Техническая справка по учетным записям, используемым в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Используйте следующие сведения для определения групп и учетных записей Windows, используемых в System Center 2012 Configuration Manager, принципов их использования и любых требований.

Группы Windows, создаваемые и используемые Configuration Manager

Configuration Manager автоматически создает и в большинстве случаев автоматически обслуживает следующие группы Windows.

Примечание
Если Configuration Manager создает группу на компьютере, входящем в домен, группа является локальной группой безопасности. Если компьютер является контроллером домена, группа будет локальной группой домена, общей для всех контроллеров домена.

ConfigMgr_CollectedFilesAccess

Configuration Manager использует эту группу для предоставления доступа к просмотру файлов, собранных в ходе инвентаризации программного обеспечения.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на сервере первичного сайта. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Членство	Configuration Manager автоматически управляет членством в группе. Членами являются пользователи, которым предоставлено разрешение Просмотр собранных файлов в защищаемом объекте Коллекция из назначенной роли ��езопасности.
Разрешения	По умолчанию эта группа имеет разрешение Read в следующей папке на сервере сайта: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccess

Эта группа является локальной группой безопасности, которая создана System Center 2012 Configuration Manager на сервере базы данных сайта или сервере реплики и в настоящий момент не используется. Эта группа зарезервирована для будущего использования Configuration Manager.

Пользователи удаленного управления Configuration Manager

Средства удаленного управления Configuration Manager используют эту группу для хранения назначенных каждому клиенту учетных записей и групп, настроенных в списке разрешенных наблюдателей.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, создаваемой на клиенте Configuration Manager при получении клиентом политики, разрешающей использование средств удаленного управления. Важно После отключения средств удаленного управления для клиента эта группа не удаляется автоматически, поэтому ее следует удалить вручную с каждого клиентского компьютера.
Членство	По умолчанию в этой группе нет ни одного члена. Пользователи, добавляемые в список разрешенных наблюдателей, автоматически добавляются в эту группу. Совет Вместо непосредственного добавления пользователей или групп в эту группу, воспользуйтесь списком разрешенных наблюдателей для управления членством в этой группе. Пользователь, являющийся разрешенным наблюдателем, также должен иметь разрешение Удаленное управление для объекта Коллекция. Это разрешение можно назначить с помощью роли безопасности "Оператор средств удаленного управления".
Разрешения	По умолчанию эта группа не имеет разрешений к расположениям на компьютере и используется только для хранения списка разрешенных наблюдателей.

Администраторы SMS

Configuration Manager использует эту группу для предоставления доступа к поставщику SMS посредством WMI. Доступ к поставщику SMS необходим для просмотра и изменения объектов в консоли Configuration Manager.

Примечание
Конфигурация ролевого администрирования пользователя определяет разрешенные для просмотра и управления объекты при использовании консоли Configuration Manager.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на каждом компьютере с поставщиком SMS. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Членство	Configuration Manager автоматически управляет членством в группе. По умолчанию в группу администраторов SMS на каждом компьютере SMS на сайте входит каждый пользователь в иерархии и учетная запись компьютера сервера сайта.
Разрешения	Права и разрешения администраторов SMS задаются в оснастке MMC «Элемент управления WMI». По умолчанию группе администраторов SMS предоставляются разрешения Enable Account и Remote Enable для пространства имен Root\SMS. Пользователи, прошедшие проверку подлинности, имеют разрешения Execute Methods, Provider Write и Enable Account Примечание Пользователю, который будет использовать удаленную консоль Configuration Manager, требуются разрешения DCOM для удаленной активации на компьютере сервера сайта и на компьютере поставщика SMS. Чтобы упростить процесс администрирования, эти права рекомендуется предоставить администраторам SMS, а не пользователям или группам. Дополнительные сведения см. в разделе Настройка разрешений DCOM для подключений к удаленной консоли Configuration Manager статьи Управление настройками сайта и иерархии.

SMS_SiteSystemToSiteServerConnection_MP_<sitecode&gt;

Точки управления Configuration Manager, удаленные от сервера сайта, используют эту группу для подключения к базе данных сайта. Эта группа предоставляет точке управления доступ к папкам "Входящие" на сервере сайта и базе данных сайта.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на каждом компьютере с поставщиком SMS. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Членство	Configuration Manager автоматически управляет членством в группе. По умолчанию членами являются учетные записи удаленных компьютеров, на которых установлена тоска управления для сайта.
Разрешения	По умолчанию эта группа имеет разрешения Read, Read & execute и List folder contents для папки %path%\Microsoft Configuration Manager\inboxes на сервере сайта. Кроме того, эта группа имеет дополнительное разрешение Write для различных папок, являющихся вложенными в inboxes, куда точка управления записывает данные клиента.

SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode&gt;

Компьютеры поставщика SMS Configuration Manager, удаленные от сервера сайта, используют эту группу для подключения к базе данных сайта.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на сервере сайта. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Членство	Configuration Manager автоматически управляет членством в группе. По умолчанию членами являются учетная запись компьютера или учетная запись пользователя домена, используемая для подключения к серверу сайта с каждого удаленного компьютера, на котором установлен поставщик SMS для сайта.
Разрешения	По умолчанию эта группа имеет разрешения Read, Read & execute и List folder contents для папки %path%\Microsoft Configuration Manager\inboxes на сервере сайта. Кроме того, эта группа имеет дополнительное разрешение Write или разрешения Запись и Изменение для различных папок, являющихся вложенными в папки inboxes, к которым поставщику SMS требуется доступ. Эта группа также имеет разрешения Read, Read & execute, List folder contents, Запись и Изменение для папок, вложенных в папку %path%\Microsoft Configuration Manager\OSD\boot, и Чтение для папок, вложенных в папку %path%\Microsoft Configuration Manager\OSD\Bin на сервере сайта.

SMS_SiteSystemToSiteServerConnection_Stat_<sitecode&gt;

Диспетчер файлов на удаленных компьютерах систем сайта Configuration Manager использует эту группу для подключения к серверу сайта.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на сервере сайта. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Членство	Configuration Manager автоматически управляет членством в группе. По умолчанию членами являются учетная запись компьютера или учетная запись пользователя домена, используемая для подключения к серверу сайта с каждого удаленного компьютера системы сайта, на котором запущен диспетчер файлов.
Разрешения	По умолчанию эта группа имеет разрешение Read, Read & execute и List folder contents для папки %path%\Microsoft Configuration Manager\inboxes и различных папок, вложенных в эту папку, на сервере сайта. Кроме того, эта группа имеет дополнительные разрешения Запись и Изменение для папки %path%\Microsoft Configuration Manager\inboxes\statmgr.box на сервере сайта.

SMS_SiteToSiteConnection_<sitecode&gt;

Configuration Manager использует эту группу для включения файловой репликации между сайтами в иерархии. Для каждого удаленного сайта, который непосредственно передает файлы на этот сайт, в эту группу включены следующие учетные записи:

• записи, настроенные в качестве учетной записи адреса сайта, от сайтов Configuration Manager без пакета обновления;

• учетные записи, настроенные в качестве учетной записи репликации файлов, от сайтов, на которых запущен Configuration Manager с пакетом обновления 1 (SP1) и более поздней версии.

Примечание
Начиная с Configuration Manager с пакетом обновления 1 (SP1), параметр Учетная запись репликации файлов заменяет параметр Учетная запись адреса сайта.

В следующей таблице приведены дополнительные сведения для этой группы.

Сведения	Дополнительные сведения
Тип и расположение	Эта группа является локальной группой безопасности, созданной на сервере сайта.
Членство	Во время установки нового сайта в качестве дочернего другого сайта Configuration Manager автоматически добавит учетную запись компьютера нового сайта в группу на сервере родительского сайта, а учетную запись родительских сайтов — в группу на сервере нового сайта. Если вы указываете другую учетную запись для передачи файлов, добавьте эту учетную запись в данную группу на конечном сервере. Примечание Во время удаления сайта эта группа не удаляется автоматически, поэтому ее следует удалить вручную.
Разрешения	По умолчанию эта группа имеет разрешение Полный доступ к папке %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Учетные записи, используемые Configuration Manager

Для Configuration Manager можно настроить следующие учетные записи.

Учетная запись обнаружения групп Active Directory

Учетная запись обнаружения групп Active Directory используется для поиска локальных, глобальных и универсальных групп безопасности, членства в этих группах и членства в группах распространения в указанных расположениях в доменных службах Active Directory. Группы распространения не обнаруживаются как ресурсы группы.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Она должна иметь разрешение Чтение для расположений Active Directory, указанных для обнаружения.

Учетная запись обнаружения систем Active Directory

Учетная запись обнаружения систем Active Directory используется для поиска компьютеров в указанных расположениях в доменных службах Active Directory.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Она должна иметь разрешение Чтение для расположений Active Directory, указанных для обнаружения.

Учетная запись обнаружения пользователей Active Directory

Учетная запись обнаружения пользователей Active Directory используется для поиска учетных записей пользователей в указанных расположениях в доменных службах Active Directory.

Эта учетная запись может быть учетной записью компьютера сервера сайта, на котором выполняется обнаружение, или учетной записью пользователя Windows. Она должна иметь разрешение Чтение для расположений Active Directory, указанных для обнаружения.

