Műszaki útmutató a Configuration Managerben használt fiókokhoz
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Az alábbi információk segítségével azonosíthatja a System Center 2012 Configuration Manager rendszerben használt Windows-csoportokat és -fiókokat, és megismerkedhet használatukkal, valamint a kapcsolódó követelményekkel.
A Configuration Manager által létrehozott és használt Windows-csoportok
A Configuration Manager automatikusan létrehozza, és számos esetben automatikusan is kezeli az alábbi Windows-csoportokat:
.jpeg "System_CAPS_note") Megjegyzés |
|---|
A Configuration Manager a tartományhoz tartozó számítógépeken helyi biztonsági csoportokat hoz létre. Ha a számítógép tartományvezérlő, a csoport a tartomány összes tartományvezérlője körében megosztott tartományi helyi csoport lesz. |
ConfigMgr_CollectedFilesAccess
A Configuration Manager a szoftverleltár által összegyűjtött fájlok megtekintésére ad engedélyt ezzel a csoporttal.
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez az elsődleges hely kiszolgálóján létrehozott helyi biztonsági csoport.
|
||
Tagság |
A Configuration Manager automatikusan kezeli a csoporttagságot. A csoport tagjai közé azok a rendszergazdák tartoznak, akik egy hozzárendelt biztonsági szerepkör alapján Összegyűjtött fájlok megtekintése engedéllyel rendelkeznek a Gyűjtemény biztonságos objektumhoz. |
||
Engedélyek |
Alapértelmezés szerint ez a csoport Read engedéllyel rendelkezik a következő mappához a helykiszolgálón: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Ez a System Center 2012 Configuration Manager által a hely adatbázis-kiszolgálóján vagy adatbázis-replikakiszolgálóján létrehozott helyi biztonsági csoport. Jelenleg nincs használatban; a Configuration Manager általi későbbi használatra van fenntartva.
A ConfigMgr távvezérlést végző felhasználói
Ezt a csoportot a Configuration Manager távvezérlési eszközei használják az egyes ügyfelekhez rendelt feljogosított megtekintők listájában konfigurált fiókok és csoportok tárolására.
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez a Configuration Manager-ügyfélen létrehozott helyi biztonsági csoport, amely akkor jön létre, amikor az ügyfél megkapja a távvezérlési eszközöket engedélyező házirendet.
|
||
Tagság |
Ennek a csoportnak nincsenek alapértelmezett tagjai. A rendszer a feljogosított megjelenítők listájára felvett felhasználókat adja hozzá automatikusan ehhez a csoporthoz.
A rendszergazdának nem csak feljogosított megjelenítőnek kell lennie, hanem Távvezérlés engedéllyel kell rendelkeznie a Gyűjtemény objektumhoz. Ez az engedély a Távolieszköz-kezelő biztonsági szerepkörrel osztható ki. |
||
Engedélyek |
Alapértelmezés szerint ez a csoport nem rendelkezik engedéllyel semmilyen helyhez a számítógépen, és csak a feljogosított megjelenítők listájának tárolására szolgál. |
.jpeg "System_CAPS_important")
Fontos!SMS rendszergazdák
Ezt a csoportot arra használja a Configuration Manager, hogy a WMI-n keresztül hozzáférést biztosítson az SMS-szolgáltatóhoz. Az SMS-szolgáltatóhoz való hozzáférésre az objektumok Configuration Manager-konzolon való megtekintésekor és módosításakor van szükség.
| Megjegyzés |
|---|
A rendszergazda szerepköralapú adminisztráció szerinti konfigurációja határozza meg, hogy milyen objektumokat tekinthet meg és kezelhet a Configuration Manager konzol használatakor. |
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez egy helyi biztonsági csoport, amely minden SMS Provider eszközt használó számítógépen létrejön.
|
||
Tagság |
A Configuration Manager automatikusan kezeli a csoporttagságot. Alapértelmezés szerint az SMS rendszergazdák csoportjának a hely minden egyes SMS Provider eszközt futtató számítógépén tagja a hierarchia valamennyi rendszergazdája, valamint a helykiszolgáló számítógépéhez tartozó fiók. |
||
Engedélyek |
Az SMS rendszergazdák csoport jogosultságai és engedélyei a WMI-vezérlő MMC beépülő modulban állíthatók be. Alapértelmezés szerint az SMS rendszergazdák csoport Enable Account és Remote Enable engedélyt kap a Root\SMS névtéren. A hitelesített felhasználók Execute Methods, Provider Write és Enable Account engedéllyel rendelkeznek.
|
SMS_SiteSystemToSiteServerConnection_MP_<helykód>
Ezt a csoportot a helykiszolgálótól távol található Configuration Manager felügyeleti pontok használják a helyadatbázishoz való kapcsolódásra. A csoport hozzáférést biztosít a felügyeleti pont számára a helykiszolgálón és a helyadatbázison található Beérkezett üzenetek mappákhoz.
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez egy helyi biztonsági csoport, amely minden SMS Provider eszközt használó számítógépen létrejön.
|
||
Tagság |
A Configuration Manager automatikusan kezeli a csoporttagságot. A csoportba alapértelmezés szerint az olyan számítógépek fiókjai tartoznak, amelyek felügyeleti ponttal rendelkeznek az adott helyhez. |
||
Engedélyek |
Alapértelmezés szerint ez a csoport Read, Read & execute és List folder contents engedéllyel rendelkezik a %path%\Microsoft Configuration Manager\inboxes mappához a helykiszolgálón. A csoport továbbá Write engedéllyel is rendelkezik különböző almappákhoz azon inboxes alatt, amelybe a felügyeleti pont az ügyféladatokat menti. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<helykód>
Ezt a csoportot a Configuration Manager helykiszolgálótól távoli SMS Provider-számítógépei használják a helyadatbázishoz való kapcsolódásra.
