Configuration Managerで使用されるアカウント

Configuration Manager (現在のブランチ) に適用

次の情報を使用して、Configuration Managerで使用される Windows グループ、アカウント、SQL Server オブジェクト、その使用方法、および要件を特定します。

作成して使用Configuration Manager Windows グループ

Configuration Managerは、次の Windows グループを自動的に作成し、多くの場合、自動的に管理します。

注:

ドメイン メンバー Configuration Managerコンピューター上にグループを作成すると、グループはローカル セキュリティ グループになります。 コンピューターがドメイン コントローラーの場合、グループはドメイン ローカル グループです。 この種類のグループは、ドメイン内のすべてのドメイン コントローラー間で共有されます。

構成Manager_CollectedFilesAccess

Configuration Managerは、このグループを使用して、ソフトウェア インベントリによって収集されたファイルを表示するためのアクセス権を付与します。

詳細については、「 ソフトウェア インベントリの概要」を参照してください。

CollectedFilesAccess の型と場所

このグループは、プライマリ サイト サーバーで作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

CollectedFilesAccess のメンバーシップ

Configuration Managerは、グループ メンバーシップを自動的に管理します。 メンバーシップには、割り当てられたセキュリティ ロールからコレクションセキュリティ保護可能オブジェクトに対する [収集されたファイルの表示] アクセス許可が付与されている管理ユーザーが含まれます。

CollectedFilesAccess のアクセス許可

既定では、このグループにはサイト サーバー上の次のフォルダーに対する 読み取り アクセス許可があります。 C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

構成Manager_DViewAccess

このグループは、子プライマリ サイトのサイト データベース サーバーまたはデータベース レプリカ サーバーに作成Configuration Managerローカル セキュリティ グループです。 階層内のサイト間のデータベース レプリケーションに分散ビューを使用すると、サイトによって作成されます。 中央管理サイトのサイト サーバーとSQL Serverコンピューター アカウントが含まれています。

詳細については、「 サイト間のデータ転送」を参照してください。

リモート コントロール ユーザーのConfiguration Manager

リモート ツールConfiguration Manager、このグループを使用して、設定したアカウントとグループを [許可された閲覧者] リストに格納します。 サイトは、このリストを各クライアントに割り当てます。

詳細については、「 リモート コントロールの概要」を参照してください。

リモート コントロール ユーザーの種類と場所

このグループは、クライアントがリモート ツールを有効にするポリシーを受け取ったときに、Configuration Manager クライアントで作成されたローカル セキュリティ グループです。

クライアントのリモート ツールを無効にすると、このグループは自動的に削除されません。 リモート ツールを無効にした後、手動で削除します。

リモート コントロール ユーザーのメンバーシップ

既定では、このグループにはメンバーがありません。 許可された閲覧者リストにユーザーを追加すると、ユーザーはこのグループに自動的に追加されます。

[許可された閲覧者] リストを使用して、このグループにユーザーまたはグループを直接追加するのではなく、このグループのメンバーシップを管理します。

許可されたビューアーであることに加えて、管理ユーザーは Collection オブジェクトに対するリモート 制御アクセス許可を持っている必要があります。 リモート ツール オペレーターのセキュリティ ロールを使用して、このアクセス許可を割り当てます。

リモート コントロール ユーザーのアクセス許可

既定では、このグループにはコンピューター上の任意の場所に対するアクセス許可がありません。 これは、 許可された閲覧 者リストを保持するためにのみ使用されます。

SMS 管理者

Configuration Managerでは、このグループを使用して WMI 経由で SMS プロバイダーへのアクセスを許可します。 Configuration Manager コンソールでオブジェクトを表示および変更するには、SMS プロバイダーへのアクセスが必要です。

注:

管理ユーザーのロールベースの管理構成により、Configuration Manager コンソールを使用するときに表示および管理できるオブジェクトが決まります。

詳細については、「 SMS プロバイダーの計画」を参照してください。

SMS 管理者の種類と場所

このグループは、SMS プロバイダーを持つ各コンピューターに作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS 管理者のメンバーシップ

Configuration Managerは、グループ メンバーシップを自動的に管理します。 既定では、階層内の各管理ユーザーとサイト サーバー コンピューター アカウントは、サイト内の各 SMS プロバイダー コンピューターの SMS Admins グループのメンバーです。

SMS 管理者のアクセス許可

WMI Control MMC スナップインで、SMS Admins グループの権限とアクセス許可を表示できます。 既定では、このグループには WMI 名前空間で [アカウントの有効化] と [ リモート有効化]Root\SMS 付与されます。 認証されたユーザーには、 Execute メソッドプロバイダー書き込み有効化アカウントがあります。

リモート Configuration Manager コンソールを使用する場合は、サイト サーバー コンピューターと SMS プロバイダーの両方でリモート ライセンス認証 DCOM アクセス許可を構成します。 これらの権限を SMS Admins グループに付与します。 このアクションにより、これらの権限をユーザーまたはグループに直接付与するのではなく、管理が簡略化されます。 詳細については、「リモート Configuration Manager コンソールの DCOM アクセス許可を構成する」を参照してください。

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

サイト サーバーからリモートの管理ポイントでは、このグループを使用してサイト データベースに接続します。 このグループは、サイト サーバーとサイト データベース上の受信トレイ フォルダーへの管理ポイント アクセスを提供します。

