A Configuration Managerben használt fiókok

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az alábbi információk segítségével azonosíthatja a Configuration Managerben használt Windows-csoportokat, -fiókokat és SQL Server-objektumokat, azok használati módját és az esetleges követelményeket.

Fontos

Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy a Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

• A Configuration Manager által létrehozott és használt Windows-csoportok

  • Konfigurációs Manager_CollectedFilesAccess
  • Konfigurációs Manager_DViewAccess
  • A Configuration Manager távvezérlési felhasználói
  • SMS-rendszergazdák
  • <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
  • <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
  • <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
  • <SMS_SiteToSiteConnection_sitecode>

• A Configuration Manager által használt fiókok

  • Active Directory-csoportfelderítési fiók
  • Active Directory rendszerfelderítési fiók
  • Active Directory-felhasználófelderítési fiók
  • Active Directory-erdőfiók
  • Tanúsítványregisztrációs pont fiókja
  • Operációsrendszer-rendszerképfiók rögzítése
  • Ügyfél leküldéses telepítési fiókja
  • Regisztrációs pont kapcsolati fiókja
  • Exchange Server-kapcsolatfiók
  • Felügyeleti pont kapcsolati fiókja
  • Csoportos küldésű kapcsolatfiók
  • Hálózati hozzáférési fiók
  • Csomaghozzáférés-fiók
  • Jelentéskészítési szolgáltatási pont fiókja
  • Távoli eszközök engedélyezett megjelenítői fiókjai
  • Helytelepítési fiók
  • Helyrendszer-telepítési fiók
  • Helyrendszerproxy-kiszolgálófiók
  • SMTP-kiszolgáló kapcsolati fiókja
  • Szoftverfrissítési pont csatlakozási fiókja
  • Forráswebhelyfiók
  • Forráshely adatbázisfiókja
  • Feladatütemezési tartományhoz csatlakoztatott fiók
  • Feladatütemezési hálózati mappa kapcsolatfiókja
  • Feladatütemezés futtatása fiókként

• A Configuration Manager által az SQL-ben használt felhasználói objektumok

  • smsdbuser_ReadOnly
  • smsdbuser_ReadWrite
  • smsdbuser_ReportSchema

• A Configuration Manager által az SQL-ben használt adatbázis-szerepkörök

  • smsdbrole_AITool
  • smsdbrole_AIUS
  • smsdbrole_CRP
  • smsdbrole_CRPPfx
  • smsdbrole_DMP
  • smsdbrole_DmpConnector
  • smsdbrole_DViewAccess
  • smsdbrole_DWSS
  • smsdbrole_EnrollSvr
  • smsdbrole_extract
  • smsdbrole_HMSUser
  • smsdbrole_MCS
  • smsdbrole_MP
  • smsdbrole_MPMBAM
  • smsdbrole_MPUserSvc
  • smsdbrole_siteprovider
  • smsdbrole_siteserver
  • smsdbrole_SUP
  • smsschm_users

A Configuration Manager által létrehozott és használt Windows-csoportok

A Configuration Manager automatikusan létrehozza és sok esetben automatikusan karbantartja a következő Windows-csoportokat:

Megjegyzés:

Amikor a Configuration Manager létrehoz egy csoportot egy tartományhoz tartozó számítógépen, a csoport helyi biztonsági csoport. Ha a számítógép tartományvezérlő, akkor a csoport egy tartományi helyi csoport. Ez a csoporttípus a tartomány összes tartományvezérlője között meg van osztva.

Konfigurációs Manager_CollectedFilesAccess

A Configuration Manager ezzel a csoporttal biztosít hozzáférést a szoftverleltár által gyűjtött fájlok megtekintéséhez.

További információ: A szoftverleltár bemutatása.

A CollectedFilesAccess típusa és helye

Ez a csoport az elsődleges helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

A CollectedFilesAccess tagsága

A Configuration Manager automatikusan kezeli a csoporttagságokat. A tagság magában foglalja azokat a rendszergazda felhasználókat, amelyek egy hozzárendelt biztonsági szerepkörből megkapják a Gyűjtemény biztonságos objektumához a Gyűjtött fájlok megtekintése engedélyt.

A CollectedFilesAccess engedélyei

Alapértelmezés szerint ez a csoport olvasási engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Konfigurációs Manager_DViewAccess

Ez a csoport egy helyi biztonsági csoport, amelyet a Configuration Manager hoz létre a helyadatbázis-kiszolgálón vagy az adatbázisreplika-kiszolgálón egy gyermek elsődleges hely számára. A hely akkor hozza létre, ha elosztott nézeteket használ az adatbázis-replikációhoz egy hierarchiában lévő helyek között. Tartalmazza a központi adminisztrációs hely helykiszolgálói és SQL Server-számítógépfiókját.

További információ: Helyek közötti adatátvitel.

A Configuration Manager távvezérlési felhasználói

A Configuration Manager távoli eszközei ezt a csoportot használják az Engedélyezett megtekintők listában beállított fiókok és csoportok tárolására. A webhely minden ügyfélhez hozzárendeli ezt a listát.

További információ: Bevezetés a távvezérlésbe.

A távvezérlés felhasználóinak típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely akkor jön létre a Configuration Manager-ügyfélen, amikor az ügyfél olyan szabályzatot kap, amely engedélyezi a távoli eszközöket.

Miután letiltott egy ügyfél távoli eszközeit, a csoport nem lesz automatikusan eltávolítva. Törölje manuálisan a távoli eszközök letiltása után.

Tagság távvezérlési felhasználók számára

Alapértelmezés szerint nincsenek tagok ebben a csoportban. Amikor hozzáadja a felhasználókat az Engedélyezett megtekintők listához, a rendszer automatikusan hozzáadja őket ehhez a csoporthoz.

Az Engedélyezett megtekintők listával kezelheti a csoport tagságát ahelyett, hogy közvetlenül ehhez a csoporthoz ad hozzá felhasználókat vagy csoportokat.

Amellett, hogy engedélyezett megtekintő, a rendszergazda felhasználónak távvezérlési engedéllyel kell rendelkeznie a Gyűjtemény objektumhoz. Ezt az engedélyt a Távoli eszközök kezelője biztonsági szerepkörrel rendelheti hozzá.

Távvezérlési felhasználók engedélyei

Alapértelmezés szerint ez a csoport nem rendelkezik engedéllyel a számítógép egyetlen helyéhez sem. Csak az Engedélyezett megtekintők lista tárolására szolgál.

SMS-rendszergazdák

A Configuration Manager ezt a csoportot használja az SMS-szolgáltató WMI-alapú hozzáférésének biztosításához. A Configuration Manager konzol objektumainak megtekintéséhez és módosításához hozzáférés szükséges az SMS-szolgáltatóhoz.

