Comptes utilisés dans Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Utilisez les informations suivantes pour identifier les groupes Windows, les comptes et les objets SQL Server utilisés dans Configuration Manager, la façon dont ils sont utilisés et toutes les exigences.

Windows groupes créés et utilisés par Configuration Manager

Configuration Manager crée et, dans de nombreux cas, gère automatiquement les groupes Windows suivants :

Notes

Lorsque Configuration Manager crée un groupe sur un ordinateur membre d’un domaine, le groupe est un groupe de sécurité local. Si l’ordinateur est un contrôleur de domaine, le groupe est un groupe local de domaine. Ce type de groupe est partagé entre tous les contrôleurs de domaine du domaine.

Configuration Manager_CollectedFilesAccess

Configuration Manager utilise ce groupe pour accorder l’accès à l’affichage des fichiers collectés par l’inventaire logiciel.

Pour plus d’informations, consultez Présentation de l’inventaire logiciel.

Type et emplacement pour CollectedFilesAccess

Ce groupe est un groupe de sécurité local créé sur le serveur de site principal.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Appartenance à CollectedFilesAccess

Configuration Manager gère automatiquement l’appartenance au groupe. L’appartenance inclut les utilisateurs administratifs auxquels l’autorisation Afficher les fichiers collectés est accordée à l’objet sécurisable Collection à partir d’un rôle de sécurité attribué.

Autorisations pour CollectedFilesAccess

Par défaut, ce groupe dispose de l’autorisation lecture sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Configuration Manager_DViewAccess

Ce groupe est un groupe de sécurité local que Configuration Manager crée sur le serveur de base de données de site ou le serveur réplica de base de données pour un site principal enfant. Le site le crée lorsque vous utilisez des vues distribuées pour la réplication de base de données entre les sites d’une hiérarchie. Il contient le serveur de site et SQL Server comptes d’ordinateur du site d’administration centrale.

Pour plus d’informations, consultez Transferts de données entre sites.

utilisateurs de contrôle à distance Configuration Manager

Configuration Manager outils distants utilisent ce groupe pour stocker les comptes et les groupes que vous avez configurés dans la liste Visionneuses autorisées. Le site affecte cette liste à chaque client.

Pour plus d’informations, consultez Présentation du contrôle à distance.

Type et emplacement pour les utilisateurs de contrôle à distance

Ce groupe est un groupe de sécurité local créé sur le client Configuration Manager lorsque le client reçoit une stratégie qui active les outils distants.

Une fois que vous avez désactivé les outils distants d’un client, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désactivation des outils distants.

Appartenance pour les utilisateurs de contrôle à distance

Par défaut, il n’y a aucun membre dans ce groupe. Lorsque vous ajoutez des utilisateurs à la liste Visionneuses autorisées , ils sont automatiquement ajoutés à ce groupe.

Utilisez la liste Visionneuses autorisées pour gérer l’appartenance à ce groupe au lieu d’ajouter des utilisateurs ou des groupes directement à ce groupe.

En plus d’être une visionneuse autorisée, un utilisateur administratif doit disposer de l’autorisation Contrôle à distance sur l’objet Collection . Attribuez cette autorisation à l’aide du rôle de sécurité Opérateur Outils à distance .

Autorisations pour les utilisateurs de contrôle à distance

Par défaut, ce groupe n’a pas d’autorisations sur les emplacements de l’ordinateur. Il est utilisé uniquement pour contenir la liste Des visionneuses autorisées .

Administrateurs SMS

Configuration Manager utilise ce groupe pour accorder l’accès au fournisseur SMS via WMI. L’accès au fournisseur SMS est nécessaire pour afficher et modifier des objets dans la console Configuration Manager.

Notes

La configuration d’administration basée sur les rôles d’un utilisateur administratif détermine les objets qu’il peut afficher et gérer lors de l’utilisation de la console Configuration Manager.

Pour plus d’informations, consultez Plan for the SMS Provider.

Type et emplacement pour les administrateurs SMS

Ce groupe est un groupe de sécurité local créé sur chaque ordinateur doté d’un fournisseur SMS.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Appartenance aux administrateurs SMS

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, chaque utilisateur administratif d’une hiérarchie et le compte d’ordinateur du serveur de site sont membres du groupe Administrateurs SMS sur chaque ordinateur fournisseur SMS d’un site.

Autorisations pour les administrateurs SMS

Vous pouvez afficher les droits et autorisations du groupe Administrateurs SMS dans le composant logiciel enfichable MMC du contrôle WMI . Par défaut, ce groupe est autorisé à activer le compte et à distance sur l’espace Root\SMS de noms WMI. Les utilisateurs authentifiés disposent de méthodes d’exécution, d’écriture de fournisseur et d’activation du compte.

Lorsque vous utilisez une console Configuration Manager distante, configurez les autorisations DCOM d’activation à distance sur l’ordinateur serveur de site et le fournisseur SMS. Accordez ces droits au groupe Administrateurs SMS . Cette action simplifie l’administration au lieu d’accorder ces droits directement aux utilisateurs ou aux groupes. Pour plus d’informations, consultez Configurer les autorisations DCOM pour les consoles Configuration Manager distantes.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Les points de gestion distants du serveur de site utilisent ce groupe pour se connecter à la base de données de site. Ce groupe fournit un accès au point de gestion aux dossiers de boîte de réception sur le serveur de site et la base de données de site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_MP

Ce groupe est un groupe de sécurité local créé sur chaque ordinateur doté d’un fournisseur SMS.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Appartenance à SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut les comptes d’ordinateurs des ordinateurs distants qui ont un point de gestion pour le site.