Учетная запись леса Active Directory

Учетная запись леса Active Directory используется для поиска сетевой инфраструктуры в лесах Active Directory. Сайты центра администрирования и первичные сайты используют эту учетную запись для публикации данных сайта в доменных службах Active Directory леса.

Примечание
Для публикации в Active Directory вторичные сайты всегда используют учетную запись компьютера сервера вторичного сайта.

Примечание
Для обнаружения и публикации в лесах, не имеющих доверия, учетная запись леса Active Directory должна быть глобальной учетной записью. Если учетная запись компьютера сервера сайта не используется, можно выбрать только глобальную учетную запись.

Эта учетная запись должна иметь разрешение Чтение для каждого леса Active Directory, в котором нужно выполнить поиск сетевой инфраструктуры.

Эта учетная запись должна иметь разрешение Полный доступ для контейнера System Management и всех его дочерних объектов в каждом лесу Active Directory, в который нужно опубликовать данные сайта.

Учетная запись подготовки AMT и обнаружения

Учетная запись подготовки AMT и обнаружения аналогична учетной записи удаленного администрирования AMT. Она находится в расширении Management Engine BIOS (MEBx) компьютеров с поддержкой Intel AMT. Сервер с ролью точки обслуживания аппаратного контроллера управления использует эту учетную запись для управления некоторыми возможностями сетевого интерфейса AMT с использованием аппаратного контроллера управления.

Данные учетной записи подготовки AMT и обнаружения, указываемой в Configuration Manager, должны совпадать с именем и паролем учетной записи удаленного администрирования AMT, которая указана в расширениях BIOS на компьютерах с поддержкой AMT.

Примечание
Дополнительные сведения о том, указывать ли учетную запись обнаружения и инициализации AMT, см. в подразделе Шаг 5. Настройка компонента использования аппаратного контроллера управления раздела Инициализация и настройка AMT-компьютеров в Configuration Manager в руководстве Активы и соответствие в System Center 2012 Configuration Manager.

Эта учетная запись хранится в расширениях Management Engine BIOS компьютера с поддержкой AMT и не связана ни с одной учетной записью в Windows.

Учетная запись удаления данных подготовки AMT

Если требуется восстановить сайт, сведения о подготовке AMT можно удалить с помощью учетной записи удаления данных подготовки AMT. Ее также можно использовать в случае, если клиент Configuration Manager был назначен повторно, а сведения о подготовке AMT не были удалены из компьютера на старом сайте.

Чтобы успешно удалить сведения о подготовке AMT с помощью учетной записи удаления данных подготовки AMT, должны выполняться следующие условия.

• Учетная запись удаления данных подготовки AMT должна быть настроена в свойствах компонента аппаратного контроллера управления.

• Учетная запись, настроенная для учетной записи удаления данных подготовки AMT, была настроена в качестве учетной записи пользователя AMT в свойствах компонента аппаратного контроллера управления, когда компьютер с поддержкой AMT, подготавливался или обновлялся.

• Учетная запись, настроенная для учетной записи удаления данных подготовки AMT, должна входить в группу локальных администраторов на компьютере точки обслуживания аппаратного контроллера управления.

• Журнал аудита AMT не включен.

Поскольку эта учетная запись является учетной записью пользователя Windows, для нее следует у��азать надежный бессрочный пароль.

Учетная запись удаленного администрирования AMT

Учетная запись удаленного администрирования AMT — это учетная запись в расширении Management Engine BIOS (MEBx) компьютеров с поддержкой Intel AMT, которая используется сервером с ролью точки обслуживания аппаратного контроллера управления для управления некоторыми возможностями сетевого интерфейса AMT в Configuration Manager с использованием аппаратного контроллера управления.

Configuration Manager автоматически устанавливает пароль учетной записи удаленного администрирования для компьютеров, инициализированных для AMT. Затем этот пароль используется для последующей проверки подлинности доступа к микропрограмме AMT. Эта учетная запись функционально эквивалентна учетной записи инициализации AMT и обнаружения Configuration Manager.

Эта учетная запись хранится в расширениях Management Engine BIOS компьютера с поддержкой AMT и не связана ни с одной учетной записью в Windows.

Учетные записи пользователей AMT

Учетные записи пользователей AMT управляют тем, какие пользователи и группы Windows могут запускать функции управления в консоли аппаратного контроллера управления.

Настройка учетных записей пользователей AMT эквивалентна списку управления доступом (ACL) в микропрограмме AMT. Когда пользователь, вошедший в системы, пытается запустить консоль аппаратного контроллера управления, AMT использует Kerberos для проверки подлинности учетной записи, а затем разрешает или запрещает запуск функций управления AMT.

