如何为 Configuration Manager 控制台连接配置 DCOM 权限

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

运行 Configuration Manager 控制台的用户帐户需要通过 SMS 提供程序访问站点数据库的权限。任何要使用远程 Configuration Manager 控制台的管理员均需要同时对站点服务器计算机和 SMS 提供程序计算机拥有“远程激活 DCOM”权限。

SMS 管理员安全组用于授予对 SMS 提供程序的访问权限。将运行 Configuration Manager 控制台的管理员的用户帐户必须是 SMS 管理员组的成员，并且必须执行下列过程才能授予 SMS 管理员组必需的 DCOM 激活权限。

备注

如果在 Configuration Manager 2007 安装过程中，在远程计算机上安装了 SMS 提供程序，您必须同时在站点服务器和远程 SMS 提供程序计算机上执行此过程。如果在站点服务器计算机上安装了 SMS 提供程序，则仅需在站点服务器上执行此过程。

重要

Configuration Manager 控制台使用 WMI 连接到 SMS 提供程序，而 WMI 内部使用 DCOM。因此，如果 Configuration Manager 控制台在 SMS 提供程序之外的其他计算机上运行，则 Configuration Manager 需要在提供程序计算机上激活 DCOM 服务器的权限。默认情况下，仅向内置管理员组的成员授予远程激活权限。允许 SMS 管理员组拥有远程激活权限将允许 SMS 管理员的成员尝试对 SMS 提供程序计算机发起 DCOM 攻击，并且增加计算机的攻击面。您可以通过仔细监视 SMS 管理员组的成员来缓解此威胁。有关与允许远程激活相关联的风险的详细信息，请参阅有关 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中 DCOM 安全增强的描述，网址为 https://go.microsoft.com/fwlink/?LinkId=86101（页面可能为英文）。

向 SMS 管理员组授予远程激活权限

1. 从“开始”菜单，单击“运行”，然后键入 Dcomcnfg.exe。

2. 在“组件服务”中，单击“控制台根”，展开“组件服务”，展开“计算机”，然后单击“我的电脑”。在“操作”菜单上，单击“属性”。

3. 在“我的电脑属性”对话框中，在“COM 安全”选项卡的“启动和激活权限”部分中，单击“编辑限制”。

4. 在“启动权限”对话框中，单击“添加”。

5. 在“选择用户、计算机或组”对话框的“输入要选择的对象名称（示例）：”框中，键入 SMS 管理员，然后单击“确定”。

6. 在“SMS 管理员的权限”部分中，选择此复选框以允许“远程激活”。

7. 单击两次“确定”，然后关闭“计算机管理”。

另请参阅

其他资源

面向部署单个站点的 Configuration Manager 任务

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。