Contas usadas em Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Use as informações a seguir para identificar os grupos do Windows, contas e objetos SQL Server que são usados em Configuration Manager, como eles são usados e quaisquer requisitos.

• Grupos do Windows que Configuration Manager cria e usa

  • Manager_CollectedFilesAccess de configuração
  • Manager_DViewAccess de configuração
  • Configuration Manager usuários de controle remoto
  • Administradores de SMS
  • <SMS_SiteSystemToSiteServerConnection_MP_sitecode>
  • <SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>
  • <SMS_SiteSystemToSiteServerConnection_Stat_sitecode>
  • <SMS_SiteToSiteConnection_sitecode>

• Contas que Configuration Manager usa

  • Conta de descoberta de grupo do Active Directory
  • Conta de descoberta do sistema do Active Directory
  • Conta de descoberta de usuário do Active Directory
  • Conta florestal do Active Directory
  • Conta do ponto de registro de certificado
  • Capturar conta de imagem do sistema operacional
  • Conta de instalação por push do cliente
  • Conta de conexão de ponto de registro
  • Exchange Server conta de conexão
  • Conta de conexão de ponto de gerenciamento
  • Conta de conexão multicast
  • Conta de acesso à rede
  • Conta de acesso a pacotes
  • Conta de ponto dos serviços de relatório
  • Contas de visualizador permitidas por ferramentas remotas
  • Conta de instalação do site
  • Conta de instalação do sistema de sites
  • Conta do servidor proxy do sistema de site
  • Conta de conexão do servidor SMTP
  • Conta de conexão de ponto de atualização de software
  • Conta do site de origem
  • Conta de banco de dados do site de origem
  • Conta de junção de domínio da sequência de tarefas
  • Conta de conexão de rede de sequência de tarefas
  • Sequência de tarefas executada como conta

• Objetos de usuário que Configuration Manager usa no SQL

  • smsdbuser_ReadOnly
  • smsdbuser_ReadWrite
  • smsdbuser_ReportSchema

• Funções de banco de dados que Configuration Manager usa no SQL

  • smsdbrole_AITool
  • smsdbrole_AIUS
  • smsdbrole_CRP
  • smsdbrole_CRPPfx
  • smsdbrole_DMP
  • smsdbrole_DmpConnector
  • smsdbrole_DViewAccess
  • smsdbrole_DWSS
  • smsdbrole_EnrollSvr
  • smsdbrole_extract
  • smsdbrole_HMSUser
  • smsdbrole_MCS
  • smsdbrole_MP
  • smsdbrole_MPMBAM
  • smsdbrole_MPUserSvc
  • smsdbrole_siteprovider
  • smsdbrole_siteserver
  • smsdbrole_SUP
  • smsschm_users

Grupos do Windows que Configuration Manager cria e usa

Configuration Manager cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos do Windows:

Observação

Quando Configuration Manager cria um grupo em um computador que é um membro de domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo será um grupo local de domínio. Esse tipo de grupo é compartilhado entre todos os controladores de domínio no domínio.

Manager_CollectedFilesAccess de configuração

Configuration Manager usa esse grupo para conceder acesso para exibir arquivos coletados pelo inventário de software.

Para obter mais informações, consulte Introdução ao inventário de software.

Tipo e local para CollectedFilesAccess

Esse grupo é um grupo de segurança local criado no servidor de site primário.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para CollectedFilesAccess

Configuration Manager gerencia automaticamente a associação de grupo. A associação inclui usuários administrativos que recebem a permissão Exibir Arquivos Coletados para o objeto securable Collection de uma função de segurança atribuída.

Permissões para CollectedFilesAccess

Por padrão, esse grupo tem permissão de leitura para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess de configuração

Esse grupo é um grupo de segurança local que Configuration Manager cria no servidor de banco de dados do site ou no servidor réplica de banco de dados para um site primário filho. O site o cria quando você usa exibições distribuídas para replicação de banco de dados entre sites em uma hierarquia. Ele contém o servidor do site e SQL Server contas de computador do site de administração central.

Para obter mais informações, consulte Transferências de dados entre sites.

Configuration Manager usuários de controle remoto

Configuration Manager ferramentas remotas usam esse grupo para armazenar as contas e os grupos que você configurou na lista Visualizadores Permitidos. O site atribui essa lista a cada cliente.

Para obter mais informações, consulte Introdução ao controle remoto.

Digite e local para usuários de controle remoto

Esse grupo é um grupo de segurança local criado no Configuration Manager cliente quando o cliente recebe uma política que permite ferramentas remotas.

Depois de desabilitar ferramentas remotas para um cliente, esse grupo não será removido automaticamente. Exclua-o manualmente depois de desabilitar ferramentas remotas.

Associação para usuários de controle remoto

Por padrão, não há membros neste grupo. Quando você adiciona usuários à lista Visualizadores Permitidos , eles são adicionados automaticamente a esse grupo.

Use a lista Visualizadores Permitidos para gerenciar a associação desse grupo em vez de adicionar usuários ou grupos diretamente a esse grupo.

Além de ser um visualizador permitido, um usuário administrativo deve ter a permissão controle remoto para o objeto Collection . Atribua essa permissão usando a função de segurança do Operador de Ferramentas Remotas .

Permissões para usuários de controle remoto

Por padrão, esse grupo não tem permissões para nenhum local no computador. Ele é usado apenas para manter a lista De Espectadores Permitidos .