Megjegyzés:

A rendszergazda felhasználó szerepköralapú felügyeleti konfigurációja határozza meg, hogy mely objektumokat tekintheti meg és kezelheti a Configuration Manager-konzol használatakor.

További információ: Plan for the SMS Provider (Az SMS-szolgáltató megtervezése).

Sms-rendszergazdák típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely minden sms-szolgáltatóval rendelkező számítógépen létrejön.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság SMS-rendszergazdáknak

A Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a hierarchia minden rendszergazda felhasználója és a helykiszolgáló számítógépfiókja a hely összes SMS-szolgáltatójának SMS-rendszergazdák csoportjának tagja.

ENGEDÉLYEK SMS-rendszergazdáknak

Az SMS-rendszergazdák csoport jogosultságait és engedélyeit a WMI-vezérlő MMC beépülő moduljában tekintheti meg. Alapértelmezés szerint ez a csoport a FIÓK engedélyezése és a Távoli engedélyezés lehetőséget kapja a Root\SMS WMI-névtérben. A hitelesített felhasználók végrehajtási metódusokkal, szolgáltatói írási és fiókengedélyekkel rendelkeznek.

Ha távoli Configuration Manager-konzolt használ, a távoli aktiválási DCOM-engedélyeket a helykiszolgáló számítógépén és az SMS-szolgáltatón is konfigurálhatja. Adja meg ezeket a jogokat az SMS-rendszergazdák csoportnak . Ez a művelet leegyszerűsíti a felügyeletet ahelyett, hogy közvetlenül a felhasználóknak vagy csoportoknak biztosítanák ezeket a jogokat. További információ: DCOM-engedélyek konfigurálása távoli Configuration Manager-konzolokhoz.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

A helykiszolgálótól távol lévő felügyeleti pontok ezt a csoportot használják a helyadatbázishoz való csatlakozáshoz. Ez a csoport felügyeleti pont hozzáférést biztosít a helykiszolgálón és a helyadatbázisban lévő beérkezett üzenetek mappáihoz.

A SMS_SiteSystemToSiteServerConnection_MP típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely minden sms-szolgáltatóval rendelkező számítógépen létrejön.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_MP

A Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a tagság magában foglalja azoknak a távoli számítógépeknek a számítógépfiókját, amelyek felügyeleti ponttal rendelkeznek a helyhez.

A SMS_SiteSystemToSiteServerConnection_MP engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes. Ez a csoport írási engedéllyel rendelkezik a beérkezett üzenetek alatti almappákhoz is, amelyekbe a felügyeleti pont ügyféladatokat ír.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

A távoli SMS-szolgáltató számítógépei ezt a csoportot használják a helykiszolgálóhoz való csatlakozáshoz.

A SMS_SiteSystemToSiteServerConnection_SMSProv típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_SMSProv

A Configuration Manager automatikusan kezeli a csoporttagságokat. A tagság alapértelmezés szerint egy számítógépfiókot vagy egy tartományi felhasználói fiókot tartalmaz. Ezzel a fiókkal csatlakozik a helykiszolgálóhoz minden egyes távoli SMS-szolgáltatóról.

A SMS_SiteSystemToSiteServerConnection_SMSProv engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes. Ez a csoport írási és módosítási engedélyekkel is rendelkezik a beérkezett üzenetek alatti almappákhoz. Az SMS-szolgáltatónak hozzá kell férnie ezekhez a mappákhoz.

Ez a csoport olvasási engedéllyel is rendelkezik az alábbi C:\Program Files\Microsoft Configuration Manager\OSD\Binhelykiszolgáló almappáihoz.

Emellett a következő engedélyekkel rendelkezik az alábbi C:\Program Files\Microsoft Configuration Manager\OSD\bootalmappákhoz:

• Olvas
• Olvasási & végrehajtása
• Mappa tartalmának listázása
• Ír
• Módosít

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

A Configuration Manager távoli helyrendszer-számítógépeinek fájlküldés-kezelő összetevője ezt a csoportot használja a helykiszolgálóhoz való csatlakozáshoz.

A SMS_SiteSystemToSiteServerConnection_Stat típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_Stat

A Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a tagság magában foglalja a számítógépfiókot vagy a tartományi felhasználói fiókot. Ezzel a fiókkal csatlakozik a helykiszolgálóhoz minden olyan távoli helyrendszerből, amely a fájlküldés-kezelőt futtatja.

A SMS_SiteSystemToSiteServerConnection_Stat engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a következő mappához és almappáihoz a helykiszolgálón: C:\Program Files\Microsoft Configuration Manager\inboxes.

Ez a csoport írási és módosítási engedélyekkel is rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

A Configuration Manager ezt a csoportot használja a hierarchiában lévő helyek közötti fájlalapú replikáció engedélyezéséhez. Minden olyan távoli hely esetében, amely közvetlenül továbbítja a fájlokat erre a helyre, ez a csoport fájlreplikációs fiókként beállított fiókokkal rendelkezik.

A SMS_SiteToSiteConnection típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Tagság a SMS_SiteToSiteConnection

Amikor egy új helyet egy másik hely gyermekelemeként telepít, a Configuration Manager automatikusan hozzáadja az új helykiszolgáló számítógépfiókját ehhez a csoporthoz a szülőhelykiszolgálón. A Configuration Manager a szülőhely számítógépfiókját is hozzáadja a csoporthoz az új helykiszolgálón. Ha egy másik fiókot ad meg a fájlalapú átvitelekhez, adja hozzá a fiókot ehhez a csoporthoz a célhelykiszolgálón.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

A SMS_SiteToSiteConnection engedélyei

Alapértelmezés szerint ez a csoport Teljes hozzáféréssel rendelkezik a következő mappához: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

A Configuration Manager által használt fiókok

A Configuration Managerhez a következő fiókokat állíthatja be.

Tipp

Ne használja a jelszóban a százalékos karaktert (%) a Configuration Manager-konzolon megadott fiókokhoz. A fiók hitelesítése sikertelen lesz.

Active Directory-csoportfelderítési fiók

A hely az Active Directory csoportfelderítési fiókjával deríti fel a következő objektumokat az Ön által megadott Active Directory Domain Services-helyekről:

• Helyi, globális és univerzális biztonsági csoportok.
• A csoporton belüli tagság.
• A terjesztési csoportokon belüli tagság.
  • A terjesztési csoportokat a rendszer nem csoporterőforrásként deríti fel.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-csoportfelderítés.

Active Directory rendszerfelderítési fiók

A hely az Active Directory rendszerfelderítési fiókjával felderíti a számítógépeket az Ön által megadott Active Directory Domain Services-helyekről.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-rendszerfelderítés.

