Technische Referenz für Konten in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Verwenden Sie die folgenden Informationen, um die in System Center 2012 Configuration Manager verwendeten Windows-Gruppen und Konten, die Art der Verwendung sowie alle Anforderungen zu identifizieren.
Windows-Gruppen, die von Configuration Manager erstellt und verwendet werden
Die folgenden Windows-Gruppen werden von Configuration Manager automatisch erstellt und in vielen Fällen automatisch verwaltet:
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Wenn von Configuration Manager eine Gruppe auf einem Computer erstellt wird, der ein Domänenmitglied ist, ist die Gruppe eine lokale Sicherheitsgruppe. Wenn der Computer ein Domänencontroller ist, ist die Gruppe eine lokale Gruppe der Domäne, die von allen Domänencontrollern in der Domäne gemeinsam verwendet wird. |
ConfigMgr_CollectedFilesAccess
Diese Gruppe wird von Configuration Manager für den Zugriff auf Dateien verwendet, die von der Softwareinventur gesammelt wurden.
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem primären Standortserver erstellt wurde.
|
||
Membership |
Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet. In die Mitgliedschaft sind auch Administratoren eingeschlossen, denen die Berechtigung Gesammelte Dateien anzeigen für das sicherungsfähige Objekt Sammlung von einer zugewiesenen Sicherheitsrolle erteilt wurde. |
||
Berechtigungen |
Standardmäßig ist dieser Gruppe die Berechtigung Read für den folgenden Ordner auf dem Standortserver gewährt: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Diese Gruppe ist eine lokale Sicherheitsgruppe, die von System Center 2012 Configuration Manager auf dem Standortdatenbankserver oder dem Datenbankreplikatserver erstellt wurde und die zurzeit nicht verwendet wird. Diese Gruppe ist der zukünftigen Verwendung durch Configuration Manager vorbehalten.
ConfigMgr Remote Control Users
Diese Gruppe wird von Configuration Manager-Remotetools verwendet, um die Konten und Gruppen zu speichern, die Sie in der Liste der zugelassenen Betrachter für jeden Client konfigurieren.
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Configuration Manager-Client erstellt wird, wenn der Client eine Clientrichtlinie erhält, durch die Remotetools aktiviert werden.
|
||
Membership |
Diese Gruppe enthält standardmäßig keine Mitglieder. Wenn Sie der Liste Zugelassene Betrachter Benutzer hinzufügen, werden die Benutzer auch dieser Gruppe automatisch hinzugefügt.
Administratoren müssen der Liste der zugelassenen Betrachter hinzugefügt werden, und sie benötigen die Berechtigung Remotesteuerung für das Objekt Sammlung. Sie können diese Berechtigung mithilfe der Sicherheitsrolle Remotetoolsverantwortlicher zuweisen. |
||
Berechtigungen |
Standardmäßig sind dieser Gruppe keinerlei Berechtigungen für Speicherorte auf dem Computer erteilt, und es wird ausschließlich die Liste Zugelassene Betrachter darin gespeichert. |
.jpeg "System_CAPS_important"){kind=icon}
WichtigSMS-Administratoren
Diese Gruppe wird von Configuration Manager verwendet, um über WMI eine Verbindung mit dem SMS-Anbieter zu ermöglichen. Dieser Zugriff auf den SMS-Anbieter ist erforderlich, um Objekte in der Configuration Manager-Konsole anzuzeigen und zu ändern.
| Hinweis |
|---|
Durch die rollenbasierte Administrationskonfiguration eines Administrators wird bestimmt, welche Objekte der Administrator mithilfe der Configuration Manager-Konsole anzeigen und verwalten kann. |
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit SMS-Anbieter erstellt wird.
|
||
Membership |
Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet. Standardmäßig sind alle Administratoren einer Hierarchie sowie das Computerkonto des Standortservers Mitglieder der Gruppe SMS-Administratoren auf allen SMS-Anbietercomputern an einem Standort. |
||
Berechtigungen |
Rechte und Berechtigungen von SMS Admins werden im WMI-Steuerungs-MMC-Snap-In festgelegt. Der Gruppe „SMS-Administratoren“ werden standardmäßig die Berechtigungen Enable Account und Remote Enable im Namespace „Root\SMS“ erteilt. Der Gruppe „Authentifizierte Benutzer“ sind die Berechtigungen Execute Methods, Provider Write und Enable Account erteilt.
|
SMS_SiteSystemToSiteServerConnection_MP_<Standortcode>
Diese Gruppe wird von Configuration Manager-Verwaltungspunkten, die sich außerhalb des Standortservers befinden, zum Herstellen einer Verbindung mit der Standortdatenbank verwendet. Mithilfe dieser Gruppe wird den Verwaltungspunkten ein Zugriff auf den Ordner Eingangsbox des Standortservers sowie der Standortdatenbank ermöglicht.
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf jedem Computer mit SMS-Anbieter erstellt wird.
|
||
Membership |
Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet. Standardmäßig sind die Computerkonten von Remotecomputern mit einem Verwaltungspunkt für den Standort in die Mitgliedschaft eingeschlossen. |
||
Berechtigungen |
Standardmäßig sind dieser Gruppe die Berechtigungen Read, Read & execute und List folder contents für den Ordner %path%\Microsoft Configuration Manager\inboxes auf dem Standortserver erteilt. Außerdem ist dieser Gruppe die zusätzliche Berechtigung Write für verschiedene inboxes-Unterordner, in die vom Verwaltungspunkt Clientdaten geschrieben werden, erteilt. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<Standortcode>
Diese Gruppe wird von Configuration Manager-SMS-Anbietercomputern, die sich außerhalb des Standortservers befinden, zum Herstellen einer Verbindung mit dem Standortserver verwendet.
