Megosztás a következőn keresztül:


A Configuration Manager használt fiókok

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az alábbi információk segítségével azonosíthatja a Configuration Manager használt Windows-csoportokat, fiókokat és SQL Server objektumokat, azok használati módját és a követelményeket.

Fontos

Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

A Configuration Manager által létrehozott és használt Windows-csoportok

Configuration Manager automatikusan létrehozza és sok esetben automatikusan karbantartja a következő Windows-csoportokat:

Megjegyzés:

Amikor Configuration Manager létrehoz egy csoportot egy tartományhoz tartozó számítógépen, a csoport helyi biztonsági csoport. Ha a számítógép tartományvezérlő, akkor a csoport egy tartományi helyi csoport. Ez a csoporttípus a tartomány összes tartományvezérlője között meg van osztva.

Konfigurációs Manager_CollectedFilesAccess

Configuration Manager ezzel a csoporttal biztosít hozzáférést a szoftverleltár által gyűjtött fájlok megtekintéséhez.

További információ: A szoftverleltár bemutatása.

A CollectedFilesAccess típusa és helye

Ez a csoport az elsődleges helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

A CollectedFilesAccess tagsága

Configuration Manager automatikusan kezeli a csoporttagságokat. A tagság magában foglalja azokat a rendszergazda felhasználókat, amelyek egy hozzárendelt biztonsági szerepkörből megkapják a Gyűjtemény biztonságos objektumához a Gyűjtött fájlok megtekintése engedélyt.

A CollectedFilesAccess engedélyei

Alapértelmezés szerint ez a csoport olvasási engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Konfigurációs Manager_DViewAccess

Ez a csoport egy helyi biztonsági csoport, amelyet Configuration Manager a gyermek elsődleges hely helyadatbázis-kiszolgálóján vagy adatbázisreplika-kiszolgálóján hoz létre. A hely akkor hozza létre, ha elosztott nézeteket használ az adatbázis-replikációhoz egy hierarchiában lévő helyek között. Tartalmazza a központi adminisztrációs hely helykiszolgálóját és SQL Server számítógépfiókját.

További információ: Helyek közötti adatátvitel.

távvezérlési felhasználók Configuration Manager

Configuration Manager távoli eszközök ezt a csoportot használják az Engedélyezett megtekintők listában beállított fiókok és csoportok tárolására. A webhely minden ügyfélhez hozzárendeli ezt a listát.

További információ: Bevezetés a távvezérlésbe.

A távvezérlés felhasználóinak típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely akkor jön létre az Configuration Manager-ügyfélen, amikor az ügyfél olyan házirendet kap, amely engedélyezi a távoli eszközöket.

Miután letiltott egy ügyfél távoli eszközeit, a csoport nem lesz automatikusan eltávolítva. Törölje manuálisan a távoli eszközök letiltása után.

Tagság távvezérlési felhasználók számára

Alapértelmezés szerint nincsenek tagok ebben a csoportban. Amikor hozzáadja a felhasználókat az Engedélyezett megtekintők listához, a rendszer automatikusan hozzáadja őket ehhez a csoporthoz.

Az Engedélyezett megtekintők listával kezelheti a csoport tagságát ahelyett, hogy közvetlenül ehhez a csoporthoz ad hozzá felhasználókat vagy csoportokat.

Amellett, hogy engedélyezett megtekintő, a rendszergazda felhasználónak távvezérlési engedéllyel kell rendelkeznie a Gyűjtemény objektumhoz. Ezt az engedélyt a Távoli eszközök kezelője biztonsági szerepkörrel rendelheti hozzá.

Távvezérlési felhasználók engedélyei

Alapértelmezés szerint ez a csoport nem rendelkezik engedéllyel a számítógép egyetlen helyéhez sem. Csak az Engedélyezett megtekintők lista tárolására szolgál.

SMS-rendszergazdák

Configuration Manager ezzel a csoportkal biztosít hozzáférést az SMS-szolgáltatónak WMI-on keresztül. A Configuration Manager konzol objektumainak megtekintéséhez és módosításához hozzáférés szükséges az SMS-szolgáltatóhoz.

Megjegyzés:

A rendszergazda felhasználó szerepköralapú felügyeleti konfigurációja határozza meg, hogy mely objektumokat tekintheti meg és kezelheti a Configuration Manager-konzol használatakor.

További információ: Plan for the SMS Provider (Az SMS-szolgáltató megtervezése).

Sms-rendszergazdák típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely minden sms-szolgáltatóval rendelkező számítógépen létrejön.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság SMS-rendszergazdáknak

Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a hierarchia minden rendszergazda felhasználója és a helykiszolgáló számítógépfiókja a hely összes SMS-szolgáltatójának SMS-rendszergazdák csoportjának tagja.

ENGEDÉLYEK SMS-rendszergazdáknak

Az SMS-rendszergazdák csoport jogosultságait és engedélyeit a WMI-vezérlő MMC beépülő moduljában tekintheti meg. Alapértelmezés szerint ez a csoport a FIÓK engedélyezése és a Távoli engedélyezés lehetőséget kapja a Root\SMS WMI-névtérben. A hitelesített felhasználók végrehajtási metódusokkal, szolgáltatói írási és fiókengedélyekkel rendelkeznek.

Ha távoli Configuration Manager-konzolt használ, a távoli aktiválási DCOM-engedélyeket a helykiszolgáló számítógépén és az SMS-szolgáltatón is konfigurálja. Adja meg ezeket a jogokat az SMS-rendszergazdák csoportnak . Ez a művelet leegyszerűsíti a felügyeletet ahelyett, hogy közvetlenül a felhasználóknak vagy csoportoknak biztosítanák ezeket a jogokat. További információ: DCOM-engedélyek konfigurálása távoli Configuration Manager-konzolokhoz.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

A helykiszolgálótól távol lévő felügyeleti pontok ezt a csoportot használják a helyadatbázishoz való csatlakozáshoz. Ez a csoport felügyeleti pont hozzáférést biztosít a helykiszolgálón és a helyadatbázisban lévő beérkezett üzenetek mappáihoz.

A SMS_SiteSystemToSiteServerConnection_MP típusa és helye

Ez a csoport egy helyi biztonsági csoport, amely minden sms-szolgáltatóval rendelkező számítógépen létrejön.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a tagság magában foglalja azoknak a távoli számítógépeknek a számítógépfiókját, amelyek felügyeleti ponttal rendelkeznek a helyhez.

