Konton som används i Configuration ManagerAccounts used in Configuration Manager

Gäller för: Configuration Manager (aktuell gren)Applies to: Configuration Manager (current branch)

Använd följande information för att identifiera Windows-grupper, konton och SQL Server objekt som används i Configuration Manager, hur de används och eventuella krav.Use the following information to identify the Windows groups, accounts, and SQL Server objects that are used in Configuration Manager, how they are used, and any requirements.

Windows-grupper som Configuration Manager skapar och använderWindows groups that Configuration Manager creates and uses

Configuration Manager skapas automatiskt och i många fall upprätthålls automatiskt följande Windows-grupper:Configuration Manager automatically creates, and in many cases automatically maintains, the following Windows groups:

Anteckning

När Configuration Manager skapar en grupp på en dator som är en domän medlem är gruppen en lokal säkerhets grupp.When Configuration Manager creates a group on a computer that's a domain member, the group is a local security group. Om datorn är en domänkontrollant är gruppen en lokal domän grupp.If the computer is a domain controller, the group is a domain local group. Den här typen av grupp delas mellan alla domänkontrollanter i domänen.This type of group is shared among all domain controllers in the domain.

Konfigurations Manager_CollectedFilesAccessConfiguration Manager_CollectedFilesAccess

Configuration Manager använder den här gruppen för att ge åtkomst till att visa filer som samlats in av program varu inventering.Configuration Manager uses this group to grant access to view files collected by software inventory.

Mer information finns i Introduktion till program varu inventering.For more information, see Introduction to software inventory.

Typ och platsType and location

Den här gruppen är en lokal säkerhetsgrupp som skapas på den primära platsservern.This group is a local security group created on the primary site server.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

MedlemskapMembership

Configuration Manager hanterar grupp medlemskapet automatiskt.Configuration Manager automatically manages the group membership. Medlemmar är administrativa användare som fått behörighet att Visa insamlade filer för det skyddbara objektet Samling genom en tilldelad säkerhetsroll.Membership includes administrative users that are granted the View Collected Files permission to the Collection securable object from an assigned security role.

BehörigheterPermissions

Den här gruppen har som standard behörigheten läsa till följande mapp på plats servern: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileColBy default, this group has Read permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

Konfigurations Manager_DViewAccessConfiguration Manager_DViewAccess

Den här gruppen är en lokal säkerhets grupp som Configuration Manager skapar på plats databas servern eller databas replik servern för en underordnad primär plats.This group is a local security group that Configuration Manager creates on the site database server or database replica server for a child primary site. Platsen skapar den när du använder distribuerade vyer för databasreplikering mellan platser i en hierarki.The site creates it when you use distributed views for database replication between sites in a hierarchy. Den innehåller plats servern och SQL Server dator konton för den centrala administrations platsen.It contains the site server and SQL Server computer accounts of the central administration site.

Mer information finns i data överföringar mellan platser.For more information, see Data transfers between sites.

Configuration Manager fjärr styrnings användareConfiguration Manager Remote Control Users

Configuration Manager fjärrverktyg använder den här gruppen för att lagra de konton och grupper som du har skapat i listan över behöriga användare .Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list. Platsen tilldelar varje klient den här listan.The site assigns this list to each client.

Mer information finns i Introduktion till fjärr styrning.For more information, see Introduction to remote control.

Typ och platsType and location

Den här gruppen är en lokal säkerhets grupp som skapas på den Configuration Manager klienten när klienten tar emot en princip som aktiverar fjärrverktyg.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

När du har inaktiverat fjärrverktyg för en klient tas inte gruppen bort automatiskt.After you disable remote tools for a client, this group isn't automatically removed. Ta bort den manuellt efter att du har inaktiverat fjärrverktyg.Manually delete it after disabling remote tools.

MedlemskapMembership

Det finns som standard inga medlemmar i den här gruppen.By default, there are no members in this group. När du lägger till användare i listan över behöriga användare, läggs de automatiskt till i den här gruppen.When you add users to the Permitted Viewers list, they're automatically added to this group.

Använd listan över tillåtna visnings program för att hantera medlemskapet för den här gruppen i stället för att lägga till användare eller grupper direkt i gruppen.Use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Förutom att vara ett tillåtet visnings program måste en administrativ användare ha behörigheten fjärr styrning för objektet samling .In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object. Tilldela den här behörigheten genom att använda säkerhets rollen ansvarig för fjärrverktyg .Assign this permission by using the Remote Tools Operator security role.

BehörigheterPermissions

Den här gruppen har som standard inte behörighet för några platser på datorn.By default, this group doesn't have permissions to any locations on the computer. Den används endast för att lagra listan över tillåtna visnings program .It's used only to hold the Permitted Viewers list.

SMS-administratörerSMS Admins

Configuration Manager använder den här gruppen för att bevilja åtkomst till SMS-providern via WMI.Configuration Manager uses this group to grant access to the SMS Provider through WMI. Åtkomst till SMS-providern krävs för att visa och ändra objekt i Configuration Manager-konsolen.Access to the SMS Provider is required to view and change objects in the Configuration Manager console.

Anteckning

Den rollbaserade administrations konfigurationen för en administrativ användare bestämmer vilka objekt som de kan visa och hantera när de använder Configuration Manager-konsolen.The role-based administration configuration of an administrative user determines which objects they can view and manage when using the Configuration Manager console.

Mer information finns i Planera för SMS-providern.For more information, see Plan for the SMS Provider.

Typ och platsType and location

Den här gruppen är en lokal säkerhets grupp som skapas på varje dator som har en SMS-provider.This group is a local security group created on each computer that has an SMS Provider.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

MedlemskapMembership

Configuration Manager hanterar grupp medlemskapet automatiskt.Configuration Manager automatically manages the group membership. Som standard är alla administrativa användare i en hierarki och plats serverdator kontot medlemmar i gruppen SMS-administratörer på varje SMS-provider på en plats.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

BehörigheterPermissions

Du kan visa rättigheter och behörigheter för gruppen SMS-administratörer i MMC-snapin-modulen WMI-kontroll .You can view the rights and permissions for the SMS Admins group in the WMI Control MMC snap-in. Som standard beviljas den här gruppen aktivering av konto och fjärraktivering i Root\SMS WMI-namnområdet.By default, this group is granted Enable Account and Remote Enable on the Root\SMS WMI namespace. Autentiserade användare har behörighet att köra metoder, Provider Skrivoch Aktivera konto.Authenticated users have Execute Methods, Provider Write, and Enable Account.

När du använder en fjärran sluten Configuration Manager-konsol konfigurerar du DCOM-behörigheter för fjärraktivering på både plats SERVERDATORN och SMS-providern.When you use a remote Configuration Manager console, configure Remote Activation DCOM permissions on both the site server computer and the SMS Provider. Bevilja behörighet till SMS Admins -gruppen.Grant these rights to the SMS Admins group. Den här åtgärden fören klar administrationen i stället för att ge rättigheterna direkt till användare eller grupper.This action simplifies administration instead of granting these rights directly to users or groups. Mer information finns i Konfigurera DCOM-behörigheter för fjärranslutna Configuration Manager-konsoler.For more information, see Configure DCOM permissions for remote Configuration Manager consoles.

SMS_SiteSystemToSiteServerConnection_MP_ < SiteCode>SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Hanterings platser som är fjärranslutna från plats servern använder den här gruppen för att ansluta till plats databasen.Management points that are remote from the site server use this group to connect to the site database. Gruppen ger hanteringsplatsåtkomst till inkorgsmapparna på platsservern och platsdatabasen.This group provides a management point access to the inbox folders on the site server and the site database.

Typ och platsType and location

Den här gruppen är en lokal säkerhets grupp som skapas på varje dator som har en SMS-provider.This group is a local security group created on each computer that has an SMS Provider.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

MedlemskapMembership

Configuration Manager hanterar grupp medlemskapet automatiskt.Configuration Manager automatically manages the group membership. Medlemmar är som standard datorkonton för fjärrdatorer som har en hanteringsplats för platsen.By default, membership includes the computer accounts of remote computers that have a management point for the site.