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde.
|
||
Membership |
Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet. Standardmäßig ist das Computerkonto oder das Domänenbenutzerkonto, das von Remotecomputern mit installiertem SMS-Anbieter für den Standort zum Herstellen einer Verbindung mit dem Standortserver verwendet wird, in die Mitgliedschaft eingeschlossen. |
||
Berechtigungen |
Standardmäßig sind dieser Gruppe die Berechtigungen Read, Read & execute und List folder contents für den Ordner %path%\Microsoft Configuration Manager\inboxes auf dem Standortserver erteilt. Außerdem sind dieser Gruppe die zusätzliche Berechtigung Write oder die Berechtigungen Schreiben und Ändern für verschiedene inboxes-Unterordner erteilt, auf die für den SMS-Anbieter Zugriff erforderlich ist. Dieser Gruppe sind zudem die Berechtigungen Read, Read & execute, List folder contents, Schreiben und Ändern für die Ordner unterhalb von %path%\Microsoft Configuration Manager\OSD\boot sowie die Berechtigung Lesen für Ordner unterhalb von %path%\Microsoft Configuration Manager\OSD\Bin auf dem Standortserver erteilt. |
SMS_SiteSystemToSiteServerConnection_Stat_<Standortcode>
Diese Gruppe wird vom Datei-Verteilungs-Manager auf Configuration Manager-Remote-Standortsystemcomputern zum Herstellen einer Verbindung mit dem Standortserver verwendet.
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde.
|
||
Membership |
Die Gruppenmitgliedschaft wird von Configuration Manager automatisch verwaltet. Standardmäßig ist das Computerkonto oder das Domänenbenutzerkonto, das von Remote-Standortsystemcomputern mit dem Datei-Verteilungs-Manager zum Herstellen einer Verbindung mit dem Standortserver verwendet wird, in die Mitgliedschaft eingeschlossen. |
||
Berechtigungen |
Standardmäßig sind dieser Gruppe die Berechtigungen Read, Read & execute und List folder contents für den Ordner %path%\Microsoft Configuration Manager\inboxes sowie für verschiedene Unterordner unterhalb dieses Speicherorts auf dem Standortserver erteilt. Außerdem sind dieser Gruppe die zusätzlichen Berechtigungen Schreiben und Ändern für den Ordner %path%\Microsoft Configuration Manager\inboxes\statmgr.box auf dem Standortserver erteilt. |
SMS_SiteToSiteConnection_<Standortcode>
Diese Gruppe wird von Configuration Manager verwendet, um die dateibasierte Replikation zwischen Standorten innerhalb einer Hierarchie zu aktivieren. Für jeden Remotestandort, von dem Dateien direkt an diesen Standort übertragen werden, enthält diese Gruppe die folgenden Konten:
Als Standortadresskonto konfigurierte Konten von Configuration Manager-Standorten ohne Service Pack
Als Dateireplikationskonto konfigurierte Konten von Standorten, an denen Configuration Manager SP1 oder höher ausgeführt wird.
| Hinweis |
|---|
Ab Configuration Manager SP1 wird das Standortadresskonto durch das Dateireplikationskonto ersetzt. |
In der folgenden Tabelle sind zusätzliche Informationen zu dieser Gruppe aufgelistet:
Detail |
Weitere Informationen |
||
|---|---|---|---|
Typ und Speicherort |
Diese Gruppe ist eine lokale Sicherheitsgruppe, die auf dem Standortserver erstellt wurde. |
||
Membership |
Wenn Sie einen neuen Standort als untergeordneten Standort eines anderen Standorts installieren, wird das Computerkonto des neuen Standorts von Configuration Manager automatisch der Gruppe auf dem übergeordneten Standortserver hinzugefügt, und das Computerkonto des übergeordneten Standorts wird der Gruppe auf dem neuen Standortserver hinzugefügt. Wenn Sie ein anderes Konto für dateibasierte Übertragungen angeben, fügen Sie dieses Konto der Gruppe auf dem Zielstandortserver hinzu.
|
||
Berechtigungen |
Standardmäßig ist dieser Gruppe die Berechtigung Vollzugriff für den Ordner %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive erteilt. |
Konten, die von Configuration Manager verwendet werden
Sie können die folgenden Konten für Configuration Manager konfigurieren:
Konto für die Active Directory-Sicherheitsgruppenermittlung
Das Konto für die Active Directory-Sicherheitsgruppenermittlung wird zur Ermittlung der lokalen, globalen und universellen Sicherheitsgruppen, der Mitgliedschaft in diesen Gruppen und der Mitgliedschaft in Verteilergruppen an den Orten, die in den Active Directory-Domänendiensten angegebenen sind, verwendet. Verteilergruppen werden nicht als Gruppenressourcen ermittelt.
Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Speicherorte, die für die Ermittlung angegeben sind.
Konto für die Active Directory-Systemermittlung
Das Konto für die Active Directory-Systemermittlung wird verwendet, um Computer ausgehend von den Orten, die in den Active Directory-Domänendiensten angegeben sind, zu ermitteln.
Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Speicherorte, die für die Ermittlung angegeben sind.
Konto für die Active Directory-Benutzerermittlung
Das Konto für die Active Directory-Benutzerermittlung wird verwendet, um Benutzerkonten ausgehend von den Orten, die in den Active Directory-Domänendiensten angegeben sind, zu ermitteln.
Bei diesem Konto kann es sich um das Computerkonto des Standortservers, von dem die Ermittlung ausgeführt wird, oder um ein Windows-Benutzerkonto handeln. Sie benötigen die Zugriffsberechtigung Lesen für die Active Directory-Speicherorte, die für die Ermittlung angegeben sind.
