다음을 통해 공유


Configuration Manager 사용되는 계정

적용 대상: Configuration Manager(현재 분기)

다음 정보를 사용하여 Configuration Manager 사용되는 Windows 그룹, 계정 및 SQL Server 개체, 사용 방법 및 요구 사항을 식별합니다.

중요

원격 도메인 또는 포리스트에서 계정을 지정하는 경우 도메인 NetBIOS 이름뿐만 아니라 사용자 이름 앞에 도메인 FQDN을 지정해야 합니다. 예를 들어 Corp\UserName 대신 Corp.Contoso.com\UserName을 지정합니다. 이렇게 하면 Configuration Manager 계정이 원격 사이트 시스템에 인증하는 데 사용될 때 Kerberos를 사용할 수 있습니다. FQDN을 사용하면 Windows 월간 업데이트에서 NTLM에 대한 최근 강화 변경으로 인한 인증 오류가 수정되는 경우가 많습니다.

Configuration Manager 만들고 사용하는 Windows 그룹

Configuration Manager 자동으로 생성되며 대부분의 경우 다음 Windows 그룹이 자동으로 유지 관리됩니다.

참고

Configuration Manager 도메인 멤버인 컴퓨터에 그룹을 만들면 그룹은 로컬 보안 그룹입니다. 컴퓨터가 도메인 컨트롤러인 경우 그룹은 도메인 로컬 그룹입니다. 이 유형의 그룹은 도메인의 모든 도메인 컨트롤러 간에 공유됩니다.

구성 Manager_CollectedFilesAccess

Configuration Manager 이 그룹을 사용하여 소프트웨어 인벤토리에서 수집된 파일을 볼 수 있는 액세스 권한을 부여합니다.

자세한 내용은 소프트웨어 인벤토리 소개를 참조하세요.

CollectedFilesAccess의 형식 및 위치

이 그룹은 기본 사이트 서버에서 만든 로컬 보안 그룹입니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

CollectedFilesAccess의 멤버 자격

Configuration Manager 그룹 멤버 자격을 자동으로 관리합니다. 멤버 자격에는 할당된 보안 역할에서 컬렉션 보안 개체에 대한 수집된 파일 보기 권한이 부여된 관리 사용자가 포함됩니다.

CollectedFilesAccess에 대한 권한

기본적으로 이 그룹에는 사이트 서버의 다음 폴더에 대한 읽기 권한이 있습니다. C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

구성 Manager_DViewAccess

이 그룹은 Configuration Manager 자식 기본 사이트에 대한 사이트 데이터베이스 서버 또는 데이터베이스 복제본(replica) 서버에 만드는 로컬 보안 그룹입니다. 계층 구조의 사이트 간에 데이터베이스 복제에 분산 보기를 사용할 때 사이트가 만듭니다. 여기에는 중앙 관리 사이트의 사이트 서버 및 SQL Server 컴퓨터 계정이 포함됩니다.

자세한 내용은 사이트 간 데이터 전송을 참조하세요.

원격 제어 사용자 Configuration Manager

Configuration Manager 원격 도구는 이 그룹을 사용하여 허용된 뷰어 목록에 설정한 계정 및 그룹을 저장합니다. 사이트는 이 목록을 각 클라이언트에 할당합니다.

자세한 내용은 원격 제어 소개를 참조하세요.

원격 제어 사용자의 유형 및 위치

이 그룹은 클라이언트가 원격 도구를 사용하도록 설정하는 정책을 수신할 때 Configuration Manager 클라이언트에서 만든 로컬 보안 그룹입니다.

클라이언트에 대한 원격 도구를 사용하지 않도록 설정하면 이 그룹이 자동으로 제거되지 않습니다. 원격 도구를 사용하지 않도록 설정하면 수동으로 삭제합니다.

원격 제어 사용자에 대한 멤버 자격

기본적으로 이 그룹에는 멤버가 없습니다. 허용된 뷰어 목록에 사용자를 추가하면 이 그룹에 자동으로 추가됩니다.

허용된 뷰어 목록을 사용하여 이 그룹에 직접 사용자 또는 그룹을 추가하는 대신 이 그룹의 멤버 자격을 관리합니다.

허용된 뷰어일 뿐만 아니라 관리 사용자는 Collection 개체에 대한 원격 제어 권한이 있어야 합니다. 원격 도구 운영자 보안 역할을 사용하여 이 권한을 할당합니다.

원격 제어 사용자에 대한 권한

기본적으로 이 그룹에는 컴퓨터의 위치에 액세스할 수 있는 권한이 없습니다. 허용된 뷰어 목록을 보유하는 데만 사용됩니다.

SMS 관리자

Configuration Manager 이 그룹을 사용하여 WMI를 통해 SMS 공급자에 대한 액세스 권한을 부여합니다. Configuration Manager 콘솔에서 개체를 보고 변경하려면 SMS 공급자에 액세스해야 합니다.

참고

관리 사용자의 역할 기반 관리 구성은 Configuration Manager 콘솔을 사용할 때 보고 관리할 수 있는 개체를 결정합니다.

자세한 내용은 SMS 공급자 계획을 참조하세요.

SMS 관리자의 유형 및 위치

이 그룹은 SMS 공급자가 있는 각 컴퓨터에서 만든 로컬 보안 그룹입니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

SMS 관리자의 멤버 자격

Configuration Manager 그룹 멤버 자격을 자동으로 관리합니다. 기본적으로 계층 구조의 각 관리자와 사이트 서버 컴퓨터 계정은 사이트의 각 SMS 공급자 컴퓨터에서 SMS 관리자 그룹의 구성원입니다.

SMS 관리자에 대한 권한

WMI 컨트롤 MMC 스냅인에서 SMS 관리자 그룹에 대한 권한 및 권한을 볼 수 있습니다. 기본적으로 이 그룹에는 WMI 네임스페이스에서 계정 사용 및 원격 사용Root\SMS 부여됩니다. 인증된 사용자에게 는 실행 메서드, 공급자 쓰기계정 사용이 있습니다.

원격 Configuration Manager 콘솔을 사용하는 경우 사이트 서버 컴퓨터와 SMS 공급자 모두에서 원격 활성화 DCOM 권한을 구성합니다. SMS 관리자 그룹에 이러한 권한을 부여합니다. 이 작업은 사용자 또는 그룹에 직접 이러한 권한을 부여하는 대신 관리를 간소화합니다. 자세한 내용은 원격 Configuration Manager 콘솔에 대한 DCOM 권한 구성을 참조하세요.

<SMS_SiteSystemToSiteServerConnection_MP_사이트 코드>

사이트 서버에서 원격인 관리 지점은 이 그룹을 사용하여 사이트 데이터베이스에 연결합니다. 이 그룹은 사이트 서버 및 사이트 데이터베이스의 받은 편지함 폴더에 대한 관리 지점 액세스를 제공합니다.

