Teknisk referens för konton som används i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
I informationen nedan beskrivs hur du identifierar Windows-grupper och konton som används i System Center 2012 Configuration Manager, hur de används och eventuella krav.
Windows-grupper som skapas och används i Configuration Manager
Följande Windows-grupper skapas automatiskt och underhålls i många fall automatiskt av Configuration Manager:
.jpeg "System_CAPS_note"){kind=icon} Information |
|---|
En grupp som skapas i Configuration Manager på en dator som är domänmedlem, är en lokal säkerhetsgrupp. Om datorn är en domänkontrollant är gruppen en lokal domängrupp som delas med alla domänkontrollanter i domänen. |
ConfigMgr_CollectedFilesAccess
Gruppen används av Configuration Manager för att bevilja åtkomst till att visa filer som samlats in under programvaruinventering.
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Den här gruppen är en lokal säkerhetsgrupp som skapas på den primära platsservern.
|
||
Medlemskap |
Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är administrativa användare som fått behörighet att Visa insamlade filer för det skyddbara objektet Samling genom en tilldelad säkerhetsroll. |
||
Behörigheter |
Gruppen har som standard Read-behörighet för följande mapp på platsservern: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Den här gruppen är en lokal säkerhetsgrupp som skapas på platsdatabasservern eller databasreplikservern av System Center 2012 Configuration Manager och som inte används för tillfället. Gruppen sparas för framtida användning av Configuration Manager.
Användare av ConfigMgr-fjärrstyrning
Den här gruppen används av Configuration Manager-fjärrverktyg för att lagra de konton och grupper som du konfigurerar i listan över behöriga användare som har tilldelats varje klient.
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Gruppen är en lokal säkerhetsgrupp som skapas på Configuration Manager-klienten när klienten får principer som aktiverar fjärrverktyg.
|
||
Medlemskap |
Det finns som standard inga medlemmar i den här gruppen. När du lägger till användare i listan över behöriga användare, läggs de automatiskt till i den här gruppen.
En administrativ användare måste inte bara vara behörig användare utan måste också ha behörigheten Fjärrverktyg för objektet Samling. Du kan tilldela behörigheten genom att använda säkerhetsrollen Ansvarig för fjärrverktyg. |
||
Behörigheter |
Den här gruppen har som standard inte behörighet för några platser på datorn och används bara som förvaring för listan över behöriga. |
.jpeg "System_CAPS_important"){kind=icon}
ViktigtSMS-administratörer
Gruppen används i Configuration Manager för att ge åtkomst till SMS-providern via WMI. Åtkomst till SMS-providern krävs för att visa och ändra objekt i Configuration Manager-konsolen.
| Information |
|---|
Konfigurationen av rollbaserad administration för en administrativ användare fastställer vilka objekt användaren kan visa och hantera när Configuration Manager-konsolen används. |
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Den här gruppen är en lokal säkerhetsgrupp som skapas på alla datorer som har en SMS-provider.
|
||
Medlemskap |
Gruppmedlemskap hanteras automatiskt i Configuration Manager. Som standard är alla administrativa användare i en hierarki och platsserverdatorkontot medlemmar i gruppen SMS-administratörer på alla SMS-providerdatorer på en plats. |
||
Behörigheter |
SMS-administratörers behörigheter och rättigheter anges med MMC-snapin-modulen WMI-kontroll. Gruppen SMS-administratörer får som standard behörigheten Enable Account och Remote Enable för namnområdet Root\SMS. Autentiserade användare har Execute Methods, Provider Write och Enable Account
|
SMS_SiteSystemToSiteServerConnection_MP_<platskod>
Den här gruppen används av Configuration Manager-hanteringsplatser som är skilda från platsservern och som ansluts till platsdatabasen. Gruppen ger hanteringsplatsåtkomst till inkorgsmapparna på platsservern och platsdatabasen.
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Den här gruppen är en lokal säkerhetsgrupp som skapas på alla datorer som har en SMS-provider.
|
||
Medlemskap |
Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard datorkonton för fjärrdatorer som har en hanteringsplats för platsen. |
||
Behörigheter |
Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen på platsservern. Dessutom har gruppen Write-behörighet för olika undermappar under inboxes till vilka hanteringsplatsen skriver klientdata. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<platskod>
Den här gruppen används av SMS-providerdatorer i Configuration Manager som är skilda från platsservern och som ansluts till platsservern.
