Konta używane w Configuration ManagerAccounts used in Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Poniższe informacje służą do identyfikowania grup systemu Windows, kont i SQL Server obiektów, które są używane w Configuration Manager, sposobie ich użycia oraz wszelkich wymagań.Use the following information to identify the Windows groups, accounts, and SQL Server objects that are used in Configuration Manager, how they are used, and any requirements.

Grupy systemu Windows tworzone i używane przez Configuration ManagerWindows groups that Configuration Manager creates and uses

Configuration Manager automatycznie tworzy, a w wielu przypadkach automatycznie utrzymuje następujące grupy systemu Windows:Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups:

Uwaga

Gdy Configuration Manager tworzy grupę na komputerze, który jest członkiem domeny, Grupa jest lokalną grupą zabezpieczeń.When Configuration Manager creates a group on a computer that's a domain member, the group is a local security group. Jeśli komputer jest kontrolerem domeny, Grupa jest grupą lokalną domeny.If the computer is a domain controller, the group is a domain local group. Ten typ grupy jest współużytkowany przez wszystkie kontrolery domeny w domenie.This type of group is shared among all domain controllers in the domain.

Manager_CollectedFilesAccess konfiguracjiConfiguration Manager_CollectedFilesAccess

Configuration Manager używa tej grupy do udzielania dostępu do wyświetlania plików zebranych przez Spis oprogramowania.Configuration Manager uses this group to grant access to view files collected by software inventory.

Aby uzyskać więcej informacji, zobacz wprowadzenie do spisu oprogramowania.For more information, see Introduction to software inventory.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji głównej.This group is a local security group created on the primary site server.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

CzłonkostwoMembership

Configuration Manager automatycznie zarządza członkostwem w grupie.Configuration Manager automatically manages the group membership. Członkostwo obejmuje użytkowników administracyjnych z uprawnieniem Wyświetl zgromadzone pliki w zabezpieczanym obiekcie Kolekcja za pośrednictwem przypisanej roli zabezpieczeń.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.

UprawnieniaPermissions

Domyślnie ta grupa ma uprawnienia do odczytu w następującym folderze na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileColBy default, this group has Read permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess konfiguracjiConfiguration Manager_DViewAccess

Ta grupa jest lokalną grupą zabezpieczeń, która Configuration Manager tworzona na serwerze bazy danych lokacji lub serwerze repliki bazy danych dla podrzędnej lokacji głównej.This group is a local security group that Configuration Manager creates on the site database server or database replica server for a child primary site. Lokacja tworzy ją w przypadku używania widoków rozproszonych do replikacji bazy danych między lokacjami w hierarchii.The site creates it when you use distributed views for database replication between sites in a hierarchy. Zawiera on serwer lokacji i SQL Server konta komputerów w centralnej lokacji administracyjnej.It contains the site server and SQL Server computer accounts of the central administration site.

Aby uzyskać więcej informacji, zobacz transfery danych między lokacjami.For more information, see Data transfers between sites.

Configuration Manager użytkowników zdalnego sterowaniaConfiguration Manager Remote Control Users

Configuration Manager narzędzia zdalne używają tej grupy do przechowywania kont i grup skonfigurowanych na liście dozwolonych osób przeglądających .Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list. Lokacja przypisuje tę listę do każdego klienta.The site assigns this list to each client.

Aby uzyskać więcej informacji, zobacz wprowadzenie do zdalnego sterowania.For more information, see Introduction to remote control.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na kliencie Configuration Manager, gdy klient odbierze zasadę, która włącza narzędzia zdalne.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Po wyłączeniu narzędzi zdalnych dla klienta ta grupa nie zostanie automatycznie usunięta.After you disable remote tools for a client, this group isn't automatically removed. Ręcznie usuń je po wyłączeniu narzędzi zdalnych.Manually delete it after disabling remote tools.

CzłonkostwoMembership

Domyślnie w tej grupie nie ma żadnych członków.By default, there are no members in this group. Po dodaniu użytkowników do listy dozwolonych osób przeglądających zostaną one automatycznie dodane do tej grupy.When you add users to the Permitted Viewers list, they're automatically added to this group.

Skorzystaj z listy dozwolonych osób przeglądających , aby zarządzać członkostwem w tej grupie zamiast bezpośrednio dodawać użytkowników lub grupy do tej grupy.Use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Oprócz niedozwolonej przeglądarki użytkownik administracyjny musi mieć uprawnienie zdalne sterowanie do obiektu Kolekcja .In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Przypisz to uprawnienie przy użyciu roli zabezpieczeń operator narzędzi zdalnych .Assign this permission by using the Remote Tools Operator security role.

UprawnieniaPermissions

Domyślnie ta grupa nie ma uprawnień do żadnych lokalizacji na komputerze.By default, this group doesn't have permissions to any locations on the computer. Jest on używany tylko do przechowywania listy dozwolonych osób przeglądających .It's used only to hold the Permitted Viewers list.

Administratorzy programu SMSSMS Admins

Configuration Manager używa tej grupy do udzielania dostępu do dostawcy programu SMS za pośrednictwem usługi WMI.Configuration Manager uses this group to grant access to the SMS Provider through WMI. Do wyświetlania i modyfikowania obiektów w konsoli Configuration Manager jest wymagany dostęp do dostawcy programu SMS.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Uwaga

Konfiguracja administracji opartej na rolach określa, które obiekty Użytkownicy administracyjni mogą wyświetlać i zarządzać nimi podczas korzystania z konsoli Configuration Manager.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

Aby uzyskać więcej informacji, zobacz Planowanie dla dostawcy programu SMS.For more information, see Plan for the SMS Provider.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze, na którym jest zainstalowany dostawca programu SMS.This group is a local security group created on each computer that has an SMS Provider.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

CzłonkostwoMembership

Configuration Manager automatycznie zarządza członkostwem w grupie.Configuration Manager automatically manages the group membership. Domyślnie każdy użytkownik administracyjny w hierarchii oraz konto komputera serwera lokacji są członkami grupy Administratorzy SMS na każdym komputerze dostawcy programu SMS w lokacji.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

UprawnieniaPermissions

Uprawnienia i uprawnienia dla grupy Administratorzy SMS można wyświetlić w przystawce MMC Sterowanie usługą WMI .You can view the rights and permissions for the SMS Admins group in the WMI Control MMC snap-in. Domyślnie ta grupa ma przyznane uprawnienia Włączanie konta i Włączanie zdalne w Root\SMS przestrzeni nazw usługi WMI.By default, this group is granted Enable Account and Remote Enable on the Root\SMS WMI namespace. Uwierzytelnieni użytkownicy mają wykonywanie metod, Zapis dostawcyi Włączanie konta.Authenticated users have Execute Methods, Provider Write, and Enable Account.

W przypadku korzystania z konsoli Configuration Manager zdalnej Skonfiguruj uprawnienia do zdalnej aktywacji modelu DCOM na komputerze serwera lokacji i dostawcy programu SMS.When you use a remote Configuration Manager console, configure Remote Activation DCOM permissions on both the site server computer and the SMS Provider. Przyznaj te prawa grupie Administratorzy programu SMS .Grant these rights to the SMS Admins group. Ta akcja upraszcza administrację zamiast przyznawania tych praw bezpośrednio użytkownikom lub grupom.This action simplifies administration instead of granting these rights directly to users or groups. Aby uzyskać więcej informacji, zobacz Konfigurowanie uprawnień modelu DCOM dla zdalnych konsol Configuration Manager.For more information, see Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_ < sitecode>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Punkty zarządzania, które są zdalnie z serwera lokacji, używają tej grupy do łączenia się z bazą danych lokacji.Management points that are remote from the site server use this group to connect to the site database. Ta grupa umożliwia punktowi zarządzania dostęp do folderów skrzynki odbiorczej na serwerze lokacji i w bazie danych lokacji.This group provides a management point access to the inbox folders on the site server and the site database.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na każdym komputerze, na którym jest zainstalowany dostawca programu SMS.This group is a local security group created on each computer that has an SMS Provider.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

CzłonkostwoMembership

Configuration Manager automatycznie zarządza członkostwem w grupie.Configuration Manager automatically manages the group membership. Domyślnie członkostwo obejmuje konta komputerów zdalnych, na których znajduje się punkt zarządzania dla danej lokacji.By default, membership includes the computer accounts of remote computers that have a management point for the site.

