Configuration Managerで使用されるアカウント

Configuration Manager (現在のブランチ) に適用

次の情報を使用して、Configuration Managerで使用されるWindows グループ、アカウント、SQL Server オブジェクト、それらの使用方法、および要件を特定します。

Configuration Managerが作成して使用するグループをWindowsする

Configuration Manager自動的に作成され、多くの場合、次のWindows グループが自動的に保持されます。

注意

Configuration Managerがドメイン メンバーであるコンピューターにグループを作成すると、グループはローカル セキュリティ グループになります。 コンピューターがドメイン コントローラーの場合、グループはドメイン ローカル グループです。 この種類のグループは、ドメイン内のすべてのドメイン コントローラー間で共有されます。

構成Manager_CollectedFilesAccess

Configuration Managerでは、このグループを使用して、ソフトウェア インベントリによって収集されたファイルを表示するためのアクセス権を付与します。

詳細については、「 ソフトウェア インベントリの概要」を参照してください。

CollectedFilesAccess の種類と場所

このグループは、プライマリ サイト サーバー上に作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

CollectedFilesAccess のメンバーシップ

Configuration Managerグループ メンバーシップを自動的に管理します。 メンバーシップには、割り当てられたセキュリティ ロールから Collection セキュリティ保護可能なオブジェクトに対する [収集されたファイルの表示] アクセス許可が付与された管理ユーザーが含まれます。

CollectedFilesAccess のアクセス許可

既定では、このグループにはサイト サーバー上の次のフォルダーに対する 読み取り アクセス許可があります。 C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

構成Manager_DViewAccess

このグループは、子プライマリ サイトのサイト データベース サーバーまたはデータベース レプリカ サーバーに作成Configuration Managerローカル セキュリティ グループです。 このサイトは、階層内のサイト間のデータベース レプリケーションに分散ビューを使用するときに作成されます。 これには、中央管理サイトのサイト サーバーとSQL Serverコンピューター アカウントが含まれます。

詳細については、「 サイト間のデータ転送」を参照してください。

リモート コントロール ユーザーのConfiguration Manager

リモート ツールConfiguration Manager、このグループを使用して、許可された閲覧者 の一覧に設定したアカウントとグループを格納します。 サイトでは、この一覧が各クライアントに割り当てられます。

詳細については、「 リモート コントロールの概要」を参照してください。

リモート コントロール ユーザーの種類と場所

このグループは、クライアントがリモート ツールを有効にするポリシーを受信したときに、Configuration Manager クライアントで作成されたローカル セキュリティ グループです。

クライアントのリモート ツールを無効にした後、このグループは自動的に削除されません。 リモート ツールを無効にした後、手動で削除します。

リモート コントロール ユーザーのメンバーシップ

既定では、このグループにメンバーは存在しません。 許可された閲覧者 の一覧にユーザーを追加すると、そのユーザーはこのグループに自動的に追加されます。

許可されている閲覧者 の一覧を使用して、このグループに直接ユーザーまたはグループを追加する代わりに、このグループのメンバーシップを管理します。

管理者ユーザーは、許可されたビューアーであることに加えて、Collection オブジェクトに対する リモート コントロール アクセス許可を持っている必要があります。 リモート ツール オペレーター のセキュリティ ロールを使用して、このアクセス許可を割り当てます。

リモート コントロール ユーザーのアクセス許可

既定では、このグループにはコンピューター上のどの場所にもアクセス許可がありません。 許可された閲覧者 リストを保持するためにのみ使用されます。

SMS 管理者

Configuration Managerでは、このグループを使用して、WMI 経由で SMS プロバイダーへのアクセスを許可します。 Configuration Manager コンソールでオブジェクトを表示および変更するには、SMS プロバイダーへのアクセスが必要です。

注意

管理ユーザーのロールベースの管理構成によって、Configuration Manager コンソールを使用するときに表示および管理できるオブジェクトが決まります。

詳細については、「 SMS プロバイダーの計画」を参照してください。

SMS 管理者の種類と場所

このグループは、SMS プロバイダーを持つ各コンピューターで作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS 管理者のメンバーシップ

Configuration Managerグループ メンバーシップを自動的に管理します。 既定では、階層内の各管理者ユーザーとサイト サーバー コンピューター アカウントは、サイト内の各 SMS プロバイダー コンピューター上の SMS 管理者 グループのメンバーです。

SMS 管理者のアクセス許可

WMI コントロール MMC スナップインで SMS Admins グループの権限とアクセス許可を表示できます。 既定では、このグループには WMI 名前空間で アカウントリモートの有効化Root\SMS 許可されます。 認証されたユーザーには、 Execute メソッドプロバイダー書き込みおよびアカウントの有効化 があります。

リモート Configuration Manager コンソールを使用する場合は、サイト サーバー コンピューターと SMS プロバイダーの両方で リモート ライセンス認証 DCOM アクセス許可を構成します。 SMS Admins グループにこれらの権限を付与します。 この操作により、これらの権限をユーザーまたはグループに直接付与する代わりに、管理が簡略化されます。 詳細については、「リモート Configuration Manager コンソールの DCOM アクセス許可を構成する」を参照してください。

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

サイト サーバーからリモートにある管理ポイントは、このグループを使用してサイト データベースに接続します。 このグループは、サイト サーバーとサイト データベース上の受信トレイ フォルダーへの管理ポイント アクセスを提供します。

SMS_SiteSystemToSiteServerConnection_MPの種類と場所

このグループは、SMS プロバイダーを持つ各コンピューターで作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_MPのメンバーシップ

