Partage via


Comptes utilisés dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Utilisez les informations suivantes pour identifier les groupes, les comptes et les objets SQL Server Windows utilisés dans Configuration Manager, la façon dont ils sont utilisés et les exigences éventuelles.

Importante

Si vous spécifiez un compte dans un domaine ou une forêt distant, veillez à spécifier le nom de domaine complet avant le nom d’utilisateur et pas seulement le nom NetBIOS du domaine. Par exemple, spécifiez Corp.Contoso.com\UserName au lieu de simplement Corp\UserName. Cela permet Configuration Manager d’utiliser Kerberos lorsque le compte est utilisé pour s’authentifier auprès du système de site distant. L’utilisation du nom de domaine complet résout souvent les échecs d’authentification résultant des modifications récentes du renforcement de NTLM dans les mises à jour mensuelles Windows.

Groupes Windows que Configuration Manager crée et utilise

Configuration Manager crée et, dans de nombreux cas, gère automatiquement les groupes Windows suivants :

Remarque

Lorsque Configuration Manager crée un groupe sur un ordinateur membre du domaine, le groupe est un groupe de sécurité local. Si l’ordinateur est un contrôleur de domaine, le groupe est un groupe local de domaine. Ce type de groupe est partagé entre tous les contrôleurs de domaine du domaine.

Configuration Manager_CollectedFilesAccess

Configuration Manager utilise ce groupe pour accorder l’accès à l’affichage des fichiers collectés par l’inventaire logiciel.

Pour plus d’informations, consultez Présentation de l’inventaire logiciel.

Type et emplacement pour CollectedFilesAccess

Ce groupe est un groupe de sécurité local créé sur le serveur de site principal.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Appartenance à CollectedFilesAccess

Configuration Manager gère automatiquement l’appartenance au groupe. L’appartenance inclut les utilisateurs administratifs auxquels l’autorisation Afficher les fichiers collectés est accordée à l’objet sécurisable Collection à partir d’un rôle de sécurité attribué.

Autorisations pour CollectedFilesAccess

Par défaut, ce groupe dispose de l’autorisation Lecture sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Configuration Manager_DViewAccess

Ce groupe est un groupe de sécurité local que Configuration Manager crée sur le serveur de base de données de site ou le serveur de base de données réplica pour un site principal enfant. Le site le crée lorsque vous utilisez des vues distribuées pour la réplication de base de données entre les sites d’une hiérarchie. Il contient le serveur de site et SQL Server comptes d’ordinateur du site d’administration centrale.

Pour plus d’informations, consultez Transferts de données entre sites.

Configuration Manager utilisateurs du contrôle à distance

Configuration Manager outils à distance utilisent ce groupe pour stocker les comptes et les groupes que vous avez configurés dans la liste Visionneuses autorisées. Le site attribue cette liste à chaque client.

Pour plus d’informations, consultez Présentation du contrôle à distance.

Type et emplacement pour les utilisateurs de contrôle à distance

Ce groupe est un groupe de sécurité local créé sur le client Configuration Manager lorsque le client reçoit une stratégie qui active les outils à distance.

Une fois que vous avez désactivé les outils à distance pour un client, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désactivation des outils à distance.

Appartenance pour les utilisateurs de contrôle à distance

Par défaut, il n’y a aucun membre dans ce groupe. Lorsque vous ajoutez des utilisateurs à la liste Visionneuses autorisées , ils sont automatiquement ajoutés à ce groupe.

Utilisez la liste Visionneuses autorisées pour gérer l’appartenance à ce groupe au lieu d’ajouter des utilisateurs ou des groupes directement à ce groupe.

En plus d’être une visionneuse autorisée, un utilisateur administratif doit disposer de l’autorisation Contrôle à distance pour l’objet Collection . Attribuez cette autorisation à l’aide du rôle de sécurité Opérateur d’outils à distance .

Autorisations pour les utilisateurs de contrôle à distance

Par défaut, ce groupe n’a pas l’autorisation d’accéder à des emplacements sur l’ordinateur. Elle est utilisée uniquement pour contenir la liste Visionneuses autorisées .

Administrateurs SMS

Configuration Manager utilise ce groupe pour accorder l’accès au fournisseur SMS via WMI. L’accès au fournisseur SMS est requis pour afficher et modifier les objets dans la console Configuration Manager.

Remarque

La configuration d’administration basée sur les rôles d’un utilisateur administratif détermine les objets qu’il peut afficher et gérer lors de l’utilisation de la console Configuration Manager.

Pour plus d’informations, consultez Planifier le fournisseur SMS.

Type et emplacement pour les administrateurs SMS

Ce groupe est un groupe de sécurité local créé sur chaque ordinateur disposant d’un fournisseur SMS.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Appartenance pour les administrateurs SMS

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, chaque utilisateur administratif d’une hiérarchie et le compte d’ordinateur du serveur de site sont membres du groupe Administrateurs SMS sur chaque ordinateur du fournisseur SMS d’un site.

Autorisations pour les administrateurs SMS

Vous pouvez afficher les droits et autorisations du groupe Administrateurs SMS dans le composant logiciel enfichable MMC contrôle WMI . Par défaut, ce groupe est autorisé à activer le compte et à activer à distance dans l’espace Root\SMS de noms WMI. Les utilisateurs authentifiés disposent de méthodes d’exécution, d’écriture de fournisseur et d’activation de compte.