Autorisations pour SMS_SiteSystemToSiteServerConnection_MP

Par défaut, ce groupe dispose de l’autorisation Lecture, Lecture & exécuter et Lister le contenu du dossier sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes. Ce groupe dispose également de l’autorisation d’écriture sur les sous-dossiers ci-dessous, dans lesquels le point de gestion écrit les données client.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Les ordinateurs du fournisseur SMS distant utilisent ce groupe pour se connecter au serveur de site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_SMSProv

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Appartenance à SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut le compte d’ordinateur ou un compte d’utilisateur de domaine. Il utilise ce compte pour se connecter au serveur de site à partir de chaque fournisseur SMS distant.

Autorisations pour SMS_SiteSystemToSiteServerConnection_SMSProv

Par défaut, ce groupe dispose de l’autorisation Lecture, Lecture & exécuter et Lister le contenu du dossier sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes. Ce groupe dispose également des autorisations d’écriture et de modification pour les sous-dossiers sous les boîtes de réception. Le fournisseur SMS nécessite l’accès à ces dossiers.

Ce groupe dispose également d’une autorisation de lecture sur les sous-dossiers sur le serveur de site ci-dessous C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Il dispose également des autorisations suivantes pour les sous-dossiers ci-dessous C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • Read
  • Lire & exécuter
  • Afficher le contenu du dossier
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Le composant gestionnaire de distribution de fichiers sur Configuration Manager ordinateurs de système de site distants utilise ce groupe pour se connecter au serveur de site.

Type et emplacement pour SMS_SiteSystemToSiteServerConnection_Stat

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Appartenance à SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager gère automatiquement l’appartenance au groupe. Par défaut, l’appartenance inclut le compte d’ordinateur ou le compte d’utilisateur de domaine. Il utilise ce compte pour se connecter au serveur de site à partir de chaque système de site distant qui exécute le gestionnaire de distribution de fichiers.

Autorisations pour SMS_SiteSystemToSiteServerConnection_Stat

Par défaut, ce groupe dispose de l’autorisation Lecture, Lecture & exécuter et Répertorier le contenu du dossier sur le dossier suivant et ses sous-dossiers sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes

Ce groupe dispose également des autorisations d’écriture et de modification sur le dossier suivant sur le serveur de site : C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager utilise ce groupe pour activer la réplication basée sur les fichiers entre les sites d’une hiérarchie. Pour chaque site distant qui transfère directement des fichiers vers ce site, ce groupe a des comptes configurés en tant que compte de réplication de fichiers.

Type et emplacement pour SMS_SiteToSiteConnection

Ce groupe est un groupe de sécurité local créé sur le serveur de site.

Appartenance à SMS_SiteToSiteConnection

Lorsque vous installez un nouveau site en tant qu’enfant d’un autre site, Configuration Manager ajoute automatiquement le compte d’ordinateur du nouveau serveur de site à ce groupe sur le serveur de site parent. Configuration Manager ajoute également le compte d’ordinateur du site parent au groupe sur le nouveau serveur de site. Si vous spécifiez un autre compte pour les transferts basés sur des fichiers, ajoutez ce compte à ce groupe sur le serveur de site de destination.

Lorsque vous désinstallez un site, ce groupe n’est pas automatiquement supprimé. Supprimez-le manuellement après la désinstallation d’un site.

Autorisations pour SMS_SiteToSiteConnection

Par défaut, ce groupe a le contrôle total sur le dossier suivant : C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Comptes utilisés par Configuration Manager

Vous pouvez configurer les comptes suivants pour Configuration Manager.

Conseil

N’utilisez pas le caractère de pourcentage (%) dans le mot de passe pour les comptes que vous spécifiez dans la console Configuration Manager. Le compte ne peut pas s’authentifier.

Compte de découverte de groupe Active Directory

Le site utilise le compte de découverte de groupe Active Directory pour découvrir les objets suivants à partir des emplacements dans services de domaine Active Directory que vous spécifiez :

  • Groupes de sécurité locaux, globaux et universels
  • L’appartenance à ces groupes
  • Appartenance au sein des groupes de distribution
    • Les groupes de distribution ne sont pas découverts en tant que ressources de groupe

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte, ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte de groupes Active Directory.

Compte de découverte de système Active Directory

Le site utilise le compte de découverte de système Active Directory pour découvrir les ordinateurs à partir des emplacements dans services de domaine Active Directory que vous spécifiez.

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte, ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte de systèmes Active Directory.

Compte de découverte d’utilisateur Active Directory

Le site utilise le compte de découverte d’utilisateurs Active Directory pour découvrir les comptes d’utilisateur à partir des emplacements dans services de domaine Active Directory que vous spécifiez.

Ce compte peut être un compte d’ordinateur du serveur de site qui exécute la découverte, ou un compte d’utilisateur Windows. Il doit disposer de l’autorisation d’accès en lecture aux emplacements Active Directory que vous spécifiez pour la découverte.

Pour plus d’informations, consultez la section Découverte d’utilisateurs Active Directory.

Compte de forêt Active Directory

Le site utilise le compte de forêt Active Directory pour découvrir l’infrastructure réseau à partir de forêts Active Directory. Les sites d’administration centrale et les sites principaux l’utilisent également pour publier des données de site sur services de domaine Active Directory pour une forêt.