SMS_SiteSystemToSiteServerConnection_MP 대한 형식 및 위치

이 그룹은 SMS 공급자가 있는 각 컴퓨터에서 만든 로컬 보안 그룹입니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

SMS_SiteSystemToSiteServerConnection_MP 멤버 자격

Configuration Manager 그룹 멤버 자격을 자동으로 관리합니다. 기본적으로 멤버 자격에는 사이트에 대한 관리 지점이 있는 원격 컴퓨터의 컴퓨터 계정이 포함됩니다.

SMS_SiteSystemToSiteServerConnection_MP 대한 권한

기본적으로 이 그룹에는 읽기, 읽기 & 실행 및 사이트 서버C:\Program Files\Microsoft Configuration Manager\inboxes의 폴더에 대한 폴더 콘텐츠 나열 권한이 있습니다. 또한 이 그룹에는 관리 지점에서 클라이언트 데이터를 쓰는 받은 편지함 아래의 하위 폴더에 대한 쓰기 권한이 있습니다.

<SMS_SiteSystemToSiteServerConnection_SMSProv_사이트 코드>

원격 SMS 공급자 컴퓨터는 이 그룹을 사용하여 사이트 서버에 연결합니다.

SMS_SiteSystemToSiteServerConnection_SMSProv 대한 형식 및 위치

이 그룹은 사이트 서버에서 만든 로컬 보안 그룹입니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

SMS_SiteSystemToSiteServerConnection_SMSProv 멤버 자격

Configuration Manager 그룹 멤버 자격을 자동으로 관리합니다. 기본적으로 멤버 자격에는 컴퓨터 계정 또는 도메인 사용자 계정이 포함됩니다. 이 계정을 사용하여 각 원격 SMS 공급자에서 사이트 서버에 연결합니다.

SMS_SiteSystemToSiteServerConnection_SMSProv 대한 권한

기본적으로 이 그룹에는 읽기, 읽기 & 실행 및 사이트 서버C:\Program Files\Microsoft Configuration Manager\inboxes의 폴더에 대한 폴더 콘텐츠 나열 권한이 있습니다. 이 그룹에는 받은 편지함 아래의 하위 폴더에 대한 쓰기수정 권한도 있습니다. SMS 공급자는 이러한 폴더에 액세스해야 합니다.

이 그룹에는 아래 C:\Program Files\Microsoft Configuration Manager\OSD\Bin사이트 서버의 하위 폴더에 대한 읽기 권한도 있습니다.

또한 아래 C:\Program Files\Microsoft Configuration Manager\OSD\boot하위 폴더에 대해 다음과 같은 권한이 있습니다.

  • 읽기
  • 읽기 & 실행
  • 폴더 내용 보기
  • 쓰기
  • 수정

<SMS_SiteSystemToSiteServerConnection_Stat_사이트 코드>

Configuration Manager 원격 사이트 시스템 컴퓨터의 파일 디스패치 관리자 구성 요소는 이 그룹을 사용하여 사이트 서버에 연결합니다.

SMS_SiteSystemToSiteServerConnection_Stat 유형 및 위치

이 그룹은 사이트 서버에서 만든 로컬 보안 그룹입니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

SMS_SiteSystemToSiteServerConnection_Stat 멤버 자격

Configuration Manager 그룹 멤버 자격을 자동으로 관리합니다. 기본적으로 멤버 자격에는 컴퓨터 계정 또는 도메인 사용자 계정이 포함됩니다. 이 계정을 사용하여 파일 디스패치 관리자를 실행하는 각 원격 사이트 시스템에서 사이트 서버에 연결합니다.

SMS_SiteSystemToSiteServerConnection_Stat 대한 권한

기본적으로 이 그룹에는 읽기, 읽기 & 실행 및 사이트 서버C:\Program Files\Microsoft Configuration Manager\inboxes의 폴더 및 해당 하위 폴더에 대한 폴더 콘텐츠 나열 권한이 있습니다.

이 그룹에는 사이트 서버C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box의 폴더에 대한 쓰기수정 권한도 있습니다.

<SMS_SiteToSiteConnection_사이트 코드>

Configuration Manager 이 그룹을 사용하여 계층 구조의 사이트 간에 파일 기반 복제를 사용하도록 설정합니다. 이 사이트에 파일을 직접 전송하는 각 원격 사이트에 대해 이 그룹에는 파일 복제 계정으로 설정된 계정이 있습니다.

SMS_SiteToSiteConnection 대한 형식 및 위치

이 그룹은 사이트 서버에서 만든 로컬 보안 그룹입니다.

SMS_SiteToSiteConnection 멤버 자격

새 사이트를 다른 사이트의 자식으로 설치하면 Configuration Manager 부모 사이트 서버의 이 그룹에 새 사이트 서버의 컴퓨터 계정을 자동으로 추가합니다. 또한 Configuration Manager 부모 사이트의 컴퓨터 계정을 새 사이트 서버의 그룹에 추가합니다. 파일 기반 전송에 다른 계정을 지정하는 경우 대상 사이트 서버의 이 그룹에 해당 계정을 추가합니다.

사이트를 제거하면 이 그룹이 자동으로 제거되지 않습니다. 사이트를 제거한 후 수동으로 삭제합니다.

SMS_SiteToSiteConnection 대한 권한

기본적으로 이 그룹에는 폴더C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive에 대한 모든 권한이 있습니다.

Configuration Manager 사용하는 계정

Configuration Manager 다음 계정을 설정할 수 있습니다.

Configuration Manager 콘솔에서 지정한 계정의 암호에 백분율 문자(%)를 사용하지 마세요. 계정이 인증되지 않습니다.

Active Directory 그룹 검색 계정

사이트에서는 Active Directory 그룹 검색 계정을 사용하여 지정한 Active Directory Domain Services 위치에서 다음 개체를 검색합니다.

  • 로컬, 전역 및 범용 보안 그룹.
  • 이러한 그룹 내의 멤버 자격입니다.
  • 메일 그룹 내의 멤버 자격입니다.
    • 메일 그룹은 그룹 리소스로 검색되지 않습니다.

이 계정은 검색을 실행하는 사이트 서버의 컴퓨터 계정 또는 Windows 사용자 계정일 수 있습니다. 검색을 위해 지정한 Active Directory 위치에 대한 읽기 액세스 권한이 있어야 합니다.

자세한 내용은 Active Directory 그룹 검색을 참조하세요.

Active Directory 시스템 검색 계정

사이트는 Active Directory 시스템 검색 계정을 사용하여 사용자가 지정한 Active Directory Domain Services 위치에서 컴퓨터를 검색합니다.

