用於 Configuration Manager的帳戶

  • 發行項

適用於:Configuration Manager (目前的分支)

使用下列資訊來識別 Windows 群組、帳戶和 SQL Server 對象,這些對象用於 Configuration Manager、使用方式和任何需求。

Configuration Manager 建立和使用的 Windows 群組

Configuration Manager 會自動建立下列 Windows 群組,而且在許多情況下會自動維護:

注意事項

當 Configuration Manager 在屬於網域成員的計算機上建立群組時,群組是本機安全組。 如果計算機是域控制器,則群組是網域本機群組。 此類型的群組會在網域中的所有域控制器之間共用。

組態Manager_CollectedFilesAccess

Configuration Manager 使用此群組來授與檢視軟體清查所收集之檔案的存取權。

如需詳細資訊, 請參閱軟體清查簡介

CollectedFilesAccess 的類型和位置

此群組是在主要月台伺服器上建立的本機安全組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

CollectedFilesAccess 的成員資格

Configuration Manager 會自動管理群組成員資格。 成員資格包括系統管理使用者,這些使用者會從指派的安全性角色授與集合安全性實體對象的檢視收集檔案許可權。

CollectedFilesAccess 的許可權

根據預設,此群組具有月台伺服器上下列資料夾的 取權限: C:\Program Files\Microsoft Configuration Manager\sinv.box\FileCol

組態Manager_DViewAccess

此群組是本機安全組,Configuration Manager 在子主要月臺的月臺資料庫伺服器或資料庫複本伺服器上建立。 當您在階層中的月臺之間使用分散式檢視進行資料庫複寫時,月臺會建立它。 它包含管理中心網站的月臺伺服器和 SQL Server 計算機帳戶。

如需詳細資訊,請 參閱月臺之間的數據傳輸

Configuration Manager遠端控制使用者

Configuration Manager 遠端工具會使用此群組來儲存您在 [允許的檢視者] 清單中設定的帳戶和群組。 月臺會將此清單指派給每個用戶端。

如需詳細資訊, 請參閱遠端控制簡介

遠端控制使用者的類型和位置

當用戶端收到啟用遠端工具的原則時,此群組是在 Configuration Manager 用戶端上建立的本機安全組。

停用客戶端的遠端工具之後,不會自動移除此群組。 停用遠端工具之後,手動將其刪除。

遠端控制使用者的成員資格

根據預設,此群組中沒有成員。 當您將使用者新增至 [ 允許的檢視者 ] 列表時,用戶會自動新增至此群組。

使用 [ 允許的檢視者 ] 列表來管理此群組的成員資格,而不是直接將使用者或群組新增至此群組。

除了是允許的查看器,系統管理用戶還必須具有 Collection 物件的遠端控制許可權。 使用 遠端工具操作員 安全性角色指派此許可權。

遠端控制用戶的許可權

根據預設,此群組沒有存取計算機上任何位置的許可權。 它只會用來保存 [允許的檢視者 ] 清單。

SMS 系統管理員

Configuration Manager 使用此群組透過 WMI 授與 SMS 提供者的存取權。 需要存取SMS提供者,才能在Configuration Manager控制台中檢視和變更物件。

注意事項

系統管理使用者的角色型系統管理設定會決定使用 Configuration Manager 主控台時,他們可以檢視和管理哪些物件。

如需詳細資訊,請參閱 規劃 SMS 提供者

SMS 系統管理員的類型和位置

此群組是在具有SMS提供者的每部電腦上建立的本機安全組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

SMS 系統管理員的成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,階層中的每個系統管理使用者和月臺伺服器計算機帳戶都是站台中每個SMS提供者電腦上 SMS Admins 群組的成員。

SMS 管理員的許可權

您可以在 WMI 控制 件 MMC 嵌入式管理單元中檢視 SMS Admins 群組的許可權。 根據預設,此群組會在WMI 命名空間中Root\SMS授與 [啟用帳戶] 和 [遠端啟用]。 已驗證的使用者具有 執行方法提供者寫入和 啟用帳戶

