Configuration Manager で使用されるアカウントのテクニカル リファレンス
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager で使用する Windows グループとアカウント、これらのグループとアカウントの使用方法、および要件を特定するときに、次の情報を参照してください。
Configuration Manager が作成および使用する Windows グループ
Configuration Manager は、次の Windows グループを自動的に作成し、多くの場合、自動的に保持します。
[!メモ]
Configuration Manager が、ドメインのメンバーであるコンピューター上にグループを作成した場合、このグループはローカル セキュリティ グループとなります。 コンピューターがドメイン コントローラーの場合、このグループはドメイン内のすべてのドメイン コントローラー間で共有されるドメイン ローカル グループとなります。
ConfigMgr_CollectedFilesAccess
このグループは、ソフトウェア インベントリで収集されたファイルを表示するためのアクセスを許可するために、Configuration Manager によって使用されます。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、プライマリ サイト サーバー上に作成されるローカル セキュリティ グループです。
|
Membership |
Configuration Manager は、グループ メンバーシップを自動的に管理します。 メンバーシップには、割り当てられたセキュリティ ロールからの保護可能な [コレクション] オブジェクトに対する [収集ファイルの表示] アクセス許可が付与されている管理ユーザーが含まれます。 |
アクセス許可 |
既定では、このグループには、サイト サーバーの %path%\Microsoft Configuration Manager\sinv.box\FileCol フォルダーに対する Read アクセス許可が与えられます。 |
ConfigMgr_DViewAccess
このグループは、System Center 2012 Configuration Manager によってサイト データベース サーバーまたはデータベース レプリカ サーバー上に作成されるローカル セキュリティ グループで、現在使用されていません。 このグループは、今後の使用に備えて Configuration Manager によって予約されています。
ConfigMgr リモート コントロール ユーザー
このグループは、アクセス許可のあるユーザーの一覧で構成されている、各クライアントに割り当てられるアカウントとグループを保存するために、Configuration Manager リモート ツールによって使用されます。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
||
|---|---|---|---|
種類と場所 |
このグループは、リモート ツールを有効にするポリシーをクライアントが受信すると Configuration Manager クライアントに作成される、ローカル セキュリティ グループです。
|
||
Membership |
既定では、このグループにメンバーシップはありません。 ユーザーをアクセス許可のあるユーザーの一覧に追加すると、このユーザーは自動的にこのグループに追加されます。
管理ユーザーは、アクセス許可のあるユーザーであるだけでなく、[コレクション] オブジェクトに対する [リモート制御] アクセス許可が割り当てられる必要があります。 このアクセス許可を割り当てるには、リモート ツール オペレーター セキュリティ ロールを使用します。 |
||
アクセス許可 |
既定では、このグループは、コンピューター上の任意の場所に対するアクセス許可を持っておらず、アクセス許可のあるユーザーの一覧を保持するためだけに使用されます。 |
.jpeg "System_CAPS_important")
重要SMS Admins
このグループは、WMI 経由での SMS プロバイダーへのアクセスを許可するために、Configuration Manager によって使用されます。 SMS プロバイダーへのアクセスは、Configuration Manager コンソールでオブジェクトを表示および変更するために必要です。
[!メモ]
管理ユーザーの役割に基づいた管理構成によって、Configuration Manager コンソールを使用して管理ユーザーが表示および管理できるオブジェクトが決まります。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、SMS プロバイダーのある各コンピューターに作成されるローカル セキュリティ グループです。
|
Membership |
Configuration Manager は、グループ メンバーシップを自動的に管理します。 既定では、階層内の各管理ユーザーおよびサイト サーバーのコンピューター アカウントが、サイト内の各 SMS プロバイダー コンピューターの SMS Admins グループのメンバーとなります。 |
アクセス許可 |
SMS Admins の権限とアクセス許可は、WMI コントロール MMC スナップインで設定します。 既定では、SMS Admins グループには Root\SMS 名前空間に対する Enable Account と Remote Enable が付与されます。 認証されたユーザーには、Execute Methods、Provider Write、および Enable Account が付与されます。
|
SMS_SiteSystemToSiteServerConnection_MP_<sitecode>
このグループは、サイト データベースに接続するために、サイト サーバーからリモートにある Configuration Manager 管理ポイントで使用されます。 このグループは、サイトサーバーおよびサイト データベース上の受信トレイ フォルダーへの管理ポイント アクセスを提供します。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、SMS プロバイダーのある各コンピューターに作成されるローカル セキュリティ グループです。