Настройте учетные записи пользователей AMT перед инициализацией компьютеров на базе AMT. Если настроить учетные записи пользователей после инициализации компьютеров для AMT, необходимо вручную обновить память AMT для этих компьютеров, чтобы перенастроить их с использованием новых параметров.

Учетные записи пользователей AMT используют проверку подлинности Kerberos, поэтому учетные записи пользователей и группы безопасности должны быть в домене Active Directory.

Учетная запись прокси-сервера точки синхронизации каталога аналитики активов

Учетная запись прокси-сервера точки синхронизации каталога аналитики активов используется точкой синхронизации аналитики активов для доступа в Интернет через прокси-сервер или брандмауэр, требующие доступ с проверкой подлинности.

Безопасность Примечание
Укажите учетную запись с наименьшим возможным объемом прав для требуемого прокси-сервера или брандмауэра.

Учетная запись точки регистрации сертификатов

Учетная запись точки регистрации сертификатов используется для подключения точки регистрации сертификатов к базе данных Configuration Manager. По умолчанию используется учетная запись компьютера точки регистрации сертификатов, но вместо нее можно настроить использование учетной записи пользователя. Учетную запись пользователя необходимо указывать во всех случаях, когда точка регистрации сертификатов находится в недоверенном домене по отношению к серверу сайта. Для этой учетной записи требуется разрешение только на чтение базы данных сайта, поскольку обработку операций записи выполняет система сообщений о состоянии.

Учетная запись для записи образа операционной системы

Учетная запись для записи образа операционной системы используется в Configuration Manager для доступа к папке, где при развертывании операционных систем хранятся записанные образы. Эта учетная запись обязательна, если добавить шаг Записать образ операционной системы в последовательность задач.

Эта учетная запись должна иметь разрешения на чтение и запись к общей сетевой папке, в которой хранится записанный образ.

Если пароль учетной записи изменен в Windows, необходимо обновить последовательность задач, указав новый пароль. Клиент Configuration Manager получит новый пароль при следующей загрузке клиентской политики.

Если вы используете эту учетная запись, можно создать одну учетную запись пользователя домена с минимальным набором прав для доступа к требуемым ресурсам сети и использовать ее для всех учетных записей последовательностей задач.

Безопасность Примечание
Не предоставляйте этой учетной записи права интерактивного входа. Не ис��ользуйте учетную запись доступа к сети для этой учетной записи.

Учетная запись принудительной установки клиента

Учетная запись принудительной установки клиента используется для подключения к компьютерам и установки клиентского ПО Configuration Manager при развертывании клиентов с помощью принудительной установки. Если эта учетная запись не указана, для установки клиентского ПО будет использована учетная запись сервера сайта.

Эта учетная запись должна быть участником локальной группы администраторов на компьютерах, где следует установить клиентское ПО Configuration Manager. Для этой учетной записи не требуются права администратора домена.

Можно указать одну или несколько учетных записей для принудительной установки клиента. Configuration Manager будет пробовать использовать их по очереди вплоть до достижения успеха.

Совет

Для более эффективной координации обновлений в крупных развертываниях Active Directory создайте новую учетную запись с другим именем, а затем добавьте эту учетную запись в список учетных записей для принудительной установки клиента в Configuration Manager. Подождите в течение достаточного времени, чтобы доменные службы Active Directory успели реплицировать новую учетную запись, затем удалите старую учетная запись из Configuration Manager и из доменных служб Active Directory.

Безопасность Примечание
Не предоставляйте этой учетной записи право локального входа в систему.

учетная запись подключения точки регистрации

Учетная запись подключения точки регистрации подключает точку регистрации к базе данных сайта Configuration Manager. По умолчанию используется учетная запись компьютера точки регистрации, но можно настроить использование учетной записи пользователя вместо нее. Учетную запись пользователя необходимо указывать во всех случаях, когда точка регистрации находится в недоверенном домене по отношению к серверу сайта. Этой учетной записи требуется доступ на чтение и запись к базе данных сайта.

Учетная запись подключения сервера Exchange Server

Учетная запись подключения сервера Exchange Server подключается к серверу сайта к указанному компьютеру Exchange Server для поиска и управления мобильными устройствами, которые подключаются к серверу Exchange Server. Для этой учетной записи требуются командлеты Exchange PowerShell, предоставляющие необходимые разрешения компьютеру Exchange Server. Дополнительные сведения о командлетах см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Учетная запись прокси-сервера коннектора Exchange Server

Учетная запись прокси-сервера коннектора Exchange Server используется коннектором Exchange Server для доступа к Интернету через прокси-сервер или брандмауэр, требующие доступ с проверкой подлинности.