Konto für die Active Directory-Gesamtstruktur
Das Konto für die Active Directory-Gesamtstruktur wird für die Netzwerkermittlung in Active Directory-Gesamtstrukturen verwendet. Es wird außerdem von Standorten der zentralen Verwaltung sowie von primären Standorten zum Veröffentlichen von Standortdaten in den Active Directory-Domänendiensten einer Gesamtstruktur verwendet.
| Hinweis |
|---|
Die Veröffentlichung in Active Directory durch sekundäre Standorte erfolgt immer über das Computerkonto des sekundären Standortservers. |
| Hinweis |
|---|
Beim Konto für die Active Directory-Gesamtstruktur muss es sich um ein globales Konto handeln, damit Ermittlung und Veröffentlichen in nicht vertrauenswürdigen Gesamtstrukturen möglich sind. Wenn Sie nicht das Computerkonto des Standortservers verwenden, können Sie nur ein globales Konto auswählen. |
Für dieses Konto ist die Berechtigung Lesen für jede Active Directory-Gesamtstruktur, in der die Netzwerkinfrastruktur ermittelt werden soll, erforderlich.
Außerdem ist die Berechtigung Vollzugriff auf den System Management-Container und all seine untergeordneten Objekte in jeder Active Directory-Gesamtstruktur, in der Standortdaten veröffentlicht werden sollen, erforderlich.
AMT-Bereitstellungs- und Ermittlungskonto
Das AMT-Bereitstellungs- und Ermittlungskonto ist funktionell mit dem AMT-Remoteverwaltungskonto vergleichbar. Es befindet sich in der Verwaltungsmodul-BIOS-Erweiterung (Management Engine BIOS Extension, MEBx) von Intel AMT-basierten Computern. Das Konto wird vom Server mit der Out-of-Band-Dienstpunktrolle zur Verwaltung einiger Funktionen der AMT-Netzwerkschnittstelle mithilfe der Out-of-Band-Verwaltungsfunktion verwendet.
Wenn Sie in Configuration Manager ein AMT-Bereitstellungs- und -Ermittlungskonto angeben, muss es zum Namen und zum Kennwort für das AMT-Remoteverwaltungskonto, die in den BIOS-Erweiterungen für AMT-basierte Computer angegebenen sind, passend sein.
| Hinweis |
|---|
Weitere Informationen dazu, ob die AMT-Bereitstellung und ein Ermittlungskonto angegeben werden, finden Sie unter Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente im Thema Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager des Handbuchs Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager). |
Das Konto wird in den Management Engine BIOS-Erweiterungen des AMT-basierten Computers gespeichert. Für dieses Konto gibt es unter Windows keine Entsprechung.
Konto zur Aufhebung der AMT-Bereitstellung
Mithilfe des Kontos zur Aufhebung der AMT-Bereitstellung können Sie AMT-Bereitstellungsinformationen entfernen, wenn Sie den Standort wiederherstellen müssen. Sie können dieses Konto möglicherweise auch dann verwenden, wenn ein Configuration Manager-Client neu zugewiesen wurde und die AMT-Bereitstellungsinformationen vom Computer am alten Standort nicht entfernt wurden.
Zum Entfernen der AMT-Bereitstellungsinformationen mithilfe des Kontos zur Aufhebung der AMT-Bereitstellung müssen alle folgenden Bedingungen erfüllt sein:
Das Konto zur Aufhebung der AMT-Bereitstellung wurde in den Eigenschaften der Out-of-Band-Verwaltungskomponente konfiguriert.
Das als Konto zur Aufhebung der AMT-Bereitstellung konfigurierte Konto wurde in den Eigenschaften der Out-of-Band-Verwaltungskomponente als AMT-Benutzerkonto konfiguriert, als der AMT-basierte Computer bereitgestellt oder aktualisiert wurde.
Das als Konto zur Aufhebung der AMT-Bereitstellung konfigurierte Konto ist Mitglied der lokalen Administratorgruppe auf dem Out-of-Band-Dienstpunktcomputer.
Das AMT-Überwachungsprotokoll ist nicht aktiviert.
Geben Sie ein Konto mit einem sicheren Kennwort ohne Ablaufdatum an, da es sich hierbei um ein Windows-Benutzerkonto handelt.
AMT-Remoteverwaltungskonto
Das AMT-Remoteverwaltungskonto ist das Konto im MEBx-Programm (BIOS-Erweiterung mit iAMT-Management-Modul) von Intel AMT-basierten Computern, das vom Server, auf dem die Out-of-Band-Dienstpunktrolle ausgeführt wird, für die Verwaltung einiger Netzwerkschnittstellen-Funktionen von AMT in Configuration Manager SP1 mithilfe der Out-of-Band-Verwaltungsfunktion verwendet wird.
Das Kennwort für das Remoteverwaltungskonto für Computer, die für AMT bereitgestellt werden, wird von Configuration Manager automatisch eingestellt und anschließend für den authentifizierten Zugriff auf die AMT-Firmware verwendet. Dieses Konto ist funktionell mit dem AMT-Bereitstellungs- und Ermittlungskonto von Configuration Manager vergleichbar.
Das Konto wird in den Management Engine BIOS-Erweiterungen des AMT-basierten Computers gespeichert. Für dieses Konto gibt es unter Windows keine Entsprechung.
AMT-Benutzerkonten
Mit AMT-Benutzerkonten wird gesteuert, welche Windows-Benutzer oder Benutzergruppen Verwaltungsfunktionen in der Out-of-Band-Verwaltungskonsole ausführen können.
