Contas utilizadas no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Utilize as seguintes informações para identificar os grupos Windows, contas e SQL Server objetos que são utilizados no Gestor de Configuração, como são utilizados e quaisquer requisitos.

Windows grupos que o Gestor de Configuração cria e utiliza

O Gestor de Configuração cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos Windows:

Nota

Quando o Gestor de Configuração cria um grupo num computador que é membro do domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo é um grupo local de domínio. Este tipo de grupo é partilhado entre todos os controladores de domínio no domínio.

Manager_CollectedFilesAccess de configuração

O Gestor de Configuração utiliza este grupo para conceder acesso a visualizar ficheiros recolhidos pelo inventário de software.

Para obter mais informações, consulte Introdução ao inventário de software.

Tipo e localização para CollectFilesAccess

Este grupo é um grupo de segurança local criado no servidor do site primário.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Adesão a CollectFilesAccess

O Gestor de Configuração gere automaticamente a filiação do grupo. A associação inclui os utilizadores administrativos que recebem permissão para Ver Ficheiros Recolhidos relativamente ao objeto com capacidade de segurança Recolha de uma função de segurança atribuída.

Permissões para Ficheiros Recolhidos

Por predefinição, este grupo tem a permissão de leitura para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Manager_DViewAccess de configuração

Este grupo é um grupo de segurança local que o Gestor de Configuração cria no servidor de base de dados do site ou servidor de réplica de base de dados para um site primário infantil. O site cria-o quando utiliza vistas distribuídas para replicação de bases de dados entre sites numa hierarquia. Contém o servidor do site e SQL Server contas de computador do site da administração central.

Para obter mais informações, consulte transferências de dados entre sites.

Utilizadores de controlo remoto do gestor de configuração

As ferramentas remotas do Gestor de Configuração utilizam este grupo para armazenar as contas e grupos que criou na lista de Espectadores Permitidos. O site atribui esta lista a cada cliente.

Para obter mais informações, consulte Introdução ao controlo remoto.

Tipo e localização para utilizadores de controlo remoto

Este grupo é um grupo de segurança local criado no cliente Do Gestor de Configuração quando o cliente recebe uma política que permite ferramentas remotas.

Depois de desativar ferramentas remotas para um cliente, este grupo não é removido automaticamente. Elimine-o manualmente depois de desativar as ferramentas remotas.

Adesão para utilizadores de controlo remoto

Por predefinição, não existem membros neste grupo. Quando adiciona os utilizadores à lista de Espectadores Permitidos, estes são automaticamente adicionados a este grupo.

Utilize a lista de Espectadores Permitidos para gerir a adesão a este grupo em vez de adicionar utilizadores ou grupos diretamente a este grupo.

Além de ser um espectador permitido, um utilizador administrativo deve ter a permissão de Controlo Remoto para o objeto Coleção. Atribua esta permissão utilizando a função de segurança do Operador de Ferramentas Remotas.

Permissões para utilizadores de controlo remoto

Por predefinição, este grupo não tem permissões para quaisquer localizações no computador. É usado apenas para manter a lista de espectadores permitidos.

Admins de SMS

O Gestor de Configuração utiliza este grupo para conceder acesso ao Fornecedor de SMS através do WMI. O acesso ao Fornecedor SMS é necessário para visualizar e alterar objetos na consola 'Gestor de Configuração'.

Nota

A configuração de administração baseada em funções de um utilizador administrativo determina quais os objetos que pode ver e gerir ao utilizar a consola Do Gestor de Configuração.

Para mais informações, consulte Plano para o Fornecedor de SMS.

Tipo e localização para administradores de SMS

Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Adesão a Administradores SMS

O Gestor de Configuração gere automaticamente a filiação do grupo. Por predefinição, cada utilizador administrativo numa hierarquia e na conta de computador do servidor do site são membros do grupo SMS Admins em cada computador do Fornecedor de SMS num site.

Permissões para administradores de SMS

Pode ver os direitos e permissões do grupo SMS Admins no snap-in MMC do controlo do WMI. Por predefinição, este grupo é concedido Enable Account e Remote Enable no espaço Root\SMS de nomeS WMI. Os utilizadores autenticados têm Métodos de Execução, Programar fornecedores e Ativar a Conta.

Quando utilizar uma consola controladora de configuração remota, configure permissões DCOM de ativação remota tanto no computador do servidor do site como no Fornecedor DE SMS. Conceda estes direitos ao grupo SMS Admins. Esta ação simplifica a administração em vez de conceder esses direitos diretamente aos utilizadores ou grupos. Para obter mais informações, consulte permissões Configure DCOM para consolas remotas do Gestor de Configuração.

SMS_SiteSystemToSiteServerConnection_MP_ código < de site>

Os pontos de gestão que estão afastados do servidor do site utilizam este grupo para se ligar à base de dados do site. Este grupo fornece acesso de ponto de gestão às pastas a receber no servidor do site e na base de dados do site.

Tipo e localização para SMS_SiteSystemToSiteServerConnection_MP

Este grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Adesão a SMS_SiteSystemToSiteServerConnection_MP

O Gestor de Configuração gere automaticamente a filiação do grupo. Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site.

