Konton som används i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Använd följande information för att identifiera Windows-grupper, konton och SQL Server objekt som används i Configuration Manager, hur de används och eventuella krav.
Viktigt
Om du anger ett konto i en fjärrdomän eller skog måste du ange domänens FQDN före användarnamnet och inte bara domänens NetBIOS-namn. Ange till exempel Corp.Contoso.com\UserName i stället för bara Corp\UserName. På så sätt kan Configuration Manager använda Kerberos när kontot används för att autentisera till fjärrplatssystemet. Om du använder FQDN åtgärdas ofta autentiseringsfel till följd av de senaste härdningsändringarna kring NTLM i Windows månadsuppdateringar.
Windows-grupper som Configuration Manager skapar och använder
- Konfiguration Manager_CollectedFilesAccess
- Konfigurations Manager_DViewAccess
- Configuration Manager fjärrstyrningsanvändare
- SMS-administratörer
- <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
- <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
- <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
- <SMS_SiteToSiteConnection_sitecode>
Konton som Configuration Manager använder
- Active Directory-gruppidentifieringskonto
- Active Directory-systemidentifieringskonto
- Active Directory-konto för användaridentifiering
- Active Directory-skogskonto
- Konto för certifikatregistreringsplats
- Avbilda os-avbildningskonto
- Konto för push-installation av klient
- Registreringsplatsanslutningskonto
- Exchange Server anslutningskonto
- Anslutningskonto för hanteringsplats
- Multicast-anslutningskonto
- Konto för nätverksåtkomst
- Paketåtkomstkonto
- Reporting Services-platskonto
- Tillåtna visningskonton med fjärrverktyg
- Platsinstallationskonto
- Installationskonto för platssystem
- Platssystemproxyserverkonto
- SMTP-serveranslutningskonto
- Anslutningskonto för programuppdateringsplats
- Källwebbplatskonto
- Källplatsdatabaskonto
- Domänanslutningskonto för aktivitetssekvens
- Anslutningskonto för aktivitetssekvensnätverksmapp
- Aktivitetssekvens som körs som konto
Databasroller som Configuration Manager använder i SQL
- smsdbrole_AITool
- smsdbrole_AIUS
- smsdbrole_CRP
- smsdbrole_CRPPfx
- smsdbrole_DMP
- smsdbrole_DmpConnector
- smsdbrole_DViewAccess
- smsdbrole_DWSS
- smsdbrole_EnrollSvr
- smsdbrole_extract
- smsdbrole_HMSUser
- smsdbrole_MCS
- smsdbrole_MP
- smsdbrole_MPMBAM
- smsdbrole_MPUserSvc
- smsdbrole_siteprovider
- smsdbrole_siteserver
- smsdbrole_SUP
- smsschm_users
Windows-grupper som Configuration Manager skapar och använder
Configuration Manager skapar automatiskt, och i många fall automatiskt underhåller, följande Windows-grupper:
Obs!
När Configuration Manager skapar en grupp på en dator som är domänmedlem är gruppen en lokal säkerhetsgrupp. Om datorn är en domänkontrollant är gruppen en lokal domängrupp. Den här typen av grupp delas mellan alla domänkontrollanter i domänen.
Konfiguration Manager_CollectedFilesAccess
Configuration Manager använder den här gruppen för att bevilja åtkomst för att visa filer som samlas in av programvaruinventering.
Mer information finns i Introduktion till programvaruinventering.
Typ och plats för CollectedFilesAccess
Den här gruppen är en lokal säkerhetsgrupp som skapats på den primära platsservern.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Medlemskap för CollectedFilesAccess
Configuration Manager hanterar gruppmedlemskapet automatiskt. Medlemskapet omfattar administrativa användare som beviljas behörigheten Visa insamlade filer till objektet Samling som kan skyddas från en tilldelad säkerhetsroll.
Behörigheter för CollectedFilesAccess
Som standard har den här gruppen läsbehörighet till följande mapp på platsservern: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol
Konfigurations Manager_DViewAccess
Den här gruppen är en lokal säkerhetsgrupp som Configuration Manager skapar på platsdatabasservern eller databasreplikservern för en underordnad primär plats. Platsen skapar den när du använder distribuerade vyer för databasreplikering mellan platser i en hierarki. Den innehåller platsservern och SQL Server datorkonton för den centrala administrationsplatsen.
Mer information finns i Dataöverföringar mellan webbplatser.
Configuration Manager fjärrstyrningsanvändare
Configuration Manager fjärrverktyg använder den här gruppen för att lagra de konton och grupper som du har konfigurerat i listan Tillåtna användare. Webbplatsen tilldelar den här listan till varje klient.
Mer information finns i Introduktion till fjärrstyrning.
Typ och plats för fjärrstyrningsanvändare
Den här gruppen är en lokal säkerhetsgrupp som skapas på den Configuration Manager klienten när klienten tar emot en princip som aktiverar fjärrverktyg.
När du har inaktiverat fjärrverktyg för en klient tas den här gruppen inte bort automatiskt. Ta bort den manuellt när du har inaktiverat fjärrverktyg.
Medlemskap för fjärrstyrningsanvändare
Som standard finns det inga medlemmar i den här gruppen. När du lägger till användare i listan Tillåtna användare läggs de automatiskt till i den här gruppen.
Använd listan Tillåtna användare för att hantera medlemskapet i den här gruppen i stället för att lägga till användare eller grupper direkt i den här gruppen.
Förutom att vara ett tillåtet visningsprogram måste en administrativ användare ha fjärrstyrningsbehörighet för samlingsobjektet . Tilldela den här behörigheten med hjälp av säkerhetsrollen Fjärrverktygsoperatör .
Behörigheter för fjärrstyrningsanvändare
Som standard har den här gruppen inte behörighet att komma åt några platser på datorn. Den används bara för att lagra listan Tillåtna användare .