Configuration Managerグループ メンバーシップを自動的に管理します。 既定では、メンバーシップには、サイトの管理ポイントを持つリモート コンピューターのコンピューター アカウントが含まれます。

SMS_SiteSystemToSiteServerConnection_MPのアクセス許可

既定では、このグループには、サイト サーバーC:\Program Files\Microsoft Configuration Manager\inboxes上の次のフォルダーに対する 読み取り読み取り&実行およびフォルダーの内容の一覧表示 のアクセス許可があります。 このグループには、管理ポイントがクライアント データを 書き込受信トレイ の下のサブフォルダーへの書き込みアクセス許可もあります。

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

リモート SMS プロバイダー コンピューターでは、このグループを使用してサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_SMSProvの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_SMSProvのメンバーシップ

Configuration Managerグループ メンバーシップを自動的に管理します。 既定では、メンバーシップにはコンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 このアカウントを使用して、各リモート SMS プロバイダーからサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_SMSProvのアクセス許可

既定では、このグループには、サイト サーバーC:\Program Files\Microsoft Configuration Manager\inboxes上の次のフォルダーに対する 読み取り読み取り&実行およびフォルダーの内容の一覧表示 のアクセス許可があります。 このグループには、受信トレイの下にあるサブフォルダーへの 書き込みと****変更 のアクセス許可もあります。 SMS プロバイダーでは、これらのフォルダーにアクセスする必要があります。

このグループには、下C:\Program Files\Microsoft Configuration Manager\OSD\Binのサイト サーバー上のサブフォルダーに対する 読み取り アクセス許可もあります。

また、次のサブフォルダーに対する次のアクセス許可もあります C:\Program Files\Microsoft Configuration Manager\OSD\boot

  • Read
  • 実行&読み取り
  • フォルダー コンテンツの一覧表示
  • Write
  • Modify

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

リモート サイト システム コンピューター上のファイル ディスパッチ マネージャー コンポーネントConfiguration Manager、このグループを使用してサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_Statの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteSystemToSiteServerConnection_Statのメンバーシップ

Configuration Managerグループ メンバーシップを自動的に管理します。 既定では、メンバーシップにはコンピューター アカウントまたはドメイン ユーザー アカウントが含まれます。 このアカウントを使用して、ファイル ディスパッチ マネージャーを実行する各リモート サイト システムからサイト サーバーに接続します。

SMS_SiteSystemToSiteServerConnection_Statのアクセス許可

既定では、このグループには、サイト サーバーC:\Program Files\Microsoft Configuration Manager\inboxes上の次のフォルダーとそのサブフォルダーに対する 読み取り読み取り&実行、および フォルダーの内容の一覧表示 のアクセス許可があります。

このグループには、サイト サーバーC:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box上の次のフォルダーに対する 書き込みと****変更 のアクセス許可もあります。

<SMS_SiteToSiteConnection_sitecode>

Configuration Managerでは、このグループを使用して、階層内のサイト間でファイルベースのレプリケーションを有効にします。 このサイトにファイルを直接転送するリモート サイトごとに、このグループには 、ファイル レプリケーション アカウント として設定されたアカウントがあります。

SMS_SiteToSiteConnectionの種類と場所

このグループは、サイト サーバー上に作成されたローカル セキュリティ グループです。

SMS_SiteToSiteConnectionのメンバーシップ

別のサイトの子として新しいサイトをインストールすると、Configuration Manager 新しいサイト サーバーのコンピューター アカウントが親サイト サーバー上のこのグループに自動的に追加されます。 Configuration Manager親サイトのコンピューター アカウントも新しいサイト サーバーのグループに追加されます。 ファイルベースの転送に別のアカウントを指定する場合は、そのアカウントを移行先サイト サーバーのこのグループに追加します。

サイトをアンインストールしても、このグループは自動的に削除されません。 サイトをアンインストールした後、手動で削除します。

SMS_SiteToSiteConnectionのアクセス許可

既定では、このグループには次のフォルダーC:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive対するフル コントロール があります。

Configuration Managerが使用するアカウント

Configuration Managerには、次のアカウントを設定できます。

ヒント

Configuration Manager コンソールで指定したアカウントのパスワードにパーセンテージ文字 (%) を使用しないでください。 アカウントは認証に失敗します。

Active Directory グループ検出アカウント

サイトでは 、Active Directory グループ検出アカウント を使用して、指定したActive Directory Domain Services内の場所から次のオブジェクトを検出します。

  • ローカル、グローバル、およびユニバーサル セキュリティ グループ
  • これらのグループ内のメンバーシップ
  • 配布グループ内のメンバーシップ
    • 配布グループがグループ リソースとして検出されない

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、またはWindowsユーザー アカウントを指定できます。 検出用に指定した Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory グループの探索を参照してください。

Active Directory システム検出アカウント

サイトでは 、Active Directory システム検出アカウント を使用して、指定したActive Directory Domain Services内の場所からコンピューターを検出します。

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、またはWindowsユーザー アカウントを指定できます。 検出用に指定した Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory システム探索を参照してください。

Active Directory ユーザー検出アカウント

サイトでは 、Active Directory ユーザー検出アカウント を使用して、指定したActive Directory Domain Servicesの場所からユーザー アカウントを検出します。

このアカウントには、検出を実行するサイト サーバーのコンピューター アカウント、またはWindowsユーザー アカウントを指定できます。 検出用に指定した Active Directory の場所に対する 読み取り アクセス許可が必要です。