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.
|
||
Tagság |
A Configuration Manager automatikusan kezeli a csoporttagságot. A csoportba alapértelmezés szerint a helykiszolgálóhoz való kapcsolódásra szolgáló számítógépfiók vagy tartományi felhasználói fiók tartozik minden olyan távoli számítógépről, amelyen az SMS Provider eszköz telepítve van az adott helyhez. |
||
Engedélyek |
Alapértelmezés szerint ez a csoport Read, Read & execute és List folder contents engedéllyel rendelkezik a %path%\Microsoft Configuration Manager\inboxes mappához a helykiszolgálón. A csoport továbbá Write engedéllyel vagy Írás és Módosítás engedélyekkel is rendelkezik különböző almappákhoz azon inboxes alatt, amelyekhez az SMS Provider hozzáférést igényel. A csoport emellett Read, Read & execute, List folder contents, Írás és Módosítás engedélyekkel is rendelkezik a %path%\Microsoft Configuration Manager\OSD\boot alatti mappákhoz, illetve Olvasás engedéllyel a %path%\Microsoft Configuration Manager\OSD\Bin alatti mappákhoz a helykiszolgálón. |
SMS_SiteSystemToSiteServerConnection_Stat_<helykód>
Ezt a csoportot a távoli Configuration Manager helyrendszer számítógépein található fájlküldéskezelő használja a helykiszolgálóhoz való csatlakozásra.
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport.
|
||
Tagság |
A Configuration Manager automatikusan kezeli a csoporttagságot. A csoportba alapértelmezés szerint a helykiszolgálóhoz való kapcsolódásra szolgáló számítógépfiók vagy tartományi felhasználói fiók tartozik a helyrendszer minden olyan távoli számítógépéről, amely a fájlküldéskezelőt futtatja. |
||
Engedélyek |
Alapértelmezés szerint ez a csoport Read, Read & execute és List folder contents engedéllyel rendelkezik a %path%\Microsoft Configuration Manager\inboxes mappához és annak különböző almappáihoz a helykiszolgálón. A csoport továbbá Írás és Módosítás engedéllyel is rendelkezik a %path%\Microsoft Configuration Manager\inboxes\statmgr.box mappához a helykiszolgálón. |
SMS_SiteToSiteConnection_<helykód>
Ezt a csoportot a Configuration Manager a hierarchia helyei közötti fájlalapú replikáció engedélyezésére használja. A csoportba a következő fiókok tartoznak minden olyan távoli helyről, amely közvetlenül küld fájlokat erre a helyre:
A Hely címének fiókjaként konfigurált fiókok a szervizcsomag nélküli Configuration Manager-helyekről
Fájlreplikációs fiókként konfigurált fiókok, Configuration Manager SP1 vagy újabb rendszert futtató helyekről
| Megjegyzés |
|---|
A Configuration Manager SP1 rendszerben a Hely címének fiókja szerepét a Fájlreplikációs fiók vette át. |
A következő táblázat a csoport további adatait tartalmazza:
Adat |
További információ |
||
|---|---|---|---|
Típus és hely |
Ez a csoport a helykiszolgálón létrehozott helyi biztonsági csoport. |
||
Tagság |
Amikor új helyet telepít egy másik hely gyermekeként, a Configuration Manager automatikusan hozzáadja az új hely számítógépfiókját a szülő helykiszolgáló csoportjához, illetve a szülő hely számítógépfiókját az új helykiszolgáló csoportjához. Ha másik fiókot határoz meg a fájlalapú adatátvitelhez, adja hozzá a fiókot ehhez a csoporthoz a célhelykiszolgálón.
|
||
Engedélyek |
Alapértelmezés szerint ez a csoport teljes hozzáféréssel rendelkezik a %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive mappához. |
A Configuration Manager által használt fiókok
A Configuration Manager rendszerhez az alábbi fiókokat konfigurálhatja:
Active Directory csoportfelderítési fiók
Az Active Directory csoportfelderítési fiók a helyi, globális és univerzális biztonsági csoportok, tagjaik, valamint az Active Directory tartományi szolgáltatások meghatározott helyeiről származó terjesztési csoportok tagjainak felderítésére szolgál. A terjesztési csoportokat a rendszer nem csoporterőforrásként deríti fel.
Ez a fiók lehet egy számítógép-fiók a felderítést futtató helykiszolgálón vagy egy Windows felhasználói fiók.Olvasás hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyeken.
Active Directory rendszerfelderítési fiók
Az Active Directory rendszerfelderítési fiók számítógépek felderítésére szolgál az Active Directory tartományi szolgáltatások meghatározott helyeiről.
Ez a fiók lehet egy számítógép-fiók a felderítést futtató helykiszolgálón vagy egy Windows felhasználói fiók.Olvasás hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyeken.
Active Directory felhasználófelderítési fiók
Az Active Directory felhasználófelderítési fiók felhasználói fiókok felderítésére szolgál az Active Directory tartományi szolgáltatások meghatározott helyeiről.
Ez a fiók lehet egy számítógép-fiók a felderítést futtató helykiszolgálón vagy egy Windows felhasználói fiók.Olvasás hozzáférési engedéllyel kell rendelkeznie a felderítéshez megadott Active Directory-helyeken.
