Contas utilizadas no System Center Configuration ManagerAccounts used in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilize as seguintes informações para identificar os grupos do Windows e as contas que são utilizadas no System Center Configuration Manager, como são utilizados e quaisquer requisitos.Use the following information to identify the Windows groups and the accounts that are used in System Center Configuration Manager, how they are used, and any requirements.

Grupos do Windows Criados e Utilizados pelo Configuration ManagerWindows groups that Configuration Manager creates and uses

Configuration Manager cria automaticamente e em muitos casos mantém automaticamente, os seguintes grupos do Windows.Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups.

Nota

Quando o Configuration Manager cria um grupo num computador que seja um membro de domínio, o grupo é um grupo de segurança local.When Configuration Manager creates a group on a computer that is a domain member, the group is a local security group. Se o computador for um controlador de domínio, o grupo é um grupo local de domínio que é partilhado entre todos os controladores de domínio no domínio.If the computer is a domain controller, the group is a domain local group that is shared among all domain controllers in the domain.

ConfigMgr_CollectedFilesAccessConfigMgr_CollectedFilesAccess

O Configuration Manager utiliza este grupo para conceder acesso para visualizar ficheiros recolhidos pelo inventário de software.Configuration Manager uses this group to grant access to view files collected by software inventory.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado no servidor do site primário.This group is a local security group created on the primary site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
AssociaçãoMembership O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership. A associação inclui os utilizadores administrativos que recebem permissão para Ver Ficheiros Recolhidos relativamente ao objeto com capacidade de segurança Recolha de uma função de segurança atribuída.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.
PermissõesPermissions Por predefinição, este grupo tem leitura permissão para a seguinte pasta no servidor do site: %path%\Microsoft Configuration Manager\sinv.box\FileCol.By default, this group has Read permission to the following folder on the site server: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccessConfigMgr_DViewAccess

Este grupo é um grupo de segurança local do Configuration Manager cria no servidor de base de dados do site ou servidor de réplica de base de dados.This group is a local security group that Configuration Manager creates on the site database server or database replica server. Se não é utilizado atualmente mas está reservado para utilização futura.It is not currently used but is reserved for future use.

Utilizadores do Controlo Remoto do ConfigMgrConfigMgr Remote Control Users

Ferramentas remotas do Configuration Manager utilizam este grupo para armazenar contas e grupos que configura na lista de visualizadores que está atribuída a cada cliente.Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list that is assigned to each client.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado no cliente do Configuration Manager quando o cliente recebe uma política que ativa as ferramentas remotas.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Depois de desativar as ferramentas remotas para um cliente, este grupo não é removido automaticamente.After you disable remote tools for a client, this group is not automatically removed. Tem de ser manualmente eliminado de cada computador cliente.It must be manually deleted from each client computer.
AssociaçãoMembership Por predefinição, não existem membros neste grupo.By default, there are no members in this group. Quando são adicionados utilizadores à lista de Visualizadores Autorizados, eles são automaticamente adicionados a este grupo.When you add users to the Permitted Viewers list, they are automatically added to this group.

Pode utilizar a lista de Visualizadores Autorizados para gerir a associação a este grupo, em vez de adicionar utilizadores ou grupos diretamente a este grupo.You can use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Além de ser um visualizador autorizado, um utilizador administrativo tem de ter o controlo remoto permissão para o coleção objeto.In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Pode atribuir esta permissão utilizando a função de segurança Operador de Ferramentas Remotas.You can assign this permission by using the Remote Tools Operator security role.
PermissõesPermissions Por predefinição, este grupo não tem permissões para localizações no computador.By default, this group does not have permissions to any locations on the computer. É utilizado apenas para conter a lista de visualizadores.It is used only to hold the Permitted Viewers list.

Admins de SMSSMS Admins

O Configuration Manager utiliza este grupo para conceder acesso ao fornecedor de SMS, através da Windows Management Instrumentation (WMI).Configuration Manager uses this group to grant access to the SMS Provider, through Windows Management Instrumentation (WMI). É necessário acesso ao fornecedor de SMS para ver e alterar objetos na consola do Configuration Manager.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Nota

A configuração da administração baseada em funções de um utilizador administrativo determina que objetos podem visualizar e gerir ao utilizarem a consola do Configuration Manager.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado em cada computador que tem um fornecedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
AssociaçãoMembership O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership. Por predefinição, cada utilizador administrativo numa hierarquia e a conta do computador do servidor de site são membros do grupo Admins de SMS em cada computador do Fornecedor de SMS num site.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.
PermissõesPermissions Permissões e direitos de Admins de SMS estão definidas no snap-in MMC de controlo WMI.SMS Admins rights and permissions are set in the WMI Control MMC snap-in. Por predefinição, o grupo de Admins de SMS recebe ativar conta e ativar remoto no espaço de nomes root\sms.By default, the SMS Admins group is granted Enable Account and Remote Enable on the Root\SMS namespace. Os utilizadores autenticados tem executar métodos, escrita do fornecedor, e ativar conta.Authenticated users have Execute Methods, Provider Write, and Enable Account.