SMS-administratörer
Configuration Manager använder den här gruppen för att bevilja åtkomst till SMS-providern via WMI. Åtkomst till SMS-providern krävs för att visa och ändra objekt i Configuration Manager-konsolen.
Obs!
Den rollbaserade administrationskonfigurationen för en administrativ användare avgör vilka objekt de kan visa och hantera när de använder Configuration Manager-konsolen.
Mer information finns i Planera för SMS-providern.
Typ och plats för SMS-administratörer
Den här gruppen är en lokal säkerhetsgrupp som skapas på varje dator som har en SMS-provider.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Medlemskap för SMS-administratörer
Configuration Manager hanterar gruppmedlemskapet automatiskt. Som standard är varje administrativ användare i en hierarki och platsserverns datorkonto medlemmar i gruppen SMS-administratörer på varje SMS-providerdator på en plats.
Behörigheter för SMS-administratörer
Du kan visa rättigheter och behörigheter för GRUPPEN SMS-administratörer i MMC-snapin-modulen för WMI-kontroll . Som standard beviljas den här gruppen Aktivera konto och Fjärraktivering i Root\SMS
WMI-namnområdet. Autentiserade användare har körmetoder, providerskrivning och aktivera konto.
När du använder en fjärrkonsol Configuration Manager konfigurerar du DCOM-behörigheter för fjärraktivering på både platsserverdatorn och SMS-providern. Bevilja dessa rättigheter till gruppen SMS-administratörer . Den här åtgärden förenklar administrationen i stället för att bevilja dessa rättigheter direkt till användare eller grupper. Mer information finns i Konfigurera DCOM-behörigheter för fjärrkonsoler för Configuration Manager.
<SMS_SiteSystemToSiteServerConnection_MP_sitecode>
Hanteringsplatser som är fjärranslutna från platsservern använder den här gruppen för att ansluta till platsdatabasen. Den här gruppen ger åtkomst till inkorgsmapparna på platsservern och platsdatabasen.
Typ och plats för SMS_SiteSystemToSiteServerConnection_MP
Den här gruppen är en lokal säkerhetsgrupp som skapas på varje dator som har en SMS-provider.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Medlemskap i SMS_SiteSystemToSiteServerConnection_MP
Configuration Manager hanterar gruppmedlemskapet automatiskt. Som standard omfattar medlemskap datorkonton för fjärrdatorer som har en hanteringsplats för platsen.
Behörigheter för SMS_SiteSystemToSiteServerConnection_MP
Som standard har den här gruppen behörigheten Läsa, Läsa & köra och Lista mappinnehåll till följande mapp på platsservern: C:\Program Files\Microsoft Configuration Manager\inboxes
. Den här gruppen har också skrivbehörighet till undermappar nedan, till vilka hanteringsplatsen skriver klientdata.
<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
Fjärr-SMS-providerdatorer använder den här gruppen för att ansluta till platsservern.
Typ och plats för SMS_SiteSystemToSiteServerConnection_SMSProv
Den här gruppen är en lokal säkerhetsgrupp som skapats på platsservern.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Medlemskap i SMS_SiteSystemToSiteServerConnection_SMSProv
Configuration Manager hanterar gruppmedlemskapet automatiskt. Medlemskapet innehåller som standard ett datorkonto eller ett domänanvändarkonto. Det använder det här kontot för att ansluta till platsservern från varje fjärransluten SMS-provider.
Behörigheter för SMS_SiteSystemToSiteServerConnection_SMSProv
Som standard har den här gruppen behörigheten Läsa, Läsa & köra och Lista mappinnehåll till följande mapp på platsservern: C:\Program Files\Microsoft Configuration Manager\inboxes
. Den här gruppen har också behörigheten Skriv och Ändra till undermappar under inkorgarna. SMS-providern kräver åtkomst till dessa mappar.
Den här gruppen har också läsbehörighet till undermapparna på platsservern nedan C:\Program Files\Microsoft Configuration Manager\OSD\Bin
.
Den har också följande behörigheter till undermapparna nedan C:\Program Files\Microsoft Configuration Manager\OSD\boot
:
- Läsa
- Läs & köra
- Lista mappinnehåll
- Skriv
- Ändra
<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
Komponenten för filsändningshanteraren på Configuration Manager fjärrplatssystemdatorer använder den här gruppen för att ansluta till platsservern.
Typ och plats för SMS_SiteSystemToSiteServerConnection_Stat
Den här gruppen är en lokal säkerhetsgrupp som skapats på platsservern.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Medlemskap i SMS_SiteSystemToSiteServerConnection_Stat
Configuration Manager hanterar gruppmedlemskapet automatiskt. Som standard inkluderar medlemskap datorkontot eller domänanvändarkontot. Det använder det här kontot för att ansluta till platsservern från varje fjärrplatssystem som kör filsändningshanteraren.
Behörigheter för SMS_SiteSystemToSiteServerConnection_Stat
Som standard har den här gruppen behörigheten Läsa, Läsa & köra och Listmappinnehåll till följande mapp och dess undermappar på platsservern: C:\Program Files\Microsoft Configuration Manager\inboxes
.
Den här gruppen har också behörigheten Skriv och Ändra till följande mapp på platsservern: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box
.
<SMS_SiteToSiteConnection_sitecode>
Configuration Manager använder den här gruppen för att aktivera filbaserad replikering mellan platser i en hierarki. För varje fjärrplats som direkt överför filer till den här webbplatsen har den här gruppen konton konfigurerade som ett filreplikeringskonto.
Typ och plats för SMS_SiteToSiteConnection
Den här gruppen är en lokal säkerhetsgrupp som skapats på platsservern.
Medlemskap i SMS_SiteToSiteConnection
När du installerar en ny plats som underordnad till en annan plats lägger Configuration Manager automatiskt till datorkontot för den nya platsservern i den här gruppen på den överordnade platsservern. Configuration Manager lägger även till den överordnade platsens datorkonto i gruppen på den nya platsservern. Om du anger ett annat konto för filbaserade överföringar lägger du till kontot i den här gruppen på målplatsservern.