Notes

Les sites secondaires utilisent toujours le compte d’ordinateur du serveur de site secondaire pour publier sur Active Directory.

Pour découvrir et publier dans des forêts non approuvées, le compte de forêt Active Directory doit être un compte global. Si vous n’utilisez pas le compte d’ordinateur du serveur de site, vous pouvez sélectionner uniquement un compte global.

Ce compte doit disposer d’autorisations de lecture sur chaque forêt Active Directory où vous souhaitez découvrir l’infrastructure réseau.

Ce compte doit disposer d’autorisations contrôle total sur le conteneur System Management et tous ses objets enfants dans chaque forêt Active Directory où vous souhaitez publier des données de site. Pour plus d’informations, consultez Préparer Active Directory pour la publication de site.

Pour plus d’informations, consultez la découverte de forêts Active Directory.

Compte de point d’inscription de certificat

Avertissement

À compter de la version 2203, le point d’inscription de certificat n’est plus pris en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Le point d’inscription de certificat utilise le compte de point d’inscription de certificat pour se connecter à la base de données Configuration Manager. Il utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque le point d’inscription de certificat se trouve dans un domaine non approuvé à partir du serveur de site, vous devez spécifier un compte d’utilisateur. Ce compte nécessite uniquement un accès en lecture à la base de données du site, car le système de messages d’état gère les tâches d’écriture.

Pour plus d’informations, consultez Présentation des profils de certificat.

Capturer le compte d’image du système d’exploitation

Lorsque vous capturez une image de système d’exploitation, Configuration Manager utilise le compte d’image du système d’exploitation capture pour accéder au dossier dans lequel vous stockez les images capturées. Si vous ajoutez l’étape Capture OS Image à une séquence de tâches, ce compte est requis.

Le compte doit disposer d’autorisations de lecture et d’écriture sur le partage réseau où vous stockez des images capturées.

Si vous modifiez le mot de passe du compte dans Windows, mettez à jour la séquence de tâches avec le nouveau mot de passe. Le client Configuration Manager reçoit le nouveau mot de passe lors du téléchargement suivant de la stratégie du client.

Si vous devez utiliser ce compte, créez un compte d’utilisateur de domaine. Accordez-lui des autorisations minimales pour accéder aux ressources réseau requises et utilisez-les pour toutes les séquences de tâches de capture.

Important

N’attribuez pas d’autorisations de connexion interactives à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Pour plus d’informations, consultez Créer une séquence de tâches pour capturer un système d’exploitation.

Compte d’installation push du client

Lorsque vous déployez des clients à l’aide de la méthode d’installation push du client, le site utilise le compte d’installation Push client pour se connecter aux ordinateurs et installer le logiciel client Configuration Manager. Si vous ne spécifiez pas ce compte, le serveur de site tente d’utiliser son compte d’ordinateur.

Ce compte doit être membre du groupe Administrateurs local sur les ordinateurs clients cibles. Ce compte ne nécessite pas de droits d’administrateur de domaine .

Vous pouvez spécifier plusieurs comptes d’installation push client. Configuration Manager tente chacun d’eux à son tour jusqu’à ce que l’un réussisse.

Conseil

Si vous avez un environnement Active Directory volumineux et que vous devez modifier ce compte, utilisez le processus suivant pour coordonner plus efficacement cette mise à jour de compte :

  1. Créer un compte avec un nom différent
  2. Ajoutez le nouveau compte à la liste des comptes d’installation push du client dans Configuration Manager
  3. Laisser suffisamment de temps à services de domaine Active Directory pour répliquer le nouveau compte
  4. Supprimez ensuite l’ancien compte de Configuration Manager et services de domaine Active Directory

Important

Utilisez une stratégie de domaine ou de groupe local pour attribuer au Windows droit de l’utilisateur de refuser l’ouverture de session localement. En tant que membre du groupe Administrateurs, ce compte a le droit de se connecter localement, ce qui n’est pas nécessaire. Pour une meilleure sécurité, refusez explicitement le droit à ce compte. Le droit de refus remplace le droit d’autorisation.

Pour plus d’informations, consultez l’installation push du client.

Compte de connexion de point d’inscription

Le point d’inscription utilise le compte de connexion de point d’inscription pour se connecter à la base de données de site Configuration Manager. Il utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque le point d’inscription se trouve dans un domaine non approuvé à partir du serveur de site, vous devez spécifier un compte d’utilisateur. Ce compte nécessite un accès en lecture et en écriture à la base de données de site.

Pour plus d’informations, consultez Installer les rôles de système de site pour la GPM locale.

Exchange Server compte de connexion

Le serveur de site utilise le compte de connexion Exchange Server pour se connecter au Exchange Server spécifié. Elle utilise cette connexion pour rechercher et gérer les appareils mobiles qui se connectent à Exchange Server. Ce compte nécessite Exchange applets de commande PowerShell qui fournissent les autorisations requises à l’ordinateur Exchange Server. Pour plus d’informations sur les applets de commande, consultez Installer et configurer le connecteur Exchange.

Compte de connexion de point de gestion

Le point de gestion utilise le compte de connexion de point de gestion pour se connecter à la base de données de site Configuration Manager. Elle utilise cette connexion pour envoyer et récupérer des informations pour les clients. Le point de gestion utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque le point de gestion se trouve dans un domaine non approuvé à partir du serveur de site, vous devez spécifier un compte d’utilisateur.