Os utilizadores administrativos que irão utilizar uma consola do Configuration Manager remoto requerem permissões de ativação remota DCOM no computador do servidor do site e o computador do fornecedor de SMS.Administrative users who will use a remote Configuration Manager console require Remote Activation DCOM permissions on both the site server computer and the SMS Provider computer. É um procedimento recomendado conceder estes direitos a Admins de SMS para simplificar a administração em vez de conceder estes direitos diretamente a utilizadores ou grupos.It is a best practice to grant these rights to the SMS Admins to simplify administration instead of granting these rights directly to users or groups. Para obter mais informações, veja a secção Configurar permissões de DCOM para consolas remotas do Configuration Manager do tópico Modificar a infraestrutura do System Center Configuration Manager.For more information, see the Configure DCOM permissions for remote Configuration Manager consoles section in the Modify your System Center Configuration Manager infrastructure topic.

SMS_SiteSystemToSiteServerConnection_MP_<sitecode>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Pontos de gestão do Configuration Manager que são remotos, o servidor do site utilizam este grupo para ligar à base de dados do site.Configuration Manager management points that are remote from the site server use this group to connect to the site database. Este grupo fornece acesso de ponto de gestão às pastas a receber no servidor do site e na base de dados do site.This group provides a management point access to the inbox folders on the site server and the site database.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado em cada computador que tem um fornecedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
AssociaçãoMembership O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership. Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site.By default, membership includes the computer accounts of remote computers that have a management point for the site.
PermissõesPermissions Por predefinição, este grupo tem leitura, leitura & executar, e listar conteúdo das pastas permissão para o %path%\Microsoft Configuration Manager\inboxes pasta no servidor do site.By default, this group has Read, Read & execute, and List folder contents permission to the %path%\Microsoft Configuration Manager\inboxes folder on the site server. Este grupo tem permissão adicional de escrever para subpastas o pastas a receber para as quais o ponto de gestão escreve dados de cliente.This group has the additional permission of Write to subfolders below the inboxes to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Computadores de fornecedor de SMS do Configuration Manager que são remotos, a partir do servidor de site utilizam este grupo para ligar ao servidor do site.Configuration Manager SMS Provider computers that are remote from the site server use this group to connect to the site server.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
AssociaçãoMembership O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership. Por predefinição, a associação inclui a conta de computador ou a conta de utilizador de domínio que é utilizada para ligar ao servidor do site a partir de cada computador remoto que tenha instalado um fornecedor de SMS para o site.By default, membership includes the computer account or the domain user account that is used to connect to the site server from each remote computer that has installed an SMS Provider for the site.
PermissõesPermissions Por predefinição, este grupo tem leitura, leitura & executar, e listar conteúdo das pastas permissão para o %path%\Microsoft Configuration Manager\inboxes pasta no servidor do site.By default, this group has Read, Read & execute, and List folder contents permission to the %path%\Microsoft Configuration Manager\inboxes folder on the site server. Este grupo tem permissão adicional de escrever ou as permissões de escrever e modificar para subpastas o pastas a receber para as quais o fornecedor de SMS requer acesso.This group has the additional permission of Write or the permissions of Write and Modify to subfolders below the inboxes to which the SMS Provider requires access.

Este grupo também tem leitura, leitura & executar, listar conteúdo das pastas, escrever, e modificar permissões para as pastas em %path%\Microsoft Configuration Manager\OSD\boot e leitura permissão para as pastas em %path%\Microsoft Configuration Manager\OSD\Bin no servidor do site.This group also has Read, Read & execute, List folder contents, Write, and Modify permissions to the folders below %path%\Microsoft Configuration Manager\OSD\boot and Read permission to the folders below %path%\Microsoft Configuration Manager\OSD\Bin on the site server.

SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

O Gestor de distribuição de ficheiros em computadores de sistema de sites remoto do Configuration Manager utiliza este grupo para ligar ao servidor do site.The File Dispatch Manager on Configuration Manager remote site system computers uses this group to connect to the site server.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
AssociaçãoMembership O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership. Por predefinição, a associação inclui a conta do computador ou a conta do utilizador de domínio que é usada para ligar ao servidor do site a partir de cada computador do servidor de site remoto que executa o Gestor de Distribuição de Ficheiros.By default, membership includes the computer account or the domain user account that is used to connect to the site server from each remote site system computer that runs the File Dispatch Manager.
PermissõesPermissions Por predefinição, este grupo tem leitura, leitura & executar, e listar conteúdo das pastas permissão para o %path%\Microsoft Configuration Manager\inboxes pastas e subpastas indicadas abaixo dessa localização no servidor do site.By default, this group has Read, Read & execute, and List folder contents permission to the %path%\Microsoft Configuration Manager\inboxes folder and subfolders below that location on the site server. Este grupo tem permissões adicionais de escrever e modificar para o %path%\Microsoft Configuration Manager\inboxes\statmgr.box pasta no servidor do site.This group has the additional permissions of Write and Modify to the %path%\Microsoft Configuration Manager\inboxes\statmgr.box folder on the site server.

