Cuentas que se usan en Configuration ManagerAccounts used in Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Use la información siguiente para identificar las cuentas y los grupos de Windows y los objetos de SQL que se usan en Configuration Manager, cómo se usan y cualquier requisito.Use the following information to identify the Windows groups, accounts, and SQL objects that are used in Configuration Manager, how they are used, and any requirements.

Grupos de Windows que crea y usa Configuration ManagerWindows groups that Configuration Manager creates and uses

Configuration Manager crea automáticamente y, en muchos casos, mantiene automáticamente los siguientes grupos de Windows:Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups:

Nota

Cuando Configuration Manager crea un grupo en un equipo que es miembro del dominio, el grupo es un grupo de seguridad local.When Configuration Manager creates a group on a computer that's a domain member, the group is a local security group. Si el equipo es un controlador de dominio, el grupo es un grupo local de dominio.If the computer is a domain controller, the group is a domain local group. Este tipo de grupo se comparte entre todos los controladores de dominio del dominio.This type of group is shared among all domain controllers in the domain.

ConfigMgr_CollectedFilesAccessConfigMgr_CollectedFilesAccess

Configuration Manager usa este grupo para conceder acceso para ver los archivos recopilados por el inventario de software.Configuration Manager uses this group to grant access to view files collected by software inventory.

Para obtener más información, vea Introducción al inventario de software.For more information, see Introduction to software inventory.

Tipo y ubicaciónType and location

Este grupo es un grupo de seguridad local creado en el servidor de sitio primario.This group is a local security group created on the primary site server.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PertenenciaMembership

Configuration Manager administra automáticamente la pertenencia al grupo.Configuration Manager automatically manages the group membership. Entre los miembros se incluyen usuarios administrativos que tienen concedido el permiso Ver archivos recopilados en el objeto asegurable Recopilación desde un rol de seguridad asignado.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.

PermisosPermissions

De forma predeterminada, este grupo tiene el permiso Lectura en la siguiente carpeta del servidor de sitio: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol.By default, this group has Read permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

ConfigMgr_DViewAccessConfigMgr_DViewAccess

Se trata de un grupo de seguridad local que Configuration Manager crea en el servidor de base de datos del sitio o en el servidor de réplica de base de datos para un sitio primario secundario.This group is a local security group that Configuration Manager creates on the site database server or database replica server for a child primary site. El sitio lo crea cuando se usan vistas distribuidas para la replicación de base de datos entre los sitios de una jerarquía.The site creates it when you use distributed views for database replication between sites in a hierarchy. Contiene el servidor de sitio y las cuentas de equipo de SQL Server del sitio de administración central.It contains the site server and SQL Server computer accounts of the central administration site.

Para obtener más información, vea Transferencias de datos entre sitios.For more information, see Data transfers between sites.

Usuarios del control remoto de ConfigMgrConfigMgr Remote Control Users

Las herramientas remotas de Configuration Manager usan este grupo para almacenar las cuentas y los grupos que se configuran en la lista Visores permitidos.Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list. El sitio asigna esta lista a cada cliente.The site assigns this list to each client.

Para obtener más información, vea Introducción al control remoto.For more information, see Introduction to remote control.

Tipo y ubicaciónType and location

Se trata de un grupo de seguridad local creado en el cliente de Configuration Manager cuando el cliente recibe una directiva que habilita las herramientas remotas.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Después de deshabilitar las herramientas remotas para un cliente, este grupo no se quita automáticamente.After you disable remote tools for a client, this group isn't automatically removed. Elimínelo de forma manual después de deshabilitar las herramientas remotas.Manually delete it after disabling remote tools.

PertenenciaMembership

De forma predeterminada, no hay ningún miembro en este grupo.By default, there are no members in this group. Al agregar usuarios a la lista Visores permitidos, se agregan automáticamente a este grupo.When you add users to the Permitted Viewers list, they're automatically added to this group.

Use la lista Visores permitidos para administrar la pertenencia a este grupo en lugar de agregar usuarios o grupos directamente.Use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Además de ser un visor permitido, un usuario administrativo debe tener el permiso Control remoto en el objeto Collection.In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Asigne este permiso mediante el rol de seguridad Operador de herramientas remotas.Assign this permission by using the Remote Tools Operator security role.

PermisosPermissions

De forma predeterminada, este grupo no tiene permisos para ninguna ubicación en el equipo.By default, this group doesn't have permissions to any locations on the computer. Solo se usa para contener la lista Visores permitidos.It's used only to hold the Permitted Viewers list.

Administradores de SMSSMS Admins

Configuration Manager usa este grupo para conceder acceso al proveedor de SMS a través de WMI.Configuration Manager uses this group to grant access to the SMS Provider through WMI. Se necesita acceso al proveedor de SMS para ver y modificar objetos en la consola de Configuration Manager.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Nota

La configuración de administración basada en roles de un usuario administrativo determina qué objetos puede ver y administrar cuando usa la consola de Configuration Manager.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

Para más información, vea Plan for the SMS Provider (Planear el proveedor de SMS).For more information, see Plan for the SMS Provider.

Tipo y ubicaciónType and location

Se trata de un grupo de seguridad local que se crea en cada equipo que tenga un proveedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PertenenciaMembership

Configuration Manager administra automáticamente la pertenencia al grupo.Configuration Manager automatically manages the group membership. De forma predeterminada, cada usuario administrativo en una jerarquía y la cuenta de equipo del servidor de sitio son miembros del grupo Administradores de SMS en cada equipo de proveedor de SMS de un sitio.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

PermisosPermissions

Puede ver y configurar los permisos y derechos del grupo de administradores de SMS con el complemento de MMC Control WMI.You can view the rights and permissions for the SMS Admins group in the WMI Control MMC snap-in. De forma predeterminada, se concede Habilitar cuenta y Llamada remota habilitada a este grupo en el espacio de nombres de WMI Root\SMS.By default, this group is granted Enable Account and Remote Enable on the Root\SMS WMI namespace. Los usuarios autenticados tienen los permisos Ejecutar métodos, Escritura de proveedor y Habilitar cuenta.Authenticated users have Execute Methods, Provider Write, and Enable Account.