Durch die Konfiguration der AMT-Benutzerkonten entsteht in der AMT-Firmware eine Art Zugriffssteuerungsliste (ACL). Wenn der angemeldete Benutzer versucht, die Out-of-Band-Verwaltungskonsole auszuführen, wird das Konto von AMT mithilfe von Kerberos authentifiziert. Dem Konto wird dann der Zugriff zur Ausführung der AMT-Verwaltungsfunktionen gestattet oder verweigert.
Konfigurieren Sie AMT-Benutzerkonten, bevor Sie die AMT-basierten Computer bereitstellen. Wenn Sie AMT-Benutzerkonten konfigurieren, nachdem Computer für AMT bereitgestellt wurden, müssen Sie ein manuelles Update des AMT-Speichers für diese Computer ausführen, damit sie mit den neuen Einstellungen erneut konfiguriert werden.
Da die AMT-Benutzerkonten die Kerberos-Authentifizierung verwenden, müssen die Benutzerkonten und Sicherheitsgruppen in einer Active Directory-Domäne enthalten sein.
Proxyserverkonto für Asset Intelligence-Synchronisierungspunkt
Das Proxyserverkonto für Asset Intelligence-Synchronisierungspunkt wird vom Asset Intelligence-Synchronisierungspunkt für den Zugriff auf das Internet verwendet. Der Zugriff erfolgt dabei über einen Proxyserver oder eine Firewall, für den bzw. die ein authentifizierter Zugriff erforderlich ist.
.jpeg "System_CAPS_security") Sicherheit Hinweis |
|---|
Geben Sie ein Konto mit den geringstmöglichen Berechtigungen für den erforderlichen Proxyserver bzw. für die erforderliche Firewall an. |
Konto des Zertifikatregistrierungspunkts
Über das Konto des Zertifikatregistrierungspunkts wird eine Verbindung zwischen dem Zertifikatregistrierungspunkt und der Configuration Manager-Datenbank hergestellt. Zwar wird standardmäßig das Computerkonto des Zertifikatregistrierungspunktservers verwendet, aber Sie können stattdessen auch ein Benutzerkonto konfigurieren. Sie müssen stets ein Benutzerkonto angeben, wenn der Zertifikatregistrierungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet. Für dieses Konto ist nur Lesezugriff auf die Standortdatenbank erforderlich, da Schreibvorgänge vom Zustandsmeldungssystem abgewickelt werden.
Konto für die Erfassung des Betriebssystemabbilds
Mit dem Konto für die Erfassung des Betriebssystemabbilds wird von Configuration Manager auf den Ordner zugegriffen, in dem erfasste Abbilder bei der Betriebssystembereitstellung gespeichert werden. Dieses Konto ist erforderlich, wenn Sie den Schritt Betriebssystemabbild erfassen zu einer Tasksequenz hinzufügen.
Das Konto muss die Berechtigungen Lesen und Schreiben für die Netzwerkfreigabe aufweisen, in der das erfasste Abbild gespeichert wird.
Falls das Kennwort des Kontos in Windows geändert wird, müssen Sie anhand des neuen Kennworts ein Update der Tasksequenz ausführen. Der Configuration Manager-Client erhält das neue Kennwort beim nächsten Download der Clientrichtlinien.
Wenn Sie dieses Konto verwenden, können Sie ein Domänenbenutzerkonto mit minimalen Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen erstellen und für alle Tasksequenzkonten verwenden.
| Sicherheit Hinweis |
|---|
Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldungen zu. Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto. |
Clientpushinstallations-Konto
Über das Clientpushinstallationskonto wird eine Verbindung mit Computern hergestellt und die Configuration Manager-Clientsoftware installiert, wenn Sie Clients mithilfe der Clientpushinstallation bereitstellen. Ist dieses Konto nicht angegeben, wird das Standortserverkonto zum Installieren der Clientsoftware verwendet.
Dieses Konto muss ein Mitglied der lokalen Gruppe Administratoren auf den Computern sein, auf denen die Configuration Manager-Clientsoftware installiert werden soll. Für dieses Konto sind keine Domänenadministratorrechte erforderlich.
Sie können mehrere Clientpushinstallationskonten festlegen, die von Configuration Manager nacheinander ausprobiert werden, bis eines erfolgreich ist.
.jpeg "System_CAPS_tip") Tipp |
|---|
Damit Kontoupdates in umfangreichen Active Directory-Bereitstellungen effektiver koordiniert werden können, erstellen Sie ein neues Konto mit einem anderen Namen, und fügen Sie dieses Konto dann der Liste der Clientpushinstallationskonten in Configuration Manager hinzu. Lassen Sie genügend Zeit zur Replikation des neuen Kontos durch Active Directory-Domänendienste verstreichen, und entfernen Sie das alte Konto aus Configuration Manager und Active Directory-Domänendienste. |
| Sicherheit Hinweis |
|---|
Erteilen Sie diesem Konto nicht das Recht, sich lokal anzumelden. |
Verbindungskonto des Anmeldungspunkts
Über das Verbindungskonto des Anmeldungspunkts wird der Anmeldungspunkt mit der Configuration Manager-Standortdatenbank verbunden. Zwar wird standardmäßig das Computerkonto des Anmeldungspunkts verwendet, aber Sie können stattdessen auch ein Benutzerkonto konfigurieren. Sie müssen stets ein Benutzerkonto angeben, wenn der Anmeldungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet. Für dieses Konto sind Lese- und Schreibzugriff auf die Standortdatenbank erforderlich.
Verbindungskonto für Exchange Server
Mithilfe des Verbindungskontos für Exchange Server wird eine Verbindung zwischen dem Standortserver und dem angegebenen Exchange Server-Computer hergestellt, über die mit Exchange Server verbundene mobile Geräte gesucht werden. Die gefundenen Geräte können über diese Verbindung auch verwaltet werden. Für dieses Konto sind Exchange PowerShell-Cmdlets erforderlich, mit deren Hilfe dem Exchange Server-Computer die erforderlichen Berechtigungen bereitgestellt werden. Weitere Informationen zu den Cmdlets finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange.