當您使用遠端 Configuration Manager 主控台時,請在月臺伺服器電腦和 SMS 提供者上設定遠端啟用 DCOM 許可權。 將這些許可權授與 SMS Admins 群組。 此動作可簡化系統管理,而不是直接將這些許可權授與使用者或群組。 如需詳細資訊,請參閱設定遠端 Configuration Manager 主控台的DCOM許可權

<SMS_SiteSystemToSiteServerConnection_MP_sitecode>

從站臺伺服器遠端的管理點會使用此群組來連線到月台資料庫。 此群組提供站台伺服器和月臺資料庫上收件匣資料夾的管理點存取權。

SMS_SiteSystemToSiteServerConnection_MP的類型和位置

此群組是在具有SMS提供者的每部電腦上建立的本機安全組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

SMS_SiteSystemToSiteServerConnection_MP的成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括具有月臺管理點之遠端計算機的計算機帳戶。

SMS_SiteSystemToSiteServerConnection_MP的許可權

根據預設,此群組具有月台伺服器上下列資料夾的 [讀取]、 [讀取 & 執行] 和 [ 列出資料夾內容 ] 許可權: C:\Program Files\Microsoft Configuration Manager\inboxes。 此群組也具有下列收匣之子資料夾的入許可權,管理點會將客戶端數據寫入其中。

<SMS_SiteSystemToSiteServerConnection_SMSProv_sitecode>

遠端 SMS 提供者電腦會使用此群組來連線到站台伺服器。

SMS_SiteSystemToSiteServerConnection_SMSProv的類型和位置

此群組是在月台伺服器上建立的本機安全組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

SMS_SiteSystemToSiteServerConnection_SMSProv的成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括計算機帳戶或網域用戶帳戶。 它會使用此帳戶從每個遠端SMS提供者連線到月台伺服器。

SMS_SiteSystemToSiteServerConnection_SMSProv的許可權

根據預設,此群組具有月台伺服器上下列資料夾的 [讀取]、 [讀取 & 執行] 和 [ 列出資料夾內容 ] 許可權: C:\Program Files\Microsoft Configuration Manager\inboxes。 此群組也具有 件匣下方子資料夾的寫入和 修改 許可權。 SMS 提供者需要存取這些資料夾。

此群組也具有下列月臺伺服器上子資料夾的 取許可權 C:\Program Files\Microsoft Configuration Manager\OSD\Bin

它也具有下列子資料夾的下 C:\Program Files\Microsoft Configuration Manager\OSD\boot列權限:

  • Read
  • 讀取 & 執行
  • 列出資料夾內容
  • Write
  • 修改

<SMS_SiteSystemToSiteServerConnection_Stat_sitecode>

Configuration Manager 遠端月台系統電腦上的檔案發送管理員元件會使用此群組來連線到月台伺服器。

SMS_SiteSystemToSiteServerConnection_Stat的類型和位置

此群組是在月台伺服器上建立的本機安全組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

SMS_SiteSystemToSiteServerConnection_Stat的成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括計算機帳戶或網域用戶帳戶。 它會使用此帳戶,從執行檔案分派管理員的每個遠端月臺系統連線到月台伺服器。

SMS_SiteSystemToSiteServerConnection_Stat的許可權

根據預設,此群組具有月台伺服器上下列資料夾及其子資料夾的 取、 讀取 & 執行列出資料夾內容 許可權: C:\Program Files\Microsoft Configuration Manager\inboxes

此群組也具有月台伺服器上下列資料夾的 入和 修改 許可權: C:\Program Files\Microsoft Configuration Manager\inboxes\statmgr.box

<SMS_SiteToSiteConnection_sitecode>

Configuration Manager 使用此群組在階層中的月臺之間啟用檔案型復寫。 針對直接將檔案傳輸至此網站的每個遠端月臺,此群組會將帳戶設定為 檔案復寫帳戶

SMS_SiteToSiteConnection的類型和位置

此群組是在月台伺服器上建立的本機安全組。

SMS_SiteToSiteConnection的成員資格

當您將新月臺安裝為另一個月臺的子月臺時,Configuration Manager 會自動將新月台伺服器的計算機帳戶新增至父月臺伺服器上的這個群組。 Configuration Manager 也會將父月臺的計算機帳戶新增至新月臺伺服器上的群組。 如果您為檔案型傳輸指定另一個帳戶,請將該帳戶新增至目的地月臺伺服器上的這個群組。