Permissões para SMS_SiteSystemToSiteServerConnection_MP

Por predefinição, este grupo tem Read, Ler & executar, e Listar a permissão do conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes . Este grupo também tem permissão de Escrever para sub-dobradeiras abaixo das caixas de entrada, às quais o ponto de gestão escreve dados do cliente.

SMS_SiteSystemToSiteServerConnection_SMSProv_ código < de site>

Os computadores de sms remotos usam este grupo para se conectarem ao servidor do site.

Tipo e localização para SMS_SiteSystemToSiteServerConnection_SMSProv

Este grupo é um grupo de segurança local criado no servidor do site.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Adesão a SMS_SiteSystemToSiteServerConnection_SMSProv

O Gestor de Configuração gere automaticamente a filiação do grupo. Por predefinição, a adesão inclui a conta de computador ou uma conta de utilizador de domínio. Utiliza esta conta para ligar ao servidor do site a partir de cada fornecedor de SMS remoto.

Permissões para SMS_SiteSystemToSiteServerConnection_SMSProv

Por predefinição, este grupo tem Read, Ler & executar, e Listar a permissão do conteúdo da pasta para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes . Este grupo também tem as permissões de Escrita e Modificação para sub-dobradizações abaixo das caixas de entrada. O Fornecedor de SMS requer acesso a estas pastas.

Este grupo também tem permissão de leitura para as sub-dobradeiras no servidor do site abaixo C:\Program Files\Microsoft Configuration Manager\OSD\Bin .

Tem também as seguintes permissões para as sub-dobradeiras C:\Program Files\Microsoft Configuration Manager\OSD\boot abaixo:

  • Ler
  • Ler & executar
  • Listar conteúdo de pasta
  • Escrever
  • Modificar

SMS_SiteSystemToSiteServerConnection_Stat_ código < de site>

O componente do gestor de despacho de ficheiros nos computadores do sistema de site remoto do Gestor de Configuração utiliza este grupo para se ligar ao servidor do site.

Tipo e localização para SMS_SiteSystemToSiteServerConnection_Stat

Este grupo é um grupo de segurança local criado no servidor do site.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Adesão a SMS_SiteSystemToSiteServerConnection_Stat

O Gestor de Configuração gere automaticamente a filiação do grupo. Por predefinição, a adesão inclui a conta do computador ou a conta de utilizador de domínio. Utiliza esta conta para ligar ao servidor do site a partir de cada sistema de site remoto que executa o gestor de despacho de ficheiros.

Permissões para SMS_SiteSystemToSiteServerConnection_Stat

Por predefinição, este grupo tem Read, Ler & executar, e Listar a permissão do conteúdo da pasta para a seguinte pasta e suas sub-dobradeiras no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes .

Este grupo também tem as permissões de Escrita e Modificação para a seguinte pasta no servidor do site: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box .

SMS_SiteToSiteConnection_ < código de site>

O Gestor de Configuração utiliza este grupo para permitir a replicação baseada em ficheiros entre sites numa hierarquia. Para cada site remoto que transfere diretamente ficheiros para este site, este grupo tem contas configurada como Conta de Replicação de Ficheiros.

Tipo e localização para SMS_SiteToSiteConnection

Este grupo é um grupo de segurança local criado no servidor do site.

Adesão a SMS_SiteToSiteConnection

Quando instala um novo site como uma criança de outro site, o Gestor de Configuração adiciona automaticamente a conta de computador do novo servidor do site a este grupo no servidor do site dos pais. O Gestor de Configuração também adiciona a conta de computador do site principal ao grupo no novo servidor do site. Se especificar outra conta para transferências baseadas em ficheiros, adicione essa conta a este grupo no servidor do site de destino.

Quando desinstalam um site, este grupo não é removido automaticamente. Elimine-o manualmente depois de desinstalar um site.

Permissões para SMS_SiteToSiteConnection

Por predefinição, este grupo tem controlo total para a seguinte pasta: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive .

Contas que o Gestor de Configuração utiliza

Pode configurar as seguintes contas para o Gestor de Configuração.

Dica

Não utilize o carácter percentual % na palavra-passe para contas que especifique na consola 'Gestor de Configurações'. A conta não autenticará.

Conta de descoberta do grupo de diretório ativo

O site utiliza a conta de descoberta do grupo Ative Directory para descobrir os seguintes objetos a partir das localizações nos Serviços de Domínio do Diretório Ativo que especifica:

  • Grupos de segurança locais, globais e universais
  • A adesão dentro destes grupos
  • A adesão dentro dos grupos de distribuição
    • Grupos de distribuição não são descobertos como recursos de grupo

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Deve ter a permissão de acesso à leitura dos locais do Ative Directory que especifique para a descoberta.

Para obter mais informações, consulte a descoberta do grupo Ative Directory.

Conta de descoberta do sistema de diretório ativo

O site utiliza a conta de descoberta do sistema Ative Directory para descobrir computadores a partir das localizações nos Serviços de Domínio do Diretório Ativo que especifica.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Deve ter a permissão de acesso à leitura dos locais do Ative Directory que especifique para a descoberta.

Para obter mais informações, consulte a descoberta do sistema Ative Directory.