이 계정은 검색을 실행하는 사이트 서버의 컴퓨터 계정 또는 Windows 사용자 계정일 수 있습니다. 검색을 위해 지정한 Active Directory 위치에 대한 읽기 액세스 권한이 있어야 합니다.

자세한 내용은 Active Directory 시스템 검색을 참조하세요.

Active Directory 사용자 검색 계정

사이트는 Active Directory 사용자 검색 계정을 사용하여 사용자가 지정한 Active Directory Domain Services 위치에서 사용자 계정을 검색합니다.

이 계정은 검색을 실행하는 사이트 서버의 컴퓨터 계정 또는 Windows 사용자 계정일 수 있습니다. 검색을 위해 지정한 Active Directory 위치에 대한 읽기 액세스 권한이 있어야 합니다.

자세한 내용은 Active Directory 사용자 검색을 참조하세요.

Active Directory 포리스트 계정

이 사이트는 Active Directory 포리스트 계정을 사용하여 Active Directory 포 리스트에서 네트워크 인프라를 검색합니다. 중앙 관리 사이트 및 기본 사이트는 포리스트에 대한 Active Directory Domain Services 사이트 데이터를 게시하는 데도 사용합니다.

참고

보조 사이트는 항상 보조 사이트 서버 컴퓨터 계정을 사용하여 Active Directory에 게시합니다.

신뢰할 수 없는 포리스트를 검색하고 게시하려면 Active Directory 포리스트 계정이 전역 계정이어야 합니다. 사이트 서버의 컴퓨터 계정을 사용하지 않는 경우 전역 계정만 선택할 수 있습니다.

이 계정에는 네트워크 인프라를 검색하려는 각 Active Directory 포리스트에 대한 읽기 권한이 있어야 합니다.

이 계정에는 사이트 데이터를 게시하려는 각 Active Directory 포리스트의 시스템 관리 컨테이너 및 모든 자식 개체에 대한 모든 권한이 있어야 합니다.

자세한 내용은 사이트 게시를 위한 Active Directory 준비를 참조하세요.

자세한 내용은 Active Directory 포리스트 검색을 참조하세요.

인증서 등록 지점 계정

경고

버전 2203부터 인증서 등록 지점은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.

인증서 등록 지점은 인증서 등록 지점 계정을 사용하여 Configuration Manager 데이터베이스에 연결합니다. 기본적으로 컴퓨터 계정을 사용하지만 대신 사용자 계정을 구성할 수 있습니다. 인증서 등록 지점이 사이트 서버의 신뢰할 수 없는 도메인에 있는 경우 사용자 계정을 지정해야 합니다. 상태 메시지 시스템에서 쓰기 작업을 처리하므로 이 계정에는 사이트 데이터베이스에 대한 읽기 권한만 필요합니다.

자세한 내용은 인증서 프로필 소개를 참조하세요.

OS 이미지 계정 캡처

OS 이미지를 캡처할 때 Configuration Manager OS 이미지 캡처 계정을 사용하여 캡처한 이미지를 저장하는 폴더에 액세스합니다. OS 이미지 캡처 단계를 작업 순서에 추가하는 경우 이 계정이 필요합니다.

계정에는 캡처된 이미지를 저장하는 네트워크 공유에 대한 읽기쓰기 권한이 있어야 합니다.

Windows에서 계정의 암호를 변경하는 경우 작업 순서를 새 암호로 업데이트합니다. Configuration Manager 클라이언트는 다음에 클라이언트 정책을 다운로드할 때 새 암호를 받습니다.

이 계정을 사용해야 하는 경우 하나의 도메인 사용자 계정을 만듭니다. 필요한 네트워크 리소스에 액세스하고 모든 캡처 작업 순서에 사용할 수 있는 최소한의 권한을 부여합니다.

중요

이 계정에 대화형 로그인 권한을 할당하지 마세요.

이 계정에 대한 네트워크 액세스 계정을 사용하지 마세요.

자세한 내용은 OS를 캡처하는 작업 순서 만들기를 참조하세요.

클라이언트 푸시 설치 계정

클라이언트 강제 설치 방법을 사용하여 클라이언트를 배포하는 경우 사이트는 클라이언트 푸시 설치 계정을 사용하여 컴퓨터에 연결하고 Configuration Manager 클라이언트 소프트웨어를 설치합니다. 이 계정을 지정하지 않으면 사이트 서버에서 해당 컴퓨터 계정을 사용하려고 합니다.

이 계정은 대상 클라이언트 컴퓨터의 로컬 관리자 그룹의 구성원이어야 합니다. 이 계정에는 도메인 관리 권한이 필요하지 않습니다.

둘 이상의 클라이언트 푸시 설치 계정을 지정할 수 있습니다. Configuration Manager 성공할 때까지 차례로 각각을 시도합니다.

대규모 Active Directory 환경이 있고 이 계정을 변경해야 하는 경우 다음 프로세스를 사용하여 이 계정 업데이트를 보다 효과적으로 조정합니다.

  1. 다른 이름으로 새 계정을 만듭니다.
  2. Configuration Manager 클라이언트 푸시 설치 계정 목록에 새 계정을 추가합니다.
  3. Active Directory Domain Services 새 계정을 복제하는 데 충분한 시간을 허용합니다.
  4. 그런 다음 Configuration Manager 이전 계정을 제거하고 Active Directory Domain Services.

중요

도메인 또는 로컬 그룹 정책을 사용하여 Windows 사용자에게 로컬로 로그온 거부 권한을 할당합니다. 관리자 그룹의 구성원으로서 이 계정에는 필요하지 않은 로컬로 로그인할 수 있는 권한이 있습니다. 보안을 강화하려면 이 계정에 대한 권리를 명시적으로 거부합니다. 거부 권한은 허용 권한을 대체합니다.

자세한 내용은 클라이언트 푸시 설치를 참조하세요.

등록 지점 연결 계정

등록 지점은 등록 지점 연결 계정을 사용하여 Configuration Manager 사이트 데이터베이스에 연결합니다. 기본적으로 컴퓨터 계정을 사용하지만 대신 사용자 계정을 구성할 수 있습니다. 등록 지점이 사이트 서버의 신뢰할 수 없는 도메인에 있는 경우 사용자 계정을 지정해야 합니다. 이 계정에는 사이트 데이터베이스에 대한 읽기쓰기 액세스 권한이 필요합니다.

자세한 내용은 온-프레미스 MDM에 대한 사이트 시스템 역할 설치를 참조하세요.

Exchange Server 연결 계정

사이트 서버는 Exchange Server 연결 계정을 사용하여 지정된 Exchange Server 연결합니다. 이 연결을 사용하여 Exchange Server 연결하는 모바일 디바이스를 찾고 관리합니다. 이 계정에는 Exchange Server 컴퓨터에 필요한 권한을 제공하는 Exchange PowerShell cmdlet이 필요합니다. cmdlet에 대한 자세한 내용은 Exchange 커넥터 설치 및 구성을 참조하세요.