UprawnieniaPermissions

Domyślnie ta grupa ma uprawnienia do odczytu, odczytu & wykonaniai wyświetlania zawartości folderu w następującym folderze na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Ta grupa ma dodatkowe uprawnienia zapisu do podfolderów poniżej skrzynek odbiorczych, do których punkt zarządzania zapisuje dane klienta.This group has the additional permission of Write to subfolders below inboxes, to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_ < sitecode>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Komputery dostawcy zdalnego programu SMS używają tej grupy do łączenia się z serwerem lokacji.Remote SMS Provider computers use this group to connect to the site server.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.This group is a local security group created on the site server.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

CzłonkostwoMembership

Configuration Manager automatycznie zarządza członkostwem w grupie.Configuration Manager automatically manages the group membership. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny.By default, membership includes the computer account or a domain user account. Używa tego konta do nawiązywania połączenia z serwerem lokacji z każdego zdalnego dostawcy programu SMS.It uses this account to connect to the site server from each remote SMS Provider.

UprawnieniaPermissions

Domyślnie ta grupa ma uprawnienia do odczytu, odczytu & wykonaniai wyświetlania zawartości folderu w następującym folderze na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Ta grupa ma dodatkowe uprawnienia do zapisu i modyfikacji w podfolderach poniżej skrzynek odbiorczych.This group has the additional permissions of Write and Modify to subfolders below the inboxes. Dostawca programu SMS wymaga dostępu do tych folderów.The SMS Provider requires access to these folders.

Ta grupa ma również uprawnienia do odczytu podfolderów na serwerze lokacji C:\Program Files\Microsoft Configuration Manager\OSD\Bin .This group also has Read permission to the subfolders on the site server below C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Ma także następujące uprawnienia do podfolderów poniżej C:\Program Files\Microsoft Configuration Manager\OSD\boot :It also has the following permissions to the subfolders below C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • OdczytRead
  • Odczytaj & wykonajRead & execute
  • Wyświetlanie zawartości folderuList folder contents
  • PrawemWrite
  • ModifyModify

SMS_SiteSystemToSiteServerConnection_Stat_ < sitecode>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

Składnik menedżera wysyłania plików na Configuration Manager komputerach zdalnego systemu lokacji programu używa tej grupy do łączenia się z serwerem lokacji.The file dispatch manager component on Configuration Manager remote site system computers uses this group to connect to the site server.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.This group is a local security group created on the site server.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

CzłonkostwoMembership

Configuration Manager automatycznie zarządza członkostwem w grupie.Configuration Manager automatically manages the group membership. Domyślnie członkostwo obejmuje konto komputera lub konto użytkownika domeny.By default, membership includes the computer account or the domain user account. Używa tego konta do łączenia się z serwerem lokacji z każdego zdalnego systemu lokacji z uruchomionym menedżerem wysyłania plików.It uses this account to connect to the site server from each remote site system that runs the file dispatch manager.

UprawnieniaPermissions

Domyślnie ta grupa ma uprawnienia do odczytu, odczytu & wykonaniai wyświetlania zawartości folderu w następującym folderze i jego podfolderach na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder and its subfolders on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes.

Ta grupa ma dodatkowe uprawnienia do zapisu i modyfikowania w następującym folderze na serwerze lokacji: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box .This group has the additional permissions of Write and Modify to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

SMS_SiteToSiteConnection_ < sitecode>SMS_SiteToSiteConnection_<sitecode>

Configuration Manager korzysta z tej grupy, aby umożliwić replikację opartą na plikach między lokacjami w hierarchii.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. Dla każdej lokacji zdalnej, która bezpośrednio przesyła pliki do tej lokacji, ta grupa ma konta skonfigurowane jako konto replikacji plików.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

Typ i lokalizacjaType and location

Ta grupa jest lokalną grupą zabezpieczeń utworzoną na serwerze lokacji.This group is a local security group created on the site server.

CzłonkostwoMembership

W przypadku instalowania nowej lokacji jako elementu podrzędnego w innej lokacji Configuration Manager automatycznie dodaje konto komputera nowego serwera lokacji do tej grupy na serwerze lokacji nadrzędnej.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site server to this group on the parent site server. Configuration Manager również dodaje konto komputera lokacji nadrzędnej do grupy na nowym serwerze lokacji.Configuration Manager also adds the parent site's computer account to the group on the new site server. W przypadku określenia innego konta do transferów opartych na plikach należy dodać to konto do tej grupy na docelowym serwerze lokacji.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Po odinstalowaniu lokacji ta grupa nie zostanie automatycznie usunięta.When you uninstall a site, this group isn't automatically removed. Ręcznie usuń ją po odinstalowaniu lokacji.Manually delete it after uninstalling a site.

UprawnieniaPermissions

Domyślnie ta grupa ma pełną kontrolę w następującym folderze: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive .By default, this group has Full control to the following folder: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konta używane przez Configuration ManagerAccounts that Configuration Manager uses

Poniższe konta można skonfigurować dla Configuration Manager.You can set up the following accounts for Configuration Manager.

Porada

Nie należy używać znaku procentu ( % ) w haśle dla kont określonych w konsoli Configuration Manager.Don't use the percentage character (%) in the password for accounts that you specify in the Configuration Manager console. Uwierzytelnianie konta nie powiedzie się.The account will fail to authenticate.

Konto odnajdywania grup Active DirectoryActive Directory group discovery account

Lokacja programu korzysta z konta odnajdywania grup Active Directory w celu odnalezienia następujących obiektów z lokalizacji w Active Directory Domain Services, które określisz:The site uses the Active Directory group discovery account to discover the following objects from the locations in Active Directory Domain Services that you specify:

  • Lokalne, globalne i uniwersalne grupy zabezpieczeńLocal, global, and universal security groups
  • Członkostwo w tych grupachThe membership within these groups
  • Członkostwo w grupach dystrybucyjnychThe membership within distribution groups
    • Grupy dystrybucyjne nie są odnajdywane jako zasoby grupyDistribution groups aren't discovered as group resources

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Musi mieć uprawnienie dostępu Odczyt do lokalizacji Active Directory określonych do odnajdowania.It must have Read access permission to the Active Directory locations that you specify for discovery.

Aby uzyskać więcej informacji, zobacz odnajdywanie grup Active Directory.For more information, see Active Directory group discovery.

Konto odnajdywania systemu Active DirectoryActive Directory system discovery account

Lokacja programu używa konta odnajdywania systemu Active Directory w celu odnajdywania komputerów z lokalizacji w Active Directory Domain Services, które określisz.The site uses the Active Directory system discovery account to discover computers from the locations in Active Directory Domain Services that you specify.

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Musi mieć uprawnienie dostępu Odczyt do lokalizacji Active Directory określonych do odnajdowania.It must have Read access permission to the Active Directory locations that you specify for discovery.

Aby uzyskać więcej informacji, zobacz Active Directory odnajdywania systemu.For more information, see Active Directory system discovery.

Konto odnajdywania użytkowników Active DirectoryActive Directory user discovery account

Lokacja programu używa konta odnajdywania użytkowników Active Directory do odnajdywania kont użytkowników z lokalizacji w Active Directory Domain Services, które określisz.The site uses the Active Directory user discovery account to discover user accounts from the locations in Active Directory Domain Services that you specify.

To konto może być kontem komputera serwera lokacji, który przeprowadza odnajdywanie, lub kontem użytkownika systemu Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Musi mieć uprawnienie dostępu Odczyt do lokalizacji Active Directory określonych do odnajdowania.It must have Read access permission to the Active Directory locations that you specify for discovery.

Aby uzyskać więcej informacji, zobacz Active Directory odnajdywania użytkowników.For more information, see Active Directory user discovery.

Konto lasu Active DirectoryActive Directory forest account

Lokacja programu używa konta lasu Active Directory w celu odnalezienia infrastruktury sieciowej z Active Directory lasów.The site uses the Active Directory forest account to discover network infrastructure from Active Directory forests. Centralne Lokacje administracyjne i lokacje główne używają również do publikowania danych lokacji w celu Active Directory Domain Services dla lasu.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Uwaga

Lokacje dodatkowe zawsze publikują dane w usłudze Active Directory przy użyciu konta komputera serwera lokacji dodatkowej.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Aby odnajdywać i publikować w lasach niezaufanych, konto lasu Active Directory musi być kontem globalnym.To discover and publish to untrusted forests, the Active Directory forest account must be a global account. Jeśli nie używasz konta komputera serwera lokacji, możesz wybrać tylko konto globalne.If you don't use the computer account of the site server, you can select only a global account.

To konto musi mieć uprawnienia do odczytu w każdym lesie usługi Active Directory, w którym ma zostać przeprowadzone odnajdywanie infrastruktury sieci.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

To konto musi mieć uprawnienia pełna kontrola do kontenera zarządzania systemem oraz wszystkie jego obiekty podrzędne w każdym lesie Active Directory, w którym mają być publikowane dane lokacji.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data. Aby uzyskać więcej informacji, zobacz przygotowanie Active Directory do publikowania witryn.For more information, see Prepare Active Directory for site publishing.

Aby uzyskać więcej informacji, zobacz Active Directory odnajdywania lasu.For more information, see Active Directory forest discovery.

