In Configuration Manager verwendete KontenAccounts used in Configuration Manager

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Verwenden Sie die folgenden Informationen, um die in Configuration Manager verwendeten Windows-Gruppen, Konten und SQL Server-Objekte, deren Verwendung sowie ggf. geltende Anforderungen zu identifizieren.Use the following information to identify the Windows groups, accounts, and SQL Server objects that are used in Configuration Manager, how they are used, and any requirements.

Windows-Gruppen, die von Configuration Manager erstellt und verwendet werdenWindows groups that Configuration Manager creates and uses

Die folgenden Windows-Gruppen werden von Configuration Manager automatisch erstellt und in vielen Fällen automatisch verwaltet:Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups:

Hinweis

Wenn von Configuration Manager eine Gruppe auf einem Computer erstellt wird, der ein Domänenmitglied ist, ist die Gruppe eine lokale Sicherheitsgruppe.When Configuration Manager creates a group on a computer that's a domain member, the group is a local security group. Wenn der Computer ein Domänencontroller ist, ist die Gruppe eine lokale Gruppe der Domäne.If the computer is a domain controller, the group is a domain local group. Die Art der Gruppe wird für alle Domänencontroller in der Domäne freigegeben.This type of group is shared among all domain controllers in the domain.

Configuration Manager_CollectedFilesAccessConfiguration Manager_CollectedFilesAccess

Diese Gruppe wird von Configuration Manager für den Zugriff auf Dateien verwendet, die von der Softwareinventur gesammelt wurden.Configuration Manager uses this group to grant access to view files collected by software inventory.

Weitere Informationen finden Sie unter Einführung in die Softwareinventur.For more information, see Introduction to software inventory.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem primären Standortserver erstellt wurde.This group is a local security group created on the primary site server.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

MembershipMembership

Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet.Configuration Manager automatically manages the group membership. In die Mitgliedschaft sind auch Administratoren eingeschlossen, denen die Berechtigung Gesammelte Dateien anzeigen für das sicherungsfähige Objekt Sammlung von einer zugewiesenen Sicherheitsrolle erteilt wurde.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.

BerechtigungenPermissions

Standardmäßig besitzt diese Gruppe die Leseberechtigung für den folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol.By default, this group has Read permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Configuration Manager_DViewAccessConfiguration Manager_DViewAccess

Diese Gruppe ist eine lokale Sicherheitsgruppe, die von Configuration Manager auf dem Standortdatenbankserver oder dem Datenbankreplikatserver für einen untergeordneten primären Standort erstellt wird.This group is a local security group that Configuration Manager creates on the site database server or database replica server for a child primary site. Der Standort erstellt diese, wenn Sie verteilte Ansichten für die Datenbankreplikation zwischen Standorten in einer Hierarchie verwenden.The site creates it when you use distributed views for database replication between sites in a hierarchy. Sie enthält den Standortserver und die SQL Server-Computerkonten des Standorts der zentralen Verwaltung.It contains the site server and SQL Server computer accounts of the central administration site.

Weitere Informationen finden Sie unter Datenübertragungen zwischen Standorten.For more information, see Data transfers between sites.

Configuration Manager-RemotesteuerungsbenutzerConfiguration Manager Remote Control Users

Diese Gruppe wird von Configuration Manager-Remotetools verwendet, um die Konten und Gruppen zu speichern, die Sie in der Liste Zugelassene Viewer einrichten.Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list. Der Standort ordnet diese Liste den verschiedenen Clients zu.The site assigns this list to each client.

Weitere Informationen finden Sie unter Einführung in die Remotesteuerung.For more information, see Introduction to remote control.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Configuration Manager-Client erstellt wird, wenn der Client eine Clientrichtlinie erhält, durch die Remotetools aktiviert werden.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Wenn Sie Remotetools für einen Client deaktivieren, wird diese Gruppe nicht automatisch entfernt.After you disable remote tools for a client, this group isn't automatically removed. Löschen Sie diese manuell, nachdem Sie die Remotetools deaktiviert haben.Manually delete it after disabling remote tools.

MembershipMembership

Diese Gruppe enthält standardmäßig keine Mitglieder.By default, there are no members in this group. Wenn Sie der Liste Zugelassene Viewer Benutzer hinzufügen, werden die Benutzer auch dieser Gruppe automatisch hinzugefügt.When you add users to the Permitted Viewers list, they're automatically added to this group.

Verwenden Sie die Liste Zugelassene Viewer, um die Mitgliedschaft dieser Gruppe zu verwalten, anstatt dieser Gruppe direkt Benutzer oder Gruppen hinzuzufügen.Use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Administratoren müssen der Liste der zugelassenen Betrachter hinzugefügt werden, und sie benötigen die Berechtigung Remotesteuerung für das Objekt Sammlung.In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Weisen Sie diese Berechtigung mithilfe der Sicherheitsrolle Remotetoolsverantwortlicher zu.Assign this permission by using the Remote Tools Operator security role.

BerechtigungenPermissions

Standardmäßig sind dieser Gruppe keinerlei Berechtigungen für Speicherorte auf dem Computer erteilt.By default, this group doesn't have permissions to any locations on the computer. Sie wird ausschließlich zum Speichern der Liste Zugelassene Viewer verwendet.It's used only to hold the Permitted Viewers list.

SMS-AdministratorenSMS Admins

Configuration Manager verwendet diese Gruppe, um über WMI eine Verbindung mit dem SMS-Anbieter zu ermöglichen.Configuration Manager uses this group to grant access to the SMS Provider through WMI. Dieser Zugriff auf den SMS-Anbieter ist erforderlich, um Objekte in der Configuration Manager-Konsole anzuzeigen und zu ändern.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Hinweis

Durch die rollenbasierte Administrationskonfiguration eines Administrators wird bestimmt, welche Objekte der Administrator mithilfe der Configuration Manager-Konsole anzeigen und verwalten kann.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

Weitere Informationen finden Sie unter Planen des SMS-Anbieters.For more information, see Plan for the SMS Provider.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit SMS-Anbieter erstellt wird.This group is a local security group created on each computer that has an SMS Provider.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

MembershipMembership

Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet.Configuration Manager automatically manages the group membership. Standardmäßig sind alle Administratoren einer Hierarchie sowie das Computerkonto des Standortservers Mitglieder der Gruppe SMS-Administratoren auf allen SMS-Anbietercomputern an einem Standort.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

BerechtigungenPermissions

Sie können die Rechte und Berechtigungen der Gruppe „SMS-Administratoren“ mithilfe des MMC-Snap-Ins WMI-Steuerung anzeigen.You can view the rights and permissions for the SMS Admins group in the WMI Control MMC snap-in. Der Gruppe werden standardmäßig die Berechtigungen Konto aktivieren und Remoteaktivierung im WMI-Namespace Root\SMS erteilt.By default, this group is granted Enable Account and Remote Enable on the Root\SMS WMI namespace. Der Gruppe „Authentifizierte Benutzer“ sind die Berechtigungen Methoden ausführen, Anbieterschreibzugriff und Konto aktivieren erteilt.Authenticated users have Execute Methods, Provider Write, and Enable Account.

Wenn Sie eine Configuration Manager-Remotekonsole verwenden, konfigurieren Sie die DCOM-Berechtigungen für eine Remoteaktivierung auf dem Standortservercomputer und dem SMS-Anbieter.When you use a remote Configuration Manager console, configure Remote Activation DCOM permissions on both the site server computer and the SMS Provider. Erteilen Sie diese Berechtigungen der Gruppe SMS-Administratoren.Grant these rights to the SMS Admins group. Hierdurch wird die Verwaltung im Vergleich zum direkten Erteilen dieser Berechtigungen an Benutzer und Gruppen erleichtert.This action simplifies administration instead of granting these rights directly to users or groups. Weitere Informationen finden Sie unter Konfigurieren von DCOM-Berechtigungen für Configuration Manager-Remotekonsolen.For more information, see Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_<Standortcode>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Diese Gruppe wird von Verwaltungspunkten, die sich außerhalb des Standortservers befinden, zum Herstellen einer Verbindung mit der Standortdatenbank verwendet.Management points that are remote from the site server use this group to connect to the site database. Mithilfe dieser Gruppe wird den Verwaltungspunkten ein Zugriff auf den Ordner Eingangsbox des Standortservers sowie der Standortdatenbank ermöglicht.This group provides a management point access to the inbox folders on the site server and the site database.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit SMS-Anbieter erstellt wird.This group is a local security group created on each computer that has an SMS Provider.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

MembershipMembership

Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet.Configuration Manager automatically manages the group membership. Standardmäßig sind die Computerkonten von Remotecomputern mit einem Verwaltungspunkt für den Standort in die Mitgliedschaft eingeschlossen.By default, membership includes the computer accounts of remote computers that have a management point for the site.

