Dela via


Teknisk referens för konton som används i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

I informationen nedan beskrivs hur du identifierar Windows-grupper och konton som används i System Center 2012 Configuration Manager, hur de används och eventuella krav.

Windows-grupper som skapas och används i Configuration Manager

Följande Windows-grupper skapas automatiskt och underhålls i många fall automatiskt av Configuration Manager:

System_CAPS_noteInformation

En grupp som skapas i Configuration Manager på en dator som är domänmedlem, är en lokal säkerhetsgrupp. Om datorn är en domänkontrollant är gruppen en lokal domängrupp som delas med alla domänkontrollanter i domänen.

ConfigMgr_CollectedFilesAccess

Gruppen används av Configuration Manager för att bevilja åtkomst till att visa filer som samlats in under programvaruinventering.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Den här gruppen är en lokal säkerhetsgrupp som skapas på den primära platsservern.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Medlemskap

Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är administrativa användare som fått behörighet att Visa insamlade filer för det skyddbara objektet Samling genom en tilldelad säkerhetsroll.

Behörigheter

Gruppen har som standard Read-behörighet för följande mapp på platsservern: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccess

Den här gruppen är en lokal säkerhetsgrupp som skapas på platsdatabasservern eller databasreplikservern av System Center 2012 Configuration Manager och som inte används för tillfället. Gruppen sparas för framtida användning av Configuration Manager.

Användare av ConfigMgr-fjärrstyrning

Den här gruppen används av Configuration Manager-fjärrverktyg för att lagra de konton och grupper som du konfigurerar i listan över behöriga användare som har tilldelats varje klient.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Gruppen är en lokal säkerhetsgrupp som skapas på Configuration Manager-klienten när klienten får principer som aktiverar fjärrverktyg.

System_CAPS_importantViktigt

När du har inaktiverat fjärrverktyg för en klient tas gruppen inte bort automatiskt utan måste tas bort manuellt från varje klientdator.

Medlemskap

Det finns som standard inga medlemmar i den här gruppen. När du lägger till användare i listan över behöriga användare, läggs de automatiskt till i den här gruppen.

System_CAPS_tipTips

Använd listan över behöriga användare för att hantera medlemskapet för den här gruppen i stället för att lägga till användare eller grupper direkt i gruppen.

En administrativ användare måste inte bara vara behörig användare utan måste också ha behörigheten Fjärrverktyg för objektet Samling. Du kan tilldela behörigheten genom att använda säkerhetsrollen Ansvarig för fjärrverktyg.

Behörigheter

Den här gruppen har som standard inte behörighet för några platser på datorn och används bara som förvaring för listan över behöriga.

SMS-administratörer

Gruppen används i Configuration Manager för att ge åtkomst till SMS-providern via WMI. Åtkomst till SMS-providern krävs för att visa och ändra objekt i Configuration Manager-konsolen.

System_CAPS_noteInformation

Konfigurationen av rollbaserad administration för en administrativ användare fastställer vilka objekt användaren kan visa och hantera när Configuration Manager-konsolen används.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Den här gruppen är en lokal säkerhetsgrupp som skapas på alla datorer som har en SMS-provider.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Medlemskap

Gruppmedlemskap hanteras automatiskt i Configuration Manager. Som standard är alla administrativa användare i en hierarki och platsserverdatorkontot medlemmar i gruppen SMS-administratörer på alla SMS-providerdatorer på en plats.

Behörigheter

SMS-administratörers behörigheter och rättigheter anges med MMC-snapin-modulen WMI-kontroll. Gruppen SMS-administratörer får som standard behörigheten Enable Account och Remote Enable för namnområdet Root\SMS. Autentiserade användare har Execute Methods, Provider Write och Enable Account

System_CAPS_noteInformation

Administrativa användare som ska använda en Configuration Manager-fjärrkonsol måste ha DCOM-behörighet för fjärraktivering för både platsserverdatorn och SMS-providerdatorn. För att förenkla administrationen är det bäst att ge SMS-administratörerna dessa rättigheter, i stället för att ge rättigheterna direkt till användare och grupper. Mer information finns i avsnittet Konfigurera DCOM-behörigheter för fjärranslutningar till Configuration Manager-konsolen i ämnet Hantera plats- och hierarkikonfigurationer.