Administradores de SMS

Configuration Manager usa esse grupo para conceder acesso ao Provedor de SMS por meio do WMI. O acesso ao Provedor de SMS é necessário para exibir e alterar objetos no console Configuration Manager.

Observação

A configuração de administração baseada em função de um usuário administrativo determina quais objetos eles podem exibir e gerenciar ao usar o console Configuration Manager.

Para obter mais informações, consulte Planejar para o provedor de SMS.

Digite e local para administradores de SMS

Esse grupo é um grupo de segurança local criado em cada computador que tem um provedor de SMS.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para administradores de SMS

Configuration Manager gerencia automaticamente a associação de grupo. Por padrão, cada usuário administrativo em uma hierarquia e a conta de computador do servidor de site são membros do grupo de administradores de SMS em cada computador provedor de SMS em um site.

Permissões para administradores de SMS

Você pode exibir os direitos e permissões para o grupo de administradores de SMS no snap-in do MMC de controle WMI . Por padrão, esse grupo recebe habilitação de conta e habilitação remota no namespace WMI Root\SMS . Os usuários autenticados têm Métodos de Execução, Gravação de Provedor e Habilitar Conta.

Ao usar um console de Configuration Manager remoto, configure permissões DCOM de ativação remota no computador do servidor do site e no provedor de SMS. Conceda esses direitos ao grupo de administradores de SMS . Essa ação simplifica a administração em vez de conceder esses direitos diretamente aos usuários ou grupos. Para obter mais informações, consulte Configurar permissões DCOM para consoles de Configuration Manager remotos.

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

Os pontos de gerenciamento que são remotos do servidor do site usam esse grupo para se conectar ao banco de dados do site. Esse grupo fornece um acesso de ponto de gerenciamento às pastas de caixa de entrada no servidor do site e no banco de dados do site.

Digite e local para SMS_SiteSystemToSiteServerConnection_MP

Esse grupo é um grupo de segurança local criado em cada computador que tem um provedor de SMS.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_MP

Configuration Manager gerencia automaticamente a associação de grupo. Por padrão, a associação inclui as contas de computador de computadores remotos que têm um ponto de gerenciamento para o site.

Permissões para SMS_SiteSystemToSiteServerConnection_MP

Por padrão, esse grupo tem permissão de conteúdo ler, ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes. Esse grupo também tem permissão De gravação para subpastas abaixo das caixas de entrada, para as quais o ponto de gerenciamento grava dados do cliente.

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

Computadores provedores de SMS remotos usam esse grupo para se conectar ao servidor do site.

Digite e local para SMS_SiteSystemToSiteServerConnection_SMSProv

Esse grupo é um grupo de segurança local criado no servidor do site.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_SMSProv

Configuration Manager gerencia automaticamente a associação de grupo. Por padrão, a associação inclui a conta de computador ou uma conta de usuário de domínio. Ele usa essa conta para se conectar ao servidor do site de cada provedor de SMS remoto.

Permissões para SMS_SiteSystemToSiteServerConnection_SMSProv

Por padrão, esse grupo tem permissão de conteúdo ler, ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes. Esse grupo também tem as permissões Gravar e Modificar para subpastas abaixo das caixas de entrada. O Provedor de SMS requer acesso a essas pastas.

Esse grupo também tem permissão de leitura para as subpastas no servidor do site abaixo C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Ele também tem as seguintes permissões para as subpastas abaixo C:\Program Files\Microsoft Configuration Manager\OSD\boot:

• Leitura
• Ler & executar
• Listar conteúdo da pasta
• Escrever
• Modificar

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

O componente do gerenciador de expedição de arquivos em Configuration Manager computadores do sistema de sites remotos usa esse grupo para se conectar ao servidor do site.

Digite e local para SMS_SiteSystemToSiteServerConnection_Stat

Esse grupo é um grupo de segurança local criado no servidor do site.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_Stat

Configuration Manager gerencia automaticamente a associação de grupo. Por padrão, a associação inclui a conta de computador ou a conta de usuário de domínio. Ele usa essa conta para se conectar ao servidor do site de cada sistema de site remoto que executa o gerenciador de expedição de arquivos.

Permissões para SMS_SiteSystemToSiteServerConnection_Stat

Por padrão, esse grupo tem permissão De leitura, leitura & executar e Listar conteúdo de pasta para a pasta a seguir e suas subpastas no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes.

Esse grupo também tem as permissões Gravar e Modificar para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager usa esse grupo para habilitar a replicação baseada em arquivo entre sites em uma hierarquia. Para cada site remoto que transfere diretamente arquivos para este site, esse grupo tem contas configuradas como uma Conta de Replicação de Arquivos.

Digite e local para SMS_SiteToSiteConnection

Esse grupo é um grupo de segurança local criado no servidor do site.

Associação para SMS_SiteToSiteConnection

Quando você instala um novo site como filho de outro site, Configuration Manager adiciona automaticamente a conta do computador do novo servidor de site a esse grupo no servidor do site pai. Configuration Manager também adiciona a conta de computador do site pai ao grupo no novo servidor de site. Se você especificar outra conta para transferências baseadas em arquivo, adicione essa conta a esse grupo no servidor do site de destino.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Permissões para SMS_SiteToSiteConnection

Por padrão, esse grupo tem controle total para a seguinte pasta: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Contas que Configuration Manager usa

Você pode configurar as contas a seguir para Configuration Manager.

