Informationen zu den Konten, die für die Ausführung der Configuration Manager-Konsole verwendet werden

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – März 2008

Microsoft System Center Configuration Manager 2007-Administratoren können mithilfe der Configuration Manager 2007-Konsole Configuration Manager 2007-Standorte verwalten. Standardmäßig ist der Benutzer, der das Setup ausgeführt hat, der einzige Benutzer der Configuration Manager-Konsole, doch in den meisten Unternehmen ist es nötig, dass mehrere Benutzer Zugriff auf die Configuration Manager 2007-Konsole haben.

Erforderliche Rechte und Berechtigungen

Konsolenbenutzer müssen Mitglied der Gruppe „SMS-Administratoren“ oder einer Gruppe mit entsprechenden Rechten und Berechtigungen sein. Alle Administratoren, die eine Configuration Manager-Remotekonsole verwenden, benötigen zudem DCOM-Berechtigungen für eine Remoteaktivierung auf dem Standortservercomputer und dem SMS-Anbietercomputer. Weitere Informationen finden Sie unter Konfigurieren von DCOM-Berechtigungen für Configuration Manager-Konsolenverbindungen.

Für den Zugriff auf Objekte in der Configuration Manager 2007-Konsole ist es nicht ausreichend, einen Benutzer der Gruppe „SMS-Administratoren“ hinzuzufügen. Diesen Benutzern müssen auch Configuration Manager 2007-Sicherheitsrechte für alle Objekte erteilt werden, die von den Administratoren verwaltet werden. Weitere Informationen finden Sie unter Zuweisen von Rechten für Objekte zu Benutzern und Gruppen.

Benutzer der Configuration Manager 2007-Konsole benötigen keine Administratorrechte für den Computer mit der Configuration Manager 2007-Konsole. Verfügt der Benutzer jedoch nicht über lokale Administratorrechte, muss er zunächst die Microsoft Management Console (MMC) ausführen und dann das Configuration Manager 2007-Snap-In hinzufügen, um eine neue Konsolensitzung zu erstellen. Anschließend kann der Benutzer die Konsolensitzung speichern und die neue Sitzung ohne Administratorrechte auf dem lokalen Computer ausführen.

Wenn Sie jedoch auf dem Computer, auf dem Sie die die Configuration Manager 2007-Konsole ausführen, keine Administratorrechte besitzen, erhalten Sie beim Erstellen von Tasksequenzmedien eine Fehlermeldung, dass der Hashwert falsch ist.

In Configuration Manager 2007 SP1 muss Ihr Konto als AMT-Benutzerkonto konfiguriert sein, wenn Sie die Out-of-Band-Verwaltungskonsole ausführen möchten.

Konto- und Kennworterstellung

Die Konten werden vom Administrator des Netzwerkkontos erstellt und verwaltet.

Kontospeicherort

Bei den Konten handelt es sich in der Regel um Domänenkonten.

Kontowartung

Die Konten werden von einem Domänenadministrator in den Active Directory-Domänendiensten erstellt und verwaltet.

Bewährte Sicherheitsmethoden

Verwenden Sie komplexe Kennwörter für diese Konten.

Überwachen Sie die Benutzer, die Zugriff auf die Configuration Manager 2007-Konsole haben, genau, da es keinen Schutz vor einem vertrauenswürdigen Administrator gibt. Führen Sie Hintergrundüberprüfungen durch, bevor Sie Configuration Manager 2007-Administratoren einstellen. Führen Sie Sicherheitsüberwachungen ihrer administrativen Tätigkeiten durch.

Geben Sie stets mindestens einem Benutzer Vollzugriff auf alle Configuration Manager 2007-Objekte.

Weisen Sie dem Benutzer, der für die Configuration Manager 2007-Verwaltung zuständig ist, minimale Configuration Manager 2007-Sicherheitsrechte zu. Verwenden Sie nach Möglichkeit die Rollentrennung.

Siehe auch

Konzepte

Informationen zu AMT-Benutzerkonten

Andere Ressourcen

Konten und Gruppen in Configuration Manager
Verwenden der Configuration Manager-Konsole
Von Configuration Manager verwendete Windows-Konten

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com