Technische naslaginformatie voor gebruikte accounts in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Gebruik de volgende informatie om de Windows-groepen en de accounts te identificeren die worden gebruikt in System Center 2012 Configuration Manager, hoe ze worden gebruikt, en enige vereisten.
Windows-groepen die Configuration Manager maakt en gebruikt
Configuration Manager maakt de volgende Windows-groepen automatisch aan en bewaart ze in veel gevallen ook automatisch:
Notitie
Wanneer Configuration Manager een groep op een computer aanmaakt die lid is van een domein, is de groep een lokale beveiligingsgroep. Als de computer een domeincontroller is, is de groep een lokale domeingroep die wordt gedeeld onder alle domeincontrollers in het domein.
ConfigMgr_CollectedFilesAccess
Deze groep wordt gebruikt door Configuration Manager om toegang te verlenen om bestanden te bekijken die worden verzameld door software-inventaris.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die op de primaire siteserver is gemaakt. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Lidmaatschap |
Het groepslidmaatschap wordt door Configuration Manager automatisch beheerd. De leden zijn onder andere beheerders aan wie de machtiging Verzamelde bestanden weergeven is verleend op het beveiligbare object Verzameling van een toegewezen beveiligingsrol. |
Machtigingen |
Deze groep heeft standaard de machtiging Read voor de volgende map op de siteserver: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Deze groep is een lokale beveiligingsgroep die is gemaakt op de sitedatabaseserver of databasereplicaserver door System Center 2012 Configuration Manager en wordt momenteel niet gebruikt. Deze groep is voorbehouden voor later gebruik door Configuration Manager.
Gebruikers van extern beheer van ConfigMgr
Deze groep wordt gebruikt door Configuration Manager-externe hulpprogramma's om de accounts en groepen op te slaan die u configureert in de lijst van toegestane viewers die aan elke client zijn toegewezen.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
||
|---|---|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die is gemaakt op de Configuration Manager-client, wanneer de client beleid ontvangt dat externe hulpprogramma's inschakelt.
|
||
Lidmaatschap |
Standaard behoren er geen leden tot deze groep. Wanneer u gebruikers aan de lijst van toegestane viewers toevoegt, worden ze automatisch aan deze groep toegevoegd. Tip Gebruik de lijst van toegestane viewers om het lidmaatschap van deze groep te beheren in plaats van gebruikers of groepen rechtstreeks aan deze groep toe te voegen. Een beheerder is niet enkel een toegestane viewer, maar moet ook de machtiging Extern beheer op het object Verzameling hebben. U kunt deze machtiging toewijzen door de beveiligingsrol Operator voor externe hulpprogramma's te gebruiken. |
||
Machtigingen |
Deze groep heeft standaard geen machtigingen op enige locaties op de computer, en wordt enkel gebruikt om de lijst van toegestane viewers te bewaren. |
.jpeg "System_CAPS_important")
BelangrijkSMS Admins
Deze groep wordt gebruikt door Configuration Manager om toegang te verlenen tot de SMS Provider, door WMI. Toegang tot de SMS Provider is vereist om objecten in de Configuration Manager-console te bekijken en te wijzigen.
Notitie
De op rollen gebaseerde beheerconfiguratie van een beheerder bepaalt welke objecten ze kunnen bekijken en beheren wanneer ze gebruik maken van de Configuration Manager-console.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die is gemaakt op elke computer die een SMS Provider heeft. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Lidmaatschap |
Het groepslidmaatschap wordt door Configuration Manager automatisch beheerd. Elke beheerder in een hiërarchie en de account van de siteservercomputer is standaard lid van de SMS Admins-groep op elke computer van de SMS Provider in een site. |
Machtigingen |
De rechten en machtigingen voor SMS Admins worden ingesteld in de MMC-module voor WMI-beheer. Standaard wordt aan de SMS Admins-groep Enable Account en Remote Enable toegekend voor de naamruimte Root\SMS. Geverifieerde gebruikers hebben Execute Methods, Provider Write, en Enable Account Notitie Beheerders die een externe Configuration Manager-console zullen gebruiken, hebben DCOM-machtigingen voor externe activering nodig op zowel de siteservercomputer als de computer van de SMS Provider. Het wordt aanbevolen deze rechten toe te kennen aan de SMS Admins om het beheer te vereenvoudigen in plaats van deze rechten rechtstreeks aan gebruikers of groepen toe te kennen. Zie het gedeelte Configureren van DCOM-machtigingen voor externe verbindingen van de Configuration Manager-console in het onderwerp Site- en hiërarchieconfiguraties beheren voor meer informatie. |
SMS_SiteSystemToSiteServerConnection_MP_< sitecode >
Deze groep wordt gebruikt door Configuration Manager-beheerpunten die extern zijn van de siteserver om een verbinding te maken met de sitedatabase. Deze groep biedt een beheerpunt toegang tot het Postvak IN op de siteserver en de sitedatabase.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die is gemaakt op elke computer die een SMS Provider heeft. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Lidmaatschap |