Dica

Não use o caractere percentual (%) na senha para contas especificadas no console Configuration Manager. A conta não será autenticada.

Conta de descoberta de grupo do Active Directory

O site usa a conta de descoberta de grupo do Active Directory para descobrir os seguintes objetos dos locais em Active Directory Domain Services que você especificar:

• Grupos de segurança locais, globais e universais
• A associação dentro desses grupos
• A associação dentro de grupos de distribuição
  • Os grupos de distribuição não são descobertos como recursos de grupo

Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta ou uma conta de usuário do Windows. Ele deve ter permissão de acesso de leitura para os locais do Active Directory que você especifica para descoberta.

Para obter mais informações, consulte Descoberta de Grupo do Active Directory.

Conta de descoberta do sistema do Active Directory

O site usa a conta de descoberta do sistema do Active Directory para descobrir computadores dos locais em Active Directory Domain Services que você especificar.

Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta ou uma conta de usuário do Windows. Ele deve ter permissão de acesso de leitura para os locais do Active Directory que você especifica para descoberta.

Para obter mais informações, consulte Descoberta de sistema do Active Directory.

Conta de descoberta de usuário do Active Directory

O site usa a conta de descoberta de usuário do Active Directory para descobrir contas de usuário dos locais em Active Directory Domain Services que você especificar.

Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta ou uma conta de usuário do Windows. Ele deve ter permissão de acesso de leitura para os locais do Active Directory que você especifica para descoberta.

Para obter mais informações, consulte Descoberta de Usuário do Active Directory.

Conta florestal do Active Directory

O site usa a conta floresta do Active Directory para descobrir a infraestrutura de rede de florestas do Active Directory. Sites de administração central e sites primários também o usam para publicar dados do site para Active Directory Domain Services para uma floresta.

Observação

Sites secundários sempre usam a conta de computador do servidor de site secundário para publicar no Active Directory.

Para descobrir e publicar em florestas não confiáveis, a conta florestal do Active Directory deve ser uma conta global. Se você não usar a conta de computador do servidor do site, poderá selecionar apenas uma conta global.

Essa conta deve ter permissões de leitura para cada floresta do Active Directory em que você deseja descobrir a infraestrutura de rede.

Essa conta deve ter permissões de Controle Total para o contêiner de Gerenciamento de Sistema e todos os objetos filho em cada floresta do Active Directory em que você deseja publicar dados do site. Para obter mais informações, consulte Preparar o Active Directory para publicação de sites.

Para obter mais informações, consulte Descoberta florestal do Active Directory.

Conta do ponto de registro de certificado

Aviso

A partir da versão 2203, o ponto de registro do certificado não tem mais suporte. Para obter mais informações, consulte Perguntas frequentes sobre a preterição do acesso ao recurso.

O ponto de registro de certificado usa a conta ponto de registro de certificado para se conectar ao banco de dados Configuration Manager. Ele usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de registro de certificado estiver em um domínio não confiável do servidor do site, você deve especificar uma conta de usuário. Essa conta requer apenas acesso de leitura ao banco de dados do site, pois o sistema de mensagens de estado manipula tarefas de gravação.

Para obter mais informações, consulte Introdução aos perfis de certificado.

Capturar conta de imagem do sistema operacional

Quando você captura uma imagem do sistema operacional, Configuration Manager usa a conta de imagem do Sistema Operacional de Captura para acessar a pasta em que você armazena imagens capturadas. Se você adicionar a etapa Capturar imagem do sistema operacional a uma sequência de tarefas, essa conta será necessária.

A conta deve ter permissões de leitura e gravação no compartilhamento de rede em que você armazena imagens capturadas.

Se você alterar a senha da conta no Windows, atualize a sequência de tarefas com a nova senha. O cliente Configuration Manager recebe a nova senha quando baixa a política do cliente em seguida.

Se você precisar usar essa conta, crie uma conta de usuário de domínio. Conceda-lhe permissões mínimas para acessar os recursos de rede necessários e usá-los para todas as sequências de tarefas de captura.

Importante

Não atribua permissões interativas de entrada a essa conta.

Não use a conta de acesso de rede para essa conta.

Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um sistema operacional.

Conta de instalação por push do cliente

Quando você implanta clientes usando o método de instalação por push do cliente, o site usa a conta de instalação por push do cliente para se conectar aos computadores e instalar o Configuration Manager software cliente. Se você não especificar essa conta, o servidor do site tentará usar sua conta de computador.

Essa conta deve ser um membro do grupo administradores locais nos computadores cliente de destino. Essa conta não requer direitos de Administração de domínio.

Você pode especificar mais de uma conta de instalação por push do cliente. Configuration Manager tenta cada um, por sua vez, até que um tenha êxito.

Dica

Se você tiver um ambiente grande do Active Directory e precisar alterar essa conta, use o seguinte processo para coordenar mais efetivamente esta atualização da conta:

1. Criar uma nova conta com um nome diferente
2. Adicione a nova conta à lista de contas de instalação por push do cliente em Configuration Manager
3. Permitir tempo suficiente para Active Directory Domain Services replicar a nova conta
4. Em seguida, remova a conta antiga de Configuration Manager e Active Directory Domain Services

Importante

Use o domínio ou a política de grupo local para atribuir o direito do usuário do Windows a Negar logon localmente. Como membro do grupo Administradores, essa conta terá o direito de entrar localmente, o que não é necessário. Para obter uma melhor segurança, negue explicitamente o direito para essa conta. O direito de negação substitui o direito de permissão.