Active Directory-felhasználófelderítési fiók

A hely az Active Directory felhasználófelderítési fiókjával deríti fel a felhasználói fiókokat az Ön által megadott Active Directory Domain Services-helyekről.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-felhasználófelderítés.

Active Directory-erdőfiók

A hely az Active Directory-erdőfiók használatával deríti fel a hálózati infrastruktúrát az Active Directory-erdőkből. A központi adminisztrációs helyek és az elsődleges helyek azt is használják, hogy helyadatokat tegyenek közzé az Active Directory Domain Servicesben egy erdő számára.

Megjegyzés:

A másodlagos helyek mindig a másodlagos helykiszolgáló számítógépfiókjának használatával teszik közzé az Active Directoryban.

A nem megbízható erdők felderítéséhez és közzétételéhez az Active Directory-erdőfióknak globális fióknak kell lennie. Ha nem a helykiszolgáló számítógépfiókját használja, csak egy globális fiókot választhat.

Ennek a fióknak olvasási engedélyekkel kell rendelkeznie minden olyan Active Directory-erdőhöz, ahol felderíteni szeretné a hálózati infrastruktúrát.

Ennek a fióknak Teljes hozzáférés engedéllyel kell rendelkeznie a Rendszerkezelés tárolóhoz és annak gyermekobjektumaihoz minden olyan Active Directory-erdőben, ahol közzé szeretné tenni a helyadatokat.

További információ: Az Active Directory előkészítése a webhely közzétételére.

További információ: Active Directory-erdőfelderítés.

Tanúsítványregisztrációs pont fiókja

Figyelmeztetés

A 2203-es verziótól kezdődően a tanúsítványregisztrációs pont már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

A tanúsítványregisztrációs pont a tanúsítványregisztrációs pont fiókját használja a Configuration Manager-adatbázishoz való csatlakozáshoz. Alapértelmezés szerint a számítógépfiókját használja, de ehelyett felhasználói fiókot is konfigurálhat. Ha a tanúsítványregisztrációs pont a helykiszolgáló nem megbízható tartományában található, meg kell adnia egy felhasználói fiókot. Ez a fiók csak olvasási hozzáférést igényel a helyadatbázishoz, mert az állapotüzenet-rendszer kezeli az írási feladatokat.

További információ: A tanúsítványprofilok bemutatása.

Operációsrendszer-rendszerképfiók rögzítése

Operációsrendszer-lemezkép rögzítésekor a Configuration Manager az operációs rendszer lemezképének rögzítése fiókot használja a rögzített lemezképek tárolására szolgáló mappához való hozzáféréshez. Ha hozzáadja az operációs rendszer lemezképének rögzítése lépést egy feladatütemezéshez, erre a fiókra van szükség.

A fióknak olvasási és írási engedéllyel kell rendelkeznie azon a hálózati megosztáson, ahol a rögzített képeket tárolja.

Ha módosítja a windowsos fiók jelszavát, frissítse a feladatütemezést az új jelszóval. Amikor legközelebb letölti az ügyfélházirendet, a Configuration Manager-ügyfél megkapja az új jelszót.

Ha ezt a fiókot kell használnia, hozzon létre egy tartományi felhasználói fiókot. Adjon minimális engedélyeket a szükséges hálózati erőforrások eléréséhez, és használja az összes rögzítési feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

További információ: Feladatütemezés létrehozása operációs rendszer rögzítéséhez.

Ügyfél leküldéses telepítési fiókja

Amikor az ügyfélleküldéses telepítési módszerrel telepíti az ügyfeleket, a hely az ügyfélleküldéses telepítési fiókot használja a számítógépekhez való csatlakozáshoz és a Configuration Manager ügyfélszoftver telepítéséhez. Ha nem adja meg ezt a fiókot, a helykiszolgáló megpróbálja használni a számítógépfiókját.

Ennek a fióknak a helyi Rendszergazdák csoport tagjának kell lennie a cél ügyfélszámítógépeken. Ehhez a fiókhoz nincs szükség tartományi rendszergazdai jogosultságra.

Több ügyfél leküldéses telepítési fiókot is megadhat. A Configuration Manager egymás után próbálkozik, amíg az egyik sikeres nem lesz.

Tipp

Ha nagy Active Directory-környezettel rendelkezik, és módosítania kell ezt a fiókot, az alábbi eljárással hatékonyabban koordinálhatja ezt a fiókfrissítést:

1. Hozzon létre egy másik nevű új fiókot.
2. Adja hozzá az új fiókot az ügyfél leküldéses telepítési fiókjainak listájához a Configuration Managerben.
3. Hagyjon elegendő időt az Active Directory Domain Services számára az új fiók replikálásához.
4. Ezután távolítsa el a régi fiókot a Configuration Managerből és az Active Directory Domain Servicesből.

Fontos

A tartomány vagy a helyi csoportszabályzat használatával rendelje hozzá a Windows-felhasználót a Helyi bejelentkezés megtagadása jogosultsághoz. A Rendszergazdák csoport tagjaként ez a fiók jogosult helyileg bejelentkezni, amire nincs szükség. A nagyobb biztonság érdekében explicit módon tagadja meg a fiókhoz való jogot. A megtagadási jog felülírja az engedélyezési jogot.

További információ: Ügyfél leküldéses telepítése.

Regisztrációs pont kapcsolati fiókja

A regisztrációs pont a beléptetési pont kapcsolati fiókját használja a Configuration Manager helyadatbázisához való csatlakozáshoz. Alapértelmezés szerint a számítógépfiókját használja, de ehelyett felhasználói fiókot is konfigurálhat. Ha a regisztrációs pont nem megbízható tartományban van a helykiszolgálóról, meg kell adnia egy felhasználói fiókot. Ehhez a fiókhoz olvasási és írási hozzáférés szükséges a helyadatbázishoz.

További információ: Helyrendszerszerepkörök telepítése helyszíni MDM-hez.

Exchange Server-kapcsolatfiók

A helykiszolgáló az Exchange Server kapcsolatfiókot használja a megadott Exchange Serverhez való csatlakozáshoz. Ezzel a kapcsolattal megkeresi és kezeli az Exchange Serverhez csatlakozó mobileszközöket. Ehhez a fiókhoz Olyan Exchange PowerShell-parancsmagok szükségesek, amelyek biztosítják a szükséges engedélyeket az Exchange Server-számítógéphez. A parancsmagokkal kapcsolatos további információkért lásd : Az Exchange-összekötő telepítése és konfigurálása.