Active Directory-erdőfiók
Az Active Directory-erdőfiók a hálózati infrastruktúra felderítésére szolgál az Active Directory-erdőkből; illetve a központi adminisztrációs helyek és az elsődleges helyek is ezt a fiókot használják a helyadatok közzétételére egy adott erdő Active Directory tartományi szolgáltatásaiba.
| Megjegyzés |
|---|
A másodlagos helyek mindig a másodlagos hely kiszolgálójának számítógépfiókját használják az Active Directoryban való közzétételhez. |
| Megjegyzés |
|---|
A nem megbízható erdők felderítéséhez és az ezekben történő közzétételhez az Active Directory-erdőfióknak globális fióknak kell lennie. Ha nem a helykiszolgáló számítógép-fiókját használja, csak globális fiókot választhat. |
A fióknak Olvasás engedéllyel kell rendelkeznie minden olyan Active Directory-erdőhöz, amelyben szeretné felderíteni a hálózati infrastruktúrát.
A fióknak Teljes hozzáféréssel kell rendelkeznie a rendszerkezelési tárolóhoz és valamennyi gyermekobjektumához minden olyan Active Directory-erdőben, ahol helyadatokat kíván közzétenni.
AMT kiépítési és felderítési fiók
Az AMT kiépítési és felderítési fiók funkcionális szempontból egyenértékű az AMT Remote Admin távfelügyeleti fiókkal, és az Intel AMT-alapú számítógépek Management Engine BIOS-bővítményében (MEBx) található. Ezt a fiókot az a kiszolgáló használja, amely a sávon kívüli szolgáltatási pont szerepkörrel felügyeli az AMT egyes hálózati csatolófunkcióit a sávon kívüli felügyeleti funkció keretében.
Ha AMT kiépítési és felderítési fiókot határoz meg a Configuration Manager rendszerben, a névnek és a jelszónak meg kell egyeznie az AMT-alapú számítógépek BIOS-bővítményeiben megadott AMT Remote Admin távfelügyeleti fiók nevével és jelszavával.
| Megjegyzés |
|---|
Az AMT kiépítési és felderítési fiók megadásáról az 5. lépés: A kimenő sávon felügyeleti összetevő konfigurálása című útmutató How to kiépítése, és a Configuration Manager konfigurálása az AMT-alapú számítógépek című témakörének következő lépésében tájékozódhat: Eszközök és megfelelőség a System Center 2012 Configuration Manager. |
Az AMT-alapú számítógép Management Engine BIOS-bővítményei között tárolt fiók nem feleltethető meg egyik fióknak sem a Windows rendszerben.
AMT kiépítéseltávolítási fiók
Az AMT kiépítéseltávolítási fiók az AMT kiépítési információk eltávolítására alkalmas, ha a hely helyreállítására van szükség. Emellett akkor is hasznos lehet, ha egy Configuration Manager-ügyfelet másik helyhez rendeltek, és az AMT kiépítési információkat nem távolították el a régi helyhez tartozó számítógépről.
Az alábbi feltételek közül mindnek teljesülnie kell ahhoz, hogy az AMT kiépítéseltávolítási fiókkal sikeresen eltávolítsa az AMT kiépítési információkat:
Az AMT kiépítéseltávolítási fiók be van állítva a sávon kívüli felügyeleti összetevő tulajdonságai között.
Az AMT kiépítéseltávolítási fiókhoz beállított fiók AMT felhasználói fiókként lett konfigurálva a sávon kívüli felügyeleti egység tulajdonságai között az AMT-alapú számítógép kiépítésekor vagy frissítésekor.
Az AMT kiépítéseltávolítási fiókhoz beállított fióknak a helyi Rendszergazdák csoport tagjának kell lennie a sávon kívüli szolgáltatási pont számítógépén.
Az AMT auditálási napló nincs engedélyezve.
Mivel ez egy Windows felhasználói fiók, olyan fiókot jelöljön ki, amely erős, nem elévülő jelszóval rendelkezik.
AMT Remote Admin távfelügyeleti fiók
Az AMT Remote Admin távfelügyeleti fiók az Intel AMT-alapú számítógépek Management Engine BIOS-bővítményében (MEBx) található fiók. Ezt az a kiszolgáló használja, amely a sávon kívüli szolgáltatási pont szerepkörrel felügyeli az AMT egyes hálózati csatolófunkcióit a Configuration Manager rendszerben a sávon kívüli felügyeleti funkció keretében.
A Configuration Manager automatikusan beállítja a távfelügyeleti fiók jelszavát az AMT-hez kiépített számítógépeken, majd ezt használja az AMT-firmver későbbi hitelesítést igénylő elérése során. Funkcionalitását tekintve a fiók a Configuration Manager AMT kiépítési és felderítési fiókkal egyenértékű.
Az AMT-alapú számítógép Management Engine BIOS-bővítményei között tárolt fiók nem feleltethető meg egyik fióknak sem a Windows rendszerben.
AMT felhasználói fiókok
Az AMT felhasználói fiókok szabályozzák, hogy mely Windows-felhasználók vagy -csoportok futtathatnak felügyeleti funkciókat a sávon kívüli felügyeleti konzolon.
Az AMT felhasználói fiókok konfigurációja egy hozzáférés-vezérlési listának (ACL) megfelelő szabálygyűjteményt hoz létre az AMT-firmverben. Amikor a bejelentkezett felhasználó megpróbálja futtatni a sávon kívüli felügyeleti konzolt, az AMT Kerberos protokollal hitelesíti a fiókot, majd engedélyezi vagy megtagadja a hozzáférést az AMT felügyeleti funkcióinak futtatásához.