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.
|
||
Medlemskap |
Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard det datorkonto eller domänanvändarkonto som används för att ansluta till platsservern från varje fjärrdator som har en installerad SMS-provider för platsen. |
||
Behörigheter |
Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen på platsservern. Dessutom har gruppen Write-behörighet eller skriv- och ändra-behörighet för olika undermappar under inboxes som SMS-providern begär åtkomst till. Gruppen har också Read-, Read & execute-, List folder contents-, skriv- och ändra-behörigheter för mapparna under %path%\Microsoft Configuration Manager\OSD\boot och läs-behörighet för mapparna under %path%\Microsoft Configuration Manager\OSD\Bin på platsservern. |
SMS_SiteSystemToSiteServerConnection_Stat_<platskod>
Gruppen används av filutskickshanteraren på Configuration Manager-fjärrplatssystemdatorer för att ansluta till platsservern.
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.
|
||
Medlemskap |
Gruppmedlemskap hanteras automatiskt i Configuration Manager. Medlemmar är som standard det datorkonto eller domänanvändarkonto som används för att ansluta till platsservern från varje fjärrplatssystemdator som kör filutskickshanteraren. |
||
Behörigheter |
Gruppen har som standard Read-, Read & execute- och List folder contents-behörighet för %path%\Microsoft Configuration Manager\inboxes-mappen och olika undermappar under den platsen på platsservern. Dessutom har gruppen skriv- och ändra-behörigheter för %path%\Microsoft Configuration Manager\inboxes\statmgr.box-mappen på platsservern. |
SMS_SiteToSiteConnection_<platskod>
Gruppen används av Configuration Manager för att aktivera filbaserad replikering mellan platser i en hierarki. Gruppen innehåller följande konton för varje fjärrplats som överför filer direkt till den här platsen:
Konton som konfigurerats som platsadresskonton från Configuration Manager-platser utan service pack
Konton som konfigurerats som filreplikeringskonton från platser med Configuration Manager SP1 och senare
| Information |
|---|
Från och med Configuration Manager SP1 ersätts platsadresskontot av filreplikeringskontot. |
I följande tabell visas mer information om gruppen:
Information |
Mer information |
||
|---|---|---|---|
Typ och plats |
Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern. |
||
Medlemskap |
När du installerar en ny plats som är underordnad en annan plats, lägger Configuration Manager automatiskt till den nya platsens datorkonto i gruppen på den överordnade platssservern och den överordnade platsens datorkonto i gruppen på den nya platsservern. Om du anger ett annat konto för filbaserade överföringar lägger du till det kontot i gruppen på målplatsservern.
|
||
Behörigheter |
Den här gruppen har som standard fullständig behörighet för %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive-mappen. |
Konton som används i Configuration Manager
Du kan konfigurera följande konton för Configuration Manager:
Konto för identifiering av Active Directory-grupper
Kontot för identifiering av Active Directory-grupper används för att identifiera lokala, globala och universella säkerhetsgrupper, medlemskapet i grupperna och medlemskapet i distributionsgrupper från angivna platser i Active Directory Domain Services. Distributionsgrupper identifieras inte som gruppresurser.
Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.
Konto för identifiering av Active Directory-system
Kontot för identifiering av Active Directory-system används för att identifiera datorer från angivna platser i Active Directory Domain Services.
Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.
Konto för identifiering av Active Directory-användare
Kontot för identifiering av Active Directory-användare används för att identifiera användarkonton från angivna platser i Active Directory Domain Services.
Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto. Det måste ha läs-behörighet för de Active Directory-platser som angetts för identifiering.
Konto för identifiering av Active Directory-skog
Konto för identifiering av Active Directory-skog används för att identifiera nätverksinfrastruktur i Active Directory-skogar och används också av centrala administrationswebbplatser och primära platser för att publicera platsdata på en skogs Active Directory Domain Services.
| Information |
|---|
Sekundära platser använder alltid den sekundära serverns datorkonto för att publicera till Active Directory. |
| Information |
|---|
Kontot för Active Directory-skog måste vara ett globalt konto för att kunna identifiera och publicera på skogar som inte är betrodda. Om du inte använder platsserverns datorkonto kan du välja ett globalt konto. |
Kontot måste ha läs-behörighet för varje Active Directory-skog vars nätverksinfrastruktur du vill identifiera.