Felügyeleti pont kapcsolati fiókja

A felügyeleti pont a felügyeleti pont kapcsolati fiókját használja a Configuration Manager helyadatbázisához való csatlakozáshoz. Ezzel a kapcsolattal adatokat küld és kér le az ügyfelek számára. A felügyeleti pont alapértelmezés szerint a számítógépfiókját használja, de ehelyett felhasználói fiókot is konfigurálhat. Ha a felügyeleti pont a helykiszolgáló nem megbízható tartományában található, meg kell adnia egy felhasználói fiókot.

Hozza létre a fiókot alacsony helyi fiókként a Microsoft SQL Servert futtató számítógépen.

Fontos

• Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz.
• Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy a Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

Csoportos küldésű kapcsolatfiók

A csoportos küldésre képes terjesztési pontok a csoportos küldésű kapcsolatfiók használatával olvassák be az információkat a helyadatbázisból. A kiszolgáló alapértelmezés szerint a számítógépfiókját használja, de ehelyett konfigurálhat egy felhasználói fiókot. Ha a helyadatbázis nem megbízható erdőben található, meg kell adnia egy felhasználói fiókot. Ha például az adatközpont szegélyhálózata nem a helykiszolgáló és a helyadatbázis, akkor ezzel a fiókkal olvassa be a csoportos küldési információkat a helyadatbázisból.

Ha szüksége van erre a fiókra, hozza létre alacsony szintű helyi fiókként a Microsoft SQL Servert futtató számítógépen.

Fontos

Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz.

További információ: Csoportos küldés használata a Windows hálózaton keresztüli üzembe helyezéséhez.

Hálózati hozzáférési fiók

Az ügyfélszámítógépek akkor használják a hálózati hozzáférési fiókot , ha a helyi számítógépfiókjukkal nem férnek hozzá a terjesztési pontokon lévő tartalmakhoz. Ez többnyire a nem megbízható tartományokból származó munkacsoport-ügyfelekre és számítógépekre vonatkozik. Ez a fiók az operációs rendszer telepítésekor is használatos, ha az operációs rendszert telepítő számítógépnek még nincs számítógépfiókja a tartományban.

Fontos

A hálózati hozzáférési fiók soha nem használatos biztonsági környezetként programok futtatásához, szoftverfrissítések telepítéséhez vagy feladatütemezések futtatásához. Csak a hálózaton lévő erőforrások eléréséhez használható.

A Configuration Manager-ügyfél először a számítógépfiókjával próbálja letölteni a tartalmat. Ha nem sikerül, automatikusan megpróbálja a hálózati hozzáférési fiókot.

Ha HTTPS-hez vagy Továbbfejlesztett HTTP-hez konfigurálja a webhelyet, egy munkacsoport vagy a Microsoft Entra-hoz csatlakoztatott ügyfél biztonságosan hozzáférhet a terjesztési pontokról származó tartalmakhoz anélkül, hogy hálózati hozzáférési fiókra volna szükség. Ez a viselkedés magában foglalja az operációs rendszer központi telepítési forgatókönyveit, amikor a feladatütemezés rendszerindító adathordozóról, PXE-ből vagy a Szoftverközpontból fut. További információ: Ügyfél és felügyeleti pont közötti kommunikáció.

Megjegyzés:

Ha úgy engedélyezi a bővített HTTP-t , hogy ne igényeljen hálózati hozzáférési fiókot, a terjesztési pontoknak a Windows Server vagy a Windows 10/11 jelenleg támogatott verzióit kell futtatniuk.

A hálózati hozzáférési fiók engedélyei

Adja meg ennek a fióknak a minimálisan megfelelő engedélyeket ahhoz a tartalomhoz, amelyhez az ügyfélnek szüksége van a szoftver eléréséhez. A fióknak rendelkeznie kell az Access this computer from the network from the distribution point (Hozzáférés a számítógéphez a hálózatról ) beállítással közvetlenül a terjesztési ponton. Helyekenként legfeljebb 10 hálózati hozzáférési fiókot konfigurálhat.

Hozzon létre egy fiókot bármely tartományban, amely biztosítja a szükséges hozzáférést az erőforrásokhoz. A hálózati hozzáférési fióknak mindig tartalmaznia kell egy tartománynevet. Ez a fiók nem támogatja az átmenő biztonságot. Ha több tartományban is vannak terjesztési pontok, hozza létre a fiókot egy megbízható tartományban.

Tipp

A fiókzárolások elkerülése érdekében ne módosítsa a jelszót egy meglévő hálózati hozzáférési fiókon. Ehelyett hozzon létre egy új fiókot, és állítsa be az új fiókot a Configuration Managerben. Ha elegendő idő telt el ahhoz, hogy minden ügyfél megkapja az új fiókadatokat, távolítsa el a régi fiókot a hálózati megosztott mappákból, és törölje a fiókot.

Fontos

Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz.

Ne adjon jogosultságot a fióknak a számítógépek tartományhoz való csatlakoztatásához. Ha a feladatütemezés során számítógépeket kell csatlakoztatnia a tartományhoz, használja a Feladatütemezés tartományhoz való csatlakozás fiókot.

A hálózati hozzáférési fiók konfigurálása

1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot . Ezután válassza ki a webhelyet.

2. A menüszalag Beállítások csoportjában válassza a Helyösszetevők konfigurálása, majd a Szoftverterjesztés lehetőséget.

3. Válassza a Hálózatelérési fiók lapot. Állítson be egy vagy több fiókot, majd kattintson az OK gombra.

A hálózati hozzáférési fiókot igénylő műveletek

A hálózati hozzáférési fiók továbbra is szükséges a következő műveletekhez (beleértve az eHTTP & PKI-forgatókönyveket):

• Csoportcímes. További információ: Csoportos küldés használata a Windows hálózaton keresztüli üzembe helyezéséhez.

• Feladatütemezési központi telepítési lehetőség, a tartalom elérése közvetlenül egy terjesztési pontról, ha a futó feladatütemezésnek szüksége van rájuk. További információ: Feladatütemezés üzembehelyezési lehetőségei.

• Alkalmazza az Operációs rendszer lemezképe feladatütemezési lépés beállítását a tartalom elérésére közvetlenül a terjesztési pontról. Ez a lehetőség elsősorban olyan Windows Embedded-forgatókönyvekhez használható, ahol kevés a lemezterület, és a tartalom helyi lemezre való gyorsítótárazása költséges. További információ: Tartalom elérése közvetlenül a terjesztési pontról.