BehörigheterPermissions

Den här gruppen har som standard behörigheterna läsa, läsa & köraoch Visa mappinnehåll i följande mapp på plats servern: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Den här gruppen har ytterligare behörighet att skriva till undermappar under inkorgar, till vilken hanterings platsen skriver klient data.This group has the additional permission of Write to subfolders below inboxes, to which the management point writes client data.

SMS_SiteSystemToSiteServerConnection_SMSProv_ < SiteCode>SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Fjärranslutna SMS-providers använder den här gruppen för att ansluta till plats servern.Remote SMS Provider computers use this group to connect to the site server.

Typ och platsType and location

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.This group is a local security group created on the site server.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

MedlemskapMembership

Configuration Manager hanterar grupp medlemskapet automatiskt.Configuration Manager automatically manages the group membership. Som standard inkluderar medlemskap dator kontot eller ett domän användar konto.By default, membership includes the computer account or a domain user account. Det här kontot används för att ansluta till plats servern från varje fjärr-SMS-provider.It uses this account to connect to the site server from each remote SMS Provider.

BehörigheterPermissions

Den här gruppen har som standard behörigheterna läsa, läsa & köraoch Visa mappinnehåll i följande mapp på plats servern: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes. Den här gruppen har ytterligare behörighet att skriva och ändra till undermappar under inkorgarna.This group has the additional permissions of Write and Modify to subfolders below the inboxes. SMS-providern kräver åtkomst till dessa mappar.The SMS Provider requires access to these folders.

Den här gruppen har också Läs behörighet till undermapparna på plats servern nedan C:\Program Files\Microsoft Configuration Manager\OSD\Bin .This group also has Read permission to the subfolders on the site server below C:\Program Files\Microsoft Configuration Manager\OSD\Bin.

Den har också följande behörigheter till undermapparna nedan C:\Program Files\Microsoft Configuration Manager\OSD\boot :It also has the following permissions to the subfolders below C:\Program Files\Microsoft Configuration Manager\OSD\boot:

  • LäsRead
  • Läs & körRead & execute
  • Visa mappinnehållList folder contents
  • SkrivaWrite
  • Modify (Ändra)Modify

SMS_SiteSystemToSiteServerConnection_Stat_ < SiteCode>SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

Filen Dispatch Manager-komponenten på Configuration Manager fjärrplatssystem använder den här gruppen för att ansluta till plats servern.The file dispatch manager component on Configuration Manager remote site system computers uses this group to connect to the site server.

Typ och platsType and location

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.This group is a local security group created on the site server.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

MedlemskapMembership

Configuration Manager hanterar grupp medlemskapet automatiskt.Configuration Manager automatically manages the group membership. Som standard inkluderar medlemskap dator kontot eller domän användar kontot.By default, membership includes the computer account or the domain user account. Det här kontot används för att ansluta till plats servern från varje fjärrplatssystem som kör fil sändnings hanteraren.It uses this account to connect to the site server from each remote site system that runs the file dispatch manager.

BehörigheterPermissions

Den här gruppen har som standard behörigheterna läsa, läsa & köraoch Visa mappinnehåll till följande mapp och dess undermappar på plats servern: C:\Program Files\Microsoft Configuration Manager\inboxes .By default, this group has Read, Read & execute, and List folder contents permission to the following folder and its subfolders on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes.

Den här gruppen har ytterligare behörighet att skriva och ändra till följande mapp på plats servern: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box .This group has the additional permissions of Write and Modify to the following folder on the site server: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box.

SMS_SiteToSiteConnection_ < SiteCode>SMS_SiteToSiteConnection_<sitecode>

Configuration Manager använder den här gruppen för att aktivera filbaserad replikering mellan platser i en hierarki.Configuration Manager uses this group to enable file-based replication between sites in a hierarchy. För varje fjärrplats som överför filer direkt till den här platsen, har den här gruppen konton som har kon figurer ATS som ett filreplikeringsflöde.For each remote site that directly transfers files to this site, this group has accounts set up as a File Replication Account.

Typ och platsType and location

Det finns en lokal säkerhetsgrupp för den här gruppen på platsservern.This group is a local security group created on the site server.

MedlemskapMembership

När du installerar en ny plats som underordnad till en annan plats, lägger Configuration Manager automatiskt till dator kontot för den nya plats servern i den här gruppen på den överordnade plats servern.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site server to this group on the parent site server. Configuration Manager lägger också till den överordnade platsens dator konto i gruppen på den nya plats servern.Configuration Manager also adds the parent site's computer account to the group on the new site server. Om du anger ett annat konto för filbaserade överföringar lägger du till det kontot i gruppen på mål plats servern.If you specify another account for file-based transfers, add that account to this group on the destination site server.

När du avinstallerar en plats tas inte gruppen bort automatiskt.When you uninstall a site, this group isn't automatically removed. Ta bort den manuellt när du har avinstallerat en plats.Manually delete it after uninstalling a site.

BehörigheterPermissions

Den här gruppen har som standard fullständig behörighet till följande mapp: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive .By default, this group has Full control to the following folder: C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Konton som Configuration Manager använderAccounts that Configuration Manager uses

Du kan konfigurera följande konton för Configuration Manager.You can set up the following accounts for Configuration Manager.

Tips

Använd inte procent andelen ( % ) i lösen ordet för konton som du anger i Configuration Manager-konsolen.Don't use the percentage character (%) in the password for accounts that you specify in the Configuration Manager console. Kontot kan inte autentiseras.The account will fail to authenticate.

Konto för Active Directory grupp identifieringActive Directory group discovery account

Webbplatsen använder kontot för Active Directory grupp identifiering för att identifiera följande objekt från de platser i Active Directory Domain Services som du anger:The site uses the Active Directory group discovery account to discover the following objects from the locations in Active Directory Domain Services that you specify:

  • Lokala, globala och universella säkerhets grupperLocal, global, and universal security groups
  • Medlemskapet i dessa grupperThe membership within these groups
  • Medlemskapet i distributions grupperThe membership within distribution groups
    • Distributions grupper identifieras inte som grupp resurserDistribution groups aren't discovered as group resources

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto.This account can be a computer account of the site server that runs discovery, or a Windows user account. Den måste ha Läs behörighet till de Active Directory platser som du anger för identifiering.It must have Read access permission to the Active Directory locations that you specify for discovery.

Mer information finns i Active Directory Group Discovery.For more information, see Active Directory group discovery.

Active Directory konto för system identifieringActive Directory system discovery account

Platsen använder Active Directory system identifierings konto för att identifiera datorer från de platser i Active Directory Domain Services som du anger.The site uses the Active Directory system discovery account to discover computers from the locations in Active Directory Domain Services that you specify.

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto.This account can be a computer account of the site server that runs discovery, or a Windows user account. Den måste ha Läs behörighet till de Active Directory platser som du anger för identifiering.It must have Read access permission to the Active Directory locations that you specify for discovery.

Mer information finns i Active Directory system identifiering.For more information, see Active Directory system discovery.

Konto för Active Directory användar identifieringActive Directory user discovery account

Platsen använder Active Directory identifierings konto för användare för att identifiera användar konton från de platser i Active Directory Domain Services som du anger.The site uses the Active Directory user discovery account to discover user accounts from the locations in Active Directory Domain Services that you specify.

Det här kontot kan vara ett datorkonto för platsservern som kör identifiering, eller ett Windows-användarkonto.This account can be a computer account of the site server that runs discovery, or a Windows user account. Den måste ha Läs behörighet till de Active Directory platser som du anger för identifiering.It must have Read access permission to the Active Directory locations that you specify for discovery.

Mer information finns i Active Directory User Discovery.For more information, see Active Directory user discovery.

Active Directory skogs kontoActive Directory forest account

Platsen använder Active Directory skogs konto för att identifiera nätverks infrastruktur från Active Directory skogar.The site uses the Active Directory forest account to discover network infrastructure from Active Directory forests. Centrala administrations platser och primära platser använder också den för att publicera plats data till Active Directory Domain Services för en skog.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Anteckning

Sekundära platser använder alltid den sekundära serverns datorkonto för att publicera till Active Directory.Secondary sites always use the secondary site server computer account to publish to Active Directory.