Konto punktu rejestracji certyfikatuCertificate registration point account

Punkt rejestracji certyfikatu używa konta punktu rejestracji certyfikatu w celu nawiązania połączenia z bazą danych Configuration Manager.The certificate registration point uses the Certificate registration point account to connect to the Configuration Manager database. Domyślnie używa konta komputera, ale zamiast tego można skonfigurować konto użytkownika.It uses its computer account by default, but you can configure a user account instead. Gdy punkt rejestracji certyfikatu znajduje się w niezaufanej domenie na serwerze lokacji, należy określić konto użytkownika.When the certificate registration point is in an untrusted domain from the site server, you must specify a user account. To konto wymaga dostępu do odczytu bazy danych lokacji, ponieważ system komunikatów o stanie obsługuje zadania zapisu.This account requires only Read access to the site database, because the state message system handles write tasks.

Aby uzyskać więcej informacji, zobacz wprowadzenie do profilów certyfikatów.For more information, see Introduction to certificate profiles.

Konto przechwytywania obrazu systemu operacyjnegoCapture OS image account

Podczas przechwytywania obrazu systemu operacyjnego Configuration Manager używa konta przechwytywania obrazu systemu operacyjnego w celu uzyskania dostępu do folderu, w którym są przechowywane przechwycone obrazy.When you capture an OS image, Configuration Manager uses the Capture OS image account to access the folder where you store captured images. Po dodaniu kroku Przechwyć obraz systemu operacyjnego do sekwencji zadań to konto jest wymagane.If you add the Capture OS Image step to a task sequence, this account is required.

Konto musi mieć uprawnienia do odczytu i zapisu w udziale sieciowym, w którym są przechowywane przechwycone obrazy.The account must have Read and Write permissions on the network share where you store captured images.

Jeśli zmienisz hasło dla konta w systemie Windows, zaktualizuj sekwencję zadań przy użyciu nowego hasła.If you change the password for the account in Windows, update the task sequence with the new password. Klient Configuration Manager otrzymuje nowe hasło podczas następnego pobierania zasad klienta.The Configuration Manager client receives the new password when it next downloads the client policy.

Jeśli konieczne jest użycie tego konta, należy utworzyć jedno konto użytkownika domeny.If you need to use this account, create one domain user account. Przyznaj mu minimalne uprawnienia dostępu do wymaganych zasobów sieciowych i użyj go dla wszystkich sekwencji zadań przechwytywania.Grant it minimal permissions to access the required network resources, and use it for all capture task sequences.

Ważne

Nie przypisuj interaktywnych uprawnień logowania do tego konta.Don't assign interactive sign-in permissions to this account.

Nie używaj konta dostępu do sieci dla tego konta.Don't use the network access account for this account.

Aby uzyskać więcej informacji, zobacz Tworzenie sekwencji zadań w celu przechwycenia systemu operacyjnego.For more information, see Create a task sequence to capture an OS.

Konto instalacji wypychanej klientaClient push installation account

W przypadku wdrażania klientów przy użyciu metody instalacji wypychanej klienta lokacja programu używa konta instalacji klienta w trybie push do nawiązywania połączenia z komputerami i instalowania oprogramowania klienckiego Configuration Manager.When you deploy clients by using the client push installation method, the site uses the Client push installation account to connect to computers and install the Configuration Manager client software. Jeśli to konto nie zostanie określone, serwer lokacji podejmie próbę użycia konta komputera.If you don't specify this account, the site server tries to use its computer account.

To konto musi być członkiem lokalnej grupy administratorów na docelowych komputerach klienckich.This account must be a member of the local Administrators group on the target client computers. To konto nie wymaga uprawnień administratora domeny .This account doesn't require Domain Admin rights.

Można określić więcej niż jedno konto instalacji wypychanej klienta.You can specify more than one client push installation account. Configuration Manager podejmuje próby każdego z nich do momentu pomyślnego przeprowadzenia jednego z nich.Configuration Manager tries each one in turn until one succeeds.

Porada

Jeśli masz duże Active Directory środowisko i musisz zmienić to konto, użyj następującego procesu, aby bardziej efektywnie koordynować tę aktualizację konta:If you have a large Active Directory environment and need to change this account, use the following process to more effectively coordinate this account update:

  1. Utwórz nowe konto o innej nazwieCreate a new account with a different name
  2. Dodaj nowe konto do listy kont instalacji klienta w trybie push w Configuration ManagerAdd the new account to the list of client push installation accounts in Configuration Manager
  3. Poczekaj, aż Active Directory Domain Services, aby replikować nowe kontoAllow sufficient time for Active Directory Domain Services to replicate the new account
  4. Następnie usuń stare konto z Configuration Manager i Active Directory Domain ServicesThen remove the old account from Configuration Manager and Active Directory Domain Services

Ważne

Użyj domeny lub lokalnych zasad grupy, aby przypisać prawo użytkownika systemu Windows do odmowy logowania lokalnego.Use domain or local group policy to assign the Windows user right to Deny log on locally. Jako członek grupy Administratorzy to konto będzie miało prawo do lokalnego logowania, co nie jest konieczne.As a member of the Administrators group, this account will have the right to sign in locally, which isn't needed. Aby zapewnić lepsze zabezpieczenia, jawnie Odrzuć prawo dla tego konta.For better security, explicitly deny the right for this account. Prawo Odmów zastępuje prawo Zezwalaj.The deny right supersedes the allow right.

Aby uzyskać więcej informacji, zobacz Instalacja klienta w trybie push.For more information, see Client push installation.

Konto połączenia punktu rejestracyjnegoEnrollment point connection account

Punkt rejestracyjny używa konta połączenia punktu rejestracyjnego w celu nawiązania połączenia z bazą danych lokacji Configuration Manager.The enrollment point uses the Enrollment point connection account to connect to the Configuration Manager site database. Domyślnie używa konta komputera, ale zamiast tego można skonfigurować konto użytkownika.It uses its computer account by default, but you can configure a user account instead. Gdy punkt rejestracyjny znajduje się w niezaufanej domenie na serwerze lokacji, należy określić konto użytkownika.When the enrollment point is in an untrusted domain from the site server, you must specify a user account. To konto wymaga dostępu do odczytu i zapisu do bazy danych lokacji.This account requires Read and Write access to the site database.

Aby uzyskać więcej informacji, zobacz Instalowanie ról systemu lokacji dla lokalnego zarządzania urządzeniami przenośnymi.For more information, see Install site system roles for on-premises MDM.

Konto połączenia z serwerem Exchange ServerExchange Server connection account

Serwer lokacji używa konta połączenia z serwerem Exchange Server w celu nawiązania połączenia z określonym serwerem Exchange Server.The site server uses the Exchange Server connection account to connect to the specified Exchange Server. Używa tego połączenia do znajdowania urządzeń przenośnych łączących się z programem Exchange Server i zarządzania nimi.It uses this connection to find and manage mobile devices that connect to Exchange Server. To konto wymaga poleceń cmdlet środowiska PowerShell w ramach serwera Exchange, które zapewniają wymagane uprawnienia na komputerze serwera Exchange.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Aby uzyskać więcej informacji o poleceniach cmdlet, zobacz Instalowanie i Konfigurowanie programu Exchange Connector.For more information about the cmdlets, see Install and configure the Exchange connector.

Konto połączenia punktu zarządzaniaManagement point connection account

Punkt zarządzania używa konta połączenia punktu zarządzania do łączenia się z bazą danych lokacji Configuration Manager.The management point uses the Management point connection account to connect to the Configuration Manager site database. Używa tego połączenia do wysyłania i pobierania informacji dla klientów.It uses this connection to send and retrieve information for clients. Punkt zarządzania domyślnie używa swojego konta komputera, ale zamiast tego można skonfigurować konto użytkownika.The management point uses its computer account by default, but you can configure a user account instead. Gdy punkt zarządzania znajduje się w niezaufanej domenie na serwerze lokacji, należy określić konto użytkownika.When the management point is in an untrusted domain from the site server, you must specify a user account.

Utwórz konto w trybie lokalnym na komputerze, na którym działa Microsoft SQL Server.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Ważne

Nie udzielaj interakcyjnych praw logowania do tego konta.Don't grant interactive sign-in rights to this account.

Konto połączenia multiemisjiMulticast connection account

Punkty dystrybucji z obsługą multiemisji używają konta połączenia multiemisji do odczytywania informacji z bazy danych lokacji.Multicast-enabled distribution points use the Multicast connection account to read information from the site database. Serwer domyślnie używa konta komputera, ale zamiast tego można skonfigurować konto użytkownika.The server uses its computer account by default, but you can configure a user account instead. Gdy baza danych lokacji znajduje się w niezaufanym lesie, należy określić konto użytkownika.When the site database is in an untrusted forest, you must specify a user account. Jeśli na przykład centrum danych ma sieć obwodową w lesie innym niż serwer lokacji i baza danych lokacji, użyj tego konta, aby odczytać informacje o multiemisji z bazy danych lokacji.For example, if your data center has a perimeter network in a forest other than the site server and site database, use this account to read the multicast information from the site database.