Lorsque vous utilisez une console de Configuration Manager distante, configurez les autorisations DCOM d’activation à distance sur l’ordinateur serveur de site et le fournisseur SMS. Accordez ces droits au groupe Administrateurs SMS . Cette action simplifie l’administration au lieu d’accorder ces droits directement aux utilisateurs ou aux groupes. Pour plus d’informations, consultez Configurer des autorisations DCOM pour les consoles Configuration Manager distantes.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Les points de gestion distants du serveur de site utilisent ce groupe pour se connecter à la base de données du site. Ce groupe fournit un accès de point de gestion aux dossiers de boîte de réception sur le serveur de site et la base de données du site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_MP

Ce groupe est un groupe de sécurité local créé sur chaque ordinateur disposant d’un fournisseur SMS.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Appartenance pour SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut les comptes d’ordinateurs distants qui ont un point de gestion pour le site.

Autorisations pour SMS_SiteSystemToSiteServerConnection_MP

Par défaut, ce groupe dispose des autorisations Lecture, Lecture & exécuter et Lister le contenu du dossier sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes. Ce groupe dispose également de l’autorisation d’écriture sur les sous-dossiers situés sous les boîtes de réception, dans lesquelles le point de gestion écrit les données client.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Les ordinateurs du fournisseur SMS distant utilisent ce groupe pour se connecter au serveur de site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_SMSProv

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Appartenance pour SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut un compte d’ordinateur ou un compte d’utilisateur de domaine. Il utilise ce compte pour se connecter au serveur de site à partir de chaque fournisseur SMS distant.

Autorisations pour SMS_SiteSystemToSiteServerConnection_SMSProv

Par défaut, ce groupe dispose des autorisations Lecture, Lecture & exécuter et Lister le contenu du dossier sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes. Ce groupe dispose également des autorisations Écrire et Modifier sur les sous-dossiers sous les boîtes de réception. Le fournisseur SMS nécessite l’accès à ces dossiers.

Ce groupe dispose également de l’autorisation Lecture sur les sous-dossiers sur le serveur de site ci-dessous C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Il dispose également des autorisations suivantes pour les sous-dossiers ci-dessous C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Read
  • Lire & exécuter
  • Afficher le contenu du dossier
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Le composant gestionnaire de répartition de fichiers sur Configuration Manager ordinateurs de système de site distants utilise ce groupe pour se connecter au serveur de site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_Stat

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Appartenance pour SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut le compte d’ordinateur ou le compte d’utilisateur de domaine. Il utilise ce compte pour se connecter au serveur de site à partir de chaque système de site distant qui exécute le gestionnaire de distribution de fichiers.

Autorisations pour SMS_SiteSystemToSiteServerConnection_Stat

Par défaut, ce groupe dispose des autorisations Lire, Lire & exécuter et Lister le contenu du dossier sur le dossier suivant et ses sous-dossiers sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes.

Ce groupe dispose également des autorisations Écrire et Modifier sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager utilise ce groupe pour activer la réplication basée sur les fichiers entre les sites d’une hiérarchie. Pour chaque site distant qui transfère directement des fichiers vers ce site, ce groupe a des comptes configurés en tant que compte de réplication de fichiers.

Type et emplacement pour SMS_SiteToSiteConnection

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Appartenance pour SMS_SiteToSiteConnection

Lorsque vous installez un nouveau site en tant qu’enfant d’un autre site, Configuration Manager ajoute automatiquement le compte d’ordinateur du nouveau serveur de site à ce groupe sur le serveur de site parent. Configuration Manager ajoute également le compte d’ordinateur du site parent au groupe sur le nouveau serveur de site. Si vous spécifiez un autre compte pour les transferts basés sur des fichiers, ajoutez ce compte à ce groupe sur le serveur de site de destination.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après avoir désinstallé un site.

Autorisations pour SMS_SiteToSiteConnection

Par défaut, ce groupe dispose d’un contrôle total sur le dossier suivant : C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Comptes que Configuration Manager utilise

Vous pouvez configurer les comptes suivants pour Configuration Manager.

Conseil

N’utilisez pas le caractère de pourcentage (%) dans le mot de passe pour les comptes que vous spécifiez dans la console Configuration Manager. L’authentification du compte échoue.

Compte de découverte de groupe Active Directory

Le site utilise le compte de découverte de groupe Active Directory pour découvrir les objets suivants à partir des emplacements dans services de domaine Active Directory que vous spécifiez :

  • Groupes de sécurité locaux, globaux et universels.
  • Appartenance à ces groupes.
  • Appartenance à des groupes de distribution.
    • Les groupes de distribution ne sont pas découverts en tant que ressources de groupe.

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte de groupes Active Directory.

Compte de découverte de système Active Directory

Le site utilise le compte de découverte de système Active Directory pour détecter les ordinateurs à partir des emplacements dans services de domaine Active Directory que vous spécifiez.

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte de systèmes Active Directory.

Compte de découverte d’utilisateurs Active Directory

Le site utilise le compte de découverte d’utilisateurs Active Directory pour découvrir les comptes d’utilisateur à partir des emplacements dans services de domaine Active Directory que vous spécifiez.

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte d’utilisateurs Active Directory.

Compte de forêt Active Directory

Le site utilise le compte de forêt Active Directory pour découvrir l’infrastructure réseau à partir des forêts Active Directory. Les sites d’administration centrale et les sites principaux l’utilisent également pour publier des données de site sur services de domaine Active Directory pour une forêt.

Remarque

Les sites secondaires utilisent toujours le compte d’ordinateur du serveur de site secondaire pour publier sur Active Directory.

Pour découvrir et publier sur des forêts non approuvées, le compte de forêt Active Directory doit être un compte global. Si vous n’utilisez pas le compte d’ordinateur du serveur de site, vous pouvez sélectionner uniquement un compte global.

Ce compte doit disposer d’autorisations de lecture pour chaque forêt Active Directory dans laquelle vous souhaitez découvrir l’infrastructure réseau.

Ce compte doit disposer d’autorisations Contrôle total sur le conteneur System Management et tous ses objets enfants dans chaque forêt Active Directory où vous souhaitez publier des données de site.

