Contas usadas no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Use as informações a seguir para identificar os Windows, contas e objetos SQL Server usados no Configuration Manager, como eles são usados e quaisquer requisitos.

Windows grupos que o Configuration Manager cria e usa

O Configuration Manager cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos Windows:

Observação

Quando o Configuration Manager cria um grupo em um computador membro de domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo será um grupo local de domínio. Esse tipo de grupo é compartilhado entre todos os controladores de domínio no domínio.

Configuração Manager_CollectedFilesAccess

O Configuration Manager usa esse grupo para conceder acesso para exibir arquivos coletados pelo inventário de software.

Para obter mais informações, consulte Introdução ao inventário de software.

Tipo e local para CollectedFilesAccess

Esse grupo é um grupo de segurança local criado no servidor de site principal.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação a CollectedFilesAccess

O Configuration Manager gerencia automaticamente a associação ao grupo. A associação inclui usuários administrativos que têm a permissão Exibir Arquivos Coletados para o objeto seguro Collection de uma função de segurança atribuída.

Permissões para CollectedFilesAccess

Por padrão, esse grupo tem permissão de leitura para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Configuração Manager_DViewAccess

Esse grupo é um grupo de segurança local que o Configuration Manager cria no servidor de banco de dados do site ou no servidor de réplica de banco de dados de um site principal filho. O site o cria quando você usa exibições distribuídas para replicação de banco de dados entre sites em uma hierarquia. Ele contém o servidor de sites e SQL Server contas de computador do site da administração central.

Para obter mais informações, consulte Transferências de dados entre sites.

Usuários de Controle Remoto do Configuration Manager

As ferramentas remotas do Configuration Manager usam esse grupo para armazenar as contas e grupos que você definiu na lista Visualizadores Permitidos. O site atribui essa lista a cada cliente.

Para obter mais informações, consulte Introdução ao controle remoto.

Tipo e local para usuários de controle remoto

Esse grupo é um grupo de segurança local criado no cliente do Configuration Manager quando o cliente recebe uma política que habilita ferramentas remotas.

Depois de desabilitar ferramentas remotas para um cliente, esse grupo não será removido automaticamente. Exclua-o manualmente após desabilitar ferramentas remotas.

Associação para usuários de controle remoto

Por padrão, não há membros neste grupo. Quando você adiciona usuários à lista Visualizadores Permitidos, eles são adicionados automaticamente a esse grupo.

Use a lista Visualizadores Permitidos para gerenciar a associação desse grupo em vez de adicionar usuários ou grupos diretamente a esse grupo.

Além de ser um visualizador permitido, um usuário administrativo deve ter a permissão Controle Remoto para o objeto Collection. Atribua essa permissão usando a função de segurança Operador de Ferramentas Remotas.

Permissões para usuários de controle remoto

Por padrão, esse grupo não tem permissões para quaisquer locais no computador. Ele é usado apenas para manter a lista Visualizadores Permitidos.

Administradores de SMS

O Configuration Manager usa esse grupo para conceder acesso ao Provedor de SMS por meio do WMI. O acesso ao Provedor de SMS é necessário para exibir e alterar objetos no console do Configuration Manager.

Observação

A configuração de administração baseada em função de um usuário administrativo determina quais objetos eles podem exibir e gerenciar ao usar o console do Configuration Manager.

Para obter mais informações, consulte Plan for the SMS Provider.

Tipo e local para administradores de SMS

Esse grupo é um grupo de segurança local criado em cada computador que tem um Provedor de SMS.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para administradores de SMS

O Configuration Manager gerencia automaticamente a associação ao grupo. Por padrão, cada usuário administrativo em uma hierarquia e a conta de computador do servidor do site são membros do grupo Administradores de SMS em cada computador provedor de SMS em um site.

Permissões para administradores de SMS

Você pode exibir os direitos e permissões para o grupo Administradores de SMS no snap-in MMC de Controle WMI. Por padrão, esse grupo é concedido Habilitar Conta e Habilitar Remotamente no Root\SMS namespace WMI. Os usuários autenticados têm Métodos Execute, Gravação do Provedor e Habilitar Conta.

Ao usar um console do Gerenciador de Configurações remoto, configure permissões DCOM de Ativação Remota no computador do servidor de site e no Provedor de SMS. Conceda esses direitos ao grupo Administradores de SMS. Essa ação simplifica a administração em vez de conceder esses direitos diretamente a usuários ou grupos. Para obter mais informações, consulte Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_ < sitecode>

Os pontos de gerenciamento remotos do servidor de site usam esse grupo para se conectar ao banco de dados do site. Esse grupo fornece um acesso de ponto de gerenciamento às pastas de caixa de entrada no servidor do site e no banco de dados do site.

Tipo e local para SMS_SiteSystemToSiteServerConnection_MP

Esse grupo é um grupo de segurança local criado em cada computador que tem um Provedor de SMS.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_MP

O Configuration Manager gerencia automaticamente a associação ao grupo. Por padrão, a associação inclui as contas de computador de computadores remotos que têm um ponto de gerenciamento para o site.