SMS_SiteSystemToSiteServerConnection_MPの種類と場所

このグループは、SMS プロバイダーを持つ各コンピューターに作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_MPのメンバーシップ

Configuration Managerは、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップには、サイトの管理ポイントを持つリモート コンピューターのコンピューター アカウントが含まれます。

SMS_SiteSystemToSiteServerConnection_MPのアクセス許可

既定では、このグループには、サイト サーバー上の次のフォルダーに対する読み取り、読み取り & 実行、およびフォルダーの内容の一覧表示のアクセス許可があります。 C:\Program Files\Microsoft Configuration Manager\inboxes このグループには、管理ポイントがクライアント データを 書き込受信トレイの下のサブフォルダーへの書き込みアクセス許可もあります。

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

リモート SMS プロバイダー コンピューターでは、このグループを使用してサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_SMSProvの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_SMSProvのメンバーシップ

Configuration Managerは、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップにはコンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 このアカウントを使用して、各リモート SMS プロバイダーからサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_SMSProvのアクセス許可

既定では、このグループには、サイト サーバー上の次のフォルダーに対する読み取り、読み取り & 実行、およびフォルダーの内容の一覧表示のアクセス許可があります。 C:\Program Files\Microsoft Configuration Manager\inboxes このグループには、受信トレイの下のサブフォルダーに対する 書き込み および 変更 のアクセス許可もあります。 SMS プロバイダーには、これらのフォルダーへのアクセスが必要です。

このグループには、 の下C:\Program Files\Microsoft Configuration Manager\OSD\Binにあるサイト サーバー上のサブフォルダーに対する読み取りアクセス許可もあります。

また、以下 C:\Program Files\Microsoft Configuration Manager\OSD\bootのサブフォルダーに対する次のアクセス許可もあります。

  • Read
  • 実行 & 読み取り
  • フォルダー コンテンツの一覧表示
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Configuration Managerリモート サイト システム コンピューター上のファイル ディスパッチ マネージャー コンポーネントは、このグループを使用してサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_Statの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_Statのメンバーシップ

Configuration Managerは、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップにはコンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 このアカウントを使用して、ファイル ディスパッチ マネージャーを実行する各リモート サイト システムからサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_Statのアクセス許可

既定では、このグループには、サイト サーバーC:\Program Files\Microsoft Configuration Manager\inboxes上の次のフォルダーとそのサブフォルダーに対する読み取り、読み取り & 実行、およびフォルダーの内容の一覧表示のアクセス許可があります。

このグループには、サイト サーバー上の次のフォルダーに対する書き込みおよび変更のアクセス許可もあります。 C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box

<SMS_SiteToSiteConnection_sitecode>

Configuration Managerでは、このグループを使用して、階層内のサイト間でファイル ベースのレプリケーションを有効にします。 このサイトにファイルを直接転送するリモート サイトごとに、このグループには ファイル レプリケーション アカウントとしてアカウントが設定されています。

SMS_SiteToSiteConnectionの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

SMS_SiteToSiteConnectionのメンバーシップ

新しいサイトを別のサイトの子としてインストールすると、新しいサイト サーバーのコンピューター アカウントConfiguration Manager親サイト サーバー上のこのグループに自動的に追加されます。 Configuration Managerでは、親サイトのコンピューター アカウントも新しいサイト サーバー上のグループに追加されます。 ファイル ベースの転送に別のアカウントを指定する場合は、そのアカウントをコピー先サイト サーバーのこのグループに追加します。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteToSiteConnectionのアクセス許可

既定では、このグループには、次のフォルダーへのフル コントロールがあります。 C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive

Configuration Managerが使用するアカウント

Configuration Managerには、次のアカウントを設定できます。

ヒント

Configuration Manager コンソールで指定したアカウントには、パスワードのパーセンテージ文字 (%) を使用しないでください。 アカウントの認証に失敗します。

Active Directory グループ検出アカウント

サイトでは、Active Directory グループ検出アカウントを使用して、指定したActive Directory Domain Services内の場所から次のオブジェクトを検出します。

  • ローカル、グローバル、ユニバーサルのセキュリティ グループ
  • これらのグループ内のメンバーシップ
  • 配布グループ内のメンバーシップ
    • 配布グループがグループ リソースとして検出されない

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、または Windows ユーザー アカウントを指定できます。 検出のために指定する Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory グループの探索を参照してください。

Active Directory システム検出アカウント

サイトでは、Active Directory システム検出アカウントを使用して、指定したActive Directory Domain Servicesの場所からコンピューターを検出します。

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、または Windows ユーザー アカウントを指定できます。 検出のために指定する Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory システム探索を参照してください。

Active Directory ユーザー検出アカウント

サイトでは、Active Directory ユーザー検出アカウントを使用して、指定したActive Directory Domain Servicesの場所からユーザー アカウントを検出します。

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、または Windows ユーザー アカウントを指定できます。 検出のために指定する Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory ユーザー探索を参照してください。

Active Directory フォレスト アカウント

サイトでは 、Active Directory フォレスト アカウント を使用して、Active Directory フォレストからネットワーク インフラストラクチャを検出します。 中央管理サイトとプライマリ サイトは、フォレストのActive Directory Domain Servicesにサイト データを発行するためにも使用します。

注:

セカンダリ サイトでは、常にセカンダリ サイト サーバー コンピューター アカウントを使用して Active Directory に発行します。

信頼されていないフォレストを検出して発行するには、Active Directory フォレスト アカウントがグローバル アカウントである必要があります。 サイト サーバーのコンピューター アカウントを使用しない場合は、グローバル アカウントのみを選択できます。