Kontot måste ha Fullständig behörighet för System Management-behållaren och dess underordnade objekt i varje Active Directory-skog där du vill publicera platsdata.
AMT-etablering och identifieringskonto
Kontot för AMT-etablering och identifiering har samma funktioner som AMT-fjärradminkontot och finns i hanteringsmotorns BIOS-tillägg på Intel AMT-baserade datorer. Kontot används av den server som kör platsrollen out-of-band-tjänst för att hantera vissa funktioner för nätverksgränssnittet i AMT genom att använda out-of-band-hanteringsfunktionen.
Om du anger ett konto för AMT-etablering och identifiering i Configuration Manager måste det matcha kontonamnet och lösenordet för AMT-fjärradmin som är angivet i BIOS-tilläggen på de AMT-baserade datorerna.
| Information |
|---|
Mer information om att ange en AMT-etablering och identifiering av kontot finns Steg 5: Konfigurera Out-of-Band-hantering komponent i ämnet Etablera och konfigurera AMT-baserade datorer i Configuration Manager i handboken Tillgångar och efterlevnad i System Center 2012 Configuration Manager. |
Kontot lagras i hanteringsmotorns BIOS-tillägg på den AMT-baserade datorn och har ingen motsvarighet till något konto i Windows.
Borttagningskonto för AMT-etablering
Med kontot för borttagning av AMT-etablering kan du ta bort AMT-etableringsinformation om du måste återställa platsen. Det kan också användas om en Configuration Manager-klient har omtilldelats och AMT-etableringsinformationen inte har tagits bort från datorn på den gamla platsen.
Följande villkor måste vara uppfyllda för att du ska kunna ta bort AMT-etableringsinformationen med kontot för borttagning av AMT-etablering:
Kontot för borttagning av AMT-etablering har konfigurerats i komponentegenskaperna för out-of-band-hantering.
Kontot som har konfigurerats för borttagningskontot för AMT-etablering konfigurerades som ett AMT-användarkonto i komponentegenskaperna för out-of-band-hantering när den AMT-baserade datorn etablerades eller uppdaterades.
Kontot som har konfigurerats för borttagningskontot för AMT-etablering måste vara medlem i den lokala administratörsgruppen på out-of-band-tjänstdatorn.
AMT-granskningsloggen är inte aktiverad.
Eftersom det här är ett Windows-konto bör du ange ett konto med ett starkt lösenord utan giltighetsgräns.
Konto för AMT-fjärradmin
Kontot för AMT-fjärradmin är ett konto i hanteringsmotorns BIOS-tillägg (MEBx) på Intel AMT-baserade datorer som används av den server som kör platsrollen out-of-band-tjänst för att hantera vissa funktioner för nätverksgränssnittet i AMT i Configuration Manager genom att använda out-of-band-hanteringsfunktionen.
Configuration Manager ställer automatiskt in lösenordet för fjärradminkontot för datorer som etableras för AMT, och detta lösenord används sedan för efterföljande autentiserad åtkomst till den inbyggda AMT-programvaran. Det här kontot har samma funktioner som Configuration Manager-kontot för AMT-etablering och identifiering.
Kontot lagras i hanteringsmotorns BIOS-tillägg på den AMT-baserade datorn och har ingen motsvarighet till något konto i Windows.
AMT-användarkonton
AMT-användarkonton styr vilka Windows-användare eller grupper som kan köra hanteringsfunktioner i out-of-band-hanteringskonsolen.
Konfigurationen av AMT-användarkonton skapar motsvarigheten till en åtkomstkontrollista i den inbyggda AMT-programvaran. När den inloggade användaren försöker köra out-of-band-hanteringskonsolen använder AMT Kerberos för att autentisera kontot och godkänner eller nekar därefter åtkomst till AMT-hanteringsfunktionerna.
Konfigurera AMT-användarkonton innan du etablerar AMT-baserade datorer. Om du konfigurerar AMT-användarkonton när du redan har etablerat datorer för AMT måste du uppdatera AMT-minnet manuellt för datorerna så att de konfigureras om med de nya inställningarna.
