Compartir a través de


Referencia técnica para las cuentas que se usan en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Utilice la información siguiente para identificar las cuentas y los grupos de Windows que se usan en System Center 2012 Configuration Manager, cómo se usan y cualquier requisito.

Grupos de Windows que crea y utiliza Configuration Manager

Configuration Manager crea automáticamente y, en muchos casos, mantiene automáticamente los siguientes grupos de Windows:

Nota

Cuando Configuration Manager crea un grupo en un equipo que es miembro del dominio, el grupo es un grupo de seguridad local. Si el equipo es un controlador de dominio, el grupo es un grupo local de dominio que se comparte entre todos los controladores de dominio en el dominio.

ConfigMgr_CollectedFilesAccess

Este grupo lo utiliza Configuration Manager para conceder acceso para ver los archivos recopilados por el inventario de software.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en el servidor de sitio primario.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Pertenencia

Configuration Manager administra automáticamente la pertenencia al grupo. Entre los miembros se incluyen usuarios administrativos que tienen concedido el permiso Ver archivos recopilados en el objeto asegurable Recopilación desde un rol de seguridad asignado.

Permisos

De forma predeterminada, este grupo tiene el permiso Read en la siguiente carpeta en el servidor de sitio: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccess

Este grupo es un grupo de seguridad local creado por System Center 2012 Configuration Manager en el servidor de base de datos del sitio o en el servidor de réplica de base de datos y no se utiliza actualmente. Este grupo está reservado para su uso futuro por parte de Configuration Manager.

Usuarios del control remoto de ConfigMgr

Este grupo lo usan herramientas remotas de Configuration Manager para almacenar las cuentas y los grupos que configure en la lista de visores permitidos asignados a cada cliente.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en el cliente de Configuration Manager cuando el cliente recibe la directiva que habilita las herramientas remotas.

System_CAPS_importantImportante

Después de deshabilitar herramientas remotas para un cliente, este grupo no se quita automáticamente y debe eliminarse de forma manual desde cada equipo cliente.

Pertenencia

De forma predeterminada, no hay ningún miembro en este grupo. Al agregar usuarios a la lista de visores permitidos, se agregan automáticamente a este grupo.

System_CAPS_tipSugerencia

Utilice la lista de visores permitidos para administrar la pertenencia a este grupo en lugar de agregar usuarios o grupos directamente.

Además de ser un visor permitido, un usuario administrativo debe tener el permiso de Control remoto en el objeto Recopilación. Puede asignar este permiso mediante el rol de seguridad Operador de herramientas remotas.

Permisos

De forma predeterminada, este grupo no tiene permisos en ninguna ubicación del equipo y solo se utiliza para albergar la lista de visores permitidos.

Administradores de SMS

Configuration Manager usa este grupo para conceder acceso al proveedor de SMS, a través de WMI. Se requiere acceso al proveedor de SMS para ver y modificar objetos en la consola de Configuration Manager.

Nota

La configuración de administración basada en roles de un usuario administrativo determina qué objetos pueden ver y administrar cuando se utiliza la consola de Configuration Manager.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en cada equipo que tenga un proveedor de SMS.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Pertenencia

Configuration Manager administra automáticamente la pertenencia al grupo. De forma predeterminada, cada usuario administrativo en una jerarquía y la cuenta de equipo del servidor de sitio son miembros del grupo de administradores de SMS en cada equipo de proveedor de SMS en un sitio.

Permisos

Los permisos y derechos de administradores de SMS se establecen en el complemento MMC Control WMI. De forma predeterminada, se concede Enable Account y Remote Enable al grupo de administradores de SMS en el espacio de nombres Root\SMS. Los usuarios autenticados tienen los permisos Execute Methods, Provider Write y Enable Account.

Nota

Los usuarios administrativos que van a usar una consola de Configuration Manager remota requieren permisos de DCOM de activación remota en el equipo de servidor de sitio y en el equipo de proveedor de SMS. Es recomendable conceder estos derechos a los administradores de SMS para simplificar la administración, en lugar de conceder estos derechos directamente a los usuarios o grupos. Para obtener más información, consulte la sección Configurar permisos de DCOM para conexiones remotas de la consola de Configuration Manager del tema Administración de configuraciones de jerarquía y sitio.

SMS_SiteSystemToSiteServerConnection_MP_<código de sitio>

Los puntos de administración de Configuration Manager que son remotos del servidor de sitio usan este grupo para conectarse a la base de datos del sitio. Este grupo proporciona un acceso de punto de administración a las carpetas de bandeja de entrada en el servidor de sitio y la base de datos del sitio.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en cada equipo que tenga un proveedor de SMS.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Pertenencia

Configuration Manager administra automáticamente la pertenencia al grupo. De forma predeterminada, la pertenencia incluye las cuentas de equipo de equipos remotos que tienen un punto de administración para el sitio.

