Account usati in Configuration ManagerAccounts used in Configuration Manager

Si applica a: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Usare le informazioni seguenti per identificare i gruppi di Windows, gli account e gli oggetti SQL usati in Configuration Manager, le relative modalità d'uso e gli eventuali requisiti.Use the following information to identify the Windows groups, accounts, and SQL objects that are used in Configuration Manager, how they are used, and any requirements.

Gruppi Windows creati e usati da Configuration ManagerWindows groups that Configuration Manager creates and uses

Configuration Manager crea automaticamente e, in molti casi, gestisce automaticamente i gruppi di Windows seguenti:Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups:

Nota

Quando Configuration Manager crea un gruppo in un computer appartenente a un dominio, il gruppo è un gruppo di sicurezza locale.When Configuration Manager creates a group on a computer that's a domain member, the group is a local security group. Se il computer è un controller di dominio, il gruppo è un gruppo locale di dominio.If the computer is a domain controller, the group is a domain local group. Questo tipo di gruppo è comune a tutti i controller di dominio del dominio.This type of group is shared among all domain controllers in the domain.

ConfigMgr_CollectedFilesAccessConfigMgr_CollectedFilesAccess

Configuration Manager usa questo gruppo per concedere l'accesso per la visualizzazione dei file raccolti dall'inventario software.Configuration Manager uses this group to grant access to view files collected by software inventory.

Per altre informazioni, vedere Introduzione all'inventario software.For more information, see Introduction to software inventory.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato nel server del sito primario.This group is a local security group created on the primary site server.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AppartenenzeMembership

Configuration Manager gestisce automaticamente l'appartenenza a gruppi.Configuration Manager automatically manages the group membership. L'appartenenza comprende gli utenti amministratori a cui è concessa l'autorizzazione Visualizza file raccolti per l'oggetto a protezione diretta Raccolta da un ruolo di sicurezza assegnato.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.

AutorizzazioniPermissions

Per impostazione predefinita, questo gruppo dispone dell'autorizzazione di Lettura per la seguente cartella nel server del sito: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileColBy default, this group has Read permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

ConfigMgr_DViewAccessConfigMgr_DViewAccess

Questo gruppo è un gruppo di sicurezza locale creato da Configuration Manager nel server di database del sito o nel server di replica del database di un sito primario figlio.This group is a local security group that Configuration Manager creates on the site database server or database replica server for a child primary site. Il sito lo crea quando si usano le viste distribuite per la replica di database tra siti all'interno di una gerarchia.The site creates it when you use distributed views for database replication between sites in a hierarchy. Contiene il server del sito e gli account computer di SQL Server del sito di amministrazione centrale.It contains the site server and SQL Server computer accounts of the central administration site.

Per altre informazioni, vedere Trasferimenti di dati tra siti.For more information, see Data transfers between sites.

Utenti di Controllo remoto di ConfigMgrConfigMgr Remote Control Users

Gli strumenti remoti di Configuration Manager usano questo gruppo per l'archiviazione di account e gruppi configurati nell'elenco Visualizzatori autorizzati.Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list. Il sito assegna questo elenco a ogni client.The site assigns this list to each client.

Per altre informazioni, vedere Introduzione al controllo remoto.For more information, see Introduction to remote control.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato nel client di Configuration Manager quando il client riceve un criterio che abilita gli strumenti remoti.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Questo gruppo non viene rimosso automaticamente dopo che gli strumenti remoti per un client sono stati disabilitati.After you disable remote tools for a client, this group isn't automatically removed. Eliminarlo manualmente dopo la disabilitazione degli strumenti remoti.Manually delete it after disabling remote tools.

AppartenenzeMembership

Per impostazione predefinita, non esistono membri per questo gruppo.By default, there are no members in this group. Gli utenti aggiunti all'elenco Visualizzatori autorizzati vengono aggiunti automaticamente a questo gruppo.When you add users to the Permitted Viewers list, they're automatically added to this group.

Usare l'elenco Visualizzatori autorizzati per gestire l'appartenenza di questo gruppo anziché aggiungervi direttamente utenti o gruppi.Use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Oltre a essere un visualizzatore autorizzato, un utente amministratore deve avere l'autorizzazione Controllo remoto per l'oggetto Raccolta.In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Assegnare questa autorizzazione tramite il ruolo di sicurezza Operatore strumenti remoti.Assign this permission by using the Remote Tools Operator security role.

AutorizzazioniPermissions

Per impostazione predefinita, questo gruppo non ha le autorizzazioni per accedere ad alcun percorso nel computer.By default, this group doesn't have permissions to any locations on the computer. Viene usato esclusivamente per contenere l'elenco Visualizzatori autorizzati.It's used only to hold the Permitted Viewers list.

SMS AdminsSMS Admins

Questo gruppo viene usato da Configuration Manager per concedere l'accesso al provider SMS tramite WMI.Configuration Manager uses this group to grant access to the SMS Provider through WMI. L'accesso al provider SMS è necessario per visualizzare e modificare gli oggetti nella console di Configuration Manager.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Nota

La configurazione dell'amministrazione basata su ruoli di un utente amministratore determina gli oggetti che è possibile visualizzare e gestire usando la console di Configuration Manager.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

Per altre informazioni, vedere Piano per il provider SMS.For more information, see Plan for the SMS Provider.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato in ogni computer che ha un provider SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AppartenenzeMembership

Configuration Manager gestisce automaticamente l'appartenenza a gruppi.Configuration Manager automatically manages the group membership. Per impostazione predefinita, ogni utente amministratore di una gerarchia e l'account computer del server del sito appartengono al gruppo SMS Admins in ciascun computer del provider SMS di un sito.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

AutorizzazioniPermissions

È possibile visualizzare i diritti e le autorizzazioni del gruppo SMS Admins usando lo snap-in MMC del Controllo WMI.You can view the rights and permissions for the SMS Admins group in the WMI Control MMC snap-in. Per impostazione predefinita, al gruppo vengono concesse le autorizzazioni Abilita account e Abilita remoto nello spazio dei nomi WMI Root\SMS.By default, this group is granted Enable Account and Remote Enable on the Root\SMS WMI namespace. Agli utenti autenticati, invece, vengono concesse le autorizzazioni Esegui metodi, Scrittura provider e Abilita account.Authenticated users have Execute Methods, Provider Write, and Enable Account.

Quando si usa una console di Configuration Manager remota, configurare le autorizzazioni DCOM di attivazione remota sul computer del server di sito e nel provider SMS.When you use a remote Configuration Manager console, configure Remote Activation DCOM permissions on both the site server computer and the SMS Provider. Concedere questi diritti al gruppo SMS Admins.Grant these rights to the SMS Admins group. Questa operazione semplifica l'amministrazione perché evita di dover concedere questi diritti direttamente a utenti o gruppi.This action simplifies administration instead of granting these rights directly to users or groups. Per altre informazioni, vedere Configurare le autorizzazioni DCOM per le console remote di Configuration Manager.For more information, see Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_<codicesito>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

I punti di gestione remoti rispetto al server del sito usano questo gruppo per connettersi database del sito.Management points that are remote from the site server use this group to connect to the site database. Questo gruppo consente l'accesso del punto di gestione alle cartelle della posta in arrivo nel server del sito e nel database del sito.This group provides a management point access to the inbox folders on the site server and the site database.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato in ogni computer che ha un provider SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AppartenenzeMembership

Configuration Manager gestisce automaticamente l'appartenenza a gruppi.Configuration Manager automatically manages the group membership. Per impostazione predefinita, l'appartenenza include gli account computer dei computer remoti che dispongono di un punto di gestione per il sito.By default, membership includes the computer accounts of remote computers that have a management point for the site.