Konto für den Exchange Server-Connector-Proxyserver
Das Konto für den Exchange Server-Connector-Proxyserver wird vom Exchange Server-Connector für den Zugriff auf das Internet verwendet. Der Zugriff erfolgt dabei über einen Proxyserver oder eine Firewall, für den bzw. die ein authentifizierter Zugriff erforderlich ist.
| Sicherheit Hinweis |
|---|
Geben Sie ein Konto mit den geringstmöglichen Berechtigungen für den erforderlichen Proxyserver bzw. für die erforderliche Firewall an. |
Verbindungskonto des Endpoint Protection-SMTP-Servers
Für Configuration Manager ohne Service Pack: Über das Verbindungskonto des Endpoint Protection-SMTP-Servers werden vom Standortserver über E-Mail Warnungen zu Endpoint Protection gesendet, wenn für den SMTP-Server ein authentifizierter Zugriff erforderlich ist.
| Sicherheit Hinweis |
|---|
Geben Sie ein Konto mit den geringstmöglichen Berechtigungen zum Senden von E-Mails an. |
Konto zum Veröffentlichen der Integritätszustandsreferenz
Über das Konto zum Veröffentlichen der Integritätszustandsreferenz wird die NAP-Integritätszustandsreferenz (Network Access Protection, Netzwerkzugriffsschutz) für Configuration Manager in Active Directory veröffentlicht.
Wird kein Konto konfiguriert, wird das Computerkonto des Standortservers von Configuration Manager für die Veröffentlichung der Integritätszustandsreferenzen verwendet.
Für dieses Konto sind die Berechtigungen Lesen, Schreiben und Erstellen in der Active Directory-Gesamtstruktur mit der Integritätszustandsreferenz erforderlich.
Erstellen Sie das Konto in der Gesamtstruktur, in der die Integritätszustandsreferenzen gespeichert werden sollen. Weisen Sie diesem Konto die geringstmöglichen Berechtigungen zu. Verwenden Sie nicht das zum Abfragen der Integritätszustandsreferenz festgelegte Konto, da für dieses nur die Berechtigung Lesen erforderlich ist.
Konto zum Abfragen der Integritätszustandsreferenz
Über das Konto zum Abfragen der Integritätszustandsreferenz wird die NAP-Integritätszustandsreferenz (Network Access Protection, Netzwerkzugriffsschutz) für Configuration Manager aus Active Directory abgerufen.
Wird kein Konto konfiguriert, wird das Computerkonto des Standortservers von Configuration Manager für den Abruf der Integritätszustandsreferenzen verwendet.
Für dieses Konto ist die Berechtigung Lesen für den Configuration ManagerSystems Management-Container im globalen Katalog erforderlich.
Erstellen Sie das Konto in der Gesamtstruktur, in der die Integritätszustandsreferenzen gespeichert werden sollen. Verwenden Sie nicht das für die Veröffentlichung der Integritätszustandsreferenz festgelegte Konto, da für dieses mehr Berechtigungen erforderlich sind.
| Sicherheit Hinweis |
|---|
Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung. |
Verbindungskonto des Verwaltungspunkts
Über das Verbindungskonto für den Verwaltungspunkt wird der Verwaltungspunkt mit der Configuration Manager-Standortdatenbank verbunden, damit Informationen für Clients gesendet und abgerufen werden können. Zwar wird standardmäßig das Computerkonto des Verwaltungspunkts verwendet, aber Sie können stattdessen auch ein Benutzerkonto konfigurieren. Sie müssen stets ein Benutzerkonto angeben, wenn der Verwaltungspunkt sich in einer nicht vertrauenswürdigen Domäne des Standortservers befindet.
Erstellen Sie das Konto als lokales Konto auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird, und statten Sie es nur mit geringen Rechten aus.
| Sicherheit Hinweis |
|---|
Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung. |
MEBx-Konto
Das MEBx-Konto ist das in der Management Engine BIOS-Erweiterung (MEBx) auf Intel AMT-basierten Computern vorhandene Konto. Es dient für den anfänglichen authentifizierten Zugriff auf die AMT-Firmware von AMT-basierten Computern.
Sowohl der Name des MEBx-Kontos als auch das Standardkennwort lauten admin. Möglicherweise stellt Ihr Hersteller jedoch ein benutzerdefiniertes Kennwort bereit, oder Sie haben in AMT ein persönliches Kennwort angegeben. Wenn das MEBx-Kennwort auf einen anderen Wert als admin festgelegt wird, müssen Sie ein AMT-Bereitstellungs- und Ermittlungskonto konfigurieren. Weitere Informationen finden Sie unter Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente im Thema Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager.
Das Konto wird in den Management Engine BIOS-Erweiterungen des AMT-basierten Computers gespeichert. Für dieses Konto gibt es unter Windows keine Entsprechung.
Wenn das MEBx-Standardkennwort nicht geändert wird, bevor der Computer für AMT von Configuration Manager bereitgestellt wird, wird das von Ihnen konfigurierte Kennwort während des AMT-Bereitstellungsprozesses von Configuration Manager festgelegt.
Multicastverbindungskonto
Über das Multicastverbindungskonto können von den Verteilungspunkten, die für Multicast konfiguriert sind, Informationen aus der Standortdatenbank gelesen werden. Zwar wird standardmäßig das Computerkonto des Verteilungspunkts verwendet, aber Sie können stattdessen auch ein Benutzerkonto konfigurieren. Sie müssen stets ein Benutzerkonto angeben, wenn die Standortdatenbank sich in einer nicht vertrauenswürdigen Gesamtstruktur befindet. Wenn Ihr Rechenzentrum beispielsweise über ein Umkreisnetzwerk in einer anderen Gesamtstruktur als der des Standortservers und der Standortdatenbank verfügt, können Sie mit diesem Konto die Multicast-Informationen aus der Standortdatenbank lesen.