BerechtigungenPermissions

Diese Gruppe verfügt standardmäßig über die Berechtigungen Lesen, Lesen & Ausführen und Ordnerinhalt auflisten für den folgenden Order auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Dieser Gruppe wurde die zusätzliche Berechtigung Schreiben für Unterordner von inboxes, in die vom Verwaltungspunkt Clientdaten geschrieben werden, erteilt.This group has the additional permission of Write to subfolders below inboxes, to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_<Standortcode>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Remotecomputer des SMS-Anbieters verwenden diese Gruppe, um eine Verbindung mit dem Standortserver herzustellen.Remote SMS Provider computers use this group to connect to the site server.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde.This group is a local security group created on the site server.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

MembershipMembership

Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet.Configuration Manager automatically manages the group membership. Die Mitgliedschaft umfasst standardmäßig das Computerkonto oder ein Domänenbenutzerkonto.By default, membership includes the computer account or a domain user account. Dieses Konto wird verwendet, um von jedem SMS-Remoteanbieter aus eine Verbindung mit dem Standortserver herzustellen.It uses this account to connect to the site server from each remote SMS Provider.

BerechtigungenPermissions

Diese Gruppe verfügt standardmäßig über die Berechtigungen Lesen, Lesen & Ausführen und Ordnerinhalt auflisten für den folgenden Order auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Diese Gruppe besitzt für Unterordner der Posteingänge zusätzlich die Berechtigungen Schreiben und Ändern.This group has the additional permissions of Write and Modify to subfolders below the inboxes. Der SMS-Anbieter benötigt Zugriff auf diese Ordner.The SMS Provider requires access to these folders.

Diese Gruppe besitzt für die Unterordner von C:\Program Files\Microsoft Configuration Manager\OSD\Bin auf dem Standortserver außerdem die Berechtigung Lesen.This group also has Read permission to the subfolders on the site server below C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Sie besitzt ebenfalls folgende Berechtigungen für die Unterordner von C:\Program Files\Microsoft Configuration Manager\OSD\boot:It also has the following permissions to the subfolders below C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • LesenRead
  • Lesen & ausführenRead & execute
  • Ordnerinhalt auflistenList folder contents
  • SchreibenWrite
  • ÄnderungModify

SMS_SiteSystemToSiteServerConnection_Stat_<Standortcode>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

Diese Gruppe wird vom Datei-Verteilungs-Manager auf Computern in Configuration Manager-Remotestandortsystemen zum Herstellen einer Verbindung mit dem Standortserver verwendet.The file dispatch manager component on Configuration Manager remote site system computers uses this group to connect to the site server.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde.This group is a local security group created on the site server.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

MembershipMembership

Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet.Configuration Manager automatically manages the group membership. Die Mitgliedschaft umfasst standardmäßig das Computerkonto oder das Domänenbenutzerkonto.By default, membership includes the computer account or the domain user account. Diese Konto wird verwendet, um von jedem Remotestandortsystem aus, auf dem der Datei-Verteilungs-Manager ausgeführt wird, auf den Standortserver zugreifen zu können.It uses this account to connect to the site server from each remote site system that runs the file dispatch manager.

BerechtigungenPermissions

Diese Gruppe verfügt standardmäßig über die Berechtigungen Lesen, Lesen & Ausführen und Ordnerinhalt auflisten für den folgenden Order und dessen Unterordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder and its subfolders on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes.

Diese Gruppe besitzt zusätzlich die Berechtigungen Schreiben und Ändern für folgenden Ordner auf dem Standortserver: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.This group has the additional permissions of Write and Modify to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

SMS_SiteToSiteConnection_<Standortcode>SMS_SiteToSiteConnection_<sitecode>

Diese Gruppe wird von Configuration Manager verwendet, um die dateibasierte Replikation zwischen Standorten innerhalb einer Hierarchie zu aktivieren.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. Für jeden Remotestandort, von dem Dateien direkt an diesen Standort übertragen werden, verfügt diese Gruppe über Konten, die als Dateireplikationskonto eingerichtet sind.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

Typ und SpeicherortType and location

Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde.This group is a local security group created on the site server.

MembershipMembership

Wenn Sie einen neuen Standort als untergeordneten Standort eines anderen Standorts installieren, wird das Computerkonto des neuen Standortservers von Configuration Manager automatisch der Gruppe auf dem übergeordneten Standortserver hinzugefügt.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site server to this group on the parent site server. Außerdem fügt Configuration Manager das Computerkonto des übergeordneten Standorts der Gruppe auf dem neuen Standortserver hinzu.Configuration Manager also adds the parent site's computer account to the group on the new site server. Wenn Sie ein anderes Konto für dateibasierte Übertragungen angeben, fügen Sie dieses Konto der Gruppe auf dem Zielstandortserver hinzu.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Wenn Sie einen Standort deinstallieren, wird diese Gruppe nicht automatisch entfernt.When you uninstall a site, this group isn't automatically removed. Löschen Sie diese nach der Deinstallation eines Standorts manuell.Manually delete it after uninstalling a site.

BerechtigungenPermissions

Standardmäßig besitzt diese Gruppe die Berechtigung Vollzugriff für folgenden Ordner: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.By default, this group has Full control to the following folder: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konten, die von Configuration Manager verwendet werdenAccounts that Configuration Manager uses

Sie können die folgenden Konten für Configuration Manager einrichten.You can set up the following accounts for Configuration Manager.

Tipp

Verwenden Sie kein Prozentzeichen (%) im Kennwort für Konten, die Sie in der Configuration Manager-Konsole angeben.Don't use the percentage character (%) in the password for accounts that you specify in the Configuration Manager console. Das Konto kann ansonsten nicht authentifiziert werden.The account will fail to authenticate.

Konto für die Active Directory-SicherheitsgruppenermittlungActive Directory group discovery account

Der Standort verwendet das Konto für die Active Directory-Sicherheitsgruppenermittlung, um folgende Objekte an den von Ihnen angegebenen Orten in Active Directory Domain Services zu ermitteln:The site uses the Active Directory group discovery account to discover the following objects from the locations in Active Directory Domain Services that you specify:

  • Lokale, globale und universelle SicherheitsgruppenLocal, global, and universal security groups
  • Die Mitgliedschaft in diesen GruppenThe membership within these groups
  • Die Mitgliedschaft in VerteilergruppenThe membership within distribution groups
    • Verteilergruppen werden nicht als Gruppenressourcen ermittelt.Distribution groups aren't discovered as group resources

Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln.This account can be a computer account of the site server that runs discovery, or a Windows user account. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Orte, die Sie für die Ermittlung angeben.It must have Read access permission to the Active Directory locations that you specify for discovery.

Weitere Informationen finden Sie unter Active Directory-Gruppenermittlung.For more information, see Active Directory group discovery.

Konto für die Active Directory-SystemermittlungActive Directory system discovery account

Der Standort verwendet das Konto für die Active Directory-Systemermittlung, um Computer an den von Ihnen angegebenen Orten in Active Directory Domain Services zu ermitteln.The site uses the Active Directory system discovery account to discover computers from the locations in Active Directory Domain Services that you specify.

Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln.This account can be a computer account of the site server that runs discovery, or a Windows user account. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Orte, die Sie für die Ermittlung angeben.It must have Read access permission to the Active Directory locations that you specify for discovery.

Weitere Informationen finden Sie unter Active Directory-Systemermittlung.For more information, see Active Directory system discovery.

Konto für die Active Directory-BenutzerermittlungActive Directory user discovery account

Der Standort verwendet das Konto für die Active Directory-Benutzerermittlung, um Benutzerkonten an den von Ihnen angegebenen Orten in Active Directory Domain Services zu ermitteln.The site uses the Active Directory user discovery account to discover user accounts from the locations in Active Directory Domain Services that you specify.

Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln.This account can be a computer account of the site server that runs discovery, or a Windows user account. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Orte, die Sie für die Ermittlung angeben.It must have Read access permission to the Active Directory locations that you specify for discovery.

Weitere Informationen finden Sie unter Active Directory-Benutzerermittlung.For more information, see Active Directory user discovery.

Konto für die Active Directory-GesamtstrukturActive Directory forest account

Der Standort verwendet das Konto für die Active Directory-Gesamtstruktur, um die Netzwerkinfrastruktur von Active Directory-Gesamtstrukturen zu ermitteln.The site uses the Active Directory forest account to discover network infrastructure from Active Directory forests. Es wird auch von zentralen Verwaltungsstandorten und primären Standorten verwendet, um Standortdaten für Active Directory-Domänendienste für eine Gesamtstruktur zu veröffentlichen.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Hinweis

Die Veröffentlichung in Active Directory durch sekundäre Standorte erfolgt immer über das Computerkonto des sekundären Standortservers.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Beim Konto für die Active Directory-Gesamtstruktur muss es sich um ein globales Konto handeln, damit die Ermittlung und Veröffentlichung in nicht vertrauenswürdigen Gesamtstrukturen möglich sind.To discover and publish to untrusted forests, the Active Directory forest account must be a global account. Wenn Sie nicht das Computerkonto des Standortservers verwenden, können Sie nur ein globales Konto auswählen.If you don't use the computer account of the site server, you can select only a global account.

Für dieses Konto ist die Berechtigung Lesen für jede Active Directory-Gesamtstruktur, in der die Netzwerkinfrastruktur ermittelt werden soll, erforderlich.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

Außerdem ist die Berechtigung Vollzugriff für den Container System Management und all seine untergeordneten Objekte in jeder Active Directory-Gesamtstruktur erforderlich, in der Standortdaten veröffentlicht werden sollen.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data. Weitere Informationen finden Sie unter Vorbereiten von Active Directory für die Veröffentlichung eines Standorts.For more information, see Prepare Active Directory for site publishing.