Conta de descoberta de utilizadores de diretório ativo

O site utiliza a conta de descoberta do utilizador ative Directory para descobrir contas de utilizadores a partir das localizações nos Serviços de Domínio do Diretório Ativo que especifica.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Deve ter a permissão de acesso à leitura dos locais do Ative Directory que especifique para a descoberta.

Para obter mais informações, consulte a descoberta do utilizador ative directory.

Conta florestal do Diretório Ativo

O site utiliza a conta florestal do Ative Directory para descobrir a infraestrutura de rede a partir de florestas de Diretório Ativo. Os sites da administração central e os sites primários também os usam para publicar dados do site para serviços de domínio de diretório ativo para uma floresta.

Nota

Os sites secundários utilizam sempre a conta de computador de servidor do site secundário para publicar no Active Directory.

Para descobrir e publicar para florestas não fidedquibadas, a conta florestal do Ative Directory deve ser uma conta global. Se não utilizar a conta de computador do servidor do site, pode selecionar apenas uma conta global.

Esta conta tem de ter permissões de Leitura para cada floresta do Active Directory onde pretende detetar infraestruturas de rede.

Esta conta deve ter permissões de Controlo Total para o recipiente de Gestão do Sistema e todos os seus objetos infantis em cada floresta do Ative Directory onde pretende publicar dados do site. Para obter mais informações, consulte Prepare o Diretório Ativo para publicação no site.

Para mais informações, consulte a descoberta da floresta do Ative Directory.

Conta de ponto de registo de certificado

O ponto de registo do certificado utiliza a conta de ponto de registo do Certificado para ligar à base de dados do Gestor de Configuração. Utiliza a sua conta de computador por padrão, mas em vez disso pode configurar uma conta de utilizador. Quando o ponto de registo do certificado estiver num domínio não fidedquir o servidor do site, deve especificar uma conta de utilizador. Esta conta requer apenas Ler o acesso à base de dados do site, porque o sistema de mensagens do Estado lida com tarefas de escrita.

Para obter mais informações, consulte Introdução aos perfis de certificados.

Capture a conta de imagem do SO

Quando captura uma imagem de SO, o Gestor de Configuração utiliza a conta de imagem Capture OS para aceder à pasta onde armazena imagens capturadas. Se adicionar o passo de Imagem de Captura OS a uma sequência de tarefas, esta conta é necessária.

A conta deve ter permissões de Leitura e Escrita na partilha de rede onde armazena imagens capturadas.

Se alterar a palavra-passe da conta em Windows, atualize a sequência de tarefas com a nova palavra-passe. O cliente Do Gestor de Configuração recebe a nova palavra-passe quando descarrega a política do cliente.

Se precisar de utilizar esta conta, crie uma conta de utilizador de domínio. Conceda-lhe permissões mínimas para aceder aos recursos de rede necessários e usá-lo para todas as sequências de tarefas de captura.

Importante

Não atribua permissões de inscrição interativas a esta conta.

Não utilize a conta de acesso à rede para esta conta.

Para obter mais informações, consulte Criar uma sequência de tarefas para capturar um SISTEMA.

Conta de instalação push do cliente

Quando implementa os clientes utilizando o método de instalação push do cliente, o site utiliza a conta de instalação push do Cliente para se ligar aos computadores e instalar o software do cliente Do Gestor de Configuração. Se não especificar esta conta, o servidor do site tenta utilizar a sua conta de computador.

Esta conta deve ser um membro do grupo de administradores locais nos computadores-cliente-alvo. Esta conta não requer direitos de administração de domínio.

Pode especificar mais de uma conta de instalação push do cliente. O Gestor de Configuração tenta cada um por sua vez até que um tenha sucesso.

Dica

Se tiver um grande ambiente de Diretório Ativo e precisar de alterar esta conta, utilize o seguinte processo para coordenar mais eficazmente esta atualização da conta:

  1. Criar uma nova conta com um nome diferente
  2. Adicione a nova conta à lista de contas de instalação push do cliente no Gestor de Configuração
  3. Permitir tempo suficiente para os Serviços de Domínio do Diretório Ativo replicarem a nova conta
  4. Em seguida, remova a conta antiga do Gestor de Configuração e dos Serviços de Domínio do Diretório Ativo

Importante

Utilize o domínio ou a política de grupo local para atribuir o direito do utilizador Windows de negar o registo local. Como membro do grupo de Administradores, esta conta terá o direito de assinar localmente, o que não é necessário. Para uma melhor segurança, negue explicitamente o direito a esta conta. O direito negado substitui o direito de permitir.

Para obter mais informações, consulte a instalação push do Cliente.

Conta de ligação ponto de inscrição

O ponto de inscrição utiliza a conta de ligação ponto de inscrição para ligar à base de dados do site do Gestor de Configuração. Utiliza a sua conta de computador por padrão, mas em vez disso pode configurar uma conta de utilizador. Quando o ponto de inscrição estiver num domínio não fidedquirísslado do servidor do site, deve especificar uma conta de utilizador. Esta conta requer acesso de Leitura e Escrita à base de dados do site.