SMS_SiteSystemToSiteServerConnection_MP_<platskod&gt;

Den här gruppen används av Configuration Manager-hanteringsplatser som är skilda från platsservern och som ansluts till platsdatabasen. Gruppen ger hanteringsplatsåtkomst till inkorgsmapparna på platsservern och platsdatabasen.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Den här gruppen är en lokal säkerhetsgrupp som skapas på alla datorer som har en SMS-provider.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Medlemskap

Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard datorkonton för fjärrdatorer som har en hanteringsplats för platsen.

Behörigheter

Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen på platsservern. Dessutom har gruppen Write-behörighet för olika undermappar under inboxes till vilka hanteringsplatsen skriver klientdata.

SMS_SiteSystemToSiteServerConnection_SMSProv_<platskod&gt;

Den här gruppen används av SMS-providerdatorer i Configuration Manager som är skilda från platsservern och som ansluts till platsservern.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Medlemskap

Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard det datorkonto eller domänanvändarkonto som används för att ansluta till platsservern från varje fjärrdator som har en installerad SMS-provider för platsen.

Behörigheter

Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen på platsservern. Dessutom har gruppen Write-behörighet eller skriv- och ändra-behörighet för olika undermappar under inboxes som SMS-providern begär åtkomst till.

Gruppen har också Read-, Read & execute-, List folder contents-, skriv- och ändra-behörigheter för mapparna under %path%\Microsoft Configuration Manager\OSD\boot och läs-behörighet för mapparna under %path%\Microsoft Configuration Manager\OSD\Bin på platsservern.

SMS_SiteSystemToSiteServerConnection_Stat_<platskod&gt;

Gruppen används av filutskickshanteraren på Configuration Manager-fjärrplatssystemdatorer för att ansluta till platsservern.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Medlemskap

Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard det datorkonto eller domänanvändarkonto som används för att ansluta till platsservern från varje fjärrplatssystemdator som kör filutskickshanteraren.

Behörigheter

Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen och olika undermappar under den platsen på platsservern. Dessutom har gruppen skriv- och ändra-behörigheter för %path%\Microsoft Configuration Manager\inboxes\statmgr.box-mappen på platsservern.

SMS_SiteToSiteConnection_<platskod&gt;

Gruppen används av Configuration Manager för att aktivera filbaserad replikering mellan platser i en hierarki. Gruppen innehåller följande konton för varje fjärrplats som överför filer direkt till den här platsen:

  • Konton som konfigurerats som platsadresskonton från Configuration Manager-platser utan service pack

  • Konton som konfigurerats som filreplikeringskonton från platser med Configuration Manager SP1 och senare

System_CAPS_noteInformation

Från och med Configuration Manager SP1 ersätts platsadresskontot av filreplikeringskontot.

I följande tabell visas mer information om gruppen:

Information

Mer information

Typ och plats

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.

Medlemskap

När du installerar en ny plats som är underordnad en annan plats, lägger Configuration Manager automatiskt till den nya platsens datorkonto i gruppen på den överordnade platssservern och den överordnade platsens datorkonto i gruppen på den nya platsservern. Om du anger ett annat konto för filbaserade överföringar lägger du till det kontot i gruppen på målplatsservern.

System_CAPS_noteInformation

När du avinstallerar en plats tas inte gruppen bort automatiskt utan måste raderas manuellt.

Behörigheter

Den här gruppen har som standard fullständig behörighet för %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive-mappen.

Konton som används i Configuration Manager

Du kan konfigurera följande konton för Configuration Manager:

Konto för identifiering av Active Directory-grupper

Kontot för identifiering av Active Directory-grupper används för att identifiera lokala, globala och universella säkerhetsgrupper, medlemskapet i grupperna och medlemskapet i distributionsgrupper från angivna platser i Active Directory Domain Services. Distributionsgrupper identifieras inte som gruppresurser.

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.

Konto för identifiering av Active Directory-system

Kontot för identifiering av Active Directory-system används för att identifiera datorer från angivna platser i Active Directory Domain Services.

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.

Konto för identifiering av Active Directory-användare

Kontot för identifiering av Active Directory-användare används för att identifiera användarkonton från angivna platser i Active Directory Domain Services.

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.