當您卸載網站時,不會自動移除此群組。 卸載網站之後,手動將其刪除。

SMS_SiteToSiteConnection的許可權

根據預設,此群組具有下列資料夾的 完整控制權C:\Program Files\Microsoft Configuration Manager\inboxes\despoolr.box\receive

Configuration Manager 使用的帳戶

您可以為 Configuration Manager 設定下列帳戶。

提示

請勿針對您在 Configuration Manager % 控制台中指定的帳戶,在密碼中使用百分比字元 () 。 帳戶將無法驗證。

Active Directory 群組探索帳戶

月臺會使用 Active Directory 群組探索帳戶,從您指定 Active Directory 網域服務 中的位置探索下列物件:

  • 本機、全域和通用安全組。
  • 這些群組內的成員資格。
  • 通訊群組內的成員資格。
    • 通訊群組不會探索為群組資源。

此帳戶可以是執行探索之月臺伺服器的電腦帳戶,或是 Windows 用戶帳戶。 它必須具有您為探索指定之 Active Directory 位置的 取許可權。

如需詳細資訊,請參閱 Active Directory 群組探索

Active Directory 系統探索帳戶

月臺會使用 Active Directory 系統探索帳戶,從您指定 Active Directory 網域服務 中的位置探索電腦。

此帳戶可以是執行探索之月臺伺服器的電腦帳戶,或是 Windows 用戶帳戶。 它必須具有您為探索指定之 Active Directory 位置的 取許可權。

如需詳細資訊,請參閱 Active Directory 系統探索

Active Directory 使用者探索帳戶

月臺會使用 Active Directory 使用者探索帳戶,從您指定 Active Directory 網域服務 中的位置探索用戶帳戶。

此帳戶可以是執行探索之月臺伺服器的電腦帳戶,或是 Windows 用戶帳戶。 它必須具有您為探索指定之 Active Directory 位置的 取許可權。

如需詳細資訊,請參閱 Active Directory 使用者探索

Active Directory 樹系帳戶

月臺會使用 Active Directory 樹系帳戶 ,從 Active Directory 樹系探索網路基礎結構。 管理中心網站和主要月臺也會使用它來將月臺數據發佈至樹系的 Active Directory 網域服務。

注意事項

次要月臺一律使用次要月臺伺服器電腦帳戶發佈至 Active Directory。

若要探索併發佈至不受信任的樹系,Active Directory 樹系帳戶必須是全局帳戶。 如果您未使用月臺伺服器的計算機帳戶,則只能選取全域帳戶。

此帳戶必須具有您想要探索網路基礎結構之每個 Active Directory 樹系的 取許可權。

此帳戶必須具有系統管理容器及其在您想要發佈月台數據之每個 Active Directory 樹系中所有子物件的「完全控制」許可權。

如需詳細資訊,請 參閱準備 Active Directory 以進行網站發佈

如需詳細資訊,請參閱 Active Directory 樹系探索

憑證註冊點帳戶

警告

從2203版開始,不再支持憑證登錄點。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

憑證註冊點會使用憑證登錄點帳戶來連線到 Configuration Manager 資料庫。 它預設會使用其電腦帳戶,但您可以改為設定用戶帳戶。 當憑證登錄點位於月台伺服器的不受信任網域時,您必須指定使用者帳戶。 此帳戶只需要月臺資料庫的 取許可權,因為狀態消息系統會處理寫入工作。

如需詳細資訊, 請參閱憑證配置檔簡介

擷取OS映像帳戶

當您擷取OS映像時,Configuration Manager 使用擷取OS映像帳戶來存取您儲存所擷取映像的資料夾。 如果您將 [ 擷取 OS 映射 ] 步驟新增至工作順序,則需要此帳戶。

帳戶必須具有您儲存所擷取映像之網路共用的 取和 入許可權。

如果您在 Windows 中變更帳戶的密碼,請使用新的密碼更新工作順序。 下次下載客戶端原則時,Configuration Manager 用戶端會收到新的密碼。

