通过

Configuration Manager 帐户安全清单

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

如果您在 Microsoft System Center Configuration Manager 2007 中遇到错误,常见原因是安全访问配置不正确。以下清单可帮助您验证 Configuration Manager 2007 的帐户和组配置是否正确。

帐户清单

检查 详细信息

验证下列站点角色的计算机帐户是否添加到“站点系统到站点服务器连接”组。

  • 回退状态点

  • 管理点

  • PXE 服务点

  • 站点数据库服务器(如果在远程计算机上)

  • SMS 提供程序计算机

  • 软件更新点

  • 状态迁移点

  • 系统健康验证程序点

如果站点系统角色域与站点服务器域之间不存在信任关系,您将无法将这些帐户添加到“站点系统到站点服务器连接”组。在这种情况下,您必须在站点系统属性的“常规”选项卡上配置站点系统设置“仅允许从此站点系统由站点服务器启动的数据传输”,从而将站点服务器配置为从站点角色提取数据,而不是使站点系统角色将数据推回站点服务器。有关详细信息,请参阅关于站点系统到站点服务器连接组

验证所有站点是否均为站点到站点通信配置了帐户(如果层次结构中有多个站点)

如果站点服务器在同一个林中,则应对站点到站点通信使用站点服务器 computer$ 帐户。

如果站点服务器在不同的林中,则即使存在信任关系,也会使用站点地址帐户。

无论使用哪个帐户,请验证该帐户是否为站点到站点连接组的成员。

子站点仅向父站点发送,但父站点可能启动与子站点或孙站点的站点到站点通信,并且在孙站点上需要站点到站点连接组中的成员身份。

如果将域用户帐户指定为站点地址帐户,但后来决定要使用计算机帐户作为站点地址帐户,则必须删除该地址并重新创建该地址。从用户帐户切换到 computername$ 帐户时,仅仅更改帐户名称是不够的。

有关详细信息,请参阅关于站点地址帐户

验证是否已为下列站点系统角色将站点服务器的计算机帐户添加到本地管理员组:

  • 分发点

  • 回退状态点

  • 管理点

  • PXE 服务点

  • 报表点

  • 服务器定位器点

  • 站点数据库服务器

  • SMS 提供程序计算机

  • 软件更新点

  • 状态迁移点

  • 系统健康验证程序点

如果所有计算机都在同一个林中,则必须手动将站点服务器 computer$ 帐户添加到每个本地管理员组。应在将计算机配置为站点系统之前完成此步骤。

如果站点系统与站点服务器在不同的林中,请在站点系统属性上配置站点系统安装帐户,并将站点系统安装帐户添加到每个本地管理员组。有关详细信息,请参阅关于站点系统安装帐户

如果您必须使用数据库连接帐户,请手动将它们添加到 SQL 角色。

  • 管理点:smsdbrole_MP

  • 服务器定位器点:smsdbrole_SLP

  • PXE 服务点:smsdbrole_PSP

默认情况下,Configuration Manager 2007 使用站点系统 computer$ 帐户连接到站点数据库,并自动将该 computer$ 帐户添加到数据库中匹配的 SQL Server 角色。如果您创建连接帐户,则这些帐户不会自动添加到相应的角色。

有关详细信息,请参阅关于管理点数据库连接帐户关于 PXE 服务点数据库连接帐户关于服务器定位器点数据库连接帐户

如果已扩展 Active Directory 架构,请授予站点服务器计算机帐户在 Active Directory 域服务中进行发布的权限

有关详细信息,请参阅如何在 Active Directory 域服务中设置系统管理容器安全性

验证所需的 IIS 帐户是否已启用并且对需要 IIS 的所有站点系统具有默认权限。

Configuration Manager 2007 需要 Internet 来宾帐户和 IIS 工作进程组。如果这些组已被禁用或已限制其默认权限,Configuration Manager 2007 站点角色可能无法正常工作。有关详细信息,请参阅关于 Configuration Manager 中的 Internet 来宾帐户关于 Configuration Manager 中的 IIS 工作进程组

验证适当的用户是否已添加到 SMS 管理员组。

将对 SMS 管理员组的访问限制到尽可能少的成员。但是,如果用户必须访问 Configuration Manager 2007 控制台,则他们必须是此组的成员才具有访问控制台中的对象的权限。如果您授予用户管理对象的权限,但他们不在 SMS 管理员组中,他们将不能访问该对象。有关详细信息,请参阅关于 SMS 管理员组

如果用户只需要访问报表而不需要访问 Configuration Manager 2007 控制台,则将用户添加到报表用户。

报表用户控制对 Configuration Manager 2007 报表网站的访问。由于报表用户是本地组,如果他们需要访问多个报表点,则必须单独将用户添加到每个报表点。有关详细信息,请参阅关于报表用户组

如果您从用户组中删除 Internet 来宾帐户,或者如果您删除作为包访问帐户的用户组,请明确地将 Internet 来宾帐户添加到包,作为具有访问包所需的任何权限的包访问帐户。