SMS_SiteToSiteConnection_<sitecode>SMS_SiteToSiteConnection_<sitecode>

O Configuration Manager utiliza este grupo para ativar a replicação baseada em ficheiros entre sites numa hierarquia.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. Para cada site remoto que transfere diretamente ficheiros para este site, este grupo tem contas configuradas como um conta de replicação de ficheiros.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

A tabela seguinte lista os detalhes adicionais para este grupo:The following table lists additional details for this group:

DetalheDetail Mais informaçõesMore information
Tipo e localizaçãoType and location Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.
AssociaçãoMembership Quando instala um novo site como subordinado de outro site, o Configuration Manager adiciona automaticamente a conta de computador do novo site ao grupo no servidor do site principal.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site to the group on the parent site server. Do Configuration Manager também adiciona a conta de computador do site principal para o grupo no novo servidor do site.Configuration Manager also adds the parent site's computer account to the group on the new site server. Se especificar outra conta para transferências de ficheiros, adicione essa conta para este grupo no servidor do site de destino.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed. Tem de ser manualmente eliminado.It must be manually deleted.
PermissõesPermissions Por predefinição, este grupo tem controlo total para o %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive pasta.By default, this group has full control to the %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive folder.

Contas que o Configuration Manager UtilizaAccounts that Configuration Manager uses

Pode configurar as seguintes contas para o Configuration Manager.You can set up the following accounts for Configuration Manager.

Conta de Deteção de Grupos do Active DirectoryActive Directory Group Discovery Account

O conta de deteção de grupo do Active Directory é utilizada para detetar grupos de segurança locais, globais e universais, as associações no âmbito desses grupos e as associações no âmbito de grupos de distribuição a partir de localizações especificadas nos serviços de domínio do Active Directory.The Active Directory Group Discovery Account is used to discover local, global, and universal security groups, the membership within these groups, and the membership within distribution groups from the specified locations in Active Directory Domain Services. Os grupos de distribuição não são detetados como recursos de grupo.Distribution groups are not discovered as group resources.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

Conta de Deteção de Sistemas do Active DirectoryActive Directory System Discovery Account

A Conta de Deteção de Sistemas do Active Directory serve para detetar computadores a partir de localizações especificadas nos Serviços de Domínio do Active Directory.The Active Directory System Discovery Account is used to discover computers from the specified locations in Active Directory Domain Services.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

Conta de Deteção de Utilizadores do Active DirectoryActive Directory User Discovery Account

A Conta de Deteção de Utilizadores do Active Directory serve para detetar contas de utilizador a partir de localizações especificadas nos Serviços de Domínio do Active Directory.The Active Directory User Discovery Account is used to discover user accounts from the specified locations in Active Directory Domain Services.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

Conta de Floresta do Active DirectoryActive Directory Forest Account

O conta de floresta do Active Directory é utilizada para detetar a infraestrutura de rede a partir de florestas do Active Directory.The Active Directory Forest Account is used to discover network infrastructure from Active Directory forests. Sites de administração central e sites primários também utilizam para publicar dados do site nos serviços de domínio do Active Directory para uma floresta.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Nota

Os sites secundários utilizam sempre a conta de computador de servidor do site secundário para publicar no Active Directory.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Nota

A conta de floresta do Active Directory tem de ser uma conta global para detetar e publicar em florestas não fidedignas.The Active Directory Forest Account must be a global account to discover and publish to untrusted forests. Se não utilizar a conta de computador do servidor do site, pode selecionar apenas uma conta global.If you do not use the computer account of the site server, you can select only a global account.

Esta conta tem de ter permissões de Leitura para cada floresta do Active Directory onde pretende detetar infraestruturas de rede.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

Esta conta tem de ter permissões de Controlo Total para o contentor de Gestão do Sistema e todos os respetivos objetos subordinados em cada floresta do Active Directory onde pretende publicar os dados do site.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data.

Conta de Servidor Proxy do Ponto de Sincronização do Asset IntelligenceAsset Intelligence Synchronization Point Proxy Server Account

O ponto de sincronização do Asset Intelligence utiliza o conta de servidor de Proxy de ponto de sincronização do Intelligence Asset acesso à Internet através de um proxy de servidor ou de uma firewall que requer o acesso autenticado.The Asset Intelligence synchronization point uses the Asset Intelligence Synchronization Point Proxy Server Account to access the Internet via a proxy server or firewall that requires authenticated access.