Créez le compte en tant que compte local à faible droite sur l’ordinateur qui exécute Microsoft SQL Server.

Important

N’accordez pas de droits de connexion interactifs à ce compte.

Compte de connexion multidiffusion

Les points de distribution prenant en charge la multidiffusion utilisent le compte de connexion multidiffusion pour lire les informations de la base de données du site. Le serveur utilise son compte d’ordinateur par défaut, mais vous pouvez configurer un compte d’utilisateur à la place. Lorsque la base de données de site se trouve dans une forêt non approuvée, vous devez spécifier un compte d’utilisateur. Par exemple, si votre centre de données dispose d’un réseau de périmètre dans une forêt autre que le serveur de site et la base de données de site, utilisez ce compte pour lire les informations de multidiffusion de la base de données de site.

Si vous avez besoin de ce compte, créez-le en tant que compte local à faible droite sur l’ordinateur qui s’exécute Microsoft SQL Server.

Important

N’accordez pas de droits de connexion interactifs à ce compte.

Pour plus d’informations, consultez Utiliser la multidiffusion pour déployer Windows sur le réseau.

Compte d’accès réseau

Les ordinateurs clients utilisent le compte d’accès réseau lorsqu’ils ne peuvent pas utiliser leur compte d’ordinateur local pour accéder au contenu sur les points de distribution. Il s’applique principalement aux clients de groupe de travail et aux ordinateurs provenant de domaines non approuvés. Ce compte est également utilisé pendant le déploiement du système d’exploitation, lorsque l’ordinateur qui installe le système d’exploitation n’a pas encore de compte d’ordinateur sur le domaine.

Important

Le compte d’accès réseau n’est jamais utilisé comme contexte de sécurité pour exécuter des programmes, installer des mises à jour logicielles ou exécuter des séquences de tâches. Il est utilisé uniquement pour accéder aux ressources sur le réseau.

Un client Configuration Manager tente d’abord d’utiliser son compte d’ordinateur pour télécharger le contenu. En cas d’échec, il tente automatiquement le compte d’accès réseau.

Si vous configurez le site pour HTTPS ou HTTP amélioré, un groupe de travail ou un client joint à Azure AD peut accéder en toute sécurité au contenu à partir de points de distribution sans avoir besoin d’un compte d’accès réseau. Ce comportement inclut des scénarios de déploiement de système d’exploitation avec une séquence de tâches s’exécutant à partir du média de démarrage, de PXE ou du Centre logiciel. Pour plus d’informations, consultez la communication entre le client et le point de gestion.

Notes

Si vous activez le protocole HTTP amélioré pour ne pas exiger le compte d’accès réseau, le point de distribution doit s’exécuter Windows Server 2012 ou une version ultérieure.

Autorisations pour le compte d’accès réseau

Accordez à ce compte les autorisations minimales appropriées sur le contenu dont le client a besoin pour accéder au logiciel. Le compte doit disposer de l’accès à cet ordinateur à partir du réseau sur le point de distribution. Vous pouvez configurer jusqu’à 10 comptes d’accès réseau par site.

Créez le compte dans n’importe quel domaine qui fournit l’accès nécessaire aux ressources. Le compte d’accès réseau doit toujours inclure un nom de domaine. La sécurité directe n’est pas prise en charge pour ce compte. Si vous avez des points de distribution dans plusieurs domaines, créez le compte dans un domaine approuvé.

Conseil

Pour éviter les verrouillages de compte, ne modifiez pas le mot de passe sur un compte d’accès réseau existant. Au lieu de cela, créez un compte et configurez-le dans Configuration Manager. Lorsque le temps est écoulé pour que tous les clients aient reçu les détails du nouveau compte, supprimez l’ancien compte des dossiers partagés réseau et supprimez le compte.

Important

N’accordez pas de droits de connexion interactifs à ce compte.

N’accordez pas à ce compte le droit de joindre des ordinateurs au domaine. Si vous devez joindre des ordinateurs au domaine pendant une séquence de tâches, utilisez le compte de jonction de domaine de séquence de tâches.

Configurer le compte d’accès réseau

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site et sélectionnez le nœud Sites. Sélectionnez ensuite le site.

  2. Dans le groupe Paramètres du ruban, sélectionnez Configurer les composants du site, puis choisissez Distribution de logiciels.

  3. Choisissez l’onglet Compte d’accès réseau . Configurez un ou plusieurs comptes, puis choisissez OK.

Actions qui nécessitent le compte d’accès réseau

Le compte d’accès réseau est toujours requis pour les actions suivantes :

  • Multidiffusion. Pour plus d’informations, consultez Utiliser la multidiffusion pour déployer Windows sur le réseau.

  • Option de déploiement de séquence de tâches pour accéder au contenu directement à partir d’un point de distribution si nécessaire par la séquence de tâches en cours d’exécution. Pour plus d’informations, consultez les options de déploiement de séquence de tâches.

  • Étape de séquence de tâches Demander le magasin d’état . Si la séquence de tâches ne peut pas communiquer avec le point de migration d’état à l’aide du compte d’ordinateur de l’appareil, elle revient à utiliser le compte d’accès réseau. Pour plus d’informations, consultez Request State Store.