Permisos

De forma predeterminada, este grupo tiene los permisos Read, Read & execute y List folder contents en la carpeta %path%\Microsoft Configuration Manager\inboxes en el servidor de sitio. Además, este grupo tiene el permiso adicional de Write en varias subcarpetas por debajo de inboxes en donde el punto de administración escribe datos de cliente.

SMS_SiteSystemToSiteServerConnection_SMSProv_<código de sitio>

Los equipos del proveedor de SMS de Configuration Manager que son remotos del servidor de sitio usan este grupo para conectarse al servidor de sitio.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Pertenencia

Configuration Manager administra automáticamente la pertenencia al grupo. De forma predeterminada, la pertenencia incluye la cuenta de equipo o la cuenta de usuario de dominio que se utiliza para conectar al servidor de sitio desde cada equipo remoto que tenga instalado un proveedor de SMS para el sitio.

Permisos

De forma predeterminada, este grupo tiene los permisos Read, Read & execute y List folder contents en la carpeta %path%\Microsoft Configuration Manager\inboxes en el servidor de sitio. Además, este grupo tiene el permiso adicional de Write o los permisos Write y Modify en varias subcarpetas por debajo de inboxes en donde el proveedor de SMS requiere acceso.

Este grupo también tiene los permisos Read, Read & execute, List folder contents, Write y Modify en las carpetas por debajo de %path%\Microsoft Configuration Manager\OSD\boot y el permiso Read en las carpetas por debajo de %path%\Microsoft Configuration Manager\OSD\Bin en el servidor de sitio.

SMS_SiteSystemToSiteServerConnection_Stat_<código de sitio>

Este grupo lo utiliza el Administrador de distribución de archivos en equipos de sistema de sitio remoto de Configuration Manager para conectarse al servidor de sitio.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Pertenencia

Configuration Manager administra automáticamente la pertenencia al grupo. De forma predeterminada, la pertenencia incluye la cuenta de equipo o la cuenta de usuario de dominio que se utiliza para conectar al servidor de sitio desde cada equipo de sistema de sitio remoto que ejecute el Administrador de distribución de archivos.

Permisos

De forma predeterminada, este grupo tiene los permisos Read, Read & execute y List folder contents en la carpeta %path%\Microsoft Configuration Manager\inboxes y en varias subcarpetas por debajo de esta ubicación en el servidor de sitio. Además, este grupo tiene los permisos adicionales de Write y Modify en la carpeta %path%\Microsoft Configuration Manager\inboxes\statmgr.box en el servidor de sitio.

SMS_SiteToSiteConnection_<código de sitio>

Configuration Manager usa este grupo para habilitar la replicación basada en archivos entre sitios en una jerarquía. Por cada sitio remoto que transfiera los archivos directamente a este sitio, este grupo contiene las siguientes cuentas:

  • Cuentas configuradas como una cuenta de dirección de sitio, desde sitios de Configuration Manager sin ningún Service Pack

  • Cuentas configuradas como una cuenta de replicación de archivos, desde sitios que ejecutan Configuration Manager SP1 y versiones posteriores

Nota

A partir de Configuration Manager SP1, la Cuenta de replicación de archivos sustituye a la Cuenta de dirección de sitio.

En la tabla siguiente se enumeran detalles adicionales para este grupo:

Detalle

Más información

Tipo y ubicación

Este grupo es un grupo de seguridad local creado en el servidor de sitio.

Pertenencia

Cuando instala un nuevo sitio como secundario de otro sitio, Configuration Manager agrega automáticamente la cuenta de equipo del nuevo sitio al grupo en el servidor de sitio primario y la cuenta de equipo de sitios primarios al grupo en el nuevo servidor de sitio. Si especifica otra cuenta para las transferencias basadas en archivos, agregue dicha cuenta a este grupo en el servidor de sitio de destino.

Nota

Cuando se desinstala un sitio, este grupo no se quita automáticamente y se debe eliminar manualmente.

Permisos

De forma predeterminada, este grupo tiene control total en la carpeta %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Cuentas que utiliza Configuration Manager

Puede configurar las cuentas siguientes para Configuration Manager:

Cuenta de detección de grupos de Active Directory

La Cuenta de detección de grupos de Active Directory se usa para detectar grupos de seguridad locales, globales y universales, la pertenencia a estos grupos, y la pertenencia a grupos de distribución desde las ubicaciones especificadas en Servicios de dominio de Active Directory. Los grupos de distribución no se detectan como recursos de grupo.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura en las ubicaciones de Active Directory que se especifiquen para la detección.

Cuenta de detección de sistemas de Active Directory

La Cuenta de detección de sistemas de Active Directory se utiliza para detectar equipos desde las ubicaciones especificadas en Servicios de dominio de Active Directory.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura en las ubicaciones de Active Directory que se especifiquen para la detección.

