次の方法で共有

Configuration Manager のローカル システム アカウント/コンピュータ$ について

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Local System アカウントは、コンピュータにフル アクセス可能な強力なアカウントです。Microsoft System Center Configuration Manager 2007 では、このアカウントは、サービスの開始とサービスのセキュリティ コンテキストの提供、およびサイト サーバー、サイト システム、およびクライアント コンピュータでの複数の Configuration Manager 2007 操作の実行に使用されます。

アカウントの実際の名前は、NT AUTHORITY\System です。

Local System アカウントは、ネットワークへのアクセス権がありません。ネットワーク アクセスが必要な場合は、Local System では、アカウント Domain\computername$ が使用されます。

Windows Server 2003 のリリースでは、Local System と同様の 2 種類のビルトイン アカウントが新しく追加されました。ネットワーク サービス アカウントと ローカル サービス アカウントです。Configuration Manager 2007 でのこれらのアカウントの使用方法については、「Configuration Manager のローカル サービス アカウントについて」および「Configuration Manager のネットワーク サービス アカウントについて」を参照してください。これらのアカウントの詳細については、https://go.microsoft.com/fwlink/?LinkId=93067を参照してください。

Local System の機能

Local System はローカル コンピュータの必要なすべての権限とアクセス許可を継承します。これらの権限やアクセス許可が削除されると、Configuration Manager 2007 が発生したり、オペレーティング システムが機能停止する場合があります。

次の Configuration Manager 2007 サービスが使用される場合、これらのサービスは LocalSystem としてログ オンするよう構成されます。

  • CCMSetup.exe

  • SMS Agent Host

  • SMS Task Sequence Agent

  • SMS_EXECUTIVE

  • SMS_REPORTING_POINT

  • SMS_SERVER_LOCATOR_POINT

  • SMS_SITE_BACKUP

  • SMS_SITE_VSS_WRITER

  • SMS_SITE_COMPONENT_MANAGER

  • SMS_SERVER_BOOTSTRAP_<サーバー名>

重要

既定のサービス設定を変更する場合、それによってキー サービスが正確に実行されなくなる場合があります。Configuration Manager 2007 サービスの[スタートアップの種類]と[ログオン]設定の変更はサポートされていません。

Local System アカウントは Configuration Manager 2007 サービスのセキュリティ コンテキストを提供するだけでなく、次の機能も実行します。

  • サイト システムでファイル、ディレクトリ、およびサービスを作成します。

  • IIS を使用するサイト システムで必要なアプリケーション プールにセキュリティ アカウントを提供します。

サイト サーバー コンピューター (computername$) 機能

機能 必要な権限とアクセス許可

任意の種類の Active Directory 探索中の Active Directory ドメイン サービス コンテナへのアクセス

探索に指定したコンテナに対する"読み取り"アクセス。サイト サーバーがあるドメイン以外のドメインでコンピュータ アカウントを使用する場合は、そのアカウントにそれらのドメインに対するユーザー権利が必要です。

アカウントは、少なくともドメインの Domain Users グループまたはローカルの Users グループのメンバでなければなりません。

 

DHCP ネットワーク探索の DHCP サーバー アクセス

DHCP サーバーでの DHCP ユーザーのメンバーである必要があります。

 

Active Directory で System Management コンテナを作成し入力します。

スキーマを拡張し、発行を有効にし、computername$ アカウントに System コンテナとすべての子オブジェクトでのフル コントロールを許可する場合、その下に自動的にシステム管理コンテナを作成することができます。

最小限の特権の原則に従うために、Configuration Manager が作成するのではなく、System コンテナの下に System Management コンテナを手動で作成してください。サイト サーバー コンピュータ アカウントに System Management コンテナとすべての子オブジェクトに対するフル アクセスを付与します。

ソフトウェア配布用パッケージを作成するときに、ソース ファイルにアクセスします。

すべてのソース ファイルおよびディレクトリでの読み取りフォルダの内容の一覧表示のアクセス許可

親サイトと子サイト間で通信します。

接続先サイト サーバーの SMS\Inboxes\Despoolr.box\Receive フォルダに対する読み取り書き込み実行、および削除のアクセス許可

SMS_Site 共有フォルダに対して適切なアクセス許可を持つ、接続先サイト サーバー上のサイト間の接続グループに、サイト アドレス アカウントを追加します。

サイト アドレス アカウントを作成して使用できますが、アカウントとパスワードを保守する必要があります。

Configuration Manager コンソールからサイトの作成を開始したときに、セカンダリ サイトをインストールします。

セカンダリ サイト サーバーのローカルの管理者権限。

セカンダリ サイト サーバーでセットアップを実行する場合、このアカウントにセカンダリ サイト サーバー上のローカルの管理者権限は必要ありません。

リモート サイト システムのインストール

リモート サイト システムでのローカルの管理者権限

リモートの信頼されていないフォレストでサイト システムを構成する場合、代わりに、サイト システムのインストール アカウントを使用する必要があります。詳細については、「サイト システムのインストール アカウント」を参照してください。