관리 지점 연결 계정

관리 지점은 관리 지점 연결 계정을 사용하여 Configuration Manager 사이트 데이터베이스에 연결합니다. 이 연결을 사용하여 클라이언트에 대한 정보를 보내고 검색합니다. 관리 지점은 기본적으로 컴퓨터 계정을 사용하지만 대신 대체 서비스 계정을 구성할 수 있습니다. 관리 지점이 사이트 서버에서 신뢰할 수 없는 도메인에 있는 경우 대체 서비스 계정을 지정해야 합니다.

참고

향상된 보안 태세의 경우 '관리 지점 연결 계정'에 컴퓨터 계정이 아닌 대체 서비스 계정을 활용하는 것이 좋습니다.

Microsoft SQL Server 실행하는 컴퓨터에서 계정을 낮은 오른쪽 서비스 계정으로 만듭니다.

중요

  • 이 계정에 대화형 로그인 권한을 부여하지 마세요.
  • 원격 도메인 또는 포리스트에서 계정을 지정하는 경우 도메인 NetBIOS 이름뿐만 아니라 사용자 이름 앞에 도메인 FQDN을 지정해야 합니다. 예를 들어 Corp\UserName 대신 Corp.Contoso.com\UserName을 지정합니다. 이렇게 하면 Configuration Manager 계정이 원격 사이트 시스템에 인증하는 데 사용될 때 Kerberos를 사용할 수 있습니다. FQDN을 사용하면 Windows 월간 업데이트에서 NTLM에 대한 최근 강화 변경으로 인한 인증 오류가 수정되는 경우가 많습니다.

멀티캐스트 연결 계정

멀티캐스트 사용 배포 지점은 멀티캐스트 연결 계정을 사용하여 사이트 데이터베이스에서 정보를 읽습니다. 서버는 기본적으로 컴퓨터 계정을 사용하지만 대신 서비스 계정을 구성할 수 있습니다. 사이트 데이터베이스가 신뢰할 수 없는 포리스트에 있는 경우 서비스 계정을 지정해야 합니다. 예를 들어 데이터 센터에 사이트 서버 및 사이트 데이터베이스가 아닌 포리스트에 경계 네트워크가 있는 경우 이 계정을 사용하여 사이트 데이터베이스에서 멀티캐스트 정보를 읽습니다.

이 계정이 필요한 경우 Microsoft SQL Server 실행하는 컴퓨터에서 낮은 오른쪽 서비스 계정으로 만듭니다.

참고

향상된 보안 태세의 경우 '멀티캐스트 연결 계정'에 컴퓨터 계정이 아닌 서비스 계정을 활용하는 것이 좋습니다.

중요

이 서비스 계정에 대화형 로그인 권한을 부여하지 마세요.

자세한 내용은 멀티캐스트를 사용하여 네트워크를 통해 Windows 배포를 참조하세요.

네트워크 액세스 계정

클라이언트 컴퓨터는 로컬 컴퓨터 계정을 사용하여 배포 지점의 콘텐츠에 액세스할 수 없는 경우 네트워크 액세스 계정을 사용합니다. 주로 신뢰할 수 없는 도메인의 작업 그룹 클라이언트 및 컴퓨터에 적용됩니다. 이 계정은 OS를 설치하는 컴퓨터에 아직 도메인에 컴퓨터 계정이 없는 OS 배포 중에도 사용됩니다.

중요

네트워크 액세스 계정은 프로그램을 실행하거나 소프트웨어 업데이트를 설치하거나 작업 순서를 실행하는 보안 컨텍스트로 사용되지 않습니다. 네트워크의 리소스에 액세스하는 데만 사용됩니다.

Configuration Manager 클라이언트는 먼저 해당 컴퓨터 계정을 사용하여 콘텐츠를 다운로드하려고 시도합니다. 실패하면 네트워크 액세스 계정을 자동으로 시도합니다.

HTTPS 또는 고급 HTTP용 사이트를 구성하는 경우 작업 그룹 또는 Microsoft Entra 조인된 클라이언트는 네트워크 액세스 계정 없이도 배포 지점에서 콘텐츠에 안전하게 액세스할 수 있습니다. 이 동작에는 부팅 미디어, PXE 또는 소프트웨어 센터에서 실행되는 작업 순서가 있는 OS 배포 시나리오가 포함됩니다. 자세한 내용은 클라이언트에서 관리 지점 통신을 참조하세요.

참고

네트워크 액세스 계정이 필요하지 않도록 고급 HTTP를 사용하도록 설정하면 배포 지점이 현재 지원되는 Windows Server 버전 또는 Windows 10/11 버전을 실행해야 합니다.

네트워크 액세스 계정에 대한 권한

이 계정에 클라이언트가 소프트웨어에 액세스하는 데 필요한 콘텐츠에 대한 최소 적절한 권한을 부여합니다. 계정에는 배포 지점에서 네트워크에서 이 컴퓨터에 액세스 권한이 있어야 합니다. 사이트당 최대 10개의 네트워크 액세스 계정을 구성할 수 있습니다.

리소스에 필요한 액세스를 제공하는 모든 도메인에 계정을 만듭니다. 네트워크 액세스 계정에는 항상 도메인 이름이 포함되어야 합니다. 이 계정에는 통과 보안이 지원되지 않습니다. 여러 도메인에 배포 지점이 있는 경우 신뢰할 수 있는 도메인에 계정을 만듭니다.

계정 잠금을 방지하려면 기존 네트워크 액세스 계정의 암호를 변경하지 마세요. 대신 새 계정을 만들고 Configuration Manager 새 계정을 설정합니다. 모든 클라이언트가 새 계정 세부 정보를 받는 데 충분한 시간이 경과한 경우 네트워크 공유 폴더에서 이전 계정을 제거하고 계정을 삭제합니다.

중요

이 계정에 대화형 로그인 권한을 부여하지 마세요.

이 계정에 컴퓨터를 도메인에 가입할 수 있는 권한을 부여하지 마세요. 작업 순서 중에 컴퓨터를 도메인에 조인해야 하는 경우 작업 순서 도메인 가입 계정을 사용합니다.

네트워크 액세스 계정 구성

  1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다. 그런 다음 사이트를 선택합니다.

  2. 리본의 설정 그룹에서 사이트 구성 요소 구성을 선택하고 소프트웨어 배포를 선택합니다.

  3. 네트워크 액세스 계정 탭을 선택합니다. 하나 이상의 계정을 설정한 다음 확인을 선택합니다.