Permissões para SMS_SiteSystemToSiteServerConnection_MP

Por padrão, esse grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes . Esse grupo também tem permissão Gravar para subpastas abaixo das caixas de entrada , nas quais o ponto de gerenciamento grava dados do cliente.

SMS_SiteSystemToSiteServerConnection_SMSProv_ < sitecode>

Os computadores provedores de SMS remotos usam esse grupo para se conectar ao servidor do site.

Tipo e local para SMS_SiteSystemToSiteServerConnection_SMSProv

Esse grupo é um grupo de segurança local criado no servidor do site.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_SMSProv

O Configuration Manager gerencia automaticamente a associação ao grupo. Por padrão, a associação inclui a conta do computador ou uma conta de usuário de domínio. Ele usa essa conta para se conectar ao servidor de site de cada Provedor de SMS remoto.

Permissões para SMS_SiteSystemToSiteServerConnection_SMSProv

Por padrão, esse grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes . Esse grupo também tem as permissões Gravar e Modificar para subpastas abaixo das caixas de entrada. O Provedor de SMS requer acesso a essas pastas.

Esse grupo também tem permissão de leitura para as subpastas no servidor de site abaixo C:\Program Files\Microsoft Configuration Manager\OSD\Bin .

Ele também tem as seguintes permissões para as subpastas abaixo C:\Program Files\Microsoft Configuration Manager\OSD\boot :

  • Leitura
  • Ler & executar
  • Listar conteúdo da pasta
  • Escrever
  • Modificar

SMS_SiteSystemToSiteServerConnection_Stat_ < sitecode>

O componente do gerenciador de expedição de arquivos em computadores do sistema de site remoto do Configuration Manager usa esse grupo para se conectar ao servidor do site.

Tipo e local para SMS_SiteSystemToSiteServerConnection_Stat

Esse grupo é um grupo de segurança local criado no servidor do site.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Associação para SMS_SiteSystemToSiteServerConnection_Stat

O Configuration Manager gerencia automaticamente a associação ao grupo. Por padrão, a associação inclui a conta do computador ou a conta de usuário do domínio. Ele usa essa conta para se conectar ao servidor de site de cada sistema de site remoto que executa o gerenciador de expedição de arquivos.

Permissões para SMS_SiteSystemToSiteServerConnection_Stat

Por padrão, esse grupo tem a permissão Ler, Ler & executar e Listar conteúdo da pasta para a seguinte pasta e suas subpastas no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes .

Esse grupo também tem as permissões Gravar e Modificar para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box .

SMS_SiteToSiteConnection_ < sitecode>

O Configuration Manager usa esse grupo para habilitar a replicação baseada em arquivo entre sites em uma hierarquia. Para cada site remoto que transfere arquivos diretamente para este site, esse grupo tem contas configuradas como uma Conta de Replicação de Arquivo.

Tipo e local para SMS_SiteToSiteConnection

Esse grupo é um grupo de segurança local criado no servidor do site.

Associação para SMS_SiteToSiteConnection

Quando você instala um novo site como filho de outro site, o Configuration Manager adiciona automaticamente a conta do computador do novo servidor de site a esse grupo no servidor de site pai. O Configuration Manager também adiciona a conta do computador do site pai ao grupo no novo servidor de site. Se você especificar outra conta para transferências baseadas em arquivo, adicione essa conta a esse grupo no servidor de site de destino.

Quando você desinstala um site, esse grupo não é removido automaticamente. Exclua-o manualmente depois de desinstalar um site.

Permissões para SMS_SiteToSiteConnection

Por padrão, este grupo tem controle Total para a seguinte pasta: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive .

Contas que o Configuration Manager usa

Você pode configurar as seguintes contas para o Configuration Manager.

Dica

Não use o caractere percentual ( ) na senha para contas que % você especificar no console do Configuration Manager. A conta não será autenticada.

Conta de descoberta de grupo do Active Directory

O site usa a conta de descoberta de grupo do Active Directory para descobrir os seguintes objetos dos locais nos Serviços de Domínio do Active Directory especificados:

  • Grupos de segurança locais, globais e universais
  • A associação dentro desses grupos
  • A associação nos grupos de distribuição
    • Os grupos de distribuição não são descobertos como recursos de grupo

Essa conta pode ser uma conta de computador do servidor de site que executa a descoberta ou uma Windows de usuário. Ele deve ter permissão de acesso de leitura para os locais do Active Directory especificados para descoberta.

Para obter mais informações, consulte Descoberta de Grupo do Active Directory.

Conta de descoberta do sistema do Active Directory

O site usa a conta de descoberta do sistema do Active Directory para descobrir computadores dos locais nos Serviços de Domínio do Active Directory especificados.

Essa conta pode ser uma conta de computador do servidor de site que executa a descoberta ou uma Windows de usuário. Ele deve ter permissão de acesso de leitura para os locais do Active Directory especificados para descoberta.

Para obter mais informações, consulte Descoberta de sistema do Active Directory.

Conta de descoberta de usuário do Active Directory

O site usa a conta de descoberta de usuário do Active Directory para descobrir contas de usuário dos locais nos Serviços de Domínio do Active Directory especificados.