Cuando use una consola de Configuration Manager, configure permisos de DCOM de activación remota en el equipo de servidor de sitio y en el proveedor de SMS.When you use a remote Configuration Manager console, configure Remote Activation DCOM permissions on both the site server computer and the SMS Provider. Conceda estos derechos al grupo Administradores de SMS.Grant these rights to the SMS Admins group. Esta acción simplifica la administración en lugar de conceder estos derechos directamente a los usuarios o grupos.This action simplifies administration instead of granting these rights directly to users or groups. Para obtener más información, vea Configuración de permisos de DCOM para consolas remotas de Configuration Manager.For more information, see Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_<código_de_sitio>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Los puntos de administración remotos con respecto al servidor de sitio usan este grupo para conectarse a la base de datos del sitio.Management points that are remote from the site server use this group to connect to the site database. Este grupo proporciona un acceso de punto de administración a las carpetas de bandeja de entrada en el servidor de sitio y la base de datos del sitio.This group provides a management point access to the inbox folders on the site server and the site database.

Tipo y ubicaciónType and location

Se trata de un grupo de seguridad local que se crea en cada equipo que tenga un proveedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PertenenciaMembership

Configuration Manager administra automáticamente la pertenencia al grupo.Configuration Manager automatically manages the group membership. De forma predeterminada, la pertenencia incluye las cuentas de equipo de equipos remotos que tienen un punto de administración para el sitio.By default, membership includes the computer accounts of remote computers that have a management point for the site.

PermisosPermissions

De forma predeterminada, este grupo tiene los permisos de Lectura, Lectura y ejecución y Mostrar el contenido de la carpeta para la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Este grupo tiene el permiso adicional para Escribir en subcarpetas por debajo de la carpeta inboxes, en la que el punto de administración escribe datos de cliente.This group has the additional permission of Write to subfolders below inboxes, to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_<código_de_sitio>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Los equipos del proveedor de SMS remotos usan este grupo para conectarse al servidor de sitio.Remote SMS Provider computers use this group to connect to the site server.

Tipo y ubicaciónType and location

Este grupo es un grupo de seguridad local creado en el servidor de sitio.This group is a local security group created on the site server.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PertenenciaMembership

Configuration Manager administra automáticamente la pertenencia al grupo.Configuration Manager automatically manages the group membership. De forma predeterminada, la pertenencia incluye la cuenta de equipo o una cuenta de usuario de dominio.By default, membership includes the computer account or a domain user account. Usa esta cuenta para conectarse al servidor de sitio desde cada proveedor de SMS remoto.It uses this account to connect to the site server from each remote SMS Provider.

PermisosPermissions

De forma predeterminada, este grupo tiene los permisos de Lectura, Lectura y ejecución y Mostrar el contenido de la carpeta para la carpeta siguiente en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Este grupo tiene los permisos adicionales de Escritura y Modificar en las subcarpetas por debajo de inboxes.This group has the additional permissions of Write and Modify to subfolders below the inboxes. El proveedor de SMS requiere acceso a estas carpetas.The SMS Provider requires access to these folders.

Este grupo también tiene el permiso Lectura para las subcarpetas del servidor de sitio por debajo de C:\Program Files\Microsoft Configuration Manager\OSD\Bin.This group also has Read permission to the subfolders on the site server below C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

También tiene los permisos siguientes para las subcarpetas por debajo de C:\Program Files\Microsoft Configuration Manager\OSD\boot:It also has the following permissions to the subfolders below C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • LecturaRead
  • Lectura y ejecuciónRead & execute
  • Mostrar el contenido de la carpetaList folder contents
  • EscrituraWrite
  • ModificarModify

SMS_SiteSystemToSiteServerConnection_Stat_<código_de_sitio>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

El componente de administrador de envío de archivos en equipos de sistema de sitio remoto de Configuration Manager usa este grupo para conectarse al servidor de sitio.The file dispatch manager component on Configuration Manager remote site system computers uses this group to connect to the site server.

Tipo y ubicaciónType and location

Este grupo es un grupo de seguridad local creado en el servidor de sitio.This group is a local security group created on the site server.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PertenenciaMembership

Configuration Manager administra automáticamente la pertenencia al grupo.Configuration Manager automatically manages the group membership. De forma predeterminada, la pertenencia incluye la cuenta de equipo o la cuenta de usuario de dominio.By default, membership includes the computer account or the domain user account. Usa esta cuenta para conectarse al servidor de sitio desde cada sistema de sitio remoto que ejecuta el Administrador de envío de archivos.It uses this account to connect to the site server from each remote site system that runs the file dispatch manager.

PermisosPermissions

De forma predeterminada, este grupo tiene los permisos de Lectura, Lectura y ejecución y Mostrar el contenido de la carpeta para la carpeta siguiente y sus subcarpetas en el servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder and its subfolders on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes.

Este grupo tiene los permisos adicionales de Escritura and Modificar en la carpeta siguiente del servidor de sitio: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.This group has the additional permissions of Write and Modify to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

SMS_SiteToSiteConnection_<código_de_sitio>SMS_SiteToSiteConnection_<sitecode>

Configuration Manager usa este grupo para habilitar la replicación basada en archivos entre sitios de una jerarquía.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. Por cada sitio remoto que transfiere archivos directamente a este sitio, este grupo contiene cuentas configuradas como cuenta de replicación de archivos.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

Tipo y ubicaciónType and location

Este grupo es un grupo de seguridad local creado en el servidor de sitio.This group is a local security group created on the site server.

PertenenciaMembership

Cuando se instala un sitio nuevo como secundario de otro, Configuration Manager agrega automáticamente la cuenta de equipo del nuevo servidor de sitio al grupo en el servidor de sitio primario.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site server to this group on the parent site server. Configuration Manager también agrega la cuenta de equipo del sitio primario al grupo en el nuevo servidor de sitio.Configuration Manager also adds the parent site's computer account to the group on the new site server. Si especifica otra cuenta para las transferencias basadas en archivos, agregue dicha cuenta a este grupo en el servidor de sitio de destino.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Cuando se desinstala un sitio, este grupo no se quita automáticamente.When you uninstall a site, this group isn't automatically removed. Elimínelo de forma manual después de desinstalar un sitio.Manually delete it after uninstalling a site.

PermisosPermissions

De forma predeterminada, este grupo tiene Control total en la carpeta siguiente: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.By default, this group has Full control to the following folder: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Cuentas que usa Configuration ManagerAccounts that Configuration Manager uses

Puede configurar las cuentas siguientes para Configuration Manager.You can set up the following accounts for Configuration Manager.