Az AMT felhasználói fiókokat az AMT-alapú számítógépek kiépítése előtt konfigurálja. Ha az AMT felhasználói fiókokat a számítógépek AMT-kiépítése után konfigurálja, a számítógépek AMT-memóriájának manuális frissítésével kell újrakonfigurálnia őket az új beállításokkal.
Mivel az AMT felhasználói fiókok Kerberos-alapú hitelesítést használnak, a felhasználói fiókoknak és a biztonsági csoportoknak létezniük kell egy Active Directory-tartományban.
Eszközintelligencia-szinkronizálási pont proxykiszolgáló-fiókja
Az Eszközintelligencia-szinkronizálási pont proxykiszolgáló-fiókját az Eszközintelligencia szinkronizációs pontja használja az internet elérésére hitelesítést igénylő proxykiszolgálón vagy tűzfalon keresztül.
.jpeg "System_CAPS_security") Biztonság Megjegyzés |
|---|
Adjon meg olyan fiókot, amely a legkisebb lehetséges engedélyekkel rendelkezik a szükséges proxykiszolgálóhoz vagy tűzfalhoz. |
Tanúsítványregisztrációs pont fiók
A Tanúsítványregisztrációs pont fiók a tanúsítványregisztrációs pontot kapcsolja össze a Configuration Manager adatbázisával. A rendszer alapértelmezés szerint a tanúsítványregisztrációs pont kiszolgálójának számítógépfiókját használja, ám ehelyett felhasználói fiók is konfigurálható. Ha a tanúsítványregisztrációs pont a helykiszolgáló számára nem megbízható tartományban van, meg kell adnia egy felhasználói fiókot. Ez a fiók csak Olvasási hozzáférést igényel a helyadatbázishoz, mivel az írási műveleteket az állapotüzenet-rendszer kezeli.
Operációs rendszer lemezképének rögzítése fiók
Az Operációs rendszer lemezképének rögzítése fiókot a Configuration Manager annak a mappának az elérésére használja, amelyben a rögzített lemezképeket tárolja az operációs rendszerek központi telepítéséhez. Erre a fiókra akkor van szükség, ha a Operációs rendszer lemezképének rögzítése lépést hozzáadja egy feladatütemezéshez.
A fióknak Olvasás és Írás engedéllyel kell rendelkeznie a rögzített lemezkép tárolására szolgáló hálózati megosztáshoz.
Ha a fiók jelszavát módosítják a Windows rendszerben, az új jelszóval frissítenie kell a feladatütemezést. A Configuration Manager-ügyfél az ügyfélházirend legközelebbi letöltésekor fogja megkapni az új jelszót.
Ezzel a fiókkal létrehozhat egy minimális jogosultságokkal rendelkező tartományi felhasználói fiókot, amely hozzáfér a szükséges hálózati erőforrásokhoz, és minden feladatütemezési fiókhoz használható.
| Biztonság Megjegyzés |
|---|
Ne rendeljen interaktív bejelentkezési engedélyt ehhez a fiókhoz. Ne használja a Hálózati hozzáférés fiókot ebben az esetben. |
Ügyfélleküldéses telepítési fiók
Ha ügyfélleküldéses telepítéssel kívánja telepíteni az ügyfeleket, az ügyfélleküldéses telepítési fiók összekapcsolja a számítógépeket, és telepíti a Configuration Manager ügyfélszoftvert. Ha nincs megadva ez a fiók, akkor a helykiszolgáló-fiók telepíti az ügyfélszoftvert.
Ennek a fióknak benne kell lennie a helyi Rendszergazdák csoportban azokon a számítógépeken, amelyekre telepíteni kell a Configuration Manager ügyfélszoftvert. A fióknak nincs szüksége tartományadminisztrátori jogosultságokra.
Több ügyfélleküldéses telepítési fiókot is meg lehet adni. Ilyenkor a Configuration Manager sorra próbálja őket, amíg valamelyik nem jár sikerrel.
.jpeg "System_CAPS_tip"){kind=icon} Tipp |
|---|
Nagy központi Active Directory telepítések esetén hatékonyabban koordinálhatja a fiókfrissítéseket, ha létrehoz egy új fiókot valamilyen más névvel, és az új fiókot felveszi az ügyfélleküldéses telepítési fiókok listájára a Configuration Manager szoftverben. Várja meg, amíg az Active Directory tartományszolgáltatás replikálja az új fiókot, azután távolítsa el a régi fiókot a Configuration Manager szoftverből és az Active Directory tartományszolgáltatásokból. |
| Biztonság Megjegyzés |
|---|
Ne adjon helyi bejelentkezési jogosultságot ennek a fióknak. |
Beléptetési pont kapcsolatfiókja
A beléptetési pont kapcsolatfiókja a beléptetési pontot a Configuration Manager-hely adatbázisához kapcsolja. A rendszer alapértelmezés szerint a beléptetési pont számítógépfiókját használja, de be lehet állítani helyette egy felhasználói fiókot. Ha a beléptetési pont olyan tartományban van, amely a helykiszolgáló számára nem megbízható, akkor muszáj megadni egy felhasználói fiókot. A fióknak írási és olvasási jogosultsággal kell rendelkeznie a helyadatbázis felett.