Importante

Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.Specify an account that has the least possible permissions for the required proxy server or firewall.

Conta de Ponto de Registo de CertificadosCertificate Registration Point Account

O a conta de ponto de registo de certificados liga o ponto de registo de certificados para a base de dados do Configuration Manager.The Certificate Registration Point Account connects the certificate registration point to the Configuration Manager database. A conta de computador do servidor de ponto de registo de certificados é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the certificate registration point server is used by default, but you can set up a user account instead. Tem de especificar uma conta de utilizador sempre que o ponto de registo de certificados está num domínio não fidedigno do servidor do site.You must specify a user account whenever the certificate registration point is in an untrusted domain from the site server. Esta conta apenas necessite leitura aceder na base de dados do site, porque o sistema de mensagens de estado processa as tarefas de escrita.This account requires only Read access to the site database, because the state message system handles write tasks.

Conta para Captura de Imagem do Sistema OperativoCapture Operating System Image Account

O Configuration Manager utiliza o conta captura de imagem de sistema operativo para aceder à pasta onde as imagens capturadas estão armazenadas ao implementar sistemas operativos.Configuration Manager uses the Capture Operating System Image Account to access the folder where captured images are stored when you deploy operating systems. Esta conta é necessária se adicionar o passo Capturar Imagem do Sistema Operativo a uma sequência de tarefas.This account is required if you add the step Capture Operating System Image to a task sequence.

A conta tem de ter permissões de Leitura e Escrita na partilha de rede onde a imagem capturada está armazenada.The account must have Read and Write permissions on the network share where the captured image is stored.

Se a palavra-passe para a conta for alterada no Windows, tem de atualizar a sequência de tarefas com a nova palavra-passe.If the password for the account is changed in Windows, you must update the task sequence with the new password. O cliente do Configuration Manager irá receber a nova palavra-passe quando transferir a política de cliente.The Configuration Manager client will receive the new password when it next downloads the client policy.

Se utilizar esta conta, pode criar uma conta de utilizador de conta de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequência de tarefas.If you use this account, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Conta de instalação para ligar clienteClient Push Installation Account

O conta de instalação de Push de cliente é utilizada para ligar a computadores e instalar o software de cliente do Configuration Manager, se implementar clientes utilizando a instalação de push de cliente.The Client Push Installation Account is used to connect to computers and install the Configuration Manager client software if you deploy clients by using client push installation. Se esta conta não for especificada, é utilizada a conta de servidor do site para tentar instalar o software de cliente.If this account is not specified, the site server account is used to try to install the client software.

Esta conta tem de ser um membro do local administradores grupo nos computadores onde será instalado o software de cliente do Configuration Manager.This account must be a member of the local Administrators group on the computers where the Configuration Manager client software will be installed. Esta conta não necessita de administrador de domínio direitos.This account does not require Domain Admin rights.

Pode especificar um ou mais clientes contas de instalação Push, que o Configuration Manager tenta por ordem até uma ter êxito.You can specify one or more Client Push Installation Accounts, which Configuration Manager tries in turn until one succeeds.

Dica

Para coordenar de forma mais eficaz atualizações de conta em grandes implementações de Active Directory, crie uma nova conta com um nome diferente e, em seguida, adiciona a nova conta à lista de contas de instalação Push da cliente no Configuration Manager.To more effectively coordinate account updates in large Active Directory deployments, create a new account with a different name, and then add the new account to the list of Client Push Installation Accounts in Configuration Manager. Permita tempo suficiente para serviços de domínio do Active Directory repliquem a nova conta e, em seguida, remova a conta antiga do Configuration Manager e os serviços de domínio do Active Directory.Allow sufficient time for Active Directory Domain Services to replicate the new account, and then remove the old account from Configuration Manager and Active Directory Domain Services.

Importante

Não conceda a esta conta o direito de iniciar sessão localmente.Do not grant this account the right to sign in locally.

Conta de Ligação do Ponto de RegistoEnrollment Point Connection Account

O conta de ligação de ponto de registo liga o ponto de registo na base de dados do site do Configuration Manager.The Enrollment Point Connection Account connects the enrollment point to the Configuration Manager site database. A conta de computador do ponto de inscrição é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the enrollment point is used by default, but you can set up a user account instead. Tem de especificar uma conta de utilizador sempre que o ponto de registo está num domínio não fidedigno do servidor do site.You must specify a user account whenever the enrollment point is in an untrusted domain from the site server. Esta conta necessita leitura e escrever acesso para a base de dados do site.This account requires Read and Write access to the site database.

Conta de ligação a Exchange ServerExchange Server Connection Account

A Conta de Ligação a Exchange Server liga o servidor do site ao computador do Exchange Server especificado para localizar e gerir dispositivos móveis que ligam ao Exchange Server.The Exchange Server Connection Account connects the site server to the specified Exchange Server computer to find and manage mobile devices that connect to Exchange Server. Esta conta necessita de cmdlets do Exchange PowerShell que forneçam as permissões necessárias ao computador do Exchange Server.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Para obter mais informações sobre os cmdlets, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.For more information about the cmdlets, see Manage mobile devices with System Center Configuration Manager and Exchange.