AutorizzazioniPermissions

Per impostazione predefinita, questo gruppo include le autorizzazioni Lettura, Lettura ed esecuzione e Visualizzazione contenuto cartella per la seguente cartella del server del sito C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Questo gruppo ha anche l'autorizzazione Scrittura per varie sottocartelle in posta in arrivo, in cui il punto di gestione scrive i dati client.This group has the additional permission of Write to subfolders below inboxes, to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_<codicesito>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

I computer del provider SMS remoti usano questo gruppo per connettersi al server del sito.Remote SMS Provider computers use this group to connect to the site server.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato nel server del sito.This group is a local security group created on the site server.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AppartenenzeMembership

Configuration Manager gestisce automaticamente l'appartenenza a gruppi.Configuration Manager automatically manages the group membership. Per impostazione predefinita, l'appartenenza comprende l'account computer o un account utente di dominio.By default, membership includes the computer account or a domain user account. usato per la connessione al server del sito da ciascun provider SMS remoto.It uses this account to connect to the site server from each remote SMS Provider.

AutorizzazioniPermissions

Per impostazione predefinita, questo gruppo include le autorizzazioni Lettura, Lettura ed esecuzione e Visualizzazione contenuto cartella per la seguente cartella del server del sito C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Questo gruppo dispone inoltre delle autorizzazioni di Scrittura e Modifica per le sottocartelle della posta in arrivo.This group has the additional permissions of Write and Modify to subfolders below the inboxes. Il provider SMS richiede l'accesso a tali cartelle.The SMS Provider requires access to these folders.

Questo gruppo dispone inoltre delle autorizzazioni di Lettura per le sottocartelle nel server del sito sotto C:\Program Files\Microsoft Configuration Manager\OSD\Bin.This group also has Read permission to the subfolders on the site server below C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Include anche le autorizzazioni seguenti per le sottocartelle sotto C:\Program Files\Microsoft Configuration Manager\OSD\boot:It also has the following permissions to the subfolders below C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • LetturaRead
  • Lettura ed esecuzioneRead & execute
  • Elenca contenuti cartellaList folder contents
  • ScritturaWrite
  • ModificaModify

SMS_SiteSystemToSiteServerConnection_Stat_<codicesito>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

Il componente Gestione invio file nei computer di sistema del sito remoto di Configuration Manager usa questo gruppo per la connessione al server del sito.The file dispatch manager component on Configuration Manager remote site system computers uses this group to connect to the site server.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato nel server del sito.This group is a local security group created on the site server.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AppartenenzeMembership

Configuration Manager gestisce automaticamente l'appartenenza a gruppi.Configuration Manager automatically manages the group membership. Per impostazione predefinita, l'appartenenza comprende l'account computer o l'account utente di dominio.By default, membership includes the computer account or the domain user account. Usa questo account per connettersi al server del sito da ogni sistema del sito remoto che esegue Gestione invio file.It uses this account to connect to the site server from each remote site system that runs the file dispatch manager.

AutorizzazioniPermissions

Per impostazione predefinita, questo gruppo include le autorizzazioni Lettura, Lettura ed esecuzione e Visualizzazione contenuto cartella per la seguente cartella e le relative sottocartelle del server del sito C:\Program Files\Microsoft Configuration Manager\inboxes.By default, this group has Read, Read & execute, and List folder contents permission to the following folder and its subfolders on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes.

Questo gruppo dispone inoltre delle autorizzazioni di Scrittura e Modifica per la seguente cartella nel server del sito C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.This group has the additional permissions of Write and Modify to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

SMS_SiteToSiteConnection_<codicesito>SMS_SiteToSiteConnection_<sitecode>

Configuration Manager usa questo gruppo per abilitare la replica basata su file tra siti di una gerarchia.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. Per ciascun sito remoto che esegue il trasferimento diretto di file in questo sito, questo gruppo contiene account configurati come account di replica file.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

Tipo e percorsoType and location

Questo è un gruppo di sicurezza locale creato nel server del sito.This group is a local security group created on the site server.

AppartenenzeMembership

Quando si installa un nuovo sito come sito figlio di un altro sito, Configuration Manager aggiunge automaticamente l'account computer del nuovo server del sito al gruppo nel server del sito padre.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site server to this group on the parent site server. Configuration Manager aggiunge anche l'account computer del sito padre al gruppo nel nuovo server del sito.Configuration Manager also adds the parent site's computer account to the group on the new site server. Se viene specificato un altro account per i trasferimenti basati su file, aggiungere l'account al gruppo nel server del sito di destinazione.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Quando si disinstalla un sito, questo gruppo non viene rimosso automaticamente.When you uninstall a site, this group isn't automatically removed. Eliminarlo manualmente dopo la disinstallazione del sito.Manually delete it after uninstalling a site.

AutorizzazioniPermissions

Per impostazione predefinita, il gruppo dispone del controllo completo per la cartella C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.By default, this group has Full control to the following folder: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Account usati da Configuration ManagerAccounts that Configuration Manager uses

È possibile configurare gli account seguenti per Configuration Manager.You can set up the following accounts for Configuration Manager.

Account di individuazione gruppo Active DirectoryActive Directory group discovery account

Il sito usa l'account individuazione gruppo Active Directory per individuare gli oggetti seguenti nei percorsi di Servizi di dominio Active Directory specificati dall'utente:The site uses the Active Directory group discovery account to discover the following objects from the locations in Active Directory Domain Services that you specify:

  • Gruppi di sicurezza locali, globali e universaliLocal, global, and universal security groups
  • L'appartenenza all'interno di questi gruppiThe membership within these groups
  • L'appartenenza all'interno dei gruppi di distribuzioneThe membership within distribution groups
    • I gruppi di distribuzione non vengono rilevati come risorse di gruppoDistribution groups aren't discovered as group resources

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.It must have Read access permission to the Active Directory locations that you specify for discovery.

Per altre informazioni, vedere Individuazione gruppo Active Directory.For more information, see Active Directory group discovery.

Account individuazione sistema Active DirectoryActive Directory system discovery account

Il sito usa l'account individuazione sistema Active Directory per individuare computer nei percorsi di Servizi di dominio Active Directory specificati dall'utente.The site uses the Active Directory system discovery account to discover computers from the locations in Active Directory Domain Services that you specify.

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.It must have Read access permission to the Active Directory locations that you specify for discovery.

Per altre informazioni, vedere Individuazione sistema Active Directory.For more information, see Active Directory system discovery.

Account individuazione utente Active DirectoryActive Directory user discovery account

Il sito usa l'account individuazione utente Active Directory per individuare gli account utente nei percorsi di Servizi di dominio Active Directory specificati dall'utente.The site uses the Active Directory user discovery account to discover user accounts from the locations in Active Directory Domain Services that you specify.

Questo account può essere un account computer del server del sito che esegue l'individuazione o un account utente Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. L'account deve disporre dell'autorizzazione di accesso in Lettura ai percorsi di Active Directory specificati per l'individuazione.It must have Read access permission to the Active Directory locations that you specify for discovery.

Per altre informazioni, vedere Individuazione utente Active Directory.For more information, see Active Directory user discovery.