네트워크 액세스 계정이 필요한 작업

네트워크 액세스 계정은 다음 작업(eHTTP & PKI 시나리오 포함)에 여전히 필요합니다.

  • 멀티 캐스트. 자세한 내용은 멀티캐스트를 사용하여 네트워크를 통해 Windows 배포를 참조하세요.

  • 실행 중인 작업 순서에서 필요한 경우 배포 지점에서 직접 콘텐츠에 액세스하는 작업 순서 배포 옵션입니다. 자세한 내용은 작업 순서 배포 옵션을 참조하세요.

  • OS 이미지 작업 순서 단계 옵션을 배포 지점에서 직접 콘텐츠 액세스에 적용합니다. 이 옵션은 주로 로컬 디스크에 콘텐츠를 캐싱하는 데 비용이 많이 드는 디스크 공간이 적은 Windows Embedded 시나리오를 위한 것입니다. 자세한 내용은 배포 지점에서 직접 콘텐츠 액세스를 참조하세요.

  • HTTP/HTTPS를 사용하여 배포 지점에서 패키지를 다운로드하지 못하면 배포 지점의 패키지 공유에서 SMB를 사용하여 패키지를 다운로드하는 것으로 대체되는 기능이 있습니다. 배포 지점의 패키지 공유에서 SMB를 사용하여 패키지를 다운로드하려면 네트워크 액세스 계정을 사용해야 합니다. 이 대체 동작은 패키지의 속성에 있는 데이터 액세스 탭에서 배포 지점의 패키지 공유에 이 패키지의 콘텐츠 복사 옵션을 사용하는 경우에만 발생합니다. 이 동작을 유지하려면 네트워크 액세스 계정이 비활성화되거나 제거되지 않았는지 확인합니다. 이 동작이 더 이상 필요하지 않은 경우 배포 지점의 패키지 공유에 이 패키지의 콘텐츠 복사 옵션이 어떤 패키지에서도 사용하도록 설정되지 않았는지 확인합니다.

  • 상태 저장소 요청 작업 순서 단계입니다. 작업 순서가 디바이스의 컴퓨터 계정을 사용하여 상태 마이그레이션 지점과 통신할 수 없는 경우 네트워크 액세스 계정을 사용하는 것으로 돌아갑니다. 자세한 내용은 상태 저장소 요청을 참조하세요.

  • 작업 순서 속성 설정을 먼저 다른 프로그램 실행으로 설정합니다. 이 설정은 작업 순서가 시작되기 전에 네트워크 공유에서 패키지 및 프로그램을 실행합니다. 자세한 내용은 작업 순서 속성: 고급 탭을 참조하세요.

  • 신뢰할 수 없는 도메인 및 포리스트 간 시나리오에서 클라이언트를 관리하면 여러 네트워크 액세스 계정을 사용할 수 있습니다.

패키지 액세스 계정

패키지 액세스 계정을 사용하면 배포 지점에서 패키지 콘텐츠에 액세스할 수 있는 사용자 및 사용자 그룹을 지정하는 NTFS 권한을 설정할 수 있습니다. 기본적으로 Configuration Manager 일반 액세스 계정 사용자관리자에 대한 액세스 권한만 부여합니다. 다른 Windows 계정 또는 그룹을 사용하여 클라이언트 컴퓨터에 대한 액세스를 제어할 수 있습니다. 모바일 디바이스는 항상 패키지 콘텐츠를 익명으로 검색하므로 패키지 액세스 계정을 사용하지 않습니다.

기본적으로 Configuration Manager 콘텐츠 파일을 배포 지점에 복사하는 경우 로컬 사용자 그룹에 대한 읽기 액세스 권한을 부여하고 로컬 관리자 그룹에 대한 모든 권한을 부여합니다. 필요한 실제 권한은 패키지에 따라 달라집니다. 작업 그룹 또는 신뢰할 수 없는 포리스트에 클라이언트가 있는 경우 해당 클라이언트는 네트워크 액세스 계정을 사용하여 패키지 콘텐츠에 액세스합니다. 정의된 패키지 액세스 계정을 사용하여 네트워크 액세스 계정에 패키지에 대한 권한이 있는지 확인합니다.

배포 지점에 액세스할 수 있는 도메인의 계정을 사용합니다. 패키지를 만든 후 계정을 만들거나 수정하는 경우 패키지를 재배포해야 합니다. 패키지를 업데이트해도 패키지에 대한 NTFS 권한은 변경되지 않습니다.

사용자 그룹의 멤버 자격이 자동으로 추가되므로 네트워크 액세스 계정을 패키지 액세스 계정으로 추가할 필요가 없습니다. 패키지 액세스 계정을 네트워크 액세스 계정으로만 제한해도 클라이언트가 패키지에 액세스할 수 없습니다.

패키지 액세스 계정 관리

  1. Configuration Manager 콘솔에서 소프트웨어 라이브러리 작업 영역으로 이동합니다.

  2. 소프트웨어 라이브러리 작업 영역에서 액세스 계정을 관리할 콘텐츠 유형을 확인하고 제공된 단계를 따릅니다.

    • 애플리케이션: 애플리케이션 관리를 확장하고 애플리케이션을 선택한 다음 액세스 계정을 관리할 애플리케이션을 선택합니다.

    • 패키지: 애플리케이션 관리를 확장하고 패키지를 선택한 다음 액세스 계정을 관리할 패키지를 선택합니다.

    • 소프트웨어 업데이트 배포 패키지: 소프트웨어 업데이트 확장하고 배포 패키지를 선택한 다음 액세스 계정을 관리할 배포 패키지를 선택합니다.

    • 드라이버 패키지: 운영 체제를 확장하고 드라이버 패키지를 선택한 다음 액세스 계정을 관리할 드라이버 패키지를 선택합니다.

    • OS 이미지: 운영 체제를 확장하고 운영 체제 이미지를 선택한 다음 액세스 계정을 관리할 운영 체제 이미지를 선택합니다.

    • OS 업그레이드 패키지: 운영 체제를 확장하고 운영 체제 업그레이드 패키지를 선택한 다음 액세스 계정을 관리할 OS 업그레이드 패키지를 선택합니다.

    • 부팅 이미지: 운영 체제를 확장하고 부팅 이미지를 선택한 다음 액세스 계정을 관리할 부팅 이미지를 선택합니다.

  3. 선택한 개체를 마우스 오른쪽 단추로 클릭한 다음 액세스 계정 관리를 선택합니다.

  4. 계정 추가 대화 상자에서 콘텐츠에 대한 액세스 권한을 부여할 계정 유형을 지정한 다음 계정과 연결된 액세스 권한을 지정합니다.