Безопасность Примечание
Укажите учетную запись с наименьшим возможным объемом прав для требуемого прокси-сервера или брандмауэра.

Учетная запись подключения SMTP-сервера Endpoint Protection

Для Configuration Manager без пакета обновления: Учетная запись подключения SMTP-сервера Endpoint Protection используется сервером сайта для отправки оповещений Endpoint Protection по электронной почте, если для SMTP-сервера требуется доступ с проверкой подлинности.

Безопасность Примечание
Укажите учетную запись с наименьшим возможным объемом прав для отправки электронных писем.

Учетная запись публикации ссылок на состояние работоспособности

Учетная запись публикации ссылок на состояние работоспособности используется для публикации ссылок на сведения о состоянии работоспособности защиты доступа к сети Configuration Manager в доменных службах Active Directory.

Если учетная запись не настроена, Configuration Manager попытается использовать учетную запись компьютера сервера сайта для публикации ссылок на сведения о состоянии работоспособности.

Этой учетной записи требуются разрешения на чтение, запись и создание в лесу Active Directory, в котором хранятся ссылки на сведения о состоянии работоспособности.

Создайте эту учетную запись в лесу, предназначенном для хранения ссылок на сведения о состоянии работоспособности. Назначьте этой учетной записи наименьший возможный объем разрешений и не используйте ту же учетную запись, которая указана для учетной запись запросов на ссылки на состояние работоспособности, поскольку этой учетной записи требуется только разрешение на чтение.

Учетная запись запросов на ссылки на состояние работоспособности

Учетная запись запросов на ссылки на состояние работоспособности используется для получения ссылок на сведения о состоянии работоспособности защиты доступа к сети Configuration Manager в доменных службах Active Directory.

Если учетная запись не настроена, Configuration Manager попытается использовать учетную запись компьютера сервера сайта для получения ссылок на сведения о состоянии работоспособности.

Этой учетной записи требуется разрешение на чтение контейнера Configuration ManagerУправление системами в глобальном каталоге.

Создайте эту учетную запись в лесу, предназначенном для хранения ссылок на сведения о состоянии работоспособности. Не используйте ту же учетную запись, которая указана для учетной записи публикации ссылок на состояние работоспособности, поскольку этой учетной записи требуется больше разрешений доступа.

Безопасность Примечание
Не предоставляйте данной учетной записи права на интерактивный вход в систему.

Учетная запись подключения точки управления

Учетная запись подключения точки управления используется для подключения точки управления к базе данных сайта Configuration Manager, чтобы она могла отправлять и получать сведения для клиентов. По умолчанию используется учетная запись компьютера точки управления, но можно настроить использование учетной записи пользователя вместо нее. Учетную запись пользователя необходимо указывать во всех случаях, когда точка управления находится в недоверенном домене по отношению к серверу сайта.

Создайте локальную учетную запись с наименьшим необходимым объемом прав доступа на компьютере Microsoft SQL Server.

Безопасность Примечание
Не предоставляйте данной учетной записи права на интерактивный вход в систему.

Учетная запись MEBx

Учетная запись MEBx — это учетная запись в расширении Management Engine BIOS (MEBx) на компьютерах на базе Intel AMT. Она используется для первоначального доступа с проверкой подлинности к микропрограмме AMT на компьютерах на базе AMT.

Имя учетной записи MEBx — admin, пароль по умолчанию — admin. Производитель может предоставить измененный пароль или вы могли указать собственный пароль в AMT. Если пароль MEBx не равен admin, необходимо настроить учетную запись подготовки и обнаружения AMT. Дополнительные сведения см. в разделе Шаг 5. Настройка компонента использования аппаратного контроллера управления статьи Инициализация и настройка AMT-компьютеров в Configuration Manager.

Учетная запись хранится в расширениях Management Engine BIOS компьютера на базе AMT. Эта учетная запись не соответствует никакой учетной записи Windows.

Если пароль MEBx по умолчанию не был изменен перед тем, как Configuration Manager инициализировал компьютер для AMT, то в ходе процесса инициализации AMT Configuration Manager установит пароль, настраиваемый пользователем.

Учетная запись многоадресной рассылки

Учетная запись многоадресной рассылки используется точками распространения, настроенными для многоадресной передачи для чтения информации из базы данных сайта. По умолчанию используется учетная запись компьютера точки распространения, но можно настроить использование учетной записи пользователя вместо нее. Необходимо указать учетную запись пользователя, если база данных сайта находится в недоверенном лесу. Например, если в центре обработки данных сеть периметра находится не в том же лесу, что и сервер сайта и база данных сайта, можно использовать эту учетную запись для чтения многоадресной информации из базы данных сайта.