Account foresta Active DirectoryActive Directory forest account

Il sito usa l'account foresta Active Directory per individuare l'infrastruttura di rete delle foreste Active Directory.The site uses the Active Directory forest account to discover network infrastructure from Active Directory forests. Viene anche usato dai siti di amministrazione centrale e dai siti primari per pubblicare i dati del sito in Active Directory Domain Services per una foresta.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Nota

I siti secondari usano sempre l'account computer del server del sito secondario per la pubblicazione in Active Directory.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Per l'individuazione e la pubblicazione in foreste non trusted, l'account foresta Active Directory deve essere un account globale.To discover and publish to untrusted forests, the Active Directory forest account must be a global account. Se non si usa l'account computer del server del sito, è possibile selezionare solo un account globale.If you don't use the computer account of the site server, you can select only a global account.

L'account deve disporre delle autorizzazioni di Lettura per ogni foresta Active Directory in cui di desidera individuare l'infrastruttura di rete.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

L'account deve disporre delle autorizzazioni di Controllo completo per il contenitore di System Management e per i relativi oggetti figlio in tutte le foreste Active Directory in cui si desidera pubblicare i dati del sito.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data. Per altre informazioni, vedere Preparare Active Directory per la pubblicazione di siti.For more information, see Prepare Active Directory for site publishing.

Per altre informazioni, vedere Individuazione foresta Active Directory.For more information, see Active Directory forest discovery.

Account del punto di registrazione certificatiCertificate registration point account

Il punto di registrazione certificati usa l'account del punto di registrazione certificati per connettersi al database di Configuration Manager.The certificate registration point uses the Certificate registration point account to connect to the Configuration Manager database. Per impostazione predefinita usa il proprio account computer, ma al suo posto è possibile configurare un account utente.It uses its computer account by default, but you can configure a user account instead. Quando il punto di registrazione certificati si trova in un dominio non attendibile del server del sito, è necessario specificare un account utente.When the certificate registration point is in an untrusted domain from the site server, you must specify a user account. Questo account richiede solo l'accesso in Lettura al database del sito perché le operazioni di scrittura vengono gestite dal sistema dei messaggio di stato.This account requires only Read access to the site database, because the state message system handles write tasks.

Per altre informazioni, vedere l'introduzione alle raccolte.For more information, see Introduction to certificate profiles.

Account di acquisizione immagine del sistema operativoCapture OS image account

Quando si acquisisce un'immagine del sistema operativo, Configuration Manager usa l'account di acquisizione immagine del sistema operativo per accedere alla cartella in cui sono archiviate le immagini acquisite.When you capture an OS image, Configuration Manager uses the Capture OS image account to access the folder where you store captured images. Se si aggiunge il passaggio Acquisisci immagine del sistema operativo a una sequenza di attività, questo account è obbligatorio.If you add the Capture OS Image step to a task sequence, this account is required.

L'account deve disporre delle autorizzazioni di Lettura e Scrittura nella condivisione di rete in cui sono archiviate le immagini acquisite.The account must have Read and Write permissions on the network share where you store captured images.

Se si cambia la password dell'account in Windows, aggiornare la sequenza di attività definendo la nuova password.If you change the password for the account in Windows, update the task sequence with the new password. Il client di Configuration Manager riceverà la nuova password durante il successivo download dei criteri client.The Configuration Manager client receives the new password when it next downloads the client policy.

Se è necessario usare questo account, creare un account utente di dominio.If you need to use this account, create one domain user account. Concedere all'account le autorizzazioni minime necessarie per accedere alle risorse di rete richieste e usarlo per tutte le sequenze delle attività di acquisizione.Grant it minimal permissions to access the required network resources, and use it for all capture task sequences.

Importante

Non assegnare a questo account autorizzazioni di accesso interattivo.Don't assign interactive sign-in permissions to this account.

Non usare l'account di accesso alla rete per questo account.Don't use the network access account for this account.

Per altre informazioni, vedere Creare una sequenza di attività per acquisire un sistema operativo.For more information, see Create a task sequence to capture an OS.

Account di installazione push clientClient push installation account

Quando si distribuiscono i client usando il metodo di installazione push client, il sito usa l'account di installazione push client per connettersi ai computer e per installare il software client di Configuration Manager.When you deploy clients by using the client push installation method, the site uses the Client push installation account to connect to computers and install the Configuration Manager client software. Se non si specifica questo account, il server del sito prova a usare il suo account computer.If you don't specify this account, the site server tries to use its computer account.

L'account deve essere membro del gruppo Administrators locale nei computer client di destinazione.This account must be a member of the local Administrators group on the target client computers. Questo account non necessita dei diritti di amministratore di dominio.This account doesn't require Domain Admin rights.

È possibile specificare più di un account di installazione push client.You can specify more than one client push installation account. Configuration Manager proverà in successione ognuno di essi fino a individuare quello giusto.Configuration Manager tries each one in turn until one succeeds.

Suggerimento

Se si dispone di un ambiente Active Directory di grandi dimensioni ed è necessario modificare questo account, usare il seguente processo per coordinare in modo più efficace questo aggiornamento:If you have a large Active Directory environment and need to change this account, use the following process to more effectively coordinate this account update:

  1. Creare un nuovo account con un nome diversoCreate a new account with a different name
  2. Aggiungere il nuovo account all'elenco degli account di installazione push client in Configuration ManagerAdd the new account to the list of client push installation accounts in Configuration Manager
  3. Attendere un tempo sufficiente per consentire ai servizi di dominio Active Directory di replicare il nuovo accountAllow sufficient time for Active Directory Domain Services to replicate the new account
  4. A questo punto, rimuovere il vecchio account da Configuration Manager e dai servizi di dominio Active DirectoryThen remove the old account from Configuration Manager and Active Directory Domain Services

Importante

Non concedere a questo account il diritto di accesso locale.Don't grant this account the right to sign in locally.

Per altre informazioni, vedere Installazione push client.For more information, see Client push installation.

Account di connessione al punto di registrazioneEnrollment point connection account

Il punto di registrazione usa l'account di connessione al punto di registrazione per connettersi al database del sito di Configuration Manager.The enrollment point uses the Enrollment point connection account to connect to the Configuration Manager site database. Per impostazione predefinita usa il proprio account computer, ma al suo posto è possibile configurare un account utente.It uses its computer account by default, but you can configure a user account instead. Quando il punto di registrazione si trova in un dominio non attendibile dal server del sito, è necessario specificare un account utente.When the enrollment point is in an untrusted domain from the site server, you must specify a user account. Questo account richiede l'accesso in Lettura e Scrittura al database del sito.This account requires Read and Write access to the site database.

Per altre informazioni, vedere Installare i ruoli del sistema del sito per la gestione dei dispositivi mobili (MDM) locale.For more information, see Install site system roles for on-premises MDM.

Account di connessione a Exchange ServerExchange Server connection account

Il server del sito usa l'account di connessione a Exchange Server per connettersi all'Exchange Server specificato.The site server uses the Exchange Server connection account to connect to the specified Exchange Server. Usa questa connessione per l'individuazione e la gestione dei dispositivi mobili che si connettono a Exchange Server.It uses this connection to find and manage mobile devices that connect to Exchange Server. Questo account richiede i cmdlet di Exchange PowerShell che forniscono le autorizzazioni necessarie per il computer Exchange Server.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Per altre informazioni sui cmdlet, vedere Installare e configurare Exchange Connector.For more information about the cmdlets, see Install and configure the Exchange connector.