Para obter mais informações, consulte Instalação por push do cliente.

Conta de conexão de ponto de registro

O ponto de registro usa a conta de conexão de ponto de registro para se conectar ao banco de dados do site Configuration Manager. Ele usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de registro está em um domínio não confiável do servidor do site, você deve especificar uma conta de usuário. Essa conta requer acesso de leitura e gravação ao banco de dados do site.

Para obter mais informações, consulte Instalar funções do sistema de sites para MDM local.

Exchange Server conta de conexão

O servidor do site usa a conta de conexão Exchange Server para se conectar ao Exchange Server especificado. Ele usa essa conexão para localizar e gerenciar dispositivos móveis que se conectam a Exchange Server. Essa conta requer cmdlets do Exchange PowerShell que fornecem as permissões necessárias para o computador Exchange Server. Para obter mais informações sobre os cmdlets, consulte Instalar e configurar o conector do Exchange.

Conta de conexão de ponto de gerenciamento

O ponto de gerenciamento usa a conta de conexão de ponto de gerenciamento para se conectar ao banco de dados do site Configuration Manager. Ele usa essa conexão para enviar e recuperar informações para clientes. O ponto de gerenciamento usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de gerenciamento está em um domínio não confiável do servidor do site, você deve especificar uma conta de usuário.

Crie a conta como uma conta local de baixa direita no computador que executa o Microsoft SQL Server.

Importante

Não conceda direitos de entrada interativos a essa conta.

Conta de conexão multicast

Os pontos de distribuição habilitados para multicast usam a conta de conexão Multicast para ler informações do banco de dados do site. O servidor usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o banco de dados do site está em uma floresta não confiável, você deve especificar uma conta de usuário. Por exemplo, se o data center tiver uma rede de perímetro em uma floresta diferente do servidor do site e do banco de dados do site, use essa conta para ler as informações multicast do banco de dados do site.

Se você precisar dessa conta, crie-a como uma conta local de baixa direita no computador que executa o Microsoft SQL Server.

Importante

Não conceda direitos de entrada interativos a essa conta.

Para obter mais informações, consulte Usar o multicast para implantar o Windows na rede.

Conta de acesso à rede

Os computadores cliente usam a conta de acesso à rede quando não podem usar sua conta de computador local para acessar o conteúdo em pontos de distribuição. Ele se aplica principalmente a clientes e computadores de grupos de trabalho de domínios não confiáveis. Essa conta também é usada durante a implantação do sistema operacional, quando o computador que está instalando o sistema operacional ainda não tem uma conta de computador no domínio.

Importante

A conta de acesso à rede nunca é usada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas. Ele é usado apenas para acessar recursos na rede.

Um cliente Configuration Manager primeiro tenta usar sua conta de computador para baixar o conteúdo. Se falhar, ele tentará automaticamente a conta de acesso à rede.

Se você configurar o site para HTTPS ou HTTP aprimorado, um grupo de trabalho ou Microsoft Entra cliente ingressado poderá acessar com segurança o conteúdo de pontos de distribuição sem a necessidade de uma conta de acesso à rede. Esse comportamento inclui cenários de implantação do sistema operacional com uma sequência de tarefas em execução de mídia de inicialização, PXE ou Centro de Software. Para obter mais informações, consulte Comunicação de ponto de gerenciamento cliente a gerenciamento.

Observação

Se você habilitar o HTTP aprimorado para não exigir a conta de acesso à rede, os pontos de distribuição precisarão estar executando versões com suporte no momento do Windows Server ou Windows 10/11.

Permissões para a conta de acesso à rede

Conceda a essa conta as permissões mínimas apropriadas no conteúdo necessário para o cliente acessar o software. A conta deve ter o access deste computador da rede diretamente no ponto de distribuição. Você pode configurar até 10 contas de acesso à rede por site.

Crie a conta em qualquer domínio que forneça o acesso necessário aos recursos. A conta de acesso à rede deve sempre incluir um nome de domínio. Não há suporte para a segurança de passagem para essa conta. Se você tiver pontos de distribuição em vários domínios, crie a conta em um domínio confiável.

Dica

Para evitar bloqueios de conta, não altere a senha em uma conta de acesso de rede existente. Em vez disso, crie uma nova conta e configure a nova conta no Configuration Manager. Quando o tempo suficiente tiver passado para que todos os clientes tenham recebido os novos detalhes da conta, remova a conta antiga das pastas compartilhadas de rede e exclua a conta.

Importante

Não conceda direitos de entrada interativos a essa conta.

Não conceda a essa conta o direito de ingressar computadores no domínio. Se você precisar ingressar computadores no domínio durante uma sequência de tarefas, use a conta de junção de domínio da sequência de tarefas.

Configurar a conta de acesso à rede

1. No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites. Em seguida, selecione o site.

2. No grupo Configurações da faixa de opções, selecione Configurar Componentes do Site e escolha Distribuição de Software.

3. Escolha a guia Conta de acesso à rede . Configure uma ou mais contas e escolha OK.

Ações que exigem a conta de acesso à rede

A conta de acesso à rede ainda é necessária para as seguintes ações (incluindo cenários EHTTP & PKI):

• Multicast. Para obter mais informações, consulte Usar o multicast para implantar o Windows na rede.