Cuenta de detección de usuarios de Active Directory

La Cuenta de detección de usuarios de Active Directory se utiliza para detectar cuentas de usuario desde las ubicaciones especificadas en Servicios de dominio de Active Directory.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows. Debe tener permiso de acceso de lectura en las ubicaciones de Active Directory que se especifiquen para la detección.

Cuenta de bosque de Active Directory

La Cuenta de bosque de Active Directory se utiliza para detectar infraestructura de red desde bosques de Active Directory. También la usan sitios de administración central y sitios primarios para publicar datos del sitio en los Servicios de dominio de Active Directory de un bosque.

Nota

Los sitios secundarios siempre utilizan la cuenta de equipo del servidor de sitio secundario para publicar en Active Directory.

Nota

La Cuenta de bosque de Active Directory debe ser una cuenta global para detectar y publicar en bosques que no son de confianza. Si no utiliza la cuenta de equipo del servidor de sitio, solo se puede seleccionar una cuenta global.

Esta cuenta debe tener permisos de lectura en cada bosque de Active Directory donde desee detectar infraestructura de red.

Esta cuenta debe tener permisos de control total en el contenedor System Management y todos sus objetos secundarios en cada bosque de Active Directory donde desee publicar datos del sitio.

Cuenta de detección y aprovisionamiento de AMT

La Cuenta de detección y aprovisionamiento de AMT es equivalente funcionalmente a la Cuenta de administrador remoto de AMT y reside en la extensión de BIOS Management Engine BIOS Extension (MEBx) de equipos basados en Intel AMT. El servidor que ejecuta el rol de punto de servicio fuera de banda usa esta cuenta para administrar algunas características de interfaz de red de AMT, mediante la característica de administración fuera de banda.

Si especifica una Cuenta de detección y aprovisionamiento de AMT en Configuration Manager, debe coincidir con el nombre y la contraseña de la Cuenta de administrador remoto de AMT especificada en las extensiones de BIOS en los equipos basados en AMT.

Nota

Para obtener más información sobre si se debe especificar una Cuenta de detección y aprovisionamiento de AMT, consulte Paso 5: Configuración de componente de administración de banda en el tema Cómo crear y configurar los equipos basados en AMT en Configuration Manager de la guía Activos y compatibilidad en System Center 2012 Configuration Manager.

La cuenta se almacena en las extensiones de BIOS Management Engine BIOS Extension del equipo basado en AMT, y no se corresponde con ninguna cuenta de Windows.

Cuenta de eliminación de aprovisionamiento de AMT

La Cuenta de eliminación de aprovisionamiento de AMT puede quitar la información de aprovisionamiento de AMT si tiene que recuperar el sitio. También puede usarla cuando se vuelve a asignar un cliente de Configuration Manager y no se quita la información de aprovisionamiento de AMT del equipo en el sitio antiguo.

Para quitar correctamente la información de aprovisionamiento de AMT con la Cuenta de eliminación de aprovisionamiento de AMT, deben cumplirse todos los requisitos siguientes:

  • La Cuenta de eliminación de aprovisionamiento de AMT se configura en las propiedades del componente de administración fuera de banda.

  • La cuenta configurada para la Cuenta de eliminación de aprovisionamiento de AMT fue configurada como una Cuenta de usuario de AMT en las propiedades del componente de administración fuera de banda cuando se aprovisiona o se actualiza el equipo basado en AMT.

  • La cuenta que está configurada para la cuenta de eliminación de aprovisionamiento de AMT debe ser miembro del grupo de administradores locales en el equipo de punto de servicio fuera de banda.

  • El registro de auditoría de AMT no está habilitado.

Como se trata de una cuenta de usuario de Windows, especifique una cuenta con una contraseña segura que no expire.

Cuenta de administrador remoto de AMT

La cuenta de administrador remoto de AMT es la cuenta de la extensión de BIOS Management Engine BIOS Extension (MEBx) de los equipos basados en AMT de Intel, que el servidor usa al ejecutar el rol de punto de servicio fuera de banda para administrar algunas características de interfaz de red de AMT en Configuration Manager, mediante el uso de la característica de administración fuera de banda.

Configuration Manager establece automáticamente la contraseña de la cuenta de administrador remoto para los equipos que aprovisiona para AMT y esto se utiliza luego para accesos autenticados posteriores al firmware de AMT. Esta cuenta es equivalente funcionalmente a la cuenta de detección y aprovisionamiento de AMT de Configuration Manager.

La cuenta se almacena en las extensiones de BIOS Management Engine BIOS Extension del equipo basado en AMT, y no se corresponde con ninguna cuenta de Windows.

Cuentas de usuario AMT

Las cuentas de usuario AMT controlan qué usuarios o grupos de Windows pueden ejecutar funciones de administración en la consola de administración fuera de banda.