  • Appliquer l’option d’étape de séquence de tâches Image du système d’exploitation au contenu Access directement à partir du point de distribution. Cette option s’applique principalement à Windows scénarios incorporés avec un espace disque faible, où la mise en cache du contenu sur le disque local est coûteuse. Pour plus d’informations, consultez le contenu Access directement à partir du point de distribution

  • Paramètre des propriétés de séquence de tâches pour exécuter un autre programme en premier. Ce paramètre exécute un package et un programme à partir d’un partage réseau avant le démarrage de la séquence de tâches. Pour plus d’informations, consultez les propriétés des séquences de tâches : onglet Avancé.

  • La gestion des clients dans des domaines non approuvés et des scénarios inter-forêts autorise plusieurs comptes d’accès réseau.

Compte d’accès au package

Un compte d’accès au package vous permet de définir des autorisations NTFS pour spécifier les utilisateurs et les groupes d’utilisateurs qui peuvent accéder au contenu du package sur les points de distribution. Par défaut, Configuration Manager accorde l’accès uniquement aux comptes d’accès génériques Utilisateur et Administrateur. Vous pouvez contrôler l’accès aux ordinateurs clients à l’aide d’autres comptes ou groupes Windows. Les appareils mobiles récupèrent toujours le contenu du package de manière anonyme, afin qu’ils n’utilisent pas de compte d’accès au package.

Par défaut, lorsque Configuration Manager copie les fichiers de contenu vers un point de distribution, il accorde l’accès en lecture au groupe Utilisateurs local et le contrôle total au groupe Administrateurs local. Les autorisations réelles requises dépendent du package. Si vous avez des clients dans des groupes de travail ou dans des forêts non approuvées, ces clients utilisent le compte d’accès réseau pour accéder au contenu du package. Assurez-vous que le compte d’accès réseau dispose d’autorisations sur le package à l’aide des comptes d’accès au package définis.

Utilisez des comptes dans un domaine qui peut accéder aux points de distribution. Si vous créez ou modifiez le compte après avoir créé le package, vous devez redistribuer le package. La mise à jour du package ne modifie pas les autorisations NTFS sur le package.

Vous n’avez pas besoin d’ajouter le compte d’accès réseau en tant que compte d’accès au package, car l’appartenance au groupe Utilisateurs l’ajoute automatiquement. La restriction du compte d’accès au package uniquement au compte d’accès réseau n’empêche pas les clients d’accéder au package.

Gérer les comptes d’accès aux packages

  1. Dans la console Configuration Manager, accédez à l’espace de travail Bibliothèque de logiciels.

  2. Dans l’espace de travail bibliothèque de logiciels, déterminez le type de contenu pour lequel vous souhaitez gérer les comptes d’accès et suivez les étapes fournies :

    • Application : développez Gestion des applications, choisissez Applications, puis sélectionnez l’application pour laquelle gérer les comptes d’accès.

    • Package : développez Gestion des applications, choisissez Packages, puis sélectionnez le package pour lequel gérer les comptes d’accès.

    • Package de déploiement de mises à jour logicielles : développez les mises à jour logicielles, choisissez Packages de déploiement, puis sélectionnez le package de déploiement pour lequel gérer les comptes d’accès.

    • Package de pilotes : développez les systèmes d’exploitation, choisissez Packages de pilotes, puis sélectionnez le package de pilotes pour lequel gérer les comptes d’accès.

    • Image du système d’exploitation : développez les systèmes d’exploitation, choisissez Images du système d’exploitation, puis sélectionnez l’image du système d’exploitation pour laquelle gérer les comptes d’accès.

    • Package de mise à niveau du système d’exploitation : développez les systèmes d’exploitation, choisissez les packages de mise à niveau du système d’exploitation, puis sélectionnez le package de mise à niveau du système d’exploitation pour lequel gérer les comptes d’accès.

    • Image de démarrage : Développez les systèmes d’exploitation, choisissez Images de démarrage, puis sélectionnez l’image de démarrage pour laquelle gérer les comptes d’accès.

  3. Cliquez avec le bouton droit sur l’objet sélectionné, puis choisissez Gérer les comptes d’accès.

  4. Dans la boîte de dialogue Ajouter un compte , spécifiez le type de compte auquel l’accès au contenu sera accordé, puis spécifiez les droits d’accès associés au compte.

    Notes

    Lorsque vous ajoutez un nom d’utilisateur pour le compte et que Configuration Manager recherche à la fois un compte d’utilisateur local et un compte d’utilisateur de domaine portant ce nom, Configuration Manager définit des droits d’accès pour le compte d’utilisateur de domaine.

Compte de point Reporting Services

SQL Server Reporting Services utilise le compte de point Reporting Services pour récupérer les données des rapports Configuration Manager de la base de données de site. Le Windows compte d’utilisateur et le mot de passe que vous spécifiez sont chiffrés et stockés dans la base de données SQL Server Reporting Services.

Notes

Le compte que vous spécifiez doit disposer d’autorisations d’ouverture de session locale sur l’ordinateur hébergeant la base de données SQL Server Reporting Services.

Le compte reçoit automatiquement tous les droits nécessaires en étant ajouté au rôle de base de données smsschm_users SQL Server sur la base de données Configuration Manager.

Pour plus d’informations, consultez Présentation des rapports.

Comptes de visionneuse autorisés par les outils distants

Les comptes que vous spécifiez en tant que visionneuses autorisées pour le contrôle à distance sont une liste d’utilisateurs autorisés à utiliser les fonctionnalités des outils à distance sur les clients.

Pour plus d’informations, consultez Présentation du contrôle à distance.

Compte d’installation de site

Utilisez un compte d’utilisateur de domaine pour vous connecter au serveur sur lequel vous exécutez Configuration Manager configurer et installer un nouveau site.