För att upptäcka och publicera till obetrodda skogar måste Active Directory skogs konto vara ett globalt konto.To discover and publish to untrusted forests, the Active Directory forest account must be a global account. Om du inte använder plats serverns dator konto kan du bara välja ett globalt konto.If you don't use the computer account of the site server, you can select only a global account.

Kontot måste ha läsbehörighet för varje Active Directory-skog vars nätverksinfrastruktur du vill identifiera.This account must have Read permissions to each Active Directory forest where you want to discover network infrastructure.

Kontot måste ha fullständig behörighet till System Management -behållaren och alla dess underordnade objekt i varje Active Directory skog där du vill publicera plats data.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data. Mer information finns i förbereda Active Directory för webbplats publicering.For more information, see Prepare Active Directory for site publishing.

Mer information finns i Active Directory skogs identifiering.For more information, see Active Directory forest discovery.

Konto för certifikat registrerings platsCertificate registration point account

Certifikat registrerings platsen använder kontot för certifikat registrerings platsen för att ansluta till den Configuration Manager databasen.The certificate registration point uses the Certificate registration point account to connect to the Configuration Manager database. Den använder sitt dator konto som standard, men du kan konfigurera ett användar konto i stället.It uses its computer account by default, but you can configure a user account instead. När certifikat registrerings platsen finns i en domän som inte är betrodd från plats servern, måste du ange ett användar konto.When the certificate registration point is in an untrusted domain from the site server, you must specify a user account. Det här kontot behöver bara Läs behörighet till plats databasen eftersom tillstånds meddelande systemet hanterar Skriv åtgärder.This account requires only Read access to the site database, because the state message system handles write tasks.

Mer information finns i Introduktion till certifikat profiler.For more information, see Introduction to certificate profiles.

Avbilda operativ system avbildnings kontoCapture OS image account

När du skapar en operativ system avbildning använder Configuration Manager avbildnings kontot för avbildnings operativ system för att få åtkomst till mappen där du lagrar insamlade avbildningar.When you capture an OS image, Configuration Manager uses the Capture OS image account to access the folder where you store captured images. Om du lägger till steget avbilda operativ Systems avbildning i en aktivitetssekvens krävs det här kontot.If you add the Capture OS Image step to a task sequence, this account is required.

Kontot måste ha Läs -och Skriv behörighet för den nätverks resurs där du lagrar insamlade avbildningar.The account must have Read and Write permissions on the network share where you store captured images.

Om du ändrar lösen ordet för kontot i Windows uppdaterar du aktivitetssekvensen med det nya lösen ordet.If you change the password for the account in Windows, update the task sequence with the new password. Den Configuration Manager klienten får det nya lösen ordet nästa gång som klient principen laddas ned.The Configuration Manager client receives the new password when it next downloads the client policy.

Skapa ett domän användar konto om du behöver använda det här kontot.If you need to use this account, create one domain user account. Ge den lägsta behörighet att komma åt de nätverks resurser som krävs och Använd dem för alla aktivitetssekvenser.Grant it minimal permissions to access the required network resources, and use it for all capture task sequences.

Viktigt

Tilldela inte interaktiva inloggnings behörigheter till det här kontot.Don't assign interactive sign-in permissions to this account.

Använd inte kontot för nätverks åtkomst för det här kontot.Don't use the network access account for this account.

Mer information finns i skapa en aktivitetssekvens för att avbilda ett operativ system.For more information, see Create a task sequence to capture an OS.

Konto för push-installation av klientClient push installation account

När du distribuerar klienter med hjälp av metoden push-installation av klienter, använder platsen kontot för push-installation av klienter för att ansluta till datorer och installera Configuration Manager-klientprogramvaran.When you deploy clients by using the client push installation method, the site uses the Client push installation account to connect to computers and install the Configuration Manager client software. Om du inte anger det här kontot försöker plats servern använda sitt dator konto.If you don't specify this account, the site server tries to use its computer account.

Det här kontot måste vara medlem i den lokala Administratörs gruppen på mål klient datorerna.This account must be a member of the local Administrators group on the target client computers. Detta konto kräver inte domän administratörs rättigheter.This account doesn't require Domain Admin rights.

Du kan ange mer än ett konto för push-installation av klienter.You can specify more than one client push installation account. Configuration Manager försöker var och en i tur och ett lyckas.Configuration Manager tries each one in turn until one succeeds.

Tips

Om du har en stor Active Directorys miljö och behöver ändra det här kontot, så kan du använda följande process för att effektivt koordinera den här konto uppdateringen:If you have a large Active Directory environment and need to change this account, use the following process to more effectively coordinate this account update:

  1. Skapa ett nytt konto med ett annat namnCreate a new account with a different name
  2. Lägg till det nya kontot i listan över konton för push-installation av klienter i Configuration ManagerAdd the new account to the list of client push installation accounts in Configuration Manager
  3. Tillåt tillräckligt med tid för Active Directory Domain Services att replikera det nya kontotAllow sufficient time for Active Directory Domain Services to replicate the new account
  4. Ta sedan bort det gamla kontot från Configuration Manager och Active Directory Domain ServicesThen remove the old account from Configuration Manager and Active Directory Domain Services

Viktigt

Använd domän-eller lokal grup princip för att tilldela Windows-användaren behörighet att Neka inloggning lokalt.Use domain or local group policy to assign the Windows user right to Deny log on locally. Som medlem i gruppen Administratörer har det här kontot rätt att logga in lokalt, vilket inte behövs.As a member of the Administrators group, this account will have the right to sign in locally, which isn't needed. För bättre säkerhet kan du uttryckligen neka rätt för det här kontot.For better security, explicitly deny the right for this account. Rättigheten neka ersätter rättigheten Tillåt.The deny right supersedes the allow right.

Mer information finns i push-installation av klienter.For more information, see Client push installation.

Konto för registrerings plats anslutningEnrollment point connection account

Registrerings platsen använder kontot för registrerings plats anslutning för att ansluta till Configuration Manager plats databasen.The enrollment point uses the Enrollment point connection account to connect to the Configuration Manager site database. Den använder sitt dator konto som standard, men du kan konfigurera ett användar konto i stället.It uses its computer account by default, but you can configure a user account instead. När registrerings platsen finns i en domän som inte är betrodd från plats servern måste du ange ett användar konto.When the enrollment point is in an untrusted domain from the site server, you must specify a user account. Detta konto kräver Läs -och Skriv åtkomst till plats databasen.This account requires Read and Write access to the site database.

Mer information finns i Installera plats system roller för lokal MDM.For more information, see Install site system roles for on-premises MDM.

Anslutnings konto för Exchange ServerExchange Server connection account

Plats servern använder anslutnings kontot för Exchange Server för att ansluta till den angivna Exchange-servern.The site server uses the Exchange Server connection account to connect to the specified Exchange Server. Den här anslutningen används för att hitta och hantera mobila enheter som ansluter till Exchange Server.It uses this connection to find and manage mobile devices that connect to Exchange Server. Detta konto kräver Exchange PowerShell cmdlets som förser Exchange Server-datorn med de behörigheter som krävs.This account requires Exchange PowerShell cmdlets that provide the required permissions to the Exchange Server computer. Mer information om cmdletarna finns i Installera och konfigurera Exchange Connector.For more information about the cmdlets, see Install and configure the Exchange connector.

Konto för hanterings plats anslutningManagement point connection account

Hanterings platsen använder hanterings platsens anslutnings konto för att ansluta till Configuration Manager plats databasen.The management point uses the Management point connection account to connect to the Configuration Manager site database. Den här anslutningen används för att skicka och hämta information för klienter.It uses this connection to send and retrieve information for clients. Hanterings platsen använder sitt dator konto som standard, men du kan konfigurera ett användar konto i stället.The management point uses its computer account by default, but you can configure a user account instead. När hanterings platsen finns i en domän som inte är betrodd från plats servern måste du ange ett användar konto.When the management point is in an untrusted domain from the site server, you must specify a user account.