Konto för identifiering av Active Directory-skog

Konto för identifiering av Active Directory-skog används för att identifiera nätverksinfrastruktur i Active Directory-skogar och används också av centrala administrationswebbplatser och primära platser för att publicera platsdata på en skogs Active Directory Domain Services.

System_CAPS_noteInformation

Sekundära platser använder alltid den sekundära serverns datorkonto för att publicera till Active Directory.

System_CAPS_noteInformation

Kontot för Active Directory-skog måste vara ett globalt konto för att kunna identifiera och publicera på skogar som inte är betrodda. Om du inte använder platsserverns datorkonto kan du välja ett globalt konto.

Kontot måste ha läs-behörighet för varje Active Directory-skog vars nätverksinfrastruktur du vill identifiera.

Kontot måste ha Fullständig behörighet för System Management-behållaren och dess underordnade objekt i varje Active Directory-skog där du vill publicera platsdata.

AMT-etablering och identifieringskonto

Kontot för AMT-etablering och identifiering har samma funktioner som AMT-fjärradminkontot och finns i hanteringsmotorns BIOS-tillägg på Intel AMT-baserade datorer. Kontot används av den server som kör platsrollen out-of-band-tjänst för att hantera vissa funktioner för nätverksgränssnittet i AMT genom att använda out-of-band-hanteringsfunktionen.

Om du anger ett konto för AMT-etablering och identifiering i Configuration Manager måste det matcha kontonamnet och lösenordet för AMT-fjärradmin som är angivet i BIOS-tilläggen på de AMT-baserade datorerna.

Kontot lagras i hanteringsmotorns BIOS-tillägg på den AMT-baserade datorn och har ingen motsvarighet till något konto i Windows.

Borttagningskonto för AMT-etablering

Med kontot för borttagning av AMT-etablering kan du ta bort AMT-etableringsinformation om du måste återställa platsen. Det kan också användas om en Configuration Manager-klient har omtilldelats och AMT-etableringsinformationen inte har tagits bort från datorn på den gamla platsen.

Följande villkor måste vara uppfyllda för att du ska kunna ta bort AMT-etableringsinformationen med kontot för borttagning av AMT-etablering:

  • Kontot för borttagning av AMT-etablering har konfigurerats i komponentegenskaperna för out-of-band-hantering.

  • Kontot som har konfigurerats för borttagningskontot för AMT-etablering konfigurerades som ett AMT-användarkonto i komponentegenskaperna för out-of-band-hantering när den AMT-baserade datorn etablerades eller uppdaterades.

  • Kontot som har konfigurerats för borttagningskontot för AMT-etablering måste vara medlem i den lokala administratörsgruppen på out-of-band-tjänstdatorn.

  • AMT-granskningsloggen är inte aktiverad.

Eftersom det här är ett Windows-konto bör du ange ett konto med ett starkt lösenord utan giltighetsgräns.

Konto för AMT-fjärradmin

Kontot för AMT-fjärradmin är ett konto i hanteringsmotorns BIOS-tillägg (MEBx) på Intel AMT-baserade datorer som används av den server som kör platsrollen out-of-band-tjänst för att hantera vissa funktioner för nätverksgränssnittet i AMT i Configuration Manager genom att använda out-of-band-hanteringsfunktionen.

Configuration Manager ställer automatiskt in lösenordet för fjärradminkontot för datorer som etableras för AMT, och detta lösenord används sedan för efterföljande autentiserad åtkomst till den inbyggda AMT-programvaran. Det här kontot har samma funktioner som Configuration Manager-kontot för AMT-etablering och identifiering.

Kontot lagras i hanteringsmotorns BIOS-tillägg på den AMT-baserade datorn och har ingen motsvarighet till något konto i Windows.

AMT-användarkonton

AMT-användarkonton styr vilka Windows-användare eller grupper som kan köra hanteringsfunktioner i out-of-band-hanteringskonsolen.

Konfigurationen av AMT-användarkonton skapar motsvarigheten till en åtkomstkontrollista i den inbyggda AMT-programvaran. När den inloggade användaren försöker köra out-of-band-hanteringskonsolen använder AMT Kerberos för att autentisera kontot och godkänner eller nekar därefter åtkomst till AMT-hanteringsfunktionerna.