このアカウントには、ネットワーク インフラストラクチャを検出する各 Active Directory フォレストに対する 読み取り アクセス許可が必要です。

このアカウントには、サイト データを発行する各 Active Directory フォレスト内の System Management コンテナーとそのすべての子オブジェクトに対するフル コントロールアクセス許可が必要です。 詳細については、「 サイトの発行のために Active Directory を準備する」を参照してください。

詳細については、「 Active Directory フォレストの検出」を参照してください。

証明書登録ポイント アカウント

警告

バージョン 2203 以降、証明書登録ポイントはサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

証明書登録ポイントは、証明書登録ポイント アカウントを使用して、Configuration Manager データベースに接続します。 既定ではコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成できます。 証明書登録ポイントがサイト サーバーの信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。 状態メッセージ システムが書き込みタスクを処理するため、このアカウントではサイト データベースへの 読み取り アクセスのみが必要です。

詳細については、「 証明書プロファイルの概要」を参照してください。

OS イメージ アカウントをキャプチャする

OS イメージをキャプチャする場合、Configuration Managerはキャプチャ OS イメージ アカウントを使用して、キャプチャされたイメージを格納するフォルダーにアクセスします。 タスク シーケンスに [OS イメージのキャプチャ ] ステップを追加する場合は、このアカウントが必要です。

アカウントには、キャプチャしたイメージを格納するネットワーク共有に対する 読み取り および 書き込み アクセス許可が必要です。

Windows でアカウントのパスワードを変更する場合は、タスク シーケンスを新しいパスワードで更新します。 Configuration Manager クライアントは、次にクライアント ポリシーをダウンロードするときに新しいパスワードを受け取ります。

このアカウントを使用する必要がある場合は、1 つのドメイン ユーザー アカウントを作成します。 必要なネットワーク リソースにアクセスするための最小限のアクセス許可を付与し、すべてのキャプチャ タスク シーケンスに使用します。

Important

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

詳細については、「OS を キャプチャするためのタスク シーケンスの作成」を参照してください。

クライアント プッシュ インストール アカウント

クライアント プッシュ インストール方法を使用してクライアントを展開する場合、サイトはクライアント プッシュ インストール アカウントを使用してコンピューターに接続し、Configuration Manager クライアント ソフトウェアをインストールします。 このアカウントを指定しない場合、サイト サーバーはコンピューター アカウントの使用を試みます。

このアカウントは、ターゲット クライアント コンピューターのローカル Administrators グループのメンバーである必要があります。 このアカウントには、ドメイン 管理権限は必要ありません。

複数のクライアント プッシュ インストール アカウントを指定できます。 Configuration Managerは、成功するまで順番にそれぞれを試行します。

ヒント

大規模な Active Directory 環境があり、このアカウントを変更する必要がある場合は、次のプロセスを使用して、このアカウントの更新をより効果的に調整します。

  1. 別の名前で新しいアカウントを作成する
  2. クライアント プッシュ インストール アカウントの一覧に新しいアカウントを追加Configuration Manager
  3. Active Directory Domain Servicesが新しいアカウントをレプリケートするのに十分な時間を確保する
  4. 次に、古いアカウントをConfiguration Managerから削除し、Active Directory Domain Services

Important

ドメインまたはローカル グループ ポリシーを使用して、Windows ユーザー権限を [ ローカルでのログオンの拒否] に割り当てます。 Administrators グループのメンバーとして、このアカウントはローカルでサインインする権利を持ちますが、これは必要ありません。 セキュリティを強化するには、このアカウントの権利を明示的に拒否します。 拒否権限は許可権限よりも優先されます。

詳細については、「 クライアント プッシュ インストール」を参照してください。

登録ポイント接続アカウント

登録ポイントは、登録ポイント接続アカウントを使用して、Configuration Manager サイト データベースに接続します。 既定ではコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成できます。 登録ポイントがサイト サーバーの信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。 このアカウントには、サイト データベースへの読み取りと書き込みアクセスが必要です。

詳細については、「 オンプレミス MDM のサイト システムの役割をインストールする」を参照してください。

Exchange Server接続アカウント

サイト サーバーは、Exchange Server接続アカウントを使用して、指定したExchange Serverに接続します。 この接続を使用して、Exchange Serverに接続するモバイル デバイスを検索して管理します。 このアカウントには、Exchange Server コンピューターに必要なアクセス許可を提供する Exchange PowerShell コマンドレットが必要です。 コマンドレットの詳細については、「 Exchange コネクタのインストールと構成」を参照してください。

管理ポイント接続アカウント

管理ポイントは、管理ポイント接続アカウントを使用して、Configuration Manager サイト データベースに接続します。 この接続を使用して、クライアントの情報を送信および取得します。 管理ポイントは既定でコンピューター アカウントを使用しますが、代わりにユーザー アカウントを構成できます。 管理ポイントがサイト サーバーの信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。

Microsoft SQL Serverを実行するコンピューターで、アカウントをロー右のローカル アカウントとして作成します。

Important

このアカウントに対話型サインイン権限を付与しないでください。

マルチキャスト接続アカウント

マルチキャストが有効な配布ポイントでは、 マルチキャスト接続アカウント を使用してサイト データベースから情報を読み取ります。 サーバーは既定でコンピューター アカウントを使用しますが、代わりにユーザー アカウントを構成できます。 サイト データベースが信頼されていないフォレストにある場合は、ユーザー アカウントを指定する必要があります。 たとえば、データ センターにサイト サーバーとサイト データベース以外のフォレストに境界ネットワークがある場合は、このアカウントを使用してサイト データベースからマルチキャスト情報を読み取ります。