Skapa kontot som ett lokalt konto med begränsade rättigheter på den dator som kör Microsoft SQL Server.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Viktigt

Bevilja inte interaktiva inloggnings rättigheter till det här kontot.Don't grant interactive sign-in rights to this account.

Konto för multicast-anslutningMulticast connection account

Multicast-aktiverade distributions platser använder multicast-anslutningens konto för att läsa information från plats databasen.Multicast-enabled distribution points use the Multicast connection account to read information from the site database. Servern använder sitt dator konto som standard, men du kan konfigurera ett användar konto i stället.The server uses its computer account by default, but you can configure a user account instead. När plats databasen finns i en skog som inte är betrodd måste du ange ett användar konto.When the site database is in an untrusted forest, you must specify a user account. Om ditt data Center exempelvis har ett perimeternätverk i en annan skog än plats servern och plats databasen kan du använda det här kontot för att läsa multicast-informationen från plats databasen.For example, if your data center has a perimeter network in a forest other than the site server and site database, use this account to read the multicast information from the site database.

Om du behöver det här kontot skapar du det som ett lokalt konto med begränsade rättigheter på den dator som kör Microsoft SQL Server.If you need this account, create it as a low-rights, local account on the computer that runs Microsoft SQL Server.

Viktigt

Bevilja inte interaktiva inloggnings rättigheter till det här kontot.Don't grant interactive sign-in rights to this account.

Mer information finns i använda multicast för att distribuera Windows via nätverket.For more information, see Use multicast to deploy Windows over the network.

NätverksåtkomstkontoNetwork access account

Klient datorer använder nätverks åtkomst kontot när de inte kan använda sitt lokala dator konto för att komma åt innehåll på distributions platser.Client computers use the network access account when they can't use their local computer account to access content on distribution points. Den gäller främst för arbets grupps klienter och datorer från obetrodda domäner.It mostly applies to workgroup clients and computers from untrusted domains. Det här kontot används också vid distribution av operativ system, när datorn som installerar operativ systemet inte har ett dator konto i domänen.This account is also used during OS deployment, when the computer that's installing the OS doesn't yet have a computer account on the domain.

Viktigt

Kontot för nätverks åtkomst används aldrig som säkerhets kontext för att köra program, installera program uppdateringar eller köra aktivitetssekvenser.The network access account is never used as the security context to run programs, install software updates, or run task sequences. Den används endast för åtkomst till resurser i nätverket.It's used only for accessing resources on the network.

En Configuration Manager-klient försöker först använda sitt dator konto för att hämta innehållet.A Configuration Manager client first tries to use its computer account to download the content. Om det Miss lyckas försöker den automatiskt med nätverks åtkomst kontot.If it fails, it then automatically tries the network access account.

Om du konfigurerar platsen för HTTPS eller Enhanced httpkan en arbets grupp eller Azure AD-ansluten klient på ett säkert sätt komma åt innehåll från distributions platser utan att det behövs något konto för nätverks åtkomst.If you configure the site for HTTPS or Enhanced HTTP, a workgroup or Azure AD-joined client can securely access content from distribution points without the need for a network access account. Det här problemet omfattar distributions scenarier för operativ system med en aktivitetssekvens som körs från startmedia, PXE eller Software Center.This behavior includes OS deployment scenarios with a task sequence running from boot media, PXE, or Software Center. Mer information finns i klient till hanterings plats kommunikation.For more information, see Client to management point communication.

Anteckning

Om du aktiverar utökat http till att inte kräva kontot för nätverks åtkomst måste distributions platsen köra Windows Server 2012 eller senare.If you enable Enhanced HTTP to not require the network access account, the distribution point needs to be running Windows Server 2012 or later.

Uppgradera klienter till minst version 1806 innan du aktiverar den här funktionen.Upgrade clients to at least version 1806 before enabling this functionality. Om du bara tillåter utökade HTTP- anslutningar kan äldre klienter inte autentisera med den här metoden, så det går inte att ladda ned klient uppgraderings paketet från en distributions plats.If you only allow Enhanced HTTP connections, older clients can't authenticate using this method, so can't download the client upgrade package from a distribution point.

BehörigheterPermissions

Bevilja detta konto de lägsta lämpliga behörigheter för innehållet som klienten behöver för att få åtkomst till programvaran.Grant this account the minimum appropriate permissions on the content that the client requires to access the software. Kontot måste ha åtkomst till den här datorn från nätverket på distributions platsen.The account must have the Access this computer from the network right on the distribution point. Du kan konfigurera upp till tio konton för nätverks åtkomst per plats.You can configure up to 10 network access accounts per site.

Skapa kontot i valfri domän som ger nödvändig åtkomst till resurser.Create the account in any domain that provides the necessary access to resources. Kontot för nätverks åtkomst måste alltid innehålla ett domän namn.The network access account must always include a domain name. Direkt säkerhet stöds inte för det här kontot.Pass-through security isn't supported for this account. Skapa kontot i en betrodd domän om du har distributionsplatser i flera domäner.If you have distribution points in multiple domains, create the account in a trusted domain.

Tips

Undvik konto utelåsning genom att inte ändra lösen ordet för ett befintligt konto för nätverks åtkomst.To avoid account lockouts, don't change the password on an existing network access account. Skapa i stället ett nytt konto och konfigurera det nya kontot i Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager. När tillräckligt med tid har förflutit för att alla klienter ska ha tagit emot de nya kontodetaljerna tar du bort det gamla kontot från de delade nätverksmapparna och tar bort kontot.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Viktigt

Bevilja inte interaktiva inloggnings rättigheter till det här kontot.Don't grant interactive sign-in rights to this account.

Bevilja inte det här kontot behörighet att ansluta datorer till domänen.Don't grant this account the right to join computers to the domain. Om du måste ansluta datorer till domänen under en aktivitetssekvens använder du det domän anslutnings kontosom används för aktivitetssekvens.If you must join computers to the domain during a task sequence, use the Task sequence domain join account.

Konfigurera kontot för nätverks åtkomstConfigure the network access account

  1. Gå till arbets ytan Administration i Configuration Manager-konsolen, expandera plats konfigurationoch välj noden platser .In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Välj sedan platsen.Then select the site.

  2. I gruppen Inställningar i menyfliksområdet väljer du Konfigurera plats komponenteroch välj program varu distribution.On the Settings group of the ribbon, select Configure Site Components, and choose Software Distribution.

  3. Välj fliken nätverks åtkomst konto . Konfigurera ett eller flera konton och välj sedan OK.Choose the Network access account tab. Set up one or more accounts, and then choose OK.

Paket åtkomst kontoPackage access account

Med ett paket åtkomst konto kan du ange NTFS-behörigheter för att ange de användare och användar grupper som kan komma åt paket innehåll på distributions platser.A Package access account lets you set NTFS permissions to specify the users and user groups that can access package content on distribution points. Som standard beviljar Configuration Manager endast åtkomst till de allmänna åtkomst kontona användare och administratör.By default, Configuration Manager grants access only to the generic access accounts User and Administrator. Du kan kontrol lera åtkomsten för klient datorer genom att använda ytterligare Windows-konton eller grupper.You can control access for client computers by using additional Windows accounts or groups. Mobila enheter hämtar alltid paket innehåll anonymt, så de använder inte ett paket åtkomst konto.Mobile devices always retrieve package content anonymously, so they don't use a package access account.

När Configuration Manager kopierar innehållsfilerna till en distributions plats beviljas som standard Läs behörighet till den lokala gruppen användare och fullständig behörighet till den lokala Administratörs gruppen.By default, when Configuration Manager copies the content files to a distribution point, it grants Read access to the local Users group, and Full Control to the local Administrators group. De faktiska behörigheter som krävs beror på paketet.The actual permissions required depend on the package. Om du har klienter i arbets grupper eller i ej betrodda skogar använder dessa klienter nätverks åtkomst kontot för att komma åt paket innehållet.If you have clients in workgroups or in untrusted forests, those clients use the network access account to access the package content. Kontrol lera att nätverks åtkomst kontot har behörighet till paketet genom att använda de definierade paket åtkomst kontona.Make sure that the network access account has permissions to the package by using the defined package access accounts.