Weitere Informationen finden Sie unter Active Directory-Gesamtstrukturermittlung.For more information, see Active Directory forest discovery.

Konto des ZertifikatregistrierungspunktsCertificate registration point account

Der Zertifikatregistrierungspunkt verwendet das Konto des Zertifikatregistrierungspunkts, um eine Verbindung mit der Configuration Manager-Datenbank herzustellen.The certificate registration point uses the Certificate registration point account to connect to the Configuration Manager database. Er verwendet standardmäßig das Computerkonto, Sie können jedoch stattdessen ein Benutzerkonto konfigurieren.It uses its computer account by default, but you can configure a user account instead. Wenn der Zertifikatregistrierungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet, müssen Sie ein Benutzerkonto angeben.When the certificate registration point is in an untrusted domain from the site server, you must specify a user account. Für dieses Konto ist nur der Lesezugriff auf die Standortdatenbank erforderlich, da Schreibvorgänge vom Zustandsmeldungssystem abgewickelt werden.This account requires only Read access to the site database, because the state message system handles write tasks.

Weitere Informationen finden Sie unter Einführung in Zertifikatprofile.For more information, see Introduction to certificate profiles.

Konto zum Erfassen von BetriebssystemimagesCapture OS image account

Wenn Sie ein Betriebssystemimage erfassen, verwendet Configuration Manager das Konto zum Erfassen von Betriebssystemimages, um auf den Ordner zuzugreifen, in dem erfasste Images gespeichert werden.When you capture an OS image, Configuration Manager uses the Capture OS image account to access the folder where you store captured images. Wenn Sie den Schritt Betriebssystemimage erfassen zur Tasksequenz hinzufügen, ist dieses Konto erforderlich.If you add the Capture OS Image step to a task sequence, this account is required.

Das Konto muss die Berechtigungen Lesen und Schreiben für die Netzwerkfreigabe aufweisen, in der erfasste Images gespeichert werden.The account must have Read and Write permissions on the network share where you store captured images.

Falls Sie das Kennwort des Kontos in Windows ändern, aktualisieren Sie die Tasksequenz mit dem neuen Kennwort.If you change the password for the account in Windows, update the task sequence with the new password. Der Configuration Manager-Client erhält das neue Kennwort beim nächsten Download der Clientrichtlinie.The Configuration Manager client receives the new password when it next downloads the client policy.

Wenn Sie dieses Konto verwenden müssen, erstellen Sie ein Domänenbenutzerkonto.If you need to use this account, create one domain user account. Erteilen Sie diesem die mindestens erforderlichen Berechtigungen, um auf die benötigten Netzwerkressourcen zuzugreifen, und werden Sie es für alle Tasksequenzen, die zum Erfassen verwendet werden.Grant it minimal permissions to access the required network resources, and use it for all capture task sequences.

Wichtig

Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldung zu.Don't assign interactive sign-in permissions to this account.

Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto.Don't use the network access account for this account.

Weitere Informationen finden Sie unter Erstellen einer Tasksequenz zum Erfassen eines Betriebssystems.For more information, see Create a task sequence to capture an OS.

Clientpushinstallations-KontoClient push installation account

Wenn Sie Clients mithilfe der Clientpushinstallation bereitstellen, verwendet der Standort das Clientpushinstallations-Konto, um eine Verbindung mit Computern herzustellen und die Configuration Manager-Clientsoftware zu installieren.When you deploy clients by using the client push installation method, the site uses the Client push installation account to connect to computers and install the Configuration Manager client software. Wenn Sie dieses Konto nicht angeben, versucht der Standortserver, das Computerkonto zu verwenden.If you don't specify this account, the site server tries to use its computer account.

Dieses Konto muss ein Mitglied der lokalen Gruppe Administratoren auf den angezielten Clientcomputern sein.This account must be a member of the local Administrators group on the target client computers. Für dieses Konto sind keine Domänenadministratorrechte erforderlich.This account doesn't require Domain Admin rights.

Sie können mehr als ein Clientpushinstallations-Konto angeben.You can specify more than one client push installation account. Configuration Manager probiert diese nacheinander aus, bis eines funktioniert.Configuration Manager tries each one in turn until one succeeds.

Tipp

Wenn Ihre Active Directory-Umgebung groß ist und Sie dieses Konto ändern müssen, gehen Sie folgendermaßen vor, um das Update des Kontos effektiver zu koordinieren:If you have a large Active Directory environment and need to change this account, use the following process to more effectively coordinate this account update:

  1. Erstellen Sie ein neues Konto mit einem anderen Namen.Create a new account with a different name
  2. Fügen Sie das neue Konto zur Liste der Clientpushinstallations-Konten in Configuration Manager hinzu.Add the new account to the list of client push installation accounts in Configuration Manager
  3. Geben Sie Active Directory Domain Services etwas Zeit, um das neue Konto zu replizieren.Allow sufficient time for Active Directory Domain Services to replicate the new account
  4. Entfernen Sie anschließend das alte Konto aus Configuration Manager und Active Directory Domain ServicesThen remove the old account from Configuration Manager and Active Directory Domain Services

Wichtig

Verwenden Sie die Richtlinie der Domäne oder lokalen Gruppe, um dem Windows-Benutzer das Recht Lokal anmelden verweigern zuzuweisen.Use domain or local group policy to assign the Windows user right to Deny log on locally. Als Mitglied der Gruppe „Administratoren“ hat dieses Konto das Recht, sich lokal anzumelden, was nicht erforderlich ist.As a member of the Administrators group, this account will have the right to sign in locally, which isn't needed. Um die Sicherheit zu erhöhen, verweigern Sie diesem Konto das Recht ausdrücklich.For better security, explicitly deny the right for this account. Das Recht „Verweigern“ hat Vorrang vor dem Recht „Zulassen“.The deny right supersedes the allow right.

Weitere Informationen finden Sie unter Clientpushinstallation.For more information, see Client push installation.

Verbindungskonto des AnmeldungspunktsEnrollment point connection account

Der Anmeldungspunkt verwendet das Verbindungskonto des Anmeldungspunkts, um eine Verbindung mit der Configuration Manager-Standortdatenbank herzustellen.The enrollment point uses the Enrollment point connection account to connect to the Configuration Manager site database. Er verwendet standardmäßig das Computerkonto, Sie können jedoch stattdessen ein Benutzerkonto konfigurieren.It uses its computer account by default, but you can configure a user account instead. Wenn der Anmeldungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet, müssen Sie ein Benutzerkonto angeben.When the enrollment point is in an untrusted domain from the site server, you must specify a user account. Für dieses Konto sind Lese- und Schreibzugriff auf die Standortdatenbank erforderlich.This account requires Read and Write access to the site database.

Weitere Informationen finden Sie unter Installieren von Standortsystemrollen für die lokale Verwaltung mobiler Geräte.For more information, see Install site system roles for on-premises MDM.

Verbindungskonto für Exchange ServerExchange Server connection account

Der Standortserver verwendet das Verbindungskonto für Exchange Server, um eine Verbindung mit dem angegebenen Server von Exchange Server herzustellen.The site server uses the Exchange Server connection account to connect to the specified Exchange Server. Diese Verbindung wird verwendet, um mobile Geräte zu suchen und zu verwalten, die mit Exchange Server verbunden sind.It uses this connection to find and manage mobile devices that connect to Exchange Server. Für dieses Konto sind Exchange PowerShell-Cmdlets erforderlich, mit deren Hilfe dem Exchange Server-Computer die erforderlichen Berechtigungen bereitgestellt werden.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Weitere Informationen zu den Cmdlets finden Sie unter Installieren und Konfigurieren des Exchange Connectors.For more information about the cmdlets, see Install and configure the Exchange connector.

Verbindungskonto des VerwaltungspunktsManagement point connection account

Der Verwaltungspunkt verwendet das Verbindungskonto des Verwaltungspunkts, um eine Verbindung mit der Configuration Manager-Standortdatenbank herzustellen.The management point uses the Management point connection account to connect to the Configuration Manager site database. Diese Verbindung wird verwendet, um Informationen für Clients zu senden und abzurufen.It uses this connection to send and retrieve information for clients. Der Verwaltungspunkt verwendet standardmäßig das Computerkonto, Sie können jedoch stattdessen ein Benutzerkonto konfigurieren.The management point uses its computer account by default, but you can configure a user account instead. Wenn der Verwaltungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet, müssen Sie ein Benutzerkonto angeben.When the management point is in an untrusted domain from the site server, you must specify a user account.

Erstellen Sie das Konto als lokales Konto auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird, und statten Sie es nur mit geringen Rechten aus.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Wichtig

Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung.Don't grant interactive sign-in rights to this account.