Jeśli potrzebujesz tego konta, utwórz je jako konto lokalne o niskich uprawnieniach na komputerze z uruchomionym Microsoft SQL Server.If you need this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Ważne

Nie udzielaj interakcyjnych praw logowania do tego konta.Don't grant interactive sign-in rights to this account.

Aby uzyskać więcej informacji, zobacz Korzystanie z multiemisji w celu wdrażania systemu Windows za pośrednictwem sieci.For more information, see Use multicast to deploy Windows over the network.

Konto dostępu do sieciNetwork access account

Komputery klienckie używają konta dostępu do sieci , gdy nie mogą użyć lokalnego konta komputera w celu uzyskania dostępu do zawartości w punktach dystrybucji.Client computers use the network access account when they can't use their local computer account to access content on distribution points. Dotyczy to głównie klientów i komputerów grupy roboczej z niezaufanych domen.It mostly applies to workgroup clients and computers from untrusted domains. To konto jest również używane podczas wdrażania systemu operacyjnego, gdy komputer instalujący system operacyjny nie ma jeszcze konta komputera w domenie.This account is also used during OS deployment, when the computer that's installing the OS doesn't yet have a computer account on the domain.

Ważne

Konto dostępu do sieci nigdy nie jest używane jako kontekst zabezpieczeń do uruchamiania programów, instalowania aktualizacji oprogramowania lub uruchamiania sekwencji zadań.The network access account is never used as the security context to run programs, install software updates, or run task sequences. Jest on używany tylko do uzyskiwania dostępu do zasobów w sieci.It's used only for accessing resources on the network.

Klient Configuration Manager najpierw próbuje pobrać zawartość przy użyciu konta komputera.A Configuration Manager client first tries to use its computer account to download the content. Jeśli to się nie powiedzie, automatycznie spróbuje ponownie użyć konta dostępu do sieci.If it fails, it then automatically tries the network access account.

W przypadku skonfigurowania lokacji dla protokołu HTTPS lub ulepszonego protokołu HTTP, Grupa robocza lub klient przyłączony do usługi Azure AD mogą bezpiecznie uzyskiwać dostęp do zawartości z punktów dystrybucji bez potrzeby używania konta dostępu do sieci.If you configure the site for HTTPS or Enhanced HTTP, a workgroup or Azure AD-joined client can securely access content from distribution points without the need for a network access account. To zachowanie obejmuje scenariusze wdrażania systemu operacyjnego z sekwencją zadań uruchomioną z nośnika rozruchowego, środowiska PXE lub centrum oprogramowania.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Aby uzyskać więcej informacji, zobacz komunikacja między klientem a punktem zarządzania.For more information, see Client to management point communication.

Uwaga

W przypadku włączenia rozszerzonego protokołu HTTP , aby nie wymagał konta dostępu do sieci, w punkcie dystrybucji musi być uruchomiony system Windows Server 2012 lub nowszy.If you enable Enhanced HTTP to not require the network access account, the distribution point needs to be running Windows Server 2012 or later.

Uaktualnij klientów do wersji 1806 przed włączeniem tej funkcji.Upgrade clients to at least version 1806 before enabling this functionality. Jeśli zezwalasz na rozszerzone połączenia http , nie można uwierzytelnić starszych klientów przy użyciu tej metody, dlatego nie można pobrać pakietu uaktualnienia klienta z punktu dystrybucji.If you only allow Enhanced HTTP connections, older clients can't authenticate using this method, so can't download the client upgrade package from a distribution point.

UprawnieniaPermissions

Przyznaj temu kontu najniższe odpowiednie uprawnienia w zawartości wymaganej przez klienta w celu uzyskania dostępu do oprogramowania.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. Konto musi mieć uprawnienie Uzyskiwanie dostępu do tego komputera z sieci w punkcie dystrybucji.The account must have the Access this computer from the network right on the distribution point. Można skonfigurować maksymalnie 10 kont dostępu do sieci na lokację.You can configure up to 10 network access accounts per site.

Utwórz konto w dowolnej domenie, która zapewnia wymagany dostęp do zasobów.Create the account in any domain that provides the necessary access to resources. Konto dostępu do sieci zawsze musi zawierać nazwę domeny.The network access account must always include a domain name. Zabezpieczenia przekazywania nie są obsługiwane dla tego konta.Pass-through security isn't supported for this account. Jeżeli punkty dystrybucji znajdują się w wielu domenach, należy utworzyć konto w zaufanej domenie.If you have distribution points in multiple domains, create the account in a trusted domain.

Porada

Aby uniknąć blokad konta, nie zmieniaj hasła na istniejącym koncie dostępu do sieci.To avoid account lockouts, don't change the password on an existing network access account. Zamiast tego należy utworzyć nowe konto i skonfigurować nowe konto w Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager. Po upłynięciu wystarczającego czasu na pobranie szczegółów nowego konta przez wszystkich klientów należy usunąć stare konto z udostępnianych folderów sieciowych, a następnie usunąć konto całkowicie.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Ważne

Nie udzielaj interakcyjnych praw logowania do tego konta.Don't grant interactive sign-in rights to this account.

Nie należy przyznawać temu kontu uprawnienia do przyłączania komputerów do domeny.Don't grant this account the right to join computers to the domain. W przypadku dołączania komputerów do domeny podczas sekwencji zadań należy użyć konta przyłączenia do domeny sekwencji zadań.If you must join computers to the domain during a task sequence, use the Task sequence domain join account.

Konfigurowanie konta dostępu do sieciConfigure the network access account

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz węzeł Lokacje .In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Następnie wybierz lokację.Then select the site.

  2. W grupie Ustawienia wstążki wybierz pozycję Konfiguruj składniki lokacji, a następnie wybierz pozycję Dystrybucja oprogramowania.On the Settings group of the ribbon, select Configure Site Components, and choose Software Distribution.

  3. Wybierz kartę konto dostępu do sieci . Skonfiguruj co najmniej jedno konto, a następnie wybierz przycisk OK.Choose the Network access account tab. Set up one or more accounts, and then choose OK.

Konto dostępu do pakietuPackage access account

Konto dostępu do pakietu umożliwia ustawienie uprawnień systemu plików NTFS w celu określenia użytkowników i grup użytkowników, którzy mają dostęp do zawartości pakietu w punktach dystrybucji.A Package access account lets you set NTFS permissions to specify the users and user groups that can access package content on distribution points. Domyślnie Configuration Manager udziela dostępu tylko do użytkowników i administratorówogólnych kont dostępu.By default, Configuration Manager grants access only to the generic access accounts User and Administrator. Można kontrolować dostęp dla komputerów klienckich przy użyciu dodatkowych kont lub grup systemu Windows.You can control access for client computers by using additional Windows accounts or groups. Urządzenia przenośne zawsze pobierają zawartość pakietu anonimowo, aby nie korzystały z konta dostępu do pakietu.Mobile devices always retrieve package content anonymously, so they don't use a package access account.

Domyślnie, gdy Configuration Manager kopiuje pliki zawartości do punktu dystrybucji, udziela dostępu do odczytu lokalnej grupie Użytkownicy i pełna kontrola do lokalnej grupy administratorów .By default, when Configuration Manager copies the content files to a distribution point, it grants Read access to the local Users group, and Full Control to the local Administrators group. Rzeczywiste wymagane uprawnienia są zależne od pakietu.The actual permissions required depend on the package. Jeśli masz klientów w grupach roboczych lub w lasach niezaufanych, Ci klienci używają konta dostępu do sieci w celu uzyskania dostępu do zawartości pakietu.If you have clients in workgroups or in untrusted forests, those clients use the network access account to access the package content. Upewnij się, że konto dostępu do sieci ma uprawnienia do pakietu przy użyciu zdefiniowanych kont dostępu do pakietu.Make sure that the network access account has permissions to the package by using the defined package access accounts.

Należy użyć kont w domenie mającej dostęp do punktów dystrybucji.Use accounts in a domain that can access the distribution points. W przypadku utworzenia lub zmodyfikowania konta po utworzeniu pakietu należy ponownie rozesłać pakiet.If you create or modify the account after you create the package, you must redistribute the package. Aktualizacja pakietu nie zmienia uprawnień systemu plików NTFS w pakiecie.Updating the package doesn't change the NTFS permissions on the package.

Nie musisz dodawać konta dostępu do sieci jako konta dostępu do pakietu, ponieważ członkostwo w grupie Użytkownicy dodaje ją automatycznie.You don't have to add the network access account as a package access account, because membership of the Users group adds it automatically. Ograniczenie konta dostępu do pakietu wyłącznie do konta dostępu do sieci nie uniemożliwi klientom uzyskania dostępu do pakietu.Restricting the package access account to only the network access account doesn't prevent clients from accessing the package.