Konfigurera AMT-användarkonton innan du etablerar AMT-baserade datorer. Om du konfigurerar AMT-användarkonton när du redan har etablerat datorer för AMT måste du uppdatera AMT-minnet manuellt för datorerna så att de konfigureras om med de nya inställningarna.

Eftersom AMT-användarkonton använder Kerberos-autentisering måste användarkonton och säkerhetsgrupper finnas i en Active Directory-domän.

Proxyserverkonto för plats för synkronisering av tillgångsinformation

Proxyserverkontot för plats för synkronisering av tillgångsinformation används av synkroniseringsplatsen för tillgångsinformation för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.

System_CAPS_security Säkerhet Information

Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen.

Konto för certifikatregistreringsplats

Kontot för certifikatregistreringsplats ansluter certifikatregistreringsplatsen till Configuration Manager-databasen. Datorkontot för certifikatregistreringsplatsens server används som standard men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto varje gång certifikatregistreringsplatsen finns på en ej betrodd domän från platsservern. Det här kontot behöver bara läsbehörighet till platsdatabasen eftersom skrivåtgärder hanteras av tillståndsmeddelandesystemet.

Konto för avbildning av operativsystem

Kontot för avbildning av operativsystem används av Configuration Manager för att få åtkomst till mappen där avbildningar lagras när du distribuerar operativsystem. Det här kontot krävs om du lägger till steget Avbilda operativsystemsavbildning i en aktivitetssekvens.

Kontot måste ha läs- och skriv-behörighet för den nätverksresurs där avbildningen är sparad.

Om lösenordet för kontot ändras i Windows måste du uppdatera aktivitetssekvensen med det nya lösenordet.Configuration Manager-klienten får det nya lösenordet nästa gång en klientprincip laddas ned.

Om du använder det här kontot kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till nödvändiga nätverksresurser och använda det för alla aktivitetssekvenskonton.

System_CAPS_security Säkerhet Information

Tilldela inte kontot behörighet för interaktiv inloggning.

Använd inte kontot för nätverksåtkomst för det här kontot.

Konto för push-installation av klient

Kontot för push-installation av klient används för att ansluta till datorer och installera Configuration Manager-klientprogramvaran om du distribuerar klienter med hjälp av push-installation av klient. Om detta konto inte anges används platsserverkontot för att försöka installera klientprogramvaran.

Det här kontot måste ingå i den lokala gruppen med Administratörer på de datorer där Configuration Manager-klientprogramvaran ska installeras. Det krävs inga domänadministratörsrättigheter för detta konto.

Du kan ange ett eller flera konton för push-installation av klient som Configuration Manager provar i tur och ordning tills ett av dem lyckas.

System_CAPS_tipTips

Om du vill samordna kontouppdateringarna på ett mer effektivt sätt i stora Active Directory-distributioner skapar du ett nytt konto med ett annat namn och lägger sedan till det nya kontot i listan över konton för push-installation av klienter i Configuration Manager. Låt det gå tillräckligt med tid för att Active Directory-domäntjänsterna ska kunna replikera det nya kontot, och ta sedan bort det gamla kontot från Configuration Manager och Active Directory-domäntjänsterna.

System_CAPS_security Säkerhet Information

Bevilja inte rätten till lokal inloggning för det här kontot.

Konto för registreringsplatsanslutning

Kontot för registreringsplatsanslutning ansluter registreringsplatsen till Configuration Manager-platsens databas. Som standard används registreringsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto när registreringsplatsen finns i en domän från platsservern som inte är betrodd. Detta konto kräver läs- och skrivåtkomst till platsdatabasen.

Exchange Server-anslutningskonto

Exchange Server-anslutningskontot ansluter platsservern till den angivna Exchange Server-datorn för att söka upp och hantera mobila enheter som ansluts till Exchange Server. Detta konto kräver Exchange PowerShell cmdlets som förser Exchange Server-datorn med de behörigheter som krävs. Mer information om cmdlets finns i Hantera mobila enheter med Configuration Manager och Exchange.

Proxyserverkonto för Exchange Server-anslutning

Proxyserverkontot för Exchange Server-anslutning används av Exchange Server-anslutningen för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.

System_CAPS_security Säkerhet Information

Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen.

Endpoint Protection SMTP-serveranslutningskonto

För Configuration Manager utan service pack: Endpoint Protection SMTP-serveranslutningskontot används av platsservern för att skicka e-postaviseringar för Endpoint Protection när SMTP-servern kräver autentiserad åtkomst.