Het groepslidmaatschap wordt door Configuration Manager automatisch beheerd. Lidmaatschap omvat standaard de computeraccounts van externe computers die een beheerpunt voor de site hebben. |
Machtigingen |
Deze groep heeft standaard de machtigingen Read, Read & execute, en List folder contents op de map %path%\Microsoft Configuration Manager\inboxes op de siteserver. Daarnaast heeft deze groep de extra machtiging Write op verschillende submappen onder de inboxes waarnaar het beheerpunt clientgegevens schrijft. |
SMS_SiteSystemToSiteServerConnection_SMSProv_< sitecode >
Deze groep wordt gebruikt door Configuration Manager-SMS Provider-computers die extern zijn van de siteserver om een verbinding te maken met de siteserver.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die op de siteserver is gemaakt. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Lidmaatschap |
Het groepslidmaatschap wordt door Configuration Manager automatisch beheerd. Lidmaatschap omvat standaard de computeraccount of de domeingebruikersaccount die wordt gebruikt om een verbinding te maken met de siteserver van elke externe computer die een SMS Provider voor de site heeft geïnstalleerd. |
Machtigingen |
Deze groep heeft standaard de machtigingen Read, Read & execute, en List folder contents op de map %path%\Microsoft Configuration Manager\inboxes op de siteserver. Daarnaast heeft deze groep de extra machtiging Write of de machtigingen Schrijven en Wijzigen op verschillende submappen onder de inboxes waartoe de SMS Provider toegang nodig heeft. Deze groep heeft ook de machtigingen Read, Read & execute, List folder contents, Schrijven, en Wijzigen op de mappen onder %path%\Microsoft Configuration Manager\OSD\boot en de machtiging Lezen op de mappen onder %path%\Microsoft Configuration Manager\OSD\Bin op de siteserver. |
SMS_SiteSystemToSiteServerConnection_Stat_< sitecode >
Deze groep wordt gebruikt door de File Dispatch Manager op Configuration Manager-externe sitesysteemcomputers om een verbinding te maken met de siteserver.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die op de siteserver is gemaakt. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Lidmaatschap |
Het groepslidmaatschap wordt door Configuration Manager automatisch beheerd. Lidmaatschap omvat standaard de computeraccount of de domeingebruikersaccount die wordt gebruikt om een verbinding te maken met de siteserver van elke externe sitesysteemcomputer die de File Dispatch Manager uitvoert. |
Machtigingen |
Deze groep heeft standaard de machtigingen Read, Read & execute, en List folder contents op de map %path%\Microsoft Configuration Manager\inboxes en verschillende submappen onder die locatie op de siteserver. Daarnaast heeft deze groep de extra machtigingen Schrijven en Wijzigen op de map %path%\Microsoft Configuration Manager\inboxes\statmgr.box op de siteserver. |
SMS_SiteToSiteConnection_< sitecode >
Deze groep wordt gebruikt door Configuration Manager om op bestanden gebaseerde replicatie tussen sites in een hiërarchie in te schakelen. Voor elke externe site die rechtstreeks bestanden overbrengt naar deze site, bevat deze groep de volgende accounts:
Accounts geconfigureerd als Siteadresaccount, van Configuration Manager-sites zonder servicepack
Accounts geconfigureerd als een account voor bestandsreplicatie van sites waarop Configuration Manager SP1 en hoger wordt uitgevoerd
Notitie
Te beginnen met alleen Configuration Manager SP1 vervangt de Account voor bestandsreplicatie de Siteadresaccount.
De volgende tabel bevat aanvullende informatie voor deze groep:
Detail |
Meer informatie |
|---|---|
Type en locatie |
Deze groep is een lokale beveiligingsgroep die op de siteserver is gemaakt. |
Lidmaatschap |
Wanneer u een nieuwe site installeert als een onderliggende site van een andere site, voegt Configuration Manager de computeraccount van de nieuwe site automatisch toe aan de groep op de bovenliggende siteserver, en de computeraccount van de bovenliggende sites aan de groep op de nieuwe siteserver. Als u een andere account voor op bestanden gebaseerde overdrachten specificeert, voeg die account dan toe aan deze groep op de bestemmingsiteserver. Notitie Wanneer u een site verwijdert, wordt deze groep niet automatisch verwijderd. Dit moet handmatig gebeuren. |
Machtigingen |
Deze groep heeft standaard volledige bevoegdheid over de map %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive. |
Accounts die gebruik maken van Configuration Manager
U kunt de volgende accounts configureren voor Configuration Manager:
Detectieaccount Active Directory-groepen
De detectieaccount Active Directory-groepen wordt gebruikt voor het detecteren van lokale, algemene en universele beveiligingsgroepen, het lidmaatschap binnen deze groepen en het lidmaatschap binnen distributiegroepen van de opgegeven locaties in Active Directory Domain Services. Distributiegroepen worden niet als groepsbronnen gedetecteerd.
Dit account kan een computeraccount van de siteserver zijn dat detectie uitvoert of een Windows-gebruikersaccount. Het moet beschikken over een toegangsmachtiging van het type lezen voor de Active Directory-locaties die voor detectie zijn opgegeven.
