Referência técnica para as contas usadas no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Use as seguintes informações para identificar os grupos e as contas do Windows usados no System Center 2012 Configuration Manager, como são usados e os requisitos.
Grupos do Windows que o Configuration Manager cria e usa
O Gerenciador de Configurações cria e, em muitos casos, mantém automaticamente os seguintes grupos do Windows:
.jpeg "System_CAPS_note"){kind=icon} Observação |
|---|
Quando o Gerenciador de Configurações cria um grupo em um computador que é membro do domínio, trata-se de um grupo local de segurança. Quando o computador é um controlador de domínio, trata-se de um grupo de domínio local compartilhado entre todos os controladores de domínio no domínio. |
ConfigMgr_CollectedFilesAccess
Esse grupo é usado pelo Gerenciador de Configurações para conceder acesso para exibir arquivos coletados pelo inventário de software.
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado no servidor do site primário.
|
||
Associação |
O Gerenciador de Configurações gerencia automaticamente a associação a um grupo. A associação inclui usuários administrativos que recebem a permissão Exibir Arquivos Coletados para o objeto protegível Coleção de uma função de segurança atribuída. |
||
Permissões |
Por padrão, este grupo tem a permissão Read para a seguinte pasta no servidor do site: %path%\Microsoft Configuration Manager\sinv.box\FileCol. |
ConfigMgr_DViewAccess
Esse é um grupo de segurança local criado no servidor de banco de dados do site ou no servidor de réplica de banco de dados pelo System Center 2012 Configuration Manager e atualmente não é usado. Esse grupo é reservado para uso futuro pelo Gerenciador de Configurações.
Usuários de Controle Remoto do ConfigMgr
Esse grupo é usado pelas ferramentas remotas do Gerenciador de Configurações para armazenar as contas e os grupos configurados na lista de visualizadores permitidos, atribuídos a cada cliente.
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado no cliente do Gerenciador de Configurações quando o cliente recebe a política que habilita as ferramentas remotas.
|
||
Associação |
Por padrão, não existem membros nesse grupo. Ao adicionar usuários à lista Visualizadores Permitidos, eles são adicionados automaticamente a esse grupo.
Além de ser Visualizador Permitido, um usuário administrativo deve ter a permissão Controle Remoto para o objeto Coleção. É possível atribuir essa permissão usando a função de segurança Operador de Ferramentas Remoto. |
||
Permissões |
Por padrão, esse grupo não tem permissões para nenhum local do computador e é usado somente para manter a lista Visualizadores Permitidos. |
.jpeg "System_CAPS_important")
ImportanteAdministradores de SMS
Esse grupo é usado pelo Gerenciador de Configurações para conceder acesso ao Provedor de SMS por meio do WMI. O acesso ao Provedor de SMS é necessário para exibir e modificar objetos no console do Gerenciador de Configurações.
| Observação |
|---|
A configuração da administração baseada em funções de um usuário administrativo determina que objetos eles podem exibir e gerenciar quando usam o console do Gerenciador de Configurações. |
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado em cada computador que possui um Provedor de SMS.
|
||
Associação |
O Gerenciador de Configurações gerencia automaticamente a associação a um grupo. Por padrão, cada usuário administrativo em uma hierarquia e a conta de computador do servidor do site são membros do grupo Administradores de SMS em cada computador do Provedor de SMS de um site. |
||
Permissões |
Os direitos e as permissões de administradores de SMS são definidos no snap-in do MMC do Controle WMI. Por padrão, o grupo de Administradores de SMS recebe Enable Account e Remote Enable sobre o namespace Raiz\SMS. Usuários Autenticados têm as permissões Execute Methods, Provider Write e Enable Account
|
SMS_SiteSystemToSiteServerConnection_MP_<códigosite>
Esse grupo é usado por pontos de gerenciamento do Gerenciador de Configurações que são remotos do servidor do site para conexão ao banco de dados do site. Esse grupo fornece a um ponto de gerenciamento acesso a pastas da caixa de entrada no servidor do site e ao banco de dados do site.
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado em cada computador que possui um Provedor de SMS.
|
||
Associação |
O Gerenciador de Configurações gerencia automaticamente a associação a um grupo. Por padrão, a associação inclui as contas de computadores remotos que têm um ponto de gerenciamento para o site. |
||
Permissões |
Por padrão, esse grupo tem as permissões Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Além disso, esse grupo tem a permissão adicional Write para várias subpastas abaixo das inboxes nas quais o ponto de gerenciamento grava dados do cliente. |
SMS_SiteSystemToSiteServerConnection_SMSProv_<códigosite>
Esse grupo é usado por computadores do Provedor de SMS do Gerenciador de Configurações que são remotos do servidor do site para conexão ao servidor do site.