Cuenta de detección de grupos de Active DirectoryActive Directory group discovery account

El sitio usa la cuenta de detección de grupos de Active Directory para detectar los objetos siguientes desde las ubicaciones en Active Directory Domain Services que especifique:The site uses the Active Directory group discovery account to discover the following objects from the locations in Active Directory Domain Services that you specify:

  • Grupos de seguridad locales, globales y universalesLocal, global, and universal security groups
  • La pertenencia a estos gruposThe membership within these groups
  • La pertenencia dentro de grupos de distribuciónThe membership within distribution groups
    • Los grupos de distribución no se detectan como recursos de grupoDistribution groups aren't discovered as group resources

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Debe tener permiso de acceso de Lectura en las ubicaciones de Active Directory que se especifiquen para la detección.It must have Read access permission to the Active Directory locations that you specify for discovery.

Para obtener más información, vea Detección de grupos de Active Directory.For more information, see Active Directory group discovery.

Cuenta de detección de sistemas de Active DirectoryActive Directory system discovery account

El sitio usa la cuenta de detección de sistemas de Active Directory para detectar equipos desde las ubicaciones en Active Directory Domain Services que especifique.The site uses the Active Directory system discovery account to discover computers from the locations in Active Directory Domain Services that you specify.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Debe tener permiso de acceso de Lectura en las ubicaciones de Active Directory que se especifiquen para la detección.It must have Read access permission to the Active Directory locations that you specify for discovery.

Para obtener más información, vea Detección de sistemas de Active Directory.For more information, see Active Directory system discovery.

Cuenta de detección de usuarios de Active DirectoryActive Directory user discovery account

El sitio usa la cuenta de detección de usuarios de Active Directory para detectar cuentas de usuario desde las ubicaciones en Active Directory Domain Services que especifique.The site uses the Active Directory user discovery account to discover user accounts from the locations in Active Directory Domain Services that you specify.

Esta cuenta puede ser una cuenta de equipo del servidor de sitio que ejecute la detección o una cuenta de usuario de Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Debe tener permiso de acceso de Lectura en las ubicaciones de Active Directory que se especifiquen para la detección.It must have Read access permission to the Active Directory locations that you specify for discovery.

Para obtener más información, vea Detección de usuario de Active Directory.For more information, see Active Directory user discovery.

Cuenta de bosque de Active DirectoryActive Directory forest account

El sitio usa la cuenta de bosque de Active Directory para detectar la infraestructura de red en bosques de Active Directory.The site uses the Active Directory forest account to discover network infrastructure from Active Directory forests. Los sitios de administración central y los sitios primarios también la usan para publicar datos de sitio de Active Directory Domain Services en un bosque.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Nota

Los sitios secundarios siempre utilizan la cuenta de equipo del servidor de sitio secundario para publicar en Active Directory.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Para detectar y publicar en bosques que no son de confianza, la cuenta de bosque de Active Directory debe ser una cuenta global.To discover and publish to untrusted forests, the Active Directory forest account must be a global account. Si no se usa la cuenta de equipo del servidor de sitio, solo se puede seleccionar una cuenta global.If you don't use the computer account of the site server, you can select only a global account.

Esta cuenta debe tener permisos de lectura en cada bosque de Active Directory donde desee detectar infraestructura de red.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

Esta cuenta debe tener permisos Control total en el contenedor de administración de sistema y todos sus objetos secundarios en cada bosque de Active Directory donde quiera publicar datos del sitio.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data. Para más información, vea Preparar Active Directory para la publicación de sitios.For more information, see Prepare Active Directory for site publishing.

Para obtener más información, vea Detección de bosques de Active Directory.For more information, see Active Directory forest discovery.

Cuenta de punto de registro de certificadoCertificate registration point account

El punto de registro de certificado usa la cuenta de punto de registro de certificado para conectarse a la base de datos de Configuration Manager.The certificate registration point uses the Certificate registration point account to connect to the Configuration Manager database. Usa su cuenta de equipo de forma predeterminada, pero en su lugar puede configurar una cuenta de usuario.It uses its computer account by default, but you can configure a user account instead. Cuando el punto de registro de certificado esté en un dominio que no sea de confianza en el servidor del sitio, debe especificar una cuenta de usuario.When the certificate registration point is in an untrusted domain from the site server, you must specify a user account. Esta cuenta solo requiere acceso de lectura a la base de datos del sitio, ya que el sistema de mensajes de estado controla las tareas de escritura.This account requires only Read access to the site database, because the state message system handles write tasks.

Para obtener más información, vea Introducción a los perfiles de certificado.For more information, see Introduction to certificate profiles.

Cuenta de captura de imagen de sistema operativoCapture OS image account

Cuando se captura una imagen de sistema operativo, Configuration Manager usa la cuenta de captura de imagen de sistema operativo para acceder a la carpeta en la que se almacenan las imágenes capturadas.When you capture an OS image, Configuration Manager uses the Capture OS image account to access the folder where you store captured images. Si agrega el paso Capturar imagen de sistema operativo a una secuencia de tareas, esta cuenta será necesaria.If you add the Capture OS Image step to a task sequence, this account is required.

La cuenta debe tener permisos de Lectura y Escritura en el recurso compartido de red donde se almacenan las imágenes capturadas.The account must have Read and Write permissions on the network share where you store captured images.

Si cambia la contraseña de la cuenta en Windows, actualice la secuencia de tareas con la contraseña nueva.If you change the password for the account in Windows, update the task sequence with the new password. El cliente de Configuration Manager recibirá la nueva contraseña la próxima vez que descargue la directiva de cliente.The Configuration Manager client receives the new password when it next downloads the client policy.

Si necesita usar esta cuenta, cree una cuenta de usuario de dominio.If you need to use this account, create one domain user account. Concédale los permisos mínimos para acceder a los recursos de red necesarios, y úsela para todas las secuencias de tareas de captura.Grant it minimal permissions to access the required network resources, and use it for all capture task sequences.

Importante

No asigne permisos de inicio de sesión interactivo a esta cuenta.Don't assign interactive sign-in permissions to this account.

No use la cuenta de acceso a la red para esta cuenta.Don't use the network access account for this account.

Para obtener más información, vea Crear una secuencia de tareas para capturar un sistema operativo.For more information, see Create a task sequence to capture an OS.

Cuenta de instalación de inserción de clienteClient push installation account

Cuando se implementan clientes mediante el método de instalación de inserción de cliente, el sitio usa la cuenta de instalación de inserción de cliente para conectarse a los equipos e instalar el software de cliente de Configuration Manager.When you deploy clients by using the client push installation method, the site uses the Client push installation account to connect to computers and install the Configuration Manager client software. Si no especifica esta cuenta, el servidor de sitio intenta usar su cuenta de equipo.If you don't specify this account, the site server tries to use its computer account.