Detectieaccount Active Directory-systeem
De detectieaccount Active Directory-systeem wordt gebruikt voor het detecteren van computers van de opgegeven locaties in Active Directory Domain Services.
Dit account kan een computeraccount van de siteserver zijn dat detectie uitvoert of een Windows-gebruikersaccount. Het moet beschikken over een toegangsmachtiging van het type lezen voor de Active Directory-locaties die voor detectie zijn opgegeven.
Detectieaccount Active Directory-gebruikers
De detectieaccount Active Directory-gebruikers wordt gebruikt voor het detecteren van gebruikersaccounts van de opgegeven locaties in Active Directory Domain Services.
Dit account kan een computeraccount van de siteserver zijn dat detectie uitvoert of een Windows-gebruikersaccount. Het moet beschikken over een toegangsmachtiging van het type lezen voor de Active Directory-locaties die voor detectie zijn opgegeven.
Active Directory-forestaccount
De Active Directory-forestaccount wordt gebruikt voor het detecteren van netwerkinfrastructuur van Active Directory-forests, en wordt ook gebruikt door centrale beheersites en primaire sites om sitegegevens te publiceren naar de Active Directory Domain Services van een forest.
Notitie
Secundaire sites gebruiken steeds de computeraccount van de secundaire siteserver om naar Active Directory te publiceren.
Notitie
Active Directory-forestaccount moet een algemene account zijn om de niet-vertrouwde forests te detecteren en te publiceren. Als u geen computeraccount van de siteserver gebruikt, kunt alleen een globaal account selecteren.
Deze account moet Lezen-machtigingen hebben voor elk Active Directory-forest waar u netwerkinfrastructuur wilt detecteren.
Deze account moet Volledige bevoegdheid-machtigingen hebben op de System Management-container en op alle onderliggende objecten daarvan in elk Active Directory-forst waar u sitegegevens wilt publiceren.
AMT-inrichting en detectieaccount
De AMT-inrichting en detectieaccount is functioneel equivalent met de AMT-externe beheeraccount en bevindt zich in de Management Engine BIOS extensie (MEBx) van Intel op AMT gebaseerde computers. Deze account wordt gebruikt door de server die de rol buiten-bandservicepunt uitvoert om sommige netwerkinterfacekenmerken van AMT te beheren, met behulp van de functie buiten-bandbeheer.
Als u een AMT-inrichting en detectieaccount specificeert in Configuration Manager, moet het overeenkomen met de naam en het wachtwoord van de AMT-externe beheeraccount die is gespecificeerd in de BIOS-extensies in de op AMT gebaseerde computers.
Notitie
Zie voor meer informatie over of u een AMT-account voor inrichting en detectie met opgeven Stap 5: Configureren van de buiten-Band-Management-onderdeel in het onderwerp Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren in de handleiding Activa en naleving in System Center 2012 Configuration Manager.
De account wordt opgeslagen in de Management Engine BIOS-extensies van de op AMT gebaseerde computer en komt niet overeen met enige account in Windows.
AMT-inrichting verwijderingsaccount
De AMT-inrichting verwijderingsaccount kan AMT-inrichtingsgegevens verwijderen als u de site moet herstellen. U kunt het mogelijk ook gebruiken wanneer een Configuration Manager-client opnieuw werd toegewezen en de AMT-inrichtingsgegevens niet werden verwijderd van de computer in de oude site.
Om de AMT-inrichtingsgegevens te verwijderen met behulp van de AMT-inrichting verwijderingsaccount, moet voldaan zijn aan al het volgende:
De AMT-inrichting verwijderingsaccount is geconfigureerd in de onderdeeleigenschappen voor buiten-bandbeheer.
De account die is geconfigureerd voor de AMT-inrichting verwijderingsaccount werd geconfigureerd als een AMT-gebruikersaccount in de onderdeeleigenschappen voor buiten-bandbeheer wanneer de op AMT gebaseerde computer werd ingericht of bijgewerkt.
De account die is geconfigureerd voor de AMT-inrichting verwijderingsaccount moet een lid zijn van de lokale groep Administrators op de computer van het buiten-bandservicepunt.
Het AMT-controlelogboek is niet ingeschakeld.
Omdat dit een Windows-gebruikersaccount is, dient u een account te specificeren met een sterk wachtwoord dat niet verloopt.
AMT-externe beheeraccount
De AMT-externe beheeraccount is de account in de Management Engine BIOS-extensie (MEBx) van Intel op AMT gebaseerde computers die wordt gebruikt door de server die de rol buiten-bandservicepunt uitvoert om sommige netwerkinterfacekenmerken van AMT in Configuration Manager te beheren, met behulp van het kenmerk buiten-bandbeheer.
Configuration Manager stelt het wachtwoord van de externe beheeraccount automatisch in voor computers die het inricht voor AMT, en dit wordt dan gebruikt voor latere geverifieerde toegang tot de AMT-firmware. Deze account is functioneel equivalent met de Configuration Manager-AMT-inrichting en detectieaccount.