Para obter mais informações, consulte as funções do sistema do site para o MDM no local.

conta de conexão Exchange Server

O servidor do site utiliza a conta de ligação Exchange Server para se ligar ao Exchange Server especificado. Utiliza esta ligação para encontrar e gerir dispositivos móveis que se conectam a Exchange Server. Esta conta necessita de cmdlets do Exchange PowerShell que forneçam as permissões necessárias ao computador do Exchange Server. Para obter mais informações sobre os cmdlets, consulte instalar e configurar o conector Exchange.

Conta de ligação de ponto de gestão

O ponto de gestão utiliza a conta de ligação ponto de gestão para ligar à base de dados do site do Gestor de Configuração. Utiliza esta ligação para enviar e recuperar informações para os clientes. O ponto de gestão utiliza a sua conta de computador por padrão, mas em vez disso pode configurar uma conta de utilizador. Quando o ponto de gestão estiver num domínio não fidedquirísslado do servidor do site, deve especificar uma conta de utilizador.

Crie a conta como uma conta local de baixa direita no computador que executa Microsoft SQL Server.

Importante

Não conceda direitos de inscrição interativos a esta conta.

Conta de conexão multicast

Os pontos de distribuição com vários canais utilizam a conta de ligação Multicast para ler informações a partir da base de dados do site. O servidor utiliza a sua conta de computador por padrão, mas em vez disso pode configurar uma conta de utilizador. Quando a base de dados do site estiver numa floresta não fidedquiríssia, deve especificar uma conta de utilizador. Por exemplo, se o seu centro de dados tiver uma rede de perímetro numa floresta diferente do servidor do site e da base de dados do site, utilize esta conta para ler as informações multicast da base de dados do site.

Se precisar desta conta, crie-a como uma conta local de baixa direita no computador que executa Microsoft SQL Server.

Importante

Não conceda direitos de inscrição interativos a esta conta.

Para obter mais informações, consulte utilizar multicast para implementar Windows na rede.

Conta de acesso à rede

Os computadores clientes usam a conta de acesso à rede quando não podem usar a sua conta de computador local para aceder a conteúdos em pontos de distribuição. Aplica-se principalmente a clientes e computadores de grupos de trabalho de domínios não fided oses. Esta conta também é usada durante a implementação do SISTEMA, quando o computador que está a instalar o SO ainda não tem uma conta de computador no domínio.

Importante

A conta de acesso à rede nunca é utilizada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas. É usado apenas para aceder a recursos na rede.

Um cliente do Gestor de Configuração tenta primeiro utilizar a sua conta de computador para descarregar o conteúdo. Se falhar, tenta automaticamente a conta de acesso à rede.

Se configurar o site para HTTPS ou HTTP Melhorado,um grupo de trabalho ou cliente aderido a Azure pode aceder de forma segura aos conteúdos a partir de pontos de distribuição sem a necessidade de uma conta de acesso à rede. Este comportamento inclui cenários de implementação de SO com uma sequência de tarefas a partir de suportes de arranque, PXE ou Software Center. Para obter mais informações, consulte o Cliente para a comunicação de pontos de gestão.

Nota

Se ativar o HTTP Melhorado para não necessitar da conta de acesso à rede, o ponto de distribuição tem de estar a funcionar Windows Server 2012 ou posteriormente.

Permissões para a conta de acesso à rede

Conceda a esta conta o menor número possível de permissões ao nível do conteúdo de que o cliente necessita para aceder ao software. A conta deve ter o Acesso a este computador a partir da rede mesmo no ponto de distribuição. Pode configurar até 10 contas de acesso à rede por site.

Crie a conta em qualquer domínio que forneça o acesso necessário aos recursos. A conta de acesso à rede deve incluir sempre um nome de domínio. A segurança não é suportada por esta conta. Se existirem pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.

Dica

Para evitar bloqueios de conta, não altere a palavra-passe numa conta de acesso à rede existente. Em vez disso, crie uma nova conta e crie a nova conta no Gestor de Configuração. Quando tiver passado o tempo suficiente para todos os clientes receberem os detalhes da nova conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta.

Importante

Não conceda direitos de inscrição interativos a esta conta.

Não conceda a esta conta o direito de juntar computadores ao domínio. Se tiver de juntar computadores ao domínio durante uma sequência de tarefas, utilize a conta de seqüência de sequência de tarefas.

Configurar a conta de acesso à rede

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda a configuração do site e selecione o nó 'Sites'. Em seguida, selecione o site.

  2. No grupo Definições da fita, selecione Configure Componentes do Site, e escolha a Distribuição de Software.

  3. Escolha o separador conta de acesso à Rede. Crie uma ou mais contas e, em seguida, escolha OK.

Ações que requerem a conta de acesso à rede

A conta de acesso à rede ainda é necessária para as seguintes ações:

  • Multicast. Para obter mais informações, consulte utilizar multicast para implementar Windows na rede.

  • Opção de implementação da sequência de tarefas para aceder diretamente a partir de um ponto de distribuição quando necessário pela sequência de tarefas de execução. Para obter mais informações, consulte as opções de implementação da sequência de tarefas.

  • Solicite o passo da sequência de tarefas da State Store. Se a sequência de tarefas não conseguir comunicar com o ponto de migração do Estado utilizando a conta de computador do dispositivo, volta a utilizar a conta de acesso à rede. Para mais informações, consulte a Loja do Estado do Pedido.