Använd konton i en domän som kan komma åt distributionsplatserna.Use accounts in a domain that can access the distribution points. Om du skapar eller ändrar kontot när du har skapat paketet måste du distribuera om paketet.If you create or modify the account after you create the package, you must redistribute the package. Uppdateringen av paketet ändrar inte NTFS-behörigheterna för paketet.Updating the package doesn't change the NTFS permissions on the package.

Du behöver inte lägga till nätverks åtkomst kontot som ett paket åtkomst konto, eftersom medlemskapet i användar gruppen lägger till det automatiskt.You don't have to add the network access account as a package access account, because membership of the Users group adds it automatically. Om du begränsar paket åtkomst kontot till endast nätverks åtkomst kontot förhindras inte klienter från att komma åt paketet.Restricting the package access account to only the network access account doesn't prevent clients from accessing the package.

Hantera paket åtkomst kontonManage package access accounts

  1. Välj program varu biblioteki Configuration Manager-konsolen.In the Configuration Manager console, choose Software Library.

  2. I arbets ytan program bibliotek bestämmer du vilken typ av innehåll som du vill hantera åtkomst konton för och följer de steg som anges:In the Software Library workspace, determine the type of content for which you want to manage access accounts, and follow the steps provided:

    • Program: Expandera program hantering, Välj programoch välj sedan det program som du vill hantera åtkomst konton för.Application: Expand Application Management, choose Applications, and then select the application for which to manage access accounts.

    • Paket: Expandera program hantering, Välj paketoch välj sedan det paket som du vill hantera åtkomst konton för.Package: Expand Application Management, choose Packages, and then select the package for which to manage access accounts.

    • Distributions paket för program uppdatering: Expandera program uppdateringar, Välj distributions paketoch välj sedan det distributions paket som du vill hantera åtkomst konton för.Software update deployment package: Expand Software Updates, choose Deployment Packages, and then select the deployment package for which to manage access accounts.

    • Driv rutins paket: Expandera operativ system, Välj driv rutins paketoch välj sedan det driv rutins paket som du vill hantera åtkomst konton för.Driver package: Expand Operating Systems, choose Driver Packages, and then select the driver package for which to manage access accounts.

    • OS-avbildning: Expandera operativ system, Välj operativ Systemsavbildningar och välj sedan den operativ Systems avbildning som du vill hantera åtkomst konton för.OS image: Expand Operating Systems, choose Operating System Images, and then select the operating system image for which to manage access accounts.

    • Uppgraderings paketför operativ system: Expandera operativ system, Välj uppgraderings paket för operativ systemoch välj sedan det uppgraderings paket för operativ system som du vill hantera åtkomst konton för.OS upgrade package: Expand Operating Systems, choose Operating system upgrade packages, and then select the OS upgrade package for which to manage access accounts.

    • Start avbildning: Expandera operativ system, Välj Start avbildningaroch välj sedan den Start avbildning som du vill hantera åtkomst konton för.Boot image: Expand Operating Systems, choose Boot Images, and then select the boot image for which to manage access accounts.

  3. Högerklicka på det markerade objektet och välj sedan Hantera åtkomst konton.Right-click the selected object, and then choose Manage Access Accounts.

  4. I dialog rutan Lägg till konto anger du den kontotyp som ska beviljas åtkomst till innehållet och anger sedan åtkomst behörigheterna som är associerade med kontot.In the Add Account dialog box, specify the account type that will be granted access to the content, and then specify the access rights associated with the account.

    Anteckning

    När du lägger till ett användar namn för kontot och Configuration Manager hittar både ett lokalt användar konto och ett domän användar konto med det namnet, Configuration Manager anger åtkomst rättigheter för domän användar kontot.When you add a user name for the account, and Configuration Manager finds both a local user account and a domain user account with that name, Configuration Manager sets access rights for the domain user account.

Konto för repor ting Services-platsReporting services point account

SQL Server Reporting Services använder repor ting Services-platsens konto för att hämta data för Configuration Manager-rapporter från plats databasen.SQL Server Reporting Services uses the Reporting services point account to retrieve the data for Configuration Manager reports from the site database. Det Windows-användarkonto och -lösenord som du anger krypteras och sparas i SQL Server Reporting Services-databasen.The Windows user account and password that you specify are encrypted and stored in the SQL Server Reporting Services database.

Anteckning

Kontot som du anger måste ha behörigheten lokal inloggning på den dator som är värd för SQL Server Reporting Services databasen.The account you specify must have Log on locally permissions on the computer hosting the SQL Server Reporting Services database.

Anteckning

Kontot beviljas automatiskt alla nödvändiga rättigheter genom att läggas till i smsschm_users SQL Server databas rollen i Configuration Managers databasen.The account is automatically granted all necessary rights by being added to the smsschm_users SQL Server Database Role on the Configuration Manager database.

Mer information finns i Introduktion till rapportering.For more information, see Introduction to reporting.

Konton för tillåtna visnings program för fjärrverktygRemote tools permitted viewer accounts

De konton som du anger som Betrodda visningsprogram för fjärrkontroll är en lista över användare som har tillåtelse att använda fjärrverktygsfunktionerna på klienter.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Mer information finns i Introduktion till fjärr styrning.For more information, see Introduction to remote control.

Konto för plats installationSite installation account

Använd ett domän användar konto för att logga in på den server där du kör Configuration Manager installationen och installera en ny plats.Use a domain user account to sign in to the server where you run Configuration Manager setup and install a new site.

Detta konto kräver följande rättigheter:This account requires the following rights:

  • Administratör på följande servrar:Administrator on the following servers:

    • Plats servernThe site server
    • Varje server som är värd för plats databasenEach server that hosts the site database
    • Varje instans av SMS-providern för platsenEach instance of the SMS Provider for the site
  • Sysadmin på den instans av SQL Server som är värd för plats databasenSysadmin on the instance of SQL Server that hosts the site database

Configuration Manager-installationen lägger automatiskt till det här kontot i SMS Admins -gruppen.Configuration Manager setup automatically adds this account to the SMS Admins group.

Efter installationen är det här kontot den enda användaren med behörighet till Configuration Manager-konsolen.After installation, this account is the only user with rights to the Configuration Manager console. Om du behöver ta bort det här kontot måste du först se till att lägga till dess rättigheter till en annan användare.If you need to remove this account, make sure to add its rights to another user first.

När du expanderar en fristående plats för att ta med en central administrations plats kräver det här kontot antingen Fullständig administratör eller rollbaserade administrations rättigheter för administratörer på den fristående primära platsen.When expanding a standalone site to include a central administration site, this account requires either Full Administrator or Infrastructure Administrator role-based administration rights at the standalone primary site.

Konto för installation av plats systemSite system installation account

Plats servern använder kontot för installation av plats system för att installera, installera om, avinstallera och konfigurera plats system.The site server uses the Site system installation account to install, reinstall, uninstall, and set up site systems. Om du konfigurerar plats systemet så att plats servern kräver att plats servern initierar anslutningar till det här plats systemet, använder Configuration Manager även det här kontot för att hämta data från plats systemet när plats systemet och eventuella roller har installerats.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system after it installs the site system and any roles. Varje plats system kan ha ett annat installations konto, men du kan bara konfigurera ett installations konto för att hantera alla roller på plats systemet.Each site system can have a different installation account, but you can set up only one installation account to manage all roles on that site system.

Detta konto kräver lokal administrativ behörighet på mål plats systemen.This account requires local administrative permissions on the target site systems. Dessutom måste det här kontot ha åtkomst till den här datorn från nätverket i säkerhets principen på mål plats systemen.Additionally, this account must have Access this computer from the network in the security policy on the target site systems.

Tips

Om du har många domänkontrollanter och dessa konton används över flera domäner måste du kontrol lera att Active Directory har replikerat dessa konton innan du konfigurerar plats systemet.If you have many domain controllers and these accounts are used across domains, before you set up the site system, check that Active Directory has replicated these accounts.