A SMS_SiteSystemToSiteServerConnection_MP engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes. Ez a csoport írási engedéllyel rendelkezik a beérkezett üzenetek alatti almappákhoz is, amelyekbe a felügyeleti pont ügyféladatokat ír.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

A távoli SMS-szolgáltató számítógépei ezt a csoportot használják a helykiszolgálóhoz való csatlakozáshoz.

A SMS_SiteSystemToSiteServerConnection_SMSProv típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager automatikusan kezeli a csoporttagságokat. A tagság alapértelmezés szerint egy számítógépfiókot vagy egy tartományi felhasználói fiókot tartalmaz. Ezzel a fiókkal csatlakozik a helykiszolgálóhoz minden egyes távoli SMS-szolgáltatóról.

A SMS_SiteSystemToSiteServerConnection_SMSProv engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes. Ez a csoport írási és módosítási engedélyekkel is rendelkezik a beérkezett üzenetek alatti almappákhoz. Az SMS-szolgáltatónak hozzá kell férnie ezekhez a mappákhoz.

Ez a csoport olvasási engedéllyel is rendelkezik az alábbi C:\Program Files\Microsoft Configuration Manager\OSD\Binhelykiszolgáló almappáihoz.

Emellett a következő engedélyekkel rendelkezik az alábbi C:\Program Files\Microsoft Configuration Manager\OSD\bootalmappákhoz:

  • Olvas
  • Olvasási & végrehajtása
  • Mappa tartalmának listázása
  • Ír
  • Módosít

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

A fájlküldés-kezelő összetevő Configuration Manager távoli helyrendszer-számítógépeken ezt a csoportot használja a helykiszolgálóhoz való csatlakozáshoz.

A SMS_SiteSystemToSiteServerConnection_Stat típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

Tagság a SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager automatikusan kezeli a csoporttagságokat. Alapértelmezés szerint a tagság magában foglalja a számítógépfiókot vagy a tartományi felhasználói fiókot. Ezzel a fiókkal csatlakozik a helykiszolgálóhoz minden olyan távoli helyrendszerből, amely a fájlküldés-kezelőt futtatja.

A SMS_SiteSystemToSiteServerConnection_Stat engedélyei

Alapértelmezés szerint ez a csoport olvasási, olvasási & végrehajtással és List folder contents engedéllyel rendelkezik a következő mappához és almappáihoz a helykiszolgálón: C:\Program Files\Microsoft Configuration Manager\inboxes.

Ez a csoport írási és módosítási engedélyekkel is rendelkezik a helykiszolgáló következő mappájára: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager ezt a csoportot használja a fájlalapú replikáció engedélyezéséhez a hierarchiában lévő helyek között. Minden olyan távoli hely esetében, amely közvetlenül továbbítja a fájlokat erre a helyre, ez a csoport fájlreplikációs fiókként beállított fiókokkal rendelkezik.

A SMS_SiteToSiteConnection típusa és helye

Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.

Tagság a SMS_SiteToSiteConnection

Amikor egy új helyet egy másik hely gyermekelemeként telepít, Configuration Manager automatikusan hozzáadja az új helykiszolgáló számítógépfiókját ehhez a csoporthoz a szülőhelykiszolgálón. Configuration Manager a szülőhely számítógépfiókját is hozzáadja a csoporthoz az új helykiszolgálón. Ha egy másik fiókot ad meg a fájlalapú átvitelekhez, adja hozzá a fiókot ehhez a csoporthoz a célhelykiszolgálón.

Webhely eltávolításakor a rendszer nem távolítja el automatikusan ezt a csoportot. A webhely eltávolítása után törölje manuálisan.

A SMS_SiteToSiteConnection engedélyei

Alapértelmezés szerint ez a csoport Teljes hozzáféréssel rendelkezik a következő mappához: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Az Configuration Manager által használt fiókok

A következő fiókokat állíthatja be Configuration Manager.

Tipp

Ne használja a jelszóban a százalékos karaktert (%) a Configuration Manager konzolon megadott fiókokhoz. A fiók hitelesítése sikertelen lesz.

Active Directory-csoportfelderítési fiók

A hely az Active Directory-csoportfelderítési fiók használatával deríti fel a következő objektumokat az Ön által megadott Active Directory tartományi szolgáltatások helyekről:

  • Helyi, globális és univerzális biztonsági csoportok.
  • A csoporton belüli tagság.
  • A terjesztési csoportokon belüli tagság.
    • A terjesztési csoportokat a rendszer nem csoporterőforrásként deríti fel.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-csoportfelderítés.

Active Directory rendszerfelderítési fiók

A hely az Active Directory rendszerfelderítési fiókjával felderíti a számítógépeket az Ön által megadott Active Directory tartományi szolgáltatások helyekről.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-rendszerfelderítés.

Active Directory-felhasználófelderítési fiók

A webhely az Active Directory felhasználófelderítési fiókjával felderíti a felhasználói fiókokat az Ön által megadott Active Directory tartományi szolgáltatások helyekről.

Ez a fiók lehet a felderítést futtató helykiszolgáló számítógépfiókja, vagy egy Windows-felhasználói fiók. Olvasási hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyekhez.

További információ: Active Directory-felhasználófelderítés.

Active Directory-erdőfiók

A hely az Active Directory-erdőfiók használatával deríti fel a hálózati infrastruktúrát az Active Directory-erdőkből. A központi adminisztrációs helyek és az elsődleges helyek azt is használják, hogy helyadatokat tegyenek közzé az erdő Active Directory tartományi szolgáltatások.

Megjegyzés:

A másodlagos helyek mindig a másodlagos helykiszolgáló számítógépfiókjának használatával teszik közzé az Active Directoryban.

A nem megbízható erdők felderítéséhez és közzétételéhez az Active Directory-erdőfióknak globális fióknak kell lennie. Ha nem a helykiszolgáló számítógépfiókját használja, csak egy globális fiókot választhat.

Ennek a fióknak olvasási engedélyekkel kell rendelkeznie minden olyan Active Directory-erdőhöz, ahol felderíteni szeretné a hálózati infrastruktúrát.

Ennek a fióknak Teljes hozzáférés engedéllyel kell rendelkeznie a Rendszerkezelés tárolóhoz és annak gyermekobjektumaihoz minden olyan Active Directory-erdőben, ahol közzé szeretné tenni a helyadatokat.

További információ: Az Active Directory előkészítése a webhely közzétételére.

További információ: Active Directory-erdőfelderítés.