  • Aplicar a opção de etapa da sequência de tarefas OS Image para aceder diretamente ao conteúdo do ponto de distribuição. Esta opção destina-se principalmente a Windows cenários incorporados com espaço em disco baixo, onde o conteúdo do cache para o disco local é dispendioso. Para obter mais informações, consulte o conteúdo do Access diretamente a partir do ponto de distribuição

  • Definição de propriedades de sequência de tarefas para executar outro programa primeiro. Esta definição executa um pacote e programa a partir de uma partilha de rede antes da sequência de tarefas começar. Para obter mais informações, consulte Gerir as sequências de tarefas para automatizar tarefas: Definições avançadas.

  • Gerir clientes em domínios não fidedquipositados e cenários de floresta cruzada permite várias contas de acesso à rede.

Conta de acesso a pacote

Uma conta de acesso a pacote permite-lhe definir permissões NTFS para especificar os utilizadores e grupos de utilizadores que podem aceder ao conteúdo do pacote em pontos de distribuição. Por predefinição, o Gestor de Configuração concede acesso apenas às contas genéricas de acesso Utilizador e Administrador. Pode controlar o acesso a computadores clientes utilizando outras contas ou grupos Windows. Os dispositivos móveis recuperam sempre o conteúdo do pacote de forma anónima, para que não utilizem uma conta de acesso a pacotes.

Por predefinição, quando o Gestor de Configuração copia os ficheiros de conteúdo para um ponto de distribuição, concede acesso de leitura ao grupo local de Utilizadores e Controlo Total ao grupo de Administradores locais. As permissões reais necessárias dependem do pacote. Se tiver clientes em grupos de trabalho ou em florestas não fidedíssquicos, esses clientes utilizam a conta de acesso à rede para aceder ao conteúdo do pacote. Certifique-se de que a conta de acesso à rede tem permissões para o pacote utilizando as contas de acesso ao pacote definidas.

Utilize contas de um domínio que tenham acesso aos pontos de distribuição. Se criar ou modificar a conta depois de criar a embalagem, deve redistribuir a embalagem. A atualização do pacote não altera as permissões NTFS no pacote.

Não é preciso adicionar a conta de acesso à rede como uma conta de acesso a pacotes, porque a adesão ao grupo de Utilizadores adiciona-a automaticamente. Restringir a conta de acesso ao pacote apenas à conta de acesso à rede não impede os clientes de acederem ao pacote.

Gerir contas de acesso a pacotes

  1. Na consola 'Gestor de Configuração', aceda ao espaço de trabalho da Biblioteca de Software.

  2. No espaço de trabalho da Biblioteca de Software, determine o tipo de conteúdo para o qual pretende gerir as contas de acesso e siga os passos fornecidos:

    • Aplicação: Expandir Gestão de Aplicações, escolher Aplicações e, em seguida, selecionar a aplicação para a gestão de contas de acesso.

    • Pacote: Expandir a Gestão de Aplicações, escolher Pacotes e, em seguida, selecionar o pacote para gerir contas de acesso.

    • Pacote de implementação de atualização de software: Expandir atualizações de software, escolher pacotes de implementação e, em seguida, selecionar o pacote de implementação para gerir contas de acesso.

    • Pacote de condutor: Expandir sistemas operativos, escolher pacotes de condutor e, em seguida, selecione o pacote do controlador para gerir as contas de acesso.

    • Imagem de SO: Expandir sistemas operativos, escolher Imagens do Sistema Operativo e, em seguida, selecionar a imagem do sistema operativo para a gestão das contas de acesso.

    • Pacote de atualização do SISTEMA: Expandir sistemas operativos, escolher pacotes de atualização do sistema Operativo e, em seguida, selecionar o pacote de atualização do SISTEMA para gerir as contas de acesso.

    • Imagem de arranque: Expandir sistemas operativos, escolher Imagens de Arranque e, em seguida, selecionar a imagem de arranque para gerir contas de acesso.

  3. Clique com o botão direito no objeto selecionado e, em seguida, escolha Gerir contas de acesso.

  4. Na caixa de diálogo 'Conta Adicionar', especifique o tipo de conta que terá acesso ao conteúdo e, em seguida, especifique os direitos de acesso associados à conta.

    Nota

    Quando adiciona um nome de utilizador para a conta, e o Gestor de Configuração encontra uma conta de utilizador local e uma conta de utilizador de domínio com esse nome, o Gestor de Configuração define os direitos de acesso para a conta de utilizador de domínio.

Conta de ponto de relatórios de serviços

SQL Server Reporting Services utiliza a conta de ponto de conta de serviços de relatório para recuperar os dados dos relatórios do Gestor de Configuração a partir da base de dados do site. A conta de utilizador do Windows e a palavra-passe que especificar são encriptadas e armazenadas na base de dados do SQL Server Reporting Services.

Nota

A conta que especifica deve ter Registo de permissões locais no computador que hospeda a base de dados SQL Server Reporting Services.

A conta é automaticamente concedida todos os direitos necessários ao ser adicionada à Smsschm_users SQL Server Base de Dados Papel na base de dados do Gestor de Configuração.

Para obter mais informações, consulte Introdução à comunicação.