Если вы решили создать эту учетную запись, создайте локальную учетную запись с наименьшим необходимым объемом прав доступа на компьютере Microsoft SQL Server.

Безопасность Примечание
Не предоставляйте данной учетной записи права на интерактивный вход в систему.

Учетная запись доступа к сети

Учетная запись доступа к сети используется клиентскими компьютерами, если они не могут использовать локальную учетную запись компьютера для доступа к содержимому в точках распрост��анения. Например, это касается клиентов рабочих групп и компьютеров из недоверенных доменов. Данная учетная запись также может использоваться при развертывании операционной системы, если у компьютера, на котором устанавливается ОС, еще нет учетной записи в домене.

Примечание
Учетная запись доступа к сети никогда не используется в качестве контекста безопасности для выполнения программ, установки обновлений или выполнения последовательностей задач. Она используется только для доступа к ресурсам в сети.

Предоставьте этой учетной записи наименьший необходимый объем прав доступа к содержимому, необходимому клиентам для доступа к программному обеспечению. Эта учетная запись должна обладать правом Доступ к компьютеру из сети для точки распространения или другого сервера, на котором находится содержимое пакета. В выпусках, более ранних чем System Center 2012 R2 Configuration Manager, для каждого сайта можно создать только одну учетную запись доступа к сети, поэтому эта учетная запись должна использоваться для всех пакетов и последовательностей задач, где она требуется. Начиная с System Center 2012 R2 Configuration Manager, для каждого сайта можно создавать несколько учетных записей доступа к сети.

Предупреждение
Когда Configuration Manager пытается использовать учетную запись computername$ для загрузки содержимого и происходит сбой, Configuration Manager автоматически пытается снова использовать учетную запись доступа к сети, даже если прошлая попытка окончилась сбоем.

Создайте учетную запись в любом домене с предоставлением необходимого доступа к ресурсам. Учетная запись доступа к сети всегда должна включать имя домена. Сквозная безопасность не поддерживается для этой учетной записи. Если точки распространения присутствуют в нескольких доменах, следует создать учетную запись в доверенном домене.

Совет
Для предотвращения блокировки учетной записи не следует изменять пароль существующей учетной записи доступа к сети. Вместо этого следует создать новую учетную запись и настроить новую учетную запись в Configuration Manager. Когда пройдет достаточно времени, и все клиенты получат новые данные учетных записей, удалите старую учетную запись из общих сетевых папок и удалите учетную запись.

Безопасность Примечание
Не предоставляйте данной учетной записи права на интерактивный вход в систему. Не предоставляйте этой учетной записи право присоединения компьютеров к домену. Если требуется присоединить компьютеры к домену во время выполнения последовательности задач, используйте учетную запись присоединения доменов редактора последовательностей задач.

Для System Center 2012 R2 Configuration Manager и более поздних версий: Теперь для каждого сайта можно указывать несколько учетных записей сетевого доступа. Когда клиенты пытаются получить доступ к содержимому, а использовать локальную учетную запись компьютера не удается, они сначала воспользуются последней учетной записью сетевого доступа, с помощью которой было установлено успешное подключение.Configuration Manager поддерживает добавление до десяти учетных записей сетевого доступа.

Учетная запись пакетного доступа

Учетные записи доступа к пакетам позволяют задавать разрешения файловой системы NTFS для указания пользователей и групп пользователей, которые могут обращаться к папкам пакетов в точках распространения. По умолчанию Configuration Manager предоставляет доступ только основным учетным записям — Пользователи и Администраторы, однако контролировать доступ клиентских компьютеров можно с помощью дополнительных учетных записей или групп Windows. Мобильные устройства всегда получают содержимое пакетов анонимно, поэтому учетные записи доступа к пакетам не используются мобильными устройствами.

Когда Configuration Manager создает общую папку пакета в точке распространения, по умолчанию предоставляются разрешение на чтение локальной группе Пользователи и разрешение на полный доступ локальной группе Администраторы. Фактический набор необходимых разрешений зависит от пакета. Клиенты, находящиеся в рабочих группах или лесах, не имеющих доверия, для доступа к содержимому пакета используют учетную запись доступа к сети. Убедитесь, что учетная запись сетевого доступа имеет разрешения доступа к пакетам с помощью определенных учетных записей пакетного доступа.

Используйте учетные записи в домене, который может обращаться к точкам распространения. Если после создания пакета происходит создание или изменение учетной записи, пакет необходимо распространить повторно. Обновление пакета не приводит к изменению разрешений файловой системы NTFS пакета.