Conta de servidor proxy de conector do Exchange ServerExchange Server Connector Proxy Server Account

O conector do Exchange Server utiliza o conta de servidor de Proxy de conector do Exchange Server acesso à Internet através de um proxy de servidor ou de uma firewall que requer o acesso autenticado.The Exchange Server connector uses the Exchange Server Connector Proxy Server Account to access the Internet via a proxy server or firewall that requires authenticated access.

Importante

Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.Specify an account that has the least possible permissions for the required proxy server or firewall.

Conta de Ligação de Ponto de GestãoManagement Point Connection Account

O conta de ligação de ponto de gestão é utilizada para ligar o ponto de gestão para a base de dados do site do Configuration Manager para que possa enviar e receber informações de clientes.The Management Point Connection Account is used to connect the management point to the Configuration Manager site database so that it can send and retrieve information for clients. A conta de computador do ponto de gestão é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the management point is used by default, but you can set up a user account instead. Tem de especificar uma conta de utilizador sempre que o ponto de gestão está num domínio não fidedigno do servidor do site.You must specify a user account whenever the management point is in an untrusted domain from the site server.

Crie a conta como com direitos restritos, a conta local no computador que executa o Microsoft SQL Server.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Conta de ligação de multicastMulticast Connection Account

Pontos de distribuição que estão configurados para utilizar multicast o conta de ligação de Multicast ao ler as informações da base de dados do site.Distribution points that are set up for multicast use the Multicast Connection Account to read information from the site database. A conta de computador do ponto de distribuição é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the distribution point is used by default, but you can set up a user account instead. Tem de especificar uma conta de utilizador sempre que a base de dados do site estiver numa floresta não fidedigna.You must specify a user account whenever the site database is in an untrusted forest. Por exemplo, se o seu centro de dados possuir uma rede de perímetro numa floresta que não é o servidor do site e a base de dados do site, pode utilizar esta conta para ler as informações de multicast da base de dados do site.For example, if your data center has a perimeter network in a forest other than the site server and site database, you can use this account to read the multicast information from the site database.

Se criar esta conta, crie-o como um com direitos restritos, uma conta local no computador que executa o Microsoft SQL Server.If you create this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Conta de Acesso à RedeNetwork Access Account

Utilização de computadores de cliente a conta de acesso à rede quando não é possível utilizar a conta de computador local para aceder ao conteúdo em pontos de distribuição.Client computers use the Network Access Account when they cannot use their local computer account to access content on distribution points. Por exemplo, isto aplica-se a clientes e computadores de grupo de trabalho de domínios não fidedignos.For example, this applies to workgroup clients and computers from untrusted domains. Esta conta também pode ser utilizada durante a implementação do sistema operativo, quando o computador que está a instalar o sistema operativo ainda não tem uma conta de computador no domínio.This account might also be used during operating system deployment, when the computer that's installing the operating system does not yet have a computer account on the domain.

Nota

A conta de acesso à rede nunca é utilizada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas.The Network Access Account is never used as the security context to run programs, install software updates, or run task sequences. É utilizado apenas para aceder a recursos na rede.It's used only for accessing resources on the network.

Conceda a esta conta o menor número possível de permissões ao nível do conteúdo de que o cliente necessita para aceder ao software.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. A conta tem de ter o direito de Aceder a este computador a partir da rede no ponto de distribuição ou outro servidor que contém o conteúdo de pacote.The account must have the Access this computer from the network right on the distribution point or other server that holds the package content. Pode configurar até 10 Contas de Acesso de Rede por site.You can configure up to 10 Network Access Accounts per site.

Aviso

Quando o Configuration Manager tenta utilizar a conta nomedocomputador$ para transferir o conteúdo sem êxito, volta a tentar automaticamente a conta de acesso a rede, mesmo que tenta tentado sem êxito anteriormente.When Configuration Manager tries to use the computername$ account to download the content and it fails, it automatically tries the Network Access Account again, even if it has previously tried and failed.

Crie a conta em qualquer domínio que forneça o acesso necessário a recursos.Create the account in any domain that will provide the necessary access to resources. A Conta de Acesso à Rede tem de incluir sempre um nome de domínio.The Network Access Account must always include a domain name. Segurança pass-through não é suportada para esta conta.Pass-through security is not supported for this account. Se existirem pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.If you have distribution points in multiple domains, create the account in a trusted domain.