Eftersom AMT-användarkonton använder Kerberos-autentisering måste användarkonton och säkerhetsgrupper finnas i en Active Directory-domän.
Proxyserverkonto för plats för synkronisering av tillgångsinformation
Proxyserverkontot för plats för synkronisering av tillgångsinformation används av synkroniseringsplatsen för tillgångsinformation för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.
.jpeg "System_CAPS_security") Säkerhet Information |
|---|
Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen. |
Konto för certifikatregistreringsplats
Kontot för certifikatregistreringsplats ansluter certifikatregistreringsplatsen till Configuration Manager-databasen. Datorkontot för certifikatregistreringsplatsens server används som standard men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto varje gång certifikatregistreringsplatsen finns på en ej betrodd domän från platsservern. Det här kontot behöver bara läsbehörighet till platsdatabasen eftersom skrivåtgärder hanteras av tillståndsmeddelandesystemet.
Konto för avbildning av operativsystem
Kontot för avbildning av operativsystem används av Configuration Manager för att få åtkomst till mappen där avbildningar lagras när du distribuerar operativsystem. Det här kontot krävs om du lägger till steget Avbilda operativsystemsavbildning i en aktivitetssekvens.
Kontot måste ha läs- och skriv-behörighet för den nätverksresurs där avbildningen är sparad.
Om lösenordet för kontot ändras i Windows måste du uppdatera aktivitetssekvensen med det nya lösenordet.Configuration Manager-klienten får det nya lösenordet nästa gång en klientprincip laddas ned.
Om du använder det här kontot kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till nödvändiga nätverksresurser och använda det för alla aktivitetssekvenskonton.
| Säkerhet Information |
|---|
Tilldela inte kontot behörighet för interaktiv inloggning. Använd inte kontot för nätverksåtkomst för det här kontot. |
Konto för push-installation av klient
Kontot för push-installation av klient används för att ansluta till datorer och installera Configuration Manager-klientprogramvaran om du distribuerar klienter med hjälp av push-installation av klient. Om detta konto inte anges används platsserverkontot för att försöka installera klientprogramvaran.
Det här kontot måste ingå i den lokala gruppen med Administratörer på de datorer där Configuration Manager-klientprogramvaran ska installeras. Det krävs inga domänadministratörsrättigheter för detta konto.
Du kan ange ett eller flera konton för push-installation av klient som Configuration Manager provar i tur och ordning tills ett av dem lyckas.
.jpeg "System_CAPS_tip") Tips |
|---|
Om du vill samordna kontouppdateringarna på ett mer effektivt sätt i stora Active Directory-distributioner skapar du ett nytt konto med ett annat namn och lägger sedan till det nya kontot i listan över konton för push-installation av klienter i Configuration Manager. Låt det gå tillräckligt med tid för att Active Directory-domäntjänsterna ska kunna replikera det nya kontot, och ta sedan bort det gamla kontot från Configuration Manager och Active Directory-domäntjänsterna. |
| Säkerhet Information |
|---|
Bevilja inte rätten till lokal inloggning för det här kontot. |
Konto för registreringsplatsanslutning
Kontot för registreringsplatsanslutning ansluter registreringsplatsen till Configuration Manager-platsens databas. Som standard används registreringsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto när registreringsplatsen finns i en domän från platsservern som inte är betrodd. Detta konto kräver läs- och skrivåtkomst till platsdatabasen.
Exchange Server-anslutningskonto
Exchange Server-anslutningskontot ansluter platsservern till den angivna Exchange Server-datorn för att söka upp och hantera mobila enheter som ansluts till Exchange Server. Detta konto kräver Exchange PowerShell cmdlets som förser Exchange Server-datorn med de behörigheter som krävs. Mer information om cmdlets finns i Hantera mobila enheter med Configuration Manager och Exchange.
Proxyserverkonto för Exchange Server-anslutning
Proxyserverkontot för Exchange Server-anslutning används av Exchange Server-anslutningen för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.
| Säkerhet Information |
|---|
Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen. |
Endpoint Protection SMTP-serveranslutningskonto
För Configuration Manager utan service pack: Endpoint Protection SMTP-serveranslutningskontot används av platsservern för att skicka e-postaviseringar för Endpoint Protection när SMTP-servern kräver autentiserad åtkomst.
| Säkerhet Information |
|---|
Ange ett konto som har lägsta möjliga behörighet för att skicka e-post. |
Publiceringskonto för hälsotillståndsreferens
Publiceringskontot för hälsotillståndsreferens används för att publicera hälsotillståndsreferensen för nätverksåtkomstskydd för Configuration Manager till Active Directory Domain Services.