När du avinstallerar en webbplats tas inte den här gruppen bort automatiskt. Ta bort den manuellt när du har avinstallerat en webbplats.
Behörigheter för SMS_SiteToSiteConnection
Som standard har den här gruppen fullständig kontroll till följande mapp: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive
.
Konton som Configuration Manager använder
Du kan konfigurera följande konton för Configuration Manager.
Tips
Använd inte procenttecknet (%
) i lösenordet för konton som du anger i Configuration Manager-konsolen. Det går inte att autentisera kontot.
Active Directory-gruppidentifieringskonto
Webbplatsen använder Active Directory-gruppidentifieringskontot för att identifiera följande objekt från de platser i Active Directory Domain Services som du anger:
- Lokala, globala och universella säkerhetsgrupper.
- Medlemskapet i dessa grupper.
- Medlemskap i distributionsgrupper.
- Distributionsgrupper identifieras inte som gruppresurser.
Det här kontot kan vara ett datorkonto för platsservern som kör identifieringen eller ett Windows-användarkonto. Den måste ha läsbehörighet till de Active Directory-platser som du anger för identifiering.
Mer information finns i Active Directory-grupp upptäckt.
Active Directory-systemidentifieringskonto
Platsen använder Active Directory-systemidentifieringskontot för att identifiera datorer från de platser i Active Directory Domain Services som du anger.
Det här kontot kan vara ett datorkonto för platsservern som kör identifieringen eller ett Windows-användarkonto. Den måste ha läsbehörighet till de Active Directory-platser som du anger för identifiering.
Mer information finns i Active Directory-systemet upptäckt.
Active Directory-konto för användaridentifiering
Webbplatsen använder Active Directory-kontot för användaridentifiering för att identifiera användarkonton från de platser i Active Directory Domain Services som du anger.
Det här kontot kan vara ett datorkonto för platsservern som kör identifieringen eller ett Windows-användarkonto. Den måste ha läsbehörighet till de Active Directory-platser som du anger för identifiering.
Mer information finns i Active Directory-användaren upptäckt.
Active Directory-skogskonto
Platsen använder Active Directory-skogskontot för att identifiera nätverksinfrastruktur från Active Directory-skogar. Centrala administrationsplatser och primära platser använder den också för att publicera platsdata för att Active Directory Domain Services för en skog.
Obs!
Sekundära platser använder alltid det sekundära platsserverdatorkontot för att publicera till Active Directory.
För att identifiera och publicera till ej betrodda skogar måste Active Directory-skogskontot vara ett globalt konto. Om du inte använder platsserverns datorkonto kan du bara välja ett globalt konto.
Det här kontot måste ha läsbehörighet för varje Active Directory-skog där du vill identifiera nätverksinfrastrukturen.
Det här kontot måste ha fullständig behörighet till systemhanteringscontainern och alla underordnade objekt i varje Active Directory-skog där du vill publicera platsdata.
Mer information finns i Förbereda Active Directory för webbplatspublicering.
Mer information finns i Active Directory-skogsidentifiering.
Konto för certifikatregistreringsplats
Varning
Från och med version 2203 stöds inte längre certifikatregistreringsplatsen. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Certifikatregistreringsplatsen använder kontot för certifikatregistreringsplats för att ansluta till Configuration Manager-databasen. Det använder sitt datorkonto som standard, men du kan konfigurera ett användarkonto i stället. När certifikatregistreringsplatsen finns i en obetrodd domän från platsservern måste du ange ett användarkonto. Det här kontot kräver endast läsåtkomst till platsdatabasen eftersom tillståndsmeddelandesystemet hanterar skrivuppgifter.
Mer information finns i Introduktion till certifikatprofiler.
Avbilda os-avbildningskonto
När du registrerar en OS-avbildning använder Configuration Manager avbildningskontot för avbildning av operativsystemet för att komma åt mappen där du lagrar tagna avbildningar. Om du lägger till steget Avbilda OS-avbildning i en aktivitetssekvens krävs det här kontot.
Kontot måste ha läs- och skrivbehörighet för nätverksresursen där du lagrar insamlade bilder.
Om du ändrar lösenordet för kontot i Windows uppdaterar du aktivitetssekvensen med det nya lösenordet. Configuration Manager-klienten tar emot det nya lösenordet när klientprincipen laddas ned.
Om du behöver använda det här kontot skapar du ett domänanvändarkonto. Ge den minimal behörighet att komma åt de nätverksresurser som krävs och använd den för alla aktivitetssekvenser för avbildning.
Viktigt
Tilldela inte interaktiva inloggningsbehörigheter till det här kontot.
Använd inte kontot för nätverksåtkomst för det här kontot.
Mer information finns i Skapa en aktivitetssekvens för att avbilda ett operativsystem.
Konto för push-installation av klient
När du distribuerar klienter med hjälp av push-installationsmetoden för klienten använder platsen push-installationskontot för klient för att ansluta till datorer och installera Configuration Manager klientprogramvara. Om du inte anger det här kontot försöker platsservern använda sitt datorkonto.
Det här kontot måste vara medlem i den lokala gruppen Administratörer på målklientdatorerna. Det här kontot kräver inte domän- Admin rättigheter.
Du kan ange mer än ett push-installationskonto för klienten. Configuration Manager försöker var och en i sin tur tills en lyckas.
Tips
Om du har en stor Active Directory-miljö och behöver ändra det här kontot använder du följande process för att mer effektivt samordna den här kontouppdateringen:
- Skapa ett nytt konto med ett annat namn.
- Lägg till det nya kontot i listan över konton för push-installation av klienter i Configuration Manager.
- Ge tillräckligt med tid för Active Directory Domain Services att replikera det nya kontot.
- Ta sedan bort det gamla kontot från Configuration Manager och Active Directory Domain Services.