Pour plus d’informations, consultez Préparer Active Directory pour la publication de site.

Pour plus d’informations, consultez Découverte de forêts Active Directory.

Compte de point d’inscription de certificat

Avertissement

À compter de la version 2203, le point d’inscription de certificat n’est plus pris en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Le point d’enregistrement de certificat utilise le compte de point d’inscription de certificat pour se connecter à la base de données Configuration Manager. Il utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque le point d’enregistrement de certificat se trouve dans un domaine non approuvé du serveur de site, vous devez spécifier un compte d’utilisateur. Ce compte nécessite uniquement un accès en lecture à la base de données du site, car le système de messages d’état gère les tâches d’écriture.

Pour plus d’informations, consultez Présentation des profils de certificat.

Compte d’image de système d’exploitation de capture

Lorsque vous capturez une image de système d’exploitation, Configuration Manager utilise le compte Capturer l’image du système d’exploitation pour accéder au dossier dans lequel vous stockez les images capturées. Si vous ajoutez l’étape Capturer l’image du système d’exploitation à une séquence de tâches, ce compte est obligatoire.

Le compte doit disposer d’autorisations de lecture et d’écriture sur le partage réseau dans lequel vous stockez les images capturées.

Si vous modifiez le mot de passe du compte dans Windows, mettez à jour la séquence de tâches avec le nouveau mot de passe. Le client Configuration Manager reçoit le nouveau mot de passe lorsqu’il télécharge ensuite la stratégie du client.

Si vous devez utiliser ce compte, créez un compte d’utilisateur de domaine. Accordez-lui des autorisations minimales pour accéder aux ressources réseau requises et utilisez-les pour toutes les séquences de tâches de capture.

Importante

N’attribuez pas d’autorisations de connexion interactive à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Pour plus d’informations, consultez Créer une séquence de tâches pour capturer un système d’exploitation.

Compte d’installation push du client

Lorsque vous déployez des clients à l’aide de la méthode d’installation push du client, le site utilise le compte d’installation push du client pour se connecter aux ordinateurs et installer le logiciel client Configuration Manager. Si vous ne spécifiez pas ce compte, le serveur de site tente d’utiliser son compte d’ordinateur.

Ce compte doit être membre du groupe Administrateurs local sur les ordinateurs clients cibles. Ce compte ne nécessite pas de droits de Administration domaine.

Vous pouvez spécifier plusieurs comptes d’installation push du client. Configuration Manager tente chacun d’eux à tour de rôle jusqu’à ce que l’un d’eux réussisse.

Conseil

Si vous disposez d’un environnement Active Directory volumineux et que vous devez modifier ce compte, utilisez le processus suivant pour coordonner plus efficacement cette mise à jour de compte :

  1. Créez un compte avec un autre nom.
  2. Ajoutez le nouveau compte à la liste des comptes d’installation push du client dans Configuration Manager.
  3. Prévoyez suffisamment de temps pour services de domaine Active Directory répliquer le nouveau compte.
  4. Supprimez ensuite l’ancien compte de Configuration Manager et services de domaine Active Directory.

Importante

Utilisez le domaine ou la stratégie de groupe locale pour attribuer à l’utilisateur Windows le droit de refuser l’ouverture de session localement. En tant que membre du groupe Administrateurs, ce compte a le droit de se connecter localement, ce qui n’est pas nécessaire. Pour une meilleure sécurité, refusez explicitement le droit à ce compte. Le droit de refus remplace le droit d’autorisation.

Pour plus d’informations, consultez Installation push du client.

Compte de connexion de point d’inscription

Le point d’inscription utilise le compte de connexion du point d’inscription pour se connecter à la base de données du site Configuration Manager. Il utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque le point d’inscription se trouve dans un domaine non approuvé du serveur de site, vous devez spécifier un compte d’utilisateur. Ce compte nécessite un accès en lecture et en écriture à la base de données du site.

Pour plus d’informations, consultez Installer des rôles de système de site pour la gestion des appareils mobiles locaux.

Exchange Server compte de connexion

Le serveur de site utilise le compte de connexion Exchange Server pour se connecter au Exchange Server spécifié. Il utilise cette connexion pour rechercher et gérer les appareils mobiles qui se connectent au Exchange Server. Ce compte nécessite des applets de commande Exchange PowerShell qui fournissent les autorisations requises à l’ordinateur Exchange Server. Pour plus d’informations sur les applets de commande, consultez Installer et configurer le connecteur Exchange.

Compte de connexion de point de gestion

Le point de gestion utilise le compte de connexion du point de gestion pour se connecter à la base de données du site Configuration Manager. Il utilise cette connexion pour envoyer et récupérer des informations pour les clients. Le point de gestion utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un autre compte de service à la place. Lorsque le point de gestion se trouve dans un domaine non approuvé du serveur de site, vous devez spécifier un autre compte de service.

Remarque

Pour renforcer la sécurité, il est recommandé de tirer parti d’un autre compte de service plutôt que d’un compte d’ordinateur pour « Compte de connexion de point de gestion ».

Créez le compte en tant que compte de service faiblement correct sur l’ordinateur qui exécute Microsoft SQL Server.

Importante

  • N’accordez pas de droits de connexion interactive à ce compte.
  • Si vous spécifiez un compte dans un domaine ou une forêt distant, veillez à spécifier le nom de domaine complet avant le nom d’utilisateur et pas seulement le nom NetBIOS du domaine. Par exemple, spécifiez Corp.Contoso.com\UserName au lieu de simplement Corp\UserName. Cela permet Configuration Manager d’utiliser Kerberos lorsque le compte est utilisé pour s’authentifier auprès du système de site distant. L’utilisation du nom de domaine complet résout souvent les échecs d’authentification résultant des modifications récentes du renforcement de NTLM dans les mises à jour mensuelles Windows.