    참고

    계정에 대한 사용자 이름을 추가하고 Configuration Manager 해당 이름의 로컬 사용자 계정과 도메인 사용자 계정을 모두 찾으면 Configuration Manager 도메인 사용자 계정에 대한 액세스 권한을 설정합니다.

Reporting Services 지점 계정

SQL Server Reporting Services Reporting Services 지점 계정을 사용하여 사이트 데이터베이스에서 Configuration Manager 보고서의 데이터를 검색합니다. 지정한 Windows 사용자 계정 및 암호는 암호화되어 SQL Server Reporting Services 데이터베이스에 저장됩니다.

참고

지정한 계정에는 SQL Server Reporting Services 데이터베이스를 호스트하는 컴퓨터에 대한 로컬 로그온 권한이 있어야 합니다.

계정은 Configuration Manager 데이터베이스의 smsschm_users SQL Server 데이터베이스 역할에 추가되어 필요한 모든 권한을 자동으로 부여합니다.

자세한 내용은 보고 소개를 참조하세요.

원격 도구 허용 뷰어 계정

원격 제어를 위해 허용된 뷰어 로 지정하는 계정은 클라이언트에서 원격 도구 기능을 사용할 수 있는 사용자 목록입니다.

자세한 내용은 원격 제어 소개를 참조하세요.

사이트 설치 계정

도메인 사용자 계정을 사용하여 Configuration Manager 설치를 실행하고 새 사이트를 설치하는 서버에 로그인합니다.

이 계정에는 다음 권한이 필요합니다.

  • 다음 서버의 관리자:

    • 사이트 서버
    • 사이트 데이터베이스를 호스트하는 각 서버
    • 사이트에 대한 SMS 공급자의 각 instance
  • 사이트 데이터베이스를 호스트하는 SQL Server instance Sysadmin

Configuration Manager 설정은 이 계정을 SMS 관리자 그룹에 자동으로 추가합니다.

설치 후 이 계정은 Configuration Manager 콘솔에 대한 권한이 있는 유일한 계정입니다. 이 계정을 제거해야 하는 경우 먼저 다른 사용자에게 해당 권한을 추가해야 합니다.

중앙 관리 사이트를 포함하도록 독립 실행형 사이트를 확장하는 경우 이 계정에는 독립 실행형 기본 사이트에서 전체 관리자 또는 인프라 관리자 역할 기반 관리 권한이 필요합니다.

사이트 시스템 설치 계정

사이트 서버는 사이트 시스템 설치 계정을 사용하여 사이트 시스템을 설치, 다시 설치, 제거 및 설정합니다. 사이트 서버가 이 사이트 시스템에 대한 연결을 시작하도록 사이트 시스템을 설정한 경우 Configuration Manager 사이트 시스템 및 역할을 설치한 후 이 계정을 사용하여 사이트 시스템에서 데이터를 끌어오기도 합니다. 각 사이트 시스템에는 다른 설치 계정이 있을 수 있지만 해당 사이트 시스템의 모든 역할을 관리하기 위해 하나의 설치 계정만 설정할 수 있습니다.

이 계정에는 대상 사이트 시스템에 대한 로컬 관리 권한이 필요합니다. 또한 이 계정에는 대상 사이트 시스템의 보안 정책 에서 네트워크에서 이 컴퓨터에 액세스 해야 합니다.

중요

원격 도메인 또는 포리스트에서 계정을 지정하는 경우 도메인 NetBIOS 이름뿐만 아니라 사용자 이름 앞에 도메인 FQDN을 지정해야 합니다. 예를 들어 Corp\UserName 대신 Corp.Contoso.com\UserName을 지정합니다. 이렇게 하면 Configuration Manager 계정이 원격 사이트 시스템에 인증하는 데 사용될 때 Kerberos를 사용할 수 있습니다. FQDN을 사용하면 Windows 월간 업데이트에서 NTLM에 대한 최근 강화 변경으로 인한 인증 오류가 수정되는 경우가 많습니다.

도메인 컨트롤러가 많고 이러한 계정이 도메인 간에 사용되는 경우 사이트 시스템을 설정하기 전에 Active Directory에서 이러한 계정을 복제했음을 검사.

관리할 각 사이트 시스템에 서비스 계정을 지정하면 이 구성이 더 안전합니다. 공격자가 수행할 수 있는 피해를 제한합니다. 그러나 도메인 계정은 관리하기 쉽습니다. 보안과 효과적인 관리 간의 장차를 고려합니다.

사이트 시스템 프록시 서버 계정

다음 사이트 시스템 역할은 사이트 시스템 프록시 서버 계정을 사용하여 인증된 액세스가 필요한 프록시 서버 또는 방화벽을 통해 인터넷에 액세스합니다.

  • Asset Intelligence 동기화 지점
  • Exchange Server 커넥터
  • 서비스 연결 지점
  • 소프트웨어 업데이트 지점

중요

필요한 프록시 서버 또는 방화벽에 대해 가능한 최소 권한이 있는 계정을 지정합니다.

자세한 내용은 프록시 서버 지원을 참조하세요.

SMTP 서버 연결 계정

사이트 서버는 SMTP 서버 연결 계정을 사용하여 SMTP 서버에 인증된 액세스 권한이 필요한 경우 메일 경고를 보냅니다.

중요

전자 메일을 보낼 수 있는 권한이 가장 적은 계정을 지정합니다.

자세한 내용은 경고 구성을 참조하세요.

소프트웨어 업데이트 지점 연결 계정

사이트 서버는 다음 두 가지 소프트웨어 업데이트 서비스에 소프트웨어 업데이트 지점 연결 계정을 사용합니다.

  • 제품 정의, 분류 및 업스트림 설정과 같은 설정을 설정하는 WSUS(Windows Server Update Services)입니다.

  • WSUS 동기화 관리자 - 업스트림 WSUS 서버 또는 Microsoft 업데이트에 대한 동기화를 요청합니다.

사이트 시스템 설치 계정은 소프트웨어 업데이트에 대한 구성 요소를 설치할 수 있지만 소프트웨어 업데이트 지점에서 소프트웨어 업데이트 관련 기능을 수행할 수는 없습니다. 소프트웨어 업데이트 지점이 신뢰할 수 없는 포리스트에 있으므로 이 기능에 사이트 서버 컴퓨터 계정을 사용할 수 없는 경우 사이트 시스템 설치 계정과 함께 이 계정을 지정해야 합니다.

이 계정은 WSUS를 설치하는 컴퓨터의 로컬 관리자여야 합니다. 또한 로컬 WSUS 관리자 그룹의 일부여야 합니다.

자세한 내용은 소프트웨어 업데이트 계획을 참조하세요.

원본 사이트 계정

마이그레이션 프로세스는 원본 사이트 계정을 사용하여 원본 사이트의 SMS 공급자에 액세스합니다. 이 계정에는 마이그레이션 작업에 대한 데이터를 수집하기 위해 원본 사이트의 사이트 개체에 대한 읽기 권한이 필요합니다.