Essa conta pode ser uma conta de computador do servidor de site que executa a descoberta ou uma Windows de usuário. Ele deve ter permissão de acesso de leitura para os locais do Active Directory especificados para descoberta.

Para obter mais informações, consulte Descoberta de Usuário do Active Directory.

Conta de floresta do Active Directory

O site usa a conta de floresta do Active Directory para descobrir a infraestrutura de rede de florestas do Active Directory. Os sites da administração central e os sites principais também o usam para publicar dados de site nos Serviços de Domínio do Active Directory para uma floresta.

Observação

Sites secundários sempre usam a conta de computador do servidor de site secundário para publicar no Active Directory.

Para descobrir e publicar em florestas nãotrudas, a conta de floresta do Active Directory deve ser uma conta global. Se você não usar a conta do computador do servidor de site, poderá selecionar apenas uma conta global.

Essa conta deve ter permissões de leitura para cada floresta do Active Directory onde você deseja descobrir a infraestrutura de rede.

Essa conta deve ter permissões de Controle Total para o contêiner gerenciamento do sistema e todos os seus objetos filho em cada floresta do Active Directory onde você deseja publicar dados do site. Para obter mais informações, consulte Prepare Active Directory for site publishing.

Para obter mais informações, consulte Descoberta de floresta do Active Directory.

Conta do ponto de registro do certificado

O ponto de registro do certificado usa a conta de ponto de registro de certificado para se conectar ao banco de dados do Configuration Manager. Ele usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de registro de certificado estiver em um domínio não falso do servidor do site, você deve especificar uma conta de usuário. Essa conta requer apenas acesso de leitura ao banco de dados do site, porque o sistema de mensagens de estado lida com tarefas de gravação.

Para obter mais informações, consulte Introdução aos perfis de certificado.

Capturar conta de imagem do sistema operacional

Quando você captura uma imagem do sistema operacional, o Configuration Manager usa a conta de imagem do Sistema Operacional de Captura para acessar a pasta onde você armazena imagens capturadas. Se você adicionar a etapa Capturar imagem do sistema operacional a uma sequência de tarefas, essa conta será necessária.

A conta deve ter permissões de Leitura e Gravação no compartilhamento de rede onde você armazena imagens capturadas.

Se você alterar a senha da conta em Windows, atualize a sequência de tarefas com a nova senha. O cliente do Configuration Manager recebe a nova senha quando baixa a política do cliente em seguida.

Se precisar usar essa conta, crie uma conta de usuário de domínio. Conceda permissões mínimas para acessar os recursos de rede necessários e usá-los para todas as sequências de tarefas de captura.

Importante

Não atribua permissões interativas de login a essa conta.

Não use a conta de acesso à rede para essa conta.

Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um sistema operacional.

Conta de instalação por push do cliente

Quando você implanta clientes usando o método de instalação por push do cliente, o site usa a conta de instalação por push do cliente para se conectar a computadores e instalar o software cliente do Configuration Manager. Se você não especificar essa conta, o servidor de sites tentará usar sua conta de computador.

Essa conta deve ser membro do grupo administradores locais nos computadores cliente de destino. Essa conta não exige direitos de Administrador de Domínio.

Você pode especificar mais de uma conta de instalação por push do cliente. O Configuration Manager tenta cada um por sua vez até que um seja bem-sucedido.

Dica

Se você tiver um ambiente grande do Active Directory e precisar alterar essa conta, use o processo a seguir para coordenar essa atualização de conta com mais eficiência:

  1. Criar uma nova conta com um nome diferente
  2. Adicionar a nova conta à lista de contas de instalação por push do cliente no Configuration Manager
  3. Permitir tempo suficiente para os Serviços de Domínio do Active Directory replicarem a nova conta
  4. Em seguida, remova a conta antiga do Configuration Manager e dos Serviços de Domínio do Active Directory

Importante

Use a política de domínio ou grupo local para atribuir ao usuário Windows direito de Negar logoff localmente. Como membro do grupo Administradores, essa conta terá o direito de entrar localmente, o que não é necessário. Para maior segurança, negue explicitamente o direito a essa conta. O direito de negação sobressui o direito de permitir.

Para obter mais informações, consulte Instalação por push do cliente.

Conta de conexão do ponto de registro

O ponto de registro usa a conta de conexão de ponto de registro para se conectar ao banco de dados de site do Configuration Manager. Ele usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de registro está em um domínio não falso do servidor do site, você deve especificar uma conta de usuário. Essa conta requer acesso de leitura e gravação ao banco de dados do site.

Para obter mais informações, consulte Install site system roles for on-premises MDM.

Exchange Server de conexão

O servidor de site usa a Exchange Server de conexão para se conectar ao Exchange Server especificado. Ele usa essa conexão para encontrar e gerenciar dispositivos móveis que se conectam a Exchange Server. Essa conta requer Exchange cmdlets do PowerShell que fornecem as permissões necessárias para o Exchange Server computador. Para obter mais informações sobre os cmdlets, consulte Install and configure the Exchange connector.