如果您需要使用此帳戶,請建立一個網域用戶帳戶。 授與它存取所需網路資源的最低許可權,並將其用於所有擷取工作順序。

重要事項

請勿將互動式登入許可權指派給此帳戶。

請勿將網路存取帳戶用於此帳戶。

如需詳細資訊,請參閱 Create 工作順序來擷取 OS

用戶端推入安裝帳戶

當您使用用戶端推入安裝方法部署用戶端時,月臺會使用用戶端推入安裝帳戶來連線到計算機,並安裝 Configuration Manager客戶端軟體。 如果您未指定此帳戶,月臺伺服器會嘗試使用其電腦帳戶。

此帳戶必須是目標用戶端計算機上本機 Administrators 群組的成員。 此帳戶不需要網域 管理員許可權。

您可以指定多個用戶端推入安裝帳戶。 Configuration Manager 會依序嘗試每一個,直到其中一個成功為止。

提示

如果您有大型 Active Directory 環境,而且需要變更此帳戶,請使用下列程式以更有效率地協調此帳戶更新:

  1. Create 名稱不同的新帳戶。
  2. 將新帳戶新增至 Configuration Manager 中的用戶端推入安裝帳戶清單。
  3. 讓 Active Directory 網域服務 有足夠的時間復寫新帳戶。
  4. 然後從 Configuration Manager 中移除舊帳戶並 Active Directory 網域服務。

重要事項

使用網域或本機組策略,將拒絕本機 入的許可權指派給Windows 使用者。 身為 Administrators 群組的成員,此帳戶將有權在本機登入,這是不需要的。 為了提高安全性,請明確拒絕此帳戶的許可權。 拒絕許可權取代允許許可權。

如需詳細資訊,請 參閱用戶端推入安裝

註冊點聯機帳戶

註冊點會使用註冊點聯機帳戶來連線到 Configuration Manager 月台資料庫。 它預設會使用其電腦帳戶,但您可以改為設定用戶帳戶。 當註冊點位於站台伺服器的不受信任網域中時,您必須指定用戶帳戶。 此帳戶需要月臺資料庫的 取和 入存取權。

如需詳細資訊,請參閱安裝內部部署 MDM 的月臺系統角色

Exchange Server 連線帳戶

站臺伺服器會使用 Exchange Server 連線帳戶來連線到指定的 Exchange Server。 它會使用此連線來尋找和管理連線到 Exchange Server的行動裝置。 此帳戶需要 Exchange PowerShell Cmdlet,以提供必要的許可權給 Exchange Server 計算機。 如需 Cmdlet 的詳細資訊,請參閱 安裝和設定 Exchange 連接器

管理點連線帳戶

管理點會使用管理點連線帳戶來連線到 Configuration Manager 月台資料庫。 它會使用此連線來傳送和擷取客戶端的資訊。 管理點預設會使用其電腦帳戶,但您可以改為設定用戶帳戶。 當管理點位於站台伺服器的不受信任網域中時,您必須指定用戶帳戶。

在執行 Microsoft SQL Server 的電腦上,將帳戶 Create 為右下方本機帳戶。

重要事項

請勿將互動式登入許可權授與此帳戶。

多播連線帳戶

啟用多播的發佈點會使用 多播連線帳戶 從月臺資料庫讀取資訊。 伺服器預設會使用其電腦帳戶,但您可以改為設定用戶帳戶。 當月臺資料庫位於不受信任的樹系中時,您必須指定用戶帳戶。 例如,如果您的數據中心在月臺伺服器和月臺資料庫以外的樹系中有周邊網路,請使用此帳戶從月臺資料庫讀取多播資訊。

如果您需要此帳戶,請在執行 Microsoft SQL Server 的電腦上建立為右下角的本機帳戶。

重要事項

請勿將互動式登入許可權授與此帳戶。

如需詳細資訊,請 參閱使用多播透過網路部署 Windows

網路存取帳戶

用戶端電腦無法使用其本機計算機帳戶來存取發佈點上的內容時,會使用 網路存取帳戶 。 它大多適用於工作組用戶端和來自不受信任網域的計算機。 當安裝 OS 的電腦在網域上還沒有電腦帳戶時,也會在 OS 部署期間使用此帳戶。