Zarządzanie kontami dostępu do pakietówManage package access accounts

  1. W konsoli Configuration Manager wybierz pozycję Biblioteka oprogramowania.In the Configuration Manager console, choose Software Library.

  2. W obszarze roboczym Biblioteka oprogramowania Określ typ zawartości, dla której chcesz zarządzać kontami dostępu, a następnie wykonaj podane kroki:In the Software Library workspace, determine the type of content for which you want to manage access accounts, and follow the steps provided:

    • Aplikacja: rozwiń węzeł Zarządzanie aplikacjami, wybierz pozycję aplikacje, a następnie wybierz aplikację, dla której chcesz zarządzać kontami dostępu.Application: Expand Application Management, choose Applications, and then select the application for which to manage access accounts.

    • Pakiet: rozwiń węzeł Zarządzanie aplikacjami, wybierz pozycję pakiety, a następnie wybierz pakiet, dla którego chcesz zarządzać kontami dostępu.Package: Expand Application Management, choose Packages, and then select the package for which to manage access accounts.

    • Pakiet wdrożeniowy aktualizacji oprogramowania: rozwiń węzeł aktualizacje oprogramowania, wybierz pozycję Pakiety wdrożeniowe, a następnie wybierz pakiet wdrożeniowy, dla którego chcesz zarządzać kontami dostępu.Software update deployment package: Expand Software Updates, choose Deployment Packages, and then select the deployment package for which to manage access accounts.

    • Pakiet sterowników: rozwiń węzeł systemy operacyjne, wybierz pozycję pakiety sterowników, a następnie wybierz pakiet sterowników, dla którego chcesz zarządzać kontami dostępu.Driver package: Expand Operating Systems, choose Driver Packages, and then select the driver package for which to manage access accounts.

    • Obraz systemu operacyjnego: rozwiń węzeł systemy operacyjne, wybierz pozycję obrazy systemu operacyjnego, a następnie wybierz obraz systemu operacyjnego, dla którego chcesz zarządzać kontami dostępu.OS image: Expand Operating Systems, choose Operating System Images, and then select the operating system image for which to manage access accounts.

    • Pakiet uaktualnienia systemu operacyjnego: rozwiń węzeł systemy operacyjne, wybierz pozycję Pakiety uaktualnień systemu operacyjnego, a następnie wybierz pakiet uaktualnienia systemu operacyjnego, dla którego chcesz zarządzać kontami dostępu.OS upgrade package: Expand Operating Systems, choose Operating system upgrade packages, and then select the OS upgrade package for which to manage access accounts.

    • Obraz rozruchowy: rozwiń węzeł systemy operacyjne, wybierz pozycję obrazy rozruchowe, a następnie wybierz obraz rozruchowy, dla którego chcesz zarządzać kontami dostępu.Boot image: Expand Operating Systems, choose Boot Images, and then select the boot image for which to manage access accounts.

  3. Kliknij prawym przyciskiem myszy wybrany obiekt, a następnie wybierz pozycję Zarządzaj kontami dostępu.Right-click the selected object, and then choose Manage Access Accounts.

  4. W oknie dialogowym Dodawanie konta Określ typ konta, do którego zostanie udzielony dostęp do zawartości, a następnie określ prawa dostępu skojarzone z tym kontem.In the Add Account dialog box, specify the account type that will be granted access to the content, and then specify the access rights associated with the account.

    Uwaga

    Po dodaniu nazwy użytkownika dla konta, Configuration Manager znajduje zarówno konto użytkownika lokalnego, jak i konto użytkownika domeny o tej nazwie, Configuration Manager ustawia prawa dostępu dla konta użytkownika domeny.When you add a user name for the account, and Configuration Manager finds both a local user account and a domain user account with that name, Configuration Manager sets access rights for the domain user account.

Konto punktu usług raportowaniaReporting services point account

SQL Server Reporting Services używa konta punktu usług raportowania w celu pobrania danych dla Configuration Manager raportów z bazy danych lokacji.SQL Server Reporting Services uses the Reporting services point account to retrieve the data for Configuration Manager reports from the site database. Określone konto użytkownika systemu Windows i hasło są szyfrowane oraz przechowywane w bazie danych usług SQL Server Reporting Services.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Uwaga

Określone konto musi mieć uprawnienia Logowanie lokalne na komputerze hostującym bazę danych SQL Server Reporting Services.The account you specify must have Log on locally permissions on the computer hosting the SQL Server Reporting Services database.

Uwaga

Konto jest automatycznie udzielane przez dodanie do roli bazy danych smsschm_users SQL Server w bazie danych Configuration Manager.The account is automatically granted all necessary rights by being added to the smsschm_users SQL Server Database Role on the Configuration Manager database.

Aby uzyskać więcej informacji, zobacz wprowadzenie do raportowania.For more information, see Introduction to reporting.

Konta dozwolonych podglądów narzędzi zdalnychRemote tools permitted viewer accounts

Konta określone jako Dopuszczone podglądy w ramach zdalnego sterowania stanowią listę użytkowników mogących korzystać z funkcji narzędzi zdalnych na klientach.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Aby uzyskać więcej informacji, zobacz wprowadzenie do zdalnego sterowania.For more information, see Introduction to remote control.

Konto instalacji lokacjiSite installation account

Użyj konta użytkownika domeny, aby zalogować się na serwerze, na którym uruchomiono Configuration Manager Instalatora, i zainstaluj nową lokację.Use a domain user account to sign in to the server where you run Configuration Manager setup and install a new site.

To konto wymaga następujących praw:This account requires the following rights:

  • Administrator na następujących serwerach:Administrator on the following servers:

    • Serwer lokacjiThe site server
    • Każdy serwer, który hostuje bazę danych lokacjiEach server that hosts the site database
    • Każde wystąpienie dostawcy programu SMS dla lokacjiEach instance of the SMS Provider for the site
  • Administrator systemu w wystąpieniu SQL Server, który hostuje bazę danych lokacjiSysadmin on the instance of SQL Server that hosts the site database

Configuration Manager Instalator automatycznie dodaje to konto do grupy administratorów programu SMS .Configuration Manager setup automatically adds this account to the SMS Admins group.

Po zakończeniu instalacji to konto jest jedynym użytkownikiem mającym uprawnienia do konsoli Configuration Manager.After installation, this account is the only user with rights to the Configuration Manager console. Jeśli musisz usunąć to konto, pamiętaj, aby najpierw dodać jego prawa do innego użytkownika.If you need to remove this account, make sure to add its rights to another user first.

W przypadku rozszerzania lokacji autonomicznej w celu uwzględnienia centralnej lokacji administracyjnej to konto wymaga uprawnień administratora o pełnych uprawnieniach administratora lub infrastruktury w autonomicznej lokacji głównej.When expanding a standalone site to include a central administration site, this account requires either Full Administrator or Infrastructure Administrator role-based administration rights at the standalone primary site.

Konto instalacji systemu lokacjiSite system installation account

Serwer lokacji używa konta instalacji systemu lokacji w celu instalowania, ponownego instalowania, odinstalowywania i konfigurowania systemów lokacji.The site server uses the Site system installation account to install, reinstall, uninstall, and set up site systems. W przypadku skonfigurowania systemu lokacji programu, aby wymagać od serwera lokacji inicjowania połączeń z tym systemem lokacji, program Configuration Manager również używa tego konta do ściągania danych z systemu lokacji po zainstalowaniu systemu lokacji i dowolnych ról.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system after it installs the site system and any roles. Każdy system lokacji może mieć inne konto instalacji, ale można skonfigurować tylko jedno konto instalacji do zarządzania wszystkimi rolami w tym systemie lokacji.Each site system can have a different installation account, but you can set up only one installation account to manage all roles on that site system.

To konto wymaga lokalnych uprawnień administracyjnych w docelowych systemach lokacji.This account requires local administrative permissions on the target site systems. Ponadto to konto musi mieć dostęp do tego komputera z sieci w zasadach zabezpieczeń w docelowych systemach lokacji.Additionally, this account must have Access this computer from the network in the security policy on the target site systems.

Porada

Jeśli masz wiele kontrolerów domeny i te konta są używane między domenami, przed skonfigurowaniem systemu lokacji Sprawdź, czy Active Directory zostały zreplikowane te konta.If you have many domain controllers and these accounts are used across domains, before you set up the site system, check that Active Directory has replicated these accounts.

W przypadku określenia konta lokalnego w każdym zarządzanym systemie lokacji ta konfiguracja jest bezpieczniejsza niż używanie kont domeny.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts. Ogranicza to uszkodzenia, które mogą wykonać osoby atakujące w przypadku naruszenia zabezpieczeń konta.It limits the damage that attackers can do if the account is compromised. Konta domeny można jednak łatwiej zarządzać.However, domain accounts are easier to manage. Należy rozważyć wymianę między bezpieczeństwem a efektywną administracją.Consider the trade-off between security and effective administration.