De account wordt opgeslagen in de Management Engine BIOS-extensies van de op AMT gebaseerde computer en komt niet overeen met enige account in Windows.
AMT-gebruikersaccounts
AMT-gebruikersaccounts controleren welke Windows-gebruikers of -groepen beheerfuncties kunnen uitvoeren in de console voor buiten-bandbeheer.
De configuratie van de AMT-gebruikersaccounts maakt het equivalent van een toegangsbeheerlijst (ACL) in de AMT-firmware. Wanneer de aangemelde gebruiker de console voor buiten-bandbeheer probeert uit te voeren, gebruikt AMT Kerberos om de account te verifiëren en staat het vervolgens toegang toe of weigert het de toegang om de AMT-beheerfuncties uit te voeren.
Configureer de AMT-gebruikersaccounts voordat u de op AMT gebaseerde computers inricht. Als u AMT-gebruikersaccounts configureert nadat computers zijn ingericht voor AMT, moet u het AMT-geheugen voor deze computers handmatig bijwerken zodat ze opnieuw worden geconfigureerd met de nieuwe instellingen.
Omdat de AMT-gebruikersaccounts Kerberos-verificatie gebruiken, moeten de gebruikersaccounts en beveiligingsgroepen in een Active Directory-domein bestaan.
Proxyserveraccount van Asset Intelligence-synchronisatiepunt
De proxyserveraccount van Asset Intelligence-synchronisatiepunt wordt gebruikt door het Asset Intelligence-synchronisatiepunt voor toegang tot het Internet via een proxyserver of firewall die geverifieerde toegang vereist.
.jpeg "System_CAPS_security") Beveiliging Opmerking |
|---|
Geef een account op dat over de geringst mogelijke machtigingen voor de vereiste proxyserver of firewall beschikt. |
Account voor het certificaatregistratiepunt
De account voor het certificaatregistratiepunt verbindt het certificaatregistratiepunt met de Configuration Manager-database. De computeraccount van de certificaatregistratiepuntserver wordt standaard gebruikt, maar u kunt in plaats daarvan een gebruikersaccount configureren. U moet een gebruikersaccount opgeven telkens het certificaatregistratiepunt in een niet-vertrouwd domein van de siteserver is. Deze account vereist alleen Lezen-toegang tot de sitedatabase, omdat schrijfbewerkingen worden verwerkt door het statusberichtsysteem.
Account voor het vastleggen van een besturingssysteeminstallatiekopie
De account voor het vastleggen van een besturingssysteeminstallatiekopie wordt gebruikt door Configuration Manager voor toegang tot de map wanneer vastgelegde installatiekopieën worden opgeslagen wanneer u besturingssystemen implementeert. Deze account is vereist als u de stap Besturingssysteeminstallatiekopie vastleggen toevoegt aan een takenreeks.
De account moet de machtigingen Lezen en Schrijven hebben op het netwerkdeel waar de vastgelegde installatiekopie is opgeslagen.
Als het wachtwoord van de account wordt gewijzigd in Windows, moet u de takenreeks met het nieuwe wachtwoord bijwerken. De Configuration Manager-client zal het nieuwe wachtwoord ontvangen wanneer het het clientbeleid de volgende keer downloadt.
Als u deze account gebruikt, kunt u één domeingebruikersaccount aanmaken met minimale machtigingen voor toegang tot de vereiste netwerkbronnen en deze gebruiken voor alle takenreeksaccounts.
| Beveiliging Opmerking |
|---|
Wijs aan dit account geen interactieve machtigingen voor aanmelden toe. Gebruik voor dit account geen netwerktoegangsaccount. |
Account voor clientpushinstallatie
Als de account voor de push-clientinstallatie wordt gebruikt om een verbinding te maken met computers en de Configuration Manager-clientsoftware te installeren als u clients implementeert met behulp van push-clientinstallatie. Als deze account niet is opgegeven, wordt de siteserveraccount gebruikt om te proberen de clientsoftware te installeren.
Deze account moet een lid van de lokale groep Administrators zijn op de computers waar de Configuration Manager-clientsoftware moet worden geïnstalleerd. Deze account vereist geen domeinbeheerdersrechten.
U kunt één of meerdere accounts voor push-clientinstallatie opgeven, die Configuration Manager elk om beurt probeert tot er één lukt.
Tip
Om accountupdates in grote Active Directory-implementaties efficiënter te coördineren, maakt u een nieuwe account met een andere naam, en voegt u de nieuwe account vervolgens toe aan de lijst van accounts voor push-clientinstallatie in Configuration Manager. Voorzie voldoende tijd voor Active Directory Domain Services om de nieuwe account te repliceren, en verwijder de oude account vervolgens uit Configuration Manager en Active Directory Domain Services.
| Beveiliging Opmerking |
|---|
Verleen aan deze account niet het recht om lokaal aan te melden. |
Verbindingsaccount voor inschrijvingspunt
De account voor verbinding met inschrijvingspunt verbindt het inschrijvingspunt met de Configuration Manager-sitedatabase. De computeraccount van het inschrijvingspunt wordt standaard gebruikt, maar u kunt in plaats daarvan een gebruikersaccount configureren. U moet een gebruikersaccount opgeven telkens het inschrijvingspunt zich in een niet-vertrouwd domein van de siteserver bevindt. Deze account vereist de machtigingen Lezen en Schrijven op de sitedatabase.