|
Membership |
Configuration Manager は、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップには、サイトの管理ポイントを持つリモート コンピューターのコンピューター アカウントが含まれます。 |
アクセス許可 |
既定では、このグループは、サイト サーバーの Read フォルダーの Read & execute、List folder contents、および %path%\Microsoft Configuration Manager\inboxes アクセス許可を持っています。 また、このグループは、管理ポイントがクライアント データを書き込む Write の下のさまざまなサブフォルダーの追加の inboxes アクセス許可も持っています。 |
SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>
このグループは、サイト サーバーに接続するために、サイト サーバーからリモートにある Configuration Manager SMS プロバイダー コンピューターで使用されます。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、サイト サーバー上に作成されるローカル セキュリティ グループです。
|
Membership |
Configuration Manager は、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップには、サイトの SMS プロバイダーがインストールされている各リモート コンピューターからサイト サーバーに接続するために使用される、コンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 |
アクセス許可 |
既定では、このグループは、サイト サーバーの Read フォルダーの Read & execute、List folder contents、および %path%\Microsoft Configuration Manager\inboxes アクセス許可を持っています。 さらに、このグループには、Write のアクセス許可が追加されるか、または SMS プロバイダーがアクセスする必要がある inboxes のさまざまなサブフォルダーに対する [書き込み] および [変更] アクセス許可が追加されます。 また、サイト サーバー上の %path%\Microsoft Configuration Manager\OSD\boot の下にあるフォルダーに対する Read、Read & execute、List folder contents、[書き込み] および [変更] アクセス許可と、%path%\Microsoft Configuration Manager\OSD\Bin の下にあるフォルダーに対する [読み取り] アクセス許可も割り当てられます。 |
SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>
このグループは、サイト サーバーに接続するために、Configuration Manager のリモート サイト システム コンピューターの File Dispatch Manager によって使用されます。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、サイト サーバー上に作成されるローカル セキュリティ グループです。
|
Membership |
Configuration Manager は、グループ メンバーシップを自動的に管理します。 既定では、メンバーシップには、File Dispatch Manager を実行する各リモート サイト システム コンピューターからサイト サーバーに接続するために使用される、コンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 |
アクセス許可 |
既定では、このグループは、Read フォルダーおよびサイト サーバー上のこの場所の下のさまざまなサブフォルダーの Read & execute、List folder contents、および %path%\Microsoft Configuration Manager\inboxes アクセス許可を持っています。 さらに、このグループには、サイト サーバー上の %path%\Microsoft Configuration Manager\inboxes\statmgr.box フォルダーに対する [書き込み] および [変更] アクセス許可も追加されます。 |
SMS_SiteToSiteConnection_<sitecode>
このグループは、階層内のサイト間でファイルベースのレプリケーションを有効にするために、Configuration Manager によって使用されます。 このサイトにファイルを直接転送する各リモート サイトについて、このグループには次のアカウントが含まれます。
サービス パックが適用されていない Configuration Manager サイトから、サイト アドレス アカウントとして構成されるアカウント
Configuration Manager SP1 以降を実行するサイトから、ファイル レプリケーション アカウントとして構成されるアカウント
[!メモ]
Configuration Manager SP1 以降のみ、サイト アドレス アカウントに代わって、ファイル レプリケーション アカウントが使用されるようになりました。
次の表に、このグループの詳細情報を示します。
項目 |
説明 |
|---|---|
種類と場所 |
このグループは、サイト サーバー上に作成されるローカル セキュリティ グループです。 |
Membership |
新しいサイトを別のサイトの子としてインストールすると、Configuration Manager は、新しいサイトのコンピューター アカウントを親サイト サーバーのグループに、また親サイトのコンピューター アカウントを新しいサイト サーバーのグループに自動的に追加します。 ファイルベースの転送用に別のアカウントを指定する場合は、移行先のサイト サーバーのこのグループにアカウントを追加します。