MulticastverbindungskontoMulticast connection account

Multicastfähige Verbindungspunkte verwenden das Multicastverbindungskonto, um Informationen aus der Standortdatenbank zu lesen.Multicast-enabled distribution points use the Multicast connection account to read information from the site database. Der Server verwendet standardmäßig das Computerkonto, Sie können jedoch stattdessen ein Benutzerkonto konfigurieren.The server uses its computer account by default, but you can configure a user account instead. Wenn die Standortdatenbank sich in einer nicht vertrauenswürdigen Gesamtstruktur befindet, müssen Sie ein Benutzerkonto angeben.When the site database is in an untrusted forest, you must specify a user account. Wenn Ihr Rechenzentrum beispielsweise über ein Umkreisnetzwerk in einer anderen Gesamtstruktur als der des Standortservers und der Standortdatenbank verfügt, können Sie mit diesem Konto die Multicastinformationen aus der Standortdatenbank lesen.For example, if your data center has a perimeter network in a forest other than the site server and site database, use this account to read the multicast information from the site database.

Wenn Sie dieses Konto benötigen, sollten Sie es als lokales Konto mit geringen Rechten auf dem Computer erstellen, auf dem Microsoft SQL Server ausgeführt wird.If you need this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Wichtig

Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung.Don't grant interactive sign-in rights to this account.

Weitere Informationen finden Sie unter Verwenden von Multicast zum Bereitstellen von Windows über das Netzwerk.For more information, see Use multicast to deploy Windows over the network.

NetzwerkzugriffskontoNetwork access account

Clientcomputer verwenden das Netzwerkzugriffskonto, wenn über ihr lokales Computerkonto kein Zugriff auf Inhalte auf Verteilungspunkten möglich ist.Client computers use the network access account when they can't use their local computer account to access content on distribution points. Dies gilt vor allem für Arbeitsgruppenclients und Computer aus nicht vertrauenswürdigen Domänen.It mostly applies to workgroup clients and computers from untrusted domains. Dieses Konto wird ebenfalls während der Betriebssystembereitstellung verwendet, wenn der Computer, auf dem das Betriebssystem installiert wird, noch kein Computerkonto in der Domäne besitzt.This account is also used during OS deployment, when the computer that's installing the OS doesn't yet have a computer account on the domain.

Wichtig

Das Netzwerkzugriffskonto wird nie als Sicherheitskontext zum Ausführen von Programmen, Installieren von Softwareupdates oder Ausführen von Tasksequenzen verwendet.The network access account is never used as the security context to run programs, install software updates, or run task sequences. Es wird nur für den Zugriff auf Ressourcen im Netzwerk verwendet.It's used only for accessing resources on the network.

Ein Konfigurations-Manager-Client versucht zunächst, das Computerkonto zu verwenden, um den Inhalt herunterzuladen.A Configuration Manager client first tries to use its computer account to download the content. Wenn dieser Vorgang fehlschlägt, wird automatisch ein erneuter Versuch mit dem Netzwerkzugriffskonto gestartet.If it fails, it then automatically tries the network access account.

Wenn Sie den Standort für HTTPS oder erweitertes HTTP konfigurieren, kann eine Arbeitsgruppe oder ein mit Azure AD verknüpfter Client ohne Netzwerkzugriffskonto sicher von Verteilungspunkten auf Inhalt zugreifen.If you configure the site for HTTPS or Enhanced HTTP, a workgroup or Azure AD-joined client can securely access content from distribution points without the need for a network access account. Dieses Verhalten umfasst die Bereitstellung von Betriebssystemen mit einer Tasksequenz, die über Startmedien, PXE oder das Softwarecenter ausgeführt wird.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Weitere Informationen finden Sie unter Kommunikation zwischen Client und Verwaltungspunkt.For more information, see Client to management point communication.

Hinweis

Wenn Sie Erweitertes HTTP so konfigurieren, dass kein Netzwerkzugriffskonto erforderlich ist, muss auf dem Verteilungspunkt Windows Server 2012 oder höher ausgeführt werden.If you enable Enhanced HTTP to not require the network access account, the distribution point needs to be running Windows Server 2012 or later.

BerechtigungenPermissions

Weisen Sie diesem Konto die minimal erforderlichen Berechtigungen für den Inhalt zu, der vom Client für den Zugriff auf die Software benötigt wird.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. Das Konto muss über die Berechtigung Auf diesen Computer vom Netzwerk aus zugreifen für den Verteilungspunkt verfügen.The account must have the Access this computer from the network right on the distribution point. Sie können bis zu 10 Netzwerkzugriffskonten pro Standort konfigurieren.You can configure up to 10 network access accounts per site.

Erstellen Sie das Konto in einer Domäne, die den erforderlichen Zugriff auf Ressourcen ermöglicht.Create the account in any domain that provides the necessary access to resources. Das Netzwerkzugriffskonto muss immer einen Domänennamen enthalten.The network access account must always include a domain name. Pass-Through-Sicherheit wird für dieses Konto nicht unterstützt.Pass-through security isn't supported for this account. Wenn es Verteilungspunkte in mehreren Domänen gibt, erstellen Sie das Konto in einer vertrauenswürdigen Domäne.If you have distribution points in multiple domains, create the account in a trusted domain.

Tipp

Zur Vermeidung von Kontosperrungen sollten Sie das Kennwort für ein vorhandenes Netzwerkzugriffskonto nicht ändern.To avoid account lockouts, don't change the password on an existing network access account. Erstellen Sie stattdessen ein neues Konto, und richten Sie das neue Konto in Configuration Manager ein.Instead, create a new account and set up the new account in Configuration Manager. Wenn genügend Zeit verstrichen ist, sodass alle Clients die neuen Kontodetails empfangen haben, entfernen Sie das alte Konto aus den freigegebenen Netzwerkordnern, und löschen Sie es.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Wichtig

Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung.Don't grant interactive sign-in rights to this account.

Gewähren Sie diesem Konto nicht das Recht, der Domäne Computer hinzuzufügen.Don't grant this account the right to join computers to the domain. Wenn während einer Tasksequenz Computer der Domäne beitreten müssen, verwenden Sie hierfür das Domänenbeitrittskonto für Tasksequenzen.If you must join computers to the domain during a task sequence, use the Task sequence domain join account.

Konfigurieren des NetzwerkzugriffskontosConfigure the network access account

  1. Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Wählen Sie dann den Standort aus.Then select the site.

  2. Klicken Sie in der Gruppe Einstellungen auf das Menüband, und klicken Sie anschließend auf Standortkomponenten konfigurieren und dann auf Softwareverteilung.On the Settings group of the ribbon, select Configure Site Components, and choose Software Distribution.

  3. Wählen Sie die Registerkarte Netzwerkzugriffskonto aus. Konfigurieren Sie mindestens ein Konto, und wählen Sie dann OK.Choose the Network access account tab. Set up one or more accounts, and then choose OK.

PaketzugriffskontoPackage access account

Mit einem Paketzugriffskonto können Sie durch Festlegen von NTFS-Berechtigungen angeben, welche Benutzer und Benutzergruppen auf Paketinhalte auf Verteilungspunkten zugreifen können.A Package access account lets you set NTFS permissions to specify the users and user groups that can access package content on distribution points. Standardmäßig wird in Configuration Manager nur Zugriff auf die allgemeinen Zugriffskonten Benutzer und Administratoren gewährt.By default, Configuration Manager grants access only to the generic access accounts User and Administrator. Sie können den Zugriff für Clientcomputer über zusätzliche Windows-Konten oder -Gruppen steuern.You can control access for client computers by using additional Windows accounts or groups. Mobile Geräte rufen Paketinhalte immer anonym ab und verwenden daher kein Paketzugriffskonto.Mobile devices always retrieve package content anonymously, so they don't use a package access account.

Wenn die Inhaltsdateien von Configuration Manager auf einen Verteilungspunkt kopiert werden, werden standardmäßig die folgenden Berechtigungen erteilt: Lesen für die lokale Gruppe Benutzer und Vollzugriff für die lokale Gruppe Administratoren.By default, when Configuration Manager copies the content files to a distribution point, it grants Read access to the local Users group, and Full Control to the local Administrators group. Die tatsächlich erforderlichen Berechtigungen hängen vom jeweiligen Paket ab.The actual permissions required depend on the package. Von Clients in Arbeitsgruppen oder nicht vertrauenswürdigen Gesamtstrukturen wird das Netzwerkzugriffskonto zum Zugriff auf den Paketinhalt verwendet.If you have clients in workgroups or in untrusted forests, those clients use the network access account to access the package content. Stellen Sie anhand der definierten Paketzugriffskonten sicher, dass das Netzwerkzugriffskonto über Berechtigungen für das Paket verfügt.Make sure that the network access account has permissions to the package by using the defined package access accounts.

Verwenden Sie Konten in einer Domäne mit Zugriff auf die Verteilungspunkte.Use accounts in a domain that can access the distribution points. Wenn Sie das Konto nach der Paketerstellung erstellen oder ändern, müssen Sie das Paket erneut verteilen.If you create or modify the account after you create the package, you must redistribute the package. Beim Aktualisieren des Pakets werden die NTFS-Berechtigungen für das Paket nicht geändert.Updating the package doesn't change the NTFS permissions on the package.