Erstellen Sie dieses Konto ggf. als lokales Konto mit geringen Rechten auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird.
| Sicherheit Hinweis |
|---|
Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung. |
Netzwerkzugriffskonto
Das Netzwerkzugriffskonto wird von Clientcomputern verwendet, wenn über ihr lokales Computerkonto kein Zugriff auf Inhalte auf Verteilungspunkten möglich ist. Beispielsweise gilt dies für Arbeitsgruppenclients und Computer aus nicht vertrauenswürdigen Domänen. Dieses Konto wird möglicherweise auch bei der Betriebssystembereitstellung verwendet, falls der Computer, von dem das Betriebssystem installiert wird, noch kein Computerkonto in der Domäne hat.
| Hinweis |
|---|
Das Netzwerkzugriffskonto wird nie als Sicherheitskontext für die Ausführung von Programmen, Installation von Softwareupdates oder Ausführung von Tasksequenzen verwendet, sondern nur für den Zugriff auf Ressourcen im Netzwerk. |
Weisen Sie diesem Konto die minimal erforderlichen Berechtigungen für den Inhalt zu, der vom Client für den Zugriff auf die Software benötigt wird. Das Konto muss über die Berechtigung Auf diesen Computer vom Netzwerk aus zugreifen für den Verteilungspunkt oder einen anderen Server verfügen, auf dem der Paketinhalt gespeichert ist. In Versionen vor System Center 2012 R2 Configuration Manager kann nur ein Netzwerkzugriffskonto pro Standort erstellt werden, daher muss dieses Konto für alle Pakete und Tasksequenzen funktionsfähig sein, für die es benötigt wird. Ab System Center 2012 R2 Configuration Manager können Sie mehrere Netzwerkzugriffskonten pro Standort konfigurieren.
.jpeg "System_CAPS_warning") Warnung |
|---|
Falls beim Versuch, den Inhalt über das Computername$-Konto herunterzuladen, ein Fehler auftritt, wird von Configuration Manager automatisch das Netzwerkzugriffskonto verwendet. Dies geschieht selbst dann, wenn bei früheren Versuchen mit diesem Konto Fehler aufgetreten sind. |
Erstellen Sie das Konto in einer Domäne, die den erforderlichen Zugriff auf Ressourcen ermöglicht. Das Netzwerkzugriffskonto muss immer einen Domänennamen enthalten. Pass-Through-Sicherheit wird für dieses Konto nicht unterstützt. Wenn es Verteilungspunkte in mehreren Domänen gibt, erstellen Sie das Konto in einer vertrauenswürdigen Domäne.
| Tipp |
|---|
Zur Vermeidung von Kontosperrungen sollten Sie das Kennwort für ein vorhandenes Netzwerkzugriffskonto nicht ändern. Erstellen Sie stattdessen ein neues Konto, und konfigurieren Sie das neue Konto in Configuration Manager. Wenn genügend Zeit verstrichen ist, sodass alle Clients die neuen Kontodetails empfangen haben, entfernen Sie das alte Konto aus den freigegebenen Netzwerkordnern, und löschen Sie es. |
| Sicherheit Hinweis |
|---|
Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung. Gewähren Sie diesem Konto nicht das Recht, der Domäne Computer hinzuzufügen. Wenn während einer Tasksequenz Computer der Domäne beitreten müssen, verwenden Sie dafür das Tasksequenz-Editor-Domänenbeitrittskonto. |
In Für System Center 2012 R2 Configuration Manager und höher: können Sie jetzt mehrere Netzwerkzugriffskonten pro Standort angeben. Wenn der Zugriff seitens Clients auf Inhalte über das lokale Computerkonto nicht möglich ist, wird zunächst das zuletzt erfolgreich verwendete Netzwerkzugriffskonto verwendet. In Configuration Manager wird die Einrichtung von maximal zehn Netzwerkzugriffskonten unterstützt.
Paketzugriffskonto
Mit Paketzugriffskonten können Sie durch Festlegen von NTFS-Berechtigungen angeben, welche Benutzer und Benutzergruppen auf einen Paketordner auf Verteilungspunkten zugreifen können. Standardmäßig wird von Configuration Manager nur den allgemeinen Zugriffskonten Benutzer und Administratoren Zugriff gewährt. Sie können den Zugriff für Clientcomputer jedoch durch den Einsatz zusätzlicher Windows-Konten oder -Gruppen steuern. Paketinhalte werden von mobilen Geräten immer anonym abgerufen. Die Paketzugriffskonten werden daher nicht von mobilen Geräten verwendet.
Standardmäßig erteilt Configuration Manager beim Erstellen der Paketfreigabe auf einem Verteilungspunkt der lokalen Gruppe Benutzer die Berechtigung Lesen und der Gruppe Administratoren die Berechtigung Vollzugriff. Die tatsächlich erforderlichen Berechtigungen hängen vom jeweiligen Paket ab. Von Clients in Arbeitsgruppen oder nicht vertrauenswürdigen Gesamtstrukturen wird das Netzwerkzugriffskonto zum Zugriff auf den Paketinhalt verwendet. Stellen Sie anhand der definierten Paketzugriffskonten sicher, dass das Netzwerkzugriffskonto über Berechtigungen für das Paket verfügt.