Compte de connexion multidiffusion

Les points de distribution compatibles avec la multidiffusion utilisent le compte de connexion multidiffusion pour lire les informations de la base de données du site. Le serveur utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte de service à la place. Lorsque la base de données de site se trouve dans une forêt non approuvée, vous devez spécifier un compte de service. Par exemple, si votre centre de données dispose d’un réseau de périmètre dans une forêt autre que le serveur de site et la base de données de site, utilisez ce compte pour lire les informations de multidiffusion à partir de la base de données du site.

Si vous avez besoin de ce compte, créez-le en tant que compte de service faible droit sur l’ordinateur qui exécute Microsoft SQL Server.

Remarque

Pour renforcer la sécurité, il est recommandé de tirer parti du compte de service plutôt que du compte d’ordinateur pour le « compte de connexion multidiffusion ».

Importante

N’accordez pas de droits de connexion interactive à ce compte de service.

Pour plus d’informations, consultez Utiliser la multidiffusion pour déployer Windows sur le réseau.

Compte d’accès réseau

Les ordinateurs clients utilisent le compte d’accès réseau lorsqu’ils ne peuvent pas utiliser leur compte d’ordinateur local pour accéder au contenu sur les points de distribution. Elle s’applique principalement aux clients de groupe de travail et aux ordinateurs de domaines non approuvés. Ce compte est également utilisé lors du déploiement du système d’exploitation, lorsque l’ordinateur qui installe le système d’exploitation n’a pas encore de compte d’ordinateur sur le domaine.

Importante

Le compte d’accès réseau n’est jamais utilisé comme contexte de sécurité pour exécuter des programmes, installer des mises à jour logicielles ou exécuter des séquences de tâches. Il est utilisé uniquement pour accéder aux ressources sur le réseau.

Un client Configuration Manager tente d’abord d’utiliser son compte d’ordinateur pour télécharger le contenu. En cas d’échec, il tente automatiquement le compte d’accès réseau.

Si vous configurez le site pour HTTPS ou HTTP amélioré, un groupe de travail ou Microsoft Entra client joint peut accéder en toute sécurité au contenu à partir de points de distribution sans avoir besoin d’un compte d’accès réseau. Ce comportement inclut les scénarios de déploiement de système d’exploitation avec une séquence de tâches s’exécutant à partir du support de démarrage, de PXE ou du Centre logiciel. Pour plus d’informations, consultez Communication entre le client et le point de gestion.

Remarque

Si vous activez le protocole HTTP amélioré pour ne pas nécessiter le compte d’accès réseau, les points de distribution doivent exécuter les versions actuellement prises en charge de Windows Server ou Windows 10/11.

Autorisations pour le compte d’accès réseau

Accordez à ce compte les autorisations minimales appropriées pour le contenu dont le client a besoin pour accéder au logiciel. Le compte doit disposer de l’option Accéder à cet ordinateur à partir du réseau à droite du point de distribution. Vous pouvez configurer jusqu’à 10 comptes d’accès réseau par site.

Créez un compte dans n’importe quel domaine qui fournit l’accès nécessaire aux ressources. Le compte d’accès réseau doit toujours inclure un nom de domaine. La sécurité directe n’est pas prise en charge pour ce compte. Si vous avez des points de distribution dans plusieurs domaines, créez le compte dans un domaine approuvé.

Conseil

Pour éviter les verrouillages de compte, ne modifiez pas le mot de passe sur un compte d’accès réseau existant. Au lieu de cela, créez un compte et configurez le nouveau compte dans Configuration Manager. Lorsque suffisamment de temps s’est écoulé pour que tous les clients aient reçu les détails du nouveau compte, supprimez l’ancien compte des dossiers partagés réseau et supprimez le compte.

Importante

N’accordez pas de droits de connexion interactive à ce compte.

N’accordez pas à ce compte le droit de joindre des ordinateurs au domaine. Si vous devez joindre des ordinateurs au domaine pendant une séquence de tâches, utilisez le compte de jointure de domaine de séquence de tâches.

Configurer le compte d’accès réseau

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Sélectionnez ensuite le site.

  2. Dans le groupe Paramètres du ruban, sélectionnez Configurer les composants de site, puis choisissez Distribution de logiciels.

  3. Choisissez l’onglet Compte d’accès réseau . Configurez un ou plusieurs comptes, puis choisissez OK.

Actions qui nécessitent le compte d’accès réseau

Le compte d’accès réseau est toujours requis pour les actions suivantes (y compris les scénarios eHTTP & PKI) :

  • Multidiffusion. Pour plus d’informations, consultez Utiliser la multidiffusion pour déployer Windows sur le réseau.

  • Option de déploiement de séquence de tâches pour Accéder au contenu directement à partir d’un point de distribution si nécessaire par la séquence de tâches en cours d’exécution. Pour plus d’informations, consultez Options de déploiement de séquence de tâches.

  • Appliquez l’option d’étape de séquence de tâches Image du système d’exploitation à Accéder au contenu directement à partir du point de distribution. Cette option est principalement destinée aux scénarios Windows Embedded avec un espace disque faible où la mise en cache du contenu sur le disque local est coûteuse. Pour plus d’informations, consultez Accéder au contenu directement à partir du point de distribution.