Account di connessione al punto di gestioneManagement point connection account

Il punto di gestione usa l'account di connessione al punto di gestione per connettersi al database del sito di Configuration Manager.The management point uses the Management point connection account to connect to the Configuration Manager site database. Usa questa connessione per inviare e recuperare informazioni per i client.It uses this connection to send and retrieve information for clients. Per impostazione predefinita, il punto di gestione usa il proprio account computer, ma al suo posto è possibile configurare un account utente.The management point uses its computer account by default, but you can configure a user account instead. Quando il punto di gestione si trova in un dominio non attendibile dal server del sito, è necessario specificare un account utente.When the management point is in an untrusted domain from the site server, you must specify a user account.

Creare l'account come account locale e con diritti limitati sul computer con Microsoft SQL Server in esecuzione.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

Non concedere diritti di accesso interattivo a questo account.Don't grant interactive sign-in rights to this account.

Account di connessione multicastMulticast connection account

I punti di distribuzione configurati per il multicast usano l'account di connessione multicast per leggere le informazioni dal database del sito.Multicast-enabled distribution points use the Multicast connection account to read information from the site database. Per impostazione predefinita il server usa il proprio account computer, ma al suo posto è possibile configurare un account utente.The server uses its computer account by default, but you can configure a user account instead. Quando il database del sito si trova in una foresta non trusted, è necessario specificare un account utente.When the site database is in an untrusted forest, you must specify a user account. Ad esempio, se il data center dispone di una rete perimetrale in una foresta diversa dal server del sito e dal database del sito, usare questo account per leggere le informazioni multicast dal database del sito.For example, if your data center has a perimeter network in a forest other than the site server and site database, use this account to read the multicast information from the site database.

Se serve questo account, crearlo come account locale e con diritti limitati sul computer che esegue Microsoft SQL Server.If you need this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

Non concedere diritti di accesso interattivo a questo account.Don't grant interactive sign-in rights to this account.

Per altre informazioni, vedere Usare il multicast per distribuire Windows in rete.For more information, see Use multicast to deploy Windows over the network.

Account di accesso alla reteNetwork access account

I computer client usano l'account di accesso alla rete quando non possono usare il proprio account computer locale per accedere al contenuto nei punti di distribuzione.Client computers use the network access account when they can't use their local computer account to access content on distribution points. Ciò è specialmente vero per i client e i computer di gruppi di lavoro di domini non attendibili.It mostly applies to workgroup clients and computers from untrusted domains. Questo account è anche usato durante la distribuzione del sistema operativo quando il computer che installa il sistema operativo non ha ancora un account computer nel dominio.This account is also used during OS deployment, when the computer that's installing the OS doesn't yet have a computer account on the domain.

Importante

L'account di accesso alla rete non viene mai usato come contesto di protezione per eseguire programmi, installare aggiornamenti software o eseguire sequenze di attività.The network access account is never used as the security context to run programs, install software updates, or run task sequences. Viene usato solo per l'accesso alle risorse in rete.It's used only for accessing resources on the network.

Un client di Configuration Manager tenta, in prima battuta, di usare il proprio account computer per scaricare il contenuto.A Configuration Manager client first tries to use its computer account to download the content. Poiché non riesce, ritenta automaticamente con l'account di accesso alla rete.If it fails, it then automatically tries the network access account.

A partire dalla versione 1806, un gruppo di lavoro o un client associato ad Azure AD può accedere in modo sicuro al contenuto dai punti di distribuzione senza la necessità di un account di accesso alla rete.Starting in version 1806, a workgroup or Azure AD-joined client can securely access content from distribution points without the need for a network access account. Questo comportamento comprende gli scenari di distribuzione del sistema operativo con una sequenza di attività eseguita da supporti di avvio, PXE o Software Center.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Per altre informazioni, vedere HTTP migliorato.For more information, see Enhanced HTTP.

Nota

Se si configura HTTP avanzato in modo che non richieda l'account di accesso alla rete, il punto di distribuzione deve eseguire Windows Server 2008 R2 SP1 o una versione successiva.If you enable Enhanced HTTP to not require the network access account, the distribution point needs to be running Windows Server 2008 R2 SP1 or later.

Aggiornare i client almeno alla versione 1806 prima di abilitare questa funzionalità.Upgrade clients to at least version 1806 before enabling this functionality. Se si consentono solo le connessioni HTTP avanzato, non sarà possibile eseguire l'autenticazione con questo metodo nei client meno recenti, che non potranno quindi scaricare il pacchetto di aggiornamento del client da un punto di distribuzione.If you only allow Enhanced HTTP connections, older clients can't authenticate using this method, so can't download the client upgrade package from a distribution point.

AutorizzazioniPermissions

Concedere a questo account le autorizzazioni minime appropriate sul contenuto che il client richiede per accedere al software.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. L'account deve disporre del diritto Accedi al computer dalla rete per il punto di distribuzione.The account must have the Access this computer from the network right on the distribution point. È possibile configurare fino a 10 account di accesso alla rete per sito.You can configure up to 10 network access accounts per site.

Creare l'account in tutti i domini che forniscono l'accesso necessario alle risorse.Create the account in any domain that provides the necessary access to resources. L'account di accesso alla rete deve sempre includere un nome di dominio.The network access account must always include a domain name. La protezione pass-through non è supportata per questo account.Pass-through security isn't supported for this account. Se si dispone di punti di distribuzione in più domini, creare l'account in un dominio attendibile.If you have distribution points in multiple domains, create the account in a trusted domain.

Suggerimento

Per evitare blocchi degli account, non modificare la password di un account di accesso alla rete esistente.To avoid account lockouts, don't change the password on an existing network access account. Creare invece un nuovo account e configurarlo in Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager. Quando è trascorso tempo sufficiente e tutti i client hanno ricevuto i dettagli del nuovo account, rimuovere il vecchio account dalle cartelle condivise in rete ed eliminare l'account.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Importante

Non concedere diritti di accesso interattivo a questo account.Don't grant interactive sign-in rights to this account.

Non concedere a questo account il diritto di aggiungere computer al dominio.Don't grant this account the right to join computers to the domain. Se è necessario aggiungere computer al dominio durante una sequenza di attività, usare l'account di aggiunta dominio della sequenza di attività.If you must join computers to the domain during a task sequence, use the Task sequence domain join account.

Configurare l'account di accesso alla reteConfigure the network access account

  1. Nella console di Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione del sito e selezionare Siti.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Quindi selezionare il sito.Then select the site.

  2. Nel gruppo Impostazioni della barra multifunzione selezionare Configura componenti del sito e quindi scegliere Distribuzione software.On the Settings group of the ribbon, select Configure Site Components, and choose Software Distribution.

  3. Scegliere la scheda Account di accesso alla rete. Configurare uno o più account e quindi scegliere OK.Choose the Network access account tab. Set up one or more accounts, and then choose OK.

Account di accesso al pacchettoPackage access account

Un account di accesso ai pacchetti consente di impostare le autorizzazioni NTFS per specificare gli utenti e i gruppi di utenti che possono accedere al contenuto del pacchetto nei punti di distribuzione.A Package access account lets you set NTFS permissions to specify the users and user groups that can access package content on distribution points. Per impostazione predefinita, Configuration Manager concede l'accesso solo agli account di accesso generici Utenti e Amministratori.By default, Configuration Manager grants access only to the generic access accounts User and Administrator. È possibile controllare l'accesso per i computer client usando gruppi o account di Windows aggiuntivi.You can control access for client computers by using additional Windows accounts or groups. I dispositivi mobili recuperano sempre il contenuto dei pacchetti in modo anonimo, quindi non usano un account di accesso ai pacchetti.Mobile devices always retrieve package content anonymously, so they don't use a package access account.