• Opção de implantação de sequência de tarefas para Acessar conteúdo diretamente de um ponto de distribuição quando necessário pela sequência de tarefas em execução. Para obter mais informações, consulte Opções de implantação de sequência de tarefas.

• Etapa da sequência de tarefas do Repositório de Estado de Solicitação. Se a sequência de tarefas não puder se comunicar com o ponto de migração de estado usando a conta de computador do dispositivo, ela retornará para usar a conta de acesso à rede. Para obter mais informações, consulte Repositório de Estado de Solicitação.

• Aplicar a opção de etapa de sequência de tarefas de imagem do sistema operacional ao Acessar conteúdo diretamente do ponto de distribuição. Essa opção é principalmente para cenários do Windows Embedded com baixo espaço em disco em que o cache de conteúdo para o disco local é caro. Para obter mais informações, confira Acessar conteúdo diretamente do ponto de distribuição

• Configuração de propriedades da Sequência de Tarefas para Executar outro programa primeiro. Essa configuração executa um pacote e um programa de um compartilhamento de rede antes do início da sequência de tarefas. Para obter mais informações, confira Propriedades de sequências de tarefas: guia Avançado.

• O gerenciamento de clientes em domínios não confiáveis e cenários entre florestas permite várias contas de acesso à rede.

Conta de acesso a pacotes

Uma conta de acesso ao pacote permite definir permissões NTFS para especificar os usuários e grupos de usuários que podem acessar o conteúdo do pacote em pontos de distribuição. Por padrão, Configuration Manager concede acesso apenas às contas de acesso genérico Usuário e Administrador. Você pode controlar o acesso para computadores cliente usando outras contas ou grupos do Windows. Os dispositivos móveis sempre recuperam o conteúdo do pacote anonimamente, para que não usem uma conta de acesso a pacotes.

Por padrão, quando Configuration Manager copia os arquivos de conteúdo para um ponto de distribuição, ele concede acesso de leitura ao grupo usuários locais e Controle Completo ao grupo administradores local. As permissões reais necessárias dependem do pacote. Se você tiver clientes em grupos de trabalho ou em florestas não confiáveis, esses clientes usarão a conta de acesso à rede para acessar o conteúdo do pacote. Verifique se a conta de acesso à rede tem permissões para o pacote usando as contas de acesso de pacote definidas.

Use contas em um domínio que pode acessar os pontos de distribuição. Se você criar ou modificar a conta depois de criar o pacote, deverá redistribuir o pacote. A atualização do pacote não altera as permissões NTFS no pacote.

Você não precisa adicionar a conta de acesso à rede como uma conta de acesso a pacotes, pois a associação do grupo Usuários a adiciona automaticamente. Restringir a conta de acesso ao pacote somente a conta de acesso à rede não impede que os clientes acessem o pacote.

Gerenciar contas de acesso a pacotes

1. No console Configuration Manager, acesse o workspace da Biblioteca de Software.

2. No workspace biblioteca de software , determine o tipo de conteúdo para o qual você deseja gerenciar contas de acesso e siga as etapas fornecidas:

   • Aplicativo: Expanda Gerenciamento de Aplicativos, escolha Aplicativos e selecione o aplicativo para o qual gerenciar contas de acesso.

   • Pacote: Expanda Gerenciamento de Aplicativos, escolha Pacotes e selecione o pacote para o qual gerenciar contas de acesso.

   • Pacote de implantação de atualização de software: expanda software Atualizações, escolha Pacotes de Implantação e selecione o pacote de implantação para o qual gerenciar contas de acesso.

   • Pacote de driver: Expanda Sistemas Operacionais, escolha Pacotes de Driver e selecione o pacote de driver para o qual gerenciar contas de acesso.

   • Imagem do sistema operacional: Expanda Sistemas Operacionais, escolha Imagens do Sistema Operacional e selecione a imagem do sistema operacional para a qual gerenciar contas de acesso.

   • Pacote de atualização do sistema operacional: Expanda Sistemas Operacionais, escolha Pacotes de atualização do sistema operacional e selecione o pacote de atualização do sistema operacional para o qual gerenciar contas de acesso.

   • Imagem de inicialização: Expanda Sistemas Operacionais, escolha Inicializar Imagens e selecione a imagem de inicialização para a qual gerenciar contas de acesso.

3. Clique com o botão direito do mouse no objeto selecionado e escolha Gerenciar Contas de Acesso.

4. Na caixa de diálogo Adicionar Conta , especifique o tipo de conta que terá acesso ao conteúdo e especifique os direitos de acesso associados à conta.

   Observação

   Quando você adiciona um nome de usuário para a conta e Configuration Manager encontra uma conta de usuário local e uma conta de usuário de domínio com esse nome, Configuration Manager define direitos de acesso para a conta de usuário de domínio.

Conta de ponto dos serviços de relatório

SQL Server Reporting Services usa a conta de ponto do Reporting services para recuperar os dados de relatórios Configuration Manager do banco de dados do site. A conta de usuário e a senha do Windows especificadas são criptografadas e armazenadas no banco de dados SQL Server Reporting Services.

Observação

A conta especificada deve ter permissões de logon localmente no computador que hospeda o banco de dados SQL Server Reporting Services.

A conta recebe automaticamente todos os direitos necessários ao ser adicionada à Função de Banco de Dados smsschm_users SQL Server no banco de dados Configuration Manager.

Para obter mais informações, consulte Introdução ao relatório.