Conta de conexão de ponto de gerenciamento

O ponto de gerenciamento usa a conta de conexão de ponto de gerenciamento para se conectar ao banco de dados de site do Configuration Manager. Ele usa essa conexão para enviar e recuperar informações para clientes. O ponto de gerenciamento usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o ponto de gerenciamento está em um domínio não falso do servidor do site, você deve especificar uma conta de usuário.

Crie a conta como uma conta local de baixa direita no computador que executa Microsoft SQL Server.

Importante

Não conceda direitos de login interativos a essa conta.

Conta de conexão multicast

Os pontos de distribuição habilitados para multicast usam a conta de conexão multicast para ler informações do banco de dados do site. O servidor usa sua conta de computador por padrão, mas você pode configurar uma conta de usuário. Quando o banco de dados de site está em uma floresta não falsa, você deve especificar uma conta de usuário. Por exemplo, se o data center tiver uma rede de perímetro em uma floresta diferente do servidor de site e do banco de dados do site, use essa conta para ler as informações de multicast do banco de dados do site.

Se você precisar dessa conta, crie-a como uma conta local de baixa direita no computador que executa Microsoft SQL Server.

Importante

Não conceda direitos de login interativos a essa conta.

Para obter mais informações, consulte Use multicast to deploy Windows over the network.

Conta de acesso à rede

Os computadores cliente usam a conta de acesso à rede quando não podem usar sua conta de computador local para acessar conteúdo em pontos de distribuição. Aplica-se principalmente a clientes de grupo de trabalho e computadores de domínios não-não-confiança. Essa conta também é usada durante a implantação do sistema operacional, quando o computador que está instalando o sistema operacional ainda não tem uma conta de computador no domínio.

Importante

A conta de acesso à rede nunca é usada como contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas. Ele é usado apenas para acessar recursos na rede.

Um cliente do Configuration Manager tenta primeiro usar sua conta de computador para baixar o conteúdo. Se falhar, ele tentará automaticamente a conta de acesso à rede.

Se você configurar o site para HTTPS ou HTTP aprimorado,um grupo de trabalho ou cliente ingressado no Azure AD poderá acessar com segurança o conteúdo de pontos de distribuição sem a necessidade de uma conta de acesso à rede. Esse comportamento inclui cenários de implantação do sistema operacional com uma sequência de tarefas em execução a partir de mídia de inicialização, PXE ou Centro de Software. Para obter mais informações, consulte Comunicação de ponto de gerenciamento para cliente.

Observação

Se você habilitar o HTTP aprimorado para não exigir a conta de acesso à rede, o ponto de distribuição precisará ser executado Windows Server 2012 ou posterior.

Permissões para a conta de acesso à rede

Conceda a essa conta as permissões mínimas apropriadas no conteúdo que o cliente requer para acessar o software. A conta deve ter o Access este computador da rede bem no ponto de distribuição. Você pode configurar até 10 contas de acesso à rede por site.

Crie a conta em qualquer domínio que fornece o acesso necessário aos recursos. A conta de acesso à rede sempre deve incluir um nome de domínio. A segurança de passagem não tem suporte para essa conta. Se você tiver pontos de distribuição em vários domínios, crie a conta em um domínio confiável.

Dica

Para evitar bloqueios de conta, não altere a senha em uma conta de acesso à rede existente. Em vez disso, crie uma nova conta e configurar a nova conta no Configuration Manager. Quando o tempo suficiente tiver passado para todos os clientes receberem os novos detalhes da conta, remova a conta antiga das pastas compartilhadas da rede e exclua a conta.

Importante

Não conceda direitos de login interativos a essa conta.

Não conceda a essa conta o direito de ingressar computadores no domínio. Se você deve ingressar computadores no domínio durante uma sequência de tarefas, use a conta de junção de domínio dasequência de tarefas .

Configurar a conta de acesso à rede

  1. No console do Configuration Manager, vá para o espaço de trabalho Administração, expanda Configuração do Site e selecione o nó Sites. Em seguida, selecione o site.

  2. No grupo Configurações faixa de opções, selecione Configurar Componentes do Site e escolha Distribuição de Software.

  3. Escolha a guia Conta de acesso à rede. Configurar uma ou mais contas e, em seguida, escolher OK.

Ações que exigem a conta de acesso à rede

A conta de acesso à rede ainda é necessária para as seguintes ações:

  • Multicast. Para obter mais informações, consulte Use multicast to deploy Windows over the network.

  • Opção de implantação de sequência de tarefas para Acessar conteúdo diretamente de um ponto de distribuição quando necessário pela sequência de tarefas em execução. Para obter mais informações, consulte Opções de implantação da sequência de tarefas.

  • Solicitar etapa de sequência de tarefas do State Store. Se a sequência de tarefas não puder se comunicar com o ponto de migração de estado usando a conta do computador do dispositivo, ela retornará para usar a conta de acesso à rede. Para obter mais informações, consulte Request State Store.