詳細については、Active Directory ユーザー探索を参照してください。

Active Directory フォレスト アカウント

サイトでは、 Active Directory フォレスト アカウント を使用して、Active Directory フォレストからネットワーク インフラストラクチャを検出します。 また、サーバーの全体管理サイトとプライマリ サイトは、それを使用して、フォレストのActive Directory Domain Servicesにサイト データを発行します。

注意

セカンダリ サイトでは、常にセカンダリ サイト サーバー コンピューター アカウントを使用して Active Directory に発行します。

信頼されていないフォレストを検出して発行するには、Active Directory フォレスト アカウントがグローバル アカウントである必要があります。 サイト サーバーのコンピューター アカウントを使用しない場合は、グローバル アカウントのみを選択できます。

このアカウントには、ネットワーク インフラストラクチャを検出する各 Active Directory フォレストに対する 読み取り アクセス許可が必要です。

このアカウントには、サイト データを発行する各 Active Directory フォレスト内の System Management コンテナーとそのすべての子オブジェクトに対する フル コントロール アクセス許可が必要です。 詳細については、「 サイト発行用に Active Directory を準備する」を参照してください。

詳細については、「 Active Directory フォレストの検出」を参照してください。

証明書登録ポイント アカウント

警告

バージョン 2203 以降、証明書登録ポイントはサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関するよく寄せられる質問」を参照してください。

証明書登録ポイントは、証明書登録ポイント アカウント を使用してConfiguration Manager データベースに接続します。 既定ではコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成できます。 証明書登録ポイントがサイト サーバーから信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。 このアカウントでは、状態メッセージ システムが書き込みタスクを処理するため、サイト データベースへの 読み取り アクセスのみが必要です。

詳細については、「 証明書プロファイルの概要」を参照してください。

OS イメージ アカウントをキャプチャする

OS イメージをキャプチャすると、Configuration Managerはキャプチャされたイメージを格納するフォルダーにアクセスするために 、キャプチャ OS イメージ アカウント を使用します。 タスク シーケンスに [OS イメージのキャプチャ ] ステップを追加する場合は、このアカウントが必要です。

アカウントには、キャプチャされたイメージを格納するネットワーク共有に対する 読み取り および 書き込 みアクセス許可が必要です。

Windowsのアカウントのパスワードを変更する場合は、新しいパスワードでタスク シーケンスを更新します。 Configuration Manager クライアントは、次にクライアント ポリシーをダウンロードするときに新しいパスワードを受け取ります。

このアカウントを使用する必要がある場合は、1 つのドメイン ユーザー アカウントを作成します。 必要なネットワーク リソースにアクセスするための最小限のアクセス許可を付与し、すべてのキャプチャ タスク シーケンスに使用します。

重要

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

詳細については、「 OS をキャプチャするタスク シーケンスを作成する」を参照してください。

クライアント プッシュ インストール アカウント

クライアント プッシュ インストール方法を使用してクライアントを展開する場合、サイトは クライアント プッシュ インストール アカウント を使用してコンピューターに接続し、Configuration Manager クライアント ソフトウェアをインストールします。 このアカウントを指定しない場合、サイト サーバーはコンピューター アカウントの使用を試みます。

このアカウントは、ターゲット クライアント コンピューター上のローカル 管理者 グループのメンバーである必要があります。 このアカウントには 、ドメイン管理者権限 は必要ありません。

複数のクライアント プッシュ インストール アカウントを指定できます。 Configuration Managerは、それぞれが成功するまで順番に試行します。

ヒント

大規模な Active Directory 環境があり、このアカウントを変更する必要がある場合は、次のプロセスを使用して、このアカウントの更新をより効果的に調整します。

  1. 別の名前で新しいアカウントを作成する
  2. Configuration Managerのクライアント プッシュ インストール アカウントの一覧に新しいアカウントを追加します。
  3. Active Directory Domain Servicesが新しいアカウントをレプリケートするのに十分な時間を確保する
  4. 次に、古いアカウントをConfiguration ManagerとActive Directory Domain Servicesから削除します

重要

ドメインまたはローカル グループ ポリシーを使用して、ローカルでの ログオンを拒否 する権限をWindows ユーザーに割り当てます。 Administrators グループのメンバーとして、このアカウントにはローカルにサインインする権限があります。これは必要ありません。 セキュリティを強化するために、このアカウントの権利を明示的に拒否します。 拒否権は許可権限に置き換わる。

詳細については、「 クライアント プッシュ インストール」を参照してください

登録ポイント接続アカウント

登録ポイントは、登録ポイント接続アカウント を使用して、Configuration Manager サイト データベースに接続します。 既定ではコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成できます。 登録ポイントがサイト サーバーから信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。 このアカウントには、サイト データベースに対する 読み取り および 書き込み アクセス権が必要です。

詳細については、「 オンプレミス MDM のサイト システムの役割をインストールする」を参照してください。

Exchange Server接続アカウント

サイト サーバーは 、Exchange Server接続アカウント を使用して、指定したExchange Serverに接続します。 この接続を使用して、Exchange Serverに接続するモバイル デバイスを見つけて管理します。 このアカウントには、Exchange Server コンピューターに必要なアクセス許可を提供する powerShell コマンドレットExchange必要があります。 コマンドレットの詳細については、「Exchange コネクタのインストールと構成」を参照してください。