Добавлять учетную запись доступа к сети в качестве учетной записи пакетного доступа не требуется, поскольку благодаря принадлежности к группе Пользователи она добавляется автоматически. Если учетная запись пакетного доступа ограничивается только учетной записью доступа к сети, клиенты могут и далее обращаться к пакету.

Учетная запись точки служб отчетов

Учетная запись точки служб отчетов используется компонентом SQL Server Reporting Services для получения данных отчетов Configuration Manager из базы данных сайта. Учетная запись пользователя Windows и пароль зашифрованы и хранятся в базе данных служб SQL Server Reporting Services.

Учетные записи разрешенных наблюдателей средств удаленного управления

Учетные записи, указанные в качестве разрешенных наблюдателей для удаленного управления, представляют собой список всех пользователей, которым разрешено использовать функциональность средств удаленного управления клиентами.

Учетная запись установки системы сайта

Учетная запись установки системы сайта используется сервером сайта для установки, переустановки, удаления и настройки систем сайта. Если для системы сайта задается требование инициирования сервером сайта подключений к данной системе сайта, Configuration Manager также использует эту учетную запись для извлечения данных с компьютера системы сайта после установки системы сайта и любых ролей системы сайта. Каждая система сайта может иметь отдельную учетную запись установки системы сайта, однако можно создать только одну учетную запись установки системы сайта, позволяющую управлять всеми ролями системы сайта на данной системе сайта.

Этой учетной записи необходимы локальные разрешения администрирования на системах сайта, которые будут устанавливаться и настраиваться с ее использованием. Кроме того, для этой учетной записи должен быть включен параметр Доступ к компьютеру из сети в политике безопасности на системах сайта, которые будут устанавливаться и настраиваться с ее помощью.

Совет

Если имеется большое количество контроллеров домена, и эти учетные записи будут использоваться в различных доменах, следует выполнить репликацию учетных записей перед настройкой системы сайта. Указание локальной учетной записи на каждой управляемой системе сайта – более надежная схема, нежели использование учетных записей домена, так как она ограничивает потенциальный ущерб от компрометации учетной записи злоумышленниками. Однако учетными записями домена легче управлять, поэтому следует выбрать, что наиболее приоритетно для рассматриваемой среды – безопасность или эффективное администрирование.

Учетная запись подключения SMTP-сервера

Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий: Учетная запись подключения SMTP-сервера используется сервером сайта для отправки оповещений по электронной почте, если для SMTP-сервера требуется доступ с проверкой подлинности.

Безопасность Примечание
Укажите учетную запись с наименьшим возможным объемом прав для отправки электронных писем.

Учетная запись подключения к точке обновления программного обеспечения

Учетная запись подключения к точке обновления программного обеспечения используется сервером сайта для двух следующих служб обновления программного обеспечения.

• Диспетчер конфигурации WSUS, предназначенный для настройки таких параметров как определения и классификации продуктов, а также параметров вышестоящих точек обновления.

• Диспетчер синхронизации WSUS, запрашивающий синхронизацию на вышестоящем сервере WSUS или Центре обновления Майкрософт.

Учетная запись установки системы сайта может устанавливать компоненты обновлений программного обес��ечения, но не может выполнять функции, связанные с обновлениями, на точке обновления программного обеспечения. Если нет возможности использовать учетную запись компьютера сервера сайта для выполнения этих функций из-за того, что точка обновления программного обеспечения находится в недоверенном лесу, необходимо указать эту учетную запись в дополнение к учетной записи установки системы сайта.

Эта учетная запись должна иметь права локального администратора на компьютере, где установлены службы WSUS, а также входить в локальную группу "Администраторы WSUS".

Учетная запись прокси-сервера точки обновления программного обеспечения

Учетная запись прокси-сервера точки обновления программного обеспечения используется точкой обновления программного обеспечения для доступа в Интернет через прокси-сервер или брандмауэр, требующий выполнения проверки подлинности.

Безопасность Примечание
Укажите учетную запись с наименьшим возможным объемом прав для требуемого прокси-сервера или брандмауэра.

Учетная запись исходного сайта

Учетная запись исходного сайта используется процессом миграции для доступа к поставщику SMS исходного сайта. Эта учетная запись должна иметь разрешения Чтение в отношении объектов сайта на исходном сайте, чтобы осуществлять сбор данных для заданий миграции.

Если выполняется обновление точек распространения Configuration Manager 2007 или вторичных сайтов, содержащих совместно размещенные точки распространения, до версии точек распространения System Center 2012 Configuration Manager, эта учетная запись также должна иметь разрешение Удаление для класса Сайт (это позволит успешно удалить точку распространения из сайта Configuration Manager 2007 во время обновления).