Esta cuenta debe ser miembro del grupo Administradores locales de los equipos cliente de destino.This account must be a member of the local Administrators group on the target client computers. Esta cuenta no requiere derechos de Administrador de dominio.This account doesn't require Domain Admin rights.

Puede especificar más de una cuenta de instalación de inserción de cliente.You can specify more than one client push installation account. Configuration Manager prueba cada una por turnos hasta que una es correcta.Configuration Manager tries each one in turn until one succeeds.

Sugerencia

Si tiene un entorno de Active Directory de gran tamaño y necesita cambiar esta cuenta, siga los pasos siguientes para coordinar la actualización de esta cuenta de forma más eficaz:If you have a large Active Directory environment and need to change this account, use the following process to more effectively coordinate this account update:

  1. Cree una cuenta con otro nombre.Create a new account with a different name
  2. Agregue la nueva cuenta a la lista de cuentas de instalación de inserción de cliente en Configuration Manager.Add the new account to the list of client push installation accounts in Configuration Manager
  3. Deje tiempo suficiente para que Active Directory Domain Services pueda replicar la nueva cuenta.Allow sufficient time for Active Directory Domain Services to replicate the new account
  4. Después, quite la cuenta antigua de Configuration Manager y Active Directory Domain Services.Then remove the old account from Configuration Manager and Active Directory Domain Services

Importante

No conceda a esta cuenta el derecho para iniciar sesión de forma local.Don't grant this account the right to sign in locally.

Para obtener más información, vea Instalación de inserción de cliente.For more information, see Client push installation.

Cuenta de conexión de punto de inscripciónEnrollment point connection account

El punto de inscripción usa la cuenta de conexión de punto de inscripción para conectarse a la base de datos de sitio de Configuration Manager.The enrollment point uses the Enrollment point connection account to connect to the Configuration Manager site database. Usa su cuenta de equipo de forma predeterminada, pero en su lugar puede configurar una cuenta de usuario.It uses its computer account by default, but you can configure a user account instead. Cuando el punto de inscripción esté en un dominio que no sea de confianza en el servidor del sitio, debe especificar una cuenta de usuario.When the enrollment point is in an untrusted domain from the site server, you must specify a user account. Esta cuenta requiere acceso de lectura y escritura a la base de datos del sitio.This account requires Read and Write access to the site database.

Para obtener más información, vea Instalación de roles de sistema de sitio para la MDM local.For more information, see Install site system roles for on-premises MDM.

Cuenta de conexión de Exchange ServerExchange Server connection account

El servidor de sitio usa la cuenta de conexión de Exchange Server para conectarse al servidor Exchange especificado.The site server uses the Exchange Server connection account to connect to the specified Exchange Server. Usa esta conexión para buscar y administrar dispositivos móviles que se conectan a Exchange Server.It uses this connection to find and manage mobile devices that connect to Exchange Server. Esta cuenta requiere los cmdlets de PowerShell de Exchange que proporcionan los permisos necesarios para el equipo de Exchange Server.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Para obtener más información sobre los cmdlets, vea Administrar dispositivos móviles mediante Configuration Manager y Exchange.For more information about the cmdlets, see Manage mobile devices with Configuration Manager and Exchange.

Cuenta de conexión del punto de administraciónManagement point connection account

El punto de administración usa la cuenta de conexión del punto de administración para conectarse a la base de datos de sitio de Configuration Manager.The management point uses the Management point connection account to connect to the Configuration Manager site database. Usa esta conexión para enviar y recuperar información para los clientes.It uses this connection to send and retrieve information for clients. El punto de administración usa su cuenta de equipo de forma predeterminada, pero en su lugar puede configurar una cuenta de usuario.The management point uses its computer account by default, but you can configure a user account instead. Cuando el punto de administración esté en un dominio que no sea de confianza en el servidor del sitio, debe especificar una cuenta de usuario.When the management point is in an untrusted domain from the site server, you must specify a user account.

Cree la cuenta como una cuenta local con derechos reducidos en el equipo que ejecuta Microsoft SQL Server.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

No conceda derechos de inicio de sesión interactivo a esta cuenta.Don't grant interactive sign-in rights to this account.

Cuenta de conexión de multidifusiónMulticast connection account

Los puntos de distribución habilitados para la multidifusión usan la cuenta de conexión de multidifusión para leer información de la base de datos del sitio.Multicast-enabled distribution points use the Multicast connection account to read information from the site database. El servidor usa su cuenta de equipo de forma predeterminada, pero en su lugar puede configurar una cuenta de usuario.The server uses its computer account by default, but you can configure a user account instead. Cuando la base de datos del sitio esté en un bosque que no sea de confianza, debe especificar una cuenta de usuario.When the site database is in an untrusted forest, you must specify a user account. Por ejemplo, si el centro de datos tiene una red perimetral en un bosque que no sea ni el servidor del sitio ni la base de datos del sitio, use esta cuenta para leer la información de multidifusión desde la base de datos del sitio.For example, if your data center has a perimeter network in a forest other than the site server and site database, use this account to read the multicast information from the site database.

Si necesita esta cuenta, créela como una cuenta local con derechos reducidos en el equipo que ejecuta Microsoft SQL Server.If you need this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

No conceda derechos de inicio de sesión interactivo a esta cuenta.Don't grant interactive sign-in rights to this account.

Para obtener más información, consulte Usar multidifusión para implementar Windows a través de la red.For more information, see Use multicast to deploy Windows over the network.

Cuenta de acceso a la redNetwork access account

Los equipos cliente usan la cuenta de acceso a la red cuando no pueden usar su cuenta de equipo local para acceder a contenido en los puntos de distribución.Client computers use the network access account when they can't use their local computer account to access content on distribution points. Esto se aplica principalmente a los equipos y clientes del grupo de trabajo de dominios que no son de confianza.It mostly applies to workgroup clients and computers from untrusted domains. Esta cuenta también se usa durante la implementación del sistema operativo, cuando el equipo que lo instala no tiene aún una cuenta de equipo en el dominio.This account is also used during OS deployment, when the computer that's installing the OS doesn't yet have a computer account on the domain.

Importante

La cuenta de acceso a la red nunca se usa como contexto de seguridad para ejecutar programas, instalar actualizaciones de software ni ejecutar secuencias de tareas.The network access account is never used as the security context to run programs, install software updates, or run task sequences. Solo se utiliza para acceder a recursos de la red.It's used only for accessing resources on the network.