Per impostazione predefinita, quando Configuration Manager copia i file di contenuto in un punto di distribuzione, garantisce l'accesso di Lettura al gruppo Utenti locale e Controllo completo al gruppo Amministratori locale.By default, when Configuration Manager copies the content files to a distribution point, it grants Read access to the local Users group, and Full Control to the local Administrators group. Le autorizzazioni effettivamente necessarie dipendono dal pacchetto.The actual permissions required depend on the package. Se si dispone di client in gruppi di lavoro o in foreste non trusted, tali client usano l'account di accesso alla rete per accedere al contenuto del pacchetto.If you have clients in workgroups or in untrusted forests, those clients use the network access account to access the package content. Assicurarsi che l'account di accesso alla rete disponga delle autorizzazioni per il pacchetto usando gli account di accesso ai pacchetti definiti.Make sure that the network access account has permissions to the package by using the defined package access accounts.

Usare gli account in un dominio che possa accedere ai punti di distribuzione.Use accounts in a domain that can access the distribution points. Se si crea o si modifica l'account dopo la creazione del pacchetto, è necessario ridistribuire il pacchetto.If you create or modify the account after you create the package, you must redistribute the package. L'aggiornamento del pacchetto non modifica le autorizzazioni NTFS sul pacchetto.Updating the package doesn't change the NTFS permissions on the package.

Non è necessario aggiungere l'account di accesso alla rete come account di accesso ai pacchetti, poiché l'appartenenza al gruppo Utenti lo aggiunge automaticamente.You don't have to add the network access account as a package access account, because membership of the Users group adds it automatically. La limitazione dell'account di accesso ai pacchetti al solo account di accesso alla rete non impedisce ai client di accedere al pacchetto.Restricting the package access account to only the network access account doesn't prevent clients from accessing the package.

Gestire gli account di accesso ai pacchettiManage package access accounts

  1. Nella console di Configuration Manager scegliere Raccolta software.In the Configuration Manager console, choose Software Library.

  2. Nell'area di lavoro Raccolta software determinare il tipo di contenuto per cui gestire gli account di accesso e seguire i passaggi indicati:In the Software Library workspace, determine the type of content for which you want to manage access accounts, and follow the steps provided:

    • Applicazione: espandere Gestione applicazioni, scegliere Applicazioni e quindi selezionare l'applicazione per cui gestire gli account di accesso.Application: Expand Application Management, choose Applications, and then select the application for which to manage access accounts.

    • Pacchetto: espandere Gestione applicazioni, scegliere Pacchetti e quindi selezionare il pacchetto per cui gestire gli account di accesso.Package: Expand Application Management, choose Packages, and then select the package for which to manage access accounts.

    • Pacchetto di distribuzione aggiornamento software: espandere Aggiornamenti software, scegliere Pacchetti di distribuzione e quindi selezionare il pacchetto di distribuzione per cui gestire gli account di accesso.Software update deployment package: Expand Software Updates, choose Deployment Packages, and then select the deployment package for which to manage access accounts.

    • Pacchetto driver: espandere Sistemi operativi, scegliere Pacchetti driver e quindi selezionare il pacchetto driver per cui gestire gli account di accesso.Driver package: Expand Operating Systems, choose Driver Packages, and then select the driver package for which to manage access accounts.

    • Immagine sistema operativo: espandere Sistemi operativi, scegliere Immagini del sistema operativo, quindi selezionare l'immagine del sistema operativo per cui gestire gli account di accesso.OS image: Expand Operating Systems, choose Operating System Images, and then select the operating system image for which to manage access accounts.

    • Pacchetto di aggiornamento del sistema operativo: espandere Sistemi operativi, scegliere Pacchetto di aggiornamento del sistema operativo, quindi selezionare il pacchetto di aggiornamento del sistema operativo per cui gestire gli account di accesso.OS upgrade package: Expand Operating Systems, choose Operating system upgrade packages, and then select the OS upgrade package for which to manage access accounts.

    • Immagine d'avvio: espandere Sistemi operativi, scegliere Immagini d'avvio e quindi selezionare l'immagine d'avvio per cui gestire gli account di accesso.Boot image: Expand Operating Systems, choose Boot Images, and then select the boot image for which to manage access accounts.

  3. Fare clic con il pulsante destro del mouse sull'oggetto selezionato e quindi scegliere Gestione account di accesso.Right-click the selected object, and then choose Manage Access Accounts.

  4. Nella finestra di dialogo Aggiungi account , specificare il tipo di account al quale sarà garantito l'accesso al contenuto, quindi specificare i diritti di accesso associati all'account.In the Add Account dialog box, specify the account type that will be granted access to the content, and then specify the access rights associated with the account.

    Nota

    Quando si aggiunge un nome utente per l'account e Configuration Manager trova sia un account utente locale sia un account utente di dominio con tale nome, Configuration Manager imposta i diritti di accesso per l'account utente di dominio.When you add a user name for the account, and Configuration Manager finds both a local user account and a domain user account with that name, Configuration Manager sets access rights for the domain user account.

Account punto di Reporting ServicesReporting services point account

SQL Server Reporting Services usa l'account punto di Reporting Services per recuperare i dati per i report di Configuration Manager dal database del sito.SQL Server Reporting Services uses the Reporting services point account to retrieve the data for Configuration Manager reports from the site database. La password e l'account utente Windows specificati vengono crittografati e archiviati nel database di SQL Server Reporting Services.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Nota

L'account specificato deve disporre delle autorizzazioni di Accesso locale nel computer che ospita il database SQL di Reporting Services.The account you specify must have Log on locally permissions on the computer hosting the SQL Reporting Services database.

Per altre informazioni, vedere Introduzione ai report.For more information, see Introduction to reporting.

Account visualizzatori autorizzati di strumenti remotiRemote tools permitted viewer accounts

Gli account specificati come Visualizzatori autorizzati per il controllo remoto sono un elenco di utenti a cui è consentito usare le funzionalità di strumenti remoti nei client.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Per altre informazioni, vedere Introduzione al controllo remoto.For more information, see Introduction to remote control.

Account di installazione sitoSite installation account

Usare un account utente di dominio per accedere al server in cui eseguire il programma di installazione di Configuration Manager e installare un nuovo sito.Use a domain user account to sign in to the server where you run Configuration Manager setup and install a new site.

L'account richiede le autorizzazioni seguenti:This account requires the following rights:

  • Amministratore nei server seguenti:Administrator on the following servers:

    • Server del sitoThe site server
    • Ogni server che ospita il database del sitoEach server that hosts the site database
    • Ogni istanza del provider SMS per il sitoEach instance of the SMS Provider for the site
  • Amministratore di sistema nell'istanza di SQL Server che ospita il database del sitoSysadmin on the instance of SQL Server that hosts the site database

Installazione di Configuration Manager aggiunge automaticamente questo account al gruppo SMS Admins.Configuration Manager setup automatically adds this account to the SMS Admins group.

Dopo l'installazione, questo account è l'unico utente con diritti per la console di Configuration Manager.After installation, this account is the only user with rights to the Configuration Manager console. Se è necessario rimuovere questo account, assicurarsi di aggiungere prima i relativi diritti a un altro utente.If you need to remove this account, make sure to add its rights to another user first.

Quando si espande un sito autonomo per includere un sito di amministrazione centrale, questo account richiede diritti di amministrazione basata su ruoli amministratore completo oppure amministratore infrastruttura nel sito primario autonomo.When expanding a standalone site to include a central administration site, this account requires either Full Administrator or Infrastructure Administrator role-based administration rights at the standalone primary site.