Das Netzwerkzugriffskonto muss nicht als Paketzugriffskonto hinzugefügt werden, da es Mitglied der Gruppe Benutzer ist und somit standardmäßig hinzugefügt wird.You don't have to add the network access account as a package access account, because membership of the Users group adds it automatically. Der Zugriff von Clients auf das Paket kann nicht dadurch verhindert werden, dass das Paketzugriffskonto auf das Netzwerkzugriffskonto beschränkt wird.Restricting the package access account to only the network access account doesn't prevent clients from accessing the package.

Verwalten von PaketzugriffskontenManage package access accounts

  1. Wählen Sie in der Configuration Manager-Konsole die Option Softwarebibliothek aus.In the Configuration Manager console, choose Software Library.

  2. Legen Sie im Arbeitsbereich Softwarebibliothek den Typ des Inhalts fest, für den Sie Zugriffskonten verwalten möchten, und befolgen Sie die angegebenen Schritte:In the Software Library workspace, determine the type of content for which you want to manage access accounts, and follow the steps provided:

    • Anwendung: Erweitern Sie Anwendungsverwaltung, klicken Sie auf Anwendung, und wählen Sie dann die Anwendungen aus, für die Sie Zugriffskonten verwalten möchten.Application: Expand Application Management, choose Applications, and then select the application for which to manage access accounts.

    • Paket: Erweitern Sie Anwendungsverwaltung, klicken Sie auf Pakete, und wählen Sie dann die Pakete aus, für die Sie Zugriffskonten verwalten möchten.Package: Expand Application Management, choose Packages, and then select the package for which to manage access accounts.

    • Softwareupdate-Bereitstellungspakete: Erweitern Sie Softwareupdates, klicken Sie auf Bereitstellungspakete, und wählen Sie dann die Bereitstellungspakete aus, für die Sie Zugriffskonten verwalten möchten.Software update deployment package: Expand Software Updates, choose Deployment Packages, and then select the deployment package for which to manage access accounts.

    • Treiberpaket: Erweitern Sie Betriebssysteme, klicken Sie auf Treiberpakete, und wählen Sie dann die Treiberpakete aus, für die Sie Zugriffskonten verwalten möchten.Driver package: Expand Operating Systems, choose Driver Packages, and then select the driver package for which to manage access accounts.

    • Betriebssystemabbild: Erweitern Sie Betriebssysteme, klicken Sie auf Betriebssystemabbilder, und wählen Sie dann die Betriebssystemimages aus, für die Sie Zugriffskonten verwalten möchten.OS image: Expand Operating Systems, choose Operating System Images, and then select the operating system image for which to manage access accounts.

    • Betriebssystem-Upgradepaket: Erweitern Sie Betriebssysteme, klicken Sie auf Betriebssysteminstallationspakete, und wählen Sie dann die Betriebssystem-Upgradepakete aus, für die Sie Zugriffskonten verwalten möchten.OS upgrade package: Expand Operating Systems, choose Operating system upgrade packages, and then select the OS upgrade package for which to manage access accounts.

    • Startimage: Erweitern Sie Betriebssysteme, klicken Sie auf Startabbilder, und wählen Sie dann das Startimage aus, für das Sie Zugriffskonten verwalten möchten.Boot image: Expand Operating Systems, choose Boot Images, and then select the boot image for which to manage access accounts.

  3. Klicken Sie mit der rechten Maustaste auf das ausgewählte Objekt, und wählen Sie dann Zugriffskonten verwalten.Right-click the selected object, and then choose Manage Access Accounts.

  4. Geben Sie im Dialogfeld Konto hinzufügen den Kontotyp an, dem Zugriff auf den Inhalt gewährt werden soll, und geben Sie dann die Zugriffsrechte an, die dem Konto zugeordnet sind.In the Add Account dialog box, specify the account type that will be granted access to the content, and then specify the access rights associated with the account.

    Hinweis

    Wenn Sie einen Benutzernamen für das Konto hinzufügen und Configuration Manager sowohl ein lokales Benutzerkonto als auch ein Domänenbenutzerkonto mit diesem Namen findet, legt Configuration Manager Zugriffsrechte für das Domänenbenutzerkonto fest.When you add a user name for the account, and Configuration Manager finds both a local user account and a domain user account with that name, Configuration Manager sets access rights for the domain user account.

Konto des Reporting Services-PunktsReporting services point account

Das Konto des Reporting Services-Punkts wird von SQL Server Reporting Services zum Abrufen der Daten für Configuration Manager-Berichte aus der Standortdatenbank verwendet.SQL Server Reporting Services uses the Reporting services point account to retrieve the data for Configuration Manager reports from the site database. Das von Ihnen angegebene Windows-Benutzerkonto und das dazugehörende Kennwort werden verschlüsselt und in der SQL Server Reporting Services-Datenbank gespeichert.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Hinweis

Das angegebene Konto muss auf dem Computer, auf dem die SQL Server Reporting Services-Datenbank gehostet wird, über die Berechtigung zur lokalen Anmeldung verfügen.The account you specify must have Log on locally permissions on the computer hosting the SQL Server Reporting Services database.

Hinweis

Indem das Konto in der Configuration Manager-Datenbank zur SQL Server-Datenbankrolle „smsschm_users“ hinzugefügt wird, erhält es automatisch alle erforderlichen Rechte.The account is automatically granted all necessary rights by being added to the smsschm_users SQL Server Database Role on the Configuration Manager database.

Weitere Informationen finden Sie unter Einführung in die Berichterstellung.For more information, see Introduction to reporting.

Informationen zu Konten für zugelassene Viewer für RemotetoolsRemote tools permitted viewer accounts

Bei den Konten, die Sie als Zugelassene Betrachter für die Remotesteuerung festlegen, handelt es sich um eine Liste der Benutzer, die die Remotetoolsfunktion auf Clients verwenden dürfen.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Weitere Informationen finden Sie unter Einführung in die Remotesteuerung.For more information, see Introduction to remote control.

StandortinstallationskontoSite installation account

Verwenden Sie ein Domänenbenutzerkonto, um sich bei dem Server anzumelden, auf dem das Setup von Configuration Manager ausgeführt wird, und installieren Sie einen neuen Standort.Use a domain user account to sign in to the server where you run Configuration Manager setup and install a new site.

Für dieses Konto sind folgende Rechte erforderlich:This account requires the following rights:

  • Administrator auf den folgenden Servern:Administrator on the following servers:

    • Der StandortserverThe site server
    • Jedem Server, der die Standortdatenbank hostetEach server that hosts the site database
    • Jeder Instanz des SMS-Anbieters für den StandortEach instance of the SMS Provider for the site
  • Sysadmin für die SQL Server-Instanz, die die Standortdatenbank hostetSysadmin on the instance of SQL Server that hosts the site database

Das Setup von Configuration Manager fügt dieses Konto automatisch zur Gruppe SMS-Administratoren hinzu.Configuration Manager setup automatically adds this account to the SMS Admins group.

Nach der Installation ist dieses Konto der einzige Benutzer mit Berechtigungen für die Configuration Manager-Konsole.After installation, this account is the only user with rights to the Configuration Manager console. Wenn Sie dieses Konto entfernen müssen, sollten Sie dessen Rechte zuvor an einen anderen Benutzer übertragen.If you need to remove this account, make sure to add its rights to another user first.

Wenn ein eigenständiger Standort um einen Standort der zentralen Verwaltung erweitert wird, benötigt dieses Konto die rollenbasierten Administratorrechte Hauptadministrator oder Infrastrukturadministrator auf dem eigenständigen primären Standort.When expanding a standalone site to include a central administration site, this account requires either Full Administrator or Infrastructure Administrator role-based administration rights at the standalone primary site.

Standortsystem-InstallationskontoSite system installation account

Die Standortsystem-Installationskonten werden vom Standortserver zur Installation, erneuten Installation, Deinstallation und Einrichtung von Standortsystemen verwendet.The site server uses the Site system installation account to install, reinstall, uninstall, and set up site systems. Wenn Sie das Standortsystem so einrichten, dass Verbindungen mit diesem Standortsystem vom Standortserver initiiert werden müssen, wird dieses Konto von Configuration Manager auch dazu verwendet, Daten nach der Installation des Standortsystems und der Rollen vom Standortsystem abzurufen.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system after it installs the site system and any roles. Jedes Standortsystem kann ein anderes Installationskonto aufweisen. Sie können aber nur ein Installationskonto für die Verwaltung aller Rollen in diesem Standortsystem einrichten.Each site system can have a different installation account, but you can set up only one installation account to manage all roles on that site system.

Für dieses Konto sind lokale Administratorberechtigungen auf den angezielten Standortsystemen erforderlich.This account requires local administrative permissions on the target site systems. Darüber hinaus muss dieses Konto die Berechtigung Auf diesen Computer vom Netzwerk aus zugreifen in der Sicherheitsrichtlinie auf den angezielten Standortsystemen aufweisen.Additionally, this account must have Access this computer from the network in the security policy on the target site systems.

Tipp

Falls Sie mit vielen Domänencontrollern arbeiten und diese Konten domänenübergreifend verwendet werden, überprüfen Sie vor dem Setup des Standortsystems, ob Active Directory diese Konten repliziert hat.If you have many domain controllers and these accounts are used across domains, before you set up the site system, check that Active Directory has replicated these accounts.