공동 배치된 배포 지점이 있는 2007 배포 지점 또는 보조 사이트를 Configuration Manager 경우 Configuration Manager(현재 분기) 배포 지점으로 업그레이드할 때 이 계정에는 Site 클래스에 대한 삭제 권한도 있어야 합니다. 이 권한은 업그레이드하는 동안 Configuration Manager 2007 사이트에서 배포 지점을 성공적으로 제거하는 것입니다.

참고

원본 사이트 계정과 원본 사이트 데이터베이스 계정은 모두 Configuration Manager 콘솔의 관리 작업 영역의 계정 노드에서 마이그레이션 관리자로 식별됩니다.

자세한 내용은 계층 간 데이터 마이그레이션을 참조하세요.

원본 사이트 데이터베이스 계정

마이그레이션 프로세스는 원본 사이트 데이터베이스 계정을 사용하여 원본 사이트의 SQL Server 데이터베이스에 액세스합니다. 원본 사이트의 SQL Server 데이터베이스에서 데이터를 수집하려면 원본 사이트 데이터베이스 계정에 원본 사이트의 SQL Server 데이터베이스에 대한 읽기실행 권한이 있어야 합니다.

Configuration Manager(현재 분기) 컴퓨터 계정을 사용하는 경우 이 계정에 대해 다음이 모두 충족되는지 확인합니다.

  • Configuration Manager 2012 사이트와 동일한 도메인에 있는 분산 COM 사용자 보안 그룹의 구성원입니다.
  • SMS Admins 보안 그룹의 구성원입니다.
  • 모든 Configuration Manager 2012 개체에 대한 읽기 권한이 있습니다.

참고

원본 사이트 계정과 원본 사이트 데이터베이스 계정은 모두 Configuration Manager 콘솔의 관리 작업 영역의 계정 노드에서 마이그레이션 관리자로 식별됩니다.

자세한 내용은 계층 간 데이터 마이그레이션을 참조하세요.

작업 순서 도메인 가입 계정

Windows 설치 프로그램은 작업 순서 도메인 가입 계정을 사용하여 새로 이미지된 컴퓨터를 도메인에 조인합니다. 이 계정은 도메인 가입 옵션과 함께 도메인 가입 또는 작업 그룹 작업 순서 단계에서 필요합니다. 이 계정은 네트워크 설정 적용 단계를 사용하여 설정할 수도 있지만 필수는 아닙니다.

이 계정에는 대상 도메인의 도메인 가입 권한이 필요합니다.

도메인에 가입할 수 있는 최소한의 권한으로 하나의 도메인 사용자 계정을 만들고 모든 작업 순서에 사용합니다.

중요

이 계정에 대화형 로그인 권한을 할당하지 마세요.

이 계정에 대한 네트워크 액세스 계정을 사용하지 마세요.

작업 순서 네트워크 폴더 연결 계정

작업 순서 엔진은 작업 순서 네트워크 폴더 연결 계정을 사용하여 네트워크의 공유 폴더에 연결합니다. 이 계정은 네트워크 폴더에 연결 작업 순서 단계에서 필요합니다.

이 계정에는 지정된 공유 폴더에 액세스할 수 있는 권한이 필요합니다. 도메인 사용자 계정이어야 합니다.

필요한 네트워크 리소스에 액세스할 수 있는 최소한의 권한으로 하나의 도메인 사용자 계정을 만들고 모든 작업 순서에 사용합니다.

중요

이 계정에 대화형 로그인 권한을 할당하지 마세요.

이 계정에 대한 네트워크 액세스 계정을 사용하지 마세요.

작업 순서가 계정으로 실행됨

작업 순서 엔진은 작업 순서 실행 계정을 사용하여 로컬 시스템 계정 이외의 자격 증명을 사용하여 명령줄 또는 PowerShell 스크립트를 실행합니다. 이 계정은 명령줄 실행PowerShell 스크립트 실행 작업 순서 단계에서 다음 계정으로 이 단계 실행 옵션이 선택되어 필요합니다.

작업 순서에서 지정한 명령줄을 실행하는 데 필요한 최소 권한을 갖도록 계정을 설정합니다. 계정에는 대화형 로그인 권한이 필요합니다. 일반적으로 소프트웨어를 설치하고 네트워크 리소스에 액세스하는 기능이 필요합니다. PowerShell 스크립트 실행 작업의 경우 이 계정에는 로컬 관리자 권한이 필요합니다.

중요

이 계정에 대한 네트워크 액세스 계정을 사용하지 마세요.

계정을 도메인 관리자로 지정하지 마세요.

이 계정에 대한 로밍 프로필을 설정하지 마세요. 작업 순서가 실행되면 계정에 대한 로밍 프로필을 다운로드합니다. 이렇게 하면 프로필이 로컬 컴퓨터의 액세스에 취약합니다.

계정의 scope 제한합니다. 예를 들어 각 작업 순서에 대한 계정으로 실행되는 다른 작업 순서를 만듭니다. 그런 다음 하나의 계정이 손상된 경우 해당 계정에 액세스 권한이 있는 클라이언트 컴퓨터만 손상됩니다.

명령줄에 컴퓨터의 관리 액세스 권한이 필요한 경우 작업 순서를 실행하는 모든 컴퓨터에서 이 계정에 대해서만 로컬 관리자 계정을 만드는 것이 좋습니다. 계정이 더 이상 필요하지 않으면 계정을 삭제합니다.

Configuration Manager SQL Server 사용하는 사용자 개체

Configuration Manager SQL에서 다음 사용자 개체를 자동으로 만들고 유지 관리합니다. 이러한 개체는 보안/사용자 아래의 Configuration Manager 데이터베이스 내에 있습니다.

중요

이러한 개체를 수정하거나 제거하면 Configuration Manager 환경 내에서 심각한 문제가 발생할 수 있습니다. 이러한 개체는 변경하지 않는 것이 좋습니다.

smsdbuser_ReadOnly

이 개체는 읽기 전용 컨텍스트에서 쿼리를 실행하는 데 사용됩니다. 이 개체는 여러 저장 프로시저와 함께 사용됩니다.

smsdbuser_ReadWrite

이 개체는 동적 SQL 문에 대한 권한을 제공하는 데 사용됩니다.

smsdbuser_ReportSchema

이 개체는 SQL Server 보고 실행을 실행하는 데 사용됩니다. 다음 저장 프로시저는 이 함수 spSRExecQuery와 함께 사용됩니다.