Tanúsítványregisztrációs pont fiókja

Figyelmeztetés

A 2203-es verziótól kezdődően a tanúsítványregisztrációs pont már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

A tanúsítványregisztrációs pont a tanúsítványregisztrációs pont fiókját használja a Configuration Manager adatbázishoz való csatlakozáshoz. Alapértelmezés szerint a számítógépfiókját használja, de ehelyett felhasználói fiókot is konfigurálhat. Ha a tanúsítványregisztrációs pont a helykiszolgáló nem megbízható tartományában található, meg kell adnia egy felhasználói fiókot. Ez a fiók csak olvasási hozzáférést igényel a helyadatbázishoz, mert az állapotüzenet-rendszer kezeli az írási feladatokat.

További információ: A tanúsítványprofilok bemutatása.

Operációsrendszer-rendszerképfiók rögzítése

Operációsrendszer-lemezkép rögzítésekor Configuration Manager az operációs rendszer lemezképének rögzítése fiókot használja a rögzített képek tárolására szolgáló mappához való hozzáféréshez. Ha hozzáadja az operációs rendszer lemezképének rögzítése lépést egy feladatütemezéshez, erre a fiókra van szükség.

A fióknak olvasási és írási engedéllyel kell rendelkeznie azon a hálózati megosztáson, ahol a rögzített képeket tárolja.

Ha módosítja a windowsos fiók jelszavát, frissítse a feladatütemezést az új jelszóval. A Configuration Manager-ügyfél az új jelszót kapja meg, amikor legközelebb letölti az ügyfélházirendet.

Ha ezt a fiókot kell használnia, hozzon létre egy tartományi felhasználói fiókot. Adjon minimális engedélyeket a szükséges hálózati erőforrások eléréséhez, és használja az összes rögzítési feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

További információ: Feladatütemezés létrehozása operációs rendszer rögzítéséhez.

Ügyfél leküldéses telepítési fiókja

Amikor az ügyfélleküldéses telepítési módszerrel telepíti az ügyfeleket, a hely az ügyfélleküldéses telepítési fiókot használja a számítógépekhez való csatlakozáshoz és a Configuration Manager ügyfélszoftver telepítéséhez. Ha nem adja meg ezt a fiókot, a helykiszolgáló megpróbálja használni a számítógépfiókját.

Ennek a fióknak a helyi Rendszergazdák csoport tagjának kell lennie a cél ügyfélszámítógépeken. Ehhez a fiókhoz nincs szükség tartományi Rendszergazda jogosultságra.

Több ügyfél leküldéses telepítési fiókot is megadhat. Configuration Manager egyenként próbálkozik, amíg az egyik sikerrel nem jár.

Tipp

Ha nagy Active Directory-környezettel rendelkezik, és módosítania kell ezt a fiókot, az alábbi eljárással hatékonyabban koordinálhatja ezt a fiókfrissítést:

  1. Hozzon létre egy másik nevű új fiókot.
  2. Adja hozzá az új fiókot az ügyfél leküldéses telepítési fiókjainak listájához a Configuration Manager.
  3. Hagyjon elegendő időt Active Directory tartományi szolgáltatások az új fiók replikálására.
  4. Ezután távolítsa el a régi fiókot Configuration Manager és Active Directory tartományi szolgáltatások.

Fontos

A tartomány vagy a helyi csoportszabályzat használatával rendelje hozzá a Windows-felhasználót a Helyi bejelentkezés megtagadása jogosultsághoz. A Rendszergazdák csoport tagjaként ez a fiók jogosult helyileg bejelentkezni, amire nincs szükség. A nagyobb biztonság érdekében explicit módon tagadja meg a fiókhoz való jogot. A megtagadási jog felülírja az engedélyezési jogot.

További információ: Ügyfél leküldéses telepítése.

Regisztrációs pont kapcsolati fiókja

A regisztrációs pont a beléptetési pont kapcsolati fiókját használja a Configuration Manager helyadatbázishoz való csatlakozáshoz. Alapértelmezés szerint a számítógépfiókját használja, de ehelyett felhasználói fiókot is konfigurálhat. Ha a regisztrációs pont nem megbízható tartományban van a helykiszolgálóról, meg kell adnia egy felhasználói fiókot. Ehhez a fiókhoz olvasási és írási hozzáférés szükséges a helyadatbázishoz.

További információ: Helyrendszerszerepkörök telepítése helyszíni MDM-hez.

Exchange Server kapcsolatfiók

A helykiszolgáló a Exchange Server kapcsolatfiókot használja a megadott Exchange Server való csatlakozáshoz. Ezzel a kapcsolattal keresi meg és kezeli a Exchange Server csatlakozó mobileszközöket. Ehhez a fiókhoz Exchange PowerShell-parancsmagokra van szükség, amelyek biztosítják a szükséges engedélyeket a Exchange Server számítógéphez. A parancsmagokkal kapcsolatos további információkért lásd : Az Exchange-összekötő telepítése és konfigurálása.

Felügyeleti pont kapcsolati fiókja

A felügyeleti pont a felügyeleti pont kapcsolati fiókját használja a Configuration Manager helyadatbázishoz való csatlakozáshoz. Ezzel a kapcsolattal adatokat küld és kér le az ügyfelek számára. A felügyeleti pont alapértelmezés szerint a számítógépfiókját használja, de ehelyett konfigurálhat egy másik szolgáltatásfiókot. Ha a felügyeleti pont nem megbízható tartományban van a helykiszolgálóról, meg kell adnia egy másik szolgáltatásfiókot.

Megjegyzés:

A fokozott biztonsági helyzet érdekében a "Felügyeleti pont kapcsolatfiókja" beállításnál a számítógépfiók helyett alternatív szolgáltatásfiók használata javasolt.

Hozza létre a fiókot alacsony szintű szolgáltatásfiókként a Microsoft SQL Server futtató számítógépen.

Fontos

  • Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz.
  • Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

Csoportos küldésű kapcsolatfiók

A csoportos küldésre képes terjesztési pontok a csoportos küldésű kapcsolatfiók használatával olvassák be az információkat a helyadatbázisból. A kiszolgáló alapértelmezés szerint a számítógépfiókját használja, de ehelyett konfigurálhat egy szolgáltatásfiókot. Ha a helyadatbázis nem megbízható erdőben található, meg kell adnia egy szolgáltatásfiókot. Ha például az adatközpont szegélyhálózata nem a helykiszolgáló és a helyadatbázis, akkor ezzel a fiókkal olvassa be a csoportos küldési információkat a helyadatbázisból.

Ha szüksége van erre a fiókra, hozza létre alacsony szintű szolgáltatásfiókként a Microsoft SQL Server futtató számítógépen.

Megjegyzés:

A fokozott biztonsági helyzet érdekében javasoljuk, hogy a csoportos küldésű kapcsolati fiók számítógépfiókja helyett a szolgáltatásfiókot használja.