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado no servidor do site.
|
||
Associação |
O Gerenciador de Configurações gerencia automaticamente a associação a um grupo. Por padrão, a associação inclui a conta de computador ou a conta de usuário do domínio que é usada para conexão ao servidor do site por meio de cada computador remoto que tem um Provedor de SMS instalado para o site. |
||
Permissões |
Por padrão, esse grupo tem as permissões Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Além disso, esse grupo tem a permissão adicional Write ou as permissões Gravar e Modificar para várias subpastas abaixo das inboxes às quais o Provedor de SMS precisa de acesso. Esse grupo também tem as permissões Read, Read & execute, List folder contents, Gravar e Modificar para as pastas abaixo de %path%\Microsoft Configuration Manager\OSD\boot e a permissão Ler para as pastas abaixo de %path%\Microsoft Configuration Manager\OSD\Bin no servidor do site. |
SMS_SiteSystemToSiteServerConnection_Stat_<códigosite>
Esse grupo é usado pelo Gerenciador de Expedição de Arquivos, em computadores do sistema de site remoto do Gerenciador de Configurações, para se conectar ao servidor do site.
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado no servidor do site.
|
||
Associação |
O Gerenciador de Configurações gerencia automaticamente a associação a um grupo. Por padrão, a associação inclui a conta de computador ou a conta de usuário do domínio usada para conexão ao servidor do site por meio de cada computador do sistema de site remoto que executa o Gerenciador de Expedição de Arquivos. |
||
Permissões |
Por padrão, esse grupo tem a permissão Read, Read & execute e List folder contents para a pasta %path%\Microsoft Configuration Manager\inboxes e várias subpastas abaixo desse local no servidor do site. Além disso, esse grupo tem as permissões adicionais Gravar e Modificar para a pasta %path%\Microsoft Configuration Manager\inboxes\statmgr.box no servidor do site. |
SMS_SiteToSiteConnection_<códigosite>
Esse grupo é usado pelo Gerenciador de Configurações para permitir a replicação baseada em arquivo entre sites em uma hierarquia. Para cada site remoto que transfere arquivos diretamente para esse site, esse grupo contém as seguintes contas:
Contas configuradas como Conta de Endereço do Site, de sites do Gerenciador de Configurações sem service pack
Contas configuradas como uma Conta de replicação de arquivo, de sites que executam Gerenciador de Configurações SP1 e posterior
| Observação |
|---|
Somente no Gerenciador de Configurações SP1, a Conta de Replicação de Arquivo substitui a Conta de Endereço do Site. |
A tabela a seguir lista os detalhes adicionais desse grupo:
Detalhes |
Mais informações |
||
|---|---|---|---|
Tipo e local |
Esse é um grupo de segurança local criado no servidor do site. |
||
Associação |
Ao instalar um novo site como filho de outro site, o Gerenciador de Configurações adiciona automaticamente a conta de computador do novo site ao grupo no servidor do site pai, e a conta de computador de sites pai ao grupo no novo servidor do site. Se outra conta for especificada para transferências baseadas em arquivo, adicione essa conta a esse grupo no servidor do site de destino.
|
||
Permissões |
Por padrão, esse grupo tem controle total na pasta %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive. |
Contas que o Configuration Manager usa
É possível configurar as seguintes contas para o Gerenciador de Configurações:
Conta de Descoberta de Grupos do Active Directory
A Conta de Descoberta de Grupos do Active Directory é usada para descobrir grupos de segurança locais, globais e universais, a associação nesses grupos e a associação em grupos de distribuição dos locais especificados em Serviços de Domínio Active Directory. Grupos de distribuição não são descobertos como recursos de grupo.
Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta, ou uma conta de usuário do Windows. Deve ter permissão de acesso Ler nos locais do Active Directory especificados para descoberta.
Conta de Descoberta de Sistemas do Active Directory
A Conta de Descoberta de Sistemas do Active Directory é usada para descobrir computadores nos locais especificados em Serviços de Domínio Active Directory.
Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta, ou uma conta de usuário do Windows. Deve ter permissão de acesso Ler nos locais do Active Directory especificados para descoberta.
Conta de Descoberta de Usuários do Active Directory
A Conta de Descoberta de Usuários do Active Directory é usada para descobrir contas de usuário nos locais especificados em Serviços de Domínio Active Directory.