このアカウントが必要な場合は、Microsoft SQL Serverを実行するコンピューターで、ロー右のローカル アカウントとして作成します。

Important

このアカウントに対話型サインイン権限を付与しないでください。

詳細については、「 マルチキャストを使用してネットワーク経由で Windows を展開する」を参照してください。

ネットワーク アクセス アカウント

クライアント コンピューターは、ローカル コンピューター アカウントを使用して配布ポイントのコンテンツにアクセスできない場合に 、ネットワーク アクセス アカウントを使用します。 これは主に、信頼されていないドメインからのワークグループ クライアントとコンピューターに適用されます。 このアカウントは、OS をインストールしているコンピューターがまだドメインにコンピューター アカウントを持っていない場合、OS の展開中にも使用されます。

Important

ネットワーク アクセス アカウントは、プログラムの実行、ソフトウェア更新プログラムのインストール、タスク シーケンスの実行にセキュリティ コンテキストとして使用されることはありません。 これは、ネットワーク上のリソースへのアクセスにのみ使用されます。

Configuration Manager クライアントはまず、そのコンピューター アカウントを使用してコンテンツをダウンロードしようとします。 失敗した場合は、ネットワーク アクセス アカウントが自動的に試行されます。

HTTPS または拡張 HTTP 用にサイトを構成する場合、ワークグループまたはMicrosoft Entra参加しているクライアントは、ネットワーク アクセス アカウントを必要とせずに配布ポイントからコンテンツに安全にアクセスできます。 この動作には、ブート メディア、PXE、またはソフトウェア センターから実行されるタスク シーケンスを含む OS 展開シナリオが含まれます。 詳細については、「 クライアントから管理ポイントへの通信」を参照してください。

注:

拡張 HTTP を有効にしてネットワーク アクセス アカウントを必要としない場合は、配布ポイントがWindows Server 2012以降で実行されている必要があります。

ネットワーク アクセス アカウントのアクセス許可

このアカウントに、クライアントがソフトウェアにアクセスするために必要なコンテンツに対する最小限の適切なアクセス許可を付与します。 アカウントには、配布ポイントの ネットワークからこのコンピューターにアクセス する権限が必要です。 サイトごとに最大 10 個のネットワーク アクセス アカウントを構成できます。

リソースに必要なアクセスを提供する任意のドメインにアカウントを作成します。 ネットワーク アクセス アカウントには、常にドメイン名を含める必要があります。 パススルー セキュリティは、このアカウントではサポートされていません。 複数のドメインに配布ポイントがある場合は、信頼されたドメインにアカウントを作成します。

ヒント

アカウントのロックアウトを回避するには、既存のネットワーク アクセス アカウントのパスワードを変更しないでください。 代わりに、新しいアカウントを作成し、Configuration Managerで新しいアカウントを設定します。 すべてのクライアントが新しいアカウントの詳細を受信するのに十分な時間が経過したら、ネットワーク共有フォルダーから古いアカウントを削除し、アカウントを削除します。

Important

このアカウントに対話型サインイン権限を付与しないでください。

コンピューターをドメインに参加させる権限をこのアカウントに付与しないでください。 タスク シーケンス中にコンピューターをドメインに参加させる必要がある場合は、 タスク シーケンス ドメイン参加アカウントを使用します。

ネットワーク アクセス アカウントを構成する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。 次に、サイトを選択します。

  2. リボンの [設定] グループで、[ サイト コンポーネントの構成] を選択し、[ ソフトウェア配布] を選択します。

  3. [ ネットワーク アクセス アカウント ] タブを選択します。1 つ以上のアカウントを設定し、[OK] を選択します

ネットワーク アクセス アカウントを必要とするアクション

ネットワーク アクセス アカウントは、次のアクション (eHTTP & PKI シナリオを含む) に引き続き必要です。

  • マルチキャスト。 詳細については、「 マルチキャストを使用してネットワーク経由で Windows を展開する」を参照してください。

  • [実行中のタスク シーケンス で必要なときに配布ポイントからコンテンツに直接アクセスする] の [タスク シーケンスの展開] オプション。 詳細については、「 タスク シーケンスの展開オプション」を参照してください。

  • [状態ストアの要求] タスク シーケンス ステップ。 タスク シーケンスがデバイスのコンピューター アカウントを使用して状態移行ポイントと通信できない場合は、ネットワーク アクセス アカウントを使用するためにフォールバックされます。 詳細については、 状態ストアの要求に関するページを参照してください。

  • [OS イメージ ] タスク シーケンス ステップ オプションを [ 配布ポイントから直接コンテンツにアクセスする] に適用します。 このオプションは、主に、ローカル ディスクへのコンテンツのキャッシュにコストがかかるディスク領域が少ない Windows Embedded シナリオ用です。 詳細については、「配布ポイントから直接コンテンツにアクセスする」を参照してください。

  • [タスク シーケンス] プロパティの [ 最初に別のプログラムを実行する] に設定します。 この設定は、タスク シーケンスが開始される前に、ネットワーク共有からパッケージとプログラムを実行します。 詳細については、「 タスク シーケンスのプロパティ: [詳細設定] タブ」を参照してください