En primer lugar, un cliente de Configuration Manager intenta usar su cuenta de equipo para descargar el contenido.A Configuration Manager client first tries to use its computer account to download the content. Si se produce un error, prueba de forma automática la cuenta de acceso a la red.If it fails, it then automatically tries the network access account.

A partir de la versión 1806, un grupo de trabajo o un cliente unido a Azure AD pueden acceder de forma segura a contenido desde puntos de distribución sin necesidad de una cuenta de acceso a la red.Starting in version 1806, a workgroup or Azure AD-joined client can securely access content from distribution points without the need for a network access account. Este comportamiento incluye escenarios de implementación de sistema operativo con una secuencia de tareas que se ejecuta desde el medios de arranque, PXE o el Centro de software.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

Nota

Si habilita HTTP mejorado para que no se requiera la cuenta de acceso a la red, el punto de distribución debe ejecutar Windows Server 2008 R2 SP1 o una versión posterior.If you enable Enhanced HTTP to not require the network access account, the distribution point needs to be running Windows Server 2008 R2 SP1 or later.

Actualice los clientes al menos a la versión 1806 antes de habilitar esta funcionalidad.Upgrade clients to at least version 1806 before enabling this functionality. Si solo permite conexiones de HTTP mejorado, los clientes más antiguos no se podrán autenticar con este método, por lo que no podrán descargar el paquete de actualización de cliente desde un punto de distribución.If you only allow Enhanced HTTP connections, older clients can't authenticate using this method, so can't download the client upgrade package from a distribution point.

PermisosPermissions

Conceda a esta cuenta los permisos adecuados mínimos en el contenido que el cliente necesita para tener acceso al software.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. La cuenta debe tener el permiso Tener acceso a este equipo desde la red en el punto de distribución.The account must have the Access this computer from the network right on the distribution point. Puede configurar hasta 10 cuentas de acceso a la red por cada sitio.You can configure up to 10 network access accounts per site.

Cree la cuenta en cualquier dominio que proporcione el acceso necesario a los recursos.Create the account in any domain that provides the necessary access to resources. La cuenta de acceso a la red siempre debe incluir un nombre de dominio.The network access account must always include a domain name. No se admite la seguridad de paso a través para esta cuenta.Pass-through security isn't supported for this account. Si tiene puntos de distribución en varios dominios, cree la cuenta en un dominio de confianza.If you have distribution points in multiple domains, create the account in a trusted domain.

Sugerencia

Para evitar bloqueos de cuentas, no cambie la contraseña de una cuenta de acceso a la red existente.To avoid account lockouts, don't change the password on an existing network access account. En su lugar, cree otra cuenta y configúrela en Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager. Cuando transcurra el tiempo suficiente para que todos los clientes reciban los detalles de la cuenta nueva, quite la cuenta antigua de las carpetas compartidas de red y elimine la cuenta.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Importante

No conceda derechos de inicio de sesión interactivo a esta cuenta.Don't grant interactive sign-in rights to this account.

No conceda a esta cuenta el derecho de unir equipos al dominio.Don't grant this account the right to join computers to the domain. Si tiene que unir equipos al dominio durante una secuencia de tareas, use la cuenta de unión de dominio de secuencia de tareas.If you must join computers to the domain during a task sequence, use the Task sequence domain join account.

Configuración de la cuenta de acceso a la redConfigure the network access account

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Después, seleccione el sitio.Then select the site.

  2. En el grupo Configuración de la cinta, haga clic en Configurar componentes de sitio y después en Distribución de software.On the Settings group of the ribbon, select Configure Site Components, and choose Software Distribution.

  3. Haga clic en la pestaña Cuenta de acceso a la red. Configure una o varias cuentas y, después, elija Aceptar.Choose the Network access account tab. Set up one or more accounts, and then choose OK.

Cuenta de acceso de paquetesPackage access account

Una cuenta de acceso de paquetes permite establecer permisos NTFS para especificar los usuarios y grupos de usuarios que pueden acceder a contenido de paquetes en los puntos de distribución.A Package access account lets you set NTFS permissions to specify the users and user groups that can access package content on distribution points. De forma predeterminada, Configuration Manager solo concede acceso a las cuentas de acceso genérico Usuario y Administrador.By default, Configuration Manager grants access only to the generic access accounts User and Administrator. Puede controlar el acceso de los equipos cliente mediante el uso de grupos o cuentas de Windows adicionales.You can control access for client computers by using additional Windows accounts or groups. Los dispositivos móviles siempre recuperan el contenido del paquete de forma anónima, por lo que no usan cuentas de acceso de paquetes.Mobile devices always retrieve package content anonymously, so they don't use a package access account.

De forma predeterminada, cuando Configuration Manager copia los archivos de contenido en un punto de distribución, concede acceso de Lectura al grupo Usuarios local y Control total al grupo de Administradores local.By default, when Configuration Manager copies the content files to a distribution point, it grants Read access to the local Users group, and Full Control to the local Administrators group. Los permisos reales necesarios dependen del paquete.The actual permissions required depend on the package. Si tiene clientes en grupos de trabajo o en bosques que no son de confianza, estos clientes usan la cuenta de acceso a la red para acceder al contenido del paquete.If you have clients in workgroups or in untrusted forests, those clients use the network access account to access the package content. Asegúrese de que la cuenta de acceso a la red tenga permisos para el paquete mediante las cuentas de acceso de paquetes definidas.Make sure that the network access account has permissions to the package by using the defined package access accounts.

Utilice las cuentas en un dominio que pueda acceder a los puntos de distribución.Use accounts in a domain that can access the distribution points. Si crea o modifica la cuenta después de crear el paquete, tendrá que redistribuirlo.If you create or modify the account after you create the package, you must redistribute the package. La actualización del paquete no cambia los permisos NTFS del paquete.Updating the package doesn't change the NTFS permissions on the package.

No es necesario agregar la cuenta de acceso a la red como una cuenta de acceso de paquetes, ya que la pertenencia al grupo Usuarios la agrega de forma automática.You don't have to add the network access account as a package access account, because membership of the Users group adds it automatically. Restringir la cuenta de acceso de paquetes solo a la cuenta de acceso a la red no impide que los clientes accedan al paquete.Restricting the package access account to only the network access account doesn't prevent clients from accessing the package.

Administración de cuentas de acceso de paquetesManage package access accounts

  1. En la consola de Configuration Manager, elija Biblioteca de software.In the Configuration Manager console, choose Software Library.