La configuración de las cuentas de usuario AMT crea el equivalente de una lista de control de acceso (ACL) en el firmware de AMT. Cuando el usuario que inició sesión intenta ejecutar la consola de administración fuera de banda, AMT usa Kerberos para autenticar la cuenta y, a continuación, autoriza o deniega el acceso para ejecutar las funciones de administración de AMT.

Configure las cuentas de usuario AMT antes de aprovisionar los equipos basados en AMT. Si configura las cuentas de usuario AMT después de aprovisionar los equipos para AMT, debe actualizar manualmente la memoria de AMT para estos equipos de modo que se configuren con las nuevas opciones.

Dado que las cuentas de usuario AMT utilizan la autenticación Kerberos, las cuentas de usuario y los grupos de seguridad deben existir en un dominio de Active Directory.

Cuenta de servidor proxy de punto de sincronización de Asset Intelligence

El punto de sincronización de Asset Intelligence usa la cuenta de servidor proxy de punto de sincronización de Asset Intelligence para acceder a Internet a través de un servidor proxy o firewall que requiere acceso autenticado.

System_CAPS_security Seguridad Nota

Especifique una cuenta que tenga los mínimos permisos posibles en el servidor proxy o firewall correspondiente.

Cuenta de punto de registro de certificado

La cuenta de punto de registro del certificado conecta el punto de registro del certificado a la base de datos de Configuration Manager. De forma predeterminada, se utiliza la cuenta de equipo del punto de registro del certificado, pero puede configurar una cuenta de usuario en su lugar. Debe especificar una cuenta de usuario cada vez que el punto de registro del certificado esté en un dominio que no sea de confianza en el servidor del sitio. Esta cuenta solo requiere acceso de lectura a la base de datos del sitio, ya que las operaciones de escritura se controlan mediante el sistema de mensajes de estado.

Cuenta de captura de imagen de sistema operativo

Configuration Manager usa la cuenta de captura de imagen de sistema operativo para acceder a la carpeta en la que se almacenan las imágenes capturadas cuando se implementan sistemas operativos. Esta cuenta es necesaria si agrega el paso Capturar imagen de sistema operativo a una secuencia de tareas.

La cuenta debe tener permisos de Lectura y Escritura en el recurso compartido de red donde se almacena la imagen capturada.

Si se cambia la contraseña de la cuenta en Windows, debe actualizar la secuencia de tareas con la nueva contraseña. El cliente de Configuration Manager recibirá la nueva contraseña la siguiente vez que descargue la directiva de cliente.

Si utiliza esta cuenta, puede crear una cuenta de usuario de dominio con unos permisos mínimos para el acceso a los recursos de red requeridos, y usarla para todas las cuentas de la secuencia de tareas.

System_CAPS_security Seguridad Nota

No asigne a esta cuenta permisos de inicio de sesión interactivo.

No utilice la cuenta de acceso de red para esta cuenta.

Cuenta de instalación de inserción de cliente

La cuenta de instalación de inserción de cliente se utiliza para conectarse a los equipos, e instalar el software de cliente de Configuration Manager si implementa clientes mediante la instalación de inserción de cliente. Si no se especifica esta cuenta, se utiliza la cuenta del servidor del sitio para intentar instalar el software de cliente.

Esta cuenta debe ser miembro del grupo Administradores locales en los equipos en los que se debe instalar el software de cliente de Configuration Manager. Esta cuenta no requiere derechos de administrador de dominio.

Puede especificar una o más cuentas de instalación de inserción de cliente, que Configuration Manager probará sucesivamente hasta que se establezca la conexión.

System_CAPS_tipSugerencia

Para coordinar de un modo más eficaz las actualizaciones de cuentas en las implementaciones de Active Directory grandes, cree una nueva cuenta con un nombre distinto y agréguela a la lista de cuentas de instalación de inserción de cliente en Configuration Manager. Deje el tiempo necesario para que Servicios de dominio de Active Directory pueda replicar la nueva cuenta, y elimine luego la cuenta anterior de Configuration Manager y de Servicios de dominio de Active Directory.

System_CAPS_security Seguridad Nota

No conceda a esta cuenta derechos para iniciar sesión localmente.

Cuenta de conexión de punto de inscripción

La cuenta de conexión de punto de inscripción conecta el punto de inscripción con la base de datos del sitio de Configuration Manager. De forma predeterminada, se utiliza la cuenta de equipo del punto de inscripción, pero puede configurar una cuenta de usuario en su lugar. Debe especificar una cuenta de usuario cada vez que el punto de inscripción esté en un dominio que no sea de confianza en el servidor del sitio. Esta cuenta requiere acceso de lectura y escritura a la base de datos del sitio.

Cuenta de conexión de Exchange Server

La cuenta de conexión de Exchange Server conecta el servidor del sitio con el equipo de Exchange Server especificado para buscar y administrar los dispositivos móviles que se conectan a Exchange Server. Esta cuenta requiere los cmdlets de PowerShell de Exchange que proporcionan los permisos necesarios para el equipo de Exchange Server. Para obtener más información acerca de los cmdlets, consulte Cómo configurar dispositivos móviles mediante Configuration Manager y Exchange.