System_CAPS_security Säkerhet Information

Ange ett konto som har lägsta möjliga behörighet för att skicka e-post.

Publiceringskonto för hälsotillståndsreferens

Publiceringskontot för hälsotillståndsreferens används för att publicera hälsotillståndsreferensen för nätverksåtkomstskydd för Configuration Manager till Active Directory Domain Services.

Om du inte konfigurerar något konto försöker Configuration Manager använda platsserverns datorkonto för att publicera hälsotillståndsreferenser.

Detta konto kräver behörigheterna Läs, Skriv och Skapa till den Active Directory-skog som sparar hälsotillståndsreferensen.

Skapa kontot i den skog som har utsetts att spara hälsotillståndsreferenserna. Tilldela det här kontot lägsta möjliga behörigheter och använd inte samma konto som har angetts för frågekontot för hälsotillståndsreferens, som enbart kräver Läs-behörighet.

Frågekonto för hälsotillståndsreferens

Frågekontot för hälsotillståndsreferens används för att hämta hälsotillståndsreferensen för nätverksåtkomstskydd för Configuration Manager från Active Directory Domain Services.

Om du inte konfigurerar något konto försöker Configuration Manager använda platsserverns datorkonto för att hämta hälsotillståndsreferenserna.

Detta konto kräver Läs-behörigheter till Configuration ManagerSystems Management-behållaren i den globala katalogen.

Skapa kontot i den skog som har utsetts att spara hälsotillståndsreferenserna. Använd inte samma konto för publiceringskontot för hälsotillståndsreferens. Detta kräver fler privilegier.

System_CAPS_security Säkerhet Information

Bevilja inte kontot behörighet för interaktiv inloggning.

Konto för hanteringsplatsanslutning

Kontot för hanteringsplatsanslutning används för att ansluta hanteringsplatsen till Configuration Manager-platsdatabasen så att den kan skicka och hämta information för klienterna. Som standard används hanteringsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto när hanteringsplatsen finns i en domän från platsservern som inte är betrodd.

Skapa kontot som ett lokalt konto med begränsade rättigheter på den dator som kör Microsoft SQL Server.

System_CAPS_security Säkerhet Information

Bevilja inte kontot behörighet för interaktiv inloggning.

MEBx-konto

MEBx-kontot är kontot som finns i Management Engine BIOS-tillägget (MEBx) på Intel AMT-baserade datorer och det används för inledande autentiserad åtkomst till den inbyggda AMT-programvaran på AMT-baserade datorer.

MEBx-kontot har namnet admin och som standard är lösenordet admin. Tillverkaren kan tillhandahålla ett anpassat lösenord, eller också kan du ha angett ett lösenord som du väljer själv i AMT. Om MEBx-lösenordet är inställt på ett värde som inte är admin måste du konfigurera ett AMT-konto för etablering och identifiering. Mer information finns i Steg 5: Konfigurera Out-of-Band-hantering komponent i ämnet Etablera och konfigurera AMT-baserade datorer i Configuration Manager.

Kontot sparas i hanteringsmotorns Engine BIOS-tillägg till den AMT-baserade datorn. Detta konto motsvarar inget annat konto i Windows.

Om MEBx-standardlösenordet inte har ändrats innan Configuration Manager etablerar datorn för AMT, ställer Configuration Manager in det lösenord som du konfigurerar under AMT-etableringsprocessen.

Multicast-anslutningskonto

Multicast-anslutningskontot används av distributionsplatser som är konfigurerade för multicast för att läsa information från platsdatabasen. Som standard används distributionsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste alltid ange ett användarkonto när platsdatabasen finns i en skog som inte är betrodd. Om ditt datacenter exempelvis har ett perimeternätverk i en annan skog än platsservern och platsdatabasen kan du använda det här kontot för att läsa multicast-informationen från platsdatabasen.

Om du skapar detta konto bör du skapa det som ett lokalt konto med begränsade rättigheter på den dator där Microsoft SQL Server körs.

System_CAPS_security Säkerhet Information

Bevilja inte kontot behörighet för interaktiv inloggning.