データをサイト システムから取得します (構成されている場合)。

リモート サイト システムでのローカルの管理者権限

サイト システムの[全般]タブで、[サイト サーバーが開始した、このサイト システムからのデータ転送のみを許可する]がオンになっている場合、Configuration Manager は、サイト システムがデータをプッシュするのを待つ代わりにサイト システムからデータを取得します。サイト システムのインストール アカウントが構成されている場合、Configuration Manager はそのアカウントを代わりに使用します。

サイト データベースの作成と構成

サイト データベースがリモート コンピュータの場合、SQL Server の Sysadmins でのメンバシップ。

サイト サーバー コンピュータ アカウントの SQL Server ログインを作成し、Sysadmins 役割に追加する必要があります。

サイト システム コンピュータ (computer$) 機能

機能 必要な権限とアクセス許可

次のサイトの役割に対してサイト データベースへのアクセスを提供します。

  • 管理ポイント (デバイス管理ポイントなど)

  • レポート ポイント

  • サーバー ロケータ ポイント

  • PXE サービス ポイント

  • 状態移行ポイント

サイト システム コンピュータ アカウントは、対応するデータベースの役割に自動的に追加されます。データベースの役割には、すべての必要な権限とアクセス許可があります。

管理ポイント、PXE サービス ポイント、サーバー ロケータ ポイントは、ローカル システムの代わりにデータベース接続アカウントを使用して構成できます。詳細については、「管理ポイント データベースの接続アカウントについて」、「サーバー ロケータ ポイント データベースの接続アカウントについて」、または「PXE サービス ポイント データベースの接続アカウントについて」を参照してください。

次のサイトの役割では、サイト システム computer$ アカウントを使用して、データをサイト サーバーにプッシュして戻します。

  • 管理ポイント

  • デバイス管理ポイント

  • PXE サービス ポイント

  • 状態移行ポイント

  • システム正常性検証ツール ポイント

  • ソフトウェアの更新ポイント

  • [フォールバック ステータス ポイント]

サイト システムとサイト サーバー間の接続グループでのメンバシップ

リモートの信頼されていないフォレストでサイト システムを構成中の場合、サイト システム computer$ アカウントをサイト システムとサイト サーバー間の接続グループへ追加することはできません。このため、サイト システムの[全般]タブで[サイト サーバが開始した、このサイト システムからのデータ転送のみを許可する]をオンにする必要があります。

作成とパスワード

アカウントは自動的に作成され、パスワードはオペレーティング システムによって管理されます。

アカウントの場所

ローカル システムはローカル アカウントです。コンピュータがドメイン メンバの場合、computer$ アカウントは、コンピュータが所属するドメインで作成されます。

アカウントの保守

オペレーティング システムは、自身のアカウントとパスワードを保守します。ただし、computer$ アカウント パスワードがドメイン コントローラと同期がとれなくなることもあり、メンバ コンピュータとドメイン コントローラの間でセキュリティで保護された通信チャネルをリセットする必要があります。コンピュータ アカウントの設定の詳細については、Microsoft サポート技術情報 (KB) https://go.microsoft.com/fwlink/?LinkId=93062を参照してください。

推奨するセキュリティ運用方法

Configuration Manager 2007 では、コンピュータ アカウントを Domain Admins グループに追加する必要はありません。コンピュータ アカウントに管理者権限が必要なとき、たとえばリモート サイト サーバーで、このアカウントを適切なローカル グループに追加します。

Local System から権限とアクセス許可を削除しないでください。既定の権限とアクセス許可の変更によって、オペレーティング システムとアプリケーションが機能しなくなる場合があります。

サイト サーバーおよびサイト システムで、Local System アカウントを使用する他のサービスをインストールするのを避けて、Local System アカウントの使用を最小限に抑えます。これにより、他のプロセスが、システムのコンピュータ アカウントが持つ高度な特権を利用して、これら他のシステムを介して Configuration Manager 2007 ファイルおよびデータにアクセスするのを防ぐことができます。

ローカル システムの代わりにドメイン ユーザー アカウントで実行するように SQL Server を構成してください。

参照:

概念

サイト システムのインストール アカウントについて

その他のリソース

Configuration Manager のアカウントとグループ
Configuration Manager で使用される Windows アカウント

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.