När du anger ett lokalt konto på varje plats system som ska hanteras är denna konfiguration säkrare än att använda domän konton.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts. Den begränsar skadan som angripare kan göra om kontot komprometteras.It limits the damage that attackers can do if the account is compromised. Domän konton är dock enklare att hantera.However, domain accounts are easier to manage. Överväg att kompromissa mellan säkerhet och effektiv administration.Consider the trade-off between security and effective administration.

Server konto för plats systemets proxyserverSite system proxy server account

Följande plats system roller använder plats systemets proxy-servernamn för att få åtkomst till Internet via en proxyserver eller brand vägg som kräver autentiserad åtkomst:The following site system roles use the Site system proxy server account to access the internet via a proxy server or firewall that requires authenticated access:

  • Plats för synkronisering av tillgångsinformationAsset Intelligence synchronization point
  • Exchange Server-anslutningExchange Server connector
  • TjänstanslutningspunktService connection point
  • ProgramuppdateringsplatsSoftware update point

Viktigt

Ange ett konto med så få behörigheter som möjligt för den begärda proxyservern eller brandväggen.Specify an account that has the least possible permissions for the required proxy server or firewall.

Mer information finns i stöd för proxy server.For more information, see Proxy server support.

Konto för SMTP-server anslutningSMTP server connection account

Plats servern använder SMTP-serverns anslutnings konto för att skicka e-postaviseringar när SMTP-servern kräver autentiserad åtkomst.The site server uses the SMTP server connection account to send email alerts when the SMTP server requires authenticated access.

Viktigt

Ange ett konto som har lägsta möjliga behörighet för att skicka e-post.Specify an account that has the least possible permissions to send emails.

Mer information finns i använda aviseringar och status systemet.For more information, see Use alerts and the status system.

Anslutnings konto för program uppdaterings platsSoftware update point connection account

Plats servern använder anslutnings kontot för program uppdaterings platsen för följande två program uppdaterings tjänster:The site server uses the Software update point connection account for the following two software update services:

  • Windows Server Update Services (WSUS), som konfigurerar inställningar som produkt definitioner, klassificeringar och överordnade inställningar.Windows Server Update Services (WSUS), which sets up settings like product definitions, classifications, and upstream settings.

  • WSUS Synchronization Manager, som begär synkronisering till en överordnad WSUS-server eller Microsoft Update.WSUS Synchronization Manager, which requests synchronization to an upstream WSUS server or Microsoft Update.

Kontot för installation av plats system kan installera komponenter för program uppdateringar, men kan inte utföra program uppdaterings bara funktioner på program uppdaterings platsen.The site system installation account can install components for software updates, but it can't perform software update-specific functions on the software update point. Om du inte kan använda plats serverns dator konto för den här funktionen eftersom program uppdaterings platsen finns i en skog som inte är betrodd måste du ange det här kontot förutom kontot för installation av plats system.If you can't use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the site system installation account.

Kontot måste vara en lokal administratör på den dator där du installerar WSUS.This account must be a local administrator on the computer where you install WSUS. Det måste också vara en del av den lokala gruppen WSUS-administratörer .It must also be part of the local WSUS Administrators group.

Mer information finns i Planera för program uppdateringar.For more information, see Plan for software updates.

Käll plats kontoSource site account

Vid migreringsprocessen används käll plats kontot för att komma åt käll PLATSens SMS-provider.The migration process uses the Source site account to access the SMS Provider of the source site. Detta konto kräver läsbehörighet till platsobjekt på källplatsen för att samla in data för migreringsjobb.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Om du har Configuration Manager 2007-distributions platser eller sekundära platser med samplacerade distributions platser, måste det här kontot även ha behörighet att ta bort om du uppgraderar dem till Configuration Manager (aktuell gren) distributions platser.If you have Configuration Manager 2007 distribution points or secondary sites with colocated distribution points, when you upgrade them to Configuration Manager (current branch) distribution points, this account must also have Delete permissions to the Site class. Den här behörigheten är att ta bort distributions platsen från Configuration Manager 2007-platsen under uppgraderingen.This permission is to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Anteckning

Både käll plats kontot och käll plats databas kontot identifieras som Migration Manager i noden konton i arbets ytan Administration i Configuration Manager-konsolen.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Mer information finns i migrera data mellan hierarkier.For more information, see Migrate data between hierarchies.

Konto för käll plats databasSource site database account

Vid migreringsprocessen används käll plats databas kontot för att komma åt SQL Server databasen för käll platsen.The migration process uses the Source site database account to access the SQL Server database for the source site. Om du vill samla in data från käll platsens SQL Server databas måste käll plats databas kontot ha Läs -och Kör behörighet till käll platsens SQL Server databas.To gather data from the SQL Server database of the source site, the source site database account must have the Read and Execute permissions to the source site's SQL Server database.

Om du använder dator kontot Configuration Manager (aktuell gren) ser du till att alla följande är uppfyllda för det här kontot:If you use the Configuration Manager (current branch) computer account, make sure that all the following are true for this account:

  • Den är medlem i den distribuerade COM-användarens säkerhets grupp i samma domän som Configuration Manager 2007-platsenIt's a member of the Distributed COM Users security group in the same domain as the Configuration Manager 2007 site
  • Den är medlem i säkerhets gruppen SMS-administratörerIt's a member of the SMS Admins security group
  • Den har Läs behörighet till alla Configuration Manager 2007-objektIt has the Read permission to all Configuration Manager 2007 objects

Anteckning

Både käll plats kontot och käll plats databas kontot identifieras som Migration Manager i noden konton i arbets ytan Administration i Configuration Manager-konsolen.Both the source site account and the source site database account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Mer information finns i migrera data mellan hierarkier.For more information, see Migrate data between hierarchies.

Konto för domän anslutning för aktivitetssekvensTask sequence domain join account

Installationsprogrammet för Windows använder domän kontot för aktivitetssekvens för att ansluta en nybildad dator till en domän.Windows Setup uses the Task sequence domain join account to join a newly imaged computer to a domain. Det här kontot krävs av steget Anslut till domän eller arbets grupp i aktivitetssekvensen med alternativet Anslut till en domän .This account is required by the Join Domain or Workgroup task sequence step with the Join a domain option. Det här kontot kan också konfigureras med steget tillämpa nätverks inställningar , men det är inte obligatoriskt.This account can also be set up with the Apply Network Settings step, but it isn't required.

Det här kontot kräver domän anslutning till höger i mål domänen.This account requires the Domain Join right in the target domain.

Tips

Skapa ett domän användar konto med de lägsta behörigheterna för att ansluta till domänen och Använd den för alla aktivitetssekvenser.Create one domain user account with the minimal permissions to join the domain, and use it for all task sequences.

Viktigt

Tilldela inte interaktiva inloggnings behörigheter till det här kontot.Don't assign interactive sign-in permissions to this account.

Använd inte kontot för nätverks åtkomst för det här kontot.Don't use the network access account for this account.

Anslutnings konto för nätverks katalog för aktivitetssekvensTask sequence network folder connection account

Motorn för aktivitetssekvenser använder anslutnings kontot för nätverks katalogen för att ansluta till en delad mapp i nätverket.The task sequence engine uses the Task sequence network folder connection account to connect to a shared folder on the network. Detta konto krävs av steget Anslut till nätverksmapp .This account is required by the Connect to Network Folder task sequence step.

Kontot måste ha behörighet att komma åt den angivna delade mappen.This account requires permissions to access the specified shared folder. Det måste vara ett domän användar konto.It must be a domain user account.

Tips

Skapa ett domän användar konto med lägsta behörighet för att få åtkomst till de nödvändiga nätverks resurserna och Använd dem för alla aktivitetssekvenser.Create one domain user account with minimal permissions to access the required network resources, and use it for all task sequences.

Viktigt

Tilldela inte interaktiva inloggnings behörigheter till det här kontot.Don't assign interactive sign-in permissions to this account.