管理ポイント接続アカウント

管理ポイントは、管理ポイント接続アカウント を使用して、Configuration Manager サイト データベースに接続します。 この接続を使用して、クライアントの情報を送受信します。 管理ポイントでは既定でコンピューター アカウントが使用されますが、代わりにユーザー アカウントを構成できます。 管理ポイントがサイト サーバーから信頼されていないドメインにある場合は、ユーザー アカウントを指定する必要があります。

Microsoft SQL Serverを実行するコンピューターで、アカウントを右下のローカル アカウントとして作成します。

重要

このアカウントに対話型サインイン権限を付与しないでください。

マルチキャスト接続アカウント

マルチキャストが有効な配布ポイントでは、 マルチキャスト接続アカウント を使用してサイト データベースから情報を読み取ります。 サーバーは既定でコンピューター アカウントを使用しますが、代わりにユーザー アカウントを構成できます。 サイト データベースが信頼されていないフォレスト内にある場合は、ユーザー アカウントを指定する必要があります。 たとえば、サイト サーバーとサイト データベース以外のフォレストにデータ センターに境界ネットワークがある場合は、このアカウントを使用してサイト データベースからマルチキャスト情報を読み取ります。

このアカウントが必要な場合は、Microsoft SQL Serverを実行するコンピューター上に右下のローカル アカウントとして作成します。

重要

このアカウントに対話型サインイン権限を付与しないでください。

詳細については、「マルチキャストを使用してネットワーク経由でWindowsをデプロイする」を参照してください。

ネットワーク アクセス アカウント

クライアント コンピューターは、ローカル コンピューター アカウントを使用して配布ポイント上のコンテンツにアクセスできない場合に 、ネットワーク アクセス アカウントを使用します。 ほとんどの場合、信頼されていないドメインのワークグループ クライアントとコンピューターに適用されます。 このアカウントは、OS をインストールしているコンピューターがまだドメインにコンピューター アカウントを持っていない場合にも、OS の展開中に使用されます。

重要

ネットワーク アクセス アカウントは、プログラムの実行、ソフトウェア更新プログラムのインストール、タスク シーケンスの実行にセキュリティ コンテキストとして使用されることはありません。 これは、ネットワーク上のリソースへのアクセスにのみ使用されます。

Configuration Manager クライアントは、最初にコンピューター アカウントを使用してコンテンツをダウンロードしようとします。 失敗した場合は、ネットワーク アクセス アカウントが自動的に試行されます。

HTTPS または拡張 HTTP 用にサイトを構成する場合、ワークグループまたはAzure AD参加しているクライアントは、ネットワーク アクセス アカウントを必要とせずに配布ポイントからコンテンツに安全にアクセスできます。 この動作には、ブート メディア、PXE、またはソフトウェア センターから実行されるタスク シーケンスを含む OS 展開シナリオが含まれます。 詳細については、「 クライアントから管理ポイントへの通信」を参照してください。

注意

拡張 HTTP を有効にしてネットワーク アクセス アカウントを必要としない場合は、配布ポイントがWindows Server 2012以降で実行されている必要があります。

ネットワーク アクセス アカウントのアクセス許可

クライアントがソフトウェアにアクセスするために必要なコンテンツに対する最小限の適切なアクセス許可をこのアカウントに付与します。 アカウントには、配布ポイントの ネットワークからこのコンピューターにアクセス する権限が必要です。 サイトあたり最大 10 個のネットワーク アクセス アカウントを構成できます。

リソースへの必要なアクセスを提供する任意のドメインにアカウントを作成します。 ネットワーク アクセス アカウントには常にドメイン名を含める必要があります。 このアカウントではパススルー セキュリティはサポートされていません。 複数のドメインに配布ポイントがある場合は、信頼されたドメインにアカウントを作成します。

ヒント

アカウントロックアウトを回避するには、既存のネットワーク アクセス アカウントのパスワードを変更しないでください。 代わりに、新しいアカウントを作成し、Configuration Managerで新しいアカウントを設定します。 すべてのクライアントが新しいアカウントの詳細を受信するのに十分な時間が経過したら、古いアカウントをネットワーク共有フォルダーから削除し、アカウントを削除します。

重要

このアカウントに対話型サインイン権限を付与しないでください。

このアカウントに、コンピューターをドメインに参加させる権利を付与しないでください。 タスク シーケンス中にコンピューターをドメインに参加させる必要がある場合は、 タスク シーケンス ドメイン参加アカウントを使用します。

ネットワーク アクセス アカウントを構成する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。 次に、サイトを選択します。

  2. リボンの 設定 グループで、[サイト コンポーネントの構成] を選択し、[ソフトウェア配布] を選択します。

  3. [ ネットワーク アクセス アカウント ] タブを選択します。1 つ以上のアカウントを設定し、[OK] を選択 します

ネットワーク アクセス アカウントを必要とするアクション

ネットワーク アクセス アカウントは、引き続き次の操作に必要です。

  • マルチキャスト。 詳細については、「マルチキャストを使用してネットワーク経由でWindowsをデプロイする」を参照してください。

  • 実行中のタスク シーケンス で必要な場合に配布ポイントからコンテンツに直接アクセスするタスク シーケンス 展開オプション。 詳細については、「 タスク シーケンスの展開オプション」を参照してください。

  • 状態ストアの要求 タスク シーケンスステップ。 タスク シーケンスがデバイスのコンピューター アカウントを使用して状態移行ポイントと通信できない場合は、ネットワーク アクセス アカウントを使用するためにフォールバックします。 詳細については、「 状態ストアの要求」を参照してください。

