Konfigurieren von DCOM-Berechtigungen für Configuration Manager-Konsolenverbindungen

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Das Benutzerkonto, unter dem die Configuration Manager-Konsole ausgeführt wird, benötigt Berechtigungen für den Zugriff auf die Standortdatenbank durch den SMS-Anbieter. Wenn ein Administrator eine Configuration Manager-Remotekonsole verwendet, benötigt er DCOM-Berechtigungen für eine Remoteaktivierung auf dem Standortservercomputer und dem SMS-Anbietercomputer.

Mithilfe der Sicherheitsgruppe „SMS-Administratoren“ werden dem SMS-Anbieter Zugriffsberechtigungen erteilt. Benutzerkonten für Administratoren, die die Configuration Manager-Konsole ausführen, müssen Mitglied der Gruppe „SMS-Administratoren“ sein. Darüber hinaus müssen der Gruppe „SMS-Administratoren“ mithilfe der folgenden Prozedur die erforderlichen DCOM-Aktivierungsberechtigungen erteilt werden.

Hinweis

Wenn Sie den SMS-Anbieter während der Configuration Manager 2007-Installation auf einem Remotecomputer installiert haben, müssen Sie diese Prozedur auf dem Standortserver und auf dem Remotecomputer des SMS-Anbieters ausführen. Bei Installation des SMS-Anbieters auf dem Standortservercomputer ist diese Prozedur nur auf dem Standortserver erforderlich.

Wichtig

Von der Configuration Manager-Konsole wird mithilfe von WMI eine Verbindung mit dem SMS-Anbieter hergestellt, wobei WMI intern DCOM verwendet. Aus diesem Grund benötigt Configuration Manager Berechtigungen zum Aktivieren eines DCOM-Servers auf dem Anbietercomputer, wenn die Configuration Manager-Konsole auf einem anderen Computer als dem SMS-Anbieter ausgeführt wird. Die Berechtigung zur Remoteaktivierung wird standardmäßig nur den Mitgliedern der integrierten Gruppe „Administratoren“ erteilt. Wenn der Gruppe „SMS-Administratoren“ die Berechtigung „Remoteaktivierung“ erteilt wird, kann jedes Mitglied der Gruppe DCOM-Angriffe gegen den SMS-Anbietercomputer unternehmen, und zudem vergrößert sich die Angriffsfläche des Computers. Sie können diese Bedrohung abwenden, indem Sie sorgfältig überwachen, wer Mitglied der Gruppe „SMS-Administratoren“ ist. Weitere Informationen zu den Risiken, die mit dem Erteilen der Berechtigung „Remoteaktivierung“ verbunden sind, finden Sie im Artikel über DCOM-Sicherheitsverbesserungen in Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 unter https://go.microsoft.com/fwlink/?LinkId=86101 (möglicherweise in englischer Sprache).

So erteilen Sie der Gruppe „SMS-Administratoren“ die Berechtigung „Remoteaktivierung“

  1. Klicken Sie im Menü Start auf Ausführen, und geben Sie Dcomcnfg.exe ein.

  2. Klicken Sie unter Komponentendienste auf Konsolenstamm, erweitern Sie Komponentendienste und dann Computer, und klicken Sie anschließend auf Arbeitsplatz. Klicken Sie im Menü Aktion auf Eigenschaften.

  3. Klicken Sie im Dialogfeld Eigenschaften von Arbeitsplatz auf der Registerkarte COM-Sicherheit im Abschnitt Start- und Aktivierungsberechtigungen auf Limits bearbeiten.

  4. Klicken Sie im Dialogfeld mit den Startberechtigungen auf Hinzufügen.

  5. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen im Feld Geben Sie die Namen der auszuwählenden Objekte ein (Beispiele): den Namen SMS-Administratoren ein, und klicken Sie auf OK.

  6. Aktivieren Sie im Abschnitt mit den Berechtigungen für SMS-Administratoren das Kontrollkästchen für die Remoteaktivierung.

  7. Klicken Sie zweimal auf OK, und schließen Sie dann die Computerverwaltung.

Siehe auch

Andere Ressourcen

Aufgaben zur Bereitstellung eines einzelnen Configuration Manager-Standorts

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com