Verwenden Sie Konten in einer Domäne mit Zugriff auf die Verteilungspunkte. Wenn Sie das Konto nach der Paketerstellung erstellen oder ändern, müssen Sie das Paket erneut verteilen. Beim Aktualisieren des Pakets werden die NTFS-Berechtigungen für das Paket nicht geändert.
Das Netzwerkzugriffskonto braucht nicht als Paketzugriffskonto hinzugefügt werden, da es Mitglied der Gruppe Benutzer ist und somit standardmäßig hinzugefügt wird. Der Zugriff von Clients auf das Paket kann nicht dadurch verhindert werden, dass das Paketzugriffskonto auf das Netzwerkzugriffskonto beschränkt wird.
Konto des Reporting Services-Punkts
Das Konto des Reporting Services-Punkts wird von SQL Server Reporting Services zum Abrufen der Daten für Configuration Manager-Berichte aus der Standortdatenbank verwendet. Das von Ihnen angegebene Windows-Benutzerkonto und das dazugehörende Kennwort werden verschlüsselt und in der SQL Server Reporting Services-Datenbank gespeichert.
Informationen zu Konten für zugelassene Viewer für Remotetools
Bei den Konten, die Sie als Zugelassene Betrachter für die Remotesteuerung festlegen, handelt es sich um eine Liste der Benutzer, die die Remotetoolsfunktion auf Clients verwenden dürfen.
Standortsystem-Installationskonto
Die Standortsystem-Installationskonten werden vom Standortserver zur Installation, erneuten Installation, Deinstallation und Konfiguration von Standortsystemen verwendet. Wenn Sie das Standortsystem so konfigurieren, dass Verbindungen mit diesem Standortsystem vom Standortserver initiiert werden müssen, wird dieses Konto von Configuration Manager auch dazu verwendet, Daten nach der Installation des Standortsystems und der Standortsystemrollen vom Standortsystemcomputer abzurufen. Jedes Standortsystem kann ein anderes Standortsystem-Installationskonto aufweisen. Sie können aber nur ein Standortsystem-Installationskonto für die Verwaltung aller Standortsystemrollen in diesem Standortsystem konfigurieren.
Für dieses Konto sind lokale Administratorberechtigungen auf den Standortsystemen erforderlich, die installiert und konfiguriert werden sollen. Darüber hinaus muss dieses Konto die Berechtigung Auf diesen Computer vom Netzwerk aus zugreifen in der Sicherheitsrichtlinie auf den Standortsystemen aufweisen, die installiert und konfiguriert werden sollen.
| Tipp |
|---|
Falls Sie mit vielen Domänencontrollern arbeiten und diese Konten domänenübergreifend verwendet werden, vergewissern Sie sich vor der Konfiguration des Standortsystems, dass die Konten repliziert wurden. Die Festlegung eines lokalen Kontos auf jedem der zu verwaltenden Standortsysteme bietet ein höheres Maß an Sicherheit als der Einsatz von Domänenkonten. Dies liegt daran, dass Angreifer bei einer Gefährdung des Kontos nur in beschränktem Umfang Schaden anrichten können. Allerdings sind Domänenkonten einfacher zu verwalten. Daher sollten Sie einen Kompromiss zwischen Sicherheit und effektiver Verwaltung finden. |
Verbindungskonto für SMTP-Server
Für System Center 2012 Configuration Manager SP1 und höher: Über das Verbindungskonto für SMTP-Server werden vom Standortserver per E-Mail Warnungen an den SMTP-Server gesendet, wenn für den SMTP-Server ein authentifizierter Zugriff erforderlich ist.
| Sicherheit Hinweis |
|---|
Geben Sie ein Konto mit den geringstmöglichen Berechtigungen zum Senden von E-Mails an. |
Verbindungskonto des Softwareupdatepunkts
Das Verbindungskonto des Softwareupdatepunkts wird vom Standortserver für die beiden folgenden Softwareupdatedienste verwendet:
WSUS Configuration Manager, von dem Einstellungen wie Produktdefinitionen, Klassifizierungen und Upstreameinstellungen konfiguriert werden
WSUS-Synchronisierungs-Manager, von dem bei einem WSUS-Upstreamserver oder Microsoft Update eine Synchronisierung angefordert wird
Mit dem Standortsystem-Installationskonto können zwar Komponenten für Softwareupdates installiert, aber keine softwareupdatespezifischen Funktionen auf dem Softwareupdatepunkt ausgeführt werden. Falls Sie das Computerkonto des Standortservers für diese Funktion nicht verwenden können, weil sich der Softwareupdatepunkt in einer nicht vertrauenswürdigen Gesamtstruktur befindet, müssen Sie dieses Konto zusätzlich zum Standortsystem-Installationskonto angeben.
Dieses Konto muss ein lokaler Administrator auf dem Computer sein, auf dem WSUS installiert ist. Außerdem muss es Teil der WSUS-Administratorengruppe sein.
Proxyserverkonto für Softwareupdatepunkt
Das Proxyserverkonto für Softwareupdatepunkt wird vom Softwareupdatepunkt für den Zugriff auf das Internet verwendet. Der Zugriff erfolgt dabei über einen Proxyserver oder eine Firewall, für den bzw. die ein authentifizierter Zugriff erforderlich ist.
| Sicherheit Hinweis |
|---|
Geben Sie ein Konto mit den geringstmöglichen Berechtigungen für den erforderlichen Proxyserver bzw. für die erforderliche Firewall an. |
Konto des Quellstandorts
Über das Konto des Quellstandorts wird vom Migrationsprozess auf den SMS-Anbieter des Quellstandorts zugegriffen. Für dieses Konto ist die Berechtigung Lesen für Standortobjekte am Quellstandort erforderlich, damit Daten für Migrationsaufträge gesammelt werden können.