  • 配布ポイントから直接コンテンツにアクセス するには 、OS Image タスク シーケンス ステップ オプションを適用します。 このオプションは、主にWindowsローカル ディスクへのコンテンツのキャッシュにコストがかかるディスク領域が少ない埋め込みシナリオ向けです。 詳細については、「配布ポイントから直接コンテンツにアクセスする」を参照してください。

  • タスク シーケンスのプロパティ設定で 、最初に別のプログラムを実行 します。 この設定は、タスク シーケンスが開始される前に、ネットワーク共有からパッケージとプログラムを実行します。 詳細については、「 タスク シーケンスのプロパティ: [詳細設定] タブ」を参照してください

  • 信頼されていないドメインとフォレスト間のシナリオでクライアントを管理すると、複数のネットワーク アクセス アカウントが許可されます。

パッケージ アクセス アカウント

パッケージ アクセス アカウント を使用すると、配布ポイント上のパッケージ コンテンツにアクセスできるユーザーとユーザー グループを指定する NTFS アクセス許可を設定できます。 既定では、Configuration Managerは汎用アクセス アカウント のユーザー管理者 にのみアクセスを許可します。 他のWindows アカウントまたはグループを使用して、クライアント コンピューターのアクセスを制御できます。 モバイル デバイスは常にパッケージ コンテンツを匿名で取得するため、パッケージ アクセス アカウントは使用されません。

既定では、コンテンツ ファイルConfiguration Manager配布ポイントにコピーすると、ローカル ユーザー グループへの 読み取り アクセス権が付与され、ローカル 管理者 グループに フル コントロール が付与されます。 必要な実際のアクセス許可は、パッケージによって異なります。 ワークグループまたは信頼されていないフォレストにクライアントがある場合、それらのクライアントはネットワーク アクセス アカウントを使用してパッケージ コンテンツにアクセスします。 定義済みのパッケージ アクセス アカウントを使用して、ネットワーク アクセス アカウントにパッケージへのアクセス許可があることを確認します。

配布ポイントにアクセスできるドメイン内のアカウントを使用します。 パッケージの作成後にアカウントを作成または変更する場合は、パッケージを再配布する必要があります。 パッケージを更新しても、パッケージに対する NTFS アクセス許可は変更されません。

ユーザー グループのメンバーシップによって自動的に追加されるため、ネットワーク アクセス アカウントをパッケージ アクセス アカウントとして追加する必要はありません。 パッケージ アクセス アカウントをネットワーク アクセス アカウントのみに制限しても、クライアントがパッケージにアクセスすることはできません。

パッケージ アクセス アカウントを管理する

  1. Configuration Manager コンソールで、ソフトウェア ライブラリ ワークスペースに移動します。

  2. [ソフトウェア ライブラリ] ワークスペースで、アクセス アカウントを管理するコンテンツの種類を確認し、次の手順に従います。

    • アプリケーション: [アプリケーション管理] を展開し、[ アプリケーション] を選択し、アクセス アカウントを管理するアプリケーションを選択します。

    • パッケージ: [アプリケーション管理] を展開し、[ パッケージ] を選択し、アクセス アカウントを管理するパッケージを選択します。

    • ソフトウェア更新プログラムの展開パッケージ: [ソフトウェア更新プログラム] を展開し、[ 展開パッケージ] を選択し、アクセス アカウントを管理する展開パッケージを選択します。

    • ドライバー パッケージ: オペレーティング システムを 展開し、[ ドライバー パッケージ] を選択し、アクセス アカウントを管理するドライバー パッケージを選択します。

    • OS イメージ: [オペレーティング システム] を展開し、[ オペレーティング システム イメージ] を選択し、アクセス アカウントを管理するオペレーティング システム イメージを選択します。

    • OS アップグレード パッケージ: オペレーティング システム を展開し、 オペレーティング システムアップグレード パッケージ を選択し、アクセス アカウントを管理する OS アップグレード パッケージを選択します。

    • ブート イメージ: [オペレーティング システム] を展開し、[ ブート イメージ] を選択し、アクセス アカウントを管理するブート イメージを選択します。

  3. 選択したオブジェクトを右クリックし、[ アクセス アカウントの管理] を選択します。

  4. [ アカウントの追加 ] ダイアログ ボックスで、コンテンツへのアクセスを許可するアカウントの種類を指定し、アカウントに関連付けられているアクセス権を指定します。

    注意

    アカウントのユーザー名を追加すると、ローカル ユーザー アカウントとその名前を持つドメイン ユーザー アカウントの両方が検索Configuration Manager、Configuration Managerドメイン ユーザー アカウントのアクセス権が設定されます。

Reporting Services ポイント アカウント

SQL Server Reporting Services では、Reporting Services ポイント アカウントを 使用して、サイト データベースからConfiguration Manager レポートのデータを取得します。 指定したWindowsユーザー アカウントとパスワードは暗号化され、SQL Server Reporting Services データベースに格納されます。

注意

指定するアカウントには、SQL Server Reporting Services データベースをホストしているコンピューターに対する ローカル ログオンアクセス許可が必要です。

アカウントには、Configuration Manager データベースのsmsschm_users SQL Server データベース ロールに追加されることで、必要なすべての権限が自動的に付与されます。

詳細については、「レポートの 概要」を参照してください。

リモート ツールで許可されているビューアー アカウント

リモート コントロールの 許可ビューアー として指定するアカウントは、クライアントでリモート ツール機能を使用できるユーザーの一覧です。

詳細については、「 リモート コントロールの概要」を参照してください。

サイト インストール アカウント

ドメイン ユーザー アカウントを使用して、Configuration Managerセットアップを実行して新しいサイトをインストールするサーバーにサインインします。