Exchange Server-verbindingsaccount
De Exchange Server-verbindingsaccount verbindt de siteserver met de opgegeven Exchange Server-computer om mobiele apparaten te zoeken en te beheren die een verbinding maken met de Exchange Server. Deze account vereist Exchange PowerShell cmdlets die de vereiste machtigingen op de Exchange Server-computer bieden. Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor meer informatie over de cmdlets.
Proxyserveraccount Exchange Server-connector
De proxyserveraccount Exchange Server-connector wordt gebruikt door de Exchange Server-connector voor toegang tot het Internet via een proxyserver of firewall die geverifieerde toegang vereist.
| Beveiliging Opmerking |
|---|
Geef een account op dat over de geringst mogelijke machtigingen voor de vereiste proxyserver of firewall beschikt. |
Endpoint Protection SMTP-serververbindingsaccount
Voor Configuration Manager zonder servicepack: De Endpoint Protection SMTP-serververbindingsaccount wordt gebruikt door de siteserver om e-mailwaarschuwingen te sturen voor Endpoint Protection wanneer de SMTP-server geverifieerde toegang vereist.
| Beveiliging Opmerking |
|---|
Geef een account die de geringst mogelijke machtigingen heeft om e-mails te verzenden. |
Publicatieaccount Health-statusreferentie
De publicatieaccount Health-statusreferentie wordt gebruikt om de NAP (Network Access Protection)-health-statusreferentie voor Configuration Manager te publiceren naar Active Directory Domain Services.
Als u geen account configureert, probeert Configuration Manager de siteservercomputeraccount te gebruiken om de health-statusreferenties te publiceren.
Deze account vereist de machtigingen Lezen, Schrijven en Maken op het Active Directory-forest dat de health-statusreferentie opslaat.
Maak de account in het forest dat is bedoeld om de health-statusreferenties op te slaan. Wijs de geringst mogelijke machtigingen toe aan deze account en gebruik niet dezelfde account die is opgegeven voor de opvraagaccount Health-statusreferentie, die enkel de machtiging Lezen vereist.
Opvraagaccount Health-statusreferentie
De opvraagaccount Health-statusreferentie wordt gebruikt om de NAP (Network Access Protection)-health-statusreferentie voor Configuration Manager op te vragen uit Active Directory Domain Services.
Als u geen account configureert, probeert Configuration Manager de siteservercomputeraccount te gebruiken om de health-statusreferenties op te vragen.
Dit account vereist de machtiging Lezen voor de container Configuration ManagerSystems Management in de globale catalogus.
Maak de account in het forest dat is bedoeld om de health-statusreferenties op te slaan. Gebruik niet dezelfde account voor de publicatieaccount Health-statusreferentie, die meer bevoegdheden vereist.
| Beveiliging Opmerking |
|---|
Ken aan dit account geen interactieve rechten voor aanmelden toe. |
Verbindingsaccount beheerpunt
Het verbindingsaccount voor het beheerpunt wordt gebruikt om het beheerpunt te verbinden met de Configuration Manager-sitedatabase zodat het informatie voor clients kan verzenden en opvragen. De computeraccount van het beheerpunt wordt standaard gebruikt, maat u kunt in plaats daarvan een gebruikersaccount configureren. U moet een gebruikersaccount opgeven telkens het beheerpunt zich in een niet-vertrouwd domein van de siteserver bevindt.
Maak de account aan als een lokale account met weinig rechten op de computer die Microsoft SQL Server uitvoert.
| Beveiliging Opmerking |
|---|
Ken aan dit account geen interactieve rechten voor aanmelden toe. |
MEBx-Account
De MEBx Account is de account in de Management Engine BIOS-extensie (MEBx) op Intel op AMT gebaseerde computers en het wordt gebruikt voor initiële geverifieerde toegang tot de AMT-firmware op op AMT gebaseerde computers.
De MEBx-account heet admin, en het wachtwoord is, standaard, admin. Uw fabrikant geeft u mogelijk een aangepast wachtwoord, of u kunt uw keuze van wachtwoord in AMT opgegeven hebben. Als het MEBx-wachtwoord is ingesteld op een waarde die niet admin is, moet u een AMT-inrichting en detectieaccount configureren. Zie Stap 5: Configureren van de buiten-Band-Management-onderdeel in het onderwerp Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren voor meer informatie.
De account wordt opgeslagen in de Management Engine BIOS-extensies van de op AMT gebaseerde computer. Deze account komt niet overeen met een account in Windows.
Als het standaard MEBx-wachtwoord niet is gewijzigd voordat Configuration Manager de computer voor AMT inricht, tijdens het AMT-inrichtingsproces, stelt Configuration Manager het wachtwoord in dat u configureert.