Essa conta pode ser uma conta de computador do servidor do site que executa a descoberta, ou uma conta de usuário do Windows. Deve ter permissão de acesso Ler nos locais do Active Directory especificados para descoberta.
Conta da Floresta do Active Directory
A Conta da Floresta do Active Directory é usada para descobrir infraestrutura de rede em florestas do Active Directory, e também é usada por sites de administração central e sites primários para publicar dados de sites nos Serviços de Domínio Active Directory de uma floresta.
| Observação |
|---|
Sites secundários usam sempre a conta de computador do servidor do site secundário para publicar no Active Directory. |
| Observação |
|---|
A Conta da Floresta do Active Directory deve ser uma conta global para descobrir e publicar em florestas não confiáveis. Se você não usar a conta de computador do servidor do site, será possível selecionar somente uma conta global. |
Essa conta deve ter a permissão Ler em cada floresta do Active Directory de onde você deseja descobrir a infraestrutura de rede.
Essa conta deve ter a permissão Controle Total no contêiner Gerenciamento do Sistema e todos os seus objetos filho em cada floresta do Active Directory onde você deseja publicar dados do site.
Provisionamento AMT e Conta de Descoberta
Provisionamento AMT e Conta de Descoberta é funcionalmente equivalente à Conta de Administrador Remoto AMT e reside na MEBx (extensão Management Engine BIOS) de computadores com processadores Intel AMT. Essa conta é usada pelo servidor que executa a função de ponto de serviço fora da banda para gerenciar alguns recursos de interface de rede do AMT, usando o recurso de gerenciamento fora da banda.
Se Provisionamento AMT e Conta de Descoberta for especificado no Gerenciador de Configurações, as credenciais deverão coincidir com o nome e a senha da Conta de Administrador Remoto AMT que são especificados nas extensões do BIOS em computadores com processadores AMT.
| Observação |
|---|
Para obter mais informações sobre a especificação de provisionamento de AMT e conta de descoberta, consulte Etapa 5: Configurando a saída do componente de gerenciamento de banda no tópico Como configurar e configurar computadores AMT no Configuration Manager no Ativos e conformidade no System Center 2012 Configuration Manager. |
A conta é armazenada nas extensões do Management Engine BIOS do computador baseado em AMT e não corresponde a nenhuma conta do Windows.
Conta de Remoção de Provisionamento AMT
A Conta de Remoção de Provisionamento AMT pode remover as informações de provisionamento AMT, se for necessário recuperar o site. Também é possível usá-la quando um cliente do Gerenciador de Configurações tiver sido reatribuído e as informações de provisionamento AMT não tiverem sido removidas do computador no site antigo.
Para remover as informações de provisionamento AMT usando a Conta de Remoção de Provisionamento AMT, a situação deverá ser a seguinte:
A Conta de Remoção de Provisionamento AMT está configurada nas propriedades do componente de gerenciamento fora da banda.
A conta configurada para a Conta de Remoção de Provisionamento AMT foi configurada como uma Conta de Usuário AMT nas propriedades do componente de gerenciamento fora da banda quando o computador com processador AMT foi provisionado ou atualizado.
A conta configurada como Conta de Remoção de Provisionamento AMT deve ser membro do grupo local de Administradores no computador do ponto de serviço fora da banda.
O log de auditoria AMT não está habilitado.
Como esta é uma conta de usuário do Windows, especifique uma conta com uma senha forte que não expire.
Conta de Administrador Remoto AMT
A Conta de Administrador Remoto AMT é a conta MEBx (Management Engine BIOS extension) de computadores baseados em Intel AMT usada pelo servidor que executa a função do ponto de serviço fora da banda para gerenciar alguns recursos de interface de rede AMT no Gerenciador de Configurações, usando o recurso de gerenciamento fora da banda.
O Gerenciador de Configurações define automaticamente a senha da conta de administração remota de computadores que ele provisiona para AMT, e estes são usados para acesso autenticado subsequente ao firmware AMT. Essa conta tem funcionalidade equivalente à conta de Provisionamento AMT e Gerenciador de Configurações Descoberta.
A conta é armazenada nas extensões do Management Engine BIOS do computador baseado em AMT e não corresponde a nenhuma conta do Windows.
Contas de Usuário AMT
As Contas de Usuário AMT controlam quais usuários ou grupos do Windows podem executar funções no console do Gerenciamento Fora da Banda.