Dica

Para evitar bloqueios de conta, não altere a palavra-passe de uma Conta de Acesso à Rede existente.To avoid account lockouts, do not change the password on an existing Network Access Account. Em vez disso, crie uma nova conta e configure a nova conta no Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager. Quando tiver passado o tempo suficiente para todos os clientes receberem os detalhes da nova conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Importante

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Não conceda a esta conta o direito de associar computadores ao domínio.Do not grant this account the right to join computers to the domain. Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a Conta de Adesão ao Domínio do Editor de Sequência de Tarefas.If you must join computers to the domain during a task sequence, use the Task Sequence Editor Domain Joining Account.

Conta de acesso a pacotePackage Access Account

A conta de acesso a pacote permite-lhe definir permissões NTFS para especificar os utilizadores e grupos de utilizadores que podem aceder a uma pasta de pacote em pontos de distribuição.A Package Access Account lets you set NTFS permissions to specify the users and user groups that can access a package folder on distribution points. Por predefinição, o Configuration Manager concede acesso apenas às contas de acesso genéricas utilizadores e administradores.By default, Configuration Manager grants access only to the generic access accounts Users and Administrators. Pode controlar o acesso para computadores cliente utilizando o Windows contas ou grupos adicionais.You can control access for client computers by using additional Windows accounts or groups. Dispositivos móveis obtêm sempre conteúdo de pacotes anonimamente, pelo que não utilizam as contas de acesso do pacote.Mobile devices always retrieve package content anonymously, so they don't use the Package Access Accounts.

Por predefinição, quando o Configuration Manager cria a partilha de pacote num ponto de distribuição, concede acesso leitura acesso local utilizadores grupo e controlo total local administradores grupo.By default, when Configuration Manager creates the package share on a distribution point, it grants Read access to the local Users group and Full Control to the local Administrators group. As permissões reais necessárias vão depender do pacote.The actual permissions required will depend on the package. Se tiver clientes localizados em grupos de trabalho ou em florestas não fidedignas, esses clientes utilizam a Conta de Acesso à Rede para aceder ao conteúdo dos pacotes.If you have clients in workgroups or in untrusted forests, those clients use the Network Access Account to access the package content. Certifique-se de que a conta de acesso a rede possui permissões para o pacote utilizando as contas de acesso a pacote definidas.Make sure that the Network Access Account has permissions to the package by using the defined Package Access Accounts.

Utilize contas de um domínio que tenham acesso aos pontos de distribuição.Use accounts in a domain that can access the distribution points. Se criar ou alterar a conta depois de criar o pacote, necessitará de redistribuir o pacote.If you create or change the account after the package is created, you must redistribute the package. A atualização do pacote não altera as permissões NTFS no pacote.Updating the package does not change the NTFS permissions on the package.

Não é necessário adicionar a conta de acesso a rede como uma conta de acesso a pacote, pois a associação do grupo de Utilizadores adiciona-a automaticamente.You do not have to add the Network Access Account as a Package Access Account, because membership of the Users group adds it automatically. Restringir a Contas de Acesso a Pacotes Apenas à Conta de Acesso à Rede não impedirá o acesso dos clientes ao pacote.Restricting the Package Access Account to only the Network Access Account does not prevent clients from accessing the package.

Conta do ponto do Reporting ServicesReporting Services Point Account

SQL Server Reporting Services utiliza o conta de ponto do Reporting Services para obter os dados para relatórios do Configuration Manager a partir da base de dados do site.SQL Server Reporting Services uses the Reporting Services Point Account to retrieve the data for Configuration Manager reports from the site database. A conta de utilizador do Windows e a palavra-passe que especificar são encriptadas e armazenadas na base de dados do SQL Server Reporting Services.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Contas de visualizador permitidas por ferramentas remotasRemote Tools Permitted Viewer Accounts

As contas que especificar como Visualizadores Autorizados para o controlo remoto são uma lista de utilizadores autorizados a utilizar a funcionalidade de ferramentas remotas em clientes.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Conta de Instalação de Sistema de SitesSite System Installation Account

O servidor de site utiliza o conta de instalação do sistema de sites para instalar, reinstalar, desinstalar e configurar sistemas de sites.The site server uses the Site System Installation Account to install, reinstall, uninstall, and set up site systems. Se configurar o sistema de sites para exigir que o servidor do site inicie ligações a este sistema de sites do Configuration Manager também utiliza esta conta para retirar dados do computador do sistema depois de instalar o sistema de sites e de quaisquer funções de sistema de sites.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system computer after the site system and any site system roles are installed. Cada sistema de sites pode ter uma conta de instalação de sistema de sites diferentes, mas pode definir apenas uma conta de instalação de sistema de sites para gerir todas as funções de sistema de sites nesse sistema de sites.Each site system can have a different Site System Installation Account, but you can set up only one Site System Installation Account to manage all site system roles on that site system.

Esta conta requer permissões administrativas locais nos sistemas de site que administradores irão instalar e configurar.This account requires local administrative permissions on the site systems that admins will install and set up. Além disso, esta conta tem de ter aceder a este computador a partir da rede na política de segurança nos sistemas de site que administradores irão instalar e configurar.Additionally, this account must have Access this computer from the network in the security policy on the site systems that admins will install and set up.