Internet 来宾帐户 IUSR_<计算机名称> 由 Microsoft System Center Configuration Manager 2007 客户端在不使用 Windows 身份验证访问内容时用于匿名访问启用了 BITS 的分发点。有关详细信息,请参阅关于 Configuration Manager 中的 Internet 来宾帐户

如果您已从 SMS 2003 升级,请验证管理员是否对 Configuration Manager 2007 中的新对象具有权限。

全新安装之后,该帐户将是唯一有权访问 Configuration Manager 2007 控制台的用户帐户。如果是从以前的版本升级,则其他管理员会保留各自对控制台的现有权限,但是不会被自动授予对新对象的新权限。有关详细信息,请参阅如何向用户和组分配对象的权限

验证要使用远程 Configuration Manager 控制台的管理员是否同时对站点服务器计算机和 SMS 提供程序计算机具有“远程激活 DCOM”权限。

有关详细信息,请参阅如何为 Configuration Manager 控制台连接配置 DCOM 权限

验证每个帐户是否使用尽可能少的权限。

有关详细信息,请参阅Configuration Manager 中的帐户和组

帐户安全最佳方案

将用户添加到“允许的查看者”列表,而不是直接将它们添加至 ConfigMgr 远程控制用户组。

安装之后,如果需要从用于安装 Configuration Manager 的帐户中删除 Configuration Manager 2007 权限,请先将这些权限添加到另一个帐户

始终让至少一个用户对所有 Configuration Manager 2007 对象拥有完全控制权限

为执行 Configuration Manager 2007 管理的用户分配最少的 Configuration Manager 2007 安全权限。尽可能使用角色分离。

密切监视对 Configuration Manager 2007 控制台拥有访问权限的用户,因为对受信任的管理员不存在任何防范措施。

配置 SQL Server 以在域用户帐户而不是本地系统下运行

配置包访问权限,以便只有经过授权的软件安装人员可以访问分发点上的文件。

不要将任何 Configuration Manager 2007 用户或计算机帐户添加到域管理员组

不要将宿主下列服务器角色的服务器添加至站点系统到站点服务器连接组:

  • 报表点

  • 服务器定位器点

  • 分发点

不要更改 Configuration Manager 2007 服务的“启动类型”和“登录身份”设置

不要为客户端请求安装帐户授予本地登录的权限。

不要向下列帐户授予交互登录权限:

  • 健康状况引用查询帐户

  • PXE 服务点数据库连接帐户

  • 管理点数据库连接帐户

  • 服务器定位器点数据库连接帐户

  • 网络访问帐户

  • 捕获操作系统映像帐户

  • 任务序列编辑器域加入帐户

  • 任务序列编辑器网络文件夹连接帐户

不要向网络访问帐户授予将计算机加入域的权限。

不要修改 Configuration Manager 2007 创建的 SQL Server 角色和权限

不要从本地系统、本地服务和网络服务中删除权限

不要删除 Internet 来宾帐户和 IIS 工作进程组用于访问 Configuration Manager 2007 资源的默认权限

不要将网络访问帐户用作任何下列帐户:

  • 包访问帐户

  • 任务序列编辑器域加入帐户

  • 捕获操作系统映像帐户

  • 任务序列编辑器网络文件夹连接帐户

不要对健康状况引用发布帐户和健康状况引用查询帐户使用同一帐户,因为查询帐户只需要读取权限。

通过使用域\帐户格式在“允许的查看者”列表中输入帐户名称来消除客户端可能出现的任何不明确性

在“允许的查看者”列表中明确指定所有全局组

如果可能,使用站点服务器 computer$ 帐户而不是创建下列帐户:

  • 服务器定位器点数据库连接帐户

  • PXE 服务点数据库连接帐户

  • 管理点数据库连接帐户

  • 站点地址帐户

  • 站点系统安装帐户

  • 软件更新点连接帐户

如果您创建下列帐户,请在运行 SQL Server 的计算机上将它们创建为本地帐户

  • 服务器定位器点数据库连接帐户

  • PXE 服务点数据库连接帐户

  • 管理点数据库连接帐户

如果您禁用远程工具,则手动删除 ConfigMgr 远程控制用户组。

如果您具有许多域控制器,并且拥有跨域使用的帐户,请验证在 Configuration Manager 2007 控制台中配置这些帐户之前是否进行了复制。

如果需要对任务序列使用帐户,您可以创建一个具有访问所需网络资源的最小权限的域用户帐户,将其用于所有任务序列帐户

如果您使用客户端请求安装帐户,请创建组策略对象以将它添加至本地管理员组

不要安装使用本地系统帐户的其他服务,从而最大限度地减少在站点服务器和站点系统上使用本地系统帐户

当服务器不再宿主需要成员身份的服务器角色时,请立即从站点系统到站点服务器连接组中删除这些服务器

当您首次创建包时设置包访问权限

要降低客户端请求安装帐户受到危害的风险,请使用备用的客户端安装方法,如软件更新点客户端安装、基于组策略的安装或映像

对所有用户帐户使用复杂的密码

为 RAS 发送程序电话簿帐户使用与站点地址帐户相同的帐户。

另请参阅

其他资源

Configuration Manager 中的帐户和组
Configuration Manager 安全清单

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。