• Ha egy csomag HTTP/HTTPS használatával történő letöltése sikertelen egy terjesztési pontról, akkor képes visszatérni a csomag SMB használatával való letöltéséhez a terjesztési ponton található csomagmegosztásból. A csomag SMB használatával való letöltéséhez a terjesztési ponton lévő csomagmegosztásból a hálózati hozzáférési fiók használatára van szükség. Ez a visszaeső viselkedés csak akkor fordul elő, ha a csomag tulajdonságainak Adathozzáférés lapján engedélyezve van a Csomag tartalmának másolása csomagmegosztásba a terjesztési pontokon beállítás. A viselkedés megőrzéséhez győződjön meg arról, hogy a hálózati hozzáférési fiók nincs letiltva vagy eltávolítva. Ha ez a viselkedés már nem megfelelő, győződjön meg arról, hogy a Csomag tartalmának másolása csomagmegosztásba a terjesztési pontokon beállítás nincs engedélyezve egyetlen csomagon sem.

• Állapottároló kérése feladatütemezési lépés. Ha a feladatütemezés nem tud kommunikálni az állapotmigrálási ponttal az eszköz számítógépfiókjával, akkor a hálózati hozzáférési fiókra kerül vissza. További információ: Állapottároló kérése.

• A Feladatütemezés tulajdonságainak beállítása először egy másik program futtatása értékre. Ez a beállítás a feladatütemezés megkezdése előtt futtat egy csomagot és egy programot egy hálózati megosztásból. További információ: Feladatütemezések tulajdonságai: Speciális lap.

• Az ügyfelek nem megbízható tartományokban és erdők közötti forgatókönyvekben való kezelése lehetővé teszi több hálózati hozzáférési fiók használatát.

Csomaghozzáférés-fiók

A csomaghozzáférési fiók lehetővé teszi, hogy NTFS-engedélyeket állítson be azon felhasználók és felhasználói csoportok megadásához, amelyek hozzáférhetnek a terjesztési pontok csomagtartalmaihoz. Alapértelmezés szerint a Configuration Manager csak az általános felhasználói és rendszergazdai hozzáférési fiókokhoz biztosít hozzáférést. Az ügyfélszámítógépekhez való hozzáférést más Windows-fiókok vagy -csoportok használatával szabályozhatja. A mobileszközök mindig névtelenül kérik le a csomag tartalmát, így nem használnak csomaghozzáférés-fiókot.

Alapértelmezés szerint amikor a Configuration Manager átmásolja a tartalomfájlokat egy terjesztési pontra, olvasási hozzáférést biztosít a helyi Felhasználók csoporthoz, a Teljes hozzáférés pedig a helyi Rendszergazdák csoporthoz. A szükséges tényleges engedélyek a csomagtól függenek. Ha munkacsoportokban vagy nem megbízható erdőkben lévő ügyfelekkel rendelkezik, ezek az ügyfelek a hálózatelérési fiókot használják a csomag tartalmának eléréséhez. Győződjön meg arról, hogy a hálózatelérési fiók rendelkezik a csomagra vonatkozó engedélyekkel a megadott csomaghozzáférés-fiókok használatával.

Használjon olyan tartománybeli fiókokat, amelyek hozzáférhetnek a terjesztési pontokhoz. Ha a csomag létrehozása után hozza létre vagy módosítja a fiókot, újra kell terjesztenie a csomagot. A csomag frissítése nem módosítja a csomag NTFS-engedélyeit.

Nem kell csomaghozzáférés-fiókként hozzáadnia a hálózati hozzáférési fiókot, mert a Felhasználók csoport tagsága automatikusan hozzáadja azt. Ha a csomaghozzáférési fiókot csak a hálózati hozzáférési fiókra korlátozza, az nem akadályozza meg, hogy az ügyfelek hozzáférjenek a csomaghoz.

Csomaghozzáférés-fiókok kezelése

1. A Configuration Manager konzolon lépjen a Szoftverkönyvtár munkaterületre.

2. A Szoftverkönyvtár munkaterületen határozza meg, hogy milyen típusú tartalommal szeretné kezelni a hozzáférési fiókokat, és kövesse a megadott lépéseket:

   • Alkalmazás: Bontsa ki az Alkalmazáskezelés elemet, válassza az Alkalmazások elemet, majd válassza ki azt az alkalmazást, amelynek a hozzáférési fiókjait kezelni szeretné.

   • Csomag: Bontsa ki az Alkalmazáskezelés elemet, válassza a Csomagok elemet, majd válassza ki azt a csomagot, amelynek a hozzáférési fiókjait kezelni szeretné.

   • Szoftverfrissítések központi telepítési csomagja: Bontsa ki a Szoftverfrissítések elemet, válassza a Központi telepítési csomagok elemet, majd válassza ki azt a központi telepítési csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

   • Illesztőprogram-csomag: Bontsa ki az Operációs rendszerek csomópontot, válassza az Illesztőprogram-csomagok elemet, majd válassza ki azt az illesztőprogram-csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

   • Operációsrendszer-lemezkép: Bontsa ki az Operációs rendszerek elemet, válassza az Operációsrendszer-lemezképek elemet, majd válassza ki azt az operációsrendszer-lemezképet, amelyhez a hozzáférési fiókokat kezelni szeretné.

   • Operációsrendszer-frissítési csomag: Bontsa ki az Operációs rendszerek elemet, válassza az Operációsrendszer-frissítési csomagok lehetőséget, majd válassza ki azt az operációsrendszer-frissítési csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

   • Rendszerindító lemezkép: Bontsa ki az Operációs rendszerek elemet, válassza a Rendszerindító lemezképek elemet, majd válassza ki azt a rendszerindító lemezképet, amelyhez a hozzáférési fiókokat kezelni szeretné.

3. Kattintson a jobb gombbal a kijelölt objektumra, majd válassza a Hozzáférési fiókok kezelése parancsot.

4. A Fiók hozzáadása párbeszédpanelen adja meg azt a fióktípust, amely hozzáférést kap a tartalomhoz, majd adja meg a fiókhoz társított hozzáférési jogosultságokat.

   Megjegyzés:

   Amikor hozzáad egy felhasználónevet a fiókhoz, és a Configuration Manager megkeres egy helyi és egy tartományi felhasználói fiókot is ezzel a névvel, a Configuration Manager beállítja a tartományi felhasználói fiók hozzáférési jogosultságát.

Jelentéskészítési szolgáltatási pont fiókja

Az SQL Server Reporting Services a Reporting Services pontfiókját használja a Configuration Manager-jelentések adatainak lekéréséhez a helyadatbázisból. A megadott Windows-felhasználói fiók és jelszó titkosítva van, és az SQL Server Reporting Services adatbázisában van tárolva.

Megjegyzés:

A megadott fióknak Helyi bejelentkezés engedéllyel kell rendelkeznie az SQL Server Reporting Services-adatbázist üzemeltető számítógépen.

A fiók automatikusan megkapja az összes szükséges jogosultságot, ha hozzáadja a smsschm_users SQL Server-adatbázis szerepköréhez a Configuration Manager-adatbázisban.