  • Aplicar a opção de etapa de sequência de tarefas de imagem do sistema operacional ao Acessar conteúdo diretamente do ponto de distribuição. Essa opção é principalmente para cenários Windows incorporados com baixo espaço em disco em que o armazenamento em cache no disco local é caro. Para obter mais informações, consulte Acessar conteúdo diretamente do ponto de distribuição

  • Configuração das propriedades da Sequência de Tarefas para Executar outro programa primeiro. Essa configuração executa um pacote e um programa de um compartilhamento de rede antes da sequência de tarefas ser iniciada. Para obter mais informações, consulte Gerenciar sequências de tarefas para automatizar tarefas: Configurações avançadas.

  • O gerenciamento de clientes em domínios não confiança e cenários entre florestas permitem várias contas de acesso à rede.

Conta de acesso ao pacote

Uma conta de acesso a pacote permite definir permissões NTFS para especificar os usuários e grupos de usuários que podem acessar o conteúdo do pacote em pontos de distribuição. Por padrão, o Configuration Manager concede acesso apenas às contas de acesso genéricos Usuário e Administrador. Você pode controlar o acesso a computadores clientes usando outras Windows contas ou grupos. Os dispositivos móveis sempre recuperam o conteúdo do pacote anonimamente, para que eles não usem uma conta de acesso a pacote.

Por padrão, quando o Configuration Manager copia os arquivos de conteúdo para um ponto de distribuição, ele concede acesso de leitura ao grupo usuários locais e Controle Total ao grupo de Administradores local. As permissões reais necessárias dependem do pacote. Se você tiver clientes em grupos de trabalho ou em florestas nãotrudas, esses clientes usarão a conta de acesso à rede para acessar o conteúdo do pacote. Certifique-se de que a conta de acesso à rede tenha permissões para o pacote usando as contas de acesso de pacote definidas.

Use contas em um domínio que possa acessar os pontos de distribuição. Se você criar ou modificar a conta depois de criar o pacote, deverá redistribuir o pacote. A atualização do pacote não altera as permissões NTFS no pacote.

Você não precisa adicionar a conta de acesso à rede como uma conta de acesso a pacote, pois a associação ao grupo Usuários a adiciona automaticamente. Restringir a conta de acesso ao pacote somente à conta de acesso à rede não impede que os clientes acessem o pacote.

Gerenciar contas de acesso a pacote

  1. No console do Configuration Manager, vá para o espaço de trabalho Biblioteca de Software.

  2. No espaço de trabalho Biblioteca de Software, determine o tipo de conteúdo para o qual você deseja gerenciar contas de acesso e siga as etapas fornecidas:

    • Aplicativo: Expanda o Gerenciamento de Aplicativos, escolha Aplicativos e selecione o aplicativo para o qual gerenciar contas de acesso.

    • Pacote: Expanda o Gerenciamento de Aplicativos, escolha Pacotes e selecione o pacote para o qual gerenciar contas de acesso.

    • Pacote de implantação de atualização de software: Expanda Atualizações de Software, escolha Pacotes de Implantação e selecione o pacote de implantação para o qual gerenciar contas de acesso.

    • Pacote de driver: Expanda Sistemas Operacionais, escolha Pacotes de Driver e selecione o pacote de driver para o qual gerenciar contas de acesso.

    • Imagem do sistema operacional : Expanda Sistemas Operacionais, escolha Imagens do Sistema Operacional e selecione a imagem do sistema operacional para a qual gerenciar contas de acesso.

    • Pacote de atualização do sistema operacional : Expanda Sistemas Operacionais, escolha Pacotes de atualização do sistema operacional e selecione o pacote de atualização do sistema operacional para o qual gerenciar contas de acesso.

    • Imagem de inicialização: Expanda Sistemas Operacionais, escolha Imagens de Inicialização e selecione a imagem de inicialização para a qual gerenciar contas de acesso.

  3. Clique com o botão direito do mouse no objeto selecionado e escolha Gerenciar Contas de Acesso.

  4. Na caixa de diálogo Adicionar Conta, especifique o tipo de conta que receberá acesso ao conteúdo e especifique os direitos de acesso associados à conta.

    Observação

    Quando você adiciona um nome de usuário para a conta e o Configuration Manager localiza uma conta de usuário local e uma conta de usuário de domínio com esse nome, o Configuration Manager define direitos de acesso para a conta de usuário do domínio.

Conta de ponto de serviços de relatório

SQL Server Reporting Services a conta de ponto dos serviços de relatório para recuperar os dados dos relatórios do Configuration Manager do banco de dados do site. A Windows de usuário e a senha especificadas são criptografadas e armazenadas no banco SQL Server Reporting Services de dados.

Observação

A conta especificada deve ter permissões de Logons localmente no computador que hospeda o banco de dados SQL Server Reporting Services.

A conta é automaticamente concedida a todos os direitos necessários, sendo adicionada à função de banco de dados smsschm_users SQL Server no banco de dados do Configuration Manager.

Para obter mais informações, consulte Introdução ao relatório.

Contas de visualizador permitidas de ferramentas remotas

As contas que você especificar como Visualizadores Permitidos para controle remoto são uma lista de usuários que têm permissão para usar a funcionalidade de ferramentas remotas em clientes.

Para obter mais informações, consulte Introdução ao controle remoto.

Conta de instalação do site

Use uma conta de usuário de domínio para entrar no servidor onde você executar a instalação do Configuration Manager e instalar um novo site.