  • 信頼されていないドメインとフォレスト間のシナリオでクライアントを管理すると、複数のネットワーク アクセス アカウントが許可されます。

パッケージ アクセス アカウント

パッケージ アクセス アカウントを使用すると、NTFS アクセス許可を設定して、配布ポイントのパッケージ コンテンツにアクセスできるユーザーとユーザー グループを指定できます。 既定では、Configuration Managerは汎用アクセス アカウントユーザーと管理者にのみアクセスを許可します。 他の Windows アカウントまたはグループを使用して、クライアント コンピューターのアクセスを制御できます。 モバイル デバイスは常にパッケージ コンテンツを匿名で取得するため、パッケージ アクセス アカウントは使用されません。

既定では、Configuration Managerコンテンツ ファイルを配布ポイントにコピーすると、ローカルの Users グループへの読み取りアクセスが許可され、ローカルの Administrators グループにフル コントロールが付与されます。 実際に必要なアクセス許可は、パッケージによって異なります。 ワークグループ内または信頼されていないフォレスト内のクライアントがある場合、それらのクライアントはネットワーク アクセス アカウントを使用してパッケージ コンテンツにアクセスします。 定義されたパッケージ アクセス アカウントを使用して、ネットワーク アクセス アカウントにパッケージへのアクセス許可があることを確認します。

配布ポイントにアクセスできるドメイン内のアカウントを使用します。 パッケージの作成後にアカウントを作成または変更する場合は、パッケージを再配布する必要があります。 パッケージを更新しても、パッケージの NTFS アクセス許可は変更されません。

ユーザー グループのメンバーシップによって自動的に追加されるため、ネットワーク アクセス アカウントをパッケージ アクセス アカウントとして追加する必要はありません。 パッケージ アクセス アカウントをネットワーク アクセス アカウントのみに制限しても、クライアントがパッケージにアクセスできなくなります。

パッケージ アクセス アカウントを管理する

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] ワークスペースに移動します。

  2. [ ソフトウェア ライブラリ ] ワークスペースで、アクセス アカウントを管理するコンテンツの種類を決定し、次の手順に従います。

    • アプリケーション: [ アプリケーション管理] を展開し、[ アプリケーション] を選択し、アクセス アカウントを管理するアプリケーションを選択します。

    • パッケージ: [ アプリケーション管理] を展開し、[ パッケージ] を選択し、アクセス アカウントを管理するパッケージを選択します。

    • ソフトウェア更新プログラムの展開パッケージ: [ソフトウェア 更新] を展開し、[展開パッケージ] を選択し、アクセス アカウントを管理する展開パッケージを選択します。

    • ドライバー パッケージ: [オペレーティング システム] を展開し、[ ドライバー パッケージ] を選択し、アクセス アカウントを管理するドライバー パッケージを選択します。

    • OS イメージ: [オペレーティング システム] を展開し、[ オペレーティング システム イメージ] を選択し、アクセス アカウントを管理するオペレーティング システム イメージを選択します。

    • OS アップグレード パッケージ: [オペレーティング システム] を展開し、[ オペレーティング システム のアップグレード パッケージ] を選択し、アクセス アカウントを管理する OS アップグレード パッケージを選択します。

    • ブート イメージ: [オペレーティング システム] を展開し、[ ブート イメージ] を選択し、アクセス アカウントを管理するブート イメージを選択します。

  3. 選択したオブジェクトを右クリックし、[ アクセス アカウントの管理] を選択します。

  4. [ アカウントの追加 ] ダイアログ ボックスで、コンテンツへのアクセス権を付与するアカウントの種類を指定し、アカウントに関連付けられているアクセス権を指定します。

    注:

    アカウントのユーザー名を追加Configuration Manager、ローカル ユーザー アカウントとその名前を持つドメイン ユーザー アカウントの両方が見つかると、ドメイン ユーザー アカウントのアクセス権Configuration Manager設定されます。

Reporting Services ポイント アカウント

SQL Server Reporting Servicesは、Reporting Services ポイント アカウントを使用して、サイト データベースからConfiguration Managerレポートのデータを取得します。 指定した Windows ユーザー アカウントとパスワードは暗号化され、SQL Server Reporting Services データベースに格納されます。

注:

指定するアカウントには、SQL Server Reporting Services データベースをホストしているコンピューターに対するローカルログオンアクセス許可が必要です。

アカウントには、Configuration Manager データベースのsmsschm_users SQL Server データベース ロールに追加され、必要なすべての権限が自動的に付与されます。

詳細については、「 レポートの概要」を参照してください。

リモート ツールで許可されているビューアー アカウント

[リモート コントロールの 閲覧者を許可する ] として指定するアカウントは、クライアントでリモート ツール機能を使用できるユーザーの一覧です。

詳細については、「 リモート コントロールの概要」を参照してください。

サイト インストール アカウント

ドメイン ユーザー アカウントを使用して、セットアップConfiguration Manager実行し、新しいサイトをインストールするサーバーにサインインします。

このアカウントには、次の権限が必要です。

  • 次のサーバーの管理者:

    • サイト サーバー
    • サイト データベースをホストする各サーバー
    • サイトの SMS プロバイダーの各インスタンス
  • サイト データベースをホストするSQL Serverのインスタンスの Sysadmin