このアカウントには、次の権限が必要です。

  • 次のサーバーの 管理者:

    • サイト サーバー
    • サイト データベースをホストする各サーバー
    • サイトの SMS プロバイダーの各インスタンス
  • サイト データベースをホストするSQL Serverのインスタンスに 対する Sysadmin

セットアップConfiguration Manager、SMS Admins グループにこのアカウントが自動的に追加されます。

インストール後、このアカウントは、Configuration Manager コンソールに対する権限を持つ唯一のユーザーです。 このアカウントを削除する必要がある場合は、最初に別のユーザーにその権限を追加してください。

スタンドアロン サイトを展開して中央管理サイトを含める場合、このアカウントには、スタンドアロン プライマリ サイトでの 完全管理者 または インフラストラクチャ管理者 ロールベースの管理権限が必要です。

サイト システムのインストール アカウント

サイト サーバーは 、サイト システムのインストール アカウント を使用して、サイト システムのインストール、再インストール、アンインストール、および設定を行います。 このサイト システムへの接続を開始するようにサイト サーバーに要求するようにサイト システムを設定した場合、Configuration Managerもこのアカウントを使用して、サイト システムと任意のロールをインストールした後、サイト システムからデータをプルします。 各サイト システムには異なるインストール アカウントを設定できますが、そのサイト システム上のすべてのロールを管理するために設定できるインストール アカウントは 1 つだけです。

このアカウントには、ターゲット サイト システムに対するローカル管理アクセス許可が必要です。 さらに、このアカウントには、ターゲット サイト システムのセキュリティ ポリシーの ネットワークからこのコンピューターにアクセス する必要があります。

ヒント

ドメイン コントローラーが多数あり、これらのアカウントがドメイン間で使用されている場合は、サイト システムを設定する前に、Active Directory でこれらのアカウントがレプリケートされていることを確認してください。

管理する各サイト システムにローカル アカウントを指定すると、この構成はドメイン アカウントを使用するよりも安全です。 アカウントが侵害された場合に攻撃者が行うことができる損害を制限します。 ただし、ドメイン アカウントの管理は簡単です。 セキュリティと効果的な管理のトレードオフを検討してください。

サイト システム プロキシ サーバー アカウント

次のサイト システムの役割は、 サイト システム プロキシ サーバー アカウント を使用して、認証されたアクセスを必要とするプロキシ サーバーまたはファイアウォールを介してインターネットにアクセスします。

  • 資産インテリジェンス同期ポイント
  • Exchange Server コネクタ
  • サービス接続ポイント
  • ソフトウェアの更新ポイント

重要

必要なプロキシ サーバーまたはファイアウォールに対して可能な限り最小限のアクセス許可を持つアカウントを指定します。

詳細については、「 プロキシ サーバーのサポート」を参照してください。

SMTP サーバー接続アカウント

サイト サーバーは SMTP サーバー接続アカウント を使用して、SMTP サーバーで認証されたアクセスが必要な場合に電子メール アラートを送信します。

重要

電子メールを送信するアクセス許可が最も少ないアカウントを指定します。

詳細については、「アラートの 構成」を参照してください

ソフトウェアの更新ポイント接続アカウント

サイト サーバーは、次の 2 つの ソフトウェア更新サービスにソフトウェア更新ポイント接続アカウント を使用します。

  • Windows Server Update Services (WSUS)、製品定義、分類、アップストリーム設定などの設定を設定します。

  • WSUS 同期マネージャー。アップストリームの WSUS サーバーまたは Microsoft Update への同期を要求します。

サイト システムのインストール アカウントは、ソフトウェア更新プログラムのコンポーネントをインストールできますが、ソフトウェアの更新ポイントでソフトウェア更新プログラム固有の機能を実行することはできません。 ソフトウェアの更新ポイントが信頼されていないフォレストにあるため、この機能にサイト サーバー コンピューター アカウントを使用できない場合は、サイト システムのインストール アカウントと共にこのアカウントを指定する必要があります。

このアカウントは、WSUS をインストールするコンピューター上のローカル管理者である必要があります。 また、ローカル WSUS 管理者 グループの一部である必要があります。

詳細については、「 ソフトウェア更新プログラムの計画」を参照してください。

ソース サイト アカウント

移行プロセスでは、 ソース サイト アカウント を使用して、ソース サイトの SMS プロバイダーにアクセスします。 このアカウントでは、移行ジョブのデータを収集するために、ソース サイト内のサイト オブジェクトに対する 読み取り アクセス許可が必要です。

Configuration Manager 2007 配布ポイントまたは併置された配布ポイントを持つセカンダリ サイトがある場合は、配布ポイントを Configuration Manager (現在のブランチ) 配布ポイントにアップグレードする場合、このアカウントには サイト クラスに対する 削除 アクセス許可も必要です。 このアクセス許可は、アップグレード中にConfiguration Manager 2007 サイトから配布ポイントを正常に削除することです。

注意

ソース サイト アカウントと ソース サイト データベース アカウントの両方が、Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードで Migration Manager として識別されます。

詳細については、「 階層間でデータを移行する」を参照してください。

ソース サイト データベース アカウント

移行プロセスでは、ソース サイト データベース アカウント を使用して、ソース サイトのSQL Server データベースにアクセスします。 ソース サイトのSQL Server データベースからデータを収集するには、ソース サイトデータベース アカウントに、ソース サイトのSQL Server データベースに対する 読み取り実行 のアクセス許可が必要です。