|
アクセス許可 |
既定では、このグループには %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive フォルダーに対するフル コントロールがあります。 |
Configuration Manager が使用するアカウント
Configuration Manager に次のアカウントを構成できます。
Active Directory グループ探索アカウント
Active Directory グループ探索アカウントは、Active directory ドメイン サービス内の指定された場所から、ローカル セキュリティ グループ、グローバル セキュリティ グループ、ユニバーサル セキュリティ グループ、これらのグループ内のメンバーシップ、および配布グループ内のメンバーシップを探索するために使用されます。 配布グループは、グループ リソースとは見なされません。
このアカウントは、探索を実行するサイト サーバーのコンピューター アカウントでも、Windows ユーザー アカウントでも構いません。 このアカウントは、探索に指定された Active Directory の場所の [読み取り] アクセス許可を持っている必要があります。
Active Directory システム探索アカウント
Active Directory システム探索アカウントは、Active Directory ドメイン サービス内の指定された場所からコンピューターを探索するために使用されます。
このアカウントは、探索を実行するサイト サーバーのコンピューター アカウントでも、Windows ユーザー アカウントでも構いません。 このアカウントは、探索に指定された Active Directory の場所の [読み取り] アクセス許可を持っている必要があります。
Active Directory ユーザー探索アカウント
Active Directory ユーザー探索アカウントは、Active Directory ドメイン サービス内の指定された場所からユーザー アカウントを探索するために使用されます。
このアカウントは、探索を実行するサイト サーバーのコンピューター アカウントでも、Windows ユーザー アカウントでも構いません。 このアカウントは、探索に指定された Active Directory の場所の [読み取り] アクセス許可を持っている必要があります。
Active Directory フォレスト アカウント
Active Directory フォレスト アカウントは、Active Directory フォレストからネットワーク インフラストラクチャを探索するために使用されます。また、中央管理サイトおよびプライマリ サイトによって、フォレストの Active Directory ドメイン サービスにサイト データを発行するためにも使用されます。
[!メモ]
セカンダリ サイトでは、Active Directory に発行するときに、必ず、セカンダリ サイト サーバーのコンピューター アカウントを使います。
[!メモ]
信頼されていないフォレストを検出して、そのフォレストに発行するには、Active Directory フォレスト アカウントはグローバル アカウントでなければなりません。 サイト サーバーのコンピューター アカウントを使用しない場合は、グローバル アカウントのみ選択できます。
このアカウントは、ネットワーク インフラストラクチャを探索する各 Active Directory フォレストの [読み取り] アクセス許可を持っている必要があります。
このアカウントは、サイト データを発行する各 Active Directory フォレスト内の System Management コンテナーおよびすべての子オブジェクトに対する [フル コントロール] アクセス許可を持っている必要があります。
AMT プロビジョニングと探索アカウント
AMT プロビジョニングと探索アカウントは、AMT リモート管理アカウントに相当する機能であり、Intel AMT 搭載コンピューターの Management Engine BIOS 拡張 (MEBx) に常駐します。 このアカウントは、帯域外管理機能を使用して AMT の一部のネットワーク インターフェイス機能を管理するために、帯域外サービス ポイントの役割を実行しているサーバーによって使用されます。
AMT プロビジョニングと探索アカウントを Configuration Manager に指定する場合、AMT 搭載コンピューターの BIOS 拡張設定に指定した AMT リモート管理アカウント名とパスワードと一致している必要があります。
[!メモ]
AMT プロビジョニングと探索アカウントを指定するかどうかの詳細については、「手順 5:帯域外管理コンポーネントの構成」ガイドの「Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法」の「System Center 2012 Configuration Manager の資産とコンプライアンス」を参照してください。
アカウントは AMT 搭載コンピューターの Management Engine BIOS 拡張に保存され、Windows のいずれのアカウントとも対応しません。
AMT プロビジョニングの削除アカウント
サイトの回復を行う必要がある場合、AMT プロビジョニングの削除アカウントで AMT プロビジョニング情報を削除できます。 このアカウントは、Configuration Manager クライアントが再割り当てされたときに、AMT プロビジョニング情報が古いサイトのコンピューターから削除されなかった場合にも使用できます。
AMT プロビジョニングの削除アカウントを使用して AMT プロビジョニング情報を正常に削除するためには、次のすべてが該当する必要があります。
AMT プロビジョニングの削除アカウントが、帯域外管理コンポーネントのプロパティに構成されている。
AMT 搭載コンピューターがプロビジョニングまたは更新されたときに、AMT プロビジョニングの削除アカウントに構成されているアカウントが、帯域外管理コンポーネントのプロパティに AMT ユーザー アカウントとして構成されていた。
AMT プロビジョニングの削除アカウントに構成されているアカウントが、帯域外サービス ポイントのコンピューターのローカルの Administrators グループのメンバーである必要がある。