Essa conta requer os seguintes direitos:

  • Administrador nos seguintes servidores:

    • O servidor de sites
    • Cada servidor que hospeda o banco de dados do site
    • Cada instância do Provedor de SMS para o site
  • Sysadmin na instância do SQL Server que hospeda o banco de dados do site

A configuração do Configuration Manager adiciona essa conta automaticamente ao grupo Administradores de SMS.

Após a instalação, essa conta é o único usuário com direitos para o console do Configuration Manager. Se você precisar remover essa conta, certifique-se de adicionar seus direitos a outro usuário primeiro.

Ao expandir um site autônomo para incluir um site de administração central, essa conta requer direitos de administração baseados em função de Administrador Total ou Administrador de Infraestrutura no site principal autônomo.

Conta de instalação do sistema de sites

O servidor de site usa a conta de instalação do sistema de site para instalar, reinstalar, desinstalar e configurar sistemas de site. Se você configurar o sistema de site para exigir que o servidor de site inicie conexões com esse sistema de sites, o Configuration Manager também usará essa conta para puxar dados do sistema de site depois que ele instalar o sistema de sites e quaisquer funções. Cada sistema de sites pode ter uma conta de instalação diferente, mas você pode configurar apenas uma conta de instalação para gerenciar todas as funções nesse sistema de site.

Essa conta requer permissões administrativas locais nos sistemas de site de destino. Além disso, essa conta deve ter Acesso a esse computador da rede na política de segurança nos sistemas de site de destino.

Dica

Se você tiver muitos controladores de domínio e essas contas são usadas em domínios, antes de configurar o sistema de sites, verifique se o Active Directory replicou essas contas.

Quando você especifica uma conta local em cada sistema de sites a ser gerenciada, essa configuração é mais segura do que usar contas de domínio. Limita os danos que os invasores podem causar se a conta estiver comprometida. No entanto, contas de domínio são mais fáceis de gerenciar. Considere a troca entre a segurança e a administração eficaz.

Conta do servidor proxy do sistema de sites

As seguintes funções do sistema de site usam a conta de servidor proxy do sistema de site para acessar a Internet por meio de um servidor proxy ou firewall que requer acesso autenticado:

  • Ponto de sincronização do Asset Intelligence
  • Conector do Exchange Server
  • Ponto de conexão de serviço
  • Ponto de atualização de software

Importante

Especifique uma conta que tenha as permissões menos possíveis para o servidor proxy ou firewall necessário.

Para obter mais informações, consulte Proxy server support.

Conta de conexão de servidor SMTP

O servidor de site usa a conta de conexão do servidor SMTP para enviar alertas de email quando o servidor SMTP exige acesso autenticado.

Importante

Especifique uma conta que tenha as permissões menos possíveis para enviar emails.

Para obter mais informações, consulte Configure alerts.

Conta de conexão de ponto de atualização de software

O servidor de site usa a conta de conexão de ponto de atualização de software para os dois seguintes serviços de atualização de software:

  • Windows Server Update Services (WSUS), que configura configurações como definições de produto, classificações e configurações upstream.

  • WSUS Synchronization Manager, que solicita sincronização com um servidor WSUS upstream ou o Microsoft Update.

A conta de instalação do sistema de site pode instalar componentes para atualizações de software, mas não pode fazer funções específicas de atualização de software no ponto de atualização de software. Se você não puder usar a conta do computador do servidor de sites para essa funcionalidade porque o ponto de atualização de software está em uma floresta não falsa, especifique essa conta junto com a conta de instalação do sistema de sites.

Essa conta deve ser um administrador local no computador onde você instala o WSUS. Ele também deve fazer parte do grupo local de Administradores do WSUS.

Para obter mais informações, consulte Plan for software updates.

Conta de site de origem

O processo de migração usa a conta de site de origem para acessar o Provedor SMS do site de origem. Essa conta requer permissões de leitura para objetos de site no site de origem para coletar dados para trabalhos de migração.

Se você tiver pontos de distribuição do Configuration Manager 2007 ou sites secundários com pontos de distribuição colocados, ao atualiza-los para pontos de distribuição do Configuration Manager (branch atual), essa conta também deverá ter permissões Excluir para a classe Site. Essa permissão é para remover com êxito o ponto de distribuição do site do Configuration Manager 2007 durante a atualização.

Observação

Tanto a conta de site de origem quanto a conta de banco de dados do site de origem são identificadas como Gerenciador de Migração no nó Contas do espaço de trabalho Administração no console do Configuration Manager.

Para obter mais informações, consulte Migrar dados entre hierarquias.

Conta de banco de dados de site de origem

O processo de migração usa a conta de banco de dados de site de origem para acessar o banco de dados SQL Server para o site de origem. Para coletar dados do banco de dados SQL Server do site de origem, a conta de banco de dados do site de origem deve ter as permissões De leitura e execução para o banco de dados de SQL Server do site de origem.