セットアップConfiguration Manager、このアカウントが SMS Admins グループに自動的に追加されます。

インストール後、このアカウントは、Configuration Manager コンソールに対する権限を持つ唯一のユーザーです。 このアカウントを削除する必要がある場合は、最初に別のユーザーにその権限を追加してください。

スタンドアロン サイトを拡張して中央管理サイトを含める場合、このアカウントには、スタンドアロン プライマリ サイトで 完全管理者 または インフラストラクチャ管理者 の役割ベースの管理者権限が必要です。

サイト システムのインストール アカウント

サイト サーバーは 、サイト システムのインストール アカウント を使用して、サイト システムのインストール、再インストール、アンインストール、セットアップを行います。 サイト サーバーがこのサイト システムへの接続を開始するようにサイト システムを設定Configuration Manager場合は、サイト システムと任意の役割をインストールした後、このアカウントを使用してサイト システムからデータをプルすることもできます。 サイト システムごとに異なるインストール アカウントを持つことができますが、そのサイト システムのすべての役割を管理するためにセットアップできるインストール アカウントは 1 つだけです。

このアカウントには、ターゲット サイト システムに対するローカル管理アクセス許可が必要です。 さらに、このアカウントには、ターゲット サイト システムのセキュリティ ポリシーの ネットワークからこのコンピューターにアクセス する必要があります。

Important

リモート ドメインまたはフォレスト内のアカウントを指定する場合は、ドメイン NetBIOS 名だけでなく、ユーザー名の前にドメイン FQDN を指定してください。 たとえば、Corp\UserName の代わりに Corp.Contoso.com\UserName を指定します。 これにより、Configuration Managerは、アカウントを使用してリモート サイト システムに対する認証を行うときに Kerberos を使用できます。 FQDN を使用すると、Windows の毎月の更新プログラムでの NTLM に関する最近の強化の変更に起因する認証エラーが修正されることがよくあります。

ヒント

ドメイン コントローラーが多数あり、これらのアカウントがドメイン間で使用されている場合は、サイト システムを設定する前に、Active Directory でこれらのアカウントがレプリケートされたことをチェックします。

管理する各サイト システムでローカル アカウントを指定する場合、この構成はドメイン アカウントを使用するよりも安全です。 これは、アカウントが侵害された場合に攻撃者が行うことができる損害を制限します。 ただし、ドメイン アカウントの管理は簡単です。 セキュリティと効果的な管理のトレードオフを検討してください。

サイト システム プロキシ サーバー アカウント

次のサイト システムの役割は、認証されたアクセスを必要とするプロキシ サーバーまたはファイアウォールを介してインターネットにアクセスするために 、サイト システム プロキシ サーバー アカウントを使用します。

  • 資産インテリジェンス同期ポイント
  • Exchange Server コネクタ
  • サービス接続ポイント
  • ソフトウェアの更新ポイント

Important

必要なプロキシ サーバーまたはファイアウォールに対して最小限のアクセス許可を持つアカウントを指定します。

詳細については、「 プロキシ サーバーのサポート」を参照してください。

SMTP サーバー接続アカウント

サイト サーバーは 、SMTP サーバー接続アカウント を使用して、SMTP サーバーで認証されたアクセスが必要な場合に電子メール アラートを送信します。

Important

メールを送信するためのアクセス許可が最小限のアカウントを指定します。

詳細については、「アラートの 構成」を参照してください。

ソフトウェア更新ポイント接続アカウント

サイト サーバーは、次の 2 つのソフトウェア更新サービスにソフトウェア 更新ポイント接続アカウント を使用します。

  • Windows Server Update Services (WSUS)、製品の定義、分類、アップストリーム設定などの設定を設定します。

  • WSUS 同期マネージャー。アップストリームの WSUS サーバーまたは Microsoft Update への同期を要求します。

サイト システムのインストール アカウントは、ソフトウェア更新プログラムのコンポーネントをインストールできますが、ソフトウェアの更新ポイントでソフトウェア更新プログラム固有の機能を実行することはできません。 ソフトウェアの更新ポイントが信頼されていないフォレストにあるため、この機能にサイト サーバー コンピューター アカウントを使用できない場合は、サイト システムのインストール アカウントと共にこのアカウントを指定する必要があります。

このアカウントは、WSUS をインストールするコンピューターのローカル管理者である必要があります。 また、ローカル WSUS Administrators グループの一部である必要もあります。

詳細については、「 ソフトウェア更新プログラムの計画」を参照してください。

ソース サイト アカウント

移行プロセスでは、 ソース サイト アカウント を使用して、ソース サイトの SMS プロバイダーにアクセスします。 このアカウントでは、移行ジョブのデータを収集するために、ソース サイト内のサイト オブジェクトに対する 読み取り アクセス許可が必要です。

2007 配布ポイントまたは併置された配布ポイントを含むセカンダリ サイトをConfiguration Managerしている場合は、配布ポイントを Configuration Manager (現在のブランチ) 配布ポイントにアップグレードするときに、このアカウントに Site クラスに対する削除アクセス許可も必要です。 このアクセス許可は、アップグレード中にConfiguration Manager 2007 サイトから配布ポイントを正常に削除することです。

注:

ソース サイト アカウントとソース サイト データベース アカウントの両方が、Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードで移行マネージャーとして識別されます。