Fontos

Ne adjon interaktív bejelentkezési jogosultságokat ehhez a szolgáltatásfiókhoz.

További információ: Csoportos küldés használata a Windows hálózaton keresztüli üzembe helyezéséhez.

Hálózati hozzáférési fiók

Az ügyfélszámítógépek akkor használják a hálózati hozzáférési fiókot , ha a helyi számítógépfiókjukkal nem férnek hozzá a terjesztési pontokon lévő tartalmakhoz. Ez többnyire a nem megbízható tartományokból származó munkacsoport-ügyfelekre és számítógépekre vonatkozik. Ez a fiók az operációs rendszer telepítésekor is használatos, ha az operációs rendszert telepítő számítógépnek még nincs számítógépfiókja a tartományban.

Fontos

A hálózati hozzáférési fiók soha nem használatos biztonsági környezetként programok futtatásához, szoftverfrissítések telepítéséhez vagy feladatütemezések futtatásához. Csak a hálózaton lévő erőforrások eléréséhez használható.

A Configuration Manager-ügyfél először a számítógépfiókjával próbálja letölteni a tartalmat. Ha nem sikerül, automatikusan megpróbálja a hálózati hozzáférési fiókot.

Ha HTTPS-hez vagy továbbfejlesztett HTTP-hez konfigurálja a helyet, egy munkacsoport vagy Microsoft Entra csatlakoztatott ügyfél biztonságosan hozzáférhet a terjesztési pontokról származó tartalmakhoz anélkül, hogy hálózati hozzáférési fiókra volna szükség. Ez a viselkedés magában foglalja az operációs rendszer központi telepítési forgatókönyveit, amikor a feladatütemezés rendszerindító adathordozóról, PXE-ből vagy a Szoftverközpontból fut. További információ: Ügyfél és felügyeleti pont közötti kommunikáció.

Megjegyzés:

Ha úgy engedélyezi a bővített HTTP-t, hogy ne igényeljen hálózati hozzáférési fiókot, a terjesztési pontoknak a Windows Server vagy a Windows 10/11 jelenleg támogatott verzióit kell futtatniuk.

A hálózati hozzáférési fiók engedélyei

Adja meg ennek a fióknak a minimálisan megfelelő engedélyeket ahhoz a tartalomhoz, amelyhez az ügyfélnek szüksége van a szoftver eléréséhez. A fióknak rendelkeznie kell az Access this computer from the network from the distribution point (Hozzáférés a számítógéphez a hálózatról ) beállítással közvetlenül a terjesztési ponton. Helyekenként legfeljebb 10 hálózati hozzáférési fiókot konfigurálhat.

Hozzon létre egy fiókot bármely tartományban, amely biztosítja a szükséges hozzáférést az erőforrásokhoz. A hálózati hozzáférési fióknak mindig tartalmaznia kell egy tartománynevet. Ez a fiók nem támogatja az átmenő biztonságot. Ha több tartományban is vannak terjesztési pontok, hozza létre a fiókot egy megbízható tartományban.

Tipp

A fiókzárolások elkerülése érdekében ne módosítsa a jelszót egy meglévő hálózati hozzáférési fiókon. Ehelyett hozzon létre egy új fiókot, és állítsa be az új fiókot Configuration Manager. Ha elegendő idő telt el ahhoz, hogy minden ügyfél megkapja az új fiókadatokat, távolítsa el a régi fiókot a hálózati megosztott mappákból, és törölje a fiókot.

Fontos

Ne adjon interaktív bejelentkezési jogosultságokat ehhez a fiókhoz.

Ne adjon jogosultságot a fióknak a számítógépek tartományhoz való csatlakoztatásához. Ha a feladatütemezés során számítógépeket kell csatlakoztatnia a tartományhoz, használja a Feladatütemezés tartományhoz való csatlakozás fiókot.

A hálózati hozzáférési fiók konfigurálása

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. Ezután válassza ki a webhelyet.

  2. A menüszalag Beállítások csoportjában válassza a Helyösszetevők konfigurálása, majd a Szoftverterjesztés lehetőséget.

  3. Válassza a Hálózatelérési fiók lapot. Állítson be egy vagy több fiókot, majd kattintson az OK gombra.

A hálózati hozzáférési fiókot igénylő műveletek

A hálózati hozzáférési fiók továbbra is szükséges a következő műveletekhez (beleértve az eHTTP & PKI-forgatókönyveket):

  • Csoportcímes. További információ: Csoportos küldés használata a Windows hálózaton keresztüli üzembe helyezéséhez.

  • Feladatütemezési központi telepítési lehetőség, a tartalom elérése közvetlenül egy terjesztési pontról, ha a futó feladatütemezésnek szüksége van rájuk. További információ: Feladatütemezés üzembehelyezési lehetőségei.

  • Alkalmazza az Operációs rendszer lemezképe feladatütemezési lépés beállítását a tartalom elérésére közvetlenül a terjesztési pontról. Ez a lehetőség elsősorban olyan Windows Embedded-forgatókönyvekhez használható, ahol kevés a lemezterület, és a tartalom helyi lemezre való gyorsítótárazása költséges. További információ: Tartalom elérése közvetlenül a terjesztési pontról.

  • Ha egy csomag HTTP/HTTPS használatával történő letöltése sikertelen egy terjesztési pontról, akkor képes visszatérni a csomag SMB használatával való letöltéséhez a terjesztési ponton található csomagmegosztásból. A csomag SMB használatával való letöltéséhez a terjesztési ponton lévő csomagmegosztásból a hálózati hozzáférési fiók használatára van szükség. Ez a visszaeső viselkedés csak akkor fordul elő, ha a csomag tulajdonságainak Adathozzáférés lapján engedélyezve van a Csomag tartalmának másolása csomagmegosztásba a terjesztési pontokon beállítás. A viselkedés megőrzéséhez győződjön meg arról, hogy a hálózati hozzáférési fiók nincs letiltva vagy eltávolítva. Ha ez a viselkedés már nem megfelelő, győződjön meg arról, hogy a Csomag tartalmának másolása csomagmegosztásba a terjesztési pontokon beállítás nincs engedélyezve egyetlen csomagon sem.

  • Állapottároló kérése feladatütemezési lépés. Ha a feladatütemezés nem tud kommunikálni az állapotmigrálási ponttal az eszköz számítógépfiókjával, akkor a hálózati hozzáférési fiókra kerül vissza. További információ: Állapottároló kérése.

  • A Feladatütemezés tulajdonságainak beállítása először egy másik program futtatása értékre. Ez a beállítás a feladatütemezés megkezdése előtt futtat egy csomagot és egy programot egy hálózati megosztásból. További információ: Feladatütemezések tulajdonságai: Speciális lap.