Account di installazione del sistema del sitoSite system installation account

Il server del sito usa l'account di installazione del sistema del sito per installare, reinstallare, disinstallare e configurare i sistemi del sito.The site server uses the Site system installation account to install, reinstall, uninstall, and set up site systems. Se si configura il sistema del sito in modo che il server del sito avvii le connessioni a questo sistema del sito, Configuration Manager usa anche questo account per eseguire il pull dei dati dal sistema del sito dopo l'installazione del sistema del sito e di tutti i ruoli.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system after it installs the site system and any roles. Ogni sistema del sito può avere un account di installazione sito diverso, ma è possibile configurare un unico account di questo tipo per gestire tutti i ruoli in quel sistema del sito.Each site system can have a different installation account, but you can set up only one installation account to manage all roles on that site system.

Questo account richiede le autorizzazioni amministrative locali nei sistemi del sito di destinazione.This account requires local administrative permissions on the target site systems. Inoltre, questo account deve disporre del diritto Accedi al computer dalla rete nei criteri di sicurezza dei sistemi del sito di destinazione.Additionally, this account must have Access this computer from the network in the security policy on the target site systems.

Suggerimento

Se sono presenti numerosi controller di dominio e questi account vengono usati nei domini, prima di configurare il sistema del sito, verificare Active Directory abbia replicato gli account.If you have many domain controllers and these accounts are used across domains, before you set up the site system, check that Active Directory has replicated these accounts.

Quando si specifica un account locale in ogni sistema del sito da gestire, questa configurazione è più sicura dell'utilizzo di account di dominio.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts. Limita i danni che possono provocare gli utenti malintenzionati se l'account è compromesso.It limits the damage that attackers can do if the account is compromised. Gli account di dominio sono comunque più semplici da gestire.However, domain accounts are easier to manage. Valutare i vantaggi e gli svantaggi in termini di sicurezza ed efficienza per l'amministrazione.Consider the trade-off between security and effective administration.

Account del server proxy del sistema del sitoSite system proxy server account

I ruoli del sistema del sito seguenti usano l'account del server proxy del sistema sito per accedere a Internet con un server proxy o un firewall che richiede l'accesso autenticato:The following site system roles use the Site system proxy server account to access the internet via a proxy server or firewall that requires authenticated access:

  • Punto di sincronizzazione di Asset IntelligenceAsset Intelligence synchronization point
  • Connettore Exchange ServerExchange Server connector
  • punto di connessione del servizioService connection point
  • Punto di aggiornamento softwareSoftware update point

Importante

Specificare un account che disponga delle autorizzazioni minime per il server proxy o il firewall richiesti.Specify an account that has the least possible permissions for the required proxy server or firewall.

Per altre informazioni, vedere Supporto dei server proxy.For more information, see Proxy server support.

Account di connessione al server SMTPSMTP server connection account

Il server del sito usa l'account di connessione al server SMTP per inviare avvisi tramite posta elettronica quando il server SMTP richiede l'accesso autenticato.The site server uses the SMTP server connection account to send email alerts when the SMTP server requires authenticated access.

Importante

Specificare un account che disponga delle autorizzazioni minime per l'invio di e-mail.Specify an account that has the least possible permissions to send emails.

Per altre informazioni, vedere Usare gli avvisi e il sistema di stato.For more information, see Use alerts and the status system.

Account di connessione al punto di aggiornamento softwareSoftware update point connection account

Il server del sito usa l'account di connessione al punto di aggiornamento software per i due servizi di aggiornamento software seguenti:The site server uses the Software update point connection account for the following two software update services:

  • Windows Server Update Services (WSUS), che configura impostazioni quali classificazioni, definizioni di prodotti e impostazioni upstream.Windows Server Update Services (WSUS), which sets up settings like product definitions, classifications, and upstream settings.

  • Gestione sincronizzazione WSUS, che richiede la sincronizzazione a un server WSUS upstream o a Microsoft Update.WSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

L'account di installazione del sistema del sito può installare i componenti per gli aggiornamenti software, ma non può eseguire funzioni specifiche di aggiornamenti software nel punto di aggiornamento software.The site system installation account can install components for software updates, but it can't perform software update-specific functions on the software update point. Se non è possibile usare l'account del computer del server di sito per questa funzionalità perché il punto di aggiornamento software si trova in una foresta non trusted, è necessario specificare questo account oltre all'account di installazione sistema del sito.If you can't use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the site system installation account.

Questo account deve essere un amministratore locale sul computer in cui si installa WSUS.This account must be a local administrator on the computer where you install WSUS. Deve anche essere membro del gruppo WSUS Administrators locale.It must also be part of the local WSUS Administrators group.

Per altre informazioni, vedere Pianificare gli aggiornamenti software.For more information, see Plan for software updates.

Account del sito di origineSource site account

Il processo di migrazione usa l'account del sito di origine per accedere al provider SMS del sito di origine.The migration process uses the Source site account to access the SMS Provider of the source site. Questo account richiede autorizzazioni di Lettura per gli oggetti del sito presenti nel sito di origine per raccogliere dati per i processi di migrazione.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Se si dispone di punti di distribuzione di Configuration Manager 2007 oppure di siti secondari con i punti di distribuzione con percorso condiviso, quando si esegue l'aggiornamento di tali punti a punti di distribuzione di Configuration Manager (ramo corrente), questo account deve disporre anche delle autorizzazioni Elimina per la classe Sito.If you have Configuration Manager 2007 distribution points or secondary sites with colocated distribution points, when you upgrade them to Configuration Manager (current branch) distribution points, this account must also have Delete permissions to the Site class. Queste autorizzazioni servono per rimuovere il punto di distribuzione dal sito di Configuration Manager 2007 durante l'aggiornamento.This permission is to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Nota

L'account del sito di origine e l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Per altre informazioni, vedere Eseguire la migrazione dei dati da una gerarchia all'altra.For more information, see Migrate data between hierarchies.

Account del database del sito di origineSource site database account

Il processo di migrazione usa l'account del database del sito di origine per accedere al database di SQL Server per il sito di origine.The migration process uses the Source site database account to access the SQL Server database for the source site. Per raccogliere dati dal database di SQL Server del sito di origine, l'account del database del sito di origine deve avere le autorizzazioni Lettura ed Esegui per il database di SQL Server del sito di origine.To gather data from the SQL Server database of the source site, the source site database account must have the Read and Execute permissions to the source site's SQL Server database.

Se si usa un account computer di Configuration Manager (ramo corrente), verificare che tutte le opzioni seguenti siano vere per tale account:If you use the Configuration Manager (current branch) computer account, make sure that all the following are true for this account:

  • È un membro del gruppo di sicurezza Distributed COM Users nel dominio in cui risiede il sito di Configuration Manager 2007It's a member of the Distributed COM Users security group in the same domain as the Configuration Manager 2007 site
  • È un membro del gruppo di sicurezza SMS AdminsIt's a member of the SMS Admins security group
  • Ha l'autorizzazione Lettura per tutti gli oggetti di Configuration Manager 2007It has the Read permission to all Configuration Manager 2007 objects

Nota

L'account del sito di origine e l'account del database del sito di origine vengono identificati come Gestione migrazione nel nodo Account dell'area di lavoro Amministrazione nella console di Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Per altre informazioni, vedere Eseguire la migrazione dei dati da una gerarchia all'altra.For more information, see Migrate data between hierarchies.