Använd inte kontot för nätverks åtkomst för det här kontot.Don't use the network access account for this account.

Kör som-konto för aktivitetssekvensTask sequence run as account

Motorn för aktivitetssekvenser använder Kör som-kontot för aktivitetssekvens för att köra kommando rader eller PowerShell-skript med andra autentiseringsuppgifter än det lokala system kontot.The task sequence engine uses the Task sequence run as account to run command lines or PowerShell Scripts with credentials other than the Local System account. Detta konto krävs av kommando raden kör och kör PowerShell-skript med hjälp av instruktioner för att köra det här steget som följande konto .This account is required by the Run Command Line and Run PowerShell Script task sequence steps with the option Run this step as the following account chosen.

Konfigurera kontot så att det har de lägsta behörigheter som krävs för att köra kommando raden som du anger i aktivitetssekvensen.Set up the account to have the minimum permissions required to run the command line that you specify in the task sequence. Kontot kräver interaktiva inloggnings rättigheter.The account requires interactive sign-in rights. Det kräver vanligt vis möjlighet att installera program vara och komma åt nätverks resurser.It usually requires the ability to install software and access network resources. För aktiviteten kör PowerShell-skript krävs lokala administratörs behörigheter.For the Run PowerShell Script task, this account requires local administrator permissions.

Viktigt

Använd inte kontot för nätverks åtkomst för det här kontot.Don't use the network access account for this account.

Gör aldrig kontot till en domän administratör.Never make the account a domain admin.

Konfigurera aldrig centrala profiler för det här kontot.Never set up roaming profiles for this account. När aktivitetssekvensen körs laddar den nätverks växlings profilen för kontot.When the task sequence runs, it downloads the roaming profile for the account. Detta lämnar profilen sårbar för åtkomst på den lokala datorn.This leaves the profile vulnerable to access on the local computer.

Begränsa kontots omfattning.Limit the scope of the account. Skapa exempelvis andra kör som-konton för aktivitetssekvens för varje aktivitetssekvens.For example, create different task sequence run as accounts for each task sequence. Om ett konto har komprometterats komprometteras bara de klient datorer som det kontot har åtkomst till.Then if one account is compromised, only the client computers to which that account has access are compromised.

Om kommando raden kräver administrativ åtkomst på datorn kan du överväga att endast skapa ett lokalt administratörs konto för det här kontot på alla datorer där aktivitetssekvensen körs.If the command line requires administrative access on the computer, consider creating a local administrator account solely for this account on all computers that run the task sequence. Ta bort kontot när du inte längre behöver det.Delete the account once you no longer need it.

Användar objekt som Configuration Manager använder i SQL ServerUser objects that Configuration Manager uses in SQL Server

Configuration Manager skapar och underhåller automatiskt följande användar objekt i SQL.Configuration Manager automatically creates and maintains the following user objects in SQL. De här objekten finns i Configuration Manager-databasen under säkerhet/användare.These objects are located within the Configuration Manager database under Security/Users.

Viktigt

Att ändra eller ta bort dessa objekt kan orsaka drastiska problem inom en Configuration Managers miljö.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Vi rekommenderar att du inte gör några ändringar i dessa objekt.We recommend you do not make any changes to these objects.

smsdbuser_ReadOnlysmsdbuser_ReadOnly

Det här objektet används för att köra frågor i den skrivskyddade kontexten.This object is used to run queries under the read-only context. Det här objektet utnyttjas med flera lagrade procedurer.This object is leveraged with several stored procedures.

smsdbuser_ReadWritesmsdbuser_ReadWrite

Det här objektet används för att ge behörigheter för dynamiska SQL-uttryck.This object is used to provide permissions for dynamic SQL statements.

smsdbuser_ReportSchemasmsdbuser_ReportSchema

Det här objektet används för att köra SQL Server rapporterings körningar.This object is used to run SQL Server Reporting Executions. Följande lagrade procedur används med den här funktionen: spSRExecQuery.The following stored procedure is used with this function: spSRExecQuery.

Databas roller som Configuration Manager använder i SQLDatabase roles that Configuration Manager uses in SQL

Configuration Manager skapar och underhåller automatiskt följande roll objekt i SQL.Configuration Manager automatically creates and maintains the following role objects in SQL. De här rollerna ger åtkomst till vissa lagrade procedurer, tabeller, vyer och funktioner för att utföra de åtgärder som krävs för varje roll för att antingen hämta data eller infoga data till och från Configuration Manager databasen.These roles provide access to specific stored procedures, tables, views and functions to perform the needed actions of each role to either retrieve data or insert data to and from the Configuration Manager database. De här objekten finns i Configuration Manager-databasen under säkerhet/roller/databas roller.These objects are located within the Configuration Manager database under Security/Roles/Database Roles.

Viktigt

Att ändra eller ta bort dessa objekt kan orsaka drastiska problem inom en Configuration Managers miljö.Modifying or removing these objects may cause drastic issues within a Configuration Manager environment. Ändra inte de här objekten.Don't change these objects. Följande lista är endast avsedd som information.The following list is for information purposes only.

smsdbrole_AIToolsmsdbrole_AITool

Import av Tillgångsinformation volym licenser.Asset Intelligence Volume Licenses import. Configuration Manager ger behörighet till användar konton baserat på RBA åtkomst för att kunna importera volym licenser som ska användas med Tillgångsinformation.Configuration Manager grants this permission to users accounts based on RBA access to be able to import volume license to be used with Asset Intelligence. Det här kontot kan läggas till av en fullständig administratörs roll eller till en till gångs hanterings roll.This account could be added by a full administrator role or an Asset Manager role.

smsdbrole_AIUSsmsdbrole_AIUS

Tillgångsinformation synkronisering av uppdateringar.Asset Intelligence Update Synchronization. Configuration Manager beviljar det dator konto som är värd för Tillgångsinformations plats konto för synkronisering för att hämta Tillgångsinformation-Datadata och visa väntande AI-data för uppladdning.Configuration Manager grants the computer account that host the Asset Intelligence Synchronization Point account access to get Asset Intelligence proxy data and to view pending AI data for upload.

smsdbrole_AMTSPsmsdbrole_AMTSP

Out-of-band-hantering.Out of Band Management. Den här rollen används av Configuration Manager AMT-rollen för att hämta data på enheter som har stöd för Intel AMT.This role is used by Configuration Manager AMT role to retrieve data on devices that supported Intel AMT.

Anteckning

Den här rollen är föråldrad i nyare versioner av Configuration Manager.This role is deprecated in newer releases of Configuration Manager.

smsdbrole_CRPsmsdbrole_CRP

Certifikat registrerings plats som stöder Simple Certificate Enrollment Protocol (SCEP).Certificate registration point to support Simple Certificate Enrollment Protocol (SCEP). Configuration Manager beviljar behörighet till dator kontot för det plats system som stöder certifikat registrerings platsen för SCEP-stöd för certifikat signering och förnyelse.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point for SCEP support for certificate signing and renewal.

smsdbrole_CRPPfxsmsdbrole_CRPPfx

Certifikat registrerings plats PFX-stöd.Certificate Registration Point PFX support. Configuration Manager beviljar behörighet till dator kontot för plats systemet som stöder certifikat registrerings platsen som kon figurer ATS för PFX-stöd för signering och förnyelse.Configuration Manager grants permission to the computer account of the site system that supports the Certificate Registration Point configured for PFX support for signing and renewal.

smsdbrole_DMPsmsdbrole_DMP

Enhets hanterings plats.Device Management Point. Configuration Manager ger behörighet till dator konto för en hanterings plats som har alternativet "Tillåt att mobila enheter och Mac-datorer använder den här hanterings platsen", möjlighet att tillhandahålla stöd för MDM-registrerade enheter.Configuration Manager grants this permission to computer account for a Management Point that has the option, "Allow mobile devices and Mac Computer to uses this management point", the ability to provide support for MDM enrolled devices.