  • Az ügyfelek nem megbízható tartományokban és erdők közötti forgatókönyvekben való kezelése lehetővé teszi több hálózati hozzáférési fiók használatát.

Csomaghozzáférés-fiók

A csomaghozzáférési fiók lehetővé teszi, hogy NTFS-engedélyeket állítson be azon felhasználók és felhasználói csoportok megadásához, amelyek hozzáférhetnek a terjesztési pontok csomagtartalmaihoz. Alapértelmezés szerint Configuration Manager csak az általános felhasználói és rendszergazdai hozzáférési fiókokhoz biztosít hozzáférést. Az ügyfélszámítógépekhez való hozzáférést más Windows-fiókok vagy -csoportok használatával szabályozhatja. A mobileszközök mindig névtelenül kérik le a csomag tartalmát, így nem használnak csomaghozzáférés-fiókot.

Alapértelmezés szerint, amikor Configuration Manager a tartalomfájlokat egy terjesztési pontra másolja, olvasási hozzáférést biztosít a helyi Felhasználók csoporthoz, a Teljes hozzáférés pedig a helyi Rendszergazdák csoporthoz. A szükséges tényleges engedélyek a csomagtól függenek. Ha munkacsoportokban vagy nem megbízható erdőkben lévő ügyfelekkel rendelkezik, ezek az ügyfelek a hálózatelérési fiókot használják a csomag tartalmának eléréséhez. Győződjön meg arról, hogy a hálózatelérési fiók rendelkezik a csomagra vonatkozó engedélyekkel a megadott csomaghozzáférés-fiókok használatával.

Használjon olyan tartománybeli fiókokat, amelyek hozzáférhetnek a terjesztési pontokhoz. Ha a csomag létrehozása után hozza létre vagy módosítja a fiókot, újra kell terjesztenie a csomagot. A csomag frissítése nem módosítja a csomag NTFS-engedélyeit.

Nem kell csomaghozzáférés-fiókként hozzáadnia a hálózati hozzáférési fiókot, mert a Felhasználók csoport tagsága automatikusan hozzáadja azt. Ha a csomaghozzáférési fiókot csak a hálózati hozzáférési fiókra korlátozza, az nem akadályozza meg, hogy az ügyfelek hozzáférjenek a csomaghoz.

Csomaghozzáférés-fiókok kezelése

  1. A Configuration Manager konzolon lépjen a Szoftverkönyvtár munkaterületre.

  2. A Szoftverkönyvtár munkaterületen határozza meg, hogy milyen típusú tartalommal szeretné kezelni a hozzáférési fiókokat, és kövesse a megadott lépéseket:

    • Alkalmazás: Bontsa ki az Alkalmazáskezelés elemet, válassza az Alkalmazások elemet, majd válassza ki azt az alkalmazást, amelynek a hozzáférési fiókjait kezelni szeretné.

    • Csomag: Bontsa ki az Alkalmazáskezelés elemet, válassza a Csomagok elemet, majd válassza ki azt a csomagot, amelynek a hozzáférési fiókjait kezelni szeretné.

    • Szoftverfrissítések központi telepítési csomagja: Bontsa ki a Szoftver Frissítések elemet, válassza a Központi telepítési csomagok elemet, majd válassza ki azt a központi telepítési csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

    • Illesztőprogram-csomag: Bontsa ki az Operációs rendszerek csomópontot, válassza az Illesztőprogram-csomagok elemet, majd válassza ki azt az illesztőprogram-csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

    • Operációsrendszer-lemezkép: Bontsa ki az Operációs rendszerek elemet, válassza az Operációsrendszer-lemezképek elemet, majd válassza ki azt az operációsrendszer-lemezképet, amelyhez a hozzáférési fiókokat kezelni szeretné.

    • Operációsrendszer-frissítési csomag: Bontsa ki az Operációs rendszerek elemet, válassza az Operációsrendszer-frissítési csomagok lehetőséget, majd válassza ki azt az operációsrendszer-frissítési csomagot, amelyhez a hozzáférési fiókokat kezelni szeretné.

    • Rendszerindító lemezkép: Bontsa ki az Operációs rendszerek elemet, válassza a Rendszerindító lemezképek elemet, majd válassza ki azt a rendszerindító lemezképet, amelyhez a hozzáférési fiókokat kezelni szeretné.

  3. Kattintson a jobb gombbal a kijelölt objektumra, majd válassza a Hozzáférési fiókok kezelése parancsot.

  4. A Fiók hozzáadása párbeszédpanelen adja meg azt a fióktípust, amely hozzáférést kap a tartalomhoz, majd adja meg a fiókhoz társított hozzáférési jogosultságokat.

    Megjegyzés:

    Amikor hozzáad egy felhasználónevet a fiókhoz, és Configuration Manager megkeres egy helyi és egy tartományi felhasználói fiókot is ezzel a névvel, Configuration Manager beállítja a tartományi felhasználói fiók hozzáférési jogosultságát.

Jelentéskészítési szolgáltatási pont fiókja

SQL Server Reporting Services a Jelentéskészítési szolgáltatási pont fiókjával kéri le Configuration Manager jelentések adatait a helyadatbázisból. A megadott Windows-felhasználói fiók és jelszó titkosítva van, és az SQL Server Reporting Services adatbázisban van tárolva.

Megjegyzés:

A megadott fióknak Helyi bejelentkezés engedéllyel kell rendelkeznie a SQL Server Reporting Services adatbázist üzemeltető számítógépen.

A fiók automatikusan megkapja az összes szükséges jogosultságot, ha hozzáadja a smsschm_users SQL Server adatbázis-szerepkörhöz a Configuration Manager adatbázison.

További információ: Bevezetés a jelentéskészítésbe.

Távoli eszközök engedélyezett megjelenítői fiókjai

A távvezérlés engedélyezett megtekintőiként megadott fiókok azon felhasználók listája, akik használhatják a távoli eszközök funkcióit az ügyfeleken.

További információ: Bevezetés a távvezérlésbe.

Helytelepítési fiók

Tartományi felhasználói fiókkal jelentkezzen be arra a kiszolgálóra, amelyen Configuration Manager telepítőt futtatja, és telepítsen egy új helyet.

Ehhez a fiókhoz a következő jogosultságok szükségesek:

  • Rendszergazda a következő kiszolgálókon:

    • A helykiszolgáló
    • A helyadatbázist üzemeltető összes kiszolgáló
    • A hely SMS-szolgáltatójának minden példánya
  • Sysadmin a helyadatbázist üzemeltető SQL Server példányán

Configuration Manager beállítás automatikusan hozzáadja ezt a fiókot az SMS-rendszergazdák csoporthoz.