Viktigt
Använd domänen eller den lokala grupprincipen för att tilldela Windows-användaren behörighet att neka inloggning lokalt. Som medlem i gruppen Administratörer har det här kontot rätt att logga in lokalt, vilket inte behövs. För bättre säkerhet nekar du uttryckligen rätten till det här kontot. Neka-höger ersätter tillåt-högern.
Mer information finns i Push-installation av klienter.
Registreringsplatsanslutningskonto
Registreringsplatsen använder registreringsplatsens anslutningskonto för att ansluta till Configuration Manager platsdatabas. Det använder sitt datorkonto som standard, men du kan konfigurera ett användarkonto i stället. När registreringsplatsen finns i en obetrodd domän från platsservern måste du ange ett användarkonto. Det här kontot kräver läs- och skrivåtkomst till platsdatabasen.
Mer information finns i Installera platssystemroller för lokal MDM.
Exchange Server anslutningskonto
Platsservern använder Exchange Server-anslutningskontot för att ansluta till den angivna Exchange Server. Den använder den här anslutningen för att hitta och hantera mobila enheter som ansluter till Exchange Server. Det här kontot kräver Exchange PowerShell-cmdletar som ger nödvändiga behörigheter till Exchange Server dator. Mer information om cmdletarna finns i Installera och konfigurera Exchange Connector.
Anslutningskonto för hanteringsplats
Hanteringsplatsen använder hanteringsplatsanslutningskontot för att ansluta till Configuration Manager platsdatabas. Den använder den här anslutningen för att skicka och hämta information för klienter. Hanteringsplatsen använder sitt datorkonto som standard, men du kan konfigurera ett alternativt tjänstkonto i stället. När hanteringsplatsen finns i en obetrodd domän från platsservern måste du ange ett alternativt tjänstkonto.
Obs!
För förbättrad säkerhetsstatus rekommenderar vi att du använder ett alternativt tjänstkonto i stället för datorkontot för "hanteringsplatsanslutningskonto".
Skapa kontot som ett låghögert tjänstkonto på datorn som kör Microsoft SQL Server.
Viktigt
- Bevilja inte interaktiva inloggningsrättigheter till det här kontot.
- Om du anger ett konto i en fjärrdomän eller skog måste du ange domänens FQDN före användarnamnet och inte bara domänens NetBIOS-namn. Ange till exempel Corp.Contoso.com\UserName i stället för bara Corp\UserName. På så sätt kan Configuration Manager använda Kerberos när kontot används för att autentisera till fjärrplatssystemet. Om du använder FQDN åtgärdas ofta autentiseringsfel till följd av de senaste härdningsändringarna kring NTLM i Windows månadsuppdateringar.
Multicast-anslutningskonto
Multicast-aktiverade distributionsplatser använder Multicast-anslutningskontot för att läsa information från platsdatabasen. Servern använder sitt datorkonto som standard, men du kan konfigurera ett tjänstkonto i stället. När platsdatabasen finns i en obetrodd skog måste du ange ett tjänstkonto. Om ditt datacenter till exempel har ett perimeternätverk i en annan skog än platsservern och platsdatabasen använder du det här kontot för att läsa multicast-informationen från platsdatabasen.
Om du behöver det här kontot skapar du det som ett tjänstkonto med låg rätt på den dator som kör Microsoft SQL Server.
Obs!
För förbättrad säkerhetsstatus rekommenderar vi att du använder tjänstkonto i stället för datorkonto för "Multicast-anslutningskonto".
Viktigt
Bevilja inte interaktiva inloggningsrättigheter till det här tjänstkontot.
Mer information finns i Använda multicast för att distribuera Windows över nätverket.
Konto för nätverksåtkomst
Klientdatorer använder nätverksåtkomstkontot när de inte kan använda sitt lokala datorkonto för att komma åt innehåll på distributionsplatser. Det gäller främst arbetsgruppsklienter och datorer från ej betrodda domäner. Det här kontot används också under os-distributionen, när datorn som installerar operativsystemet ännu inte har ett datorkonto på domänen.
Obs!
Att hantera klienter i obetrodda domäner och scenarier mellan skogar möjliggör flera konton för nätverksåtkomst.
Viktigt
Kontot för nätverksåtkomst används aldrig som säkerhetskontext för att köra program, installera programuppdateringar eller köra aktivitetssekvenser. Den används bara för att komma åt resurser i nätverket.
En Configuration Manager-klient försöker först använda sitt datorkonto för att ladda ned innehållet. Om det misslyckas försöker det automatiskt använda nätverksåtkomstkontot.
Om du konfigurerar webbplatsen för HTTPS eller utökad HTTP kan en arbetsgrupp eller Microsoft Entra ansluten klient på ett säkert sätt komma åt innehåll från distributionsplatser utan att behöva ett konto för nätverksåtkomst. Det här beteendet omfattar distributionsscenarier för operativsystem med en aktivitetssekvens som körs från startmedia, PXE eller Software Center. Mer information finns i Kommunikation från klient till hanteringsplats.
Obs!
Om du aktiverar utökad HTTP för att inte kräva nätverksåtkomstkontot måste distributionsplatserna köra versioner av Windows Server eller Windows 10/11 som stöds för närvarande.
Behörigheter för nätverksåtkomstkontot
Ge det här kontot minsta lämpliga behörigheter för det innehåll som klienten behöver för att få åtkomst till programvaran. Kontot måste ha åtkomst till den här datorn från nätverket direkt på distributionsplatsen. Du kan konfigurera upp till 10 nätverksåtkomstkonton per plats.
Skapa ett konto i alla domäner som ger nödvändig åtkomst till resurser. Nätverksåtkomstkontot måste alltid innehålla ett domännamn. Direktsäkerhet stöds inte för det här kontot. Om du har distributionsplatser i flera domäner skapar du kontot i en betrodd domän.