Примечание
Учетные записи исходного сайта и базы данных исходного сайта определены как Диспетчер миграции в узле Учетные записи рабочей области Администрирование в консоли Configuration Manager.

Учетная запись базы данных исходного сайта

Учетная запись базы данных исходного сайта используется процессом миграции для доступа к базе данных SQL Server исходного сайта. Для сбора данных из базы данных SQL Server исходного сайта учетная запись базы данных исходного сайта должна иметь разрешения Чтение и Выполнение в отношении базы данных SQL Server исходного сайта.

Примечание

Если используется учетная запись компьютера System Center 2012 Configuration Manager, следует убедиться, что для данной учетной записи соблюдены следующие условия. Она является членом группы Пользователи DCOM в домене, в котором находится сайт Configuration Manager 2007. Она является членом группы безопасности Администраторы SMS. Он имеет разрешение Чтение для всех объектов Configuration Manager 2007.

Примечание
Учетные записи исходного сайта и базы данных исходного сайта определены как Диспетчер миграции в узле Учетные записи рабочей области Администрирование в консоли Configuration Manager.

Учетная запись "Присоединение к домену редактора последовательностей задач"

Учетная запись "Присоединение к домену редактора последовательностей задач" используется последовательностью задач для присоединения к домену компьютера, на который был только что установлен образ. Эта учетная запись необходима, если в последовательность задач был включен этап Присоединить к домену или рабочей группе и была выбрана команда Присоединить к домену. Эту учетную запись также можно создать, если в последовательность задач был добавлен этап Применить параметры сети, однако это не обязательно.

Этой учетной записи должно быть предоставлено право Присоединение к домену в домене, к которому будет присоединяться компьютер.

Совет
Если данная учетная запись требуется для последовательностей задач, можно создать одну учетную запись пользователя домена с минимальными разрешениями доступа к требуемым сетевым ресурсам и использовать ее для всех учетных записей последовательностей задач.

Безопасность Примечание
Не предоставляйте этой учетной записи права интерактивного входа. Не используйте учетную запись доступа к сети для этой учетной записи.

Учетная запись подключения к сетевой папке редактора последовательности задач

Учетная запись подключения к сетевой папке редактора последовательности задач используется для подключения последовательности задач к общей сетевой папке. Эта учетная запись необходима, если в последовательность задач добавлен этап Подключить к сетевой папке.

Эта учетная запись должна иметь разрешения на доступ к указанной общей папке и должна являться учетной записью пользователя домена.

Совет
Если данная учетная запись требуется для последовательностей задач, можно создать одну учетную запись пользователя домена с минимальными разрешениями доступа к требуемым сетевым ресурсам и использовать ее для всех учетных записей последовательностей задач.

Безопасность Примечание
Не предоставляйте этой учетной записи права интерактивного входа. Не используйте учетную запись доступа к сети для этой учетной записи.

Учетная запись "Выполнение последовательности задач от имени"

Учетная запись "Выполнение последовательности задач от имени" используется для выполнения команд в последовательностях задач, и она имеет учетные данные, отличные от учетных данных локальной системной учетной записи. Эта учетная запись необходима, если в последовательность задач был добавлен этап Запустить командную строку, но последовательность задач не должна выполняться с разрешениями локальной системной учетной записи на управляемом компьютере.

Настройте для учетной записи минимальные разрешения, необходимые для выполнения командной строки, указанной в последовательности задач. Учетной записи требуются права интерактивного входа в систему, и ей, как правило, требуется возможность установки программного обеспечения и доступа к сетевым ресурсам.

Безопасность Примечание

Не ис��ользуйте учетную запись доступа к сети для этой учетной записи. Никогда не предоставляйте учетной записи права администратора домена. Никогда не настраивайте профили роуминга для этой учетной записи. Профиль роуминга учетной записи будет загружен при выполнении последовательности задач, и это сделает профиль доступным на локальном компьютере и уязвимым. Ограничьте область действия учетной записи. Например, можно создать различные учетные записи "Выполнение последовательности задач от имени" для каждой последовательности задач, чтобы в случае компрометации одной учетной записи были компрометированы только те компьютеры, к которым есть доступ у этой учетной записи. Если командной строке требуется административный доступ к компьютеру, рассмотрите возможность создания локальной учетной записи администратора исключительно для учетной записи "Выполнение последовательности задач от имени" на всех компьютерах, которые будут выполнять последовательность задач, и удалите учетную запись, как только необходимость в ней отпадет.

См. также

Технический справочник по администрированию сайтов в Configuration Manager