A configuração das Contas de Usuário AMT cria o equivalente a uma ACL (Lista de Controle de Acesso) no firmware AMT. Quando o usuário logado tenta executar o console do Gerenciamento Fora da Banda, o AMT usa o Kerberos para autenticar a conta e depois autorizar ou negar o acesso para executar as funções de gerenciamento do AMT.
Configure as Contas de Usuário AMT antes de provisionar computadores baseados em AMT. Se você configurar Contas de Usuário AMT depois que os computadores forem provisionados para AMT, você deverá atualizar manualmente a memória AMT desses computadores para que sejam reconfigurados com as novas configurações.
Como as Contas de Usuário AMT usam autenticação Kerberos, as contas de usuários e os grupos de segurança devem existir em um domínio Active Directory.
Conta do Servidor Proxy do Ponto de Sincronização do Asset Intelligence
A Conta do Servidor Proxy do Ponto de Sincronização do Asset Intelligence é usada pelo ponto de sincronização do Asset Intelligence para acessar a Internet através de um servidor proxy ou firewall que requer acesso autenticado.
.jpeg "System_CAPS_security") Segurança Observação |
|---|
Especifique uma conta que tenha menos permissões possíveis para o firewall ou servidor proxy necessário. |
Conta do ponto de registro de certificado
A Conta do Ponto de Registro de Certificado conecta o ponto de registro de certificado ao banco de dados do Gerenciador de Configurações. Por padrão, a conta de computador do ponto de registro de certificado é usada, mas, você pode configurar uma conta de usuário em vez disso. Você deve especificar uma conta de usuário sempre que o ponto de registro de certificado estiver em um domínio não confiável do servidor do site. Essa conta requer acesso somente de leitura ao banco de dados do site, pois operações de gravação são administradas pelo sistema de mensagem de estado.
Capturar Conta de Imagem do Sistema Operacional
A Conta Capturar Imagem do Sistema Operacional é usada pelo Gerenciador de Configurações para acessar a pasta onde as imagens capturadas são armazenadas quando você implanta sistemas operacionais. Essa conta será necessária se você adicionar a etapa Capturar Imagem do Sistema Operacional a uma sequência de tarefas.
A conta deve ter permissões de Leitura e Gravação no compartilhamento de rede onde a imagem capturada é armazenada.
Se a senha da conta for alterada no Windows, você deverá atualizar a sequência das tarefas com a nova senha. O cliente do Gerenciador de Configurações receberá a nova senha quando baixar a política do cliente.
Se você usar essa conta, poderá criar uma conta de usuário de domínio com permissões mínimas para acessar os recursos de rede necessários e usá-los em todas as contas de sequência de tarefas.
| Segurança Observação |
|---|
Não atribua a essa conta permissões de logon interativo. Não use a Conta de Acesso à Rede para essa conta. |
Conta de Instalação do Cliente por Push
A Conta de Instalação do Cliente por Push é usada para conexão com os computadores e instalação do software do cliente do Gerenciador de Configurações se você implantar clientes usando instalação do cliente por push. Se essa conta não for especificada, a conta do servidor do site será usada para tentar instalar o software do cliente.
Essa conta deve ser um membro do grupo local de Administradores no computador onde o software do cliente do Gerenciador de Configurações será instalado. Essa conta não exige direitos de Administrador de Domínio.
Você pode especificar uma ou mais Contas de Instalação do Cliente por Push, as quais o Gerenciador de Configurações tentará sucessivamente até obter êxito.
.jpeg "System_CAPS_tip") Dica |
|---|
Para coordenar mais eficazmente as atualizações da conta em grandes implantações do Active Directory, crie uma nova conta com um nome diferente, e depois adicione a nova conta à lista de Contas de Instalação do Cliente por Push no Gerenciador de Configurações. Permita tempo suficiente para que os Serviços de Domínio Active Directory repliquem a nova conta, e depois remova a conta antiga do Gerenciador de Configurações e dos Serviços de Domínio Active Directory. |
| Segurança Observação |
|---|
Não conceda a essa conta o direito de fazer logon localmente. |
Conta de Conexão do Ponto de Registro
A Conta de Conexão do Ponto de Registro conecta o ponto de registro ao banco de dados do site do Gerenciador de Configurações. Por padrão, a conta de computador do ponto de registro é usado, mas você pode configurar uma conta de usuário, em vez disso. Você deve especificar uma conta de usuário sempre que o ponto de registro estiver em um domínio não confiável do servidor do site. Essa conta requer acesso de leitura e gravação ao banco de dados do site.