Das Festlegen eines lokalen Kontos auf den zu verwaltenden Standortsystemen bietet ein höheres Maß an Sicherheit als der Einsatz von Domänenkonten.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts. Dadurch wird der Schaden reduziert, den Angreifer anrichten können, wenn das Konto kompromittiert ist.It limits the damage that attackers can do if the account is compromised. Allerdings sind Domänenkonten einfacher zu verwalten.However, domain accounts are easier to manage. Berücksichtigen Sie den Kompromiss zwischen Sicherheit und effektiver Verwaltung.Consider the trade-off between security and effective administration.

Proxyserverkonto des StandortsystemsSite system proxy server account

Die folgenden Standortsystemrollen verwenden das Proxyserverkonto des Standortsystems, um über einen Proxyserver oder eine Firewall, für die ein authentifizierter Zugriff erforderlich ist, auf das Internet zuzugreifen:The following site system roles use the Site system proxy server account to access the internet via a proxy server or firewall that requires authenticated access:

  • Asset Intelligence-SynchronisierungspunktAsset Intelligence synchronization point
  • Exchange Server-ConnectorExchange Server connector
  • DienstverbindungspunktService connection point
  • SoftwareupdatepunktSoftware update point

Wichtig

Geben Sie ein Konto mit den geringstmöglichen Berechtigungen für den erforderlichen Proxyserver bzw. für die erforderliche Firewall an.Specify an account that has the least possible permissions for the required proxy server or firewall.

Weitere Informationen finden Sie unter Unterstützung von Proxyservern.For more information, see Proxy server support.

Verbindungskonto für SMTP-ServerSMTP server connection account

Über das Verbindungskonto für SMTP-Server werden vom Standortserver per E-Mail Warnungen an den SMTP-Server gesendet, wenn für den SMTP-Server ein authentifizierter Zugriff erforderlich ist.The site server uses the SMTP server connection account to send email alerts when the SMTP server requires authenticated access.

Wichtig

Geben Sie ein Konto mit den geringstmöglichen Berechtigungen zum Senden von E-Mails an.Specify an account that has the least possible permissions to send emails.

Weitere Informationen finden Sie unter Konfigurieren von Warnungen.For more information, see Configure alerts.

Verbindungskonto des SoftwareupdatepunktsSoftware update point connection account

Das Verbindungskonto des Softwareupdatepunkts wird vom Standortserver für die beiden folgenden Softwareupdatedienste verwendet:The site server uses the Software update point connection account for the following two software update services:

  • Die Windows Server Update Services (WSUS), die Einstellungen wie Produktdefinitionen, Klassifizierungen und Upstreameinstellungen einrichtenWindows Server Update Services (WSUS), which sets up settings like product definitions, classifications, and upstream settings.

  • WSUS-Synchronisierungs-Manager, von dem bei einem WSUS-Upstreamserver oder Microsoft Update eine Synchronisierung angefordert wirdWSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

Mit dem Standortsystem-Installationskonto können zwar Komponenten für Softwareupdates installiert, aber keine softwareupdatespezifischen Funktionen auf dem Softwareupdatepunkt ausgeführt werden.The site system installation account can install components for software updates, but it can't perform software update-specific functions on the software update point. Falls Sie das Computerkonto des Standortservers für diese Funktion nicht verwenden können, weil sich der Softwareupdatepunkt in einer nicht vertrauenswürdigen Gesamtstruktur befindet, müssen Sie dieses Konto zusätzlich zum Standortsystem-Installationskonto angeben.If you can't use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the site system installation account.

Dieses Konto muss ein lokaler Administrator auf dem Computer sein, auf dem Sie WSUS installieren.This account must be a local administrator on the computer where you install WSUS. Zudem muss es Teil der lokalen Gruppe WSUS-Administratoren sein.It must also be part of the local WSUS Administrators group.

Weitere Informationen finden Sie unter Planen von Softwareupdates.For more information, see Plan for software updates.

Konto des QuellstandortsSource site account

Über das Konto des Quellstandorts wird vom Migrationsprozess auf den SMS-Anbieter des Quellstandorts zugegriffen.The migration process uses the Source site account to access the SMS Provider of the source site. Für dieses Konto ist die Berechtigung Lesen für Standortobjekte am Quellstandort erforderlich, damit Daten für Migrationsaufträge gesammelt werden können.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Wenn Sie über Verteilungspunkte von Configuration Manager 2007 oder über sekundäre Standorte mit verbundenen Verteilungspunkten verfügen und diese auf den Current Branch von Configuration Manager upgraden, muss das Konto die Berechtigung Löschen für die Klasse Standort besitzen.If you have Configuration Manager 2007 distribution points or secondary sites with colocated distribution points, when you upgrade them to Configuration Manager (current branch) distribution points, this account must also have Delete permissions to the Site class. Diese Berechtigung ist erforderlich, um den Verteilungspunkt während des Upgrades erfolgreich aus dem Configuration Manager 2007-Standort zu entfernen.This permission is to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Hinweis

Sowohl das Konto des Quellstandorts als auch das Konto der Datenbank des Quellstandorts werden in der Configuration Manager-Konsole im Knoten Konten des Arbeitsbereichs Verwaltung als Migrations-Manager bezeichnet.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Weitere Informationen finden Sie unter Migrieren von Daten zwischen Hierarchien.For more information, see Migrate data between hierarchies.

Konto der Datenbank des QuellstandortsSource site database account

Über das Konto der Datenbank des Quellstandorts greift der Migrationsprozess auf die SQL Server-Datenbank für den Quellstandort zu.The migration process uses the Source site database account to access the SQL Server database for the source site. Damit von der SQL Server-Datenbank des Quellstandorts Daten gesammelt werden können, muss das Konto der Datenbank des Quellstandorts über die Berechtigungen Lesen und Ausführen für die SQL Server-Datenbank des Quellstandorts verfügen.To gather data from the SQL Server database of the source site, the source site database account must have the Read and Execute permissions to the source site's SQL Server database.

Falls Sie das Configuration Manager-Computerkonto (Current Branch) verwenden, vergewissern Sie sich, dass Folgendes auf dieses Konto zutrifft:If you use the Configuration Manager (current branch) computer account, make sure that all the following are true for this account:

  • Es gehört der Sicherheitsgruppe Distributed COM-Benutzer in der Domäne an, in der sich auch der Configuration Manager 2007-Standort befindet.It's a member of the Distributed COM Users security group in the same domain as the Configuration Manager 2007 site
  • Es gehört der Sicherheitsgruppe SMS-Administratoren an.It's a member of the SMS Admins security group
  • Es hat Leseberechtigung für alle Configuration Manager 2007-Objekte.It has the Read permission to all Configuration Manager 2007 objects

Hinweis

Sowohl das Konto des Quellstandorts als auch das Konto der Datenbank des Quellstandorts werden in der Configuration Manager-Konsole im Knoten Konten des Arbeitsbereichs Verwaltung als Migrations-Manager bezeichnet.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Weitere Informationen finden Sie unter Migrieren von Daten zwischen Hierarchien.For more information, see Migrate data between hierarchies.

Domänenbeitrittskonto für TasksequenzenTask sequence domain join account

Windows Setup verwendet das Domänenbeitrittskonto für Tasksequenzen, um einen Computer, der neu aus einem Image erstellt wurde, zu einer Domäne hinzuzufügen.Windows Setup uses the Task sequence domain join account to join a newly imaged computer to a domain. Dieses Konto wird vom Tasksequenzschritt Einer Domäne oder Arbeitsgruppe beitreten mit der Option Einer Domäne beitreten benötigt.This account is required by the Join Domain or Workgroup task sequence step with the Join a domain option. Dieses Konto kann optional ebenfalls mit dem Schritt Netzwerkeinstellungen anwenden eingerichtet werden.This account can also be set up with the Apply Network Settings step, but it isn't required.

Das Konto muss über die Berechtigung Domäne beitreten für die Zieldomäne verfügen.This account requires the Domain Join right in the target domain.

Tipp

Erstellen Sie ein Domänenbenutzerkonto mit den mindestens erforderlichen Berechtigungen, um der Domäne beizutreten, und verwenden Sie diese für alle Tasksequenzen.Create one domain user account with the minimal permissions to join the domain, and use it for all task sequences.

Wichtig

Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldung zu.Don't assign interactive sign-in permissions to this account.

Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto.Don't use the network access account for this account.

Netzwerkordner-Verbindungskonto für TasksequenzenTask sequence network folder connection account

Die Tasksequenz-Engine verwendet das Netzwerkordner-Verbindungskonto für Tasksequenzen, um eine Verbindung mit einem freigegebenen Ordner im Netzwerk herzustellen.The task sequence engine uses the Task sequence network folder connection account to connect to a shared folder on the network. Dieses Konto ist für den Tasksequenzschritt Verbindung mit Netzwerkordner herstellen erforderlich.This account is required by the Connect to Network Folder task sequence step.

Dieses Konto erfordert Berechtigungen für den Zugriff auf den angegebenen freigegebenen Ordner.This account requires permissions to access the specified shared folder. Es muss ein Domänenbenutzerkonto sein.It must be a domain user account.

