Informationen zum lokalen Systemkonto/Computer$ in Configuration Manager
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Das lokale Systemkonto ist ein leistungsstarkes Konto mit voller Zugriffsberechtigung auf den Computer. In Microsoft System Center Configuration Manager 2007 wird es außer zum Starten von Diensten und Bereitstellen des Sicherheitskontexts für diese Dienste auch zum Ausführen vieler Configuration Manager 2007-Vorgänge auf dem Standortserver, den Standortsystemen und den Clientcomputern verwendet.
Der eigentliche Name des Kontos lautet „NT-AUTORITÄT\\SYSTEM“.
Das lokale Systemkonto verfügt über keinerlei Rechte für den Zugriff auf das Netzwerk. Wenn Netzwerkzugriff benötigt wird, verwendet das lokale System das Konto „Domäne\computername$“.
Windows Server 2003 verfügt über zwei neue integrierte, dem lokalen System ähnliche Kontotypen: das Konto „Netzwerkdienst“ und das Konto „Lokaler Dienst“. Weitere Informationen zur Verwendung dieser beiden Konten in Configuration Manager 2007 finden Sie unter Informationen zum lokalen Dienstkonto in Configuration Manager und Informationen zum Netzwerkdienstkonto in Configuration Manager. Weitere Informationen zu diesen Konten finden Sie unter https://go.microsoft.com/fwlink/?LinkId=93067.
Funktionen des lokalen Systemkontos
Das lokale Systemkonto verfügt über alle erforderlichen Rechte und Berechtigungen auf dem lokalen Computer. Eine Entfernung dieser Rechte oder Berechtigungen kann dazu führen, dass Configuration Manager 2007 oder das Betriebssystem nicht mehr funktioniert.
Die folgenden Configuration Manager 2007-Dienste sind so konfiguriert, dass sie zur Anmeldung das lokale Systemkonto verwenden:
CCMSetup.exe
SMS-Agent-Host
SMS-Tasksequenz-Agent
SMS_EXECUTIVE
SMS_REPORTING_POINT
SMS_SERVER_LOCATOR_POINT
SMS_SITE_BACKUP
SMS_SITE_VSS_WRITER
SMS_SITE_COMPONENT_MANAGER
SMS_SERVER_BOOTSTRAP_<servername>
Wichtig
Wenn Sie die Standarddiensteinstellungen ändern, funktionieren wichtige Dienste möglicherweise nicht mehr ordnungsgemäß. Eine Änderung der Einstellungen Starttyp und Anmelden als für Configuration Manager 2007-Dienste wird nicht unterstützt.
Abgesehen von der Bereitstellung des Sicherheitskontexts für Configuration Manager 2007-Dienste erfüllt das lokale Systemkonto die folgenden Funktionen:
Erstellen von Dateien, Verzeichnisse und Dienste auf dem Standortsystem
Bereitstellen des Sicherheitskontos für die Anwendungspools, die von Standortsystemen benötigt werden, die IIS verwenden
Funktionen des Computerkontos des Standortservers (Computername$)
| Funktion | Erforderliche Rechte | Anmerkungen |
|---|---|---|
Zugriff auf Active Directory-Domänendienste-Container während jeder Art von Active Directory-Ermittlung |
Lesezugriff auf die von Ihnen für die Ermittlung angegebenen Container Wenn das Computerkonto in anderen Domänen als den Domänen verwendet werden soll, in welchen sich der Standortserver befindet, muss das Konto über Benutzerrechte für diese Domänen verfügen. Das Konto muss in den Domänen mindestens Mitglied der Gruppe „Domänenbenutzer“ oder der lokalen Gruppe „Benutzer“ sein. |
|
Zugriff auf DHCP-Server für die DHCP-Netzwerkermittlung |
Das Konto muss Mitglied der Gruppe „DHCP-Benutzer“ auf dem DHCP-Server sein. |
|
Erstellen und Auffüllen des Systemverwaltungscontainers in Active Directory |
Wenn Sie das Schema erweitern, die Veröffentlichung aktivieren und dem Konto Computername$ Vollzugriff auf den Systemcontainer und seine untergeordneten Objekte gewähren, kann es den darunter befindlichen Systemverwaltungscontainer automatisch erstellen. |
Um dem Prinzip der geringsten Berechtigung zu folgen, erstellen Sie den Systemverwaltungscontainer manuell unter dem Systemcontainer, anstatt ihn durch Configuration Manager erstellen zu lassen. Gewähren Sie dann dem Computerkonto des Standortservers Vollzugriff auf den Systemverwaltungscontainer und alle untergeordneten Objekte. |
Zugriff auf Quelldateien beim Erstellen von Paketen für die Softwareverteilung. |
Berechtigungen Lesen und Ordnerinhalt auflisten für alle Quelldateien und Verzeichnisse. |
|
Kommunikation mit übergeordneten und untergeordneten Standorten |
Berechtigungen Lesen, Schreiben, Ausführen und Löschen für den Ordner SMS\Inboxes\Despoolr.box\Receive auf dem Zielstandortserver. Fügen Sie das Standortadresskonto der Gruppe „Standort-zu-Standort-Verbindung“ auf dem Zielstandortserver hinzu, die über entsprechende Berechtigungen für den freigegebenen Ordner „SMS_Site“ verfügt. |
Sie können ein Standortadresskonto erstellen und verwenden, müssen dann aber das Konto und Kennwort verwalten. |
Installieren von sekundären Standorten beim Initiieren der Standorterstellung über die Configuration Manager-Konsole. |
Lokale Administratorrechte auf dem sekundären Standortserver. |