Conta de Conexão do Exchange Server
A Conta de Conexão do Exchange Server conecta o servidor do site ao computador do Exchange Server especificado para encontrar e gerenciar dispositivos móveis que se conectam ao Exchange Server. Essa conta requer cmdlets do Exchange PowerShell que fornecem as permissões necessárias para o computador do Exchange Server. Para obter mais informações sobre v, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange.
Conta de Servidor Proxy do Conector do Exchange Server
A Conta de Servidor Proxy do Conector do Exchange Server é usada pelo conector do Exchange Server para acessar a Internet através de um servidor proxy ou firewall que requer acesso autenticado.
| Segurança Observação |
|---|
Especifique uma conta que tenha menos permissões possíveis para o firewall ou servidor proxy necessário. |
Conta de Conexão com Servidor SMTP do Endpoint Protection
Para o Configuration Manager sem service pack: A Conta de Conexão com Servidor SMTP do Endpoint Protection é usada pelo servidor do site para enviar alertas de email para o Endpoint Protection quando o servidor SMTP exige acesso autenticado.
| Segurança Observação |
|---|
Especifique uma conta que tenha o mínimo possível de permissões para enviar emails. |
Conta de publicação de referência de estado de integridade
A Conta de publicação de referência do estado de integridade é usada para publicar a referência do estado de integridade NAP (Proteção de Acesso à Rede) do Gerenciador de Configurações para os Serviços de Domínio Active Directory.
Se você não configurar uma conta, o Gerenciador de Configurações tentará usar a conta de computador do servidor do site para publicar as referências do estado de integridade.
Essa conta requer permissões de Leitura, Gravação e Criação na floresta do Active Directory que armazena a referência do estado de integridade.
Crie a conta na floresta designada para armazenar as referências do estado de integridade. Atribua o mínimo possível de permissões a essa conta e não use a mesma conta especificada como Conta de Consultas de Referências de Estado da Integridade, que exige apenas permissões de Leitura.
Conta de consulta de referências de estado de integridade
A Conta de consulta de referência do estado de integridade é usada para recuperar a referência do estado de integridade NAP (Proteção de Acesso à Rede) do Gerenciador de Configurações dos Serviços de Domínio Active Directory.
Se você não configurar uma conta, o Gerenciador de Configurações tentará usar a conta de computador do servidor do site para recuperar as referências do estado de integridade.
Esta conta exige permissões de Leitura para o contêiner Gerenciamento de Sistemas do Gerenciador de Configurações no Catálogo Global.
Crie a conta na floresta designada para armazenar as referências do estado de integridade. Não use a mesma conta como Conta de publicação de referências de estado da integridade:, que requer mais privilégios.
| Segurança Observação |
|---|
Não conceda a essa conta direitos de logon interativo. |
Conta de conexão do ponto de gerenciamento
A Conta de Conexão do Ponto de Gerenciamento é usada para conectar o ponto de gerenciamento ao banco de dados do site do Gerenciador de Configurações para que ele possa enviar e recuperar informações para os clientes. Por padrão, a conta de computador do ponto de registro é usada, mas você pode configurar uma conta de usuário, em vez disso. Você deve especificar uma conta de usuário sempre que o ponto de gerenciamento estiver em um domínio não confiável do servidor do site.
Crie a conta com direitos limitados, a conta local no computador que executa o Microsoft SQL Server.
| Segurança Observação |
|---|
Não conceda a essa conta direitos de logon interativo. |
Conta MEBx
A conta MEBx é a conta no MEBx (Management Engine BIOS extension) em computadores baseados em Intel AMT e é usada para acesso inicial autenticado ao firmware AMT em computadores baseados em AMT.
A Conta MEBx é denominada administrador, e, por padrão, a senha é admin. Seu fabricante pode fornecer uma senha personalizada, ou você pode ter especificado sua escolha de senha no AMT. Se a senha MEBx for definida para um valor que não é admin, configure uma Conta de Provisionamento AMT e Descoberta. Para obter mais informações, consulte Etapa 5: Configurando a saída do componente de gerenciamento de banda no tópico Como configurar e configurar computadores AMT no Configuration Manager.
A conta é armazenada na MEBx do computador baseado em AMT. Essa conta não corresponde a nenhuma conta no Windows.
Se a senha MEBx padrão não tiver sido alterada antes que o Gerenciador de Configurações provisione o computador para AMT, durante o processo de provisionamento AMT o Gerenciador de Configurações definirá a senha que você configura.