Tipp

Erstellen Sie ein Domänenbenutzerkonto mit den mindestens erforderlichen Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen, und verwenden Sie dieses für alle Tasksequenzen.Create one domain user account with minimal permissions to access the required network resources, and use it for all task sequences.

Wichtig

Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldung zu.Don't assign interactive sign-in permissions to this account.

Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto.Don't use the network access account for this account.

Ausführendes Konto für TasksequenzenTask sequence run as account

Die Tasksequenz-Engine verwendet das ausführende Konto für die Tasksequenz, um Befehlszeilen oder PowerShell-Skripts mit Anmeldeinformationen zu verwenden, die von denen des lokalen Systemkontos abweichen.The task sequence engine uses the Task sequence run as account to run command lines or PowerShell Scripts with credentials other than the Local System account. Dieses Konto ist für die Tasksequenzschritte Befehlszeile ausführen und PowerShell-Skript ausführen mit der Option Diesen Schritt mit folgendem Konto ausführen erforderlich.This account is required by the Run Command Line and Run PowerShell Script task sequence steps with the option Run this step as the following account chosen.

Das Konto muss mit den mindestens erforderlichen Berechtigungen zum Ausführen der in der Tasksequenz angegebenen Befehlszeile eingerichtet sein.Set up the account to have the minimum permissions required to run the command line that you specify in the task sequence. Für dieses Konto sind interaktive Anmelderechte erforderlich.The account requires interactive sign-in rights. Es muss üblicherweise dazu berechtigt sein, Software zu installieren und auf Netzwerkressourcen zuzugreifen.It usually requires the ability to install software and access network resources. Für den Tasksequenzschritt „PowerShell-Skript ausführen“ benötigt dieses Konto lokale Administratorberechtigungen.For the Run PowerShell Script task, this account requires local administrator permissions.

Wichtig

Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto.Don't use the network access account for this account.

Versehen Sie das Konto niemals mit Domänenadministratorrechten.Never make the account a domain admin.

Richten Sie niemals servergespeicherte Profile für dieses Konto ein.Never set up roaming profiles for this account. Wenn die Tasksequenz ausgeführt wird, wird das Roamingprofil für das Konto heruntergeladen.When the task sequence runs, it downloads the roaming profile for the account. Dadurch wird das Profil für den Zugriff auf dem lokalen Computer anfällig.This leaves the profile vulnerable to access on the local computer.

Beschränken Sie den Kontoumfang.Limit the scope of the account. Erstellen Sie beispielsweise unterschiedliche ausführende Konten für jede Tasksequenz.For example, create different task sequence run as accounts for each task sequence. Wenn ein Konto gefährdet ist, sind dadurch nur die Clientcomputer gefährdet, auf die dieses Konto Zugriff hat.Then if one account is compromised, only the client computers to which that account has access are compromised.

Wenn für die Befehlszeile Administratorrechte auf dem Computer erforderlich sind, erwägen Sie die Erstellung eines lokalen Administratorkontos lediglich für dieses Konto auf allen Computern, um die Tasksequenz auszuführen.If the command line requires administrative access on the computer, consider creating a local administrator account solely for this account on all computers that run the task sequence. Löschen Sie das Konto, wenn es nicht mehr benötigt wird.Delete the account once you no longer need it.

Benutzerobjekte, die von Configuration Manager in SQL Server verwendet werdenUser objects that Configuration Manager uses in SQL Server

Configuration Manager erstellt und verwaltet automatisch folgende Benutzerobjekte in SQL.Configuration Manager automatically creates and maintains the following user objects in SQL. Diese Objekte befinden sich in der Configuration Manager-Datenbank unter „Sicherheit/Benutzer“.These objects are located within the Configuration Manager database under Security/Users.

Wichtig

Das Ändern oder Entfernen dieser Objekte kann in einer Configuration Manager-Umgebung zu erheblichen Problemen führen.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Es empfiehlt sich, diese Objekte nicht zu ändern.We recommend you do not make any changes to these objects.

smsdbuser_ReadOnlysmsdbuser_ReadOnly

Dieses Objekt dient zum Ausführen von Abfragen im schreibgeschützten Kontext.This object is used to run queries under the read-only context. Dieses Objekt wird mit mehreren gespeicherten Prozeduren genutzt.This object is leveraged with several stored procedures.

smsdbuser_ReadWritesmsdbuser_ReadWrite

Dieses Objekt dient zum Bereitstellen von Berechtigungen für dynamische SQL-Anweisungen.This object is used to provide permissions for dynamic SQL statements.

smsdbuser_ReportSchemasmsdbuser_ReportSchema

Dieses Objekt dient zum Ausführen von SQL Server Reporting-Instanzen.This object is used to run SQL Server Reporting Executions. Die folgende gespeicherte Prozedur wird mit dieser Funktion verwendet: spSRExecQuery.The following stored procedure is used with this function: spSRExecQuery.

Datenbankrollen, die von Configuration Manager in SQL verwendet werdenDatabase roles that Configuration Manager uses in SQL

Configuration Manager erstellt und verwaltet automatisch folgende Rollenobjekte in SQL.Configuration Manager automatically creates and maintains the following role objects in SQL. Diese Rollen ermöglichen den Zugriff auf bestimmte gespeicherte Prozeduren, Tabellen, Sichten und Funktionen, um die erforderlichen Aktionen der einzelnen Rollen auszuführen, um Daten aus der Configuration Manager-Datenbank abzurufen oder Daten in sie einzufügen.These roles provide access to specific stored procedures, tables, views and functions to perform the needed actions of each role to either retrieve data or insert data to and from the Configuration Manager database. Diese Objekte befinden sich in der Configuration Manager-Datenbank unter „Security/Roles/Database Roles“.These objects are located within the Configuration Manager database under Security/Roles/Database Roles.

Wichtig

Das Ändern oder Entfernen dieser Objekte kann in einer Configuration Manager-Umgebung zu erheblichen Problemen führen.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Ändern Sie diese Objekte nicht.Don't change these objects. Die folgende Liste dient nur zu Informationszwecken.The following list is for information purposes only.

smsdbrole_AIToolsmsdbrole_AITool

Asset Intelligence-Volumenlizenzimport.Asset Intelligence Volume Licenses import. Configuration Manager erteilt diese Berechtigung für Benutzerkonten basierend auf dem RBA-Zugriff, um die Volumenlizenz für die Verwendung mit Asset Intelligence importieren zu können.Configuration Manager grants this permission to users accounts based on RBA access to be able to import volume license to be used with Asset Intelligence. Dieses Konto kann mit einer vollständigen Administratorrolle oder einer Asset-Manager-Rolle hinzugefügt werden.This account could be added by a full administrator role or an Asset Manager role.

smsdbrole_AIUSsmsdbrole_AIUS

Asset Intelligence-Updatesynchronisierung.Asset Intelligence Update Synchronization. Configuration Manager erteilt dem Computerkonto, das das Konto für den Asset Intelligence-Synchronisierungspunkt hostet, Zugriff für den Abruf von Asset Intelligence-Proxydaten und das Anzeigen ausstehender KI-Daten für den Upload.Configuration Manager grants the computer account that host the Asset Intelligence Synchronization Point account access to get Asset Intelligence proxy data and to view pending AI data for upload.

smsdbrole_AMTSPsmsdbrole_AMTSP

Out-of-Band-Verwaltung.Out of Band Management. Diese Rolle wird von der Configuration Manager AMT-Rolle zum Abrufen von Daten auf Geräten verwendet, die Intel AMT unterstützt haben.This role is used by Configuration Manager AMT role to retrieve data on devices that supported Intel AMT.

Hinweis

Diese Rolle ist in neueren Versionen von Configuration Manager veraltet.This role is deprecated in newer releases of Configuration Manager.

smsdbrole_CRPsmsdbrole_CRP

Der Zertifikatregistrierungspunkt zur Unterstützung des Simple Certificate Enrollment-Protokolls (SCEP).Certificate registration point to support Simple Certificate Enrollment Protocol (SCEP). Configuration Manager gewährt die Berechtigung für das Computerkonto des Standortsystems, das den Zertifikatregistrierungspunkt für SCEP-Unterstützung für Signierung und Erneuerung von Zertifikaten unterstützt.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point for SCEP support for certificate signing and renewal.

smsdbrole_CRPPfxsmsdbrole_CRPPfx

PFX-Unterstützung des Zertifikatregistrierungspunks.Certificate Registration Point PFX support. Configuration Manager gewährt die Berechtigung für das Computerkonto des Standortsystems, das den Zertifikatregistrierungspunkt unterstützt, der für PFX-Unterstützung für Signierung und Erneuerung von Zertifikaten konfiguriert ist.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point configured for PFX support for signing and renewal.

smsdbrole_DMPsmsdbrole_DMP

Geräteverwaltungspunkt.Device Management Point. Configuration Manager gewährt diese Berechtigung dem Computerkonto für einen Verwaltungspunkt mit der Option „Verwendung dieses Verwaltungspunkts durch mobile Geräte und Macintosh-Computer zulassen“, um Unterstützung für bei MDM angemeldete Geräte bereitzustellen.Configuration Manager grants this permission to computer account for a Management Point that has the option, "Allow mobile devices and Mac Computer to uses this management point", the ability to provide support for MDM enrolled devices.