Dica

Se tiver muitos controladores de domínio e estas contas forem utilizadas em vários domínios, certifique-se de que as contas foram replicadas antes de configurar o sistema de sites.If you have many domain controllers and these accounts will be used across domains, check that the accounts have replicated before you set up the site system.

Quando especificar uma conta local em cada sistema de sites a gerir, esta configuração é mais segura do que utilizar contas de domínio, pois limita os danos que podem ser feitos por atacantes se a conta for comprometida.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts, because it limits the damage that attackers can do if the account is compromised. No entanto, as contas de domínio são mais fáceis de gerir.However, domain accounts are easier to manage. Considere o compromisso entre a segurança e administração eficiente.Consider the trade-off between security and effective administration.

Conta da ligação ao servidor SMTPSMTP Server Connection Account

O servidor de site utiliza o conta de ligação do servidor de SMTP para enviar alertas por e-mail quando o servidor SMTP necessita de acesso autenticado.The site server uses the SMTP Server Connection Account to send email alerts when the SMTP server requires authenticated access.

Importante

Especifique uma conta que tenha o menor número possível de permissões para enviar mensagens de correio eletrónico.Specify an account that has the least possible permissions to send emails.

Conta de ligação de ponto de atualização de softwareSoftware Update Point Connection Account

O servidor de site utiliza o conta de ligação de ponto de atualização de Software para os serviços de atualização de software dois seguintes:The site server uses the Software Update Point Connection Account for the following two software update services:

  • Windows Server Update Services (WSUS) do Configuration Manager, que configura definições como definições de produto, classificações e definições a montante.Windows Server Update Services (WSUS) Configuration Manager, which sets up settings like product definitions, classifications, and upstream settings.

  • WSUS Synchronization Manager, que pede a sincronização a um servidor WSUS a montante ou ao Microsoft Update.WSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

A conta de instalação do sistema de sites pode instalar componentes para atualizações de software, mas não é possível efetuar a funções específicas de atualização de software no ponto de atualização de software.The Site System Installation Account can install components for software updates, but it cannot perform software update-specific functions on the software update point. Se não for possível utilizar a conta de computador do servidor de site para esta funcionalidade porque o ponto de atualização de software está numa floresta não fidedigna, tem de especificar esta conta para além da conta de instalação de sistema de sites.If you cannot use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the Site System Installation Account.

Esta conta tem de ser um administrador local no computador onde o WSUS está instalado.This account must be a local admin on the computer where WSUS is installed. Também tem de ser parte do grupo local de administradores do WSUS.It must also be part of the local WSUS Administrators group.

Conta de servidor proxy de ponto de atualização de softwareSoftware Update Point Proxy Server Account

O ponto de atualização de software utiliza o conta atualização de Software do ponto Proxy de servidor acesso à Internet através de um proxy de servidor ou de uma firewall que requer o acesso autenticado.The software update point uses the Software Update Point Proxy Server Account to access the Internet via a proxy server or firewall that requires authenticated access.

Importante

Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.Specify an account that has the least possible permissions for the required proxy server or firewall.

Conta de site de origemSource Site Account

O processo de migração utiliza o conta de Site de origem para aceder ao fornecedor de SMS do site de origem.The migration process uses the Source Site Account to access the SMS Provider of the source site. Esta conta precisa de permissões de Leitura a objetos de site no site de origem para recolher dados para tarefas de migração.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Se atualizar pontos de distribuição do Configuration Manager 2007 ou sites secundários que tenham localizadas conjuntamente pontos de distribuição para pontos de distribuição do System Center Configuration Manager, esta conta também tem de ter eliminar permissões para o Site classe para remover com sucesso o ponto de distribuição do site do Configuration Manager 2007 durante a atualização.If you upgrade Configuration Manager 2007 distribution points or secondary sites that have co-located distribution points to System Center Configuration Manager distribution points, this account must also have Delete permissions to the Site class to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Nota

A conta de Site de origem e a conta de base de dados do Site de origem são identificadas como Gestor de migração no contas o nó do administração área de trabalho na consola do Configuration Manager.Both the Source Site Account and the Source Site Database Account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Conta de base de dados do site de origemSource Site Database Account

O processo de migração utiliza o conta de base de dados do Site de origem para aceder à base de dados do SQL Server para o site de origem.The migration process uses the Source Site Database Account to access the SQL Server database for the source site. Para recolher dados da base de dados do SQL Server do site de origem, a conta de base de dados do Site de origem tem de ter o leitura e executar permissões para do SQL Server da base de dados o site de origem.To gather data from the SQL Server database of the source site, the Source Site Database Account must have the Read and Execute permissions to the source site's SQL Server database.