További információ: Bevezetés a jelentéskészítésbe.

Távoli eszközök engedélyezett megjelenítői fiókjai

A távvezérlés engedélyezett megtekintőiként megadott fiókok azon felhasználók listája, akik használhatják a távoli eszközök funkcióit az ügyfeleken.

További információ: Bevezetés a távvezérlésbe.

Helytelepítési fiók

Tartományi felhasználói fiókkal jelentkezzen be arra a kiszolgálóra, amelyen a Configuration Manager telepítőjét futtatja, és telepítsen egy új helyet.

Ehhez a fiókhoz a következő jogosultságok szükségesek:

• Rendszergazda a következő kiszolgálókon:

  • A helykiszolgáló
  • A helyadatbázist üzemeltető összes kiszolgáló
  • A hely SMS-szolgáltatójának minden példánya

• Sysadmin a helyadatbázist üzemeltető SQL Server-példányon

A Configuration Manager telepítője automatikusan hozzáadja ezt a fiókot az SMS-rendszergazdák csoporthoz.

A telepítés után ez a fiók az egyetlen, amely jogosult a Configuration Manager-konzolra. Ha el kell távolítania ezt a fiókot, először adja hozzá a jogosultságait egy másik felhasználóhoz.

Ha egy különálló hely központi adminisztrációs helyet is magában foglal, ehhez a fiókhoz teljes körű rendszergazdai vagy infrastruktúra-rendszergazdai szerepköralapú rendszergazdai jogosultság szükséges az önálló elsődleges helyen.

Helyrendszer-telepítési fiók

A helykiszolgáló a helyrendszer-telepítési fiókot használja a helyrendszerek telepítéséhez, újratelepítéséhez, eltávolításához és beállításához. Ha úgy állítja be a helyrendszert, hogy a helykiszolgálónak kapcsolatot kell kezdeményeznie ezzel a helyrendszerrel, a Configuration Manager ezt a fiókot használja arra is, hogy adatokat kérjen le a helyrendszerből, miután telepítette a helyrendszert és a szerepköröket. Minden helyrendszernek lehet más telepítési fiókja, de csak egy telepítési fiókot állíthat be az adott helyrendszer összes szerepkörének kezelésére.

Ehhez a fiókhoz helyi rendszergazdai engedélyek szükségesek a célhelyrendszereken. Emellett ennek a fióknak hozzáféréssel kell rendelkeznie a számítógéphez a hálózatról a célhelyrendszerek biztonsági házirendjében.

Fontos

Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy a Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

Tipp

Ha sok tartományvezérlővel rendelkezik, és ezeket a fiókokat több tartomány használja, a helyrendszer beállítása előtt ellenőrizze, hogy az Active Directory replikálta-e ezeket a fiókokat.

Ha minden felügyelni kívánt helyrendszerben helyi fiókot ad meg, ez a konfiguráció biztonságosabb, mint a tartományi fiókok használata. Korlátozza a támadók által a fiók feltörése esetén okozott károkat. A tartományi fiókok azonban könnyebben kezelhetők. Vegye figyelembe a biztonság és a hatékony felügyelet közötti kompromisszumot.

Helyrendszerproxy-kiszolgálófiók

A következő helyrendszerszerepkörök a helyrendszerproxy-kiszolgáló fiókjával férnek hozzá az internethez egy hitelesített hozzáférést igénylő proxykiszolgálón vagy tűzfalon keresztül:

• Eszközintelligencia szinkronizálási pontja
• Exchange Server-összekötő
• Szolgáltatáskapcsolódási pont
• Szoftverfrissítési pont

Fontos

Adjon meg egy fiókot, amely a lehető legkevesebb engedéllyel rendelkezik a szükséges proxykiszolgálóhoz vagy tűzfalhoz.

További információ: Proxykiszolgálók támogatása.

SMTP-kiszolgáló kapcsolati fiókja

A helykiszolgáló az SMTP-kiszolgáló kapcsolati fiókjával küld e-mail-riasztásokat, ha az SMTP-kiszolgáló hitelesített hozzáférést igényel.

Fontos

Adjon meg egy fiókot, amely a lehető legkevesebb engedéllyel rendelkezik az e-mailek küldéséhez.

További információ: Riasztások konfigurálása.

Szoftverfrissítési pont csatlakozási fiókja

A helykiszolgáló a Szoftverfrissítési pont kapcsolatfiókot használja a következő két szoftverfrissítési szolgáltatáshoz:

• A Windows Server Update Services (WSUS), amely olyan beállításokat állít be, mint a termékdefiníciók, a besorolások és a felsőbb rétegbeli beállítások.

• WSUS Synchronization Manager, amely szinkronizálást kér egy felsőbb rétegbeli WSUS-kiszolgálóhoz vagy a Microsoft Update-hez.

A helyrendszer-telepítési fiók telepíthet szoftverfrissítések összetevőit, de nem képes szoftverfrissítés-specifikus funkciókat végrehajtani a szoftverfrissítési ponton. Ha nem tudja használni a helykiszolgáló számítógépfiókját ehhez a funkcióhoz, mert a szoftverfrissítési pont nem megbízható erdőben található, ezt a fiókot a helyrendszer telepítési fiókjával együtt kell megadnia.

Ennek a fióknak helyi rendszergazdának kell lennie azon a számítógépen, amelyen a WSUS-t telepíti. Emellett a helyi WSUS-rendszergazdák csoport tagjának kell lennie.

További információ: Szoftverfrissítések tervezése.

Forráswebhelyfiók

A migrálási folyamat a Forráshely fiók használatával éri el a forráshely SMS-szolgáltatóját. Ehhez a fiókhoz olvasási engedély szükséges a forráshelyen lévő helyobjektumokhoz az áttelepítési feladatok adatainak gyűjtéséhez.

Ha a Configuration Manager 2007 terjesztési pontjaival vagy a megosztott terjesztési pontokkal rendelkező másodlagos helyekkel rendelkezik, a Configuration Manager (aktuális ág) terjesztési pontjaira való frissítéskor ennek a fióknak törlési engedélyekkel kell rendelkeznie a Hely osztályhoz is. Ezzel az engedéllyel sikeresen eltávolíthatja a terjesztési pontot a Configuration Manager 2007 webhelyről a frissítés során.

Megjegyzés:

A rendszer a forráshelyfiókot és a forráshely-adatbázisfiókot is Migration Managerként azonosítja a Configuration Manager konzol Adminisztráció munkaterületének Fiókok csomópontjában.

További információ: Adatok migrálása hierarchiák között.