smsdbrole_DmpConnectorsmsdbrole_DmpConnector

Dienstverbindungspunkt.Service Connection Point. Configuration Manager erteilt diese Berechtigung dem Computerkonto, das den Dienstverbindungspunkt hostet, um Telemetriedaten abzurufen und bereitzustellen, Cloud Services zu verwalten und Dienstupdates abzurufen.Configuration Manager grants this permission to the computer account that host the Service Connection Point to retrieve and provide telemetry data, manage cloud services, and retrieve service updates.

smsdbrole_DViewAccesssmsdbrole_DViewAccess

Verteilte Ansichten.Distributed Views. Configuration Manager gewährt diese Berechtigung dem Computerkonto der primären Standortserver für CAS, wenn in den Eigenschaften der Replikationsverknüpfung die Option „Verteilte SQL Server-Ansichten“ ausgewählt ist.Configuration Manager grants this permission to the computer account of the Primary Site Servers on the CAS when the SQL Server distributed views option is selected in the replication link properties.

smsdbrole_DWSSsmsdbrole_DWSS

Data Warehouse.Data Warehouse. Configuration Manager erteilt diese Berechtigung dem Computerkonto, das die Data Warehouse-Rolle hostet.Configuration Manager grants this permission to the computer account that host the Data Warehouse role.

smsdbrole_EnrollSvrsmsdbrole_EnrollSvr

Anmeldungspunkt.Enrollment Point. Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den Anmeldungspunkt hostet, um die Geräteregistrierung über MDM zuzulassen.Configuration Manager grants this permission to the computer account that host the Enrollment Point to allow for device enrollment via MDM.

smsdbrole_extractsmsdbrole_extract

Bietet Zugriff auf alle erweiterten Schemaansichten.Provides access to all the extended schema views.

smsdbrole_HMSUsersmsdbrole_HMSUser

Hierarchie-Manager-Dienst.Hierarchy Manager Service. Configuration Manager erteilt Berechtigungen für dieses Konto, um Failoverstatusmeldungen und SQL Server Broker-Transaktionen zwischen Standorten innerhalb einer Hierarchie zu verwalten.Configuration Manager grants permissions this account to manage failover state messages and SQL Server Broker transactions between sites within a hierarchy.

Hinweis

Die smdbrole_WebPortal-Rolle ist standardmäßig ein Mitglied dieser Rolle.The smdbrole_WebPortal role is a member of this role by default.

smsdbrole_MCSsmsdbrole_MCS

Multicast-Dienst.Multicast Service. Configuration Manager erteilt diese Berechtigung dem Computerkonto des Verteilungspunkts, der Multicast unterstützt.Configuration Manager grants this permission to the computer account of the Distribution Point that supports multicast.

smsdbrole_MPsmsdbrole_MP

Verwaltungspunkt.Management Point. Configuration Manager erteilt diese Berechtigung für das Computerkonto, das die Verwaltungspunktrolle hostet, um Unterstützung für Configuration Manager-Clients bereitzustellen.Configuration Manager grants this permission to the computer account that host the Management Point role to provide support for the Configuration Manager clients.

smsdbrole_MPMBAMsmsdbrole_MPMBAM

Verwaltungspunkt für Microsoft BitLocker Administration and Monitoring.Management Point Microsoft BitLocker Administration and Monitoring. Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den Verwaltungspunkt hostet, der MBAM für eine Umgebung verwaltet.Configuration Manager grants this permission to the computer account that host the Management Point that manages MBAM for an environment.

smsdbrole_MPUserSvcsmsdbrole_MPUserSvc

Verwaltungspunkt-Anwendungsanforderung.Management Point Application Request. Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den Verwaltungspunkt hostet, um benutzerbasierte Anwendungsanforderungen zu unterstützen.Configuration Manager grants this permission to the computer account that host the Management Point to support user-based application requests.

smsdbrole_siteprovidersmsdbrole_siteprovider

SMS-Anbieter.SMS Provider. Configuration Manager erteilt diese Berechtigung dem Computerkonto, das eine SMS-Anbieterrolle hostet.Configuration Manager grants this permission to the computer account that host a SMS Provider role.

smsdbrole_siteserversmsdbrole_siteserver

Standortserver.Site Server. Configuration Manager erteilt diese Berechtigung dem Computerkonto, der den primären oder den CAS-Standort hostet.Configuration Manager grants this permission to the computer account that host the Primary or CAS Site.

smsdbrole_SUPsmsdbrole_SUP

Softwareupdatepunkt.Software Update Point. Configuration Manager erteilt diese Berechtigung für das Computerkonto, das den Softwareupdatepunkt für das Arbeiten mit Drittanbieterupdates hostet.Configuration Manager grants this permission to the computer account that host the Software Update Point for working with Third party updates.

smsschm_userssmsschm_users

Benutzerberichtzugriff.User Reporting access. Configuration Manager gewährt den Zugriff auf das Konto, das für das Konto des Reporting Services-Punkts verwendet wird, um den Zugriff auf die SMS-Berichtsansichten zum Anzeigen der Configuration Manager-Berichtsdaten zu ermöglichen.Configuration Manager grants access to the account used for the Reporting Services point account to allow access to the SMS reporting views to display the Configuration Manager reporting data. Die Daten werden durch die Verwendung von RBA weiter eingeschränkt.The data is further restricted with the use of RBA.

Erweiterte BerechtigungenElevated permissions

Configuration Manager erfordert, dass einige Konten über erweiterte Berechtigungen für laufende Vorgänge verfügen.Configuration Manager requires some accounts to have elevated permissions for on-going operations. Ziehen Sie z. B. Voraussetzungen für die Installation eines primären Standorts zurate.For example, see Prerequisites for installing a primary site. In der folgenden Liste sind diese Berechtigungen aufgeführt und die Gründe zusammengefasst, warum sie benötigt werden.The following list summarizes these permissions and the reasons why they're needed.

  • Das Computerkonto des primären Standortservers und des Standortservers der zentralen Verwaltung erfordert:The computer account of the primary site server and central administration site server requires:

    • Lokale Administratorrechte für alle Standortsystemserver.Local Administrator rights on all site system servers. Diese Berechtigung dient dazu, Systemdienste zu verwalten, zu installieren und zu entfernen.This permission is to manage, install, and remove system services. Beim Hinzufügen oder Entfernen von Rollen werden vom Standortserver auch lokale Gruppen auf dem Standortsystem aktualisiert.The site server also updates local groups on the site system when you add or remove roles.

    • Systemadministratorzugriff auf die SQL Server-Instanz für die Standortdatenbank.Sysadmin access to the SQL Server instance for the site database. Diese Berechtigung dient dazu, SQL Server für den Standort zu konfigurieren und zu verwalten.This permission is to configure and manage SQL Server for the site. Configuration Manager ist nicht nur eine Datenbank, sondern eng in SQL integriert.Configuration Manager tightly integrates with SQL, it's not just a database.

  • Benutzerkonten in der Rolle „Hauptadministrator“ erfordern Folgendes:User accounts in the Full Administrator role require:

    • Lokale Administratorrechte auf allen Standortservern.Local Administrator rights on all site servers. Diese Berechtigung dient dazu, Systemdienste, Registrierungsschlüssel und -werte sowie WMI-Objekte anzuzeigen, zu bearbeiten, zu entfernen und zu installieren.This permission is to view, edit, remove, and install system services, registry keys and values, and WMI objects.

    • Systemadministratorzugriff auf die SQL Server-Instanz für die Standortdatenbank.Sysadmin access to the SQL Server instance for the site database. Diese Berechtigung dient dazu, die Datenbank während des Setups oder der Wiederherstellung zu installieren und zu aktualisieren.This permission is to install and update the database during setup or recovery. Sie ist auch für die Wartung und den Betrieb von SQL Server erforderlich,It's also required for SQL Server maintenance and operations. beispielsweise das Neuindizieren und Aktualisieren von Statistiken.For example, reindexing and updating statistics.

      Hinweis

      Einige Organisationen entscheiden sich möglicherweise dafür, den Systemadministratorzugriff zu entfernen und ihn nur bei Bedarf zu gewähren.Some organizations may choose to remove sysadmin access and only grant it when it is required. Dieses Verhalten wird manchmal als „Just-in-Time (JIT)-Zugriff“ bezeichnet.This behavior is sometimes referred to as "just-in-time (JIT) access." In diesem Fall sollten Benutzer mit der Rolle „Hauptadministrator“ aber dennoch Zugriff zum Lesen, Aktualisieren und Ausführen gespeicherter Prozeduren in der Configuration Manager-Datenbank erhalten.In this case, users with the Full Administrator role should still have access to read, update, and execute stored procedures on the Configuration Manager database. Diese Berechtigungen ermöglichen es ihnen, die meisten Probleme ohne uneingeschränkten Systemadministratorzugriff zu beheben.These permissions allow them to troubleshoot most issues without full sysadmin access.