Tips
För att undvika kontoutelåsningar ändrar du inte lösenordet för ett befintligt konto för nätverksåtkomst. Skapa i stället ett nytt konto och konfigurera det nya kontot i Configuration Manager. När det har gått tillräckligt lång tid för alla klienter att ha tagit emot den nya kontoinformationen tar du bort det gamla kontot från de delade nätverksmapparna och tar bort kontot.
Viktigt
Bevilja inte interaktiva inloggningsrättigheter till det här kontot.
Ge inte det här kontot behörighet att ansluta datorer till domänen. Om du måste ansluta datorer till domänen under en aktivitetssekvens använder du domänanslutningskontot för aktivitetssekvens.
Konfigurera nätverksåtkomstkontot
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser. Välj sedan webbplatsen.
I gruppen Inställningar i menyfliksområdet väljer du Konfigurera platskomponenter och sedan Programvarudistribution.
Välj fliken Nätverksåtkomstkonto . Konfigurera ett eller flera konton och välj sedan OK.
Åtgärder som kräver nätverksåtkomstkontot
Kontot för nätverksåtkomst krävs fortfarande för följande åtgärder (inklusive EHTTP & PKI-scenarier):
Multicast. Mer information finns i Använda multicast för att distribuera Windows över nätverket.
Distributionsalternativ för aktivitetssekvens till Åtkomst till innehåll direkt från en distributionsplats när det behövs av aktivitetssekvensen som körs. Mer information finns i Distributionsalternativ för aktivitetssekvens.
Använd aktivitetssekvensstegsalternativet OS Image för Att komma åt innehåll direkt från distributionsplatsen. Det här alternativet är främst för Windows Embedded-scenarier med lågt diskutrymme där cachelagring av innehåll till den lokala disken är kostsamt. Mer information finns i Åtkomst till innehåll direkt från distributionsplatsen.
Om nedladdningen av ett paket från en distributionsplats med HTTP/HTTPS misslyckas kan det återgå till att ladda ned paketet med hjälp av SMB från paketresursen på distributionsplatsen. Nedladdning av paketet med hjälp av SMB från paketresursen på distributionsplatsen kräver användning av kontot för nätverksåtkomst. Det här återställningsbeteendet inträffar bara om alternativet Kopiera innehållet i det här paketet till en paketresurs på distributionsplatser är aktiverat under fliken Dataåtkomst i egenskaperna för ett paket. Om du vill behålla det här beteendet kontrollerar du att nätverksåtkomstkontot inte är inaktiverat eller borttaget. Om det här beteendet inte längre är önskvärt kontrollerar du att alternativet Kopiera innehållet i det här paketet till en paketresurs på distributionsplatser inte är aktiverat för något paket.
Begär aktivitetssekvenssteget För tillståndslager . Om aktivitetssekvensen inte kan kommunicera med tillståndsmigreringsplatsen med hjälp av enhetens datorkonto återgår den till att använda kontot för nätverksåtkomst. Mer information finns i Begär tillståndslager.
Inställning för aktivitetssekvensegenskaper till Kör ett annat program först. Den här inställningen kör ett paket och program från en nätverksresurs innan aktivitetssekvensen startar. Mer information finns i Egenskaper för aktivitetssekvenser: fliken Avancerat.
Paketåtkomstkonto
Med ett paketåtkomstkonto kan du ange NTFS-behörigheter för att ange de användare och användargrupper som kan komma åt paketinnehåll på distributionsplatser. Som standard ger Configuration Manager endast åtkomst till de allmänna åtkomstkontona Användare och Administratör. Du kan styra åtkomsten till klientdatorer med hjälp av andra Windows-konton eller -grupper. Mobila enheter hämtar alltid paketinnehåll anonymt, så de använder inte ett paketåtkomstkonto.
När Configuration Manager kopierar innehållsfilerna till en distributionsplats ger den som standard läsbehörighet till den lokala användargruppen och fullständig behörighet till den lokala gruppen Administratörer. De faktiska behörigheter som krävs beror på paketet. Om du har klienter i arbetsgrupper eller i obetrodda skogar använder dessa klienter nätverksåtkomstkontot för att komma åt paketinnehållet. Kontrollera att nätverksåtkomstkontot har behörighet till paketet med hjälp av de definierade paketåtkomstkontona.
Använd konton i en domän som har åtkomst till distributionsplatserna. Om du skapar eller ändrar kontot när du har skapat paketet måste du omdistribuera paketet. Uppdateringen av paketet ändrar inte NTFS-behörigheterna för paketet.
Du behöver inte lägga till nätverksåtkomstkontot som ett paketåtkomstkonto eftersom medlemskapet i gruppen Användare lägger till det automatiskt. Att begränsa paketåtkomstkontot till endast nätverksåtkomstkontot hindrar inte klienter från att komma åt paketet.
Hantera paketåtkomstkonton
I Configuration Manager-konsolen går du till arbetsytan Programvarubibliotek.
I arbetsytan Programvarubibliotek bestämmer du vilken typ av innehåll som du vill hantera åtkomstkonton för och följer de angivna stegen:
Program: Expandera Programhantering, välj Program och välj sedan det program som åtkomstkonton ska hanteras för.
Paket: Expandera Programhantering, välj Paket och välj sedan det paket som du vill hantera åtkomstkonton för.
Distributionspaket för programuppdatering: Expandera Program Uppdateringar, välj Distributionspaket och välj sedan det distributionspaket som du vill hantera åtkomstkonton för.
Drivrutinspaket: Expandera Operativsystem, välj Drivrutinspaket och välj sedan drivrutinspaketet som du vill hantera åtkomstkonton för.
OS-avbildning: Expandera Operativsystem, välj Operativsystemavbildningar och välj sedan operativsystemavbildningen för vilken åtkomstkonton ska hanteras.
Uppgraderingspaket för operativsystem: Expandera Operativsystem, välj Uppgraderingspaket för operativsystem och välj sedan det operativsystemuppgraderingspaket som du vill hantera åtkomstkonton för.