  • Si le téléchargement d’un package à partir d’un point de distribution à l’aide de HTTP/HTTPS échoue, il a la possibilité de télécharger le package à l’aide de SMB à partir du partage de package sur le point de distribution. Le téléchargement du package à l’aide de SMB à partir du partage de package sur le point de distribution nécessite l’utilisation du compte d’accès réseau. Ce comportement de secours se produit uniquement si l’option Copier le contenu de ce package dans un partage de package sur des points de distribution est activée sous l’onglet Accès aux données dans les propriétés d’un package. Pour conserver ce comportement, assurez-vous que le compte d’accès réseau n’est pas désactivé ou supprimé. Si ce comportement n’est plus souhaité, assurez-vous que l’option Copier le contenu de ce package dans un partage de package sur des points de distribution n’est activée sur aucun package.

  • Étape de séquence de tâches demander le magasin d’état. Si la séquence de tâches ne peut pas communiquer avec le point de migration d’état à l’aide du compte d’ordinateur de l’appareil, elle revient à utiliser le compte d’accès réseau. Pour plus d’informations, consultez Demander un magasin d’état.

  • Définition des propriétés de séquence de tâches sur Exécuter d’abord un autre programme. Ce paramètre exécute un package et un programme à partir d’un partage réseau avant le démarrage de la séquence de tâches. Pour plus d’informations, consultez Propriétés des séquences de tâches : onglet Avancé.

  • La gestion des clients dans des domaines non approuvés et des scénarios inter-forêts permet d’avoir plusieurs comptes d’accès réseau.

Compte d’accès au package

Un compte d’accès au package vous permet de définir des autorisations NTFS pour spécifier les utilisateurs et les groupes d’utilisateurs qui peuvent accéder au contenu du package sur les points de distribution. Par défaut, Configuration Manager accorde l’accès uniquement aux comptes d’accès génériques Utilisateur et Administrateur. Vous pouvez contrôler l’accès aux ordinateurs clients à l’aide d’autres comptes ou groupes Windows. Les appareils mobiles récupèrent toujours le contenu du package de manière anonyme, de sorte qu’ils n’utilisent pas de compte d’accès au package.

Par défaut, quand Configuration Manager copie les fichiers de contenu sur un point de distribution, il accorde l’accès en lecture au groupe Utilisateurs local et le contrôle total au groupe Administrateurs local. Les autorisations réelles requises dépendent du package. Si vous avez des clients dans des groupes de travail ou dans des forêts non approuvées, ces clients utilisent le compte d’accès réseau pour accéder au contenu du package. Assurez-vous que le compte d’accès réseau dispose d’autorisations sur le package à l’aide des comptes d’accès au package définis.

Utilisez des comptes dans un domaine qui peut accéder aux points de distribution. Si vous créez ou modifiez le compte après avoir créé le package, vous devez redistribuer le package. La mise à jour du package ne modifie pas les autorisations NTFS sur le package.

Vous n’avez pas besoin d’ajouter le compte d’accès réseau en tant que compte d’accès au package, car l’appartenance au groupe Utilisateurs l’ajoute automatiquement. La restriction du compte d’accès au package uniquement au compte d’accès réseau n’empêche pas les clients d’accéder au package.

Gérer les comptes d’accès aux packages

  1. Dans la console Configuration Manager, accédez à l’espace de travail Bibliothèque de logiciels.

  2. Dans l’espace de travail Bibliothèque de logiciels, déterminez le type de contenu pour lequel vous souhaitez gérer les comptes d’accès, puis suivez les étapes fournies :

    • Application : développez Gestion des applications, choisissez Applications, puis sélectionnez l’application pour laquelle gérer les comptes d’accès.

    • Package : développez Gestion des applications, choisissez Packages, puis sélectionnez le package pour lequel gérer les comptes d’accès.

    • Package de déploiement de mise à jour logicielle : développez Software Mises à jour, choisissez Packages de déploiement, puis sélectionnez le package de déploiement pour lequel gérer les comptes d’accès.

    • Package de pilotes : développez Systèmes d’exploitation, choisissez Packages de pilotes, puis sélectionnez le package de pilotes pour lequel gérer les comptes d’accès.

    • Image du système d’exploitation : développez Systèmes d’exploitation, choisissez Images de système d’exploitation, puis sélectionnez l’image de système d’exploitation pour laquelle gérer les comptes d’accès.

    • Package de mise à niveau du système d’exploitation : développez Systèmes d’exploitation, choisissez Packages de mise à niveau du système d’exploitation, puis sélectionnez le package de mise à niveau du système d’exploitation pour lequel gérer les comptes d’accès.

    • Image de démarrage : développez Systèmes d’exploitation, choisissez Images de démarrage, puis sélectionnez l’image de démarrage pour laquelle gérer les comptes d’accès.

  3. Cliquez avec le bouton droit sur l’objet sélectionné, puis choisissez Gérer les comptes d’accès.

  4. Dans la boîte de dialogue Ajouter un compte , spécifiez le type de compte auquel l’accès au contenu sera accordé, puis spécifiez les droits d’accès associés au compte.

    Remarque

    Lorsque vous ajoutez un nom d’utilisateur pour le compte et que Configuration Manager trouve à la fois un compte d’utilisateur local et un compte d’utilisateur de domaine portant ce nom, Configuration Manager définit des droits d’accès pour le compte d’utilisateur de domaine.

Compte de point Reporting Services

SQL Server Reporting Services utilise le compte de point Reporting Services pour récupérer les données des rapports Configuration Manager à partir de la base de données du site. Le compte d’utilisateur Windows et le mot de passe que vous spécifiez sont chiffrés et stockés dans la base de données SQL Server Reporting Services.

Remarque

Le compte que vous spécifiez doit disposer des autorisations d’ouverture de session locale sur l’ordinateur hébergeant la base de données SQL Server Reporting Services.

Tous les droits nécessaires sont automatiquement accordés au compte en étant ajouté au rôle de base de données smsschm_users SQL Server sur la base de données Configuration Manager.

Pour plus d’informations, consultez Présentation de la création de rapports.