Konto serwera proxy systemu lokacjiSite system proxy server account

Poniższe role systemu lokacji używają konta serwera proxy systemu lokacji do uzyskiwania dostępu do Internetu za pośrednictwem serwera proxy lub zapory wymagającej dostępu uwierzytelnionego:The following site system roles use the Site system proxy server account to access the internet via a proxy server or firewall that requires authenticated access:

  • Punkt synchronizacji analizy zasobówAsset Intelligence synchronization point
  • Łącznik serwera ExchangeExchange Server connector
  • Punkt połączenia usługiService connection point
  • Punkt aktualizacji oprogramowaniaSoftware update point

Ważne

Określ konto, które ma najniższe możliwe uprawnienia do wymaganego serwera proxy lub zapory.Specify an account that has the least possible permissions for the required proxy server or firewall.

Aby uzyskać więcej informacji, zobacz temat Obsługa serwera proxy.For more information, see Proxy server support.

Konto połączenia serwera SMTPSMTP server connection account

Serwer lokacji używa konta połączenia serwera SMTP do wysyłania alertów e-mail, gdy serwer SMTP wymaga dostępu uwierzytelnionego.The site server uses the SMTP server connection account to send email alerts when the SMTP server requires authenticated access.

Ważne

Określ konto, które ma najniższe możliwe uprawnienia do wysyłania wiadomości e-mail.Specify an account that has the least possible permissions to send emails.

Aby uzyskać więcej informacji, zobacz Korzystanie z alertów i systemu stanu.For more information, see Use alerts and the status system.

Konto połączenia punktu aktualizacji oprogramowaniaSoftware update point connection account

Serwer lokacji używa konta połączenia punktu aktualizacji oprogramowania dla następujących dwóch usług aktualizacji oprogramowania:The site server uses the Software update point connection account for the following two software update services:

  • Windows Server Update Services (WSUS), który konfiguruje ustawienia, takie jak definicje, klasyfikacje i ustawienia nadrzędne produktu.Windows Server Update Services (WSUS), which sets up settings like product definitions, classifications, and upstream settings.

  • Menedżer synchronizacji programu WSUS, który wysyła do nadrzędnego serwera programu WSUS lub usługi Microsoft Update żądania synchronizacji.WSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

Konto instalacji systemu lokacji może instalować składniki w ramach aktualizacji oprogramowania, ale nie może wykonywać funkcji specyficznych dla aktualizacji oprogramowania w punkcie aktualizacji oprogramowania.The site system installation account can install components for software updates, but it can't perform software update-specific functions on the software update point. Jeśli nie można użyć konta komputera serwera lokacji dla tej funkcji, ponieważ punkt aktualizacji oprogramowania znajduje się w niezaufanym lesie, należy określić to konto oprócz konta instalacji systemu lokacji.If you can't use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the site system installation account.

To konto musi być administratorem lokalnym na komputerze, na którym zainstalowano program WSUS.This account must be a local administrator on the computer where you install WSUS. Musi również należeć do lokalnej grupy administratorów programu WSUS .It must also be part of the local WSUS Administrators group.

Aby uzyskać więcej informacji, zobacz Planowanie aktualizacji oprogramowania.For more information, see Plan for software updates.

Konto lokacji źródłowejSource site account

Proces migracji używa konta lokacji źródłowej w celu uzyskania dostępu do dostawcy programu SMS lokacji źródłowej.The migration process uses the Source site account to access the SMS Provider of the source site. To konto wymaga uprawnień dostępu Odczyt w obiektach lokacji źródłowej w celu zbierania danych dotyczących zadań migracji.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Jeśli masz 2007 Configuration Manager punkty dystrybucji lub lokacje dodatkowe z towarzyszącymi punktami dystrybucji, po uaktualnieniu do punktów dystrybucji Configuration Manager (Current Branch) to konto musi mieć również uprawnienia do usuwania klasy lokacja .If you have Configuration Manager 2007 distribution points or secondary sites with colocated distribution points, when you upgrade them to Configuration Manager (current branch) distribution points, this account must also have Delete permissions to the Site class. To uprawnienie ma na celu pomyślne usunięcie punktu dystrybucji z witryny Configuration Manager 2007 podczas uaktualniania.This permission is to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Uwaga

Zarówno konto lokacji źródłowej, jak i konto bazy danych lokacji źródłowej są identyfikowane jako Menedżer migracji w węźle konta obszaru roboczego Administracja w konsoli Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Aby uzyskać więcej informacji, zobacz Migrowanie danych między hierarchiami.For more information, see Migrate data between hierarchies.

Konto bazy danych lokacji źródłowejSource site database account

Proces migracji używa konta bazy danych lokacji źródłowej w celu uzyskania dostępu do bazy danych SQL Server dla lokacji źródłowej.The migration process uses the Source site database account to access the SQL Server database for the source site. Aby zbierać dane z bazy danych SQL Server lokacji źródłowej, konto bazy danych lokacji źródłowej musi mieć uprawnienia do odczytu i wykonywania w bazie danych SQL Server lokacji źródłowej.To gather data from the SQL Server database of the source site, the source site database account must have the Read and Execute permissions to the source site's SQL Server database.

Jeśli używasz konta komputera Configuration Manager (Current Branch), upewnij się, że dla tego konta są spełnione wszystkie następujące warunki:If you use the Configuration Manager (current branch) computer account, make sure that all the following are true for this account:

  • Jest członkiem grupy zabezpieczeń Użytkownicy DCOM w tej samej domenie, w której znajduje się lokacja Configuration Manager 2007It's a member of the Distributed COM Users security group in the same domain as the Configuration Manager 2007 site
  • Jest członkiem grupy zabezpieczeń Administratorzy programu SMSIt's a member of the SMS Admins security group
  • Ma uprawnienie Odczyt do wszystkich obiektów Configuration Manager 2007It has the Read permission to all Configuration Manager 2007 objects

Uwaga

Zarówno konto lokacji źródłowej, jak i konto bazy danych lokacji źródłowej są identyfikowane jako Menedżer migracji w węźle konta obszaru roboczego Administracja w konsoli Configuration Manager.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Aby uzyskać więcej informacji, zobacz Migrowanie danych między hierarchiami.For more information, see Migrate data between hierarchies.

Konto przyłączenia do domeny sekwencji zadańTask sequence domain join account

Instalator systemu Windows używa konta przyłączenia do domeny sekwencji zadań w celu przyłączenia do domeny nowego komputera z obrazem.Windows Setup uses the Task sequence domain join account to join a newly imaged computer to a domain. To konto jest wymagane przez krok sekwencji zadań Przyłącz do domeny lub grupy roboczej z opcją przyłączenia do domeny .This account is required by the Join Domain or Workgroup task sequence step with the Join a domain option. To konto można również skonfigurować za pomocą kroku Zastosuj ustawienia sieci , ale nie jest to wymagane.This account can also be set up with the Apply Network Settings step, but it isn't required.

To konto wymaga uprawnienia do przyłączania do domeny w domenie docelowej.This account requires the Domain Join right in the target domain.

Porada

Utwórz jedno konto użytkownika domeny z minimalnymi uprawnieniami do przyłączenia do domeny i użyj go dla wszystkich sekwencji zadań.Create one domain user account with the minimal permissions to join the domain, and use it for all task sequences.

Ważne

Nie przypisuj interaktywnych uprawnień logowania do tego konta.Don't assign interactive sign-in permissions to this account.

Nie używaj konta dostępu do sieci dla tego konta.Don't use the network access account for this account.

Konto połączenia z folderem sieciowym sekwencji zadańTask sequence network folder connection account

Aparat sekwencji zadań używa konta połączenia z folderem sieciowym sekwencji zadań w celu nawiązania połączenia z folderem udostępnionym w sieci.The task sequence engine uses the Task sequence network folder connection account to connect to a shared folder on the network. To konto jest wymagane przez krok sekwencji zadań Połącz z folderem sieciowym .This account is required by the Connect to Network Folder task sequence step.

To konto wymaga uprawnień dostępu do określonego folderu udostępnionego.This account requires permissions to access the specified shared folder. Musi to być konto użytkownika domeny.It must be a domain user account.

Porada

Utwórz jedno konto użytkownika domeny z minimalnymi uprawnieniami dostępu do wymaganych zasobów sieciowych i użyj go dla wszystkich sekwencji zadań.Create one domain user account with minimal permissions to access the required network resources, and use it for all task sequences.

Ważne

Nie przypisuj interaktywnych uprawnień logowania do tego konta.Don't assign interactive sign-in permissions to this account.

Nie używaj konta dostępu do sieci dla tego konta.Don't use the network access account for this account.