Startavbildning: Expandera Operativsystem, välj Startavbildningar och välj sedan den startavbildning som du vill hantera åtkomstkonton för.
Högerklicka på det markerade objektet och välj sedan Hantera åtkomstkonton.
I dialogrutan Lägg till konto anger du den kontotyp som ska beviljas åtkomst till innehållet och anger sedan de åtkomsträttigheter som är associerade med kontot.
Obs!
När du lägger till ett användarnamn för kontot och Configuration Manager hittar både ett lokalt användarkonto och ett domänanvändarkonto med det namnet anger Configuration Manager åtkomsträttigheter för domänanvändarkontot.
Reporting Services-platskonto
SQL Server Reporting Services använder Reporting Services-punktkontot för att hämta data för Configuration Manager rapporter från platsdatabasen. Det Windows-användarkonto och lösenord som du anger krypteras och lagras i SQL Server Reporting Services-databasen.
Obs!
Det konto som du anger måste ha lokal inloggningsbehörighet på den dator som är värd för SQL Server Reporting Services-databasen.
Kontot beviljas automatiskt alla nödvändiga rättigheter genom att läggas till i smsschm_users SQL Server-databasrollen i Configuration Manager-databasen.
Mer information finns i Introduktion till rapportering.
Tillåtna visningskonton med fjärrverktyg
De konton som du anger som Tillåtna användare för fjärrstyrning är en lista över användare som tillåts använda fjärrverktygsfunktioner på klienter.
Mer information finns i Introduktion till fjärrstyrning.
Platsinstallationskonto
Använd ett domänanvändarkonto för att logga in på den server där du kör Configuration Manager konfigurera och installera en ny plats.
Det här kontot kräver följande rättigheter:
Administratör på följande servrar:
- Platsservern
- Varje server som är värd för platsdatabasen
- Varje instans av SMS-providern för webbplatsen
Sysadmin på instansen av SQL Server som är värd för platsdatabasen
Configuration Manager installationsprogrammet lägger automatiskt till det här kontot i gruppen SMS-administratörer.
Efter installationen är det här kontot det enda med behörighet till Configuration Manager-konsolen. Om du behöver ta bort det här kontot måste du först lägga till dess rättigheter till en annan användare.
När du expanderar en fristående plats för att inkludera en central administrationsplats kräver det här kontot rollbaserade administratörsrättigheter för fullständig administratör eller infrastrukturadministratör på den fristående primära platsen.
Installationskonto för platssystem
Platsservern använder platssysteminstallationskontot för att installera, installera om, avinstallera och konfigurera platssystem. Om du har konfigurerat platssystemet för att kräva att platsservern initierar anslutningar till det här platssystemet använder Configuration Manager även det här kontot för att hämta data från platssystemet när platssystemet har installerats och eventuella roller. Varje platssystem kan ha ett annat installationskonto, men du kan bara konfigurera ett installationskonto för att hantera alla roller i det platssystemet.
Det här kontot kräver lokala administrativa behörigheter för målplatssystemen. Dessutom måste det här kontot ha åtkomst till den här datorn från nätverket i säkerhetsprincipen på målplatssystemen.
Viktigt
Om du anger ett konto i en fjärrdomän eller skog måste du ange domänens FQDN före användarnamnet och inte bara domänens NetBIOS-namn. Ange till exempel Corp.Contoso.com\UserName i stället för bara Corp\UserName. På så sätt kan Configuration Manager använda Kerberos när kontot används för att autentisera till fjärrplatssystemet. Om du använder FQDN åtgärdas ofta autentiseringsfel till följd av de senaste härdningsändringarna kring NTLM i Windows månadsuppdateringar.
Tips
Om du har många domänkontrollanter och dessa konton används över domäner kontrollerar du att Active Directory har replikerat dessa konton innan du konfigurerar platssystemet.
När du anger ett tjänstkonto för varje platssystem som ska hanteras är den här konfigurationen säkrare. Det begränsar den skada som angripare kan göra. Domänkonton är dock enklare att hantera. Överväg kompromissen mellan säkerhet och effektiv administration.
Platssystemproxyserverkonto
Följande platssystemroller använder platssystemproxyserverkontot för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst:
- Synkroniseringsplats för tillgångsinformation
- Exchange Server anslutningsapp
- Tjänstanslutningspunkt
- Programuppdateringsplats
Viktigt
Ange ett konto som har minsta möjliga behörighet för den proxyserver eller brandvägg som krävs.
Mer information finns i Stöd för proxyserver.
SMTP-serveranslutningskonto
Platsservern använder SMTP-serveranslutningskontot för att skicka e-postaviseringar när SMTP-servern kräver autentiserad åtkomst.
Viktigt
Ange ett konto som har minsta möjliga behörighet att skicka e-post.
Mer information finns i Konfigurera aviseringar.
Anslutningskonto för programuppdateringsplats
Platsservern använder anslutningskontot för programuppdateringsplatsen för följande två programuppdateringstjänster:
Windows Server Update Services (WSUS), som konfigurerar inställningar som produktdefinitioner, klassificeringar och överordnade inställningar.
WSUS Synchronization Manager, som begär synkronisering till en överordnad WSUS-server eller Microsoft Update.
Platssysteminstallationskontot kan installera komponenter för programuppdateringar, men det kan inte utföra programuppdateringsspecifika funktioner på programuppdateringsplatsen. Om du inte kan använda platsserverns datorkonto för den här funktionen eftersom programuppdateringsplatsen finns i en ej betrodd skog måste du ange det här kontot tillsammans med platssysteminstallationskontot.
Det här kontot måste vara en lokal administratör på den dator där du installerar WSUS. Den måste också ingå i den lokala gruppen WSUS-administratörer .
Mer information finns i Planera för programuppdateringar.