Comptes de visionneuse autorisés pour les outils à distance

Les comptes que vous spécifiez en tant que Visionneuses autorisées pour le contrôle à distance sont une liste d’utilisateurs autorisés à utiliser les fonctionnalités des outils à distance sur les clients.

Pour plus d’informations, consultez Présentation du contrôle à distance.

Compte d’installation de site

Utilisez un compte d’utilisateur de domaine pour vous connecter au serveur sur lequel vous exécutez Configuration Manager installation et installer un nouveau site.

Ce compte requiert les droits suivants :

  • Administrateur sur les serveurs suivants :

    • Serveur de site
    • Chaque serveur qui héberge la base de données du site
    • Chaque instance du fournisseur SMS pour le site
  • Sysadmin sur le instance de SQL Server qui héberge la base de données du site

Configuration Manager configuration ajoute automatiquement ce compte au groupe Administrateurs SMS.

Après l’installation, ce compte est le seul à avoir des droits sur la console Configuration Manager. Si vous devez supprimer ce compte, veillez d’abord à ajouter ses droits à un autre utilisateur.

Lorsque vous développez un site autonome pour inclure un site d’administration centrale, ce compte nécessite des droits d’administration en fonction du rôle Administrateur complet ou Administrateur d’infrastructure sur le site principal autonome.

Compte d’installation du système de site

Le serveur de site utilise le compte d’installation du système de site pour installer, réinstaller, désinstaller et configurer des systèmes de site. Si vous configurez le système de site pour exiger que le serveur de site établisse des connexions à ce système de site, Configuration Manager utilise également ce compte pour extraire les données du système de site après avoir installé le système de site et tous les rôles. Chaque système de site peut avoir un compte d’installation différent, mais vous ne pouvez configurer qu’un seul compte d’installation pour gérer tous les rôles sur ce système de site.

Ce compte nécessite des autorisations d’administration locales sur les systèmes de site cible. En outre, ce compte doit avoir Accès à cet ordinateur à partir du réseau dans la stratégie de sécurité sur les systèmes de site cible.

Importante

Si vous spécifiez un compte dans un domaine ou une forêt distant, veillez à spécifier le nom de domaine complet avant le nom d’utilisateur et pas seulement le nom NetBIOS du domaine. Par exemple, spécifiez Corp.Contoso.com\UserName au lieu de simplement Corp\UserName. Cela permet Configuration Manager d’utiliser Kerberos lorsque le compte est utilisé pour s’authentifier auprès du système de site distant. L’utilisation du nom de domaine complet résout souvent les échecs d’authentification résultant des modifications récentes du renforcement de NTLM dans les mises à jour mensuelles Windows.

Conseil

Si vous avez de nombreux contrôleurs de domaine et que ces comptes sont utilisés dans plusieurs domaines, avant de configurer le système de site, case activée qu’Active Directory a répliqué ces comptes.

Lorsque vous spécifiez un compte de service sur chaque système de site à gérer, cette configuration est plus sécurisée. Il limite les dommages que les attaquants peuvent faire. Toutefois, les comptes de domaine sont plus faciles à gérer. Considérez le compromis entre la sécurité et l’administration efficace.

Compte de serveur proxy du système de site

Les rôles de système de site suivants utilisent le compte de serveur proxy du système de site pour accéder à Internet via un serveur proxy ou un pare-feu qui nécessite un accès authentifié :

  • Point de synchronisation Asset Intelligence
  • Connecteur Exchange Server
  • Point de connexion de service
  • Point de mise à jour logicielle

Importante

Spécifiez un compte disposant du moins d’autorisations possible pour le serveur proxy ou le pare-feu requis.

Pour plus d’informations, consultez Prise en charge du serveur proxy.

Compte de connexion au serveur SMTP

Le serveur de site utilise le compte de connexion du serveur SMTP pour envoyer des alertes par e-mail lorsque le serveur SMTP a besoin d’un accès authentifié.

Importante

Spécifiez un compte disposant du moins d’autorisations possibles pour envoyer des e-mails.

Pour plus d’informations, consultez Configurer des alertes.

Compte de connexion du point de mise à jour logicielle

Le serveur de site utilise le compte de connexion du point de mise à jour logicielle pour les deux services de mise à jour logicielle suivants :

  • Windows Server Update Services (WSUS), qui configure des paramètres tels que les définitions de produit, les classifications et les paramètres de amont.

  • Gestionnaire de synchronisation WSUS, qui demande la synchronisation vers un serveur WSUS amont ou Microsoft Update.

Le compte d’installation du système de site peut installer des composants pour les mises à jour logicielles, mais il ne peut pas effectuer de fonctions spécifiques aux mises à jour logicielles sur le point de mise à jour logicielle. Si vous ne pouvez pas utiliser le compte d’ordinateur du serveur de site pour cette fonctionnalité, car le point de mise à jour logicielle se trouve dans une forêt non approuvée, vous devez spécifier ce compte avec le compte d’installation du système de site.

Ce compte doit être un administrateur local sur l’ordinateur sur lequel vous installez WSUS. Il doit également faire partie du groupe Administrateurs WSUS local.

Pour plus d’informations, consultez Planifier les mises à jour logicielles.

Compte de site source

Le processus de migration utilise le compte de site source pour accéder au fournisseur SMS du site source. Ce compte nécessite des autorisations de lecture sur les objets de site sur le site source afin de collecter des données pour les travaux de migration.

Si vous avez Configuration Manager points de distribution 2007 ou sites secondaires avec des points de distribution colocalisés, lorsque vous les mettez à niveau vers des points de distribution Configuration Manager (Current Branch), ce compte doit également disposer des autorisations Supprimer pour la classe Site. Cette autorisation permet de supprimer correctement le point de distribution du site Configuration Manager 2007 pendant la mise à niveau.