Konto för nätverksåtkomst

Kontot för nätverksåtkomst används av klientdatorer när de inte kan använda sitt lokala datorkonto för att komma åt innehåll på distributionsplatser. Detta gäller exempelvis för arbetsgruppsklienter och datorer från domäner som inte är betrodda. Det här kontot kan också användas vid operativsystemsdistribution när den dator som installerar operativsystemet inte har ett datorkonto i domänen.

System_CAPS_noteInformation

Kontot för nätverksåtkomst används aldrig som säkerhetskontext för att köra program, installera programuppdateringar eller köra aktivitetssekvenser, utan enbart för att få åtkomst till resurser i nätverket.

Bevilja detta konto de lägsta lämpliga behörigheter för innehållet som klienten behöver för att få åtkomst till programvaran. Kontot måste ha rättigheten Åtkomst till den här datorn från nätverket på distributionsplatsen eller på en annan server där paketinnehållet finns. Före System Center 2012 R2 Configuration Manager kunde man bara skapa ett konto för nätverksåtkomst per plats och det här kontot måste fungera för alla paket och aktivitetssekvenser som det krävs för. Från och med System Center 2012 R2 Configuration Manager går det att konfigurera flera konton för nätverksåtkomst per plats.

System_CAPS_warningVarning

När Configuration Manager försöker använda datornamnets konto för att ladda ned innehållet och misslyckas, försöker den automatiskt med nätverksåtkomstkontot igen, även om den tidigare har försökt och misslyckats.

Skapa kontot i valfri domän som erbjuder den åtkomst till de resurser som krävs. Nätverksåtkomstkontot måste alltid inkludera domännamnet. Direktsäkerhet stöds inte för det här kontot. Skapa kontot i en betrodd domän om du har distributionsplatser i flera domäner.

System_CAPS_tipTips

Ändra inte lösenordet till ett befintligt nätverksåtkomstkonto för att undvika kontolåsningar. Skapa i stället ett nytt konto och konfigurera det nya kontot i Configuration Manager. När tillräckligt med tid har förflutit för att alla klienter ska ha tagit emot de nya kontodetaljerna tar du bort det gamla kontot från de delade nätverksmapparna och tar bort kontot.

System_CAPS_security Säkerhet Information

Bevilja inte detta konto interaktiva inloggningsrättigheter

Tilldela inte det här kontot behörighet att ansluta datorer till domänen. Om du måste ansluta datorer till domänen under en aktivitetssekvens använder du domänanslutningskontot för aktivitetssekvensredigerare.

För System Center 2012 R2 Configuration Manager och senare: Du kan nu ange flera nätverksåtkomstkonton för en plats. När klienter försöker komma åt innehåll och inte kan använda sitt lokala datorkonto kommer de först att använda det senaste kontot för nätverksåtkomst som har anslutits.Configuration Manager stöder tillägg av upp till tio nätverksåtkomstkonton.

Paketåtkomstkonto

Paketåtkomstkontot gör det möjligt för dig att ställa in NTFS-behörigheter för att ange de användare och användargrupper som kan komma åt en paketmapp på distributionsplatserna. Som standard beviljar Configuration Manager endast åtkomst till de allmänna åtkomstkontona Användare och Administratörer, men du kan kontrollera åtkomsten för endast klientdatorer genom att lägga till ytterligare Windows-konton eller grupper. Mobila enheter laddar alltid ned paketinnehåll anonymt, så paketåtkomstkontona används inte av mobila enheter.

När Configuration Manager skapar paketresursen på en distributionsplats beviljar den som standard Läs-åtkomst till den lokala gruppen Användare och Fullständig behörighet till den lokala gruppen Administratörer. Vilka faktiska behörigheter som krävs beror på paketet. Om du har klienter i arbetsgrupper eller i ej betrodda skogar använder dessa klienter nätverksåtkomstkontot för att komma åt paketinnehållet. Kontrollera att nätverksåtkomstkontot har behörighet till paketet genom att använda de definierade paketåkomstkontona.

Använd konton i en domän som kan komma åt distributionsplatserna. Om du skapar eller ändrar kontot efter att paketet har skapats måste du distribuera om paketet. Att uppdatera paketet ändrar inte paketets NTFS-behörigheter.

Du behöver inte lägga till nätverksåtkomstkontot som ett paketåtkomstkonto, eftersom medlemskapet i användargruppen lägger till det automatiskt. Om du begränsar paketåtkomstkontot till endast nätverksåtkomstkontot förhindras inte klienter från att komma åt paketet.