Ferramentas remotas permitidas contas de espectadores

As contas que especificar como Visualizadores Autorizados para o controlo remoto são uma lista de utilizadores autorizados a utilizar a funcionalidade de ferramentas remotas em clientes.

Para obter mais informações, consulte Introdução ao controlo remoto.

Conta de instalação do site

Utilize uma conta de utilizador de domínio para iniciar sação no servidor onde executa a configuração do Gestor de Configuração e instale um novo site.

Esta conta requer os seguintes direitos:

  • Administrador nos seguintes servidores:

    • O servidor do site
    • Cada servidor que acolhe a base de dados do site
    • Cada instância do Fornecedor de SMS para o site
  • Sysadmin sobre o caso de SQL Server que acolhe a base de dados do site

A configuração do Gestor de Configuração adiciona automaticamente esta conta ao grupo SMS Admins.

Após a instalação, esta conta é o único utilizador com direitos para a consola Do Gestor de Configuração. Se precisar de remover esta conta, certifique-se de adicionar os seus direitos a outro utilizador primeiro.

Ao expandir um site autónomo para incluir um site de administração central, esta conta requer direitos de administração baseados em funções de Administrador Completo ou Administrador de Infraestruturas no local primário autónomo.

Conta de instalação do sistema de site

O servidor do site utiliza a conta de instalação do sistema Do Site para instalar, reinstalar, desinstalar e configurar sistemas de instalações. Se configurar o sistema de site para exigir que o servidor do site inicie ligações a este sistema de site, o Gestor de Configuração também utiliza esta conta para retirar dados do sistema do site depois de instalar o sistema do site e quaisquer funções. Cada sistema de site pode ter uma conta de instalação diferente, mas pode configurar apenas uma conta de instalação para gerir todas as funções desse sistema do site.

Esta conta requer permissões administrativas locais nos sistemas do site alvo. Além disso, esta conta deve ter Acesso a este computador a partir da rede na política de segurança nos sistemas do site alvo.

Dica

Se tiver muitos controladores de domínio e estas contas forem utilizadas em domínios, antes de configurar o sistema de site, verifique se o Ative Directory replicou estas contas.

Quando especifica uma conta local em cada sistema de site a ser gerida, esta configuração é mais segura do que a utilização de contas de domínio. Limita os danos que os atacantes podem fazer se a conta estiver comprometida. No entanto, as contas de domínio são mais fáceis de gerir. Considere a compensação entre segurança e administração eficaz.

Conta de servidor de procuração do sistema de site

As seguintes funções do sistema de site utilizam a conta do servidor proxy do sistema do Site para aceder à internet através de um servidor proxy ou firewall que requer acesso autenticado:

  • Ponto de sincronização do Asset Intelligence
  • Conector do Exchange Server
  • Ponto de ligação de serviço
  • Ponto de atualização de software

Importante

Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.

Para obter mais informações, consulte o suporte do servidor Proxy.

Conta de conexão de servidor SMTP

O servidor do site utiliza a conta de ligação do servidor SMTP para enviar alertas de e-mail quando o servidor SMTP necessita de acesso autenticado.

Importante

Especifique uma conta que tenha o menor número possível de permissões para enviar mensagens de correio eletrónico.

Para mais informações, consulte alertas de configuração.

Conta de ligação de ponto de atualização de software

O servidor do site utiliza a conta de ligação de ponto de atualização de software para os seguintes dois serviços de atualização de software:

  • Windows Server Update Services (WSUS), que estabelece configurações como definições de produtos, classificações e configurações a montante.

  • WSUS Synchronization Manager, que pede a sincronização a um servidor WSUS a montante ou ao Microsoft Update.

A conta de instalação do sistema de site pode instalar componentes para atualizações de software, mas não pode fazer funções específicas de atualização de software no ponto de atualização do software. Se não puder utilizar a conta do computador do servidor do site para esta funcionalidade porque o ponto de atualização do software está numa floresta não fidedíssquica, tem de especificar esta conta juntamente com a conta de instalação do sistema de site.

Esta conta deve ser um administrador local no computador onde instala o WSUS. Deve também fazer parte do grupo local de administradores da WSUS.

Para obter mais informações, consulte Plano para atualizações de software.

Conta do site da fonte

O processo de migração utiliza a conta do site Source para aceder ao Fornecedor de SMS do site de origem. Esta conta precisa de permissões de Leitura a objetos de site no site de origem para recolher dados para tarefas de migração.

Se tiver pontos de distribuição do Gestor de Configuração 2007 ou sites secundários com pontos de distribuição de colocação, quando os atualizar para pontos de distribuição do Gestor de Configuração (ramo atual), esta conta também deve ter permissões de Exclusão para a classe Site. Esta permissão destina-se a remover com sucesso o ponto de distribuição do site do Gestor de Configuração 2007 durante a atualização.

Nota

Tanto a conta do site de origem como a conta de base de dados do site de origem são identificadas como Gestor de Migrações no nó de Contas do espaço de trabalho da Administração na consola Do Gestor de Configuração.

Para obter mais informações, consulte os dados migratórios entre hierarquias.

Conta de base de dados do site de origem

O processo de migração utiliza a conta de base de dados do site Source para aceder à base de dados SQL Server para o site de origem. Para recolher dados da base de dados SQL Server do site de origem, a conta de base de dados do site de origem deve ter as permissões de Leitura e Execução para a base de dados SQL Server do site de origem.