Konto Uruchom jako sekwencji zadańTask sequence run as account

Aparat sekwencji zadań używa konta Uruchom jako sekwencji zadań do uruchamiania wierszy poleceń lub skryptów programu PowerShell z poświadczeniami innymi niż lokalne konto systemowe.The task sequence engine uses the Task sequence run as account to run command lines or PowerShell Scripts with credentials other than the Local System account. To konto jest wymagane przez polecenie Uruchom wiersz polecenia i wykonaj kroki sekwencji zadań skryptu programu PowerShell z opcją Uruchom ten krok, jeśli wybrano następujące konto .This account is required by the Run Command Line and Run PowerShell Script task sequence steps with the option Run this step as the following account chosen.

Skonfiguruj konto tak, aby miało minimalne uprawnienia wymagane do uruchamiania wiersza polecenia określonego w sekwencji zadań.Set up the account to have the minimum permissions required to run the command line that you specify in the task sequence. Konto wymaga interakcyjnych praw logowania.The account requires interactive sign-in rights. Zwykle wymaga możliwości instalacji oprogramowania i uzyskiwania dostępu do zasobów sieciowych.It usually requires the ability to install software and access network resources. Dla zadania uruchom skrypt programu PowerShell to konto wymaga uprawnień administratora lokalnego.For the Run PowerShell Script task, this account requires local administrator permissions.

Ważne

Nie używaj konta dostępu do sieci dla tego konta.Don't use the network access account for this account.

Nigdy nie należy tworzyć konta administratora domeny.Never make the account a domain admin.

Nigdy nie Konfiguruj profilów mobilnych dla tego konta.Never set up roaming profiles for this account. Po uruchomieniu sekwencji zadań pobiera ona profil mobilny dla konta.When the task sequence runs, it downloads the roaming profile for the account. To pozostawia profil narażony na dostęp na komputerze lokalnym.This leaves the profile vulnerable to access on the local computer.

Ogranicz zakres konta.Limit the scope of the account. Utwórz na przykład różne konta Uruchom jako dla każdej sekwencji zadań.For example, create different task sequence run as accounts for each task sequence. Jeśli jedno konto zostanie naruszone, zabezpieczenia zostaną naruszone tylko na komputerach klienckich, do których to konto ma dostęp.Then if one account is compromised, only the client computers to which that account has access are compromised.

Jeśli wiersz polecenia wymaga dostępu administracyjnego na komputerze, należy rozważyć utworzenie konta administratora lokalnego tylko dla tego konta na wszystkich komputerach, na których działa sekwencja zadań.If the command line requires administrative access on the computer, consider creating a local administrator account solely for this account on all computers that run the task sequence. Usuń konto, gdy nie jest już potrzebne.Delete the account once you no longer need it.

Obiekty użytkownika, których Configuration Manager używa w programie SQL ServerUser objects that Configuration Manager uses in SQL Server

Configuration Manager automatycznie tworzy i utrzymuje następujące obiekty użytkownika w programie SQL Server.Configuration Manager automatically creates and maintains the following user objects in SQL. Te obiekty znajdują się w bazie danych Configuration Manager w obszarze zabezpieczenia/użytkownicy.These objects are located within the Configuration Manager database under Security/Users.

Ważne

Modyfikowanie lub usuwanie tych obiektów może powodować problemy drastyczne w środowisku Configuration Manageru.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Zalecamy, aby nie wprowadzać żadnych zmian w tych obiektach.We recommend you do not make any changes to these objects.

smsdbuser_ReadOnlysmsdbuser_ReadOnly

Ten obiekt jest używany do uruchamiania zapytań w kontekście tylko do odczytu.This object is used to run queries under the read-only context. Ten obiekt jest używany z kilkoma procedurami składowanymi.This object is leveraged with several stored procedures.

smsdbuser_ReadWritesmsdbuser_ReadWrite

Ten obiekt jest używany w celu zapewnienia uprawnień do dynamicznych instrukcji SQL.This object is used to provide permissions for dynamic SQL statements.

smsdbuser_ReportSchemasmsdbuser_ReportSchema

Ten obiekt służy do uruchamiania SQL Server wykonywania raportowania.This object is used to run SQL Server Reporting Executions. Następująca procedura składowana jest używana z tą funkcją: spSRExecQuery.The following stored procedure is used with this function: spSRExecQuery.

Role bazy danych używane przez Configuration Manager w programie SQLDatabase roles that Configuration Manager uses in SQL

Configuration Manager automatycznie tworzy i utrzymuje następujące obiekty ról w SQL.Configuration Manager automatically creates and maintains the following role objects in SQL. Te role zapewniają dostęp do określonych procedur przechowywanych, tabel, widoków i funkcji w celu wykonania wymaganych działań każdej roli w celu pobrania danych lub wstawienia danych do i z bazy danych Configuration Manager.These roles provide access to specific stored procedures, tables, views and functions to perform the needed actions of each role to either retrieve data or insert data to and from the Configuration Manager database. Te obiekty znajdują się w bazie danych Configuration Manager w obszarze zabezpieczenia/role/role baz danych.These objects are located within the Configuration Manager database under Security/Roles/Database Roles.

Ważne

Modyfikowanie lub usuwanie tych obiektów może powodować problemy drastyczne w środowisku Configuration Manageru.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Nie zmieniaj tych obiektów.Don't change these objects. Poniższa lista służy wyłącznie do celów informacyjnych.The following list is for information purposes only.

smsdbrole_AIToolsmsdbrole_AITool

Analiza zasobów importowania licencji zbiorczych.Asset Intelligence Volume Licenses import. Configuration Manager przyznaje temu użytkownikowi uprawnienia do kont użytkowników na podstawie RBA dostępu, aby zaimportować licencję zbiorczą do użycia z Analiza zasobów.Configuration Manager grants this permission to users accounts based on RBA access to be able to import volume license to be used with Asset Intelligence. To konto może zostać dodane przez pełną rolę administratora lub rolę Menedżera zasobów.This account could be added by a full administrator role or an Asset Manager role.

smsdbrole_AIUSsmsdbrole_AIUS

Analiza zasobów synchronizację aktualizacji.Asset Intelligence Update Synchronization. Configuration Manager przyznaje konto komputera, które hostuje Analiza zasobów dostępu do konta punktu synchronizacji, aby uzyskać Analiza zasobów dane serwera proxy i wyświetlić oczekujące dane AI do przekazania.Configuration Manager grants the computer account that host the Asset Intelligence Synchronization Point account access to get Asset Intelligence proxy data and to view pending AI data for upload.

smsdbrole_AMTSPsmsdbrole_AMTSP

Zarządzanie poza pasmem.Out of Band Management. Ta rola jest używana przez Configuration Manager rolę AMT do pobierania danych na urządzeniach, które obsługują architekturę Intel AMT.This role is used by Configuration Manager AMT role to retrieve data on devices that supported Intel AMT.

Uwaga

Ta rola jest przestarzała w nowszych wersjach Configuration Manager.This role is deprecated in newer releases of Configuration Manager.

smsdbrole_CRPsmsdbrole_CRP

Punkt rejestracji certyfikatu do obsługi prosty protokół rejestrowania certyfikatów (SCEP).Certificate registration point to support Simple Certificate Enrollment Protocol (SCEP). Configuration Manager przyznaje uprawnienia do konta komputera systemu lokacji, który obsługuje punkt rejestracji certyfikatu dla obsługi protokołu SCEP dla podpisywania i odnawiania certyfikatu.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point for SCEP support for certificate signing and renewal.

smsdbrole_CRPPfxsmsdbrole_CRPPfx

Obsługa PFX w punkcie rejestracji certyfikatu.Certificate Registration Point PFX support. Configuration Manager przyznaje uprawnienia do konta komputera systemu lokacji, który obsługuje punkt rejestracji certyfikatu skonfigurowany do obsługi PFX do podpisywania i odnawiania.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point configured for PFX support for signing and renewal.

smsdbrole_DMPsmsdbrole_DMP

Punkt zarządzania urządzeniami.Device Management Point. Configuration Manager przyznaje temu użytkownikowi uprawnienia do punktu zarządzania z opcją "Zezwalaj urządzeniom przenośnym i komputerom Mac na korzystanie z tego punktu zarządzania", możliwość zapewnienia obsługi zarejestrowanych urządzeń MDM.Configuration Manager grants this permission to computer account for a Management Point that has the option, "Allow mobile devices and Mac Computer to uses this management point", the ability to provide support for MDM enrolled devices.

smsdbrole_DmpConnectorsmsdbrole_DmpConnector

Punkt połączenia z usługą.Service Connection Point. Configuration Manager przyznaje temu kontu komputera, który hostuje punkt połączenia z usługą, aby pobierać i dostarczać dane telemetryczne, zarządzać usługami w chmurze i pobierać aktualizacje usługi.Configuration Manager grants this permission to the computer account that host the Service Connection Point to retrieve and provide telemetry data, manage cloud services, and retrieve service updates.