Exchange Server-kapcsolatfiók
Az Exchange Server-kapcsolatfiók összekapcsolja a helykiszolgálót a megadott Exchange Server-számítógéppel, hogy megkeresse és felügyelje az Exchange Server kiszolgálóhoz csatlakozó mobileszközöket. A fióknak Exchange PowerShell parancsmagokra van szüksége, amelyek megfelelő jogosultságokat biztosítanak az Exchange Server-számítógéphez. További információ a parancsmagokról: Mobileszközök kezelése a Configuration Manager és az Exchange használatával
Exchange Server-összekötő proxykiszolgáló-fiókja
Az Exchange Server-összekötő ezen proxykiszolgáló-fiók segítségével éri el az internetet a hitelesített hozzáférést igénylő proxykiszolgálón vagy tűzfalon keresztül.
| Biztonság Megjegyzés |
|---|
Adjon meg olyan fiókot, amely a legkisebb lehetséges engedélyekkel rendelkezik a szükséges proxykiszolgálóhoz vagy tűzfalhoz. |
Endpoint Protection SMTP-kiszolgálójának csatlakozási fiókja
Szervizcsomag nélküli Configuration Manager esetén: A helykiszolgáló az Endpoint Protection SMTP-kiszolgálójának csatlakozási fiókja segítségével küld e-mail riasztást az Endpoint Protection számára, ha az SMTP-kiszolgáló hitelesített hozzáférést igényel.
| Biztonság Megjegyzés |
|---|
Adjon meg egy olyan, e-mail küldésre alkalmas fiókot, amely a lehető legkevesebb jogosultsággal rendelkezik. |
Állapotreferencia-közzétételi fiók
Az állapotreferencia-közzétételi fiók közzéteszi a Configuration Manager hálózati hozzáférés-védelmi (NAP) állapotreferenciáját az Active Directory tartományszolgáltatások számára.
Ha ez a fiók nincs beállítva, akkor a Configuration Manager a helykiszolgáló számítógépfiókján keresztül próbálja közzétenni az állapotreferenciákat.
A fióknak olvasási, írási és létrehozási jogosultsággal kell rendelkeznie az állapotreferenciát tároló Active Directory-erdő felett.
Hozzon létre egy fiókot az erdőben az állapotreferenciák tárolására. A lehető legkevesebb jogosultsággal lássa el a fiókot; és ne használja ugyanazt a fiókot, amelyet állapotreferencia-lekérdezési fiókként megadott, mivel annak csak olvasási jogosultságra van szüksége.
Állapotreferencia-lekérdezési fiók
Az állapotreferencia-lekérdezési fiók lekérdezi a Configuration Manager hálózati hozzáférés-védelmi (NAP) állapotreferenciáját az Active Directory tartományszolgáltatásokból.
Ha ez a fiók nincs beállítva, akkor a Configuration Manager a helykiszolgáló számítógépfiókján keresztül próbálja lekérdezni az állapotreferenciákat.
A fióknak olvasási jogosultsággal kell rendelkeznie a Configuration Manager Systems Management-tárolóhoz a globális katalógusban.
Hozzon létre egy fiókot az erdőben az állapotreferenciák tárolására. Ne használja ugyanazt a fiókot, amelyet állapotreferencia-közzétételi fiókként megadott, mivel annak több jogosultságra van szüksége.
| Biztonság Megjegyzés |
|---|
Ne adjon meg interaktív bejelentkezési jogokat ehhez a fiókhoz. |
Felügyeleti pont csatlakozási fiókja
A felügyeleti pont csatlakozási fiókja összekapcsolja a felügyeleti pontot a Configuration Manager-helyadatbázissal, annak érdekében, hogy a felügyeleti pont információkat küldhessen és kérdezhessen le az ügyfelek számára. A rendszer alapértelmezésben a felügyeleti pont számítógépfiókját használja, de be lehet állítani helyette egy felhasználói fiókot. Ha a felügyeleti pont olyan tartományban van, amely a helykiszolgáló számára nem megbízható, akkor muszáj megadni egy felhasználói fiókot.
Alacsony jogosultságú, helyi fiókként hozza létre a fiókot a Microsoft SQL Servert futtató számítógépen.
| Biztonság Megjegyzés |
|---|
Ne adjon meg interaktív bejelentkezési jogokat ehhez a fiókhoz. |
MEBx-fiók
A MEBx-fiók a Management Engine BIOS extension-beli (MEBx) fiók az Intel AMT-alapú számítógépeken, amely lehetővé teszi a kezdeti hitelesített hozzáférést az AMT belső vezérlőprogramjához az AMT-alapú számítógépeken.
A MEBx-fiók neve admin, és az alapértelmezés szerinti jelszava szintén admin. A gyártó megadhat egyéni jelszót, vagy a felhasználó is átállíthatja a jelszót az AMT-ben. Ha nem admin a MEBx-jelszó, akkor be kell állítani az AMT kiépítési és felderítési fiókot. További információt a 5. lépés: A kimenő sávon felügyeleti összetevő konfigurálása című témakör következő lépésében talál: How to kiépítése, és a Configuration Manager konfigurálása az AMT-alapú számítógépek.
A fiókot az AMT-alapú számítógép Management Engine BIOS extensions kiterjesztése tárolja. Ez a fiók nem áll kapcsolatban egyik Windows-fiókkal sem.
Ha nem változtatták meg az alapértelmezett MEBx-jelszót, mielőtt a Configuration Manager kiépíti az AMT-t a számítógép számára, akkor az AMT kiépítése során a Configuration Manager beállítja a felhasználó által megadott jelszót.