詳細については、「 階層間でデータを移行する」を参照してください。

ソース サイト データベース アカウント

移行プロセスでは、ソース サイト データベース アカウントを使用して、ソース サイトのSQL Server データベースにアクセスします。 ソース サイトのSQL Server データベースからデータを収集するには、ソース サイトのデータベース アカウントに、ソース サイトのSQL Server データベースに対する読み取りと実行のアクセス許可が必要です。

Configuration Manager (現在のブランチ) コンピューター アカウントを使用する場合は、このアカウントに対して次のすべてが当てはまることを確認します。

  • これは、Configuration Manager 2012 サイトと同じドメイン内の分散 COM ユーザー セキュリティ グループのメンバーです
  • SMS Admins セキュリティ グループのメンバーです
  • 2012 のすべてのオブジェクトに対する読み取りアクセス許可Configuration Manager

注:

ソース サイト アカウントとソース サイト データベース アカウントの両方が、Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードで移行マネージャーとして識別されます。

詳細については、「 階層間でデータを移行する」を参照してください。

タスク シーケンス ドメイン参加アカウント

Windows セットアップでは、 タスク シーケンス ドメイン参加アカウント を使用して、新しくイメージ化されたコンピューターをドメインに参加させます。 このアカウントは、[ドメインに 参加] または [ワークグループ] タスク シーケンス ステップで [ ドメインに参加 ] オプションを使用して必要です。 このアカウントは、[ ネットワーク設定の適用] ステップで設定することもできますが、必須ではありません。

このアカウントには、ターゲット ドメイン内の ドメイン参加 権限が必要です。

ヒント

ドメインに参加するための最小限のアクセス許可を持つ 1 つのドメイン ユーザー アカウントを作成し、すべてのタスク シーケンスに使用します。

Important

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

タスク シーケンス ネットワーク フォルダー接続アカウント

タスク シーケンス エンジンは、 タスク シーケンス ネットワーク フォルダー接続アカウント を使用して、ネットワーク上の共有フォルダーに接続します。 このアカウントは、[ ネットワーク フォルダーに接続 ] タスク シーケンス ステップで必要です。

このアカウントには、指定した共有フォルダーにアクセスするためのアクセス許可が必要です。 ドメイン ユーザー アカウントである必要があります。

ヒント

必要なネットワーク リソースにアクセスするための最小限のアクセス許可を持つ 1 つのドメイン ユーザー アカウントを作成し、すべてのタスク シーケンスに使用します。

Important

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

タスク シーケンスをアカウントとして実行する

タスク シーケンス エンジンは、 タスク シーケンス実行アカウントを 使用して、ローカル システム アカウント以外の資格情報を使用してコマンド ラインまたは PowerShell スクリプトを実行します。 このアカウントは、[ コマンド ラインの実行 ] と [ PowerShell スクリプトの実行] タスク シーケンスの手順で、[ 次のアカウントとしてこの手順を実行 する] オプションが選択されている場合に必要です。

タスク シーケンスで指定したコマンド ラインを実行するために必要な最小限のアクセス許可を持つアカウントを設定します。 アカウントには対話型サインイン権限が必要です。 通常、ソフトウェアをインストールしてネットワーク リソースにアクセスする機能が必要です。 PowerShell スクリプトの実行タスクでは、このアカウントにはローカル管理者のアクセス許可が必要です。

Important

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

アカウントをドメイン管理者にしないでください。

このアカウントのローミング プロファイルを設定しないでください。 タスク シーケンスを実行すると、アカウントのローミング プロファイルがダウンロードされます。 これにより、プロファイルはローカル コンピューター上のアクセスに対して脆弱になります。

アカウントのスコープを制限します。 たとえば、タスク シーケンスごとに異なるタスク シーケンス実行をアカウントとして作成します。 その後、1 つのアカウントが侵害された場合、そのアカウントがアクセス権を持つクライアント コンピューターのみが侵害されます。

コマンド ラインでコンピューターの管理アクセス権が必要な場合は、タスク シーケンスを実行するすべてのコンピューターで、このアカウント専用のローカル管理者アカウントを作成することを検討してください。 不要になったアカウントを削除します。

SQL Serverで使用Configuration Managerユーザー オブジェクト

Configuration Managerは、SQL で次のユーザー オブジェクトを自動的に作成および維持します。 これらのオブジェクトは、セキュリティ/ユーザーの下のConfiguration Manager データベース内にあります。

Important

これらのオブジェクトを変更または削除すると、Configuration Manager環境内で大幅な問題が発生する可能性があります。 これらのオブジェクトは変更しないことをお勧めします。

smsdbuser_ReadOnly

このオブジェクトは、読み取り専用コンテキストでクエリを実行するために使用されます。 このオブジェクトは、いくつかのストアド プロシージャで使用されます。

smsdbuser_ReadWrite

このオブジェクトは、動的 SQL ステートメントのアクセス許可を提供するために使用されます。

smsdbuser_ReportSchema

このオブジェクトは、レポート実行SQL Server実行するために使用されます。 この関数では、次のストアド プロシージャが使用されます。 spSRExecQuery

SQL で使用Configuration Managerデータベース ロール

Configuration Managerは、SQL で次のロール オブジェクトを自動的に作成および維持します。 これらのロールは、特定のストアド プロシージャ、テーブル、ビュー、および関数へのアクセスを提供します。 これらのロールは、Configuration Manager データベース内のデータを取得または追加します。 これらのオブジェクトは、セキュリティ/ロール/データベース ロールのConfiguration Manager データベース内にあります。