Ce compte requiert les droits suivants :

  • Administrateur sur les serveurs suivants :

    • Serveur de site
    • Chaque serveur qui héberge la base de données de site
    • Chaque instance du fournisseur SMS pour le site
  • Sysadmin sur l’instance de SQL Server qui héberge la base de données de site

Configuration Manager configuration ajoute automatiquement ce compte au groupe Administrateurs SMS.

Après l’installation, ce compte est le seul utilisateur disposant des droits sur la console Configuration Manager. Si vous devez supprimer ce compte, veillez d’abord à ajouter ses droits à un autre utilisateur.

Lorsque vous développez un site autonome pour inclure un site d’administration centrale, ce compte nécessite des droits d’administration en fonction du rôle Administrateur complet ou Administrateur d’infrastructure sur le site principal autonome.

Compte d’installation du système de site

Le serveur de site utilise le compte d’installation du système de site pour installer, réinstaller, désinstaller et configurer des systèmes de site. Si vous configurez le système de site pour exiger que le serveur de site établisse des connexions à ce système de site, Configuration Manager utilise également ce compte pour extraire des données du système de site après avoir installé le système de site et tous les rôles. Chaque système de site peut avoir un compte d’installation différent, mais vous ne pouvez configurer qu’un seul compte d’installation pour gérer tous les rôles sur ce système de site.

Ce compte nécessite des autorisations d’administration locales sur les systèmes de site cibles. En outre, ce compte doit avoir Accès à cet ordinateur à partir du réseau dans la stratégie de sécurité sur les systèmes de site cibles.

Conseil

Si vous avez de nombreux contrôleurs de domaine et que ces comptes sont utilisés dans plusieurs domaines, avant de configurer le système de site, vérifiez qu’Active Directory a répliqué ces comptes.

Lorsque vous spécifiez un compte local sur chaque système de site à gérer, cette configuration est plus sécurisée que l’utilisation de comptes de domaine. Il limite les dommages que les attaquants peuvent faire si le compte est compromis. Toutefois, les comptes de domaine sont plus faciles à gérer. Tenez compte du compromis entre la sécurité et une administration efficace.

Compte de serveur proxy du système de site

Les rôles de système de site suivants utilisent le compte de serveur proxy du système de site pour accéder à Internet via un serveur proxy ou un pare-feu qui nécessite un accès authentifié :

  • Point de synchronisation Asset Intelligence
  • Connecteur Exchange Server
  • Point de connexion de service
  • Point de mise à jour logicielle

Important

Spécifiez un compte disposant des autorisations les moins possibles pour le serveur proxy ou le pare-feu requis.

Pour plus d’informations, consultez la prise en charge du serveur proxy.

Compte de connexion au serveur SMTP

Le serveur de site utilise le compte de connexion du serveur SMTP pour envoyer des alertes par e-mail lorsque le serveur SMTP nécessite un accès authentifié.

Important

Spécifiez un compte disposant des autorisations les moins appropriées pour envoyer des e-mails.

Pour plus d’informations, consultez Configurer les alertes.

Compte de connexion de point de mise à jour logicielle

Le serveur de site utilise le compte de connexion du point de mise à jour logicielle pour les deux services de mise à jour logicielle suivants :

  • Windows Server Update Services (WSUS), qui configure des paramètres tels que les définitions de produit, les classifications et les paramètres en amont.

  • Gestionnaire de synchronisation WSUS, qui demande la synchronisation vers un serveur WSUS en amont ou Microsoft Update.

Le compte d’installation du système de site peut installer des composants pour les mises à jour logicielles, mais il ne peut pas effectuer de fonctions spécifiques aux mises à jour logicielles sur le point de mise à jour logicielle. Si vous ne pouvez pas utiliser le compte d’ordinateur du serveur de site pour cette fonctionnalité, car le point de mise à jour logicielle se trouve dans une forêt non approuvée, vous devez spécifier ce compte avec le compte d’installation du système de site.

Ce compte doit être un administrateur local sur l’ordinateur sur lequel vous installez WSUS. Il doit également faire partie du groupe Administrateurs WSUS local.

Pour plus d’informations, consultez Planifier les mises à jour logicielles.

Compte de site source

Le processus de migration utilise le compte de site source pour accéder au fournisseur SMS du site source. Ce compte nécessite des autorisations de lecture sur les objets de site du site source pour collecter des données pour les travaux de migration.

Si vous avez Configuration Manager points de distribution 2007 ou des sites secondaires avec des points de distribution colocalisés, lorsque vous les mettez à niveau vers des points de distribution Configuration Manager (current branch), ce compte doit également disposer d’autorisations De suppression pour la classe Site. Cette autorisation permet de supprimer le point de distribution du site Configuration Manager 2007 pendant la mise à niveau.

Notes

Le compte de site source et le compte de base de données du site source sont identifiés comme Gestionnaire de migration dans le nœud Comptes de l’espace de travail Administration dans la console Configuration Manager.

Pour plus d’informations, consultez Migrer des données entre des hiérarchies.

Compte de base de données du site source

Le processus de migration utilise le compte de base de données du site source pour accéder à la base de données SQL Server du site source. Pour collecter des données à partir de la base de données SQL Server du site source, le compte de base de données du site source doit disposer des autorisations Lecture et Exécution sur la base de données SQL Server du site source.