Csoportos kapcsolat fiókja
A csoportos kapcsolat fiókját a csoportos küldésre beállított terjesztési pontok használják a helyadatbázisból való olvasáshoz. A rendszer alapértelmezésben a terjesztési pont számítógépfiókját használja, de be lehet állítani helyette egy felhasználói fiókot. Ha a helyadatbázis egy nem megbízható erdőben van, akkor muszáj megadni egy felhasználói fiókot. Ha például az adatközpontnak szegélyhálózata van egy másik erdőben, mint ahol a helykiszolgáló és a helyadatbázis található, akkor ezzel a fiókkal lehet kiolvasni a csoportos küldés adatait a helyadatbázisból.
Ha létrehozza ezt a fiókot, egy alacsony jogosultságú, helyi fióknak kell lennie a Microsoft SQL Servert futtató számítógépen.
| Biztonság Megjegyzés |
|---|
Ne adjon meg interaktív bejelentkezési jogokat ehhez a fiókhoz. |
Hálózatelérési fiók
Ha az ügyfélszámítógépek nem használhatják a saját helyi számítógépfiókjukat, akkor a hálózatelérési fiók segítségével érik el a felügyeleti pontokon található tartalmat. Ez vonatkozik a munkacsoport-ügyfelekre és a nem megbízható tartományokban levő számítógépekre is. Ez a fiók az operációs rendszer telepítése során is használható, ha az operációs rendszert telepítő számítógépnek még nincs számítógépfiókja a tartományban.
| Megjegyzés |
|---|
A rendszer nem használja a hálózatelérési fiókot programok futtatására, szoftverfrissítés telepítésére vagy feladatütemezésre, csakis a hálózati erőforrások eléréséhez. |
Csak annyi jogosultságot adjon a fióknak, amennyi feltétlenül szükséges ahhoz, hogy az ügyfél elérje a szoftvert. A fióknak rendelkeznie kell A számítógép elérése a hálózatról jogosultsággal a terjesztési ponton vagy a csomagtartalmat tároló más kiszolgálón. A System Center 2012 R2 Configuration Manager szoftvernél korábbi verzió esetén helyenként csak egy hálózatelérési fiókot lehet létrehozni, és a rendszer ezt a fiókot használja minden csomaghoz és feladatütemezéshez, amelyhez szükség van erre a fiókra. A System Center 2012 R2 Configuration Manager verziótól kezdve több hálózatelérési fiók is megadható egy helyhez.
.jpeg "System_CAPS_warning") Figyelmeztetés |
|---|
Ha a Configuration Manager nem tudja letölteni a tartalmat a computername$ fiók segítségével, akkor automatikusan újrapróbálkozik a hálózatelérési fiókkal, akkor is, ha korábban már próbálta használni, és nem sikerült. |
A fiók bármelyik tartományban létrehozható, amelyik megfelelő hozzáférést biztosít az erőforrásokhoz. A hálózatelérési fióknak tartalmaznia kell a tartomány nevét. Ennél a fióknál nem használható átmenő hitelesítés. Ha több tartományban is vannak terjesztési pontok, akkor egy megbízható tartományban hozza létre a fiókot.
| Tipp |
|---|
A fiók zárolásának elkerülése érdekében ne módosítsa a meglévő hálózatelérési fiók jelszavát. Inkább hozzon létre egy új fiókot, és azt állítsa be a Configuration Manager szoftverben. Ha már minden ügyfél megkapta az új fiók adatait, akkor távolítsa el a korábbi fiókot a megosztott hálózati mappákból, és törölje a fiókot. |
| Biztonság Megjegyzés |
|---|
Ne adjon interaktív bejelentkezési jogosultságot ennek a fióknak. Ne engedélyezze a fióknak, hogy számítógépeket csatlakoztasson a tartományhoz. Ha egy feladatütemezés végrehajtása közben tartományhoz kell csatlakoztatnia a számítógépeket, használja a Feladatütemezés-szerkesztő tartományhoz való csatlakozásra szolgáló fiókját. |
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Mostantól kezdve egy helyhez több hálózatelérési fiók is megadható. Amikor az ügyfelek tartalmat próbálnak elérni és nem használhatják a helyi számítógépes fiókot, először azt a hálózati hozzáférési fiókot használják, amelyhez utoljára csatlakoztak sikeresen. A Configuration Manager legfeljebb tíz hálózati hozzáférési fiók hozzáadását támogatja.
Csomag-hozzáférési fiók
A csomagelérési fiók lehetőséget ad az NTFS-engedélyek beállítására, így meg lehet adni azokat a felhasználókat és csoportokat, akik hozzáférhetnek a terjesztési pontok csomagmappáihoz. A Configuration Manager alapértelmezés szerint csak a Felhasználók és a Rendszergazdák általános hozzáférési fiókok számára biztosít hozzáférést, de további Windows-fiókokat vagy csoportokat is meg lehet adni az ügyfélszámítógépek hozzáférésének szabályozása érdekében. A mobileszközök mindig név nélkül kérdezik le a csomagok tartalmát, ezért nem használják a csomagelérési fiókot.
Amikor a Configuration Manager létrehozza a csomagmegosztást egy terjesztési ponton, alapértelmezésben olvasási hozzáférést ad a helyi Felhasználók csoportnak, és teljes hozzáférést a helyi Rendszergazdák csoportnak. A csomagtól függ, hogy valójában milyen engedélyekre van szükség. Ha munkacsoportokban vagy nem megbízható erdőkben levő ügyfelekkel rendelkezik, ezek az ügyfelek hálózatelérési fiókon keresztül férnek hozzá a csomagtartalomhoz. Ügyeljen arra, hogy a hálózatelérési fiók hozzáférhessen a csomaghoz a megadott csomagelérési fiókok segítségével.