Important

これらのオブジェクトを変更または削除すると、Configuration Manager環境内で大幅な問題が発生する可能性があります。 これらのオブジェクトは変更しないでください。 次の一覧は、情報提供のみを目的としています。

smsdbrole_AITool

Configuration Managerは、資産インテリジェンスのボリューム ライセンス情報をインポートするためのロールベースのアクセスに基づいて、管理ユーザー アカウントにこのアクセス許可を付与します。 このアカウントは、完全管理者、運用管理者、資産マネージャーロール、または "資産インテリジェンスの管理" アクセス許可を持つ任意のロールによって追加できます。

smsdbrole_AIUS

Configuration Managerは、資産インテリジェンス同期ポイント アカウントをホストするコンピューター アカウントに、資産インテリジェンス プロキシ データを取得し、アップロードのために保留中の AI データを表示するためのアクセス権を付与します。

smsdbrole_CRP

Configuration Managerは、証明書の署名と更新の簡易証明書登録プロトコル (SCEP) サポートの証明書登録ポイントをサポートするサイト システムのコンピューター アカウントにアクセス許可を付与します。

smsdbrole_CRPPfx

Configuration Managerは、署名と更新の PFX サポート用に構成された証明書登録ポイントをサポートするサイト システムのコンピューター アカウントにアクセス許可を付与します。

smsdbrole_DMP

Configuration Managerは、[モバイル デバイスと Mac コンピューターがこの管理ポイントを使用することを許可する] オプションを持つ管理ポイントのコンピューター アカウントに対してこのアクセス許可を付与します。これは、MDM に登録されているデバイスのサポートを提供する機能です。

smsdbrole_DmpConnector

Configuration Managerは、診断データの取得と提供、クラウド サービスの管理、サービス更新プログラムの取得を行うために、サービス接続ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_DViewAccess

Configuration Managerは、レプリケーション リンクのプロパティで [分散ビューのSQL Server] オプションが選択されている場合に、CAS 上のプライマリ サイト サーバーのコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_DWSS

Configuration Managerは、データ ウェアハウスの役割をホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_EnrollSvr

Configuration Managerは、MDM を介したデバイス登録を許可するために、登録ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_extract

すべての拡張スキーマ ビューへのアクセスを提供します。

smsdbrole_HMSUser

階層マネージャー サービスの場合。 Configuration Managerは、フェールオーバー状態メッセージを管理し、階層内のサイト間のブローカー トランザクションをSQL Serverするためのアクセス許可をこのアカウントに付与します。

注:

smdbrole_WebPortal ロールは、既定でこのロールのメンバーです。

smsdbrole_MCS

Configuration Managerは、マルチキャストをサポートする配布ポイントのコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MP

Configuration Managerは、Configuration Manager クライアントのサポートを提供するために、管理ポイントの役割をホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MPMBAM

Configuration Managerは、環境の BitLocker を管理する管理ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MPUserSvc

Configuration Managerは、ユーザー ベースのアプリケーション要求をサポートするために管理ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_siteprovider

Configuration Managerは、SMS プロバイダーロールをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_siteserver

Configuration Managerは、プライマリ サイトまたは CAS をホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_SUP

Configuration Managerは、サード パーティの更新プログラムを操作するためのソフトウェアの更新ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsschm_users

Configuration Managerは、レポート サービス ポイント アカウントに使用されるアカウントへのアクセスを許可し、SMS レポート ビューへのアクセスを許可して、Configuration Managerレポート データを表示できるようにします。 データは、ロールベースのアクセスの使用によってさらに制限されます。

昇格されたアクセス許可

Configuration Managerでは、一部のアカウントが進行中の操作に対して昇格されたアクセス許可を持っている必要があります。 たとえば、「 プライマリ サイトをインストールするための前提条件」を参照してください。 次の一覧は、これらのアクセス許可と、必要な理由をまとめたものです。

  • プライマリ サイト サーバーと中央管理サイト サーバーのコンピューター アカウントには、次のものが必要です。

    • すべてのサイト システム サーバーのローカル管理者権限。 このアクセス許可は、システム サービスの管理、インストール、削除です。 また、役割を追加または削除すると、サイト サーバーによってサイト システム上のローカル グループも更新されます。

    • サイト データベースのSQL Server インスタンスへの Sysadmin アクセス。 このアクセス許可は、サイトのSQL Serverを構成および管理することです。 SQL と緊密に統合Configuration Manager、単なるデータベースではありません。

  • 完全管理者ロールのユーザー アカウントには、次のものが必要です。

    • すべてのサイト サーバーのローカル管理者権限。 このアクセス許可は、システム サービス、レジストリ キーと値、および WMI オブジェクトを表示、編集、削除、インストールすることです。

    • サイト データベースのSQL Server インスタンスへの Sysadmin アクセス。 このアクセス許可は、セットアップまたは復旧中にデータベースをインストールして更新することです。 また、SQL Serverメンテナンスと運用にも必要です。 たとえば、統計のインデックスの再作成と更新などです。

      注:

      一部の組織では、sysadmin アクセスを削除し、必要な場合にのみ付与することができます。 この動作は、"Just-In-Time (JIT) アクセス" と呼ばれることもあります。この場合も、完全管理者ロールを持つユーザーは、Configuration Manager データベースのストアド プロシージャの読み取り、更新、実行にアクセスできる必要があります。 これらのアクセス許可を使用すると、完全な sysadmin アクセスなしでほとんどの問題のトラブルシューティングを行うことができます。