Conta de Conexão Multicast
A Conta de Conexão Multicast é usada por pontos de distribuição configurados para multicast, para ler as informações do banco de dados do site. Por padrão, a conta do computador do ponto de distribuição é usada, mas você pode configurar uma conta de usuário, em vez disso. Você deve especificar uma conta de usuário sempre que o banco de dados do site estiver em uma floresta não confiável. Por exemplo, se o seu centro de dados tiver uma rede de perímetro em uma floresta diferente do servidor e do banco de dados do site, você poderá usar essa conta para ler as informações multicast do banco de dados do site.
Se você criar essa conta, crie-a com direitos limitados, a conta local no computador que executa o Microsoft SQL Server.
| Segurança Observação |
|---|
Não conceda a essa conta direitos de logon interativo. |
Conta de Acesso à Rede
A Conta de Acesso à Rede é usada por computadores cliente quando eles não podem usar a conta do computador local para acessar conteúdo em pontos de distribuição. Por exemplo, isso se aplica a clientes do grupo de trabalho e computadores de domínios não confiáveis. Essa conta também pode ser usada durante a implantação do sistema operacional quando o computador que está instalando o sistema operacional ainda não tem uma conta de computador no domínio.
| Observação |
|---|
A Conta de Acesso à Rede nunca é usada como contexto de segurança para executar programas, instalar atualizações de software nem executar sequências de tarefas; só para acessar recursos na rede. |
Conceda a essa conta as permissões mínimas adequadas sobre o conteúdo que o cliente necessita para acessar o software. A conta deve ter o direito de Acesso a este computador pela rede no ponto de distribuição ou em outro servidor que contém o conteúdo do pacote. Antes do System Center 2012 R2 Configuration Manager, você pode criar apenas uma Conta de Acesso à Rede por site, e essa conta deve funcionar para todos os pacotes e sequências de tarefas para os quais é necessária. Começando com o System Center 2012 R2 Configuration Manager, você pode configurar várias Contas de Acesso à Rede por site.
.jpeg "System_CAPS_warning") Aviso |
|---|
Quando Configuration Manager tenta usar a conta computername$ para baixar conteúdo e falha, ele tenta automaticamente a Conta de Acesso à Rede novamente, mesmo que já tenha tentado e falhado. |
Crie a conta em qualquer domínio que forneça o acesso necessário aos recursos. A conta de acesso à rede deve incluir sempre um nome de domínio. Não há suporte para segurança de passagem para essa conta. Se houver pontos de distribuição em vários domínios, crie a conta em um domínio confiável.
| Dica |
|---|
Para evitar bloqueios de conta, não altere a senha em uma conta de acesso à rede existente. Em vez disso, crie uma nova conta e configure-a no Gerenciador de Configurações. Quando tiver passado tempo suficiente para que todos os clientes recebam os detalhes da nova conta, remova a conta antiga das pastas de rede compartilhadas e exclua-a. |
| Segurança Observação |
|---|
Não conceda a essa conta direitos de logon interativo Não conceda a essa conta o direito de ingressar computadores ao domínio. Se tiver de adicionar computadores ao domínio durante uma sequência de tarefas, use a Conta de Adição de Domínio do Editor de Sequência de Tarefas. |
Para System Center 2012 R2 Configuration Manager e posterior: Agora é possível especificar várias contas de acesso à rede para um site. Quando os clientes tentam acessar o conteúdo e não conseguem usar sua conta do computador local, em primeiro lugar, eles usarão a última conta de acesso à rede que se conectou com êxito. O Gerenciador de Configurações dá suporte à adição de até dez contas de acesso à rede.
Conta de Acesso ao Pacote
As Contas de Acesso ao Pacote permitem configurar permissões NTFS para especificar usuários e grupos de usuários que podem acessar uma pasta de pacote nos pontos de distribuição. Por padrão, o Gerenciador de Configurações concede acesso apenas a contas de acesso genéricas Usuários e Administradores, mas você pode controlar o acesso de computadores cliente usando contas ou grupos adicionais do Windows. Dispositivos móveis sempre recuperam o conteúdo do pacote de forma anônima, para que as Contas de Acesso ao Pacote não sejam usadas pelo dispositivo móvel.
Por padrão, quando o Gerenciador de Configurações cria o compartilhamento de pacotes em um ponto de distribuição, concede acesso de Leitura ao grupo local de Usuários e Controle Total ao grupo local de Administradores. As permissões reais necessárias dependerão do pacote. Se houver clientes em grupos de trabalho ou em florestas não confiáveis, os clientes usarão a Conta de Acesso à Rede para acessar o conteúdo do pacote. Verifique se a Conta de Acesso à Rede tem permissões para o pacote usando as Contas de Acesso ao Pacote definidas.