Contas de visualizador permitidas por ferramentas remotas

As contas especificadas como Visualizadores Permitidos para controle remoto são uma lista de usuários que têm permissão para usar a funcionalidade de ferramentas remotas em clientes.

Para obter mais informações, consulte Introdução ao controle remoto.

Conta de instalação do site

Use uma conta de usuário de domínio para entrar no servidor em que você executa Configuration Manager instalação e instala um novo site.

Essa conta requer os seguintes direitos:

• Administrador nos seguintes servidores:

  • O servidor do site
  • Cada servidor que hospeda o banco de dados do site
  • Cada instância do Provedor de SMS para o site

• Sysadmin na instância de SQL Server que hospeda o banco de dados do site

Configuration Manager configuração adiciona automaticamente essa conta ao grupo de administradores de SMS.

Após a instalação, essa conta é o único usuário com direitos ao console Configuration Manager. Se você precisar remover essa conta, adicione seus direitos a outro usuário primeiro.

Ao expandir um site autônomo para incluir um site de administração central, essa conta requer direitos de administração baseados em função de Administrador completo ou administrador de infraestrutura no site primário autônomo.

Conta de instalação do sistema de sites

O servidor do site usa a conta de instalação do sistema de sites para instalar, reinstalar, desinstalar e configurar sistemas de site. Se você configurar o sistema de sites para exigir que o servidor do site inicie conexões com este sistema de sites, Configuration Manager também usará essa conta para extrair dados do sistema de sites depois que ele instalar o sistema de sites e quaisquer funções. Cada sistema de site pode ter uma conta de instalação diferente, mas você pode configurar apenas uma conta de instalação para gerenciar todas as funções nesse sistema de site.

Essa conta requer permissões administrativas locais nos sistemas de site de destino. Além disso, essa conta deve ter o Access deste computador da rede na política de segurança nos sistemas de site de destino.

Importante

Se você estiver especificando uma conta em um domínio ou floresta remota, especifique o FQDN de domínio antes do nome de usuário e não apenas o nome netBIOS do domínio. Por exemplo, especifique Corp.Contoso.com\UserName em vez de apenas Corp\UserName. Isso permite que Configuration Manager use Kerberos quando a conta é usada para se autenticar no sistema de sites remoto. O uso do FQDN geralmente corrige falhas de autenticação resultantes de alterações recentes de endurecimento em torno do NTLM em atualizações mensais do Windows.

Dica

Se você tiver muitos controladores de domínio e essas contas forem usadas entre domínios, antes de configurar o sistema de sites, marcar que o Active Directory tenha replicado essas contas.

Quando você especifica uma conta local em cada sistema de site a ser gerenciado, essa configuração é mais segura do que usar contas de domínio. Ele limita o dano que os invasores podem fazer se a conta estiver comprometida. No entanto, as contas de domínio são mais fáceis de gerenciar. Considere a compensação entre segurança e administração eficaz.

Conta do servidor proxy do sistema de site

As funções do sistema de site a seguir usam a conta do servidor proxy do sistema de sites para acessar a Internet por meio de um servidor proxy ou firewall que requer acesso autenticado:

• Ponto de sincronização do Asset Intelligence
• Conector do Exchange Server
• Ponto de conexão de serviço
• Ponto de atualização de software

Importante

Especifique uma conta que tenha as permissões menos possíveis para o servidor proxy ou firewall necessário.

Para obter mais informações, consulte Suporte ao servidor proxy.

Conta de conexão do servidor SMTP

O servidor do site usa a conta de conexão do servidor SMTP para enviar alertas de email quando o servidor SMTP requer acesso autenticado.

Importante

Especifique uma conta que tenha as permissões menos possíveis para enviar emails.

Para obter mais informações, consulte Configurar alertas.

Conta de conexão de ponto de atualização de software

O servidor do site usa a conta de conexão de ponto de atualização de software para os dois serviços de atualização de software a seguir:

• Windows Server Update Services (WSUS), que configura configurações como definições de produto, classificações e configurações de upstream.

• WSUS Synchronization Manager, que solicita sincronização com um servidor WSUS upstream ou Microsoft Update.

A conta de instalação do sistema de sites pode instalar componentes para atualizações de software, mas não pode fazer funções específicas de atualização de software no ponto de atualização de software. Se você não puder usar a conta do computador do servidor de site para essa funcionalidade porque o ponto de atualização de software está em uma floresta não confiável, você deve especificar essa conta junto com a conta de instalação do sistema de site.

Essa conta deve ser um administrador local no computador em que você instala o WSUS. Ele também deve fazer parte do grupo de administradores locais do WSUS .

Para obter mais informações, consulte Planejar atualizações de software.

Conta do site de origem

O processo de migração usa a conta do site de origem para acessar o Provedor de SMS do site de origem. Essa conta requer permissões de leitura para objetos de site no site de origem para coletar dados para trabalhos de migração.

Se você tiver Configuration Manager pontos de distribuição de 2007 ou sites secundários com pontos de distribuição colocados, ao atualizá-los para Configuration Manager pontos de distribuição (branch atual), essa conta também deverá ter permissões de Exclusão para a classe Site. Essa permissão é remover com êxito o ponto de distribuição do site Configuration Manager 2007 durante a atualização.

Observação

A conta do site de origem e a conta de banco de dados do site de origem são identificadas como Gerenciador de Migrações no nó Contas do workspace Administração no console Configuration Manager.

Para obter mais informações, consulte Migrar dados entre hierarquias.