Konto för Reporting Services-plats

Kontot för Reporting Services-platsen används av SQL Server Reporting-tjänsterna för att hämta data för Configuration Manager-rapporter från platsdatabasen. Det Windows-användarkonto och -lösenord som du anger krypteras och sparas i SQL Server Reporting Services-databasen.

Konton för tillåtna visningsprogram för fjärrverktyg

De konton som du anger som Betrodda visningsprogram för fjärrkontroll är en lista över användare som har tillåtelse att använda fjärrverktygsfunktionerna på klienter.

Konto för platssysteminstallation

Kontot för installation av platssystem används av platsservern för att installera, installera om, avinstallera samt konfigurera platssystemen. Om du konfigurerar platssystemet så att det begär att platsservern ska initiera anslutningarna till det här platssystemet använder Configuration Manager även det här kontot för att hämta data från platssystemets dator när platssystemet och eventuella platssystemroller har installerats. Varje platssystem kan ha olika konton för installation av platssystem, men du kan enbart konfigurera ett konto för installation av platssystem för att hantera alla platssystemroller i det platssystemet.

Detta konto kräver lokal administrativ behörighet för de platssystem som ska installeras och konfigureras. Dessutom måste detta konto ha rättigheten Åtkomst till den här datorn från nätverket i säkerhetsprincipen på de platssystem som ska installeras och konfigureras.

System_CAPS_tipTips

Om du har många domänkontrollanter och dessa konton kommer att användas i flera domäner, kontrollerar du att kontona har replikerats innan du konfigurerar platssystemet.

Om du anger ett lokalt konto i varje platssystem som ska hanteras är denna konfiguration säkrare än att använda domänkonton, eftersom det begränsar den skada som angripare kan ställa till med om kontot blir komprometterat. Domänkonton är dock enklare att hantera, så fundera över om det är säkerhetsaspekten eller en effektiv administration som är viktigast.

SMTP-serveranslutningskonto

För System Center 2012 Configuration Manager SP1 och senare: SMTP-serveranslutningskontot används av platsservern för att skicka e-postaviseringar när SMTP-servern kräver autentiserad åtkomst.

System_CAPS_security Säkerhet Information

Ange ett konto som har lägsta möjliga behörighet för att skicka e-post.

Anslutningskonto för programuppdateringsplats

Anslutningskontot för programuppdateringsplats används av platsservern för följande två programuppdateringstjänster:

  • WSUS Configuration Manager, som konfigurerar inställningar som produktdefinitioner, klassificeringar och överordnade inställningar.

  • WSUS Synchronization Manager, som begär synkronisering till en överordnad WSUS-server eller Microsoft Update.

Kontot för installation av platssystem kan installera komponenter för programuppdateringar, men kan inte utföra funktioner som är specifika för programuppdateringar på programuppdateringsplatsen. Om du inte kan använda platsserverns datorkonto för den här funktionen eftersom programuppdateringsplatsen finns i en skog som inte är betrodd måste du ange det här kontot förutom kontot för installation av platssystem.

Detta konto måste vara ett lokalt administratörskonto på den dator där WSUS finns installerat, och ingå i den lokala WSUS-administratörsgruppen.

Proxyserverkonto för programuppdateringsplats

Proxyserverkontot för programuppdateringsplats används av programuppdateringsplatsen för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.

System_CAPS_security Säkerhet Information

Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen.

Källplatskonto

Källplatskontot används vid migreringsprocessen för att komma åt källplatsens SMS-leverantör. Detta konto kräver Läs-behörighet till platsobjekt på källplatsen för att samla in data för migreringsjobb.

Om du uppgraderar Configuration Manager 2007-distributionsplatser eller sekundära platser som har samordnade distributionsplatser på System Center 2012 Configuration Manager-distributionsplatser måste det här kontot även ha behörigheten Ta bort för klassen Plats för att distributionsplatsen ska kunna tas bort från Configuration Manager 2007-platsen vid uppgraderingen.

System_CAPS_noteInformation

Både källplatskontot och källplatsdatabaskontot identifieras som Migreringshanteraren i noden Konton i arbetsytan Administration i Configuration Manager-konsolen.