Se utilizar a conta de computador Do Gestor de Configuração (filial corrente), certifique-se de que todas as seguintes contas são verdadeiras para esta conta:

  • É um membro do grupo de segurança distribuído dos utilizadores com COM no mesmo domínio que o site Do Gestor de Configuração 2012
  • É um membro do grupo de segurança SMS Admins
  • Tem a permissão de Leitura para todos os objetos do Gestor de Configuração 2012

Nota

Tanto a conta do site de origem como a conta de base de dados do site de origem são identificadas como Gestor de Migrações no nó de Contas do espaço de trabalho da Administração na consola Do Gestor de Configuração.

Para obter mais informações, consulte os dados migratórios entre hierarquias.

Conta de domínio de sequência de tarefa

Windows A configuração utiliza a conta de união de sequências de tarefas para se juntar a um computador recém-imagem a um domínio. Esta conta é requerida pelo passo de sequência de tarefas do Domínio de Junção ou do Grupo de Trabalho com a opção De domínio. Esta conta também pode ser configurada com a Rede De Aplicação Definições passo, mas não é necessária.

Esta conta requer que o Domínio se junte diretamente no domínio alvo.

Dica

Crie uma conta de utilizador de domínio com as permissões mínimas para se juntar ao domínio e use-a para todas as sequências de tarefas.

Importante

Não atribua permissões de inscrição interativas a esta conta.

Não utilize a conta de acesso à rede para esta conta.

Conta de ligação de pasta de rede de sequência de tarefas

O motor da sequência de tarefas utiliza a conta de ligação da rede de sequência de tarefas para ligar a uma pasta partilhada na rede. Esta conta é requerida pela Ligação ao passo da sequência de tarefas da Pasta de Rede.

Esta conta requer permissões para aceder à pasta partilhada especificada. Deve ser uma conta de utilizador de domínio.

Dica

Crie uma conta de utilizador de domínio com permissões mínimas para aceder aos recursos de rede necessários e use-a para todas as sequências de tarefas.

Importante

Não atribua permissões de inscrição interativas a esta conta.

Não utilize a conta de acesso à rede para esta conta.

Sequência de tarefa executada como conta

O motor da sequência de tarefas utiliza a sequência de tarefa executada como conta para executar linhas de comando ou Scripts PowerShell com credenciais diferentes da conta do Sistema Local. Esta conta é requerida pela Linha de Comando de Execução e executar passos de sequência de tarefas powerShell com a opção Executar este passo como a seguinte conta escolhida.

Configurar a conta para ter as permissões mínimas necessárias para executar a linha de comando que especifica na sequência de tarefas. A conta requer direitos de inscrição interativos. Normalmente requer a capacidade de instalar software e aceder a recursos de rede. Para a tarefa 'Script', esta conta requer permissões de administrador local.

Importante

Não utilize a conta de acesso à rede para esta conta.

Nunca faça da conta um administrador de domínio.

Nunca crie perfis de roaming para esta conta. Quando a sequência de tarefas é executado, descarrega o perfil de roaming para a conta. Isto deixa o perfil vulnerável ao acesso no computador local.

Limite o âmbito da conta. Por exemplo, crie uma sequência de tarefas diferente como conta para cada sequência de tarefas. Em seguida, se uma conta estiver comprometida, apenas os computadores clientes a que essa conta tem acesso estão comprometidos.

Se a linha de comando necessitar de acesso administrativo no computador, considere criar uma conta de administrador local apenas para esta conta em todos os computadores que executam a sequência de tarefas. Apague a conta uma vez que já não precise.

Objetos de utilizador que o Gestor de Configuração utiliza em SQL Server

O Gestor de Configuração cria e mantém automaticamente os seguintes objetos de utilizador em SQL. Estes objetos estão localizados na base de dados do Gestor de Configuração em Segurança/Utilizadores.

Importante

Modificar ou remover estes objetos pode causar problemas drásticos dentro de um ambiente de Gestor de Configuração. Recomendamos que não faça alterações nestes objetos.

smsdbuser_ReadOnly

Este objeto é usado para executar consultas no contexto apenas de leitura. Este objeto é utilizado com vários procedimentos armazenados.

smsdbuser_ReadWrite

Este objeto é usado para fornecer permissões para declarações dinâmicas SQL.

smsdbuser_ReportSchema

Este objeto é utilizado para executar SQL Server Execuções de Relatórios. É utilizado com esta função o seguinte procedimento armazenado: spSRExecQuery .

Funções de base de dados que o Gestor de Configuração utiliza em SQL

O Gestor de Configuração cria e mantém automaticamente os seguintes objetos de função em SQL. Estas funções proporcionam acesso a procedimentos, tabelas, vistas e funções específicos armazenados. Estas funções obtêm ou adicionam dados na base de dados do Gestor de Configuração. Estes objetos estão localizados na base de dados do Gestor de Configuração sob funções de Segurança/Funções/Bases de Dados.