Si vous utilisez le compte d’ordinateur Configuration Manager (current branch), assurez-vous que tout ce qui suit est vrai pour ce compte :

  • Il est membre du groupe de sécurité Distributed COM Users dans le même domaine que le site Configuration Manager 2012
  • Il est membre du groupe de sécurité Administrateurs SMS
  • Il dispose de l’autorisation Lecture pour tous les objets Configuration Manager 2012

Notes

Le compte de site source et le compte de base de données du site source sont identifiés comme Gestionnaire de migration dans le nœud Comptes de l’espace de travail Administration dans la console Configuration Manager.

Pour plus d’informations, consultez Migrer des données entre des hiérarchies.

Compte de jonction de domaine de séquence de tâches

Windows configuration utilise le compte de jonction de domaine de séquence de tâches pour joindre un ordinateur nouvellement image à un domaine. Ce compte est requis par l’étape de séquence de tâches Joindre un domaine ou un groupe de travail avec l’option Joindre un domaine . Ce compte peut également être configuré avec l’étape Appliquer le réseau Paramètres, mais il n’est pas obligatoire.

Ce compte nécessite le droit de jonction de domaine dans le domaine cible.

Conseil

Créez un compte d’utilisateur de domaine avec les autorisations minimales pour joindre le domaine et utilisez-le pour toutes les séquences de tâches.

Important

N’attribuez pas d’autorisations de connexion interactives à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Compte de connexion de dossier réseau de séquence de tâches

Le moteur de séquence de tâches utilise le compte de connexion de dossier réseau de séquence de tâches pour se connecter à un dossier partagé sur le réseau. Ce compte est requis par l’étape de séquence de tâches Connecter to Network Folder.

Ce compte nécessite des autorisations pour accéder au dossier partagé spécifié. Il doit s’agir d’un compte d’utilisateur de domaine.

Conseil

Créez un compte d’utilisateur de domaine avec des autorisations minimales pour accéder aux ressources réseau requises et utilisez-le pour toutes les séquences de tâches.

Important

N’attribuez pas d’autorisations de connexion interactives à ce compte.

N’utilisez pas le compte d’accès réseau pour ce compte.

Séquence de tâches exécutée en tant que compte

Le moteur de séquence de tâches utilise l’exécution de séquence de tâches en tant que compte pour exécuter des lignes de commande ou des scripts PowerShell avec des informations d’identification autres que le compte système local. Ce compte est requis par les étapes exécuter la ligne de commande et exécuter la séquence de tâches de script PowerShell avec l’option Exécuter cette étape comme compte suivant choisi.

Configurez le compte pour disposer des autorisations minimales requises pour exécuter la ligne de commande que vous spécifiez dans la séquence de tâches. Le compte nécessite des droits de connexion interactifs. Il nécessite généralement la possibilité d’installer des logiciels et d’accéder aux ressources réseau. Pour la tâche Exécuter le script PowerShell, ce compte nécessite des autorisations d’administrateur local.

Important

N’utilisez pas le compte d’accès réseau pour ce compte.

Ne faites jamais du compte un administrateur de domaine.

Ne jamais configurer de profils itinérants pour ce compte. Lorsque la séquence de tâches s’exécute, elle télécharge le profil itinérant pour le compte. Cela rend le profil vulnérable à l’accès sur l’ordinateur local.

Limitez l’étendue du compte. Par exemple, créez des comptes d’exécution de séquence de tâches différents pour chaque séquence de tâches. Ensuite, si un compte est compromis, seuls les ordinateurs clients auxquels ce compte a accès sont compromis.

Si la ligne de commande nécessite un accès administratif sur l’ordinateur, envisagez de créer un compte d’administrateur local uniquement pour ce compte sur tous les ordinateurs qui exécutent la séquence de tâches. Supprimez le compte une fois que vous n’en avez plus besoin.

Objets utilisateur utilisés par Configuration Manager dans SQL Server

Configuration Manager crée et gère automatiquement les objets utilisateur suivants dans SQL. Ces objets se trouvent dans la base de données Configuration Manager sous Sécurité/Utilisateurs.

Important

La modification ou la suppression de ces objets peut entraîner des problèmes draconiennes au sein d’un environnement Configuration Manager. Nous vous recommandons de ne pas apporter de modifications à ces objets.

smsdbuser_ReadOnly

Cet objet est utilisé pour exécuter des requêtes dans le contexte en lecture seule. Cet objet est utilisé avec plusieurs procédures stockées.

smsdbuser_ReadWrite

Cet objet est utilisé pour fournir des autorisations pour les instructions SQL dynamiques.

smsdbuser_ReportSchema

Cet objet est utilisé pour exécuter SQL Server exécutions de rapports. La procédure stockée suivante est utilisée avec cette fonction : spSRExecQuery.

Rôles de base de données que Configuration Manager utilise dans SQL

Configuration Manager crée et gère automatiquement les objets de rôle suivants dans SQL. Ces rôles permettent d’accéder à des procédures stockées, des tables, des vues et des fonctions spécifiques. Ces rôles obtiennent ou ajoutent des données dans la base de données Configuration Manager. Ces objets se trouvent dans la base de données Configuration Manager sous Sécurité/Rôles/Rôles de base de données.