Wenn Sie das Setup auf dem sekundären Standortserver ausführen, benötigt dieses Konto keine lokalen Administratorrechte auf dem sekundären Standortserver. |
Installieren von Remotestandortsystemen |
Lokale Administratorrechte auf dem Remotestandortserver |
Wenn Sie Standortsysteme in nicht vertrauenswürdigen Remotegesamtstrukturen konfigurieren, müssen Sie stattdessen das Standortsystem-Installationskonto verwenden. Weitere Informationen finden Sie unter „Standortsystem-Installationskonto“. |
Abrufen von Daten von Standortsystemen, sofern konfiguriert |
Lokale Administratorrechte auf dem Remotestandortserver |
Wenn Sie auf der Registerkarte Allgemein des Standortsystems die Option Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen aktivieren, wird Configuration Manager angewiesen, die Daten vom Standortserver mithilfe von Pull abzurufen, anstatt darauf zu warten, dass diese vom Standortsystem mithilfe von Push übertragen werden. Wenn ein Standortsystem-Installationskonto konfiguriert wurde, verwendet Configuration Manager stattdessen dieses Konto. |
Erstellen und Konfigurieren der Standortdatenbank |
Mitgliedschaft bei der Gruppe der SQL Server-Systemadministratoren, wenn sich die Standortdatenbank auf einem Remotecomputer befindet. |
Sie müssen eine SQL Server-Anmeldung für das Computerkonto des Standortservers erstellen und das Konto der Systemadministratorrolle hinzufügen. |
Funktionen des Computerkontos des Standortsystems (computer$)
| Funktion | Erforderliche Rechte | Anmerkungen |
|---|---|---|
Bereitstellen des Zugriffs auf die Standortdatenbank für die folgenden Standortrollen:
|
Das Computerkonto des Standortsystems wird automatisch der entsprechenden Datenbankrolle hinzugefügt. Die Datenbankrolle verfügt über alle erforderlichen Rechte und Berechtigungen. |
Der Verwaltungspunkt, PXE-Dienstpunkt und Serverlocatorpunkt können für die Verwendung eines Datenbankverbindungskonto anstatt eines lokalen Systemkontos konfiguriert werden. Weitere Informationen finden Sie unter Informationen zum Verwaltungspunkt-Datenbankverbindungskonto, Informationen zum Serverlocatorpunkt-Datenbankverbindungskonto oder Informationen zum PXE-Dienstpunkt-Datenbankverbindungskonto. |
Die folgenden Standortrollen verwenden das Computerkonto des Standortsystems (computer$), um Daten mithilfe von Push zurück auf den Standortserver zu übertragen.
|
Mitgliedschaft bei der Gruppe „Standortsystem-zu-Standortserver-Verbindung“ |
Wenn Sie Standortsysteme in einer nicht vertrauenswürdigen Remotegesamtstruktur konfigurieren, können Sie das Computerkonto des Standortsystems (computer$) nicht der Gruppe „Standortsystem-zu-Standortserver-Verbindung“ hinzufügen. Deshalb müssen Sie auf der Registerkarte Allgemein des Standortsystems die Option Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen aktivieren. |
Erstellung und Kennwort
Das Konto wird automatisch erstellt und das Kennwort vom Betriebssystem verwaltet.
Kontospeicherort
Bei „Lokales System“ handelt es sich um ein lokales Konto. Wenn das Konto Mitglied einer Domäne ist, wird das Konto „computer$“ in der Domäne erstellt, der der Computer angehört.
Kontowartung
Das Betriebssystem verwaltet seine eigenen Konten und Kennwörter. Die Synchronisierung des Kennworts für das Konto „computer$“ mit dem Domänencontroller kann allerdings von Zeit zu Zeit verloren gehen. Der sichere Kommunikationskanal zwischen dem Mitgliedscomputer und dem Domänencontroller muss dann zurückgesetzt werden. Weitere Informationen zum Zurücksetzen von Computerkonten finden Sie in der Microsoft Knowledge Base unter https://go.microsoft.com/fwlink/?LinkId=93062.
Bewährte Sicherheitsmethoden
Configuration Manager 2007 erfordert nicht, dass Computerkonten der Gruppe „Domänen-Admins“ hinzugefügt werden. Wenn ein Computerkonto Administratorrechte benötigt, beispielsweise auf einem Remotestandortserver, fügen Sie das Konto der entsprechenden lokalen Gruppe hinzu.
Entfernen Sie keine Rechte und Berechtigungen vom lokalen Systemkonto. Das Ändern von Standardrechten und -berechtigungen kann dazu führen, dass das Betriebssystem und die Anwendungen nicht mehr funktionstüchtig sind.
Minimieren Sie die Verwendung des lokalen Systemkontos auf den Standortservern und Standortsystemen, indem Sie keine weiteren Dienste installieren, die das lokale Systemkonto verwenden. Hierdurch stellen Sie sicher, dass andere Prozesse die erweiterten Rechte des Systemcomputerkontos nicht nutzen und auf Configuration Manager 2007-Dateien und -Daten über diese anderen Systeme zugreifen können.
Konfigurieren Sie SQL Server so, dass es unter einem Domänenbenutzerkonto ausgeführt wird anstatt unter dem lokalen Systemkonto.
Siehe auch
Konzepte
Informationen zum Standortsystem-Installationskonto
Andere Ressourcen
Konten und Gruppen in Configuration Manager
Von Configuration Manager verwendete Windows-Konten
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com