Cuenta de servidor proxy del conector de Exchange Server

El conector de Exchange Server utiliza la cuenta de servidor proxy del conector de Exchange Server para tener acceso a Internet a través de un servidor proxy o firewall que requiere acceso autenticado.

System_CAPS_security Seguridad Nota

Especifique una cuenta que tenga los mínimos permisos posibles en el servidor proxy o firewall correspondiente.

Cuenta de conexión del servidor SMTP de Endpoint Protection

Para Configuration Manager sin Service Pack: el servidor del sitio utiliza la cuenta de conexión del servidor SMTP de Endpoint Protection para enviar alertas por correo electrónico para Endpoint Protection cuando el servidor SMTP requiere acceso autenticado.

System_CAPS_security Seguridad Nota

Especifique una cuenta que tenga los mínimos permisos posibles para enviar mensajes de correo electrónico.

Cuenta de publicación de referencia de estado de mantenimiento

La cuenta de publicación de referencia de estado de mantenimiento se usa para publicar la referencia del estado de mantenimiento de Protección de acceso a redes (NAP) para Configuration Manager en Servicios de dominio de Active Directory.

Si no configura ninguna cuenta, Configuration Manager intenta utilizar la cuenta de equipo del servidor del sitio para publicar las referencias del estado de mantenimiento.

Esta cuenta requiere permisos de Lectura, Escritura y Creación para el bosque de Active Directory que almacena la referencia del estado de mantenimiento.

Cree la cuenta en el bosque designado para almacenar las referencias del estado de mantenimiento. Asigne los permisos mínimos necesarios a esta cuenta y no utilice la misma cuenta que la especificada para la cuenta de consulta de referencia de estado de mantenimiento, que requiere solo permisos de Lectura.

Cuenta de consulta de referencia de estado de mantenimiento

La cuenta de consulta de referencia de estado de mantenimiento se usa para recuperar la referencia del estado de mantenimiento de Protección de acceso a redes (NAP) para Configuration Manager en Servicios de dominio de Active Directory.

Si no configura ninguna cuenta, Configuration Manager intenta utilizar la cuenta de equipo del servidor del sitio para recuperar las referencias del estado de mantenimiento.

Esta cuenta requiere permisos de Lectura para el contenedor de Configuration ManagerSystems Management del catálogo global.

Cree la cuenta en el bosque designado para almacenar las referencias del estado de mantenimiento. No utilice la misma cuenta para la cuenta de publicación de referencia de estado de mantenimiento, que requiere un mayor número de privilegios.

System_CAPS_security Seguridad Nota

No conceda a esta cuenta derechos de inicio de sesión interactivo.

Cuenta de conexión del punto de administración

La cuenta de conexión al punto de administración se usa para conectar el punto de administración a la base de datos del sitio de Configuration Manager de modo que pueda enviar y recuperar información para clientes. De forma predeterminada, se utiliza la cuenta de equipo del punto de administración pero puede configurar una cuenta de usuario en su lugar. Debe especificar una cuenta de usuario cada vez que el punto de administración esté en un dominio que no sea de confianza en el servidor del sitio.

Cree la cuenta como una cuenta local con derechos reducidos en el equipo que ejecuta Microsoft SQL Server.

System_CAPS_security Seguridad Nota

No conceda a esta cuenta derechos de inicio de sesión interactivo.

Cuenta MEBx

La cuenta MEBx es la cuenta de la extensión de BIOS Management Engine BIOS Extension (MEBx) en equipos basados en AMT de Intel, y se utiliza para el acceso autenticado inicial al firmware de AMT en equipos basados en AMT.

La cuenta MEBx se denomina admin y, de forma predeterminada, la contraseña es admin. El fabricante puede proporcionar una contraseña personalizada, o se puede especificar la contraseña que se prefiera en AMT. Si la contraseña de MEBx se establece en un valor que no es admin, debe configurar una cuenta de detección y aprovisionamiento de AMT. Para obtener más información, consulte Paso 5: Configuración de componente de administración de banda en el tema Cómo crear y configurar los equipos basados en AMT en Configuration Manager.

La cuenta se almacena en las extensiones de BIOS Management Engine BIOS Extension del equipo basado en AMT. Esta cuenta no se corresponde con ninguna cuenta de Windows.

Si la contraseña predeterminada de MEBx no se modifica antes de que Configuration Manager aprovisione el equipo para AMT, durante el proceso de aprovisionamiento de AMT, Configuration Manager establece la contraseña que se configure.