AMT 監査ログが有効になっていない。
これは Windows ユーザー アカウントであるため、アカウントには期限が切れない強力なパスワードを指定します。
AMT リモート管理アカウント
AMT リモート管理アカウントは、Intel AMT 搭載コンピューターの Management Engine BIOS 拡張 (MEBx) のアカウントで、帯域外管理機能を使用して Configuration Manager で AMT の一部のネットワーク インターフェイス機能を管理するために、帯域外サービス ポイントの役割を実行しているサーバーによって使用されます。
Configuration Manager によって、AMT のプロビジョニングを行うコンピューターのリモート管理アカウント パスワードが自動的に設定されます。このパスワードは、それ以降の AMT ファームウェアへの認証済みアクセスに使用されます。 このアカウントは、機能的には Configuration Manager の AMT プロビジョニングと探索アカウントに相当します。
アカウントは AMT 搭載コンピューターの Management Engine BIOS 拡張に保存され、Windows のいずれのアカウントとも対応しません。
AMT ユーザー アカウント
AMT ユーザー アカウントは、帯域外管理コンソールで管理機能を実行できる Windows ユーザーやグループを制御します。
AMT ユーザー アカウントの構成により、AMT ファームウェアにアクセス制御リスト (ACL) に相当するものが作成されます。 ログオン ユーザーが帯域外管理コンソールを実行しようとすると、AMT は Kerberos を使用してアカウントを認証し、AMT 管理機能を実行するためのアクセスを承認または拒否します。
AMT 搭載コンピューターをプロビジョニングする前に、AMT ユーザー アカウントを構成してください。 コンピューターを AMT 用にプロビジョニングした後に、AMT ユーザー アカウントを構成する場合は、このコンピューターの AMT メモリを手動で更新して、新しい設定で再構成する必要があります。
AMT ユーザー アカウントでは Kerberos 認証が使われるため、ユーザー アカウントおよびセキュリティ グループは Active Directory ドメイン内に存在する必要があります。
資産インテリジェンス同期ポイントのプロキシ サーバー アカウント
資産インテリジェンス同期ポイントのプロキシ サーバー アカウントは、認証済みアクセスが必要なプロキシ サーバーまたはファイアウォール経由でインターネットにアクセスするために、資産インテリジェンス同期ポイントによって使用されます。
.jpeg "System_CAPS_security") セキュリティ メモ |
|---|
必要なプロキシ サーバーまたはファイアウォールに対するアクセス許可ができるだけ制限されたアカウントを指定します。 |
証明書登録ポイント アカウント
証明書登録ポイント アカウントは、証明書登録ポイントを Configuration Manager データベースに接続します。 既定では、証明書登録ポイント サーバーのコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成することもできます。 証明書登録ポイントがサイト サーバーの信頼されていないドメインにある場合は常に、ユーザー アカウントを指定する必要があります。 このアカウントには、サイト データベースに対する読み取りアクセス許可のみが必要です。書き込み操作は、状態メッセージ システムで処理されるためです。
オペレーティング システム イメージのキャプチャ アカウント
オペレーティング システム イメージのキャプチャ アカウントは、オペレーティング システムを展開する際にキャプチャしたイメージを格納するフォルダーにアクセスするために、Configuration Manager によって使用されます。 このアカウントは、タスク シーケンスにオペレーティング システム イメージのキャプチャの手順を追加する場合に必要です。
アカウントには、キャプチャしたイメージが格納されるネットワーク共有での読み取りおよび書き込みアクセス許可が必要です。
Windows でアカウントのパスワードが変更されている場合、新しいパスワードを使用してタスク シーケンスを更新する必要があります。Configuration Manager クライアントは、クライアント ポリシーの次回ダウンロード時に、新しいパスワードを受け取ります。
このアカウントを使用する場合、必要なネットワーク リソースにアクセスするために最小限必要なアクセス許可を持つドメイン ユーザー アカウントを 1 つ作成して、このアカウントをすべてのタスク シーケンス アカウントに対して使用できます。
| セキュリティ メモ |
|---|
このアカウントに対話型ログオンのアクセス許可を割り当てないでください。 このアカウントにネットワーク アクセス アカウントを使用しないでください。 |
クライアント プッシュ インストール アカウント
クライアント プッシュ インストール アカウントは、クライアント プッシュ インストールを使用してクライアントを展開する場合に、コンピューターへの接続と Configuration Manager クライアント ソフトウェアのインストールに使用されます。 このアカウントが指定されていない場合は、サイト サーバー アカウントを使用してクライアント ソフトウェアをインストールします。
このアカウントは、Configuration Manager クライアント ソフトウェアがインストールされるコンピューターのローカル Administrators グループのメンバーでなければなりません。 このアカウントに、Domain Admin の権限は必要ありません。
1 つまたは複数のクライアント プッシュ インストール アカウントを指定して、いずれかが成功するまで Configuration Manager によって試行できます。
.jpeg "System_CAPS_tip") ヒント |
|---|