Conta de banco de dados do site de origem

O processo de migração usa a conta de banco de dados do site de origem para acessar o banco de dados SQL Server para o site de origem. Para coletar dados do banco de dados SQL Server do site de origem, a conta de banco de dados do site de origem deve ter as permissões Ler e Executar para o banco de dados SQL Server do site de origem.

Se você usar a conta de computador Configuration Manager (branch atual), verifique se todos os seguintes são verdadeiros para esta conta:

• Ele é membro do grupo de segurança Usuários COM Distribuídos no mesmo domínio que o site Configuration Manager 2012
• É um membro do grupo de segurança de administradores de SMS
• Ele tem a permissão De leitura para todos os objetos Configuration Manager 2012

Observação

A conta do site de origem e a conta de banco de dados do site de origem são identificadas como Gerenciador de Migrações no nó Contas do workspace Administração no console Configuration Manager.

Para obter mais informações, consulte Migrar dados entre hierarquias.

Conta de junção de domínio da sequência de tarefas

A Configuração do Windows usa a conta de junção de domínio da sequência de tarefas para ingressar um computador recém-imagem em um domínio. Essa conta é necessária pela etapa de sequência de tarefas Ingressar Domínio ou Grupo de Trabalho com a opção Ingressar em um domínio . Essa conta também pode ser configurada com a etapa Aplicar Configurações de Rede , mas não é necessária.

Essa conta requer a Junção de Domínio diretamente no domínio de destino.

Dica

Crie uma conta de usuário de domínio com as permissões mínimas para ingressar no domínio e use-a para todas as sequências de tarefas.

Importante

Não atribua permissões interativas de entrada a essa conta.

Não use a conta de acesso de rede para essa conta.

Conta de conexão de rede de sequência de tarefas

O mecanismo de sequência de tarefas usa a conta de conexão de rede de rede de sequência de tarefas para se conectar a uma pasta compartilhada na rede. Essa conta é necessária pela etapa de sequência de tarefas Conectar-se à Pasta de Rede .

Essa conta requer permissões para acessar a pasta compartilhada especificada. Deve ser uma conta de usuário de domínio.

Dica

Crie uma conta de usuário de domínio com permissões mínimas para acessar os recursos de rede necessários e use-a para todas as sequências de tarefas.

Importante

Não atribua permissões interativas de entrada a essa conta.

Não use a conta de acesso de rede para essa conta.

Sequência de tarefas executada como conta

O mecanismo de sequência de tarefas usa a sequência de tarefas executada como conta para executar linhas de comando ou Scripts do PowerShell com credenciais diferentes da conta do Sistema Local. Essa conta é exigida pelas etapas executar linha de comando e executar a sequência de tarefas do Script do PowerShell com a opção Executar esta etapa como a conta a seguir escolhida.

Configure a conta para ter as permissões mínimas necessárias para executar a linha de comando especificada na sequência de tarefas. A conta requer direitos de entrada interativos. Geralmente, requer a capacidade de instalar software e acessar recursos de rede. Para a tarefa Executar Script do PowerShell, essa conta requer permissões de administrador local.

Importante

Não use a conta de acesso de rede para essa conta.

Nunca faça da conta um administrador de domínio.

Nunca configure perfis de roaming para essa conta. Quando a sequência de tarefas é executada, ela baixa o perfil de roaming da conta. Isso deixa o perfil vulnerável ao acesso no computador local.

Limite o escopo da conta. Por exemplo, crie uma sequência de tarefas diferente executada como contas para cada sequência de tarefas. Em seguida, se uma conta estiver comprometida, somente os computadores cliente aos quais essa conta tem acesso serão comprometidos.

Se a linha de comando exigir acesso administrativo no computador, considere criar uma conta de administrador local apenas para essa conta em todos os computadores que executam a sequência de tarefas. Exclua a conta depois que você não precisar mais dela.

Objetos de usuário que Configuration Manager usam em SQL Server

Configuration Manager cria e mantém automaticamente os seguintes objetos de usuário no SQL. Esses objetos estão localizados no banco de dados Configuration Manager em Segurança/Usuários.

Importante

Modificar ou remover esses objetos pode causar problemas drásticos em um ambiente Configuration Manager. Recomendamos que você não faça alterações nesses objetos.

smsdbuser_ReadOnly

Esse objeto é usado para executar consultas no contexto somente leitura. Esse objeto é usado com vários procedimentos armazenados.

smsdbuser_ReadWrite

Esse objeto é usado para fornecer permissões para instruções SQL dinâmicas.

smsdbuser_ReportSchema

Esse objeto é usado para executar SQL Server Execuções de Relatórios. O seguinte procedimento armazenado é usado com essa função: spSRExecQuery.

Funções de banco de dados que Configuration Manager usa no SQL

Configuration Manager cria e mantém automaticamente os seguintes objetos de função no SQL. Essas funções fornecem acesso a procedimentos, tabelas, exibições e funções armazenados específicos. Essas funções obtêm ou adicionam dados no banco de dados Configuration Manager. Esses objetos estão localizados no banco de dados Configuration Manager em Funções de Segurança/Funções/Banco de Dados.