Multicastverbindingsaccount
De Multicastverbindingsaccount wordt gebruikt door distributiepunten die zijn geconfigureerd voor multicast om informatie uit de sitedatabase te lezen. De computeraccount van het distributiepunt wordt standaard gebruikt, maar u kunt in plaats daarvan een gebruikersaccount configureren. U moet een gebruikersaccount opgeven telkens de sitedatabase zich in een niet-vertrouwd forest bevindt. Als uw datacentrum bijvoorbeeld een perimeternetwerk heeft in een ander forest dan de siteserver en sitedatabase, kunt u deze account gebruiken om de multicastinformatie uit de sitedatabase te lezen.
Als u deze account maakt, maak de account dan aan als een lokale account met weinig rechten op de computer die Microsoft SQL Server uitvoert.
| Beveiliging Opmerking |
|---|
Ken aan dit account geen interactieve rechten voor aanmelden toe. |
Netwerktoegangsaccount
De netwerktoegangsaccount wordt gebruikt door clientcomputers wanneer ze hun lokale computeraccount niet kunnen gebruiken voor toegang tot inhoud op distributiepunten. Dit is bijvoorbeeld van toepassing op werkgroepclients en computers uit niet-vertrouwde domeinen. Dit account kan ook worden gebruikt tijdens het implementeren van besturingssystemen wanneer de computer die het besturingssysteem installeert nog niet over een computeraccount voor het domein beschikt.
Notitie
De netwerktoegangsaccount wordt nooit gebruikt als de beveiligingscontext om programma's uit te voeren, software-updates te installeren, of takenreeksen uit te voeren; enkel voor het openen van bronnen op het netwerk.
Verleen aan deze account de minimum geschikte machtigingen op de inhoud die de client nodig heeft voor toegang tot de software. De account moet het recht Deze computer via het netwerk benaderen hebben op het distributiepunt of andere server waar de pakketinhoud staat. Vóór System Center 2012 R2 Configuration Manager kunt u slechts één netwerktoegangsaccount per site maken en deze account moet werken voor alle pakketten en takenreeksen waarvoor het vereist is. Te beginnen met System Center 2012 R2 Configuration Manager kunt u meerdere netwerktoegangsaccounts per site configureren.
.jpeg "System_CAPS_warning"){kind=icon} Waarschuwing |
|---|
Wanneer Configuration Manager probeert de computername§-account te gebruiken om de inhoud te downloaden en dit mislukt, probeert het de netwerktoegangsaccount automatisch opnieuw, zelfs als het het eerder geprobeerd had en dit mislukt was. |
Maak de account in eender welk domein dat de noodzakelijke toegang tot bronnen zal bieden. Het netwerktoegangsaccount moet altijd een domeinnaam omvatten. Pass Through-beveiliging wordt niet ondersteund voor dit account. Als u over distributiepunten in meerdere domeinen beschikt, maakt u het account in een vertrouwd domein.
Tip
Wijzig het wachtwoord van een bestaand netwerktoegangsaccount niet om vergrendeling te voorkomen. Maak in plaats daarvan een nieuw account en configureer het nieuwe account in Configuration Manager. Wanneer er voldoende tijd is verstreken waarbinnen alle clients de nieuwe accountgegevens hebben ontvangen, verwijdert u het account uit de gedeelde netwerkmappen en verwijdert u het account.
| Beveiliging Opmerking |
|---|
Ken aan deze account geen interactieve aanmeldingsrechten toe. Aan dit account mag niet de machtiging worden toegekend om computers lid te maken van het domein. Gebruik het domeinlidmaatschapaccount van de takenreekseditor als u tijdens een takenreeks computers lid moet maken van een domein. |
Voor System Center 2012 R2 Configuration Manager en later: U kunt nu meerdere netwerktoegangsaccounts voor een site opgeven. Wanneer clients toegang proberen te krijgen tot inhoud en ze hun lokale computeraccount niet kunnen gebruiken, zullen ze eerst het account voor de laatste netwerktoegang gebruiken waarmee verbinding is gemaakt.Configuration Manager ondersteunt het gebruik van maximaal tien accounts voor netwerktoegang.
Pakkettoegangsaccount
Pakkettoegangsaccounts laten u toe NTFS-machtigingen in te stellen om de gebruikers en gebruikersgroepen te geven die toegang mogen hebben tot een pakketmap op distributiepunten. In Configuration Manager wordt standaard alleen toegang verleend aan het algemene toegangsaccount Gebruikers en Beheerders, maar u kunt de toegang voor clientcomputers beheren via aanvullende Windows-accounts of -groepen. Mobiele apparaten halen pakketinhoud steeds anoniem op; de pakkettoegangsaccounts worden dus niet gebruikt door mobiele apparaten.
Wanneer Configuration Manager het pakketshare maakt op een distributiepunt, kent het standaard Lezen-toegang toe aan de lokale groep Gebruikers en Volledige bevoegdheid aan de lokale groep Administrators. De werkelijke noodzakelijke machtigingen zijn afhankelijk van het pakket. Als er sprake is van clients in werkgroepen of in niet-vertrouwde forests, kunnen deze clients het netwerktoegangsaccount gebruiken voor toegang tot de pakketinhoud. Zorg ervoor dat de netwerktoegangsaccount machtigingen heeft op het pakket door gebruik te maken van de gedefinieerde pakkettoegangsaccounts.