大規模な Active Directory 展開でのアカウントの更新をより効率的に行うには、新しいアカウントを別の名前で作成し、Configuration Manager で新しいアカウントをクライアント プッシュ インストール アカウントのリストに追加します。 新しいアカウントを Active Directory がレプリケートするための十分な時間を取り、古いアカウントを Configuration Manager と Active Directory ドメイン サービスから削除します。 |
| セキュリティ メモ |
|---|
このアカウントにローカルにログオンする権限を与えないでください。 |
登録ポイントの接続アカウント
登録ポイントの接続アカウントは、登録ポイントを Configuration Manager サイト データベースに接続します。 既定では、登録ポイントのコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成することもできます。 登録ポイントがサイト サーバーの信頼されていないドメインにある場合は常に、ユーザー アカウントを指定する必要があります。 このアカウントには、サイト データベースに対する読み取りおよび書き込みのアクセス権が必要です。
Exchange Server 接続アカウント
Exchange Server 接続アカウントは、Exchange Server に接続しているモバイル デバイスを検出および管理するために、指定された Exchange Server コンピューターにサイト サーバーを接続します。 このアカウントには、Exchange Server コンピューターへの必要なアクセス許可を提供する Exchange PowerShell コマンドレットが必要です。 コマンドレットの詳細については、「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照してください。
Exchange Server コネクタのプロキシ サーバー アカウント
Exchange Server コネクタのプロキシ サーバー アカウントは、認証済みアクセスが必要なプロキシ サーバーまたはファイアウォール経由でインターネットにアクセスするために、Exchange Server コネクタによって使用されます。
| セキュリティ メモ |
|---|
必要なプロキシ サーバーまたはファイアウォールに対するアクセス許可ができるだけ制限されたアカウントを指定します。 |
Endpoint Protection の SMTP サーバー接続アカウント
サービス パックが適用されていない Configuration Manager の場合:Endpoint Protection の SMTP サーバー接続アカウントは、SMTP サーバーで認証済みアクセスが必要な場合に、Endpoint Protection に関する電子メール アラートを送信するために、サイト サーバーによって使用されます。
| セキュリティ メモ |
|---|
電子メールを送信するための最低限のアクセス許可を持つアカウントを指定します。 |
稼動状態の基準の公開アカウント
稼動状態の基準の公開アカウントは、Active Directory ドメイン サービスに Configuration Manager のネットワーク アクセス保護 (NAP) 正常性状態の参照を公開するために使用されます。
アカウントを構成していない場合は、Configuration Manager ではサイト サーバーのコンピューター アカウントが正常性状態の参照の公開に使用されます。
このアカウントには、正常性状態の参照を格納する Active Directory フォレストに対する [読み取り]、[書き込み]、および [作成] のアクセス許可が必要です。
アカウントは、正常性状態の参照を保存するように指定されたフォレストに作成する必要があります。 このアカウントには最低限のアクセス許可を割り当てます。[読み取り] アクセス許可のみ必要な、稼動状態の基準のクエリ アカウントに指定されているのと同じアカウントは使用しないでください。
稼動状態の基準のクエリ アカウント
稼動状態の基準のクエリ アカウントは、Active Directory ドメイン サービスから Configuration Manager のネットワーク アクセス保護 (NAP) 正常性状態の参照を取得するために使用されます。
アカウントを構成していない場合は、Configuration Manager ではサイト サーバーのコンピューター アカウントが正常性状態の参照の取得に使用されます。
このアカウントには、グローバル カタログの Configuration ManagerSystems Management コンテナに対する [読み取り] アクセス許可が必要です。
アカウントは、正常性状態の参照を保存するように指定されたフォレストに作成する必要があります。 さらに権限が必要な稼動状態の基準の公開アカウントに、同じアカウントを使用しないでください。
| セキュリティ メモ |
|---|
このアカウントに対話型ログオン権限を付与しないでください。 |
管理ポイントの接続アカウント
管理ポイントの接続アカウントは、クライアントに関する情報を送受信できるように、管理ポイントを Configuration Manager サイト データベースに接続するために使用されます。 既定では、管理ポイントのコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成することもできます。 管理ポイントがサイト サーバーの信頼されていないドメインにある場合は常に、ユーザー アカウントを指定する必要があります。
このアカウントは、Microsoft SQL Server を実行しているコンピューター上の権限の低いローカル アカウントとして作成します。
| セキュリティ メモ |
|---|
このアカウントに対話型ログオン権限を付与しないでください。 |
MEBx アカウント
MEBx アカウントは、AMT 搭載コンピューターの Management Engine BIOS 拡張 (MEBx) にあるアカウントで、AMT 搭載コンピューターにある AMT ファームウェアへの最初の認証済みアクセスで使用されます。
MEBx アカウントの名前は admin で、既定のパスワードは admin です。 製造元からカスタマイズしたパスワードを取得することも、AMT で独自に選択したパスワードを指定することもできます。 MEBx パスワードを [admin] ではない値に設定する場合、AMT プロビジョニングと探索アカウントを構成する必要があります。 詳細については、トピック「手順 5:帯域外管理コンポーネントの構成」の「Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法」を参照してください。