smsdbrole_DmpConnectorsmsdbrole_DmpConnector

Tjänst anslutnings punkt.Service Connection Point. Configuration Manager ger behörighet till det dator konto som är värd för tjänst anslutnings punkten för att hämta och tillhandahålla telemetridata, hantera moln tjänster och hämta uppdateringar av tjänsten.Configuration Manager grants this permission to the computer account that host the Service Connection Point to retrieve and provide telemetry data, manage cloud services, and retrieve service updates.

smsdbrole_DViewAccesssmsdbrole_DViewAccess

Distribuerade vyer.Distributed Views. Configuration Manager tilldelar den här behörigheten till dator kontot för de primära plats servrarna på certifikat utfärdarna när alternativet SQL Server distribuerade vyer är markerat i egenskaperna för replikeringslänken.Configuration Manager grants this permission to the computer account of the Primary Site Servers on the CAS when the SQL Server distributed views option is selected in the replication link properties.

smsdbrole_DWSSsmsdbrole_DWSS

Informations lager.Data Warehouse. Configuration Manager beviljar den här behörigheten till det dator konto som är värd för data lager rollen.Configuration Manager grants this permission to the computer account that host the Data Warehouse role.

smsdbrole_EnrollSvrsmsdbrole_EnrollSvr

Registrerings plats.Enrollment Point. Configuration Manager beviljar den här behörigheten till det dator konto som är värd för registrerings platsen för att tillåta enhets registrering via MDM.Configuration Manager grants this permission to the computer account that host the Enrollment Point to allow for device enrollment via MDM.

smsdbrole_extractsmsdbrole_extract

Ger åtkomst till alla utökade schema vyer.Provides access to all the extended schema views.

smsdbrole_HMSUsersmsdbrole_HMSUser

Tjänsten för hierarki Manager.Hierarchy Manager Service. Configuration Manager beviljar behörighet att hantera meddelanden för redundans och SQL Server Broker-transaktioner mellan platser i en hierarki.Configuration Manager grants permissions this account to manage failover state messages and SQL Server Broker transactions between sites within a hierarchy.

Anteckning

Smdbrole_WebPortal rollen är som standard medlem i den här rollen.The smdbrole_WebPortal role is a member of this role by default.

smsdbrole_MCSsmsdbrole_MCS

Multicast-tjänst.Multicast Service. Configuration Manager tilldelar den här behörigheten till dator kontot för den distributions plats som stöder multicast.Configuration Manager grants this permission to the computer account of the Distribution Point that supports multicast.

smsdbrole_MPsmsdbrole_MP

Hanterings plats.Management Point. Configuration Manager ger den här behörigheten till det dator konto som är värd för hanterings plats rollen för att ge stöd för Configuration Manager-klienter.Configuration Manager grants this permission to the computer account that host the Management Point role to provide support for the Configuration Manager clients.

smsdbrole_MPMBAMsmsdbrole_MPMBAM

Hanterings plats Microsoft BitLocker-administration och övervakning.Management Point Microsoft BitLocker Administration and Monitoring. Configuration Manager ger den här behörigheten till det dator konto som är värd för hanterings platsen som hanterar MBAM för en miljö.Configuration Manager grants this permission to the computer account that host the Management Point that manages MBAM for an environment.

smsdbrole_MPUserSvcsmsdbrole_MPUserSvc

Program förfrågan för hanterings plats.Management Point Application Request. Configuration Manager ger den här behörigheten till det dator konto som är värd för hanterings platsen som stöd för användarbaserade program begär Anden.Configuration Manager grants this permission to the computer account that host the Management Point to support user-based application requests.

smsdbrole_siteprovidersmsdbrole_siteprovider

SMS-provider.SMS Provider. Configuration Manager beviljar den här behörigheten till det dator konto som är värd för en SMS-provider.Configuration Manager grants this permission to the computer account that host a SMS Provider role.

smsdbrole_siteserversmsdbrole_siteserver

Plats Server.Site Server. Configuration Manager beviljar den här behörigheten till det dator konto som är värd för den primära platsen eller CAS-platsen.Configuration Manager grants this permission to the computer account that host the Primary or CAS Site.

smsdbrole_SUPsmsdbrole_SUP

Program uppdaterings plats.Software Update Point. Configuration Manager ger den här behörigheten till det dator konto som är värd för program uppdaterings platsen för att arbeta med uppdateringar från tredje part.Configuration Manager grants this permission to the computer account that host the Software Update Point for working with Third party updates.

smsdbrole_WebPortalsmsdbrole_WebPortal

Programkatalog webbplats punkt.Application Catalog Web Site Point. Configuration Manager beviljar behörighet till det dator konto som är värd för Programkatalog webbplats platsen för att tillhandahålla användarbaserad program distribution.Configuration Manager grants permission to the computer account that host the Application Catalog Web Site Point to provide user based application deployment.

smsschm_userssmsschm_users

Åtkomst till användar rapporter.User Reporting access. Configuration Manager beviljar åtkomst till det konto som används för repor ting Services-plats-kontot för att tillåta åtkomst till SMS-rapportvyn för att Visa Configuration Manager rapporterings data.Configuration Manager grants access to the account used for the Reporting Services point account to allow access to the SMS reporting views to display the Configuration Manager reporting data. Data begränsas ytterligare med hjälp av RBA.The data is further restricted with the use of RBA.

Utökade behörigheterElevated permissions

Configuration Manager kräver att vissa konton har utökade behörigheter för pågående åtgärder.Configuration Manager requires some accounts to have elevated permissions for on-going operations. Se till exempel krav för att installera en primär plats.For example, see Prerequisites for installing a primary site. I följande lista sammanfattas de här behörigheterna och skälen till varför de är nödvändiga.The following list summarizes these permissions and the reasons why they're needed.

  • Dator kontot för den primära plats servern och den centrala administrations plats servern kräver:The computer account of the primary site server and central administration site server requires:

    • Lokal administratörs behörighet på alla plats system servrar.Local Administrator rights on all site system servers. Den här behörigheten är att hantera, installera och ta bort system tjänster.This permission is to manage, install, and remove system services. Plats servern uppdaterar även lokala grupper på plats systemet när du lägger till eller tar bort roller.The site server also updates local groups on the site system when you add or remove roles.

    • Sysadmin-åtkomst till SQL Server-instansen för plats databasen.Sysadmin access to the SQL Server instance for the site database. Den här behörigheten är att konfigurera och hantera SQL Server för webbplatsen.This permission is to configure and manage SQL Server for the site. Configuration Manager tätt integreras med SQL är det inte bara en databas.Configuration Manager tightly integrates with SQL, it's not just a database.

  • Användar konton i rollen fullständig administratör kräver:User accounts in the Full Administrator role require:

    • Lokal administratörs behörighet på alla plats servrar.Local Administrator rights on all site servers. Den här behörigheten är att visa, redigera, ta bort och installera system tjänster, register nycklar och-värden samt WMI-objekt.This permission is to view, edit, remove, and install system services, registry keys and values, and WMI objects.

    • Sysadmin-åtkomst till SQL Server-instansen för plats databasen.Sysadmin access to the SQL Server instance for the site database. Den här behörigheten är att installera och uppdatera databasen under installationen eller återställningen.This permission is to install and update the database during setup or recovery. Det krävs också för SQL Server underhåll och åtgärder.It's also required for SQL Server maintenance and operations. Till exempel Omindexering och uppdatering av statistik.For example, reindexing and updating statistics.

      Anteckning

      Vissa organisationer kan välja att ta bort sysadmin-åtkomst och bara bevilja det när det behövs.Some organizations may choose to remove sysadmin access and only grant it when it is required. Det här beteendet kallas ibland för "just-in-Time"-åtkomst (JIT). "This behavior is sometimes referred to as "just-in-time (JIT) access." I det här fallet bör användare med rollen fullständig administratör fortfarande ha åtkomst till läsa, uppdatera och köra lagrade procedurer på Configuration Manager databasen.In this case, users with the Full Administrator role should still have access to read, update, and execute stored procedures on the Configuration Manager database. Dessa behörigheter gör att de kan felsöka de flesta problem utan fullständig sysadmin-åtkomst.These permissions allow them to troubleshoot most issues without full sysadmin access.