smsdbrole_DViewAccesssmsdbrole_DViewAccess

Widoki rozproszone.Distributed Views. Configuration Manager przyznaje to uprawnienie do konta komputera serwerów lokacji głównych w urzędach certyfikacji, gdy w oknie dialogowym Właściwości łącza replikacji zostanie wybrana opcja SQL Server widoki rozproszone.Configuration Manager grants this permission to the computer account of the Primary Site Servers on the CAS when the SQL Server distributed views option is selected in the replication link properties.

smsdbrole_DWSSsmsdbrole_DWSS

Magazyn danych.Data Warehouse. Configuration Manager przyznaje to uprawnienie do konta komputera, które obsługuje rolę hurtowni danych.Configuration Manager grants this permission to the computer account that host the Data Warehouse role.

smsdbrole_EnrollSvrsmsdbrole_EnrollSvr

Punkt rejestracyjny.Enrollment Point. Configuration Manager przyznaje temu kontu komputera, który hostuje punkt rejestracyjny, aby umożliwić rejestrację urządzeń za pośrednictwem zarządzania urządzeniami przenośnymi.Configuration Manager grants this permission to the computer account that host the Enrollment Point to allow for device enrollment via MDM.

smsdbrole_extractsmsdbrole_extract

Zapewnia dostęp do wszystkich rozszerzonych widoków schematu.Provides access to all the extended schema views.

smsdbrole_HMSUsersmsdbrole_HMSUser

Usługa Menedżer hierarchii.Hierarchy Manager Service. Configuration Manager przyznaje uprawnienia temu kontu do zarządzania komunikatami o stanie trybu failover i SQL Server transakcjami brokera między lokacjami w hierarchii.Configuration Manager grants permissions this account to manage failover state messages and SQL Server Broker transactions between sites within a hierarchy.

Uwaga

Rola smdbrole_WebPortal jest domyślnie członkiem tej roli.The smdbrole_WebPortal role is a member of this role by default.

smsdbrole_MCSsmsdbrole_MCS

Usługa multiemisji.Multicast Service. Configuration Manager przyznaje to uprawnienie do konta komputera punktu dystrybucji obsługującego multiemisję.Configuration Manager grants this permission to the computer account of the Distribution Point that supports multicast.

smsdbrole_MPsmsdbrole_MP

Punkt zarządzania.Management Point. Configuration Manager przyznaje to uprawnienie do konta komputera, które hostuje rolę punktu zarządzania w celu zapewnienia pomocy technicznej dla Configuration Manager klientów.Configuration Manager grants this permission to the computer account that host the Management Point role to provide support for the Configuration Manager clients.

smsdbrole_MPMBAMsmsdbrole_MPMBAM

Punkt zarządzania i monitorowanie funkcji Microsoft BitLocker.Management Point Microsoft BitLocker Administration and Monitoring. Configuration Manager przyznaje to uprawnienie do konta komputera, które hostuje punkt zarządzania, który zarządza rozwiązania Mbam dla środowiska.Configuration Manager grants this permission to the computer account that host the Management Point that manages MBAM for an environment.

smsdbrole_MPUserSvcsmsdbrole_MPUserSvc

Żądanie aplikacji punktu zarządzania.Management Point Application Request. Configuration Manager przyznaje to uprawnienie do konta komputera, które hostuje punkt zarządzania w celu obsługi żądań aplikacji opartych na użytkownikach.Configuration Manager grants this permission to the computer account that host the Management Point to support user-based application requests.

smsdbrole_siteprovidersmsdbrole_siteprovider

Dostawca programu SMS.SMS Provider. Configuration Manager przyznaje temu użytkownikowi uprawnienia do konta komputera, na którym jest hostowana rola dostawcy programu SMS.Configuration Manager grants this permission to the computer account that host a SMS Provider role.

smsdbrole_siteserversmsdbrole_siteserver

Serwer lokacji.Site Server. Configuration Manager przyznaje to uprawnienie do konta komputera, które hostuje lokację podstawową lub urzędów certyfikacji.Configuration Manager grants this permission to the computer account that host the Primary or CAS Site.

smsdbrole_SUPsmsdbrole_SUP

Punkt aktualizacji oprogramowania.Software Update Point. Configuration Manager przyznaje to uprawnienie do konta komputera, które hostuje punkt aktualizacji oprogramowania do pracy z aktualizacjami innych firm.Configuration Manager grants this permission to the computer account that host the Software Update Point for working with Third party updates.

smsdbrole_WebPortalsmsdbrole_WebPortal

Punkt witryny sieci Web katalogu aplikacji.Application Catalog Web Site Point. Configuration Manager przyznaje uprawnienia do konta komputera, które hostuje punkt witryny sieci Web katalogu aplikacji w celu zapewnienia wdrożenia aplikacji opartej na użytkownikach.Configuration Manager grants permission to the computer account that host the Application Catalog Web Site Point to provide user based application deployment.

smsschm_userssmsschm_users

Dostęp do raportów użytkownika.User Reporting access. Configuration Manager przyznaje dostęp do konta używanego dla konta punktu usług raportowania w celu zezwolenia na dostęp do widoków raportowania programu SMS w celu wyświetlenia danych raportowania Configuration Manager.Configuration Manager grants access to the account used for the Reporting Services point account to allow access to the SMS reporting views to display the Configuration Manager reporting data. Dane są bardziej ograniczone przy użyciu RBA.The data is further restricted with the use of RBA.

Podwyższono poziom uprawnieńElevated permissions

Configuration Manager wymaga, aby niektóre konta miały podwyższony poziom uprawnień dla operacji w toku.Configuration Manager requires some accounts to have elevated permissions for on-going operations. Na przykład zapoznaj się z wymaganiami wstępnymi dotyczącymi instalowania lokacji głównej.For example, see Prerequisites for installing a primary site. Poniższa lista zawiera podsumowanie tych uprawnień i powodów, dla których są one zbędne.The following list summarizes these permissions and the reasons why they're needed.

  • Konto komputera serwera lokacji głównej i centralnej lokacji administracyjnej wymaga:The computer account of the primary site server and central administration site server requires:

    • Prawa administratora lokalnego na wszystkich serwerach systemu lokacji.Local Administrator rights on all site system servers. To uprawnienie służy do zarządzania, instalowania i usuwania usług systemowych.This permission is to manage, install, and remove system services. Serwer lokacji aktualizuje także grupy lokalne w systemie lokacji podczas dodawania lub usuwania ról.The site server also updates local groups on the site system when you add or remove roles.

    • Dostęp sysadmin do wystąpienia SQL Server bazy danych lokacji.Sysadmin access to the SQL Server instance for the site database. To uprawnienie służy do konfigurowania SQL Server witryny i zarządzania nią.This permission is to configure and manage SQL Server for the site. Configuration Manager ścisłą integrację z programem SQL, nie jest to tylko baza danych.Configuration Manager tightly integrates with SQL, it's not just a database.

  • Konta użytkowników w roli pełny administrator wymagają:User accounts in the Full Administrator role require:

    • Prawa administratora lokalnego na wszystkich serwerach lokacji.Local Administrator rights on all site servers. To uprawnienie służy do wyświetlania, edytowania, usuwania i instalowania usług systemowych, kluczy rejestru i wartości oraz obiektów usługi WMI.This permission is to view, edit, remove, and install system services, registry keys and values, and WMI objects.

    • Dostęp sysadmin do wystąpienia SQL Server bazy danych lokacji.Sysadmin access to the SQL Server instance for the site database. To uprawnienie służy do instalowania i aktualizowania bazy danych podczas instalacji lub odzyskiwania.This permission is to install and update the database during setup or recovery. Jest ona również wymagana do SQL Server konserwacji i operacji.It's also required for SQL Server maintenance and operations. Na przykład ponowne indeksowanie i aktualizowanie statystyk.For example, reindexing and updating statistics.

      Uwaga

      Niektóre organizacje mogą zdecydować się na usunięcie dostępu sysadmin i udzielić go tylko wtedy, gdy jest to wymagane.Some organizations may choose to remove sysadmin access and only grant it when it is required. Takie zachowanie jest czasami określane jako dostęp "just-in-Time (JIT)".This behavior is sometimes referred to as "just-in-time (JIT) access." W takim przypadku użytkownicy z rolą pełna administrator nadal powinni mieć dostęp do procedur składowanych odczytanych, aktualizacji i wykonywania w bazie danych Configuration Manager.In this case, users with the Full Administrator role should still have access to read, update, and execute stored procedures on the Configuration Manager database. Te uprawnienia umożliwiają rozwiązywanie problemów z większością problemów bez pełnego dostępu administratora systemu.These permissions allow them to troubleshoot most issues without full sysadmin access.