  2. En el área de trabajo Biblioteca de software, determine el tipo de contenido para el que desea administrar cuentas de acceso y siga los pasos indicados:In the Software Library workspace, determine the type of content for which you want to manage access accounts, and follow the steps provided:

    • Aplicación: expanda Administración de aplicaciones, haga clic en Aplicaciones y, luego, seleccione la aplicación para la que se van a administrar cuentas de acceso.Application: Expand Application Management, choose Applications, and then select the application for which to manage access accounts.

    • Paquete: expanda Administración de aplicaciones, haga clic en Paquetes y, luego, seleccione el paquete para el que se van a administrar cuentas de acceso.Package: Expand Application Management, choose Packages, and then select the package for which to manage access accounts.

    • Paquetes de implementación de actualizaciones de software: expanda Actualizaciones de software, haga clic en Paquetes de implementación y, después, seleccione el paquete de implementación para el que se van a administrar cuentas de acceso.Software update deployment package: Expand Software Updates, choose Deployment Packages, and then select the deployment package for which to manage access accounts.

    • Paquete de controladores: expanda Sistemas operativos, haga clic en Paquetes de controladores y, luego, seleccione el paquete de controladores para el que se van a administrar cuentas de acceso.Driver package: Expand Operating Systems, choose Driver Packages, and then select the driver package for which to manage access accounts.

    • Imagen del sistema operativo: expanda Sistemas operativos, haga clic en Imágenes de sistema operativo y, después, seleccione la imagen de sistema operativo para la que se van a administrar cuentas de acceso.OS image: Expand Operating Systems, choose Operating System Images, and then select the operating system image for which to manage access accounts.

    • Paquete de actualización del sistema operativo: expanda Sistemas operativos, haga clic en Paquetes de actualización del sistema operativo y, después, seleccione el paquete de actualización de sistema operativo para el que se van a administrar cuentas de acceso.OS upgrade package: Expand Operating Systems, choose Operating system upgrade packages, and then select the OS upgrade package for which to manage access accounts.

    • Imagen de arranque: expanda Sistemas operativos, haga clic en Imágenes de arranque y, luego, seleccione la imagen de arranque para la que se van a administrar cuentas de acceso.Boot image: Expand Operating Systems, choose Boot Images, and then select the boot image for which to manage access accounts.

  3. Haga clic con el botón derecho en el objeto seleccionado y, luego, elija Administrar cuentas de acceso.Right-click the selected object, and then choose Manage Access Accounts.

  4. En el cuadro de diálogo Agregar cuenta , especifique el tipo de cuenta al que se le concederá acceso al contenido y, a continuación, especifique los derechos de acceso asociados a la cuenta.In the Add Account dialog box, specify the account type that will be granted access to the content, and then specify the access rights associated with the account.

    Nota

    Cuando se agrega un nombre de usuario para la cuenta y Configuration Manager encuentra tanto una cuenta de usuario local como una cuenta de usuario de dominio con ese nombre, este establece derechos de acceso para la cuenta de usuario de dominio.When you add a user name for the account, and Configuration Manager finds both a local user account and a domain user account with that name, Configuration Manager sets access rights for the domain user account.

Cuenta de punto de Reporting ServicesReporting services point account

SQL Server Reporting Services usa la cuenta de punto de Reporting Services para recuperar los datos de informes de Configuration Manager de la base de datos del sitio.SQL Server Reporting Services uses the Reporting services point account to retrieve the data for Configuration Manager reports from the site database. La cuenta de usuario y la contraseña de Windows especificadas se cifran y almacenan en la base de datos de SQL Server Reporting Services.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Nota

La cuenta que especifique debe tener permisos de Inicio de sesión local en el equipo que hospeda la base de datos de SQL Reporting Services.The account you specify must have Log on locally permissions on the computer hosting the SQL Reporting Services database.

Para obtener más información, vea Introducción a los informes.For more information, see Introduction to reporting.

Cuentas de visores permitidos de herramientas remotasRemote tools permitted viewer accounts

Las cuentas que especifique como Visores permitidos para el control remoto son una lista de usuarios a los que se permite el uso de funcionalidades de herramientas remotas en los clientes.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Para obtener más información, vea Introducción al control remoto.For more information, see Introduction to remote control.

Cuenta de instalación del sitioSite installation account

Use una cuenta de usuario de dominio para iniciar sesión en el servidor en el que se ejecuta el programa de instalación de Configuration Manager y se instala un sitio nuevo.Use a domain user account to sign in to the server where you run Configuration Manager setup and install a new site.

Esta cuenta requiere los permisos siguientes:This account requires the following rights:

  • Administrador en los siguientes servidores:Administrator on the following servers:

    • El servidor de sitioThe site server
    • Cada servidor que hospeda la base de datos del sitioEach server that hosts the site database
    • Cada instancia del Proveedor de SMS para el sitioEach instance of the SMS Provider for the site
  • Administrador del sistema en la instancia de SQL Server que hospeda la base de datos del sitioSysadmin on the instance of SQL Server that hosts the site database

El programa de instalación de Configuration Manager agrega automáticamente esta cuenta al grupo Administradores de SMS.Configuration Manager setup automatically adds this account to the SMS Admins group.

Después de la instalación, esta cuenta es el único usuario con derechos para la consola de Configuration Manager.After installation, this account is the only user with rights to the Configuration Manager console. Si tiene que quitar esta cuenta, asegúrese de agregar primero sus derechos a otro usuario.If you need to remove this account, make sure to add its rights to another user first.

Al expandir un sitio independiente para incluir un sitio de administración central, esta cuenta requiere los derechos de administración basada en roles Administrador total o Administrador de infraestructura en el sitio primario independiente.When expanding a standalone site to include a central administration site, this account requires either Full Administrator or Infrastructure Administrator role-based administration rights at the standalone primary site.

Cuenta de instalación del sistema de sitioSite system installation account

El servidor de sitio usa la cuenta de instalación del sistema de sitio para instalar, reinstalar, desinstalar y configurar sistemas de sitio.The site server uses the Site system installation account to install, reinstall, uninstall, and set up site systems. Si configura el sistema de sitio de modo que exija al servidor de sitio iniciar conexiones con este sistema, Configuration Manager también usa esta cuenta para extraer datos del sistema de sitio después de la instalación del sistema de sitio y cualquier rol.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system after it installs the site system and any roles. Cada sistema de sitio puede tener una cuenta de instalación distinta, pero solo se puede configurar una cuenta de instalación para administrar todos los roles en ese sistema de sitio.Each site system can have a different installation account, but you can set up only one installation account to manage all roles on that site system.