Remarque

Le compte de site source et le compte de base de données du site source sont identifiés en tant que Gestionnaire de migration dans le nœud Comptes de l’espace de travail Administration de la console Configuration Manager.

Pour plus d’informations, consultez Migrer des données entre hiérarchies.

Compte de base de données du site source

Le processus de migration utilise le compte de base de données du site source pour accéder à la base de données SQL Server du site source. Pour collecter des données à partir de la base de données SQL Server du site source, le compte de base de données du site source doit disposer des autorisations Lecture et Exécution sur la base de données SQL Server du site source.

Si vous utilisez le compte d’ordinateur Configuration Manager (Current Branch), vérifiez que toutes les conditions suivantes sont vraies pour ce compte :

  • Il s’agit d’un membre du groupe de sécurité Utilisateurs COM distribués dans le même domaine que le site Configuration Manager 2012.
  • Il s’agit d’un membre du groupe de sécurité Administrateurs SMS .
  • Il dispose de l’autorisation Lecture pour tous les objets Configuration Manager 2012.

Remarque

Le compte de site source et le compte de base de données du site source sont identifiés en tant que Gestionnaire de migration dans le nœud Comptes de l’espace de travail Administration de la console Configuration Manager.

Pour plus d’informations, consultez Migrer des données entre hiérarchies.

Compte de jointure de domaine de séquence de tâches

Le programme d’installation de Windows utilise le compte de jointure de domaine de séquence de tâches pour joindre un ordinateur nouvellement imagené à un domaine. Ce compte est requis par l’étape de séquence de tâches Joindre un domaine ou un groupe de travail avec l’option Joindre un domaine . Ce compte peut également être configuré avec l’étape Appliquer les paramètres réseau , mais ce n’est pas obligatoire.

Ce compte nécessite le droit de jonction de domaine dans le domaine cible.

Conseil

Créez un compte d’utilisateur de domaine avec les autorisations minimales pour rejoindre le domaine et utilisez-le pour toutes les séquences de tâches.

Importante

N’attribuez pas d’autorisations de connexion interactive à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Compte de connexion de dossier réseau de séquence de tâches

Le moteur de séquence de tâches utilise le compte de connexion au dossier réseau de séquence de tâches pour se connecter à un dossier partagé sur le réseau. Ce compte est requis par l’étape de séquence de tâches Se connecter au dossier réseau .

Ce compte nécessite des autorisations pour accéder au dossier partagé spécifié. Il doit s’agir d’un compte d’utilisateur de domaine.

Conseil

Créez un compte d’utilisateur de domaine avec des autorisations minimales pour accéder aux ressources réseau requises et utilisez-le pour toutes les séquences de tâches.

Importante

N’attribuez pas d’autorisations de connexion interactive à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Compte d’identification de séquence de tâches

Le moteur de séquence de tâches utilise le compte d’exécution de séquence de tâches pour exécuter des lignes de commande ou des scripts PowerShell avec des informations d’identification autres que le compte système local. Ce compte est requis par les étapes de séquence de tâches Exécuter la ligne de commande et Exécuter un script PowerShell avec l’option Exécuter cette étape comme compte suivant choisi.

Configurez le compte pour disposer des autorisations minimales requises pour exécuter la ligne de commande que vous spécifiez dans la séquence de tâches. Le compte nécessite des droits de connexion interactive. Il nécessite généralement la possibilité d’installer des logiciels et d’accéder aux ressources réseau. Pour la tâche Exécuter un script PowerShell, ce compte nécessite des autorisations d’administrateur local.

Importante

N’utilisez pas le compte d’accès réseau pour ce compte.

Ne faites jamais du compte un administrateur de domaine.

Ne configurez jamais de profils itinérants pour ce compte. Lorsque la séquence de tâches s’exécute, elle télécharge le profil itinérant pour le compte. Cela rend le profil vulnérable à l’accès sur l’ordinateur local.

Limitez l’étendue du compte. Par exemple, créez différentes séquences de tâches qui s’exécutent en tant que comptes pour chaque séquence de tâches. Ensuite, si un compte est compromis, seuls les ordinateurs clients auxquels ce compte a accès sont compromis.

Si la ligne de commande nécessite un accès administratif sur l’ordinateur, envisagez de créer un compte d’administrateur local uniquement pour ce compte sur tous les ordinateurs qui exécutent la séquence de tâches. Supprimez le compte une fois que vous n’en avez plus besoin.

Objets utilisateur que Configuration Manager utilise dans SQL Server

Configuration Manager crée et gère automatiquement les objets utilisateur suivants dans SQL. Ces objets se trouvent dans la base de données Configuration Manager sous Sécurité/Utilisateurs.

Importante

La modification ou la suppression de ces objets peut entraîner des problèmes importants au sein d’un environnement Configuration Manager. Nous vous recommandons de ne pas apporter de modifications à ces objets.

smsdbuser_ReadOnly

Cet objet est utilisé pour exécuter des requêtes dans le contexte en lecture seule. Cet objet est utilisé avec plusieurs procédures stockées.

smsdbuser_ReadWrite

Cet objet est utilisé pour fournir des autorisations pour les instructions SQL dynamiques.

smsdbuser_ReportSchema

Cet objet est utilisé pour exécuter SQL Server exécutions de rapports. La procédure stockée suivante est utilisée avec cette fonction : spSRExecQuery.

Rôles de base de données que Configuration Manager utilise dans SQL

Configuration Manager crée et gère automatiquement les objets de rôle suivants dans SQL. Ces rôles permettent d’accéder à des procédures stockées, des tables, des vues et des fonctions spécifiques. Ces rôles obtiennent ou ajoutent des données à la base de données Configuration Manager. Ces objets se trouvent dans la base de données Configuration Manager sous Sécurité/Rôles/Rôles de base de données.