Forráshely adatbázisfiókja

Az áttelepítési folyamat a forráshely adatbázisfiókjának használatával éri el a forráshely SQL Server-adatbázisát. Ha adatokat szeretne gyűjteni a forráshely SQL Server-adatbázisából, a forráshely adatbázisfiókjának olvasási és végrehajtási engedélyekkel kell rendelkeznie a forráshely SQL Server-adatbázisához.

Ha a Configuration Manager (aktuális ág) számítógépfiókot használja, győződjön meg arról, hogy az alábbiak mindegyike igaz erre a fiókra:

• Tagja az Elosztott COM-felhasználók biztonsági csoportnak ugyanabban a tartományban, mint a Configuration Manager 2012 webhely.
• Tagja az SMS-rendszergazdák biztonsági csoportnak .
• Olvasási engedéllyel rendelkezik az összes Configuration Manager 2012-objektumhoz.

Megjegyzés:

A rendszer a forráshelyfiókot és a forráshely-adatbázisfiókot is Migration Managerként azonosítja a Configuration Manager konzol Adminisztráció munkaterületének Fiókok csomópontjában.

További információ: Adatok migrálása hierarchiák között.

Feladatütemezési tartományhoz csatlakoztatott fiók

A Windows telepítő a Feladatütemezési tartományhoz való csatlakozás fiókot használja egy újonnan rendszerképezett számítógép tartományhoz való csatlakoztatásához. Erre a fiókra a Csatlakozás tartományhoz vagy munkacsoporthoz feladatütemezési lépésnél van szükség a Tartományhoz csatlakoztatása beállítással. Ez a fiók a Hálózati beállítások alkalmazása lépéssel is beállítható, de nem szükséges.

Ehhez a fiókhoz a Tartományhoz való csatlakozás jogosultság szükséges a céltartományban.

Tipp

Hozzon létre egy tartományi felhasználói fiókot minimális engedélyekkel a tartományhoz való csatlakozáshoz, és használja azt az összes feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Feladatütemezési hálózati mappa kapcsolatfiókja

A feladatütemezési motor a Feladatütemezés hálózati mappakapcsolati fiókját használja a hálózaton lévő megosztott mappához való csatlakozáshoz. Erre a fiókra a Csatlakozás hálózati mappához feladatütemezési lépésben van szükség.

A fióknak engedélyekre van szüksége a megadott megosztott mappa eléréséhez. Tartományi felhasználói fióknak kell lennie.

Tipp

Hozzon létre egy tartományi felhasználói fiókot minimális engedélyekkel a szükséges hálózati erőforrások eléréséhez, és használja azt az összes feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Feladatütemezés futtatása fiókként

A feladatütemezési motor a Feladatütemezés futtatása fiókként használatával futtatja a parancssorokat vagy a PowerShell-szkripteket a helyi rendszerfióktól eltérő hitelesítő adatokkal. Erre a fiókra a Parancssor futtatása és a PowerShell-szkript futtatása feladatütemezési lépésekben van szükség. Ehhez válassza a Következő fiókként futtassa ezt a lépést lehetőséget.

Állítsa be a fiókot úgy, hogy rendelkezzen a feladatütemezésben megadott parancssor futtatásához szükséges minimális engedélyekkel. A fiókhoz interaktív bejelentkezési jogosultságok szükségesek. Általában szükség van a szoftverek telepítésére és a hálózati erőforrások elérésére. A PowerShell-szkript futtatása feladathoz ehhez a fiókhoz helyi rendszergazdai engedélyek szükségesek.

Fontos

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Soha ne legyen a fiók tartományi rendszergazda.

Soha ne állítson be roamingprofilokat ehhez a fiókhoz. A feladatütemezés futtatásakor letölti a fiók központi profilját. Ez sebezhetővé teszi a profilt a helyi számítógépen való hozzáféréssel szemben.

Korlátozza a fiók hatókörét. Létrehozhat például különböző feladatütemezéseket, amelyek fiókként futnak az egyes feladatütemezésekhez. Ezután, ha egy fiók biztonsága sérül, csak azokat az ügyfélszámítógépeket veszélyeztetik, amelyekhez az adott fiók hozzáféréssel rendelkezik.

Ha a parancssor rendszergazdai hozzáférést igényel a számítógépen, fontolja meg egy helyi rendszergazdai fiók létrehozását kizárólag ehhez a fiókhoz a feladatütemezést futtató összes számítógépen. Ha már nincs rá szüksége, törölje a fiókot.

A Configuration Manager által az SQL Serverben használt felhasználói objektumok

A Configuration Manager automatikusan létrehozza és karbantartja a következő felhasználói objektumokat az SQL-ben. Ezek az objektumok a Configuration Manager-adatbázisban, a Biztonság/felhasználók területen találhatók.

Fontos

Ezeknek az objektumoknak a módosítása vagy eltávolítása drasztikus problémákat okozhat a Configuration Manager-környezetben. Javasoljuk, hogy ne módosítsa ezeket az objektumokat.

smsdbuser_ReadOnly

Ez az objektum a lekérdezések írásvédett környezetben való futtatására szolgál. Ez az objektum több tárolt eljárással is használható.

smsdbuser_ReadWrite

Ez az objektum a dinamikus SQL-utasítások engedélyeinek megadására szolgál.

smsdbuser_ReportSchema

Ez az objektum sql serveres jelentéskészítési végrehajtások futtatására szolgál. A függvény a következő tárolt eljárást használja: spSRExecQuery.

A Configuration Manager által az SQL-ben használt adatbázis-szerepkörök

A Configuration Manager automatikusan létrehozza és karbantartja a következő szerepkör-objektumokat az SQL-ben. Ezek a szerepkörök adott tárolt eljárásokhoz, táblákhoz, nézetekhez és függvényekhez biztosítanak hozzáférést. Ezek a szerepkörök lekérnek vagy hozzáadnak adatokat a Configuration Manager-adatbázishoz. Ezek az objektumok a Configuration Manager-adatbázisban, a Biztonság/Szerepkörök/Adatbázis-szerepkörök területen találhatók.