Källwebbplatskonto
Migreringsprocessen använder källplatskontot för att få åtkomst till KÄLL-providern för källplatsen. Det här kontot kräver läsbehörighet för platsobjekt på källplatsen för att samla in data för migreringsjobb.
Om du har Configuration Manager 2007-distributionsplatser eller sekundära platser med samlokaliserade distributionsplatser när du uppgraderar dem till Configuration Manager distributionsplatser (aktuell gren) måste det här kontot också ha behörigheten Ta bort för klassen Plats. Den här behörigheten är att ta bort distributionsplatsen från platsen Configuration Manager 2007 under uppgraderingen.
Obs!
Både källplatskontot och källplatsdatabaskontot identifieras som Migration Manager i noden Konton på arbetsytan Administration i Configuration Manager-konsolen.
Mer information finns i Migrera data mellan hierarkier.
Källplatsdatabaskonto
Migreringsprocessen använder källplatsdatabaskontot för att komma åt källplatsens SQL Server databas. För att samla in data från källplatsens SQL Server databas måste källplatsdatabaskontot ha läs- och körningsbehörighet till källplatsens SQL Server databas.
Om du använder datorkontot Configuration Manager (aktuell gren) kontrollerar du att följande stämmer för det här kontot:
- Den är medlem i säkerhetsgruppen Distribuerade COM-användare i samma domän som Configuration Manager 2012-webbplatsen.
- Den är medlem i säkerhetsgruppen SMS Admins .
- Den har läsbehörighet för alla Configuration Manager 2012-objekt.
Obs!
Både källplatskontot och källplatsdatabaskontot identifieras som Migration Manager i noden Konton på arbetsytan Administration i Configuration Manager-konsolen.
Mer information finns i Migrera data mellan hierarkier.
Domänanslutningskonto för aktivitetssekvens
Windows-installationsprogrammet använder kontot för domänanslutning av aktivitetssekvens för att ansluta en nyligen avbildningsdator till en domän. Det här kontot krävs av aktivitetssekvenssteget Anslut till domän eller Arbetsgrupp med alternativet Anslut till en domän . Det här kontot kan också konfigureras med steget Tillämpa nätverksinställningar , men det krävs inte.
Det här kontot kräver domänanslutningsbehörigheten i måldomänen.
Tips
Skapa ett domänanvändarkonto med minimal behörighet att ansluta till domänen och använd det för alla aktivitetssekvenser.
Viktigt
Tilldela inte interaktiva inloggningsbehörigheter till det här kontot.
Använd inte kontot för nätverksåtkomst för det här kontot.
Anslutningskonto för aktivitetssekvensnätverksmapp
Aktivitetssekvensmotorn använder anslutningskontot för aktivitetssekvensens nätverksmapp för att ansluta till en delad mapp i nätverket. Det här kontot krävs av aktivitetssekvenssteget Anslut till nätverksmapp .
Det här kontot kräver behörighet att komma åt den angivna delade mappen. Det måste vara ett domänanvändarkonto.
Tips
Skapa ett domänanvändarkonto med minimal behörighet för att få åtkomst till de nätverksresurser som krävs och använd det för alla aktivitetssekvenser.
Viktigt
Tilldela inte interaktiva inloggningsbehörigheter till det här kontot.
Använd inte kontot för nätverksåtkomst för det här kontot.
Aktivitetssekvens som körs som konto
Aktivitetssekvensmotorn använder aktivitetssekvenskörningen som konto för att köra kommandorader eller PowerShell-skript med andra autentiseringsuppgifter än det lokala systemkontot. Det här kontot krävs av aktivitetssekvensstegen Kör kommandorad och Kör PowerShell-skript med alternativet Kör det här steget som följande konto valt.
Konfigurera kontot så att det har de minsta behörigheter som krävs för att köra kommandoraden som du anger i aktivitetssekvensen. Kontot kräver interaktiva inloggningsrättigheter. Det kräver vanligtvis möjligheten att installera programvara och komma åt nätverksresurser. För aktiviteten Kör PowerShell-skript kräver det här kontot lokal administratörsbehörighet.
Viktigt
Använd inte kontot för nätverksåtkomst för det här kontot.
Gör aldrig kontot till domänadministratör.
Konfigurera aldrig centrala profiler för det här kontot. När aktivitetssekvensen körs laddas kontots centrala profil ned. Detta gör profilen sårbar för åtkomst på den lokala datorn.
Begränsa kontots omfång. Skapa till exempel olika aktivitetssekvenser som körs som konton för varje aktivitetssekvens. Om ett konto sedan komprometteras komprometteras endast de klientdatorer som kontot har åtkomst till.
Om kommandoraden kräver administrativ åtkomst på datorn kan du skapa ett lokalt administratörskonto enbart för det här kontot på alla datorer som kör aktivitetssekvensen. Ta bort kontot när du inte längre behöver det.
Användarobjekt som Configuration Manager använder i SQL Server
Configuration Manager skapar och underhåller automatiskt följande användarobjekt i SQL. Dessa objekt finns i Configuration Manager-databasen under Säkerhet/Användare.
Viktigt
Att ändra eller ta bort dessa objekt kan orsaka drastiska problem i en Configuration Manager miljö. Vi rekommenderar att du inte gör några ändringar i dessa objekt.
smsdbuser_ReadOnly
Det här objektet används för att köra frågor under den skrivskyddade kontexten. Det här objektet används med flera lagrade procedurer.
smsdbuser_ReadWrite
Det här objektet används för att ge behörigheter för dynamiska SQL-instruktioner.
smsdbuser_ReportSchema
Det här objektet används för att köra SQL Server rapporteringskörningar. Följande lagrade procedur används med den här funktionen: spSRExecQuery
.
Databasroller som Configuration Manager använder i SQL
Configuration Manager skapar och underhåller automatiskt följande rollobjekt i SQL. Dessa roller ger åtkomst till specifika lagrade procedurer, tabeller, vyer och funktioner. Dessa roller hämtar eller lägger till data i Configuration Manager-databasen. Dessa objekt finns i Configuration Manager-databasen under Säkerhets-/roll-/databasroller.