A telepítést követően csak ez a fiók jogosult a Configuration Manager-konzolra. Ha el kell távolítania ezt a fiókot, először adja hozzá a jogosultságait egy másik felhasználóhoz.

Ha egy különálló hely központi adminisztrációs helyet is magában foglal, ehhez a fiókhoz teljes körű rendszergazdai vagy infrastruktúra-rendszergazdai szerepköralapú rendszergazdai jogosultság szükséges az önálló elsődleges helyen.

Helyrendszer-telepítési fiók

A helykiszolgáló a helyrendszer-telepítési fiókot használja a helyrendszerek telepítéséhez, újratelepítéséhez, eltávolításához és beállításához. Ha úgy állította be a helyrendszert, hogy a helykiszolgálónak kapcsolatot kell kezdeményeznie ehhez a helyrendszerhez, Configuration Manager ezzel a fiókkal is lekéri az adatokat a helyrendszerből a helyrendszer és a szerepkörök telepítése után. Minden helyrendszernek lehet más telepítési fiókja, de csak egy telepítési fiókot állíthat be az adott helyrendszer összes szerepkörének kezelésére.

Ehhez a fiókhoz helyi rendszergazdai engedélyek szükségesek a célhelyrendszereken. Emellett ennek a fióknak hozzáféréssel kell rendelkeznie a számítógéphez a hálózatról a célhelyrendszerek biztonsági házirendjében.

Fontos

Ha távoli tartományban vagy erdőben ad meg fiókot, ne csak a tartomány NetBIOS-neve előtt adja meg a tartomány teljes tartománynevét. Adja meg például a Corp.Contoso.com\UserName értéket a Corp\UserName helyett. Ez lehetővé teszi, hogy Configuration Manager Kerberost használjon, amikor a fiókot a távoli helyrendszerben való hitelesítéshez használják. Az FQDN használata gyakran megoldja a hitelesítési hibákat, amelyek az NTLM-nek a Windows havi frissítéseiben történt legutóbbi megkeményedéséből erednek.

Tipp

Ha sok tartományvezérlővel rendelkezik, és ezeket a fiókokat több tartomány használja, a helyrendszer beállítása előtt ellenőrizze, hogy az Active Directory replikálta-e ezeket a fiókokat.

Ha minden felügyelni kívánt helyrendszerhez megad egy szolgáltatásfiókot, ez a konfiguráció biztonságosabb lesz. Korlátozza a támadók által okozott károkat. A tartományi fiókok azonban könnyebben kezelhetők. Vegye figyelembe a biztonság és a hatékony felügyelet közötti kompromisszumot.

Helyrendszerproxy-kiszolgálófiók

A következő helyrendszerszerepkörök a helyrendszerproxy-kiszolgáló fiókjával férnek hozzá az internethez egy hitelesített hozzáférést igénylő proxykiszolgálón vagy tűzfalon keresztül:

  • Eszközintelligencia szinkronizálási pontja
  • Exchange Server összekötő
  • Szolgáltatáskapcsolódási pont
  • Szoftverfrissítési pont

Fontos

Adjon meg egy fiókot, amely a lehető legkevesebb engedéllyel rendelkezik a szükséges proxykiszolgálóhoz vagy tűzfalhoz.

További információ: Proxykiszolgálók támogatása.

SMTP-kiszolgáló kapcsolati fiókja

A helykiszolgáló az SMTP-kiszolgáló kapcsolati fiókjával küld e-mail-riasztásokat, ha az SMTP-kiszolgáló hitelesített hozzáférést igényel.

Fontos

Adjon meg egy fiókot, amely a lehető legkevesebb engedéllyel rendelkezik az e-mailek küldéséhez.

További információ: Riasztások konfigurálása.

Szoftverfrissítési pont csatlakozási fiókja

A helykiszolgáló a Szoftverfrissítési pont kapcsolatfiókot használja a következő két szoftverfrissítési szolgáltatáshoz:

  • Windows Server Update Services (WSUS), amely olyan beállításokat állít be, mint a termékdefiníciók, a besorolások és a felsőbb rétegbeli beállítások.

  • WSUS Synchronization Manager, amely szinkronizálást kér egy felsőbb rétegbeli WSUS-kiszolgálóhoz vagy a Microsoft Update-hez.

A helyrendszer-telepítési fiók telepíthet szoftverfrissítések összetevőit, de nem képes szoftverfrissítés-specifikus funkciókat végrehajtani a szoftverfrissítési ponton. Ha nem tudja használni a helykiszolgáló számítógépfiókját ehhez a funkcióhoz, mert a szoftverfrissítési pont nem megbízható erdőben található, ezt a fiókot a helyrendszer telepítési fiókjával együtt kell megadnia.

Ennek a fióknak helyi rendszergazdának kell lennie azon a számítógépen, amelyen a WSUS-t telepíti. Emellett a helyi WSUS-rendszergazdák csoport tagjának kell lennie.

További információ: Szoftverfrissítések tervezése.

Forráswebhelyfiók

A migrálási folyamat a Forráshely fiók használatával éri el a forráshely SMS-szolgáltatóját. Ehhez a fiókhoz olvasási engedély szükséges a forráshelyen lévő helyobjektumokhoz az áttelepítési feladatok adatainak gyűjtéséhez.

Ha Configuration Manager 2007 terjesztési pontokkal vagy megosztott terjesztési pontokkal rendelkező másodlagos helyekkel rendelkezik, akkor Configuration Manager (aktuális ág) terjesztési pontokra való frissítéskor ennek a fióknak törlési engedélyekkel kell rendelkeznie a Hely osztályhoz is. Ezzel az engedéllyel sikeresen eltávolíthatja a terjesztési pontot a Configuration Manager 2007-ből a frissítés során.

Megjegyzés:

A rendszer mind a forráshelyfiókot, mind a forráshely adatbázisfiókjátmigration managerként azonosítja a Configuration Manager konzol Adminisztráció munkaterületének Fiókok csomópontjában.

További információ: Adatok migrálása hierarchiák között.

Forráshely adatbázisfiókja

Az áttelepítési folyamat a forráshely adatbázisfiókjának használatával éri el a forráshely SQL Server adatbázisát. Ha a forráshely SQL Server adatbázisából szeretne adatokat gyűjteni, a forráshely adatbázisfiókjának olvasási és végrehajtási engedéllyel kell rendelkeznie a forráshely SQL Server adatbázisához.