Cuenta de conexión de multidifusión

Los puntos de distribución, que están configurados para multidifusión, utilizan la cuenta de conexión de multidifusión para leer información en la base de datos del sitio. De forma predeterminada, se utiliza la cuenta de equipo del punto de distribución pero puede configurar una cuenta de usuario en su lugar. Debe especificar una cuenta de usuario cada vez que la base de datos del sitio esté en un bosque que no sea de confianza. Por ejemplo, si el centro de datos tiene una red perimetral en un bosque que no sea ni el servidor del sitio ni la base de datos del sitio, puede utilizar esta cuenta para leer información de multidifusión desde la base de datos del sitio.

Si crea esta cuenta, créela como una cuenta local con derechos reducidos en el equipo que ejecuta Microsoft SQL Server.

System_CAPS_security Seguridad Nota

No conceda a esta cuenta derechos de inicio de sesión interactivo.

Cuenta de acceso a la red

Los equipos cliente usan la cuenta de acceso a la red cuando no pueden utilizar su cuenta de equipo local para tener acceso a contenido en los puntos de distribución. Por ejemplo, esto se aplica a los equipos y clientes del grupo de trabajo de dominios que no son de confianza. Esta cuenta también se puede utilizar durante la implementación de un sistema operativo cuando el equipo que instala el sistema operativo no tiene aún una cuenta de equipo en el dominio.

Nota

La cuenta de acceso a la red nunca se utiliza como contexto de seguridad para ejecutar programas, instalar actualizaciones de software ni ejecutar secuencias de tareas, sino únicamente para tener acceso a recursos de la red.

Conceda a esta cuenta los permisos adecuados mínimos en el contenido que el cliente necesita para tener acceso al software. La cuenta debe tener el derecho Tener acceso a este equipo desde la red en el punto de distribución u otro servidor que hospeda el contenido del paquete. Antes de System Center 2012 R2 Configuration Manager, puede crear una cuenta de acceso de red por cada sitio y esta cuenta debe funcionar para todos los paquetes y las secuencias de tareas en que se requiere. A partir de System Center 2012 R2 Configuration Manager, puede configurar varias cuentas de acceso de red por cada sitio.

System_CAPS_warningAdvertencia

Cuando Configuration Manager intenta usar la cuenta nombreDeEquipo$ para descargar el contenido y se produce un error, lo intenta de nuevo automáticamente con la cuenta de acceso a la red, incluso si ya lo intentó antes y se produjo un error.

Cree la cuenta en cualquier dominio que proporcione el acceso necesario a los recursos. La cuenta de acceso de red debe incluir siempre un nombre de dominio. No se admite la seguridad de paso a través para esta cuenta. Si tiene puntos de distribución en varios dominios, cree la cuenta en un dominio de confianza.

System_CAPS_tipSugerencia

Para evitar bloqueos de cuentas, no cambie la contraseña de una cuenta de acceso de red existente. En su lugar, cree una cuenta nueva y configúrela en Configuration Manager. Cuando transcurra el tiempo suficiente para que todos los clientes reciban los detalles de la cuenta nueva, quite la cuenta antigua de las carpetas compartidas de red y elimine la cuenta.

System_CAPS_security Seguridad Nota

No conceda a esta cuenta derechos de inicio de sesión interactivo.

No conceda a esta cuenta el derecho de unir equipos al dominio. Si debe unir equipos al dominio durante una secuencia de tareas, utilice la cuenta de unión al dominio del editor de secuencia de tareas.

Solo para System Center 2012 R2 Configuration Manager y versiones más recientes: Ahora puede especificar varias cuentas de acceso de red para un sitio. Cuando los clientes intentan obtener acceso al contenido y no pueden usar la cuenta de su equipo local, primero usan la última cuenta de acceso a la red que se conectó correctamente.Configuration Manager permite agregar hasta 10 cuentas de acceso de red.

Cuenta de acceso de paquetes

Las cuentas de acceso de paquete permiten establecer permisos NTFS para especificar los usuarios y grupos de usuarios que pueden tener acceso a una carpeta de paquetes en los puntos de distribución. De forma predeterminada, Configuration Manager solo concede acceso a las cuentas de acceso genérico Usuarios y Administradores, aunque puede controlar el acceso de los equipos cliente mediante el uso de cuentas o grupos de Windows adicionales. Los dispositivos móviles siempre recuperan contenido de paquete de forma anónima, por lo que estos dispositivos no utilizan cuentas de acceso de paquetes.

De forma predeterminada, cuando Configuration Manager crea el recurso compartido de paquete en un punto de distribución, concede acceso de Lectura al grupo Usuarios local y Control total al grupo de administradores locales. Los permisos reales necesarios dependen del paquete. Si tiene clientes en grupos de trabajo o en bosques que no son de confianza, estos clientes utilizan la cuenta de acceso de red para acceder al contenido del paquete. Asegúrese de que la cuenta de acceso a la red tenga permisos para el paquete, y utilice las cuentas de acceso de paquetes definidas.