Gebruik accounts in een domein dat toegang heeft tot de distributiepunten. Als u het account maakt of aanpast nadat het pakket is gemaakt, moet u het pakket opnieuw distribueren. Het bijwerken van het pakket verandert de NTFS-machtigingen op het pakket niet.
U hoeft het netwerktoegangsaccount niet toe te voegen als een pakkettoegangsaccount omdat dit al automatisch is toegevoegd via het lidmaatschap van de groep Gebruikers. Als u het pakkettoegangsaccount uitsluitend tot het netwerktoegangsaccount beperkt, blijven clients toegang houden tot het pakket.
Account van Reporting Services-punt
De account van Reporting Services-punt wordt gebruikt door SQL Server-Reporting Services om de gegevens op te vragen voor Configuration Manager-rapporten uit de sitedatabase. De Windows-gebruikersaccount en wachtwoord die u specificeert, worden versleuteld en opgeslagen in de SQL Server-Reporting Services-database.
Accounts van toegestane van externe hulpprogramma's
De accounts die u specificeert als Toegestane viewers voor extern beheer zijn een lijst van gebruikers die gemachtigd zijn externe hulpprogramma's te gebruiken op clients.
Installatieaccount sitesysteem
De Installatieaccount sitesysteem wordt gebruikt door de siteserver om sitesystemen te installeren, opnieuw te installeren, te verwijderen en te configureren. Als u het sitesysteem configureert om te vereisen dat de siteserver verbindingen maakt met dit sitesysteem, gebruikt Configuration Manager deze account ook om gegevens uit de sitesysteemcomputer te halen nadat het sitesysteem en enige sitesysteemrollen zijn geïnstalleerd. Elk sitesysteem kan een verschillende installatieaccount sitesysteem hebben, maar u kunt slechts één installatieaccount sitesysteem configureren om alle sitesysteemrollen op dat sitesysteem te beheren.
Deze account vereist lokale beheerdersmachtigingen op de sitesystemen die ze zullen installeren en configureren. Deze account moet daarnaast Deze computer via het netwerk benaderen hebben in het beveiligingsbeleid op de sitesystemen die ze zullen installeren en configureren.
Tip
Als u veel domeincontrollers hebt en deze accounts binnen domeinen zullen worden gebruikt, controleer dan dat de accounts zijn gerepliceerd voordat u het sitesysteem configureert.
Wanneer u een lokale account opgeeft op elk sitesysteem dat moet worden beheerd, Deze computer via het netwerk benaderen is deze configuratie veiliger dan domeinaccounts te gebruiken, omdat het de schade beperkt die aanvallers kunnen aanbrengen als er met de account wordt geknoeid. Domeinaccounts zijn echter gemakkelijker om te beheren, zoek dus een evenwicht tussen beveiliging en doeltreffend beheer.
SMTP-serververbindingsaccount
Voor System Center 2012 Configuration Manager SP1 en later: De SMTP-serververbindingsaccount wordt gebruikt door de siteserver om e-mailwaarschuwingen te sturen wanneer de SMTP-server geverifieerde toegang vereist.
| Beveiliging Opmerking |
|---|
Geef een account die de geringst mogelijke machtigingen heeft om e-mails te verzenden. |
Verbindingsaccount software-updatepunt
De verbindingsaccount software-updatepunt wordt gebruikt door de siteserver voor de volgende twee software-updateservices:
WSUS Configuration Manager, dat instellingen configureert zoals productdefinities, classificaties en upstream-instellingen.
WSUS Synchronization Manager, dat synchronisatie vraagt met een upstream WSUS-server of Microsoft Update.
De installatieaccount sitesysteem kan onderdelen voor software-updates installeren, maar kan geen software-updatespecifieke functies op het software-updatepunt uitvoeren. Als u de siteservercomputeraccount voor deze functie niet kunt gebruiken omdat het software-updatepunt zich in een niet-vertrouwd forest bevindt, moet u deze account specificeren naast de installatieaccount sitesysteem.
Deze account moet een lokale beheerder op de computer zijn waar WSUS is geïnstalleerd, en moet deel zijn van de lokale WSUS Administrator-groep.
Proxyserveraccount software-updatepunt
De proxyserveraccount software-updatepunt wordt gebruikt door het software-updatepunt voor toegang tot het Internet via een proxyserver of firewall die geverifieerde toegang vereist.
| Beveiliging Opmerking |
|---|
Geef een account op dat over de geringst mogelijke machtigingen voor de vereiste proxyserver of firewall beschikt. |
Bronsiteaccount
De bronsiteaccount wordt gebruikt door het migratieproces voor toegang tot de SMS Provider van de bronsite. Deze account vereist Lezen-machtigingen op siteobjecten in de bronsite om gegevens voor migratiejobs te verzamelen.