Viktigt
Att ändra eller ta bort dessa objekt kan orsaka drastiska problem i en Configuration Manager miljö. Ändra inte dessa objekt. Följande lista är endast i informationssyfte.
smsdbrole_AITool
Configuration Manager ger den här behörigheten till administrativa användarkonton baserat på rollbaserad åtkomst för att importera volymlicensinformation för Tillgångsinformation. Det här kontot kan läggas till av en fullständig administratör, driftadministratör eller tillgångshanterarens roll eller någon roll med behörigheten "Hantera tillgångsinformation".
smsdbrole_AIUS
Configuration Manager ger datorkontot som är värd för kontot för synkronisering av tillgångsinformation åtkomst för att hämta tillgångsinformationsproxydata och för att visa väntande AI-data för uppladdning.
smsdbrole_CRP
Configuration Manager ger behörighet till datorkontot för platssystemet som stöder certifikatregistreringsplatsen för SCEP-stöd (Simple Certificate Enrollment Protocol) för signering och förnyelse av certifikat.
smsdbrole_CRPPfx
Configuration Manager ger behörighet till datorkontot för platssystemet som stöder certifikatregistreringsplatsen som konfigurerats för PFX-stöd för signering och förnyelse.
smsdbrole_DMP
Configuration Manager ger den här behörigheten till datorkontot för en hanteringsplats som har alternativet Tillåt mobila enheter och Mac-datorer att använda den här hanteringsplatsen, möjlighet att ge stöd för MDM-registrerade enheter.
smsdbrole_DmpConnector
Configuration Manager ger den här behörigheten till det datorkonto som är värd för tjänstanslutningspunkten för att hämta och tillhandahålla diagnostikdata, hantera molntjänster och hämta tjänstuppdateringar.
smsdbrole_DViewAccess
Configuration Manager ger den här behörigheten till datorkontot för de primära platsservrarna på CAS när alternativet SQL Server distribuerade vyer väljs i egenskaperna för replikeringslänken.
smsdbrole_DWSS
Configuration Manager ger den här behörigheten till det datorkonto som är värd för informationslagerrollen.
smsdbrole_EnrollSvr
Configuration Manager ger den här behörigheten till det datorkonto som är värd för registreringsplatsen för att tillåta enhetsregistrering via MDM.
smsdbrole_extract
Ger åtkomst till alla utökade schemavyer.
smsdbrole_HMSUser
För hierarkihanterartjänsten. Configuration Manager ger det här kontot behörighet att hantera meddelanden om redundanstillstånd och SQL Server Broker-transaktioner mellan platser i en hierarki.
Obs!
Den smdbrole_WebPortal rollen är medlem i den här rollen som standard.
smsdbrole_MCS
Configuration Manager ger den här behörigheten till datorkontot för distributionsplatsen som stöder multicast.
smsdbrole_MP
Configuration Manager ger den här behörigheten till det datorkonto som är värd för hanteringsplatsrollen för att ge stöd för Configuration Manager klienter.
smsdbrole_MPMBAM
Configuration Manager ger den här behörigheten till det datorkonto som är värd för hanteringsplatsen som hanterar BitLocker för en miljö.
smsdbrole_MPUserSvc
Configuration Manager ger den här behörigheten till det datorkonto som är värd för hanteringsplatsen för att stödja användarbaserade programbegäranden.
smsdbrole_siteprovider
Configuration Manager ger den här behörigheten till det datorkonto som är värd för en SMS-providerroll.
smsdbrole_siteserver
Configuration Manager ger den här behörigheten till det datorkonto som är värd för den primära platsen eller CAS.
smsdbrole_SUP
Configuration Manager ger den här behörigheten till det datorkonto som är värd för programuppdateringsplatsen för att arbeta med uppdateringar från tredje part.
smsschm_users
Configuration Manager ger åtkomst till det konto som används för Reporting Services-platskontot så att åtkomst till SMS-rapportvyerna kan visa Configuration Manager rapporteringsdata. Data begränsas ytterligare med hjälp av rollbaserad åtkomst.
Utökade behörigheter
Configuration Manager kräver att vissa konton har utökade behörigheter för pågående åtgärder. Se till exempel Krav för att installera en primär plats. I följande lista sammanfattas dessa behörigheter och orsakerna till varför de behövs.
Datorkontot för den primära platsservern och den centrala administrationsplatsservern kräver:
Lokal administratörsbehörighet på alla platssystemservrar. Den här behörigheten är att hantera, installera och ta bort systemtjänster. Platsservern uppdaterar även lokala grupper i platssystemet när du lägger till eller tar bort roller.
Sysadmin-åtkomst till SQL Server-instansen för platsdatabasen. Den här behörigheten är att konfigurera och hantera SQL Server för webbplatsen. Configuration Manager är nära integrerat med SQL är det inte bara en databas.
Användarkonton i rollen Fullständig administratör kräver:
Lokal administratörsbehörighet på alla platsservrar. Den här behörigheten är att visa, redigera, ta bort och installera systemtjänster, registernycklar och värden samt WMI-objekt.
Sysadmin-åtkomst till SQL Server-instansen för platsdatabasen. Den här behörigheten är att installera och uppdatera databasen under installationen eller återställningen. Det krävs också för SQL Server underhåll och åtgärder. Till exempel indexering och uppdatering av statistik.
Obs!
Vissa organisationer kan välja att ta bort sysadmin-åtkomst och endast bevilja den när det behövs. Det här beteendet kallas ibland för "just-in-time-åtkomst (JIT). I det här fallet bör användare med rollen Fullständig administratör fortfarande ha åtkomst till att läsa, uppdatera och köra lagrade procedurer på Configuration Manager-databasen. Med de här behörigheterna kan de felsöka de flesta problem utan fullständig sysadmin-åtkomst.