Ha az Configuration Manager (aktuális ág) számítógépfiókot használja, győződjön meg arról, hogy az alábbiak mindegyike igaz ehhez a fiókhoz:

  • Tagja az Elosztott COM-felhasználók biztonsági csoportnak ugyanabban a tartományban, mint a Configuration Manager 2012 webhely.
  • Tagja az SMS-rendszergazdák biztonsági csoportnak .
  • Olvasási engedéllyel rendelkezik az összes Configuration Manager 2012-objektumhoz.

Megjegyzés:

A rendszer mind a forráshelyfiókot, mind a forráshely adatbázisfiókjátmigration managerként azonosítja a Configuration Manager konzol Adminisztráció munkaterületének Fiókok csomópontjában.

További információ: Adatok migrálása hierarchiák között.

Feladatütemezési tartományhoz csatlakoztatott fiók

A Windows telepítő a Feladatütemezési tartományhoz való csatlakozás fiókot használja egy újonnan rendszerképezett számítógép tartományhoz való csatlakoztatásához. Erre a fiókra a Csatlakozás tartományhoz vagy munkacsoporthoz feladatütemezési lépésnél van szükség a Tartományhoz csatlakoztatása beállítással. Ez a fiók a Hálózati beállítások alkalmazása lépéssel is beállítható, de nem szükséges.

Ehhez a fiókhoz a Tartományhoz való csatlakozás jogosultság szükséges a céltartományban.

Tipp

Hozzon létre egy tartományi felhasználói fiókot minimális engedélyekkel a tartományhoz való csatlakozáshoz, és használja azt az összes feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Feladatütemezési hálózati mappa kapcsolatfiókja

A feladatütemezési motor a Feladatütemezés hálózati mappakapcsolati fiókját használja a hálózaton lévő megosztott mappához való csatlakozáshoz. Erre a fiókra a Csatlakozás hálózati mappához feladatütemezési lépésben van szükség.

A fióknak engedélyekre van szüksége a megadott megosztott mappa eléréséhez. Tartományi felhasználói fióknak kell lennie.

Tipp

Hozzon létre egy tartományi felhasználói fiókot minimális engedélyekkel a szükséges hálózati erőforrások eléréséhez, és használja azt az összes feladatütemezéshez.

Fontos

Ne rendeljen interaktív bejelentkezési engedélyeket ehhez a fiókhoz.

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Feladatütemezés futtatása fiókként

A feladatütemezési motor a Feladatütemezés futtatása fiókként használatával futtatja a parancssorokat vagy a PowerShell-szkripteket a helyi rendszerfióktól eltérő hitelesítő adatokkal. Erre a fiókra a Parancssor futtatása és a PowerShell-szkript futtatása feladatütemezési lépésekben van szükség. Ehhez válassza a Következő fiókként futtassa ezt a lépést lehetőséget.

Állítsa be a fiókot úgy, hogy rendelkezzen a feladatütemezésben megadott parancssor futtatásához szükséges minimális engedélyekkel. A fiókhoz interaktív bejelentkezési jogosultságok szükségesek. Általában szükség van a szoftverek telepítésére és a hálózati erőforrások elérésére. A PowerShell-szkript futtatása feladathoz ehhez a fiókhoz helyi rendszergazdai engedélyek szükségesek.

Fontos

Ehhez a fiókhoz ne használja a hálózati hozzáférési fiókot.

Soha ne legyen a fiók tartományi rendszergazda.

Soha ne állítson be roamingprofilokat ehhez a fiókhoz. A feladatütemezés futtatásakor letölti a fiók központi profilját. Ez sebezhetővé teszi a profilt a helyi számítógépen való hozzáféréssel szemben.

Korlátozza a fiók hatókörét. Létrehozhat például különböző feladatütemezéseket, amelyek fiókként futnak az egyes feladatütemezésekhez. Ezután, ha egy fiók biztonsága sérül, csak azokat az ügyfélszámítógépeket veszélyeztetik, amelyekhez az adott fiók hozzáféréssel rendelkezik.

Ha a parancssor rendszergazdai hozzáférést igényel a számítógépen, fontolja meg egy helyi rendszergazdai fiók létrehozását kizárólag ehhez a fiókhoz a feladatütemezést futtató összes számítógépen. Ha már nincs rá szüksége, törölje a fiókot.

A SQL Server Configuration Manager által használt felhasználói objektumok

Configuration Manager automatikusan létrehozza és karbantartja a következő felhasználói objektumokat az SQL-ben. Ezek az objektumok az Configuration Manager adatbázis Biztonság/Felhasználók területén találhatók.

Fontos

Ezeknek az objektumoknak a módosítása vagy eltávolítása drasztikus problémákat okozhat egy Configuration Manager környezetben. Javasoljuk, hogy ne módosítsa ezeket az objektumokat.

smsdbuser_ReadOnly

Ez az objektum a lekérdezések írásvédett környezetben való futtatására szolgál. Ez az objektum több tárolt eljárással is használható.

smsdbuser_ReadWrite

Ez az objektum a dinamikus SQL-utasítások engedélyeinek megadására szolgál.

smsdbuser_ReportSchema

Ez az objektum SQL Server jelentéskészítési végrehajtások futtatására szolgál. A függvény a következő tárolt eljárást használja: spSRExecQuery.

Az SQL-ben Configuration Manager adatbázis-szerepkörök

Configuration Manager automatikusan létrehozza és karbantartja a következő szerepkör-objektumokat az SQL-ben. Ezek a szerepkörök adott tárolt eljárásokhoz, táblákhoz, nézetekhez és függvényekhez biztosítanak hozzáférést. Ezek a szerepkörök lekérnek vagy hozzáadnak adatokat a Configuration Manager adatbázishoz. Ezek az objektumok a Configuration Manager adatbázis biztonság/szerepkörök/adatbázis-szerepkörök területén találhatók.