Account di aggiunta dominio della sequenza di attivitàTask sequence domain join account

Il programma di installazione di Windows utilizza l'account di aggiunta dominio della sequenza di attività per aggiungere un computer con un'immagine nuova a un dominio.Windows Setup uses the Task sequence domain join account to join a newly imaged computer to a domain. Questo account è necessario per il passaggio Aggiunta a dominio o gruppo di lavoro della sequenza di attività con l'opzione Aggiunta a un dominio.This account is required by the Join Domain or Workgroup task sequence step with the Join a domain option. Questo account può anche essere configurato con il passaggio Applica impostazioni di rete, ma non è obbligatorio.This account can also be set up with the Apply Network Settings step, but it isn't required.

Questo account richiede il diritto Aggiungi a dominio nel dominio di destinazione.This account requires the Domain Join right in the target domain.

Suggerimento

Creare un account utente di dominio con le autorizzazioni minime per aggiungerlo al dominio e usarlo per tutte le sequenze di attività.Create one domain user account with the minimal permissions to join the domain, and use it for all task sequences.

Importante

Non assegnare a questo account autorizzazioni di accesso interattivo.Don't assign interactive sign-in permissions to this account.

Non usare l'account di accesso alla rete per questo account.Don't use the network access account for this account.

Account di connessione cartella di rete della sequenza di attivitàTask sequence network folder connection account

Il motore della sequenza di attività usa l'account di connessione cartella di rete della sequenza di attività per connettersi a una cartella condivisa in rete.The task sequence engine uses the Task sequence network folder connection account to connect to a shared folder on the network. Questo account è necessario per il passaggio Connetti alla cartella di rete della sequenza di attività.This account is required by the Connect to Network Folder task sequence step.

Questo account richiede autorizzazioni per accedere alla cartella condivisa specificata.This account requires permissions to access the specified shared folder. Deve essere un account utente di dominio.It must be a domain user account.

Suggerimento

Creare un account utente di dominio con le autorizzazioni minime per accedere alle risorse di rete richieste e usarlo per tutte le sequenze di attività.Create one domain user account with minimal permissions to access the required network resources, and use it for all task sequences.

Importante

Non assegnare a questo account autorizzazioni di accesso interattivo.Don't assign interactive sign-in permissions to this account.

Non usare l'account di accesso alla rete per questo account.Don't use the network access account for this account.

Sequenza di attività eseguita come accountTask sequence run as account

Il motore della sequenza di attività usa la sequenza di attività eseguita come account per eseguire righe di comando o script di PowerShell con credenziali diverse dall'account di sistema locale.The task sequence engine uses the Task sequence run as account to run command lines or PowerShell Scripts with credentials other than the Local System account. Questo account è necessario per i passaggi Esegui riga di comando ed Esegui script PowerShell della sequenza di attività con l'opzione Esegui questo passaggio come account specificato selezionata.This account is required by the Run Command Line and Run PowerShell Script task sequence steps with the option Run this step as the following account chosen.

Configurare l'account in modo che abbia le autorizzazioni minime necessarie per eseguire la riga di comando specificata nella sequenza di attività.Set up the account to have the minimum permissions required to run the command line that you specify in the task sequence. L'account richiede diritti di accesso interattivi.The account requires interactive sign-in rights. In genere richiede la possibilità di installare il software e accedere alle risorse di rete.It usually requires the ability to install software and access network resources. Per l'attività Esegui script PowerShell, questo account richiede autorizzazioni di amministratore locale.For the Run PowerShell Script task, this account requires local administrator permissions.

Importante

Non usare l'account di accesso alla rete per questo account.Don't use the network access account for this account.

Non impostare mai l'account come amministratore di dominio.Never make the account a domain admin.

Non configurare mai profili mobili per questo account.Never set up roaming profiles for this account. Quando viene eseguita la sequenza di attività, verrà scaricato il profilo mobile per l'account.When the task sequence runs, it downloads the roaming profile for the account. In questo modo il profilo è vulnerabile all'accesso nel computer locale.This leaves the profile vulnerable to access on the local computer.

Limitare l'ambito dell'account.Limit the scope of the account. Ad esempio, creare una sequenza di attività diversa per ogni sequenza di attività eseguita come account.For example, create different task sequence run as accounts for each task sequence. In questo modo, qualora un account venga compromesso, risulteranno compromessi solo i computer client a cui tale account può accedere.Then if one account is compromised, only the client computers to which that account has access are compromised.

Se la riga di comando richiede accesso amministrativo al computer, creare un account amministratore locale unicamente per questo account in tutti i computer che eseguono la sequenza di attività.If the command line requires administrative access on the computer, consider creating a local administrator account solely for this account on all computers that run the task sequence. Eliminare l'account quando non è più necessario.Delete the account once you no longer need it.

Oggetti utente usati da Configuration Manager in SQLUser objects that Configuration Manager uses in SQL

Configuration Manager crea automaticamente e mantiene gil oggetti utente seguenti in SQL.Configuration Manager automatically creates and maintains the following user objects in SQL. Questi oggetti si trovano all'interno del database di Configuration Manager in SIcurezza/Utenti.These objects are located within the Configuration Manager database under Security/Users.

Importante

La modifica o la rimozione di questi oggetti può generare problemi seri in un ambiente di Configuration Manager.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. È consigliabile non apportare modifiche a questi oggetti.We recommend you do not make any changes to these objects.

smsdbuser_ReadOnlysmsdbuser_ReadOnly

Questo oggetto viene usato per eseguire query nel contesto di sola lettura.This object is used to run queries under the read-only context. Viene usato da diverse stored procedure.This object is leveraged with several stored procedures.

smsdbuser_ReadWritesmsdbuser_ReadWrite

Questo oggetto viene usato per fornire le autorizzazioni per le istruzioni SQL dinamiche.This object is used to provide permissions for dynamic SQL statements.

smsdbuser_ReportSchemasmsdbuser_ReportSchema

Questo oggetto viene usato per le esecuzioni di report SQL.This object is used to run SQL Reporting Executions. La stored procedure seguente viene usata con questa funzione: spSRExecQuery.The following stored procedure is used with this function: spSRExecQuery.

Ruoli del database usati da Configuration Manager in SQLDatabase roles that Configuration Manager uses in SQL

Configuration Manager crea automaticamente e mantiene gli oggetti ruolo seguenti in SQL.Configuration Manager automatically creates and maintains the following role objects in SQL. Questi ruoli consentono di accedere a stored procedure, tabelle, viste e funzioni specifiche per eseguire le azioni richieste per ogni ruolo per recuperare o inserire dati da e nel database ConfigMgr.These roles provide access to specific stored procedures, tables, views and functions to perform the needed actions of each role to either retrieve data or insert data to and from the ConfigMgr database. Questi oggetti si trovano all'interno del database di Configuration Manager in Sicurezza/Ruoli/Ruoli del database.These objects are located within the Configuration Manager database under Security/Roles/Database Roles.