Configuration Manager (現在のブランチ) コンピューター アカウントを使用する場合は、このアカウントに対して次のすべてが当てはまることを確認します。

  • これは、Configuration Manager 2012 サイトと同じドメイン内の 分散 COM ユーザー セキュリティ グループのメンバーです
  • SMS Admins セキュリティ グループのメンバーです
  • すべてのConfiguration Manager 2012 オブジェクトに対する 読み取り アクセス許可があります。

注意

ソース サイト アカウントと ソース サイト データベース アカウントの両方が、Configuration Manager コンソールの [管理] ワークスペースの [アカウント] ノードで Migration Manager として識別されます。

詳細については、「 階層間でデータを移行する」を参照してください。

タスク シーケンス ドメイン参加アカウント

Windows セットアップでは、タスク シーケンス ドメイン参加アカウント を使用して、新しくイメージされたコンピューターをドメインに参加させます。 このアカウントは、[ドメインに参加] オプションを使用して [[ドメインに参加] または ワークグループ ] タスク シーケンスステップ 必要です。 このアカウントは、[ネットワークの適用設定] ステップで設定することもできますが、必須ではありません。

このアカウントには、ターゲット ドメイン内の ドメイン参加 権が必要です。

ヒント

ドメインに参加するための最小限のアクセス許可を持つ 1 つのドメイン ユーザー アカウントを作成し、すべてのタスク シーケンスに使用します。

重要

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

タスク シーケンス ネットワーク フォルダー接続アカウント

タスク シーケンス エンジンは、 タスク シーケンス ネットワーク フォルダー接続アカウント を使用して、ネットワーク上の共有フォルダーに接続します。 このアカウントは、ネットワーク フォルダーにConnectタスク シーケンス ステップで必要です。

このアカウントには、指定した共有フォルダーにアクセスするためのアクセス許可が必要です。 ドメイン ユーザー アカウントである必要があります。

ヒント

必要なネットワーク リソースにアクセスするための最小限のアクセス許可を持つ 1 つのドメイン ユーザー アカウントを作成し、すべてのタスク シーケンスに使用します。

重要

このアカウントに対話型サインインアクセス許可を割り当てないでください。

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

タスク シーケンスをアカウントとして実行する

タスク シーケンス エンジンは、 タスク シーケンス実行アカウント を使用して、ローカル システム アカウント以外の資格情報を使用してコマンド ラインまたは PowerShell スクリプトを実行します。 このアカウントは、 コマンド ラインの実行PowerShell スクリプトの実行 タスク シーケンスステップで必要です。オプション[ 次のアカウントとしてこの手順を実行します ] が選択されています。

タスク シーケンスで指定したコマンド ラインを実行するために必要な最小限のアクセス許可を持つアカウントを設定します。 このアカウントには、対話型のサインイン権限が必要です。 通常、ソフトウェアをインストールしてネットワーク リソースにアクセスする機能が必要です。 PowerShell スクリプトの実行タスクの場合、このアカウントにはローカル管理者のアクセス許可が必要です。

重要

このアカウントにはネットワーク アクセス アカウントを使用しないでください。

アカウントをドメイン管理者にしないでください。

このアカウントのローミング プロファイルを設定しないでください。 タスク シーケンスを実行すると、アカウントのローミング プロファイルがダウンロードされます。 これにより、プロファイルはローカル コンピューター上のアクセスに対して脆弱になります。

アカウントのスコープを制限します。 たとえば、タスク シーケンスごとに異なるタスク シーケンス実行をアカウントとして作成します。 その後、1 つのアカウントが侵害された場合、そのアカウントにアクセスできるクライアント コンピューターのみが侵害されます。

コマンド ラインでコンピューターに対する管理アクセスが必要な場合は、タスク シーケンスを実行するすべてのコンピューターで、このアカウント専用のローカル管理者アカウントを作成することを検討してください。 不要になったアカウントを削除します。

SQL Serverで使用Configuration Managerユーザー オブジェクト

Configuration Managerは、SQLで次のユーザー オブジェクトを自動的に作成して管理します。 これらのオブジェクトは、Security/Users のConfiguration Manager データベース内にあります。

重要

これらのオブジェクトを変更または削除すると、Configuration Manager環境内で大きな問題が発生する可能性があります。 これらのオブジェクトは変更しないことをお勧めします。

smsdbuser_ReadOnly

このオブジェクトは、読み取り専用コンテキストでクエリを実行するために使用されます。 このオブジェクトは、いくつかのストアド プロシージャで使用されます。

smsdbuser_ReadWrite

このオブジェクトは、動的SQLステートメントのアクセス許可を提供するために使用されます。

smsdbuser_ReportSchema

このオブジェクトは、レポート実行SQL Server実行するために使用されます。 この関数 spSRExecQueryでは、次のストアド プロシージャが使用されます。

SQLで使用Configuration Managerデータベース ロール

Configuration Managerは、SQLに次のロール オブジェクトを自動的に作成して管理します。 これらのロールは、特定のストアド プロシージャ、テーブル、ビュー、関数へのアクセスを提供します。 これらのロールは、Configuration Manager データベースにデータを取得または追加します。 これらのオブジェクトは、セキュリティ/ロール/データベース ロールのConfiguration Manager データベース内にあります。