Fontos

Ezeknek az objektumoknak a módosítása vagy eltávolítása drasztikus problémákat okozhat egy Configuration Manager környezetben. Ne módosítsa ezeket az objektumokat. Az alábbi lista csak tájékoztatási célokra szolgál.

smsdbrole_AITool

Configuration Manager az eszközintelligencia mennyiségi licencadatainak importálásához szükséges szerepköralapú hozzáférésen alapuló rendszergazdai felhasználói fiókok számára engedélyezi ezt az engedélyt. Ezt a fiókot teljes körű rendszergazda, műveleti rendszergazda vagy eszközkezelői szerepkör, illetve "Eszközintelligencia kezelése" engedéllyel rendelkező szerepkör is hozzáadhatja.

smsdbrole_AIUS

Configuration Manager hozzáférést biztosít az Eszközintelligencia szinkronizálási pontjának fiókját üzemeltető számítógépfióknak az Eszközintelligencia proxyadatainak lekéréséhez és a függőben lévő AI-adatok megtekintéséhez a feltöltéshez.

smsdbrole_CRP

Configuration Manager engedélyezi annak a helyrendszernek a számítógépfiókját, amely támogatja a tanúsítványregisztrációs pontot a tanúsítvány-aláírás és -megújítás SCEP-támogatásához.

smsdbrole_CRPPfx

Configuration Manager engedélyt ad annak a helyrendszernek a számítógépfiókjára, amely támogatja az aláíráshoz és megújításhoz konfigurált PFX-támogatáshoz konfigurált tanúsítványregisztrációs pontot.

smsdbrole_DMP

Configuration Manager engedélyezi ezt az engedélyt egy olyan felügyeleti pont számítógépfiókjának, amelynél engedélyezve van a mobileszközök és Mac számítógépek számára a felügyeleti pont használatának engedélyezése, amely lehetővé teszi az MDM-ben regisztrált eszközök támogatását.

smsdbrole_DmpConnector

Configuration Manager engedélyezi a szolgáltatáskapcsolódási pontot üzemeltető számítógépfióknak a diagnosztikai adatok lekérését és biztosítását, a felhőszolgáltatások kezelését és a szolgáltatásfrissítések lekérését.

smsdbrole_DViewAccess

Configuration Manager engedélyezi ezt az engedélyt a CAS elsődleges helykiszolgálóinak számítógépfiókjának, ha a replikációs hivatkozás tulajdonságainál a SQL Server elosztott nézetek beállítás van kiválasztva.

smsdbrole_DWSS

Configuration Manager megadja ezt az engedélyt az adattárházi szerepkört üzemeltető számítógépfióknak.

smsdbrole_EnrollSvr

Configuration Manager engedélyezi ezt az engedélyt annak a számítógépfióknak, amely a regisztrációs pontot üzemelteti, hogy engedélyezze az MDM-en keresztüli eszközregisztrációt.

smsdbrole_extract

Hozzáférést biztosít az összes kiterjesztett sémanézethez.

smsdbrole_HMSUser

A hierarchiakezelő szolgáltatáshoz. Configuration Manager engedélyt ad a fióknak a feladatátvételi állapotüzenetek kezelésére és a hierarchián belüli helyek közötti tranzakciós tranzakciók SQL Server.

Megjegyzés:

A smdbrole_WebPortal szerepkör alapértelmezés szerint ennek a szerepkörnek a tagja.

smsdbrole_MCS

Configuration Manager engedélyezi ezt az engedélyt a csoportos küldést támogató terjesztési pont számítógépfiókjának.

smsdbrole_MP

Configuration Manager a felügyeleti pont szerepkört futtató számítógépfióknak adja ezt az engedélyt, hogy támogatást nyújtson az Configuration Manager-ügyfelek számára.

smsdbrole_MPMBAM

Configuration Manager megadja ezt az engedélyt annak a számítógépfióknak, amely egy környezetben a BitLockert kezelő felügyeleti pontot üzemelteti.

smsdbrole_MPUserSvc

Configuration Manager megadja ezt az engedélyt a felügyeleti pontot üzemeltető számítógépfióknak a felhasználóalapú alkalmazáskérések támogatásához.

smsdbrole_siteprovider

Configuration Manager megadja ezt az engedélyt az SMS-szolgáltatói szerepkört futtató számítógépfióknak.

smsdbrole_siteserver

Configuration Manager megadja ezt az engedélyt az elsődleges helyet vagy CAS-t üzemeltető számítógépfióknak.

smsdbrole_SUP

Configuration Manager a szoftverfrissítési pontot üzemeltető számítógépfióknak adja ezt az engedélyt a külső frissítések használatához.

smsschm_users

Configuration Manager hozzáférést biztosít a jelentéskészítési szolgáltatási pont fiókjához használt fiókhoz, hogy hozzáférést biztosíthasson az SMS jelentéskészítési nézeteihez a Configuration Manager jelentési adatok megjelenítéséhez. Az adatok további korlátozásra kerülnek a szerepköralapú hozzáférés használatával.

Emelt szintű engedélyek

Configuration Manager egyes fiókoknak emelt szintű engedélyekkel kell rendelkezniük a folyamatban lévő műveletekhez. Lásd például az elsődleges hely telepítésének előfeltételeit. Az alábbi lista összefoglalja ezeket az engedélyeket és azok okait.

  • Az elsődleges helykiszolgáló és a központi adminisztrációs helykiszolgáló számítógépfiókjának a következőre van szüksége:

    • Helyi rendszergazdai jogosultságok az összes helyrendszer-kiszolgálón. Ez az engedély a rendszerszolgáltatások kezeléséhez, telepítéséhez és eltávolításához szükséges. A helykiszolgáló a helyrendszer helyi csoportjait is frissíti a szerepkörök hozzáadásakor vagy eltávolításakor.

    • Rendszergazdai hozzáférés a helyadatbázis SQL Server példányához. Ez az engedély a webhely SQL Server konfigurálására és kezelésére használható. Configuration Manager szorosan integrálható az SQL-lel, ez nem csak egy adatbázis.

  • A Teljes rendszergazda szerepkörben lévő felhasználói fiókokhoz a következőre van szükség:

    • Helyi rendszergazdai jogosultságok az összes helykiszolgálón. Ez az engedély a rendszerszolgáltatások, a beállításkulcsok és -értékek, valamint a WMI-objektumok megtekintésére, szerkesztésére, eltávolítására és telepítésére használható.

    • Rendszergazdai hozzáférés a helyadatbázis SQL Server példányához. Ezzel az engedéllyel telepítheti és frissítheti az adatbázist a telepítés vagy helyreállítás során. A karbantartáshoz és a műveletekhez SQL Server is szükséges. Például a statisztikák újraindexelése és frissítése.

      Megjegyzés:

      Egyes szervezetek dönthetnek úgy, hogy eltávolítják a rendszergazdai hozzáférést, és csak akkor adnak hozzáférést, ha szükség van rá. Ezt a viselkedést néha "igény szerinti (JIT) hozzáférésnek is nevezik." Ebben az esetben a Teljes rendszergazda szerepkörrel rendelkező felhasználóknak továbbra is hozzáféréssel kell rendelkezniük az Configuration Manager adatbázis tárolt eljárásainak olvasásához, frissítéséhez és végrehajtásához. Ezekkel az engedélyekkel teljes rendszergazdai hozzáférés nélkül háríthatják el a legtöbb problémát.