Als u distributiepunten of secundaire sites van Configuration Manager 2007 wilt bijwerken die distributiepunten op dezelfde locatie hebben als de System Center 2012 Configuration Manager-distributiepunten, moet dit account tevens beschikken over de machtiging Verwijderen voor de klasse Site om het distributiepunt tijdens het bijwerken met succes van de Configuration Manager 2007-site te verwijderen.
Notitie
Zowel het bronsiteaccount als bronsitedatabaseaccount worden als Migratiebeheer aangeduid in het knooppunt Accounts van de werkruimte Beheer in de Configuration Manager-console.
Bronsitedatabaseaccount
Het bronsitedatabaseaccount wordt in het migratieproces gebruikt om de SQL Server-database voor de bronsite te openen. Voor het verzamelen van gegevens uit de SQL Server-database van de bronsite moet het bronsitedatabaseaccount beschikken over de machtigingen Lezen en Uitvoeren voor de SQL Server-database van de bronsite.
Notitie
Zorg ervoor, als u het System Center 2012 Configuration Manager-computeraccount gebruikt, alle volgende items voor dit account waar zijn:
-
Het is lid van de beveiligingsgroep DCOM-gebruikers in het domein waar zich de Configuration Manager 2007-site bevindt.
-
Het is lid van de beveiligingsgroep SMS Admins.
-
Het moet over de machtiging Lezen beschikken voor alle Configuration Manager 2007-objecten.
Notitie
Zowel het bronsiteaccount als bronsitedatabaseaccount worden als Migratiebeheer aangeduid in het knooppunt Accounts van de werkruimte Beheer in de Configuration Manager-console.
Takenreekseditoraccount voor domeinlidmaatschap
Het takenreekseditoraccount voor domeinlidmaatschap wordt gebruikt in een takenreeks om een zojuist gerepliceerde computer lid te maken van een domein. Dit account is nodig als u de stap Lid maken van domein of werkgroep aan een takenreeks toevoegt en daarna Lid maken van domein selecteert. Dit account kan ook worden geconfigureerd als u de stap Netwerkinstellingen toepassen aan een takenreeks toevoegt, maar dit is niet verplicht.
Voor dit account is het recht Lid worden van domein vereist in het domein waarvan de computer lid wordt.
Tip
Als u dit account nodig hebt voor uw takenreeksen, kunt u één domeingebruikersaccount maken met minimale machtigingen voor toegang tot de benodigde netwerkbronnen en ervan gebruik maken voor alle takenreeksaccounts.
| Beveiliging Opmerking |
|---|
Wijs aan dit account geen interactieve machtigingen voor aanmelden toe. Gebruik voor dit account geen netwerktoegangsaccount. |
Takenreekseditoraccount voor netwerkmapverbinding
Het takenreekseditoraccount voor netwerkmapverbinding wordt door een takenreeks gebruikt om verbinding te maken met een gedeelde map op het netwerk. Dit account is vereist als u de stap Verbinding maken met netwerkmap toevoegt aan een takenreeks.
Dit account vereist machtigingen voor toegang tot de opgegeven gedeelde map en moet een gebruikersdomeinaccount zijn.
Tip
Als u dit account nodig hebt voor uw takenreeksen, kunt u één domeingebruikersaccount maken met minimale machtigingen voor toegang tot de benodigde netwerkbronnen en ervan gebruik maken voor alle takenreeksaccounts.
| Beveiliging Opmerking |
|---|
Wijs aan dit account geen interactieve machtigingen voor aanmelden toe. Gebruik voor dit account geen netwerktoegangsaccount. |
Takenreeks Run As-Account
De takenreeks Run As Account wordt gebruikt om opdrachtregels in takenreeksen uit te voeren en andere referenties te gebruiken dan het lokale systeemaccount. Dit account is vereist als u de stap Opdrachtregel uitvoeren voor een takenreeks toevoegt, maar niet wilt dat de takenreeks met de machtigingen van het lokale systeemaccount op de beheerde computer wordt uitgevoerd.
Configureer het account zo, dat u over de minimaal vereiste machtigingen beschikt om de in de takenreeks opgegeven opdrachtregel uit te voeren. Het account vereist interactieve aanmeldrechten en normaal gesproken de mogelijkheid om software te installeren en netwerkbronnen te openen.
| Beveiliging Opmerking |
|---|
Gebruik voor dit account geen netwerktoegangsaccount. Maak nooit een domeinbeheerder van het account. Configureer nooit zwervende profielen voor dit account. Wanneer de takenreeks wordt uitgevoerd, zal deze het zwervend profiel voor het account downloaden. Dit maakt het profiel kwetsbaar voor toegang op de lokale computer. Beperk het bereik van het account. Maak bijvoorbeeld verschillende takenreeksen Run As Account voor elke takenreeks, zodat, wanneer één account gevaar loopt, alleen de clientcomputers waartoe het account toegang heeft gevaar lopen. Als de opdrachtregel beheerderstoegang op de computer vereist, kunt u overwegen om een speciaal voor de takenreeks Run As Account een lokaal beheerdersaccount op alle computers te maken en het account te verwijderen zodra het niet meer nodig is. |