Utilice las cuentas en un dominio que pueda acceder a los puntos de distribución. Si crea o modifica la cuenta después de que se cree el paquete, deberá redistribuirlo. La actualización del paquete no cambia los permisos NTFS del paquete.

No es necesario que agregue la cuenta de acceso a la red como una cuenta de acceso de paquetes, porque la pertenencia al grupo Usuarios la agrega automáticamente. Restringir la cuenta de acceso de paquetes a solo la cuenta de acceso a la red no impide que los clientes accedan al paquete.

Cuenta de punto de Reporting Services

SQL Server Reporting Services utiliza la cuenta de punto de Reporting Services para recuperar los datos de informes de Configuration Manager de la base de datos del sitio. La cuenta de usuario y la contraseña de Windows especificadas se cifran y almacenan en la base de datos de SQL Server Reporting Services.

Cuentas de visores permitidos de herramientas remotas

Las cuentas que especifique como Visores permitidos para el control remoto son una lista de usuarios a los que se permite el uso de funcionalidades de herramientas remotas en los clientes.

Cuenta de instalación del sistema de sitio

El servidor de sitio usa la cuenta de instalación del sistema de sitio para instalar, reinstalar, desinstalar y configurar sistemas de sitio. Si configura el sistema de sitio para que requiera que el servidor de sitio inicie conexiones con dicho sistema de sitio, Configuration Manager también usa la cuenta para extraer datos del equipo de sistema de sitio después de la instalación del sistema de sitio y de los roles de sistema de sitio. Cada sistema de sitio puede tener una cuenta de instalación del sistema de sitio distinta, pero solo se puede configurar una cuenta de instalación del sistema de sitio para administrar los roles de sistema de sitio en el sistema de sitio.

Esta cuenta requiere permisos administrativos locales en los sistemas de sitio que se van a instalar y configurar. Además, esta cuenta debe Tener acceso a este equipo desde la red en la directiva de seguridad en los sistemas de sitio que se van a instalar y configurar.

System_CAPS_tipSugerencia

Si tiene muchos controladores de dominio y estas cuentas se utilizarán en varios dominios, compruebe que las cuentas se han replicado antes de configurar el sistema de sitio.

La especificación de una cuenta local en cada sistema de sitio que se va a administrar es una configuración más segura que la utilización de cuentas de dominio, ya que se limitan los daños que los atacantes pueden producir si la seguridad de la cuenta se ve comprometida. Sin embargo, las cuentas de dominio son más fáciles de administrar: tenga en cuenta que debe conseguir un equilibrio entre la seguridad y una administración eficaz.

Cuenta de conexión del servidor SMTP

Para System Center 2012 Configuration Manager SP1 y versiones posteriores: El servidor de sitio usa la cuenta de conexión del servidor SMTP para enviar alertas de correo electrónico cuando el servidor SMTP requiere acceso autenticado.

System_CAPS_security Seguridad Nota

Especifique una cuenta que tenga los mínimos permisos posibles para enviar mensajes de correo electrónico.

Cuenta de conexión de punto de actualización de software

El servidor de sitio usa la cuenta de conexión del punto de actualización de software para los dos servicios de actualizaciones de software siguientes:

  • Configuration Manager de WSUS, que configura opciones como las definiciones de producto, las clasificaciones y la configuración ascendente.

  • Administrador de sincronización de WSUS, que solicita la sincronización a un servidor WSUS ascendente o a Microsoft Update.

La cuenta de instalación del sistema de sitio puede instalar componentes para las actualizaciones de software, pero no puede realizar funciones específicas de actualizaciones de software en el punto de actualización de software. Si no puede usar la cuenta de equipo del servidor de sitio para esta funcionalidad porque el punto de actualización de software está en un bosque que no es de confianza, debe especificar esta cuenta además de la cuenta de instalación del sistema de sitio.

Esta cuenta debe ser un administrador local en el equipo en el que está instalado WSUS y formar parte del grupo local Administradores de WSUS.

Cuenta del servidor proxy del punto de actualización de software

El punto de actualización de software usa la cuenta del servidor proxy del punto de actualización de software para acceder a Internet a través de un servidor proxy o firewall que requiere acceso autenticado.

System_CAPS_security Seguridad Nota

Especifique una cuenta que tenga los mínimos permisos posibles en el servidor proxy o firewall correspondiente.

Cuenta de sitio de origen

El proceso de migración usa la cuenta de sitio de origen para tener acceso al proveedor de SMS del sitio de origen. Esta cuenta requiere permisos de Leer en objetos de sitio en el sitio de origen para obtener datos de trabajos de migración.

Si actualiza sitios secundarios o puntos de distribución de Configuration Manager 2007 que tienen puntos de distribución que comparten ubicación con puntos de distribución de System Center 2012 Configuration Manager, la cuenta también tiene que tener permisos Eliminar en la clase Sitio para eliminar correctamente el punto de distribución del sitio de Configuration Manager 2007 durante la actualización.