Esta cuenta requiere permisos administrativos locales en los sistemas de sitio de destino.This account requires local administrative permissions on the target site systems. Además, esta cuenta debe Tener acceso a este equipo desde la red en la directiva de seguridad en los sistemas de sitio de destino.Additionally, this account must have Access this computer from the network in the security policy on the target site systems.

Sugerencia

Si tiene muchos controladores de dominio y estas cuentas se usan en varios dominios, antes de configurar el sistema de sitio, compruebe que Active Directory las haya replicado.If you have many domain controllers and these accounts are used across domains, before you set up the site system, check that Active Directory has replicated these accounts.

Al especificar una cuenta local en cada sistema de sitio que se va a administrar, esta configuración es más segura que usar cuentas de dominio.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts. Limita los daños que los atacantes pueden producir si la seguridad de la cuenta se ve comprometida.It limits the damage that attackers can do if the account is compromised. Aunque las cuentas de dominio son más fáciles de administrar.However, domain accounts are easier to manage. Tenga en cuenta el equilibrio entre la seguridad y una administración eficaz.Consider the trade-off between security and effective administration.

Cuenta de servidor proxy de sistema de sitioSite system proxy server account

Los roles de sistema de sitio siguientes usan la cuenta de servidor proxy de sistema de sitio para obtener acceso a Internet a través de un servidor proxy o firewall que requiera acceso autenticado:The following site system roles use the Site system proxy server account to access the internet via a proxy server or firewall that requires authenticated access:

  • Punto de sincronización de Asset IntelligenceAsset Intelligence synchronization point
  • Conector de Exchange ServerExchange Server connector
  • Punto de conexión de servicioService connection point
  • Punto de actualización de softwareSoftware update point

Importante

Especifique una cuenta que tenga los mínimos permisos posibles en el servidor proxy o firewall correspondiente.Specify an account that has the least possible permissions for the required proxy server or firewall.

Para obtener más información, vea Compatibilidad de servidor proxy.For more information, see Proxy server support.

Cuenta de conexión del servidor SMTPSMTP server connection account

El servidor de sitio usa la cuenta de conexión del servidor SMTP para enviar alertas por correo electrónico cuando el servidor SMTP requiere acceso autenticado.The site server uses the SMTP server connection account to send email alerts when the SMTP server requires authenticated access.

Importante

Especifique una cuenta que tenga los mínimos permisos posibles para enviar mensajes de correo electrónico.Specify an account that has the least possible permissions to send emails.

Para obtener más información, consulte Usar alertas y el sistema de estado.For more information, see Use alerts and the status system.

Cuenta de conexión de punto de actualización de softwareSoftware update point connection account

El servidor de sitio usa la cuenta de conexión de punto de actualización de software para los dos servicios de actualización de software siguientes:The site server uses the Software update point connection account for the following two software update services:

  • Windows Server Update Services (WSUS), que configura opciones como las definiciones de producto, las clasificaciones y la configuración ascendente.Windows Server Update Services (WSUS), which sets up settings like product definitions, classifications, and upstream settings.

  • Administrador de sincronización de WSUS, que solicita la sincronización a un servidor WSUS ascendente o a Microsoft Update.WSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

La cuenta de instalación del sistema de sitio puede instalar componentes para las actualizaciones de software, pero no puede realizar funciones específicas de actualización de software en el punto de actualización de software.The site system installation account can install components for software updates, but it can't perform software update-specific functions on the software update point. Si no puede usar la cuenta de equipo del servidor de sitio para esta funcionalidad porque el punto de actualización de software está en un bosque que no es de confianza, debe especificar esta cuenta además de la cuenta de instalación del sistema de sitio.If you can't use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the site system installation account.

Esta cuenta debe ser un administrador local en el equipo donde se instala WSUS.This account must be a local administrator on the computer where you install WSUS. También debe formar parte del grupo Administradores de WSUS local.It must also be part of the local WSUS Administrators group.

Para obtener más información, vea Planear actualizaciones de software.For more information, see Plan for software updates.

Cuenta de sitio de origenSource site account

El proceso de migración usa la cuenta de sitio de origen para acceder al proveedor de SMS del sitio de origen.The migration process uses the Source site account to access the SMS Provider of the source site. Esta cuenta requiere permisos de Leer en objetos de sitio en el sitio de origen para obtener datos de trabajos de migración.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Si tiene puntos de distribución de Configuration Manager 2007 o sitios secundarios con puntos de distribución colocados, al actualizarlos a puntos de distribución de Configuration Manager (rama actual), esta cuenta también debe tener permisos Eliminar para la clase Sitio.If you have Configuration Manager 2007 distribution points or secondary sites with colocated distribution points, when you upgrade them to Configuration Manager (current branch) distribution points, this account must also have Delete permissions to the Site class. Este permiso sirve para quitar correctamente el punto de distribución del sitio de Configuration Manager 2007 durante la actualización.This permission is to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Nota

La cuenta de sitio de origen y la cuenta de base de datos del sitio de origen se identifican como Administrador de migraciones en el nodo Cuentas del área de trabajo Administración en la consola de Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Para más información, vea Migración de datos entre jerarquías.For more information, see Migrate data between hierarchies.

Cuenta de base de datos del sitio de origenSource site database account

El proceso de migración usa la cuenta de base de datos del sitio de origen para acceder a la base de datos de SQL Server del sitio de origen.The migration process uses the Source site database account to access the SQL Server database for the source site. Para obtener datos de la base de datos de SQL Server del sitio de origen, la cuenta de base de datos del sitio de origen debe tener los permisos para Leer y Ejecutar en la base de datos de SQL Server del sitio de origen.To gather data from the SQL Server database of the source site, the source site database account must have the Read and Execute permissions to the source site's SQL Server database.

Si usa la cuenta de equipo de Configuration Manager (rama actual), asegúrese de que se cumpla lo siguiente para esta cuenta:If you use the Configuration Manager (current branch) computer account, make sure that all the following are true for this account:

  • Es un miembro del grupo de seguridad Usuarios COM distribuidos en el mismo dominio que el sitio de Configuration Manager 2007.It's a member of the Distributed COM Users security group in the same domain as the Configuration Manager 2007 site
  • Es un miembro del grupo de seguridad Administradores de SMS.It's a member of the SMS Admins security group
  • Tiene el permiso Lectura para todos los objetos de Configuration Manager 2007.It has the Read permission to all Configuration Manager 2007 objects

Nota

La cuenta de sitio de origen y la cuenta de base de datos del sitio de origen se identifican como Administrador de migraciones en el nodo Cuentas del área de trabajo Administración en la consola de Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Para más información, vea Migración de datos entre jerarquías.For more information, see Migrate data between hierarchies.