Use contas em um domínio que possa acessar os pontos de distribuição. Se você criar ou modificar a conta após a criação do pacote, deverá redistribuir o pacote. A atualização do pacote não altera as permissões de NTFS no pacote.
Não é necessário adicionar a Conta de Acesso à Rede como uma Conta de Acesso de Pacote, pois a associação do grupo Usuários a adiciona automaticamente. Restringir a Conta de Acesso de Pacote somente à Conta de Acesso à Rede não impede que clientes acessem o pacote.
Conta do ponto do Reporting Services
A conta do ponto do Reporting Services é usada pelo SQL Server Reporting Services para recuperar os dados para relatórios do Gerenciador de Configurações do banco de dados do site. A conta e senha de usuário do Windows especificadas serão criptografadas e armazenadas no banco de dados do SQL Server Reporting Services.
Contas do visualizador permitidas em ferramentas remotas
As contas que você especificar como Visualizadores permitidos para controle remoto representam uma lista de usuários que podem usar a funcionalidade de ferramentas remotas em clientes.
Conta de instalação do sistema de site
A Conta de Instalação de Sistema de Site é usada pelo servidor do site para instalar, reinstalar, desinstalar e configurar sistemas de site. Se você configurar o sistema de site para requerer que o servidor do site inicie conexões a esse sistema, o Gerenciador de Configurações também usa essa conta para efetuar pull de dados do computador do sistema do site, após este e outras funções do sistema do site forem instalados. Cada sistema de site pode ter uma Conta de Instalação de Sistema de Site diferente, mas é possível configurar somente uma para gerenciar todas as funções nesse sistema de site.
Essa conta requer permissões administrativas locais nos sistemas dos sites que forem instalados e configurados. Além disso, essa conta precisa ter Acesso a este computador pela rede na política de segurança nos sistemas dos sites que forem instalados e configurados.
| Dica |
|---|
Se você tiver muitos controladores de domínio e estas contas forem usadas em vários domínios, verifique se as contas foram replicadas antes de configurar o sistema do site. Quando você especifica uma conta local em cada sistema de site a ser gerenciado, esta configuração é mais segura do que se usar contas de domínio, porque ela limita os danos de invasores podem fazer se a conta for comprometida. No entanto, as contas de domínio são mais fáceis de gerenciar, portanto, considere o compromisso entre segurança e administração eficaz. |
Conta de conexão do servidor SMTP
Para o System Center 2012 Configuration Manager SP1 e posterior: A Conta de Conexão do Servidor SMTP é usada pelo servidor do site para enviar alertas de email quando o servidor SMTP requer acesso autenticado.
| Segurança Observação |
|---|
Especifique uma conta que tenha o mínimo possível de permissões para enviar emails. |
Conta da conexão do ponto de atualização do software
A Conta de Conexão do Ponto de Atualização de Software é usada pelo servidor do site para os dois serviços de atualizações de software a seguir:
Gerenciador de Configuração do WSUS, que define as configurações, como configurações de upstream, classificações e definições de produto.
Gerenciador de Sincronização do WSUS, que requer a sincronização para um servidor do WSUS upstream ou o Microsoft Update.
A Conta de Instalação de Sistema de Site pode instalar componentes para atualizações de software, mas não pode executar funções específicas de atualizações de software no ponto de atualização de software. Se não é possível utilizar a conta do computador do servidor do site para essa funcionalidade, porque o ponto de atualização de software está em uma floresta não confiável, você deve especificar essa conta além da Conta de Instalação de Sistema de Site.
Esta conta deve ser um administrador local no computador onde o WSUS está instalado e deve ser parte do grupo de Administradores do WSUS local.
Conta do servidor proxy do ponto de atualização do software
A Conta do Servidor Proxy do Ponto de Atualização de Software é usada pelo ponto de atualização de software para acessar a Internet através de um servidor proxy ou firewall que requer acesso autenticado.
| Segurança Observação |
|---|
Especifique uma conta que tenha menos permissões possíveis para o firewall ou servidor proxy necessário. |
Conta do site de origem
A Conta do Site de Origem é usada pelo processo de migração para acessar o Provedor de SMS do site de origem. Essa conta requer permissão de Ler para os objetos do site no site de origem para reunir dados para tarefas de migração.