Importante

Modificar ou remover estes objetos pode causar problemas drásticos dentro de um ambiente de Gestor de Configuração. Não mude estes objetos. A lista a seguir é apenas para fins informais.

smsdbrole_AITool

O Gestor de Configuração concede esta permissão às contas dos utilizadores com base no acesso baseado em funções às informações de licença de volume de importação para a Asset Intelligence. Esta conta pode ser adicionada por uma função de Administrador Completo ou Gestor de Ativos.

smsdbrole_AIUS

O Gestor de Configuração concede à conta de computador que hospeda o acesso à conta de ponto de sincronização de Informação de Ativos para obter dados de procuração de Inteligência Patrimonial e para visualizar dados pendentes de IA para upload.

smsdbrole_CRP

O Gestor de Configuração concede permissão à conta informática do sistema do site que suporta o ponto de registo de certificados para o Protocolo de Inscrição de Certificados Simples (SCEP) para a assinatura e renovação de certificados.

smsdbrole_CRPPfx

O Gestor de Configuração concede permissão à conta informática do sistema do site que suporta o ponto de registo do certificado configurado para suporte PFX para a assinatura e renovação.

smsdbrole_DMP

O Gestor de Configuração concede esta permissão ao computador para um ponto de gestão que tem a opção Permitir que dispositivos móveis e computadores Mac utilizem este ponto de gestão, a capacidade de fornecer suporte para dispositivos matriculados MDM.

smsdbrole_DmpConnector

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o ponto de ligação de serviço para recuperar e fornecer dados de diagnóstico, gerir serviços na nuvem e recuperar atualizações de serviço.

smsdbrole_DViewAccess

O Gestor de Configuração concede esta permissão à conta do computador dos servidores do site primário no CAS quando a opção de visualização distribuída SQL Server é selecionada nas propriedades do link de replicação.

smsdbrole_DWSS

O Gestor de Configuração concede esta permissão à conta do computador que acolhe a função de armazém de dados.

smsdbrole_EnrollSvr

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o ponto de inscrição para permitir a inscrição do dispositivo através do MDM.

smsdbrole_extract

Proporciona acesso a todas as vistas de esquemas estendidas.

smsdbrole_HMSUser

Para o serviço de gerente de hierarquia. O Gestor de Configuração concede permissões a esta conta para gerir as falhas nas mensagens estatais e SQL Server as transações de Corretor entre sites dentro de uma hierarquia.

Nota

O papel smdbrole_WebPortal é membro deste papel por defeito.

smsdbrole_MCS

O Gestor de Configuração concede esta permissão à conta do computador do ponto de distribuição que suporta multicast.

smsdbrole_MP

O Gestor de Configuração concede esta permissão à conta do computador que acolhe a função de ponto de gestão para fornecer suporte aos clientes do Gestor de Configuração.

smsdbrole_MPMBAM

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o ponto de gestão que gere o BitLocker para um ambiente.

smsdbrole_MPUserSvc

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o ponto de gestão para suportar pedidos de aplicação baseados no utilizador.

smsdbrole_siteprovider

O Gestor de Configuração concede esta permissão à conta do computador que acolhe uma função de Fornecedor de SMS.

smsdbrole_siteserver

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o site principal ou CAS.

smsdbrole_SUP

O Gestor de Configuração concede esta permissão à conta do computador que acolhe o ponto de atualização do software para trabalhar com atualizações de terceiros.

smsschm_users

O Gestor de Configuração concede acesso à conta utilizada para a conta de pontos de reporte dos serviços de reporte para permitir o acesso às visualizações de relatórios DE SMS para exibir os dados de relatório do Gestor de Configuração. Os dados são ainda restringidos com a utilização do acesso baseado em funções.

Permissões elevadas

O Gestor de Configuração requer que algumas contas tenham permissões elevadas para operações em curso. Por exemplo, consulte pré-requisitos para instalar um local primário. A lista que se segue resume estas permissões e as razões pelas quais são necessárias.

  • A conta do computador do servidor do site primário e do servidor do site da administração central requer:

    • Direitos de administrador local em todos os servidores do sistema de sites. Esta permissão é para gerir, instalar e remover os serviços do sistema. O servidor do site também atualiza grupos locais no sistema do site quando adiciona ou remove funções.

    • Acesso sysadmin à SQL Server exemplo para a base de dados do site. Esta permissão é para configurar e gerir SQL Server para o site. O Gestor de Configuração integra-se fortemente com SQL, não é apenas uma base de dados.

  • As contas dos utilizadores na função de Administrador Completo requerem:

    • Direitos de administrador local em todos os servidores do site. Esta permissão é para visualizar, editar, remover e instalar serviços de sistema, chaves e valores de registo e objetos WMI.

    • Acesso sysadmin à SQL Server exemplo para a base de dados do site. Esta permissão destina-se a instalar e atualizar a base de dados durante a configuração ou recuperação. Também é necessário para SQL Server manutenção e operações. Por exemplo, reindexing e atualização de estatísticas.

      Nota

      Algumas organizações podem optar por remover o acesso sysadmin e apenas concedê-lo quando for necessário. Este comportamento é por vezes referido como "acesso just-in-time (JIT)". Neste caso, os utilizadores com a função Full Administrator devem ainda ter acesso à leitura, atualização e execução de procedimentos armazenados na base de dados do Gestor de Configuração. Estas permissões permitem-lhes resolver problemas sem acesso total à sysadmin.