Se você usar a conta de computador do Configuration Manager (filial atual), certifique-se de que todos os seguintes são verdadeiros para esta conta:

  • É membro do grupo de segurança Usuários COM Distribuídos no mesmo domínio que o site do Configuration Manager 2012
  • É membro do grupo de segurança administradores do SMS
  • Ele tem a permissão De leitura para todos os objetos configuration Manager 2012

Observação

Tanto a conta de site de origem quanto a conta de banco de dados do site de origem são identificadas como Gerenciador de Migração no nó Contas do espaço de trabalho Administração no console do Configuration Manager.

Para obter mais informações, consulte Migrar dados entre hierarquias.

Conta de junção de domínio de sequência de tarefas

Windows A Instalação usa a conta de junção de domínio da sequência de tarefas para ingressar um computador recém-configurado em um domínio. Essa conta é necessária pela etapa de sequência de tarefas Ingressar domínio ou grupo de trabalho com a opção Ingressar em um domínio. Essa conta também pode ser configurada com a etapa Aplicar rede Configurações, mas não é necessária.

Essa conta requer a Junção de Domínio direita no domínio de destino.

Dica

Crie uma conta de usuário de domínio com as permissões mínimas para ingressar no domínio e use-a para todas as sequências de tarefas.

Importante

Não atribua permissões interativas de login a essa conta.

Não use a conta de acesso à rede para essa conta.

Conta de conexão de pasta de rede de sequência de tarefas

O mecanismo de sequência de tarefas usa a conta de conexão de pasta de rede sequência de tarefas para se conectar a uma pasta compartilhada na rede. Essa conta é necessária pela etapa de sequência de tarefas Conexão pasta de rede.

Essa conta requer permissões para acessar a pasta compartilhada especificada. Deve ser uma conta de usuário de domínio.

Dica

Crie uma conta de usuário de domínio com permissões mínimas para acessar os recursos de rede necessários e usá-la para todas as sequências de tarefas.

Importante

Não atribua permissões interativas de login a essa conta.

Não use a conta de acesso à rede para essa conta.

Sequência de tarefas executado como conta

O mecanismo de sequência de tarefas usa a sequência de tarefas executado como conta para executar linhas de comando ou Scripts do PowerShell com credenciais diferentes da conta do Sistema Local. Essa conta é necessária pelas etapas de sequência de tarefas Executar Linha de Comando e Executar Script do PowerShell com a opção Executar esta etapa como a conta a seguir escolhida.

Configurar a conta para ter as permissões mínimas necessárias para executar a linha de comando especificada na sequência de tarefas. A conta requer direitos de login interativos. Geralmente, exige a capacidade de instalar software e acessar recursos de rede. Para a tarefa Executar Script do PowerShell, essa conta requer permissões de administrador local.

Importante

Não use a conta de acesso à rede para essa conta.

Nunca faça da conta um administrador de domínio.

Nunca configurar perfis de roaming para essa conta. Quando a sequência de tarefas é executado, baixa o perfil de roaming da conta. Isso deixa o perfil vulnerável ao acesso no computador local.

Limite o escopo da conta. Por exemplo, crie uma sequência de tarefas diferente, executado como contas para cada sequência de tarefas. Em seguida, se uma conta for comprometida, somente os computadores cliente aos quais essa conta tem acesso serão comprometidos.

Se a linha de comando exigir acesso administrativo no computador, considere criar uma conta de administrador local somente para essa conta em todos os computadores que executem a sequência de tarefas. Exclua a conta quando não precisar mais dela.

Objetos de usuário que o Configuration Manager usa em SQL Server

O Configuration Manager cria e mantém automaticamente os seguintes objetos de usuário SQL. Esses objetos estão localizados no banco de dados do Configuration Manager em Segurança/Usuários.

Importante

Modificar ou remover esses objetos pode causar problemas drásticas em um ambiente do Configuration Manager. Recomendamos que você não faça alterações nesses objetos.

smsdbuser_ReadOnly

Esse objeto é usado para executar consultas no contexto somente leitura. Esse objeto é usado com vários procedimentos armazenados.

smsdbuser_ReadWrite

Esse objeto é usado para fornecer permissões para instruções SQL dinâmicas.

smsdbuser_ReportSchema

Esse objeto é usado para executar SQL Server Execuções de Relatórios. O procedimento armazenado a seguir é usado com esta função: spSRExecQuery .

Funções de banco de dados que o Configuration Manager usa SQL

O Configuration Manager cria e mantém automaticamente os seguintes objetos de função SQL. Essas funções fornecem acesso a procedimentos, tabelas, exibições e funções armazenados específicos. Essas funções podem obter ou adicionar dados no banco de dados do Configuration Manager. Esses objetos estão localizados no banco de dados do Configuration Manager em Funções de Segurança/Funções/Banco de Dados.