Importante

La modifica o la rimozione di questi oggetti può generare problemi seri in un ambiente di Configuration Manager.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. È consigliabile non apportare modifiche a questi oggetti.We recommend you do not make any changes to these objects.

smsdbrole_AIToolsmsdbrole_AITool

Importazione di contratti multilicenza per Asset Intelligence.Asset Intelligence Volume Licenses import. ConfigMgr concede questa autorizzazione agli account utente in base all'accesso RBA per poter importare contratti multilicenza da usare con Asset Intelligence.ConfigMgr grants this permission to users accounts based on RBA access to be able to import volume license to be used with Asset Intelligence. Questo account può essere aggiunto da un ruolo di amministratore completo o da un ruolo di Gestione asset.This account could be added by a full administrator role or an Asset Manager role.

smsdbrole_AIUSsmsdbrole_AIUS

Sincronizzazione aggiornamenti di Asset Intelligence.Asset Intelligence Update Synchronization. ConfigMgr concede all'account computer che ospita l'account del punto di sincronizzazione di Asset Intelligence l'accesso per ottenere i dati del proxy di Asset Intelligence e visualizzare i dati di AI in sospeso per l'upload.ConfigMgr grants the computer account that host the Asset Intelligence Synchronization Point account access to get Asset Intelligence proxy data and to view pending AI data for upload.

smsdbrole_AMTSPsmsdbrole_AMTSP

Gestione fuori banda.Out of Band Management. Questo ruolo viene usato dal ruolo AMT di Configuration Manager per recuperare i dati nei dispositivi che supportano Intel AMT.This role is used by Configuration Manager AMT role to retrieve data on devices that supported Intel AMT.

Nota

Questo ruolo è deprecato nelle versioni più recenti di ConfigMgr.This role is deprecated in newer releases of ConfigMgr.

smsdbrole_CRPsmsdbrole_CRP

Supporto per il punto di registrazione certificati per System Center Endpoint Protection (SCEP).Certificate Registration Point System Center Endpoint Protection (SCEP) support. ConfigMgr concede l'autorizzazione all'account computer del sistema del sito che supporta il punto di registrazione certificati per il supporto SCEP per la firma e il rinnovo del certificato.ConfigMgr grants permission to the computer account of the site system that supports the Certificate Registration Point for SCEP support for certificate signing and renewal.

smsdbrole_CRPPfxsmsdbrole_CRPPfx

Supporto PFX per il punto di registrazione certificati.Certificate Registration Point PFX support. ConfigMgr concede l'autorizzazione all'account computer del sistema del sito che supporta il punto di registrazione certificati per il supporto PFX per la firma e il rinnovo.ConfigMgr grants permission to the computer account of the site system that supports the Certificate Registration Point configured for PFX support for signing and renewal.

smsdbrole_DMPsmsdbrole_DMP

Punto gestione periferiche.Device Management Point. ConfigMgr concede questa autorizzazione all'account computer per un punto di gestione con l'opzione "Consenti ai dispositivi mobili e ai computer Mac l'utilizzo del punto di gestione", per fornire supporto per i dispositivi registrati in MDM.ConfigMgr grants this permission to computer account for a Management Point that has the option, “Allow mobile devices and Mac Computer to uses this management point”, the ability to provide support for MDM enrolled devices.

smsdbrole_DmpConnectorsmsdbrole_DmpConnector

Punto di connessione del servizio.Service Connection Point. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto di connessione del servizio per recuperare e fornire dati di telemetria, gestire i servizi cloud e recuperare gli aggiornamenti del servizio.ConfigMgr grants this permission to the computer account that host the Service Connection Point to retrieve and provide telemetry data, manage cloud services, and retrieve service updates.

smsdbrole_DViewAccesssmsdbrole_DViewAccess

Viste distribuite.Distributed Views. Configuration Manager concede questa autorizzazione all'account computer dei server del sito primario in CAS quando l'opzione delle viste distribuite di SQL Server viene selezionata nelle proprietà del collegamento di replica.Configuration Manager grants this permission to the computer account of the Primary Site Servers on the CAS when the SQL Server distributed views option is selected in the replication link properties.

smsdbrole_DWSSsmsdbrole_DWSS

Data warehouse.Data Warehouse. ConfigMgr concede questa autorizzazione all'account computer che ospita il ruolo Data warehouse.ConfigMgr grants this permission to the computer account that host the Data Warehouse role.

smsdbrole_EnrollSvrsmsdbrole_EnrollSvr

Punto di registrazione.Enrollment Point. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto di registrazione per consentire la registrazione del dispositivo tramite MDM.ConfigMgr grants this permission to the computer account that host the Enrollment Point to allow for device enrollment via MDM.

smsdbrole_extractsmsdbrole_extract

Consente di accedere a tutte le viste dello schema estese.Provides access to all the extended schema views.

smsdbrole_HMSUsersmsdbrole_HMSUser

Servizio di gestione della gerarchia.Hierarchy Manager Service. ConfigMgr concede queste autorizzazioni all'account per gestire i messaggi sullo stato di failover e le transazioni di SQL Server Broker tra i siti all'interno di una gerarchia.ConfigMgr grants permissions this account to manage failover state messages and SQL Server Broker transactions between sites within a hierarchy.

Nota

Per impostazione predefinita, il ruolo smdbrole_WebPortal è un membro di questo ruolo.The smdbrole_WebPortal role is a member of this role by default.

smsdbrole_MCSsmsdbrole_MCS

Servizio multicast.Multicast Service. ConfigMgr concede questa autorizzazione all'account computer del punto di distribuzione che supporta il multicast.ConfigMgr grants this permission to the computer account of the Distribution Point that supports multicast.

smsdbrole_MPsmsdbrole_MP

Punto di gestione.Management Point. ConfigMgr concede questa autorizzazione all'account computer che ospita il ruolo del punto di gestione per fornire supporto per i client ConfigMgr.ConfigMgr grants this permission to the computer account that host the Management Point role to provide support for the ConfigMgr clients.

smsdbrole_MPMBAMsmsdbrole_MPMBAM

Punto di gestione per Microsoft BitLocker Administration And Monitoring.Management Point Microsoft BitLocker Administration and Monitoring. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto di gestione che gestisce MBAM per un ambiente.ConfigMgr grants this permission to the computer account that host the Management Point that manages MBAM for an environment.

smsdbrole_MPUserSvcsmsdbrole_MPUserSvc

Richiesta di applicazioni del punto di gestione.Management Point Application Request. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto di gestione per supportare le richieste di applicazioni in base all'utente.ConfigMgr grants this permission to the computer account that host the Management Point to support user-based application requests.

smsdbrole_siteprovidersmsdbrole_siteprovider

Provider SMS.SMS Provider. Configuration Manager concede questa autorizzazione all'account computer che ospita un ruolo del provider SMS.Configuration Manager grants this permission to the computer account that host a SMS Provider role.

smsdbrole_siteserversmsdbrole_siteserver

Server del sito.Site Server. ConfigMgr concede questa autorizzazione all'account computer che ospita il sito primario o CAS.ConfigMgr grants this permission to the computer account that host the Primary or CAS Site.

smsdbrole_SUPsmsdbrole_SUP

Punto di aggiornamento software.Software Update Point. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto di aggiornamento software per l'uso di aggiornamenti di terze parti.ConfigMgr grants this permission to the computer account that host the Software Update Point for working with Third party updates.

smsdbrole_WebPortalsmsdbrole_WebPortal

Punto per siti Web del Catalogo applicazioni.Application Catalog Web Site Point. ConfigMgr concede questa autorizzazione all'account computer che ospita il punto per siti Web del Catalogo applicazioni per fornire la distribuzione di applicazioni in base all'utente.ConfigMgr grants permission to the computer account that host the Application Catalog Web Site Point to provide user based application deployment.

smsschm_userssmsschm_users

Accesso per la creazione di report utente.User Reporting access. ConfigMgr concede l'accesso all'account usato per l'account del punto di Reporting Services per consentire l'accesso alle viste di reporting SMS per visualizzare i dati di reporting di Configuration Manager.ConfigMgr grants access to the account used for the Reporting Services point account to allow access to the SMS reporting views to display the Configuration Manager reporting data. I dati sono ulteriormente limitati con l'uso di RBA.The data is further restricted with the use of RBA.