Om du inte konfigurerar något konto försöker Configuration Manager använda platsserverns datorkonto för att publicera hälsotillståndsreferenser.
Detta konto kräver behörigheterna Läs, Skriv och Skapa till den Active Directory-skog som sparar hälsotillståndsreferensen.
Skapa kontot i den skog som har utsetts att spara hälsotillståndsreferenserna. Tilldela det här kontot lägsta möjliga behörigheter och använd inte samma konto som har angetts för frågekontot för hälsotillståndsreferens, som enbart kräver Läs-behörighet.
Frågekonto för hälsotillståndsreferens
Frågekontot för hälsotillståndsreferens används för att hämta hälsotillståndsreferensen för nätverksåtkomstskydd för Configuration Manager från Active Directory Domain Services.
Om du inte konfigurerar något konto försöker Configuration Manager använda platsserverns datorkonto för att hämta hälsotillståndsreferenserna.
Detta konto kräver Läs-behörigheter till Configuration ManagerSystems Management-behållaren i den globala katalogen.
Skapa kontot i den skog som har utsetts att spara hälsotillståndsreferenserna. Använd inte samma konto för publiceringskontot för hälsotillståndsreferens. Detta kräver fler privilegier.
| Säkerhet Information |
|---|
Bevilja inte kontot behörighet för interaktiv inloggning. |
Konto för hanteringsplatsanslutning
Kontot för hanteringsplatsanslutning används för att ansluta hanteringsplatsen till Configuration Manager-platsdatabasen så att den kan skicka och hämta information för klienterna. Som standard används hanteringsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste ange ett användarkonto när hanteringsplatsen finns i en domän från platsservern som inte är betrodd.
Skapa kontot som ett lokalt konto med begränsade rättigheter på den dator som kör Microsoft SQL Server.
| Säkerhet Information |
|---|
Bevilja inte kontot behörighet för interaktiv inloggning. |
MEBx-konto
MEBx-kontot är kontot som finns i Management Engine BIOS-tillägget (MEBx) på Intel AMT-baserade datorer och det används för inledande autentiserad åtkomst till den inbyggda AMT-programvaran på AMT-baserade datorer.
MEBx-kontot har namnet admin och som standard är lösenordet admin. Tillverkaren kan tillhandahålla ett anpassat lösenord, eller också kan du ha angett ett lösenord som du väljer själv i AMT. Om MEBx-lösenordet är inställt på ett värde som inte är admin måste du konfigurera ett AMT-konto för etablering och identifiering. Mer information finns i Steg 5: Konfigurera Out-of-Band-hantering komponent i ämnet Etablera och konfigurera AMT-baserade datorer i Configuration Manager.
Kontot sparas i hanteringsmotorns Engine BIOS-tillägg till den AMT-baserade datorn. Detta konto motsvarar inget annat konto i Windows.
Om MEBx-standardlösenordet inte har ändrats innan Configuration Manager etablerar datorn för AMT, ställer Configuration Manager in det lösenord som du konfigurerar under AMT-etableringsprocessen.
Multicast-anslutningskonto
Multicast-anslutningskontot används av distributionsplatser som är konfigurerade för multicast för att läsa information från platsdatabasen. Som standard används distributionsplatsens datorkonto, men du kan konfigurera ett användarkonto i stället. Du måste alltid ange ett användarkonto när platsdatabasen finns i en skog som inte är betrodd. Om ditt datacenter exempelvis har ett perimeternätverk i en annan skog än platsservern och platsdatabasen kan du använda det här kontot för att läsa multicast-informationen från platsdatabasen.