Importante

Modificar ou remover esses objetos pode causar problemas drásticas em um ambiente do Configuration Manager. Não altere esses objetos. A lista a seguir é apenas para fins de informação.

smsdbrole_AITool

O Configuration Manager concede essa permissão a contas de usuários com base no acesso baseado em função para importar informações de licença de volume para o Asset Intelligence. Essa conta pode ser adicionada por uma função Administrador Completo ou Gerenciador de Ativos.

smsdbrole_AIUS

O Configuration Manager concede à conta do computador que hospeda o acesso à conta de ponto de sincronização do Asset Intelligence para obter dados de proxy de Inteligência de Ativos e para exibir dados de IA pendentes para carregamento.

smsdbrole_CRP

O Configuration Manager concede permissão à conta de computador do sistema de site que oferece suporte ao ponto de registro de certificado para suporte ao SCEP (Protocolo de Registro de Certificado Simples) para assinatura e renovação de certificados.

smsdbrole_CRPPfx

O Configuration Manager concede permissão à conta do computador do sistema de site que dá suporte ao ponto de registro de certificado configurado para suporte PFX para assinatura e renovação.

smsdbrole_DMP

O Configuration Manager concede essa permissão à conta do computador para um ponto de gerenciamento que tem a opção Permitir que dispositivos móveis e computadores Mac usem esse ponto de gerenciamento, a capacidade de oferecer suporte para dispositivos inscritos no MDM.

smsdbrole_DmpConnector

O Configuration Manager concede essa permissão à conta do computador que hospeda o ponto de conexão de serviço para recuperar e fornecer dados de diagnóstico, gerenciar serviços de nuvem e recuperar atualizações de serviço.

smsdbrole_DViewAccess

O Configuration Manager concede essa permissão à conta do computador dos servidores de site primários no CAS quando a opção de exibição distribuída SQL Server estiver selecionada nas propriedades do link de replicação.

smsdbrole_DWSS

O Configuration Manager concede essa permissão à conta do computador que hospeda a função de data warehouse.

smsdbrole_EnrollSvr

O Configuration Manager concede essa permissão à conta do computador que hospeda o ponto de registro para permitir o registro de dispositivo por meio do MDM.

smsdbrole_extract

Fornece acesso a todas as exibições de esquema estendidas.

smsdbrole_HMSUser

Para o serviço de gerenciador de hierarquias. O Configuration Manager concede permissões a essa conta para gerenciar mensagens de estado de failover e SQL Server transações de Agente entre sites dentro de uma hierarquia.

Observação

A smdbrole_WebPortal função é um membro dessa função por padrão.

smsdbrole_MCS

O Configuration Manager concede essa permissão à conta do computador do ponto de distribuição que dá suporte a multicast.

smsdbrole_MP

O Configuration Manager concede essa permissão à conta do computador que hospeda a função de ponto de gerenciamento para fornecer suporte aos clientes do Configuration Manager.

smsdbrole_MPMBAM

O Configuration Manager concede essa permissão à conta do computador que hospeda o ponto de gerenciamento que gerencia o BitLocker para um ambiente.

smsdbrole_MPUserSvc

O Configuration Manager concede essa permissão à conta do computador que hospeda o ponto de gerenciamento para dar suporte a solicitações de aplicativos baseadas no usuário.

smsdbrole_siteprovider

O Configuration Manager concede essa permissão à conta do computador que hospeda uma função de Provedor de SMS.

smsdbrole_siteserver

O Configuration Manager concede essa permissão à conta do computador que hospeda o site principal ou o CAS.

smsdbrole_SUP

O Configuration Manager concede essa permissão à conta do computador que hospeda o ponto de atualização de software para trabalhar com atualizações de terceiros.

smsschm_users

O Configuration Manager concede acesso à conta usada para a conta de ponto de serviços de relatório para permitir o acesso aos exibições de relatório sms para exibir os dados de relatório do Configuration Manager. Os dados são ainda mais restritos com o uso de acesso baseado em função.

Permissões elevadas

O Configuration Manager exige que algumas contas tenham permissões elevadas para operações em execução. Por exemplo, consulte Prerequisites for installing a primary site. A lista a seguir resume essas permissões e os motivos pelos quais elas são necessárias.

  • A conta do computador do servidor de site principal e do servidor de site da administração central requer:

    • Direitos de administrador local em todos os servidores do sistema de sites. Essa permissão é para gerenciar, instalar e remover serviços do sistema. O servidor do site também atualiza grupos locais no sistema de sites quando você adiciona ou remove funções.

    • Acesso Sysadmin à instância SQL Server para o banco de dados do site. Essa permissão é para configurar e gerenciar SQL Server para o site. O Configuration Manager integra-se SQL, não é apenas um banco de dados.

  • As contas de usuário na função Administrador Completo exigem:

    • Direitos de administrador local em todos os servidores de site. Essa permissão é para exibir, editar, remover e instalar serviços do sistema, chaves e valores do Registro e objetos WMI.

    • Acesso Sysadmin à instância SQL Server para o banco de dados do site. Essa permissão é para instalar e atualizar o banco de dados durante a instalação ou recuperação. Também é necessário para manutenção SQL Server e operações. Por exemplo, reindexando e atualizando estatísticas.

      Observação

      Algumas organizações podem optar por remover o acesso sysadmin e apenas concedi-lo quando necessário. Esse comportamento às vezes é conhecido como "acesso just-in-time (JIT)". Nesse caso, os usuários com a função Administrador Completo ainda devem ter acesso à leitura, atualização e execução de procedimentos armazenados no banco de dados do Configuration Manager. Essas permissões permitem solucionar a maioria dos problemas sem acesso sysadmin completo.