アカウントは AMT ベースのコンピューターの Management Engine BIOS 拡張に保存されます。 このアカウントは Windows のいずれのアカウントとも対応しません。
Configuration Manager がコンピューターを AMT 用にプロビジョニングする前に既定の MEBx パスワードが変更されていない場合は、AMT のプロビジョニング プロセス中に、構成されているパスワードが Configuration Manager によって設定されます。
マルチキャスト接続アカウント
マルチキャスト接続アカウントは、サイト データベースから情報を読み取るために、マルチキャスト用に構成されている配布ポイントで使用されます。 既定では、配布ポイントのコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成することもできます。 サイト データベースが信頼されていないフォレストにある場合は常に、ユーザー アカウントを指定する必要があります。 たとえば、データ センターでは、サイト サーバーとサイト データベースとは別にフォレストに境界ネットワークがある場合、このアカウントを使用してマルチキャスト情報をサイト データベースから読み込むことができます。
このアカウントを作成する場合は、Microsoft SQL Server を実行しているコンピューター上の権限の低いローカル アカウントとして作成します。
| セキュリティ メモ |
|---|
このアカウントに対話型ログオン権限を付与しないでください。 |
ネットワーク アクセス アカウント
ネットワーク アクセス アカウントは、ローカルのコンピューター アカウントを使用して配布ポイントのコンテンツにアクセスできない場合に、クライアント コンピューターによって使用されます。 たとえば、このアカウントは、ワークグループ クライアントや信頼されていないドメインのコンピューターに適用されます。 このアカウントは、オペレーティング システムの展開中に、オペレーティング システムをインストールするコンピューターにドメインのコンピューター アカウントがない場合にも使用されます。
[!メモ]
ネットワーク アクセス アカウントは、プログラムの実行、ソフトウェア更新プログラムのインストール、タスク シーケンスの実行のうちいずれかのセキュリティ コンテキストとして使用されることはなく、ネットワーク上のリソースにアクセスするためのセキュリティ コンテキストとしてのみ使用されます。
このアカウントには、ソフトウェアにアクセスするためにクライアントで必要となる、コンテンツに対する最低限の適切なアクセス許可を付与します。 このアカウントは、パッケージ コンテンツが保存されている配布ポイントまたはその他のサーバーで、[ネットワーク経由でコンピューターへアクセス] の権限を持っている必要があります。System Center 2012 R2 Configuration Manager より前では、ネットワーク アクセス アカウントはサイトごとに 1 つのみ作成でき、このアカウントは、必要となるすべてのパッケージおよびタスク シーケンスで機能する必要があります。System Center 2012 R2 Configuration Manager 以降、サイトごとに、複数のネットワーク アクセス アカウントを構成できます。
.jpeg "System_CAPS_warning"){kind=icon} 警告 |
|---|
Configuration Manager は、computername$ アカウントを使用してコンテンツをダウンロードしようとして失敗した場合、既に試みて失敗した場合であっても、ネットワーク アクセス アカウントの使用を自動的にもう一度試みます。 |
このアカウントは、リソースへの必要なアクセスを提供する任意のドメインに作成します。 ネットワーク アクセス アカウントには、常にドメイン名が含まれている必要があります。 このアカウントでは、パススルー セキュリティはサポートされません。 複数のドメインに配布ポイントがある場合は、信頼される側のドメインにアカウントを作成します。
| ヒント |
|---|
アカウントのロックアウトを避けるため、既存のネットワーク アクセス アカウントのパスワードは変更しないでください。 代わりに、新しいアカウントを作成して、Configuration Manager でその新しいアカウントを構成します。 すべてのクライアントが新しいアカウントの詳細情報を受け取ったら、ネットワーク共有フォルダーから古いアカウントを削除して、古いアカウントを削除します。 |
| セキュリティ メモ |
|---|
このアカウントに対話型ログオン権限を付与しないでください。 コンピューターがドメインに参加する権限をこのアカウントに付与しないでください。 タスク シーケンス中にコンピューターをドメインに参加させる必要がある場合は、タスク シーケンス エディターのドメイン参加アカウントを使用します。 |
System Center 2012 R2 Configuration Manager 以降: 1 つのサイトに複数のネットワーク アクセス アカウントを指定できるようになりました。 クライアントがコンテンツにアクセスしようとしたときに、ローカル コンピューター アカウントを使用できない場合、最初に、前回正常に接続したネットワーク アクセス アカウントを使用します。Configuration Manager では、最大 10 個のネットワーク アクセス アカウントを追加できます。
パッケージ アクセス アカウント
パッケージ アクセス アカウントを使用すると、NTFS アクセス許可を設定して、配布ポイントのパッケージ フォルダーにアクセスできるユーザーおよびユーザー グループを指定できます。 既定では、Configuration Manager は、汎用アクセス アカウントの Users と Administrators にのみアクセス権を付与しますが、追加の Windows アカウントまたはグループを使用してクライアント コンピューターのアクセスを制御できます。 モバイル デバイスは常にパッケージ コンテンツを匿名で取得するため、パッケージ アクセス アカウントを使用することはありません。