Om du skapar detta konto bör du skapa det som ett lokalt konto med begränsade rättigheter på den dator där Microsoft SQL Server körs.
| Säkerhet Information |
|---|
Bevilja inte kontot behörighet för interaktiv inloggning. |
Konto för nätverksåtkomst
Kontot för nätverksåtkomst används av klientdatorer när de inte kan använda sitt lokala datorkonto för att komma åt innehåll på distributionsplatser. Detta gäller exempelvis för arbetsgruppsklienter och datorer från domäner som inte är betrodda. Det här kontot kan också användas vid operativsystemsdistribution när den dator som installerar operativsystemet inte har ett datorkonto i domänen.
| Information |
|---|
Kontot för nätverksåtkomst används aldrig som säkerhetskontext för att köra program, installera programuppdateringar eller köra aktivitetssekvenser, utan enbart för att få åtkomst till resurser i nätverket. |
Bevilja detta konto de lägsta lämpliga behörigheter för innehållet som klienten behöver för att få åtkomst till programvaran. Kontot måste ha rättigheten Åtkomst till den här datorn från nätverket på distributionsplatsen eller på en annan server där paketinnehållet finns. Före System Center 2012 R2 Configuration Manager kunde man bara skapa ett konto för nätverksåtkomst per plats och det här kontot måste fungera för alla paket och aktivitetssekvenser som det krävs för. Från och med System Center 2012 R2 Configuration Manager går det att konfigurera flera konton för nätverksåtkomst per plats.
.jpeg "System_CAPS_warning") Varning |
|---|
När Configuration Manager försöker använda datornamnets konto för att ladda ned innehållet och misslyckas, försöker den automatiskt med nätverksåtkomstkontot igen, även om den tidigare har försökt och misslyckats. |
Skapa kontot i valfri domän som erbjuder den åtkomst till de resurser som krävs. Nätverksåtkomstkontot måste alltid inkludera domännamnet. Direktsäkerhet stöds inte för det här kontot. Skapa kontot i en betrodd domän om du har distributionsplatser i flera domäner.
| Tips |
|---|
Ändra inte lösenordet till ett befintligt nätverksåtkomstkonto för att undvika kontolåsningar. Skapa i stället ett nytt konto och konfigurera det nya kontot i Configuration Manager. När tillräckligt med tid har förflutit för att alla klienter ska ha tagit emot de nya kontodetaljerna tar du bort det gamla kontot från de delade nätverksmapparna och tar bort kontot. |
| Säkerhet Information |
|---|
Bevilja inte detta konto interaktiva inloggningsrättigheter Tilldela inte det här kontot behörighet att ansluta datorer till domänen. Om du måste ansluta datorer till domänen under en aktivitetssekvens använder du domänanslutningskontot för aktivitetssekvensredigerare. |
För System Center 2012 R2 Configuration Manager och senare: Du kan nu ange flera nätverksåtkomstkonton för en plats. När klienter försöker komma åt innehåll och inte kan använda sitt lokala datorkonto kommer de först att använda det senaste kontot för nätverksåtkomst som har anslutits.Configuration Manager stöder tillägg av upp till tio nätverksåtkomstkonton.
Paketåtkomstkonto
Paketåtkomstkontot gör det möjligt för dig att ställa in NTFS-behörigheter för att ange de användare och användargrupper som kan komma åt en paketmapp på distributionsplatserna. Som standard beviljar Configuration Manager endast åtkomst till de allmänna åtkomstkontona Användare och Administratörer, men du kan kontrollera åtkomsten för endast klientdatorer genom att lägga till ytterligare Windows-konton eller grupper. Mobila enheter laddar alltid ned paketinnehåll anonymt, så paketåtkomstkontona används inte av mobila enheter.
När Configuration Manager skapar paketresursen på en distributionsplats beviljar den som standard Läs-åtkomst till den lokala gruppen Användare och Fullständig behörighet till den lokala gruppen Administratörer. Vilka faktiska behörigheter som krävs beror på paketet. Om du har klienter i arbetsgrupper eller i ej betrodda skogar använder dessa klienter nätverksåtkomstkontot för att komma åt paketinnehållet. Kontrollera att nätverksåtkomstkontot har behörighet till paketet genom att använda de definierade paketåkomstkontona.
Använd konton i en domän som kan komma åt distributionsplatserna. Om du skapar eller ändrar kontot efter att paketet har skapats måste du distribuera om paketet. Att uppdatera paketet ändrar inte paketets NTFS-behörigheter.