Cuenta de unión de dominio de secuencia de tareasTask sequence domain join account

El programa de instalación de Windows usa la cuenta de unión de dominio de secuencia de tareas para unir un equipo creado recientemente con una imagen a un dominio.Windows Setup uses the Task sequence domain join account to join a newly imaged computer to a domain. Esta cuenta es necesaria para el paso de secuencia de tareas Unirse a dominio o grupo de trabajo con la opción Unirse a un dominio.This account is required by the Join Domain or Workgroup task sequence step with the Join a domain option. Esta cuenta también se puede configurar con el paso Aplicar configuración de red, pero no es necesario.This account can also be set up with the Apply Network Settings step, but it isn't required.

Esta cuenta requiere el derecho Unión a dominio en el dominio de destino.This account requires the Domain Join right in the target domain.

Sugerencia

Cree una cuenta de usuario de dominio con los permisos mínimos para unirse al dominio, y úsela para todas las secuencias de tareas.Create one domain user account with the minimal permissions to join the domain, and use it for all task sequences.

Importante

No asigne permisos de inicio de sesión interactivo a esta cuenta.Don't assign interactive sign-in permissions to this account.

No use la cuenta de acceso a la red para esta cuenta.Don't use the network access account for this account.

Cuenta de conexión de carpeta de red de secuencia de tareasTask sequence network folder connection account

El motor de secuencia de tareas usa la cuenta de conexión de carpeta de red de secuencias de tareas para conectarse a una carpeta compartida en la red.The task sequence engine uses the Task sequence network folder connection account to connect to a shared folder on the network. Esta cuenta es necesaria para el paso de secuencia de tareas Conectar a carpeta de red.This account is required by the Connect to Network Folder task sequence step.

Esta cuenta requiere permisos de acceso a la carpeta compartida especificada.This account requires permissions to access the specified shared folder. Debe ser una cuenta de usuario de dominio.It must be a domain user account.

Sugerencia

Cree una cuenta de usuario de dominio con los permisos mínimos para acceder a los recursos de red necesarios, y úsela para todas las secuencias de tareas.Create one domain user account with minimal permissions to access the required network resources, and use it for all task sequences.

Importante

No asigne permisos de inicio de sesión interactivo a esta cuenta.Don't assign interactive sign-in permissions to this account.

No use la cuenta de acceso a la red para esta cuenta.Don't use the network access account for this account.

Cuenta de ejecución de secuencia de tareasTask sequence run as account

El motor de secuencias de tareas usa la cuenta de ejecución de secuencias de tareas para ejecutar líneas de comandos o scripts de PowerShell con credenciales distintas a las de la cuenta del sistema local.The task sequence engine uses the Task sequence run as account to run command lines or PowerShell Scripts with credentials other than the Local System account. Esta cuenta es necesaria para los pasos de la secuencia de tareas Ejecutar línea de comandos y Ejecutar script de PowerShell con la opción Ejecutar este paso como la cuenta siguiente seleccionada.This account is required by the Run Command Line and Run PowerShell Script task sequence steps with the option Run this step as the following account chosen.

Configure la cuenta para que tenga los permisos mínimos necesarios para ejecutar la línea de comandos especificada en la secuencia de tareas.Set up the account to have the minimum permissions required to run the command line that you specify in the task sequence. La cuenta requiere derechos de inicio de sesión interactivo.The account requires interactive sign-in rights. Normalmente requiere la capacidad de instalar software y acceder a recursos de red.It usually requires the ability to install software and access network resources. Para la tarea Ejecutar script de PowerShell, esta cuenta requiere permisos de administrador local.For the Run PowerShell Script task, this account requires local administrator permissions.

Importante

No use la cuenta de acceso a la red para esta cuenta.Don't use the network access account for this account.

Nunca convierta la cuenta en administrador de dominio.Never make the account a domain admin.

No configure nunca perfiles móviles para esta cuenta.Never set up roaming profiles for this account. Cuando la secuencia de tareas se ejecuta, descarga el perfil móvil para la cuenta.When the task sequence runs, it downloads the roaming profile for the account. Esto deja el perfil vulnerable al acceso en el equipo local.This leaves the profile vulnerable to access on the local computer.

Limite el ámbito de la cuenta.Limit the scope of the account. Por ejemplo, cree otras cuentas de ejecución de secuencia de tareas para cada secuencia de tareas.For example, create different task sequence run as accounts for each task sequence. Después, si una cuenta se pone en peligro, solo estarán en peligro los equipos cliente a los que esa cuenta tenga acceso.Then if one account is compromised, only the client computers to which that account has access are compromised.

Si la línea de comandos requiere acceso administrativo al equipo, considere la posibilidad de crear una cuenta de administrador local solo para esta cuenta en todos los equipos que ejecuten la secuencia de tareas.If the command line requires administrative access on the computer, consider creating a local administrator account solely for this account on all computers that run the task sequence. Elimine la cuenta cuando ya no la necesite.Delete the account once you no longer need it.

Objetos de usuario que Configuration Manager usa en SQLUser Objects that Configuration Manager uses in SQL

Configuration Manager automáticamente crea y mantiene los siguientes objetos de usuario en SQL.Configuration Manager automatically creates and maintains the following user objects in SQL. Estos objetos se encuentran en la base de datos de Configuration Manager, en Seguridad/Usuarios.These objects are located within the Configuration Manager database under Security/Users.

Importante

Modificar o quitar estos objetos puede provocar problemas drásticos dentro de un entorno de Configuration Manager.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Se recomienda no realizar ningún cambio en estos objetos.We recommend you do not make any changes to these objects.

### smsdbuser_ReadOnly### smsdbuser_ReadOnly

Este objeto se usa para ejecutar consultas en el contexto de solo lectura.This object is used to run queries under the read-only context. Este objeto se usa con varios procedimientos almacenados.This object is leveraged with several stored procedures.

smsdbuser_ReadWritesmsdbuser_ReadWrite

Este objeto se usa para proporcionar permisos para las instrucciones SQL dinámicas.This object is used to provide permissions for dynamic SQL statements.

smsdbuser_ReportSchemasmsdbuser_ReportSchema

Este objeto se usa para realizar ejecuciones de SQL Reporting.This object is used to run SQL Reporting Executions. El siguiente procedimiento almacenado se usa con esta función: spSRExecQuery.The following stored procedure is used with this function: spSRExecQuery.