Nota

Se utilizar a conta de computador do System Center Configuration Manager, certifique-se de que todas as seguintes são verdadeiras para esta conta:If you use the System Center Configuration Manager computer account, ensure that all the following are true for this account:

  • É um membro do grupo de segurança utilizadores COM distribuídos no domínio onde reside o site do Configuration Manager 2007.It is a member of the security group Distributed COM Users in the domain where the Configuration Manager 2007 site resides.
  • É um membro do grupo de segurança Admins de SMS.It is a member of the SMS Admins security group.
  • Tem a leitura permissão para todos os objetos do Configuration Manager 2007.It has the Read permission to all Configuration Manager 2007 objects.
Nota

A conta de Site de origem e a conta de base de dados do Site de origem são identificadas como Gestor de migração no contas o nó do administração área de trabalho na consola do Configuration Manager.Both the Source Site Account and Source Site Database Account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Conta de adesão ao domínio do editor de sequência de tarefasTask Sequence Editor Domain Joining Account

A Conta de Associação de Domínio do Editor de Sequência de Tarefas é utilizada numa sequência de tarefas para associar um computador com imagem recentemente duplicada a um domínio.The Task Sequence Editor Domain Joining Account is used in a task sequence to join a newly imaged computer to a domain. Esta conta é necessária se adicionar o passo Associar Domínio ou Grupo de Trabalho a uma sequência de tarefas e selecionar Aderir a um domínio.This account is required if you add the step Join Domain or Workgroup to a task sequence, and then select Join a domain. Esta conta também pode ser configurada se adicionar o passo aplicar definições de rede para uma tarefa sequência, mas não é necessária.This account can also be set up if you add the step Apply Network Settings to a task sequence, but it is not required.

Esta conta precisa do direito Associação a um Domínio no domínio ao qual o computador será associado.This account requires the Domain Join right in the domain that the computer will be joining.

Dica

Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.If you require this account for your task sequences, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Conta de ligação à pasta de rede do editor de sequência de tarefasTask Sequence Editor Network Folder Connection Account

Uma sequência de tarefas utiliza a conta de ligação de pasta de rede Editor de sequência de tarefas para ligar a uma pasta partilhada na rede.A task sequence uses the Task Sequence Editor Network Folder Connection Account to connect to a shared folder on the network. Esta conta é necessária se adicionar o passo Ligar à Pasta de Rede a uma sequência de tarefas.This account is required if you add the step Connect to Network Folder to a task sequence.

Esta conta requer permissões para aceder à pasta partilhada especificada.This account requires permissions to access the specified shared folder. Tem de ser uma conta de domínio do utilizador.It must be a user domain account.

Dica

Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.If you require this account for your task sequences, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Conta Run As de sequência de tarefasTask Sequence Run As Account

A Conta Run As de Sequência de Tarefas é utilizada para executar linhas de comandos em sequências de tarefas e utilizar credenciais diferentes da conta do sistema local.The Task Sequence Run As Account is used to run command lines in task sequences and use credentials other than the local system account. Esta conta é necessária se adicionar o passo executar linha de comandos a uma sequência de tarefas, mas não pretender a sequência de tarefas executada com permissões de conta de sistema local no computador gerido.This account is required if you add the step Run Command Line to a task sequence but do not want the task sequence to run with local system account permissions on the managed computer.

Configure a conta para ter as permissões mínimas necessárias para executar a linha de comandos que é especificada na sequência de tarefas.Set up the account to have the minimum permissions required to run the command line that's specified in the task sequence. A conta necessita de direitos de início de sessão interativos e normalmente requer a capacidade de instalar software e aceder a recursos de rede.The account requires interactive sign-in rights, and it usually requires the ability to install software and access network resources.

Importante

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Nunca torne a conta um administrador de domínio.Never make the account a domain admin.

Nunca configure perfis itinerantes para esta conta.Never set up roaming profiles for this account. Quando a sequência de tarefas é executada, transferirá o perfil itinerante para a conta.When the task sequence runs, it will download the roaming profile for the account. Isto deixará o perfil vulnerável a acesso no computador local.This will leave the profile vulnerable to access on the local computer.

Limite o âmbito da conta.Limit the scope of the account. Por exemplo, crie Contas Run As de Sequência de Tarefas diferentes para cada sequência de tarefas, de modo a que, se uma conta for comprometida, apenas sejam comprometidos os computadores cliente a que essa conta tenha acesso.For example, create different Task Sequence Run As Accounts for each task sequence so that if one account is compromised, only the client computers to which that account has access are compromised.

Se a linha de comandos exigir acesso administrativo no computador, considere a criação de uma conta de administrador local apenas para a tarefa de sequência de conta Run As em todos os computadores que executarão a sequência de tarefas.If the command line requires administrative access on the computer, consider creating a local admin account solely for the Task Sequence Run As Account on all computers that will run the task sequence. Elimina a conta, assim que já não precisar dele.Delete the account as soon as you no longer need it.