Wenn Sie ein Upgrade von Configuration Manager 2007-Verteilungspunkten oder sekundären Standorten mit Verteilungspunkten auf System Center 2012 Configuration Manager-Verteilungspunkte planen, muss dieses Konto auch die Berechtigung Löschen für die Klasse Standort aufweisen, damit der Verteilungspunkt beim Upgrade erfolgreich vom Configuration Manager 2007-Standort entfernt werden kann.
| Hinweis |
|---|
Sowohl das Konto für Quellstandort als auch das Konto der Datenbank des Quellstandorts werden in der Configuration Manager-Konsole im Knoten Konten des Arbeitsbereichs Verwaltung als Migrations-Manager bezeichnet. |
Konto der Datenbank des Quellstandorts
Über das Konto der Datenbank des Quellstandorts greift der Migrationsprozess auf die SQL Server-Datenbank für den Quellstandort zu. Damit von der SQL Server-Datenbank des Quellstandorts Daten gesammelt werden können, muss das Konto der Datenbank des Quellstandorts über die Berechtigungen Lesen und Ausführen für die SQL Server-Datenbank des Quellstandorts verfügen.
| Hinweis |
|---|
Falls Sie das System Center 2012 Configuration Manager-Computerkonto verwenden, vergewissern Sie sich, dass Folgendes auf dieses Konto zutrifft:
|
| Hinweis |
|---|
Sowohl das Konto für Quellstandort als auch das Konto der Datenbank des Quellstandorts werden in der Configuration Manager-Konsole im Knoten Konten des Arbeitsbereichs Verwaltung als Migrations-Manager bezeichnet. |
Tasksequenz-Editor-Domänenbeitrittskonto
Das Tasksequenz-Editor-Domänenbeitrittskonto wird in Tasksequenzen für den Beitritt eines neu mit einem Abbild versehenen Computers zu einer Domäne verwendet. Das Konto wird benötigt, wenn Sie einer Tasksequenz den Schritt Einer Domäne oder Arbeitsgruppe beitreten hinzufügen und anschließend Einer Domäne beitreten auswählen. Sie können dieses Konto auch konfigurieren, wenn Sie einer Tasksequenz den Schritt Netzwerkeinstellungen anwenden hinzufügen, es ist jedoch für diesen Schritt nicht zwingend erforderlich.
Das Konto muss über die Berechtigung Domäne beitreten für die Domäne verfügen, der der Computer beitritt.
| Tipp |
|---|
Wenn Sie dieses Konto für Ihre Tasksequenzen benötigen, können Sie ein Domänenbenutzerkonto mit minimalen Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen erstellen und für alle Tasksequenzkonten verwenden. |
| Sicherheit Hinweis |
|---|
Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldungen zu. Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto. |
Netzwerkordner-Verbindungskonto des Tasksequenz-Editors
Mit dem Netzwerkordner-Verbindungskonto des Tasksequenz-Editors wird in einer Tasksequenz eine Verbindung mit einem freigegebenen Ordner im Netzwerk hergestellt. Dieses Konto ist erforderlich, wenn Sie den Schritt Verbindung mit Netzwerkordner herstellen zu einer Tasksequenz hinzufügen.
Dieses Konto erfordert Berechtigungen für den Zugriff auf den angegebenen freigegebenen Ordner, und es muss sich um ein Domänenbenutzerkonto handeln.
| Tipp |
|---|
Wenn Sie dieses Konto für Ihre Tasksequenzen benötigen, können Sie ein Domänenbenutzerkonto mit minimalen Berechtigungen für den Zugriff auf die erforderlichen Netzwerkressourcen erstellen und für alle Tasksequenzkonten verwenden. |
| Sicherheit Hinweis |
|---|
Weisen Sie diesem Konto keine Rechte zur interaktiven Anmeldungen zu. Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto. |
Tasksequenzkonto „Ausführen als“
Das Tasksequenzkonto „Ausführen als“ wird zum Ausführen von Befehlszeilen in Tasksequenzen verwendet, deren Anmeldeinformationen von denen des lokalen Systemkontos abweichen. Dieses Konto ist erforderlich, wenn Sie einer Tasksequenz den Schritt Befehlszeile ausführen hinzufügen, die Tasksequenz aber nicht mit den Kontoberechtigungen für das lokale System auf dem verwalteten Computer ausgeführt werden soll.
Das Konto muss mit den Mindestberechtigungen zum Ausführen der in der Tasksequenz angegebenen Befehlszeile konfiguriert sein. Für das Konto sind interaktive Anmelderechte erforderlich sowie in der Regel die Möglichkeit, Software zu installieren und auf Netzwerkressourcen zuzugreifen.
| Sicherheit Hinweis |
|---|
Verwenden Sie für dieses Konto nicht das Netzwerkzugriffskonto. Versehen Sie das Konto niemals mit Domänenadministratorrechten. Konfigurieren Sie niemals servergespeicherte Profile für dieses Konto. Wenn die Tasksequenz ausgeführt wird, wird das servergespeicherte Profil für das Konto heruntergeladen, sodass es anfällig für einen Zugriff auf dem lokalen Computer wird. Beschränken Sie den Kontoumfang. Erstellen Sie beispielsweise für jede Tasksequenz ein unterschiedliches Tasksequenzkonto für „Ausführen als“, sodass bei Gefährdung eines Kontos nur der Clientcomputer betroffen ist, auf den dieses Konto Zugriff hat. Wenn für die Befehlszeile Administratorrechte auf dem Computer erforderlich sind, erwägen Sie die Erstellung eines lokalen Administratorkontos lediglich für das Tasksequenzkonto „Ausführen als“ auf allen Computern, um die Tasksequenz auszuführen. Wenn das Konto nicht mehr benötigt wird, kann es gelöscht werden. |