Konto för källplatsdatabas

Källplatsdatabaskontot används av migreringsprocessen för att få åtkomst till SQL Server-databasen för källplatsen. För att kunna hämta data från SQL Server-databasen för källplatsen måste källplatsdatabaskontot ha behörigheterna Läs och Kör för källplatsens SQL Server-databas.

System_CAPS_noteInformation

Om du använder System Center 2012 Configuration Manager-datorkontot kontrollerar du att följande stämmer för kontot:

  • Det är medlem i säkerhetsgruppen DCOM-användare i domänen där Configuration Manager 2007-platsen finns.

  • Det är medlem i säkerhetsgruppen SMS-administratörer.

  • Det har behörigheten Läs för alla Configuration Manager 2007-objekt.

System_CAPS_noteInformation

Både källplatskontot och källplatsdatabaskontot identifieras som Migreringshanteraren i noden Konton i arbetsytan Administration i Configuration Manager-konsolen.

Domänanslutningskonto för aktivitetssekvensredigerare

Domänanslutningskontot för aktivitetssekvensredigeraren används i en aktivitetssekvens till att ansluta en nyavbildad dator till en domän. Det här kontot krävs om du lägger till steget Anslut till domän eller arbetsgrupp till en aktivitetssekvens och sedan väljer Anslut till en domän. Det här kontot kan även konfigureras om du lägger till steget Använd nätverksinställningar i en aktivitetssekvens, men det är inte obligatoriskt.

Det här kontot kräver behörigheten Domänanslutning i domänen som datorn ansluter till.

System_CAPS_tipTips

Om du behöver det här kontot för dina aktivitetssekvenser kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till de nödvändiga nätverksresurserna och använder det för alla aktivitetssekvenskonton.

System_CAPS_security Säkerhet Information

Tilldela inte kontot behörighet för interaktiv inloggning.

Använd inte kontot för nätverksåtkomst för det här kontot.

Anslutningskonto för nätverksmapp för aktivitetssekvensredigerare

Anslutningskontot för nätverksmapp för aktivitetssekvensredigeraren används av en aktivitetssekvens för att ansluta till en delad mapp på nätverket. Det här kontot krävs om du lägger till steget Anslut till nätverksmapp i en aktivitetssekvens.

Det här kontot kräver behörighet att få åtkomst till den angivna delade mappen och måste vara ett användardomänkonto.

System_CAPS_tipTips

Om du behöver det här kontot för dina aktivitetssekvenser kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till de nödvändiga nätverksresurserna och använder det för alla aktivitetssekvenskonton.

System_CAPS_security Säkerhet Information

Tilldela inte kontot behörighet för interaktiv inloggning.

Använd inte kontot för nätverksåtkomst för det här kontot.

Kör som-konto för aktivitetssekvens

Kör som-kontot för aktivitetssekvens används till att köra kommandorader i aktivitetssekvenser och har andra autentiseringsuppgifter än det lokala systemkontot. Det här kontot krävs om du lägger till steget Kör kommandorad i en aktivitetssekvens men inte vill att aktivitetssekvensen ska köras med behörighet för lokalt systemkonto på den hanterade datorn.

Konfigurera kontot så att det har den lägsta behörigheten som krävs för att köra kommandoraden som anges i aktivitetssekvensen. Kontot kräver interaktiv inloggningsbehörighet och det kräver normalt möjligheten att installera programvara och få åtkomst till nätverksresurser.

System_CAPS_security Säkerhet Information

Använd inte kontot för nätverksåtkomst för det här kontot.

Gör aldrig kontot till domänadministratör.

Konfigurera aldrig centrala profiler för detta konto. När aktivitetssekvensen körs, hämtar den kontots centrala profil, vilket innebär att profilen går att komma åt och är sårbar på den lokala datorn.

Begränsa kontots omfattning. Skapa exempelvis andra Kör som-konton för aktivitetssekvens för varje aktivitetssekvens, så att om ett konto komprometteras så utsätts bara klientdatorerna som det kontot har åtkomst till.

Om kommandoraden kräver administrativ åtkomst på datorn kan du skapa ett lokalt administratörskonto enbart för Kör som-kontot för aktivitetssekvens på alla datorer som ska köra aktivitetssekvensen, och ta bort kontot så snart det inte längre behövs.