum Anzeigen der Configuration Manager Berichtsdaten zu ermöglichen. Die Daten werden durch die Verwendung des rollenbasierten Zugriffs weiter eingeschränkt.

Erhöhte Berechtigungen

Configuration Manager erfordert, dass einige Konten über erhöhte Berechtigungen für laufende Vorgänge verfügen. Weitere Informationen finden Sie beispielsweise unter Voraussetzungen für die Installation eines primären Standorts. In der folgenden Liste sind diese Berechtigungen und die Gründe zusammengefasst, warum sie benötigt werden.

  • Das Computerkonto des primären Standortservers und des Standortservers der zentralen Verwaltung erfordert Folgendes:

    • Lokale Administratorrechte auf allen Standortsystemservern. Diese Berechtigung besteht darin, Systemdienste zu verwalten, zu installieren und zu entfernen. Der Standortserver aktualisiert auch lokale Gruppen auf dem Standortsystem, wenn Sie Rollen hinzufügen oder entfernen.

    • Sysadmin-Zugriff auf die SQL Server instance für die Standortdatenbank. Diese Berechtigung besteht darin, SQL Server für den Standort zu konfigurieren und zu verwalten. Configuration Manager eng in SQL integriert ist, handelt es sich nicht nur um eine Datenbank.

  • Benutzerkonten mit der Rolle "Volladministrator" erfordern Folgendes:

    • Lokale Administratorrechte auf allen Standortservern. Diese Berechtigung besteht darin, Systemdienste, Registrierungsschlüssel und -werte sowie WMI-Objekte anzuzeigen, zu bearbeiten, zu entfernen und zu installieren.

    • Sysadmin-Zugriff auf die SQL Server instance für die Standortdatenbank. Diese Berechtigung besteht darin, die Datenbank während des Setups oder der Wiederherstellung zu installieren und zu aktualisieren. Es ist auch für SQL Server Wartung und Betrieb erforderlich. Beispiel: Neuindizierung und Aktualisierung von Statistiken.

      Hinweis

      Einige Organisationen können den Sysadmin-Zugriff entfernen und ihn nur gewähren, wenn dies erforderlich ist. Dieses Verhalten wird manchmal als "Just-In-Time-Zugriff (JIT)" bezeichnet. In diesem Fall sollten Benutzer mit der Rolle "Volladministrator" weiterhin Zugriff auf das Lesen, Aktualisieren und Ausführen gespeicherter Prozeduren für die Configuration Manager-Datenbank haben. Diese Berechtigungen ermöglichen es ihnen, die meisten Probleme ohne vollständigen Sysadmin-Zugriff zu beheben.