Du behöver inte lägga till nätverksåtkomstkontot som ett paketåtkomstkonto, eftersom medlemskapet i användargruppen lägger till det automatiskt. Om du begränsar paketåtkomstkontot till endast nätverksåtkomstkontot förhindras inte klienter från att komma åt paketet.
Konto för Reporting Services-plats
Kontot för Reporting Services-platsen används av SQL Server Reporting-tjänsterna för att hämta data för Configuration Manager-rapporter från platsdatabasen. Det Windows-användarkonto och -lösenord som du anger krypteras och sparas i SQL Server Reporting Services-databasen.
Konton för tillåtna visningsprogram för fjärrverktyg
De konton som du anger som Betrodda visningsprogram för fjärrkontroll är en lista över användare som har tillåtelse att använda fjärrverktygsfunktionerna på klienter.
Konto för platssysteminstallation
Kontot för installation av platssystem används av platsservern för att installera, installera om, avinstallera samt konfigurera platssystemen. Om du konfigurerar platssystemet så att det begär att platsservern ska initiera anslutningarna till det här platssystemet använder Configuration Manager även det här kontot för att hämta data från platssystemets dator när platssystemet och eventuella platssystemroller har installerats. Varje platssystem kan ha olika konton för installation av platssystem, men du kan enbart konfigurera ett konto för installation av platssystem för att hantera alla platssystemroller i det platssystemet.
Detta konto kräver lokal administrativ behörighet för de platssystem som ska installeras och konfigureras. Dessutom måste detta konto ha rättigheten Åtkomst till den här datorn från nätverket i säkerhetsprincipen på de platssystem som ska installeras och konfigureras.
| Tips |
|---|
Om du har många domänkontrollanter och dessa konton kommer att användas i flera domäner, kontrollerar du att kontona har replikerats innan du konfigurerar platssystemet. Om du anger ett lokalt konto i varje platssystem som ska hanteras är denna konfiguration säkrare än att använda domänkonton, eftersom det begränsar den skada som angripare kan ställa till med om kontot blir komprometterat. Domänkonton är dock enklare att hantera, så fundera över om det är säkerhetsaspekten eller en effektiv administration som är viktigast. |
SMTP-serveranslutningskonto
För System Center 2012 Configuration Manager SP1 och senare: SMTP-serveranslutningskontot används av platsservern för att skicka e-postaviseringar när SMTP-servern kräver autentiserad åtkomst.
| Säkerhet Information |
|---|
Ange ett konto som har lägsta möjliga behörighet för att skicka e-post. |
Anslutningskonto för programuppdateringsplats
Anslutningskontot för programuppdateringsplats används av platsservern för följande två programuppdateringstjänster:
WSUS Configuration Manager, som konfigurerar inställningar som produktdefinitioner, klassificeringar och överordnade inställningar.
WSUS Synchronization Manager, som begär synkronisering till en överordnad WSUS-server eller Microsoft Update.
Kontot för installation av platssystem kan installera komponenter för programuppdateringar, men kan inte utföra funktioner som är specifika för programuppdateringar på programuppdateringsplatsen. Om du inte kan använda platsserverns datorkonto för den här funktionen eftersom programuppdateringsplatsen finns i en skog som inte är betrodd måste du ange det här kontot förutom kontot för installation av platssystem.
Detta konto måste vara ett lokalt administratörskonto på den dator där WSUS finns installerat, och ingå i den lokala WSUS-administratörsgruppen.
Proxyserverkonto för programuppdateringsplats
Proxyserverkontot för programuppdateringsplats används av programuppdateringsplatsen för att få åtkomst till Internet via en proxyserver eller brandvägg som kräver autentiserad åtkomst.
| Säkerhet Information |
|---|
Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen. |
Källplatskonto
Källplatskontot används vid migreringsprocessen för att komma åt källplatsens SMS-leverantör. Detta konto kräver Läs-behörighet till platsobjekt på källplatsen för att samla in data för migreringsjobb.