既定では、Configuration Manager が配布ポイントにパッケージ共有を作成するときに、ローカルの Users グループに読み取りのアクセスを、ローカル Administrators グループにフル コントロールを許可します。 実際の必要なアクセス許可はパッケージに応じて異なります。 クライアントがワークグループや信頼されていないフォレストに含まれている場合は、そのクライアントはネットワーク アクセス アカウントを使用してパッケージ コンテンツにアクセスします。 ネットワーク アクセス アカウントに、定義されたパッケージ アクセス アカウントを使用したパッケージへのアクセス許可があることを確認してください。
配布ポイントにアクセスできるドメイン内のアカウントを使用します。 パッケージの作成後にアカウントを作成または変更した場合は、パッケージを再配布する必要があります。 パッケージを更新しても、パッケージに対する NTFS アクセス許可は変更されません。
ネットワーク アクセス アカウントは、Users グループのメンバーシップによって自動的に追加されるため、パッケージ アクセス アカウントとして追加する必要はありません。 パッケージ アクセス アカウントをネットワーク アクセス アカウントのみに制限しても、クライアントによるパッケージへのアクセスを妨げることはありません。
レポート サービス ポイントのアカウント
レポート サービス ポイントのアカウントは、サイト データベースから Configuration Manager レポート用のデータを取得するために、SQL Server Reporting Services によって使用されます。 指定した Windows ユーザー アカウントとパスワードは暗号化されて、SQL Server Reporting Services データベースに保存されます。
リモート ツールの許可されたビューアー アカウント
リモート コントロール用に [アクセス許可のあるユーザー] として指定するアカウントとは、クライアントでのリモート ツール機能の使用を許可されたユーザーの一覧です。
サイト システムのインストール アカウント
サイト システムのインストール アカウントは、サイト システムのインストール、再インストール、アンインストール、構成を行うために、サイト サーバーによって使用されます。 このサイト システムへの接続の開始をサイト サーバーに要求するようにサイト システムを構成すると、サイト システムおよびサイト システムの役割がインストールされた後で、Configuration Manager はこのアカウントを使用してサイト システム コンピューターからデータを取得します。 各サイト システムは複数のサイト システム インストール アカウントを持つことができますが、そのサイト システムのすべての役割を管理するように構成できるサイト システム インストール アカウントは 1 つだけです。
このアカウントには、インストールと構成を行うサイト システムに対するローカルの管理アクセス許可が必要です。 また、このアカウントは、インストールと構成を行うサイト システム上のセキュリティ ポリシーで [ネットワーク経由でコンピューターへアクセス] に設定されている必要があります。
| ヒント |
|---|
ドメイン コントローラーが多数あり、これらのアカウントをドメイン間で使用する場合は、サイト システムを構成する前に、これらのアカウントがレプリケートされたことを確認します。 管理対象の各サイト システムにローカル アカウントを指定すると、アカウントに侵入されても攻撃者の行動が制限されるため、ドメイン アカウントを使用するよりも、この構成の方が安全です。 ただし、ドメイン アカウントの方が管理しやすいため、セキュリティと効果的な管理のどちらを取るかを検討してください。 |
SMTP サーバー接続アカウント
System Center 2012 Configuration Manager SP1 以降: SMTP サーバー接続アカウントは、SMTP サーバーで認証済みアクセスが必要な場合に電子メール アラートを送信するために、サイト サーバーによって使用されます。
| セキュリティ メモ |
|---|
電子メールを送信するための最低限のアクセス許可を持つアカウントを指定します。 |
ソフトウェアの更新ポイントの接続アカウント
ソフトウェアの更新ポイントの接続アカウントは、サイト サーバーによって、ソフトウェアの更新の次の 2 つのサービスで使用されます。
WSUS Configuration Manager。製品の定義、分類、および上流設定などの構成設定を行います。
WSUS 同期マネージャー。上流の WSUS サーバーまたは Microsoft Update への同期を要求します。
サイト システムのインストール アカウントはソフトウェアの更新のコンポーネントをインストールできますが、ソフトウェアの更新ポイントでソフトウェアの更新固有の機能を実行することはできません。 信頼されていないフォレストにソフトウェアの更新ポイントがあるため、この機能にサイト サーバーのコンピューター アカウントを使用できない場合、サイト システムのインストール アカウントに加えて、このアカウントを指定する必要があります。
このアカウントは WSUS がインストールされたコンピューター上のローカル管理者であり、ローカルの WSUS Administrators グループの一部である必要があります。
ソフトウェアの更新ポイントのプロキシ サーバー アカウント
ソフトウェアの更新ポイントのプロキシ サーバー アカウントは、認証済みアクセスが必要なプロキシ サーバーまたはファイアウォール経由でインターネットにアクセスするために、ソフトウェアの更新ポイントによって使用されます。
| セキュリティ メモ |
|---|
必要なプロキシ サーバーまたはファイアウォールに対するアクセス許可ができるだけ制限されたアカウントを指定します。 |
ソース サイトのアカウント
ソース サイトのアカウントは、移行プロセスでソース サイトの SMS プロバイダーにアクセスするために使用されます。 移行ジョブのデータを収集するため、このアカウントにはソース サイトのサイト オブジェクトに対する [読み取り] アクセス許可が必要です。