Importante

Modificar ou remover esses objetos pode causar problemas drásticos em um ambiente Configuration Manager. Não altere esses objetos. A lista a seguir é somente para fins de informações.

smsdbrole_AITool

Configuration Manager concede essa permissão a contas de usuário administrativas com base no acesso baseado em função para importar informações de licença de volume para o Asset Intelligence. Essa conta pode ser adicionada por uma função de Administrador Completo, Administrador de Operações ou Gerenciador de Ativos ou qualquer função com a permissão "Gerenciar Inteligência de Ativos".

smsdbrole_AIUS

Configuration Manager concede a conta de computador que hospeda o acesso à conta de ponto de sincronização do Asset Intelligence para obter dados de proxy do Asset Intelligence e exibir dados pendentes de IA para carregamento.

smsdbrole_CRP

Configuration Manager concede permissão à conta de computador do sistema de sites que dá suporte ao ponto de registro de certificado para o suporte do SCEP (Protocolo de Registro de Certificado Simples) para assinatura e renovação de certificado.

smsdbrole_CRPPfx

Configuration Manager concede permissão à conta de computador do sistema de sites que dá suporte ao ponto de registro de certificado configurado para suporte PFX para assinatura e renovação.

smsdbrole_DMP

Configuration Manager concede essa permissão à conta de computador para um ponto de gerenciamento que tem a opção Permitir que dispositivos móveis e computadores Mac usem esse ponto de gerenciamento, a capacidade de fornecer suporte para dispositivos registrados em MDM.

smsdbrole_DmpConnector

Configuration Manager concede essa permissão à conta de computador que hospeda o ponto de conexão de serviço para recuperar e fornecer dados de diagnóstico, gerenciar serviços de nuvem e recuperar atualizações de serviço.

smsdbrole_DViewAccess

Configuration Manager concede essa permissão à conta de computador dos servidores de site primários no CAS quando a opção SQL Server exibições distribuídas é selecionada nas propriedades do link de replicação.

smsdbrole_DWSS

Configuration Manager concede essa permissão à conta de computador que hospeda a função de data warehouse.

smsdbrole_EnrollSvr

Configuration Manager concede essa permissão à conta de computador que hospeda o ponto de registro para permitir o registro do dispositivo via MDM.

smsdbrole_extract

Fornece acesso a todas as exibições de esquema estendidas.

smsdbrole_HMSUser

Para o serviço do gerenciador de hierarquias. Configuration Manager concede permissões a essa conta para gerenciar mensagens de estado de failover e transações SQL Server Broker entre sites dentro de uma hierarquia.

Observação

A função smdbrole_WebPortal é um membro dessa função por padrão.

smsdbrole_MCS

Configuration Manager concede essa permissão à conta de computador do ponto de distribuição que dá suporte a multicast.

smsdbrole_MP

Configuration Manager concede essa permissão à conta de computador que hospeda a função de ponto de gerenciamento para fornecer suporte para os clientes Configuration Manager.

smsdbrole_MPMBAM

Configuration Manager concede essa permissão à conta de computador que hospeda o ponto de gerenciamento que gerencia o BitLocker para um ambiente.

smsdbrole_MPUserSvc

Configuration Manager concede essa permissão à conta de computador que hospeda o ponto de gerenciamento para dar suporte a solicitações de aplicativo baseadas no usuário.

smsdbrole_siteprovider

Configuration Manager concede essa permissão à conta de computador que hospeda uma função de Provedor de SMS.

smsdbrole_siteserver

Configuration Manager concede essa permissão à conta de computador que hospeda o site primário ou o CAS.

smsdbrole_SUP

Configuration Manager concede essa permissão à conta de computador que hospeda o ponto de atualização de software para trabalhar com atualizações de terceiros.

smsschm_users

Configuration Manager concede acesso à conta usada para a conta de ponto dos serviços de relatório para permitir o acesso às exibições de relatórios de SMS para exibir os dados de relatório Configuration Manager. Os dados são ainda mais restritos com o uso do acesso baseado em função.

Permissões elevadas

Configuration Manager requer que algumas contas tenham permissões elevadas para operações em andamento. Por exemplo, consulte Pré-requisitos para instalar um site primário. A lista a seguir resume essas permissões e os motivos pelos quais elas são necessárias.

• A conta de computador do servidor de site primário e do servidor do site de administração central requer:

  • Direitos do administrador local em todos os servidores do sistema de site. Essa permissão é gerenciar, instalar e remover serviços do sistema. O servidor do site também atualiza grupos locais no sistema de sites quando você adiciona ou remove funções.

  • Acesso sysadmin à instância SQL Server para o banco de dados do site. Essa permissão é configurar e gerenciar SQL Server para o site. Configuration Manager se integra fortemente ao SQL, não é apenas um banco de dados.

• As contas de usuário na função Administrador Completo exigem:

  • Direitos do administrador local em todos os servidores do site. Essa permissão é exibir, editar, remover e instalar serviços do sistema, chaves e valores do registro e objetos WMI.

  • Acesso sysadmin à instância SQL Server para o banco de dados do site. Essa permissão é instalar e atualizar o banco de dados durante a instalação ou recuperação. Também é necessário para SQL Server manutenção e operações. Por exemplo, reexendo e atualizando estatísticas.

    Observação

    Algumas organizações podem optar por remover o acesso sysadmin e concedê-lo somente quando for necessário. Esse comportamento às vezes é chamado de "acesso just-in-time (JIT)". Nesse caso, os usuários com a função administrador completo ainda devem ter acesso à leitura, atualização e execução de procedimentos armazenados no banco de dados Configuration Manager. Essas permissões permitem solucionar problemas na maioria dos problemas sem acesso total ao sysadmin.