Om du uppgraderar Configuration Manager 2007-distributionsplatser eller sekundära platser som har samordnade distributionsplatser på System Center 2012 Configuration Manager-distributionsplatser måste det här kontot även ha behörigheten Ta bort för klassen Plats för att distributionsplatsen ska kunna tas bort från Configuration Manager 2007-platsen vid uppgraderingen.
| Information |
|---|
Både källplatskontot och källplatsdatabaskontot identifieras som Migreringshanteraren i noden Konton i arbetsytan Administration i Configuration Manager-konsolen. |
Konto för källplatsdatabas
Källplatsdatabaskontot används av migreringsprocessen för att få åtkomst till SQL Server-databasen för källplatsen. För att kunna hämta data från SQL Server-databasen för källplatsen måste källplatsdatabaskontot ha behörigheterna Läs och Kör för källplatsens SQL Server-databas.
| Information |
|---|
Om du använder System Center 2012 Configuration Manager-datorkontot kontrollerar du att följande stämmer för kontot:
|
| Information |
|---|
Både källplatskontot och källplatsdatabaskontot identifieras som Migreringshanteraren i noden Konton i arbetsytan Administration i Configuration Manager-konsolen. |
Domänanslutningskonto för aktivitetssekvensredigerare
Domänanslutningskontot för aktivitetssekvensredigeraren används i en aktivitetssekvens till att ansluta en nyavbildad dator till en domän. Det här kontot krävs om du lägger till steget Anslut till domän eller arbetsgrupp till en aktivitetssekvens och sedan väljer Anslut till en domän. Det här kontot kan även konfigureras om du lägger till steget Använd nätverksinställningar i en aktivitetssekvens, men det är inte obligatoriskt.
Det här kontot kräver behörigheten Domänanslutning i domänen som datorn ansluter till.
| Tips |
|---|
Om du behöver det här kontot för dina aktivitetssekvenser kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till de nödvändiga nätverksresurserna och använder det för alla aktivitetssekvenskonton. |
| Säkerhet Information |
|---|
Tilldela inte kontot behörighet för interaktiv inloggning. Använd inte kontot för nätverksåtkomst för det här kontot. |
Anslutningskonto för nätverksmapp för aktivitetssekvensredigerare
Anslutningskontot för nätverksmapp för aktivitetssekvensredigeraren används av en aktivitetssekvens för att ansluta till en delad mapp på nätverket. Det här kontot krävs om du lägger till steget Anslut till nätverksmapp i en aktivitetssekvens.
Det här kontot kräver behörighet att få åtkomst till den angivna delade mappen och måste vara ett användardomänkonto.
| Tips |
|---|
Om du behöver det här kontot för dina aktivitetssekvenser kan du skapa ett domänanvändarkonto med minimala behörigheter för att få åtkomst till de nödvändiga nätverksresurserna och använder det för alla aktivitetssekvenskonton. |
| Säkerhet Information |
|---|
Tilldela inte kontot behörighet för interaktiv inloggning. Använd inte kontot för nätverksåtkomst för det här kontot. |
Kör som-konto för aktivitetssekvens
Kör som-kontot för aktivitetssekvens används till att köra kommandorader i aktivitetssekvenser och har andra autentiseringsuppgifter än det lokala systemkontot. Det här kontot krävs om du lägger till steget Kör kommandorad i en aktivitetssekvens men inte vill att aktivitetssekvensen ska köras med behörighet för lokalt systemkonto på den hanterade datorn.
Konfigurera kontot så att det har den lägsta behörigheten som krävs för att köra kommandoraden som anges i aktivitetssekvensen. Kontot kräver interaktiv inloggningsbehörighet och det kräver normalt möjligheten att installera programvara och få åtkomst till nätverksresurser.
| Säkerhet Information |
|---|
Använd inte kontot för nätverksåtkomst för det här kontot. Gör aldrig kontot till domänadministratör. Konfigurera aldrig centrala profiler för detta konto. När aktivitetssekvensen körs, hämtar den kontots centrala profil, vilket innebär att profilen går att komma åt och är sårbar på den lokala datorn. Begränsa kontots omfattning. Skapa exempelvis andra Kör som-konton för aktivitetssekvens för varje aktivitetssekvens, så att om ett konto komprometteras så utsätts bara klientdatorerna som det kontot har åtkomst till. Om kommandoraden kräver administrativ åtkomst på datorn kan du skapa ett lokalt administratörskonto enbart för Kör som-kontot för aktivitetssekvens på alla datorer som ska köra aktivitetssekvensen, och ta bort kontot så snart det inte längre behövs. |