Se você atualizar pontos de distribuição do Configuration Manager 2007 ou sites secundários que possuem pontos de distribuição colocalizados para pontos de distribuição do System Center 2012 Configuration Manager, essa conta também deverá ter permissões de Excluir para a classe do Site para remover com êxito ponto de distribuição do site do Configuration Manager 2007 durante a atualização.
| Observação |
|---|
A Conta de Site de Origem e a Conta de Banco de Dados do Site de Origem são identificadas como Gerenciador de Migração no nó Contas do espaço de trabalho Administração no console do Gerenciador de Configurações. |
Conta do banco de dados do site de origem
A Conta do Banco de Dados do Site de Origem é usada pelo processo de migração para acessar o banco de dados do SQL Server do site de origem. Para reunir dados do banco de dados do SQL Server do site de origem, a Conta de Banco de Dados do Site de origem deve ter permissões de Ler e Executar para o banco de dados do SQL Server do site de origem.
| Observação |
|---|
Se você usar a conta do computador do System Center 2012 Configuration Manager, verifique se as condições a seguir são verdadeiras para essa conta:
|
| Observação |
|---|
A Conta de Site de Origem e a Conta de Banco de Dados do Site de Origem são identificadas como Gerenciador de Migração no nó Contas do espaço de trabalho Administração no console do Gerenciador de Configurações. |
Conta de junção de domínio de editor de sequência de tarefas
A Conta de Junção de Domínio de Editor de Sequência de Tarefas é usada em uma sequência de tarefas para ingressar um novo computador de imagem em um domínio. Essa conta é necessária se você adicionar a etapa Ingressar no Domínio ou Grupo de Trabalho a uma sequência de tarefas e selecionar Ingressar em um domínio. Essa conta também pode ser configurada se você adicionar a etapa Aplicar Configurações de Rede a uma sequência de tarefas, mas isso não é necessário.
Essa conta requer o direito de Ingresso no domínio no domínio em que o computador será ingressado.
| Dica |
|---|
Se você precisar dessa conta para suas sequências de tarefas, poderá criar uma conta de usuário de domínio com permissões mínimas para acessar os recursos de rede necessários e usá-los em todas as contas da sequência de tarefas. |
| Segurança Observação |
|---|
Não atribua a essa conta permissões de logon interativo. Não use a Conta de Acesso à Rede para essa conta. |
Conta de conexão de pasta de rede do editor de sequência de tarefas
A Conta de Conexão de Pasta de Rede do Editor de Sequência de Tarefas é usada por uma sequência de tarefas para conectar-se a uma pasta compartilhada na rede. Essa conta é necessária se você adicionar a etapa Conectar à Pasta de Rede a uma sequência de tarefas.
Essa conta requer permissões para acessar a pasta compartilhada especificada e deve ser uma conta de domínio de usuário.
| Dica |
|---|
Se você precisar dessa conta para suas sequências de tarefas, poderá criar uma conta de usuário de domínio com permissões mínimas para acessar os recursos de rede necessários e usá-los em todas as contas da sequência de tarefas. |
| Segurança Observação |
|---|
Não atribua a essa conta permissões de logon interativo. Não use a Conta de Acesso à Rede para essa conta. |
Conta Executar como sequência de tarefas
A Conta Executar como Sequência de Tarefa é usada para executar linhas de comando em sequências de tarefas e usar credenciais diferentes da conta do sistema local. Essa conta é necessária se você adicionar a etapa Executar Linha de Comando a uma sequência de tarefas, mas não desejar que ela execute com permissões da conta do Sistema Local no computador gerenciado.
Configure a conta para ter as permissões mínimas necessárias para executar a linha de comando especificada na sequência de tarefas. A conta requer direitos de logon interativos e geralmente requer a capacidade de instalar software e acessar recursos da rede.
| Segurança Observação |
|---|
Não use a Conta de Acesso à Rede para essa conta. Nunca faça da conta um administrador de domínio. Nunca configure perfis móveis para esta conta. Quando a sequência de tarefas for executada, ela baixará o perfil móvel da conta, o que deixará o perfil vulnerável a acesso no computador local. Limite o escopo da conta. Por exemplo, crie Contas Executar como Sequência de Tarefas diferente para cada sequência de tarefas; desse modo, se uma conta for comprometida, somente os computadores cliente aos quais a conta tem acesso ficarão comprometidos. Se a linha de comando exigir acesso administrativo no computador, considere a criação de uma conta de administrador local exclusivamente para a Conta Executar como Sequência de Tarefas em todos os computadores que executarão a sequência de tarefas e a exclua assim que ela não for mais necessária. |