Nota

La cuenta de sitio de origen y la cuenta de base de datos del sitio de origen se identifican como Administrador de migraciones en el nodo Cuentas del área de trabajo Administración en la consola de Configuration Manager.

Cuenta de base de datos del sitio de origen

El proceso de migración usa la cuenta de base de datos del sitio de origen para tener acceso a la base de datos de SQL Server del sitio de origen. Para obtener datos de la base de datos de SQL Server del sitio de origen, la cuenta de base de datos del sitio de origen debe tener los permisos Leer y Ejecutar en la base de datos de SQL Server del sitio de origen.

Nota

Si utiliza la cuenta de equipo de System Center 2012 Configuration Manager, asegúrese de que lo siguiente se cumple para esta cuenta:

  • Es un miembro del grupo de seguridad Usuarios COM distribuidos en el dominio en el que reside el sitio de Configuration Manager 2007.

  • Es un miembro del grupo de seguridad Administradores de SMS.

  • Tiene permisos Leer en todos los objetos de Configuration Manager 2007.

Nota

La cuenta de sitio de origen y la cuenta de base de datos del sitio de origen se identifican como Administrador de migraciones en el nodo Cuentas del área de trabajo Administración en la consola de Configuration Manager.

Cuenta de unión de dominio de editor de secuencia de tareas

La cuenta de unión de dominio de editor de secuencia de tareas se usa en una secuencia de tareas para unir un equipo creado recientemente con una imagen a un dominio. La cuenta se necesita si agrega el paso Unirse a dominio o grupo de trabajo a una secuencia de tareas y, a continuación, selecciona Unirse a un dominio. También se puede configurar esta cuenta si agrega el paso Aplicar configuración de red a una secuencia de tareas, pero no es obligatorio.

Esta cuenta requiere el derecho Unirse al dominio en el dominio al que el equipo se va a unir.

System_CAPS_tipSugerencia

Si requiere esta cuenta para su secuencia de tareas, puede crear una cuenta de usuario de dominio con los permisos mínimos para acceder a los recursos de red requeridos y usarla para todas las cuentas de secuencia de tareas.

System_CAPS_security Seguridad Nota

No asigne a esta cuenta permisos de inicio de sesión interactivo.

No utilice la cuenta de acceso de red para esta cuenta.

Cuenta de conexión de carpeta de red de editor de secuencias de tareas

La secuencia de tareas usa la cuenta de conexión de carpeta de red de editor de secuencias de tareas para conectarse a una carpeta compartida en la red. Esta cuenta es necesaria si agrega el paso Conectar a carpeta de red a una secuencia de tareas.

Esta cuenta requiere permisos de acceso a la carpeta compartida especificada y debe ser una cuenta de dominio de usuario.

System_CAPS_tipSugerencia

Si requiere esta cuenta para su secuencia de tareas, puede crear una cuenta de usuario de dominio con los permisos mínimos para acceder a los recursos de red requeridos y usarla para todas las cuentas de secuencia de tareas.

System_CAPS_security Seguridad Nota

No asigne a esta cuenta permisos de inicio de sesión interactivo.

No utilice la cuenta de acceso de red para esta cuenta.

Cuenta de ejecución de secuencia de tareas

La cuenta de ejecución de secuencia de tareas se utiliza para ejecutar líneas de comandos en secuencias de tareas y utilizar credenciales distintas a las de la cuenta de sistema local. Esta cuenta es necesaria si desea agregar el paso Ejecutar línea de comandos a una secuencia de tareas pero no quiere que la secuencia de tareas se ejecute con permisos de cuenta de sistema local en el equipo administrado.

Configure la cuenta para que tenga los permisos mínimos necesarios para ejecutar la línea de comandos especificada en la secuencia de tareas. La cuenta requiere permisos de inicio de sesión interactivo y normalmente requiere la capacidad de instalar software y tener acceso a recursos de red.

System_CAPS_security Seguridad Nota

No utilice la cuenta de acceso de red para esta cuenta.

Nunca convierta la cuenta en administrador de dominio.

No configure nunca perfiles móviles para esta cuenta. Cuando se ejecuta la secuencia de tareas, descargará el perfil móvil de la cuenta y se podrá acceder al perfil en el equipo local.

Limite el ámbito de la cuenta. Por ejemplo, cree varias cuentas de ejecución de secuencia de tareas para cada secuencia de tareas de manera que si una cuenta se ve comprometida, solo se exponen los equipos cliente a los que la cuenta tiene acceso.

Si la línea de comandos requiere acceso administrativo en el equipo, considere la posibilidad de crear una cuenta de administrador local solo para la cuenta de ejecución de secuencia de tareas en todos los equipos que ejecutarán la secuencia de tareas y elimine la cuenta cuando ya no sea necesaria.