Olyan tartomány fiókjait használja, amely hozzáfér a terjesztési pontokhoz. Ha azt követően hozza létre vagy módosítja a fiókot, hogy a csomag létrejött, újra kell terjesztenie a csomagot. A csomag frissítése esetén a csomag NTFS-engedélyeit változatlanok maradnak.
Nem kell felvennie a hálózatelérési fiókot csomagelérési fiókként, mert a Felhasználók csoport tagsága automatikusan felveszi. Az ügyfelek attól még hozzáférhetnek a csomaghoz, hogy a csomag-hozzáférési fiók csak a hálózatelérési fiókra van korlátozva.
Jelentéskészítési szolgáltatási pont fiókja
Az SQL Server Reporting Services a jelentéskészítési szolgáltatási pont fiókja segítségével kérdezi le a Configuration Manager-jelentésekhez szükséges adatokat a helyadatbázisból. A megadott Windows-felhasználói fiókot és jelszót az SQL Server Reporting Services-adatbázis tárolja titkosítva.
Távoli eszközök engedélyezett megjelenítő fiókjai
A távvezérléshez engedélyezett megjelenítőként megadott fiókok azok a felhasználók, akik használhatják az ügyfeleken a távoli eszközök funkciót.
Helyrendszer-telepítési fiók
A helyrendszer-telepítési fiókot a helykiszolgáló használja a helyrendszerek telepítéséhez, újratelepítéséhez, eltávolításához és konfigurálásához. Ha úgy állítja be a helyrendszert, hogy a helykiszolgálónak kapcsolatot kelljen vele kezdeményezni, akkor a Configuration Manager ennek a fióknak a segítségével szerez adatokat a helyrendszer számítógépéről a helyrendszer és a helyrendszerszerepkörök telepítése után. Minden helyrendszernek saját helyrendszer-telepítési fiókja lehet, de egy helyrendszeren belül egyetlen helyrendszer-telepítési fiókot lehet csak megadni az összes helyrendszerszerepkör kezelésére.
Ennek a fióknak helyi rendszergazdai jogosultságokkal kell rendelkeznie azon a helyrendszeren, amelyet telepíteni és konfigurálni fog. Ezenkívül a fióknak be kell állítani a biztonsági házirendben A számítógép elérése a hálózatról jogosultságot azon a helyrendszeren, amelyet telepíteni és konfigurálni fog.
| Tipp |
|---|
Ha több tartományvezérlővel rendelkezik, és ezeket a fiókokat több tartományon is használja, akkor a helyrendszer konfigurálása előtt ellenőrizze, hogy megtörtént-e a fiókok replikálása. Ha helyi fiókot ad meg mindegyik felügyelendő helyrendszeren, az biztonságosabb a tartományi fiókok használatánál, mert a fiók esetleges feltörése esetén a támadók kisebb kárt okozhatnak. A tartományi fiókokat azonban egyszerűbb kezelni, ezért érdemes kompromisszumot kötni a biztonság és a hatékony adminisztráció között. |
SMTP-kiszolgáló csatlakozási fiókja
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:A helykiszolgáló az SMTP-kiszolgáló csatlakozási fiókja segítségével küld e-mail riasztást, ha az SMTP-kiszolgáló hitelesített hozzáférést igényel.
| Biztonság Megjegyzés |
|---|
Adjon meg egy olyan, e-mail küldésre alkalmas fiókot, amely a lehető legkevesebb jogosultsággal rendelkezik. |
Szoftverfrissítési pont csatlakozási fiókja
A helykiszolgáló a következő két szoftverfrissítési szolgáltatáshoz használja a szoftverfrissítési pont csatlakozási fiókját:
A WSUS konfigurációkezelőhöz, amely a különböző beállítások, például a termékmeghatározások, besorolások és a felsőbb rétegbeli beállítások konfigurálását végzi.
A WSUS szinkronizációkezelőhöz, amely szinkronizálást kér a felsőbb rétegbeli WSUS-kiszolgálóval vagy a Microsoft Update szolgáltatással.
A helyrendszer-telepítési fiók telepítheti a szoftverfrissítések összetevőit, de nem tudja ellátni a speciális szoftverfrissítési funkciókat a szoftverfrissítési ponton. Ha a helykiszolgáló számítógépfiókja nem használható erre a funkcióra, mert a szoftverfrissítési pont egy nem megbízható erdőben van, akkor ezt a fiókot is meg kell adni a helyrendszer-telepítési fiók mellett.
Ennek a fióknak helyi rendszergazdának kell lennie a WSUS-t futtató számítógépen, és benne kell lennie a helyi WSUS-rendszergazdák csoportban.
Szoftverfrissítési pont proxykiszolgáló-fiókja
A szoftverfrissítési pont ezen proxykiszolgáló-fiók segítségével éri el az internetet a hitelesített hozzáférést igénylő proxykiszolgálón vagy tűzfalon keresztül.
| Biztonság Megjegyzés |
|---|
Adjon meg olyan fiókot, amely a legkisebb lehetséges engedélyekkel rendelkezik a szükséges proxykiszolgálóhoz vagy tűzfalhoz. |
Forráshelyfiók
Az áttelepítési folyamat a forráshelyfiókon keresztül éri el a forráshely SMS-szolgáltatóját. A fióknak olvasási jogosultsággal kell rendelkeznie a forráshely helyobjektumai felett, hogy adatokat gyűjthessen az áttelepítési feladatokhoz.