Fontos

Ezeknek az objektumoknak a módosítása vagy eltávolítása drasztikus problémákat okozhat a Configuration Manager-környezetben. Ne módosítsa ezeket az objektumokat. Az alábbi lista csak tájékoztatási célokra szolgál.

smsdbrole_AITool

A Configuration Manager a szerepköralapú hozzáférésen alapuló rendszergazdai felhasználói fiókoknak engedélyezi ezt az engedélyt az eszközintelligencia mennyiségi licencadatainak importálásához. Ezt a fiókot teljes körű rendszergazda, műveleti rendszergazda vagy eszközkezelői szerepkör, illetve "Eszközintelligencia kezelése" engedéllyel rendelkező szerepkör is hozzáadhatja.

smsdbrole_AIUS

A Configuration Manager hozzáférést biztosít az Eszközintelligencia szinkronizálási pontját futtató számítógépfióknak az Eszközintelligencia proxyadatainak lekéréséhez és a függőben lévő AI-adatok feltöltéséhez.

smsdbrole_CRP

A Configuration Manager engedélyt ad annak a helyrendszernek a számítógépfiókjára, amely támogatja a tanúsítványregisztrációs pontot a tanúsítvány-aláírás és -megújítás SCEP-támogatásához.

smsdbrole_CRPPfx

A Configuration Manager engedélyt ad annak a helyrendszernek a számítógépfiókjára, amely támogatja a PFX-támogatáshoz konfigurált tanúsítványregisztrációs pontot az aláíráshoz és a megújításhoz.

smsdbrole_DMP

A Configuration Manager engedélyezi ezt az engedélyt egy olyan felügyeleti pont számítógépfiókjának, amelynél engedélyezve van a mobileszközök és Mac számítógépek számára a felügyeleti pont használatának engedélyezése, amely az MDM-ben regisztrált eszközök támogatásának lehetőségét biztosítja.

smsdbrole_DmpConnector

A Configuration Manager ezt az engedélyt a szolgáltatáskapcsolódási pontot üzemeltető számítógépfióknak adja meg a diagnosztikai adatok lekéréséhez és biztosításához, a felhőszolgáltatások kezeléséhez és a szolgáltatásfrissítések lekéréséhez.

smsdbrole_DViewAccess

A Configuration Manager megadja ezt az engedélyt a CAS elsődleges helykiszolgálóinak számítógépfiókjának, ha az SQL Server elosztott nézetei lehetőség ki van választva a replikációs hivatkozás tulajdonságai között.

smsdbrole_DWSS

A Configuration Manager ezt az engedélyt az adattárházi szerepkört futtató számítógépfióknak adja.

smsdbrole_EnrollSvr

A Configuration Manager megadja ezt az engedélyt annak a számítógépfióknak, amely a regisztrációs pontot üzemelteti, hogy engedélyezze az MDM-en keresztüli eszközregisztrációt.

smsdbrole_extract

Hozzáférést biztosít az összes kiterjesztett sémanézethez.

smsdbrole_HMSUser

A hierarchiakezelő szolgáltatáshoz. A Configuration Manager engedélyeket ad a fióknak a feladatátvételi állapotüzenetek és a hierarchián belüli helyek közötti SQL Server Broker-tranzakciók kezeléséhez.

Megjegyzés:

A smdbrole_WebPortal szerepkör alapértelmezés szerint ennek a szerepkörnek a tagja.

smsdbrole_MCS

A Configuration Manager megadja ezt az engedélyt a csoportos küldést támogató terjesztési pont számítógépfiókjának.

smsdbrole_MP

A Configuration Manager ezt az engedélyt a felügyeleti pont szerepkört futtató számítógépfióknak adja meg, hogy támogatást nyújtson a Configuration Manager-ügyfelek számára.

smsdbrole_MPMBAM

A Configuration Manager megadja ezt az engedélyt annak a számítógépfióknak, amely a BitLockert egy környezetben kezelő felügyeleti pontot üzemelteti.

smsdbrole_MPUserSvc

A Configuration Manager megadja ezt az engedélyt annak a számítógépfióknak, amely a felügyeleti pontot üzemelteti a felhasználóalapú alkalmazáskérések támogatásához.

smsdbrole_siteprovider

A Configuration Manager ezt az engedélyt az SMS-szolgáltatói szerepkört futtató számítógépfióknak adja meg.

smsdbrole_siteserver

A Configuration Manager ezt az engedélyt az elsődleges helyet vagy CAS-t üzemeltető számítógépfióknak adja meg.

smsdbrole_SUP

A Configuration Manager megadja ezt az engedélyt annak a számítógépfióknak, amely a szoftverfrissítési pontot üzemelteti a külső frissítések használatához.

smsschm_users

A Configuration Manager hozzáférést biztosít a jelentéskészítési szolgáltatási pont fiókjához használt fiókhoz, hogy a Configuration Manager jelentéskészítési adatainak megjelenítéséhez hozzáférhessen az SMS-jelentéskészítési nézetekhez. Az adatok további korlátozásra kerülnek a szerepköralapú hozzáférés használatával.

Emelt szintű engedélyek

A Configuration Manager megköveteli, hogy egyes fiókok emelt szintű engedélyekkel rendelkezzenek a folyamatban lévő műveletekhez. Lásd például az elsődleges hely telepítésének előfeltételeit. Az alábbi lista összefoglalja ezeket az engedélyeket és azok okait.

• Az elsődleges helykiszolgáló és a központi adminisztrációs helykiszolgáló számítógépfiókjának a következőre van szüksége:

  • Helyi rendszergazdai jogosultságok az összes helyrendszer-kiszolgálón. Ez az engedély a rendszerszolgáltatások kezeléséhez, telepítéséhez és eltávolításához szükséges. A helykiszolgáló a helyrendszer helyi csoportjait is frissíti a szerepkörök hozzáadásakor vagy eltávolításakor.

  • Rendszergazdai hozzáférés a helyadatbázis SQL Server-példányához. Ez az engedély a hely SQL Serverének konfigurálására és kezelésére szolgál. A Configuration Manager szorosan integrálható az SQL-sel, ez nem csak egy adatbázis.

• A Teljes rendszergazda szerepkörben lévő felhasználói fiókokhoz a következőre van szükség:

  • Helyi rendszergazdai jogosultságok az összes helykiszolgálón. Ez az engedély a rendszerszolgáltatások, a beállításkulcsok és -értékek, valamint a WMI-objektumok megtekintésére, szerkesztésére, eltávolítására és telepítésére használható.

  • Rendszergazdai hozzáférés a helyadatbázis SQL Server-példányához. Ezzel az engedéllyel telepítheti és frissítheti az adatbázist a telepítés vagy helyreállítás során. Az SQL Server karbantartásához és működéséhez is szükséges. Például a statisztikák újraindexelése és frissítése.

    Megjegyzés:

    Egyes szervezetek dönthetnek úgy, hogy eltávolítják a rendszergazdai hozzáférést, és csak akkor adnak hozzáférést, ha szükség van rá. Ezt a viselkedést néha "igény szerinti (JIT) hozzáférésnek is nevezik." Ebben az esetben a Teljes rendszergazda szerepkörrel rendelkező felhasználóknak továbbra is hozzáféréssel kell rendelkezniük a Configuration Manager-adatbázis tárolt eljárásainak olvasásához, frissítéséhez és végrehajtásához. Ezekkel az engedélyekkel teljes rendszergazdai hozzáférés nélkül háríthatják el a legtöbb problémát.