CONFIGURATION MANAGER SQL에서 사용하는 데이터베이스 역할

Configuration Manager SQL에서 다음 역할 개체를 자동으로 만들고 유지 관리합니다. 이러한 역할은 특정 저장 프로시저, 테이블, 뷰 및 함수에 대한 액세스를 제공합니다. 이러한 역할은 Configuration Manager 데이터베이스에 데이터를 얻거나 추가합니다. 이러한 개체는 보안/역할/데이터베이스 역할 아래 Configuration Manager 데이터베이스 내에 있습니다.

중요

이러한 개체를 수정하거나 제거하면 Configuration Manager 환경 내에서 심각한 문제가 발생할 수 있습니다. 이러한 개체는 변경하지 마세요. 다음 목록은 정보 용도로만 제공됩니다.

smsdbrole_AITool

Configuration Manager Asset Intelligence에 대한 볼륨 라이선스 정보를 가져오기 위한 역할 기반 액세스 권한에 따라 관리 사용자 계정에 이 권한을 부여합니다. 이 계정은 전체 관리자, 운영 관리자 또는 Asset Manager 역할 또는 'Asset Intelligence 관리' 권한이 있는 모든 역할에 의해 추가될 수 있습니다.

smsdbrole_AIUS

Configuration Manager Asset Intelligence 동기화 지점 계정 액세스를 호스트하는 컴퓨터 계정에 Asset Intelligence 프록시 데이터를 가져와서 업로드할 보류 중인 AI 데이터를 볼 수 있도록 허용합니다.

smsdbrole_CRP

Configuration Manager 인증서 서명 및 갱신에 대한 SCEP(단순 인증서 등록 프로토콜) 지원에 대한 인증서 등록 지점을 지원하는 사이트 시스템의 컴퓨터 계정에 권한을 부여합니다.

smsdbrole_CRPPfx

Configuration Manager 서명 및 갱신을 위해 PFX 지원을 위해 구성된 인증서 등록 지점을 지원하는 사이트 시스템의 컴퓨터 계정에 권한을 부여합니다.

smsdbrole_DMP

Configuration Manager 모바일 디바이스 및 Mac 컴퓨터에서 이 관리 지점을 사용하도록 허용 옵션(MDM 등록 디바이스에 대한 지원을 제공할 수 있는 기능)이 있는 관리 지점에 대해 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_DmpConnector

Configuration Manager 서비스 연결 지점을 호스트하는 컴퓨터 계정에 이 권한을 부여하여 진단 데이터를 검색 및 제공하고, 클라우드 서비스를 관리하고, 서비스 업데이트를 검색합니다.

smsdbrole_DViewAccess

Configuration Manager 복제 링크 속성에서 SQL Server 분산 보기 옵션을 선택하면 CAS의 기본 사이트 서버 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_DWSS

Configuration Manager 데이터 웨어하우스 역할을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_EnrollSvr

Configuration Manager MDM을 통해 디바이스 등록을 허용하도록 등록 지점을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_extract

모든 확장된 스키마 보기에 대한 액세스를 제공합니다.

smsdbrole_HMSUser

계층 관리자 서비스의 경우. Configuration Manager 이 계정에 장애 조치(failover) 상태 메시지를 관리하고 계층 내 사이트 간의 broker 트랜잭션을 SQL Server 권한을 부여합니다.

참고

smdbrole_WebPortal 역할은 기본적으로 이 역할의 멤버입니다.

smsdbrole_MCS

Configuration Manager 멀티캐스트를 지원하는 배포 지점의 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_MP

Configuration Manager 관리 지점 역할을 호스트하는 컴퓨터 계정에 이 권한을 부여하여 Configuration Manager 클라이언트에 대한 지원을 제공합니다.

smsdbrole_MPMBAM

Configuration Manager 환경에 대해 BitLocker를 관리하는 관리 지점을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_MPUserSvc

Configuration Manager 사용자 기반 애플리케이션 요청을 지원하기 위해 관리 지점을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_siteprovider

Configuration Manager SMS 공급자 역할을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_siteserver

Configuration Manager 기본 사이트 또는 CAS를 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsdbrole_SUP

Configuration Manager 타사 업데이트 작업을 위해 소프트웨어 업데이트 지점을 호스트하는 컴퓨터 계정에 이 권한을 부여합니다.

smsschm_users

Configuration Manager 보고 서비스 지점 계정에 사용되는 계정에 대한 액세스 권한을 부여하여 SMS 보고 뷰에 액세스하여 Configuration Manager 보고 데이터를 표시할 수 있도록 합니다. 데이터는 역할 기반 액세스 사용으로 더욱 제한됩니다.

상승된 권한

Configuration Manager 진행 중인 작업에 대해 일부 계정에 상승된 권한이 있어야 합니다. 예를 들어 기본 사이트를 설치하기 위한 필수 구성 요소를 참조하세요. 다음 목록에는 이러한 사용 권한과 사용 권한이 필요한 이유가 요약되어 있습니다.

  • 기본 사이트 서버 및 중앙 관리 사이트 서버의 컴퓨터 계정에는 다음이 필요합니다.

    • 모든 사이트 시스템 서버에 대한 로컬 관리자 권한입니다. 이 권한은 시스템 서비스를 관리, 설치 및 제거하는 것입니다. 또한 역할을 추가하거나 제거할 때 사이트 서버는 사이트 시스템의 로컬 그룹을 업데이트합니다.

    • 사이트 데이터베이스에 대한 SQL Server instance 대한 Sysadmin 액세스 이 권한은 사이트에 대한 SQL Server 구성하고 관리하는 것입니다. SQL과 긴밀하게 통합되는 Configuration Manager 데이터베이스만이 아닙니다.

  • 전체 관리자 역할의 사용자 계정에는 다음이 필요합니다.

    • 모든 사이트 서버에 대한 로컬 관리자 권한입니다. 이 권한은 시스템 서비스, 레지스트리 키 및 값 및 WMI 개체를 보고, 편집하고, 제거하고, 설치하는 것입니다.

    • 사이트 데이터베이스에 대한 SQL Server instance 대한 Sysadmin 액세스 이 권한은 설치 또는 복구 중에 데이터베이스를 설치하고 업데이트하는 것입니다. SQL Server 유지 관리 및 운영에도 필요합니다. 예를 들어 통계를 다시 인덱싱하고 업데이트합니다.

      참고

      일부 조직에서는 sysadmin 액세스를 제거하고 필요한 경우에만 부여하도록 선택할 수 있습니다. 이 동작을 "JIT(Just-In-Time) 액세스"라고도 합니다. 이 경우 전체 관리자 역할이 있는 사용자는 Configuration Manager 데이터베이스에서 저장 프로시저를 읽고 업데이트하고 실행할 수 있는 액세스 권한이 있어야 합니다. 이러한 권한을 통해 전체 sysadmin 액세스 없이 대부분의 문제를 해결할 수 있습니다.