Important

La modification ou la suppression de ces objets peut entraîner des problèmes draconiennes au sein d’un environnement Configuration Manager. Ne modifiez pas ces objets. La liste suivante concerne uniquement les informations.

smsdbrole_AITool

Configuration Manager accorde cette autorisation aux comptes d’utilisateurs administratifs en fonction de l’accès en fonction du rôle pour importer des informations de licence en volume pour Asset Intelligence. Ce compte peut être ajouté par un rôle Administrateur complet, Administrateur des opérations ou Gestionnaire d’actifs, ou tout rôle avec l’autorisation « Gérer Asset Intelligence ».

smsdbrole_AIUS

Configuration Manager accorde au compte d’ordinateur qui héberge le compte de point de synchronisation Asset Intelligence l’accès pour obtenir des données de proxy Asset Intelligence et afficher les données d’IA en attente de chargement.

smsdbrole_CRP

Configuration Manager accorde l’autorisation au compte d’ordinateur du système de site qui prend en charge le point d’inscription de certificat pour la prise en charge du protocole SCEP (Simple Certificate Enrollment Protocol) pour la signature et le renouvellement des certificats.

smsdbrole_CRPPfx

Configuration Manager accorde l’autorisation au compte d’ordinateur du système de site qui prend en charge le point d’inscription de certificat configuré pour la prise en charge PFX pour la signature et le renouvellement.

smsdbrole_DMP

Configuration Manager accorde cette autorisation au compte d’ordinateur pour un point de gestion qui a l’option Autoriser les appareils mobiles et les ordinateurs Mac à utiliser ce point de gestion, la possibilité de fournir une prise en charge pour les appareils inscrits À GPM.

smsdbrole_DmpConnector

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de connexion de service pour récupérer et fournir des données de diagnostic, gérer les services cloud et récupérer les mises à jour du service.

smsdbrole_DViewAccess

Configuration Manager accorde cette autorisation au compte d’ordinateur des serveurs de site principaux sur le site d’administration centrale lorsque l’option SQL Server vues distribuées est sélectionnée dans les propriétés de lien de réplication.

smsdbrole_DWSS

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le rôle d’entrepôt de données.

smsdbrole_EnrollSvr

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point d’inscription pour autoriser l’inscription d’appareils via GPM.

smsdbrole_extract

Fournit l’accès à toutes les vues de schéma étendues.

smsdbrole_HMSUser

Pour le service gestionnaire de hiérarchie. Configuration Manager accorde des autorisations à ce compte pour gérer les messages d’état de basculement et SQL Server transactions Broker entre les sites au sein d’une hiérarchie.

Notes

Le rôle smdbrole_WebPortal est membre de ce rôle par défaut.

smsdbrole_MCS

Configuration Manager accorde cette autorisation au compte d’ordinateur du point de distribution qui prend en charge la multidiffusion.

smsdbrole_MP

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le rôle de point de gestion pour fournir la prise en charge des clients Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de gestion qui gère BitLocker pour un environnement.

smsdbrole_MPUserSvc

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de gestion pour prendre en charge les demandes d’application basées sur l’utilisateur.

smsdbrole_siteprovider

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge un rôle fournisseur SMS.

smsdbrole_siteserver

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le site principal ou le site d’administration centrale.

smsdbrole_SUP

Configuration Manager accorde cette autorisation au compte d’ordinateur qui héberge le point de mise à jour logicielle pour l’utilisation des mises à jour tierces.

smsschm_users

Configuration Manager accorde l’accès au compte utilisé pour le compte de point reporting Services afin d’autoriser l’accès aux vues de création de rapports SMS pour afficher les données de création de rapports Configuration Manager. Les données sont plus restreintes avec l’utilisation de l’accès en fonction du rôle.

Autorisations élevées

Configuration Manager nécessite que certains comptes disposent d’autorisations élevées pour les opérations en cours. Par exemple, consultez Prérequis pour l’installation d’un site principal. La liste suivante récapitule ces autorisations et les raisons pour lesquelles elles sont nécessaires.

  • Le compte d’ordinateur du serveur de site principal et du serveur de site d’administration centrale requiert :

    • Droits d’administrateur local sur tous les serveurs de système de site. Cette autorisation consiste à gérer, installer et supprimer des services système. Le serveur de site met également à jour les groupes locaux sur le système de site lorsque vous ajoutez ou supprimez des rôles.

    • Accès Sysadmin à l’instance SQL Server pour la base de données de site. Cette autorisation permet de configurer et de gérer SQL Server pour le site. Configuration Manager s’intègre étroitement à SQL, il ne s’agit pas seulement d’une base de données.

  • Les comptes d’utilisateur dans le rôle Administrateur complet nécessitent :

    • Droits d’administrateur local sur tous les serveurs de site. Cette autorisation consiste à afficher, modifier, supprimer et installer des services système, des clés et des valeurs de Registre et des objets WMI.

    • Accès Sysadmin à l’instance SQL Server pour la base de données de site. Cette autorisation consiste à installer et mettre à jour la base de données pendant l’installation ou la récupération. Il est également nécessaire pour SQL Server maintenance et les opérations. Par exemple, la réindexation et la mise à jour des statistiques.

      Notes

      Certaines organisations peuvent choisir de supprimer l’accès sysadmin et de l’accorder uniquement lorsqu’il est nécessaire. Ce comportement est parfois appelé « accès juste-à-temps (JIT). » Dans ce cas, les utilisateurs dotés du rôle Administrateur complet doivent toujours avoir accès à la lecture, à la mise à jour et à l’exécution de procédures stockées sur la base de données Configuration Manager. Ces autorisations leur permettent de résoudre la plupart des problèmes sans accès sysadmin complet.