Importante

La modification ou la suppression de ces objets peut entraîner des problèmes importants au sein d’un environnement Configuration Manager. Ne modifiez pas ces objets. La liste suivante est à titre d’information uniquement.

smsdbrole_AITool

Configuration Manager accorde cette autorisation aux comptes d’utilisateur administratifs en fonction de l’accès en fonction du rôle pour importer les informations de licence en volume pour Asset Intelligence. Ce compte peut être ajouté par un rôle Administrateur complet, Administrateur des opérations ou Gestionnaire d’actifs, ou tout autre rôle disposant de l’autorisation « Gérer Asset Intelligence ».

smsdbrole_AIUS

Configuration Manager accorde au compte d’ordinateur qui héberge le compte de point de synchronisation Asset Intelligence l’accès pour obtenir les données proxy Asset Intelligence et afficher les données IA en attente pour le chargement.

smsdbrole_CRP

Configuration Manager accorde l’autorisation au compte d’ordinateur du système de site qui prend en charge le point d’enregistrement de certificat pour la prise en charge du protocole SCEP (Simple Certificate Enrollment Protocol) pour la signature et le renouvellement des certificats.

smsdbrole_CRPPfx

Configuration Manager accorde l’autorisation au compte d’ordinateur du système de site qui prend en charge le point d’enregistrement de certificat configuré pour la prise en charge pfX pour la signature et le renouvellement.

smsdbrole_DMP

Configuration Manager accorde cette autorisation au compte d’ordinateur pour un point de gestion qui a l’option Autoriser les appareils mobiles et les ordinateurs Mac à utiliser ce point de gestion, la possibilité de fournir une prise en charge pour les appareils inscrits à mdm.

smsdbrole_DmpConnector

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de connexion de service pour récupérer et fournir des données de diagnostic, gérer les services cloud et récupérer les mises à jour du service.

smsdbrole_DViewAccess

Configuration Manager accorde cette autorisation au compte d’ordinateur des serveurs de site principal sur le site d’administration centrale lorsque l’option SQL Server vues distribuées est sélectionnée dans les propriétés du lien de réplication.

smsdbrole_DWSS

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le rôle d’entrepôt de données.

smsdbrole_EnrollSvr

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point d’inscription pour autoriser l’inscription des appareils via GPM.

smsdbrole_extract

Fournit l’accès à toutes les vues de schéma étendues.

smsdbrole_HMSUser

Pour le service gestionnaire de hiérarchie. Configuration Manager accorde des autorisations à ce compte pour gérer les messages d’état de basculement et SQL Server transactions Broker entre les sites au sein d’une hiérarchie.

Remarque

Le rôle smdbrole_WebPortal est membre de ce rôle par défaut.

smsdbrole_MCS

Configuration Manager accorde cette autorisation au compte d’ordinateur du point de distribution qui prend en charge la multidiffusion.

smsdbrole_MP

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le rôle de point de gestion pour assurer la prise en charge des clients Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de gestion qui gère BitLocker pour un environnement.

smsdbrole_MPUserSvc

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de gestion pour prendre en charge les demandes d’application basées sur l’utilisateur.

smsdbrole_siteprovider

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge un rôle fournisseur SMS.

smsdbrole_siteserver

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le site principal ou le site d’administration centrale.

smsdbrole_SUP

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de mise à jour logicielle pour l’utilisation des mises à jour tierces.

smsschm_users

Configuration Manager accorde l’accès au compte utilisé pour le compte de point reporting Services afin d’autoriser l’accès aux vues de rapports SMS pour afficher les données de création de rapports Configuration Manager. Les données sont encore plus restreintes avec l’utilisation de l’accès en fonction du rôle.

Autorisations élevées

Configuration Manager nécessite que certains comptes disposent d’autorisations élevées pour les opérations en cours. Par exemple, consultez Prérequis pour l’installation d’un site principal. La liste suivante récapitule ces autorisations et les raisons pour lesquelles elles sont nécessaires.

  • Le compte d’ordinateur du serveur de site principal et du serveur de site d’administration centrale nécessite :

    • Droits d’administrateur local sur tous les serveurs de système de site. Cette autorisation permet de gérer, d’installer et de supprimer des services système. Le serveur de site met également à jour les groupes locaux sur le système de site lorsque vous ajoutez ou supprimez des rôles.

    • L’accès administrateur sys au SQL Server instance pour la base de données du site. Cette autorisation permet de configurer et de gérer SQL Server pour le site. Configuration Manager s’intègre étroitement à SQL, il ne s’agit pas seulement d’une base de données.

  • Les comptes d’utilisateur ayant le rôle Administrateur complet nécessitent :

    • Droits d’administrateur local sur tous les serveurs de site. Cette autorisation permet d’afficher, de modifier, de supprimer et d’installer des services système, des clés et des valeurs de Registre, ainsi que des objets WMI.

    • L’accès administrateur sys au SQL Server instance pour la base de données du site. Cette autorisation permet d’installer et de mettre à jour la base de données pendant l’installation ou la récupération. Il est également nécessaire pour SQL Server maintenance et les opérations. Par exemple, la réindexation et la mise à jour des statistiques.

      Remarque

      Certaines organisations peuvent choisir de supprimer l’accès sysadmin et de ne l’accorder que lorsqu’il est nécessaire. Ce comportement est parfois appelé « accès juste-à-temps (JIT) ». Dans ce cas, les utilisateurs disposant du rôle Administrateur complet doivent toujours avoir accès à la lecture, à la mise à jour et à l’exécution de procédures stockées sur la base de données Configuration Manager. Ces autorisations leur permettent de résoudre la plupart des problèmes sans accès complet au système d’administration.