重要

これらのオブジェクトを変更または削除すると、Configuration Manager環境内で大きな問題が発生する可能性があります。 これらのオブジェクトは変更しないでください。 次の一覧は情報提供のみを目的としています。

smsdbrole_AITool

Configuration Managerは、資産インテリジェンスのボリューム ライセンス情報をインポートするためのロールベースのアクセスに基づいて、管理ユーザー アカウントにこのアクセス許可を付与します。 このアカウントは、完全管理者、運用管理者、資産マネージャー ロール、または "資産インテリジェンスの管理" アクセス許可を持つ任意のロールによって追加できます。

smsdbrole_AIUS

Configuration Managerは、資産インテリジェンス同期ポイント アカウントのアクセスをホストするコンピューター アカウントに、資産インテリジェンス プロキシ データを取得し、アップロードのために保留中の AI データを表示します。

smsdbrole_CRP

Configuration Managerは、証明書の署名と更新に対する簡易証明書登録プロトコル (SCEP) のサポートの証明書登録ポイントをサポートするサイト システムのコンピューター アカウントにアクセス許可を付与します。

smsdbrole_CRPPfx

Configuration Managerは、署名と更新のために PFX サポート用に構成された証明書登録ポイントをサポートするサイト システムのコンピューター アカウントにアクセス許可を付与します。

smsdbrole_DMP

Configuration Managerは、MDM 登録済みデバイスのサポートを提供する機能である[モバイル デバイスと Mac コンピューターにこの管理ポイントの使用を許可する] オプションを持つ管理ポイントのコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_DmpConnector

Configuration Managerは、診断データの取得と提供、クラウド サービスの管理、およびサービス更新プログラムの取得を行うために、サービス接続ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_DViewAccess

Configuration Managerは、レプリケーション リンクプロパティで [SQL Server分散ビュー] オプションが選択されている場合に、CAS 上のプライマリ サイト サーバーのコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_DWSS

Configuration Managerは、データ ウェアハウス ロールをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_EnrollSvr

Configuration Managerは、MDM を使用したデバイス登録を許可するために、登録ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_extract

すべての拡張スキーマ ビューにアクセスできます。

smsdbrole_HMSUser

階層マネージャー サービスの場合。 Configuration Managerは、フェールオーバー状態メッセージを管理し、階層内のサイト間のブローカー トランザクションをSQL Serverするために、このアカウントにアクセス許可を付与します。

注意

smdbrole_WebPortal ロールは、既定ではこのロールのメンバーです。

smsdbrole_MCS

Configuration Managerは、マルチキャストをサポートする配布ポイントのコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MP

Configuration Managerは、Configuration Manager クライアントのサポートを提供する管理ポイント ロールをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MPMBAM

Configuration Manager環境の BitLocker を管理する管理ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_MPUserSvc

Configuration Managerは、ユーザー ベースのアプリケーション要求をサポートするために管理ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_siteprovider

Configuration Managerは、SMS プロバイダー ロールをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_siteserver

Configuration Managerは、プライマリ サイトまたは CAS をホストするコンピューター アカウントにこのアクセス許可を付与します。

smsdbrole_SUP

Configuration Managerは、サードパーティの更新プログラムを操作するためのソフトウェアの更新ポイントをホストするコンピューター アカウントにこのアクセス許可を付与します。

smsschm_users

Configuration Managerは、レポート サービス ポイント アカウントに使用されるアカウントへのアクセスを許可し、SMS レポート ビューにアクセスしてConfiguration Managerレポート データを表示できるようにします。 ロールベースのアクセスを使用すると、データはさらに制限されます。

管理者特権でのアクセス許可

Configuration Managerでは、一部のアカウントに、進行中の操作に対する管理者特権のアクセス許可が必要です。 たとえば、「 プライマリ サイトをインストールするための前提条件」を参照してください。 次の一覧では、これらのアクセス許可と、それらのアクセス許可が必要な理由の概要を示します。

  • プライマリ サイト サーバーと中央管理サイト サーバーのコンピューター アカウントには、次のものが必要です。

    • すべてのサイト システム サーバーに対するローカル管理者権限。 このアクセス許可は、システム サービスを管理、インストール、削除することです。 また、役割を追加または削除すると、サイト サーバーはサイト システム上のローカル グループを更新します。

    • サイト データベースのSQL Server インスタンスへの Sysadmin アクセス。 このアクセス許可は、サイトのSQL Serverを構成および管理することです。 Configuration Manager SQLと緊密に統合されているのは、単なるデータベースではありません。

  • 完全管理者ロールのユーザー アカウントには、次のものが必要です。

    • すべてのサイト サーバーに対するローカル管理者権限。 このアクセス許可は、システム サービス、レジストリ キーと値、WMI オブジェクトを表示、編集、削除、インストールすることです。

    • サイト データベースのSQL Server インスタンスへの Sysadmin アクセス。 このアクセス許可は、セットアップまたは回復中にデータベースをインストールして更新することです。 また、SQL Serverメンテナンスと運用にも必要です。 たとえば、統計のインデックスの再作成と更新などです。

      注意

      一部の組織では、sysadmin アクセスを削除し、必要な場合にのみ付与することができます。 この動作は、"Just-In-Time (JIT) アクセス" と呼ばれることもあります。 この場合、完全管理者ロールを持つユーザーは、引き続き、Configuration Manager データベースでストアド プロシージャを読み取り、更新、実行するアクセス権を持っている必要があります。 これらのアクセス許可を使用すると、完全な sysadmin アクセスなしでほとんどの問題をトラブルシューティングできます。