Ha Configuration Manager 2007 verziójú terjesztési pontokat vagy olyan másodlagos helyeket frissít, ahol társ elhelyezésű terjesztési pontok vannak, a System Center 2012 Configuration Manager verziójú terjesztési pontokra frissít, ennek a fióknak Törlés engedéllyel is kell rendelkezni a Site osztályra, hogy a frissítéskor sikeresen távolítson el terjesztési pontot a Configuration Manager 2007-helyről.
| Megjegyzés |
|---|
A forráshelyfiók és a forráshelyi adatbázisfiók is Migration Manager eszközként van azonosítva a Configuration Manager konzol Felügyelet munkaterületének Fiókok csomópontján. |
Forráshelyi adatbázisfiók
A forráshelyi adatbázisfiókot az áttelepítési folyamat használja a forráshely SQL Server adatbázisának elérésére. A forráshely SQL Server adatbázisából az adatok gyűjtéséhez a forráshelyi adatbázisfióknak Olvasás és Végrehajtás engedéllyel kell rendelkezni a forráshely SQL Server adatbázisára.
| Megjegyzés |
|---|
Ha a System Center 2012 Configuration Manager számítógép-fiókját használja, meg kell győződnie, hogy erre a fiókra igazak a következők:
|
| Megjegyzés |
|---|
A forráshelyfiók és a forráshelyi adatbázisfiók is Migration Manager eszközként van azonosítva a Configuration Manager konzol Felügyelet munkaterületének Fiókok csomópontján. |
Feladatütemezés-szerkesztő tartománycsatlakozási fiókja
A feladatütemezés-szerkesztő tartománycsatlakozási fiókját feladatütemezésben lehet használni, hogy egy újonnan leképezett számítógépet tartományhoz lehessen csatlakoztatni. Ez a fiók akkor szükséges, ha a feladatütemezésbe felvette a Csatlakozás tartományhoz vagy munkacsoporthoz lépést, majd a Csatlakozás tartományhoz lehetőséget választotta. Ez a fiók akkor is konfigurálható, ha a feladatütemezésbe felvette a Hálózati beállítások alkalmazása lépést, de ekkor nem kötelező.
Ennek a fióknak Tartományhoz való csatlakozás jogosultságra van szüksége abban a tartományban, amelyikhez a számítógép csatlakozni fog.
| Tipp |
|---|
Ha a feladatütemezéseihez szüksége van erre a fiókra, létrehozhat egy minimális engedéllyel rendelkező tartományi felhasználói fiókot, hogy elérje a hálózati erőforrásokat, és használja azt minden feladatütemezési fiókhoz. |
| Biztonság Megjegyzés |
|---|
Ne rendeljen interaktív bejelentkezési engedélyt ehhez a fiókhoz. Ilyen fiókként ne használja a Hálózati hozzáférés fiókot. |
Feladatütemezés-szerkesztő hálózati mappához csatlakoztató fiókja
A feladatütemezés-szerkesztő hálózati mappához csatlakoztató fiókját a feladatütemezés használja, hogy csatlakoztasson a hálózaton lévő megosztott mappához. Erre a fiókra akkor van szükség, ha a Csatlakozás hálózati mappához lépést hozzáadja egy feladatütemezéshez.
Ennek a fióknak engedélyre van szüksége, hogy csatlakozzon a megadott megosztott mappához, és csak tartományi felhasználói fiók lehet.
| Tipp |
|---|
Ha a feladatütemezéseihez szüksége van erre a fiókra, létrehozhat egy minimális engedéllyel rendelkező tartományi felhasználói fiókot, hogy elérje a hálózati erőforrásokat, és használja azt minden feladatütemezési fiókhoz. |
| Biztonság Megjegyzés |
|---|
Ne rendeljen interaktív bejelentkezési engedélyt ehhez a fiókhoz. Ilyen fiókként ne használja a Hálózati hozzáférés fiókot. |
Fiókként futó feladatütemezés
A fiókként futó feladatütemezés használható, hogy a feladatütemezésben parancssorokat futtasson, és olyan hitelesítőadatokat használjon, amik nem a helyi rendszerfiók hitelesítőadatai. Erre a fiókra akkor van szükség, ha a feladatütemezésbe felveszi a Parancssor futtatása lépést, de nem akarja, hogy a feladatütemezés a Helyi rendszerfiók engedélyeivel fusson a felügyelt számítógépen.
Konfigurálja a fiókot úgy, hogy a feladatütemezésben megadott parancssor futtatásához szükséges legkevesebb engedélye legyen. A fióknak interaktív bejelentkezési jogosultságra van szüksége, és általában szüksége van arra, hogy szoftvert telepítsen és hozzáférjen a hálózati erőforrásokhoz.
| Biztonság Megjegyzés |
|---|
Ne használja a Hálózati hozzáférés fiókot ebben az esetben. Ne tegye soha a fiókot tartományi rendszergazdává. Ehhez a fiókhoz ne konfiguráljon soha barangolási profilt. Amikor a feladatütemezés fut, le fogja tölteni a fiók barangolási profilját, ami a profilt a helyi számítógépen való hozzáféréshez sebezhetőnek hagyja. Korlátozza a fiók hatókörét. Például különböző fiókként futó feladatütemezést hozzon létre az egyes feladatütemezésekhez, így ha az egyik fiók biztonsága sérül, csak az adott fiók által elérhető ügyfélszámítógépek kerülnek veszélybe. Ha a parancssornak a számítógépen rendszergazdai hozzáférésre van szüksége, fontolja meg olyan helyi rendszergazdai fiók létrehozását, ami minden számítógépen futtatja a feladatütemezést, és törölje ezt a fiókot rögtön, ha már nincs rá szükség. |