Configuration Manager 2007 の配布ポイントまたは配布ポイントが併置されているセカンダリ サイトを System Center 2012 Configuration Manager の配布ポイントにアップグレードする場合、アップグレード中に Configuration Manager 2007 サイトから配布ポイントを正常に削除するために、このアカウントには [サイト] クラスに対する [削除] アクセス許可も必要になります。
[!メモ]
Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードでは、ソース サイトのアカウントとソース サイトのデータベース アカウントの両方が [移行マネージャー] として識別されます。
ソース サイトのデータベース アカウント
ソース サイトのデータベース アカウントは、移行プロセスでソース サイトの SQL Server データベースにアクセスするために使用されます。 ソース サイトの SQL Server データベースからデータを収集するには、ソース サイトのデータベース アカウントに、ソース サイトの SQL Server データベースに対する [読み取り] および [実行] アクセス許可が必要です。
[!メモ]
System Center 2012 Configuration Manager のコンピューター アカウントを使用する場合、このアカウントに次のすべてが該当することを確認します。
Configuration Manager 2007 サイトが存在するドメインの [Distributed COM Users] セキュリティ グループのメンバーである。
[SMS Admins] セキュリティ グループのメンバーである。
すべての Configuration Manager 2007 オブジェクトに対する [読み取り] アクセス許可が割り当てられている。
[!メモ]
Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードでは、ソース サイトのアカウントとソース サイトのデータベース アカウントの両方が [移行マネージャー] として識別されます。
タスク シーケンス エディターのドメイン参加アカウント
タスク シーケンス エディターのドメイン参加アカウントは、新しくイメージングされたコンピューターをドメインに参加させるために、タスク シーケンスで使用されます。 [ドメインまたはワークグループへの参加] ステップをタスク シーケンスに追加した後、[ドメインに参加] を選択する場合は、このアカウントが必要です。 また、このアカウントは、[ネットワーク設定の適用] ステップをタスク シーケンスに追加した場合も構成できますが、必要ではありません。
このアカウントには、コンピューターが参加するドメインにおける [ドメイン参加] 権利が必要です。
| ヒント |
|---|
タスク シーケンスにこのアカウントが必要な場合は、必要なネットワーク リソースにアクセスするために最小限必要なアクセス許可を持つドメイン ユーザー アカウントを 1 つ作成し、すべてのタスク シーケンス アカウントに対して使用できます。 |
| セキュリティ メモ |
|---|
このアカウントに対話型ログオンのアクセス許可を割り当てないでください。 このアカウントにネットワーク アクセス アカウントを使用しないでください。 |
タスク シーケンス エディターのネットワーク フォルダーの接続アカウント
タスク シーケンス エディターのネットワーク フォルダーの接続アカウントは、ネットワーク上の共有フォルダーに接続するために、タスク シーケンスで使用されます。 このアカウントは、タスク シーケンスに [ネットワーク フォルダーへの接続] ステップを追加する場合に必要です。
このアカウントには、指定された共有フォルダーにアクセスするためのアクセス許可が必要で、このアカウントはユーザー ドメイン アカウントである必要があります。
| ヒント |
|---|
タスク シーケンスにこのアカウントが必要な場合は、必要なネットワーク リソースにアクセスするために最小限必要なアクセス許可を持つドメイン ユーザー アカウントを 1 つ作成し、すべてのタスク シーケンス アカウントに対して使用できます。 |
| セキュリティ メモ |
|---|
このアカウントに対話型ログオンのアクセス許可を割り当てないでください。 このアカウントにネットワーク アクセス アカウントを使用しないでください。 |
タスク シーケンスの別のユーザーとして実行アカウント
タスク シーケンスの別のユーザーとして実行アカウントは、コマンド ラインを実行するためにタスク シーケンスで使用され、ローカル システム アカウント以外の資格情報を使用します。 このアカウントは、コマンド ラインの実行ステップをタスク シーケンスに追加するが、管理されているコンピューターでのタスク シーケンスの実行にローカル システム アカウント アクセス許可を使用しない場合に必要です。
このアカウントは、タスク シーケンスに指定されているコマンド ラインを実行するために必要な最低限のアクセス許可を持つように構成します。 このアカウントは、対話型ログイン権限を持つ必要があり、通常はソフトウェアのインストールとネットワーク リソースへのアクセスができる必要があります。
| セキュリティ メモ |
|---|
このアカウントにネットワーク アクセス アカウントを使用しないでください。 このアカウントをドメイン管理者にしない このアカウントにローミング プロファイルを構成しない タスク シーケンスを実行するときにアカウントのローミング プロファイルをダウンロードするので、ローカル コンピューターのプロファイルにアクセスされる危険性があります。 アカウントのスコープを制限する たとえば、タスク シーケンスごとに異なるタスク シーケンスの別のユーザーとして実行アカウントを作成すると、1 つのアカウントが侵害された場合に侵害されるのは、そのアカウントがアクセスできるクライアント コンピューターのみになります。 コマンド ラインにコンピューターの管理者アクセスが必要な場合は、該当するタスク シーケンスを実行するすべてのコンピューターに、タスク シーケンスの別のユーザーとして実行アカウント専用のローカル管理者アカウントを作成し、不要になり次第、そのアカウントを削除することを検討してください。 |