重要事項

網路存取帳戶永遠不會用來作為執行程式、安裝軟體更新或執行工作順序的安全性內容。 它僅用於存取網路上的資源。

Configuration Manager 用戶端會先嘗試使用其電腦帳戶來下載內容。 如果失敗,則會自動嘗試網路存取帳戶。

如果您設定 HTTPS 或增強 HTTP 的網站,工作組或 Microsoft Entra 聯結的用戶端可以安全地從發布點存取內容,而不需要網路存取帳戶。 此行為包括操作系統部署案例,其工作順序是從開機媒體、PXE 或軟體中心執行。 如需詳細資訊,請 參閱用戶端到管理點的通訊

注意事項

如果您啟用增強式 HTTP 而不需要網路存取帳戶,則發佈點必須執行目前支援的 Windows Server 版本或 Windows 10/11。

網路存取帳戶的許可權

為此帳戶授與用戶端存取軟體所需的最小適當許可權。 帳戶必須在發佈點擁有 從網路存取這部計算機 的許可權。 每個月臺最多可以設定10個網路存取帳戶。

Create 任何網域中提供資源必要存取權的帳戶。 網路存取帳戶必須一律包含功能變數名稱。 此帳戶不支援傳遞安全性。 如果您在多個網域中有發佈點,請在信任的網域中建立帳戶。

提示

若要避免帳戶鎖定,請勿變更現有網路存取帳戶上的密碼。 相反地,請建立新的帳戶,並在 Configuration Manager 中設定新帳戶。 當所有用戶端都有足夠的時間收到新帳戶詳細數據時,請從網路共享資料夾中移除舊帳戶,並刪除帳戶。

重要事項

請勿將互動式登入許可權授與此帳戶。

請勿授與此帳戶將計算機加入網域的許可權。 如果您必須在工作順序期間將計算機加入網域,請使用 工作順序網域加入帳戶

設定網路存取帳戶

  1. 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 然後選取網站。

  2. 在功能區的 [ 設定] 群組上,選取 [ 設定月臺元件],然後選擇 [ 軟體發佈]

  3. 選擇 [ 網络存取帳戶] 索引標籤 。設定一或多個帳戶,然後選擇 [ 確定]

需要網路存取帳戶的動作

下列動作仍然需要網路存取帳戶, (包括 eHTTP & PKI 案例) :

  • 組播。 如需詳細資訊,請 參閱使用多播透過網路部署 Windows

  • 工作順序部署選項,可在執行中 的工作順序需要時,直接從發佈點存取內容。 如需詳細資訊,請 參閱工作順序部署選項

  • 要求狀態存放區 工作順序步驟。 如果工作順序無法使用裝置的計算機帳戶與狀態移轉點通訊,則會回復為使用網路存取帳戶。 如需詳細資訊,請 參閱要求狀態存放區

  • 將OS映像 工作順序步驟選項套用至 直接從發佈點存取內容。 此選項主要適用於磁碟空間不足的 Windows Embedded 案例,其中將內容快取至本機磁碟的成本很高。 如需詳細資訊,請參 閱直接從發佈點存取內容

  • [工作順序屬性] 設定為 [先執行另一個程式]。 此設定會在工作順序開始之前,從網路共用執行套件和程式。 如需詳細資訊,請 參閱工作順序屬性:進階索引標籤

  • 在不受信任的網域和跨樹系案例中管理客戶端可允許多個網路存取帳戶。

套件存取帳戶

套件存取帳戶可讓您設定NTFS許可權,以指定可存取發佈點上套件內容的使用者和使用者群組。 根據預設,Configuration Manager 只授與用戶系統管理員一般存取帳戶的存取權。 您可以使用其他 Windows 帳戶或群組來控制對用戶端電腦的存取。 行動裝置一律會以匿名方式擷取套件內容,因此不會使用套件存取帳戶。

根據預設,當 Configuration Manager 將內容檔案複製到發佈點時,它會將本機使用者群組的取許可權和完全控制權授與本機 Administrators 群組。 需要的實際許可權取決於套件。 如果您在工作組或不受信任的樹系中有客戶端,這些用戶端會使用網路存取帳戶來存取套件內容。 使用定義的套件存取帳戶,確定網路存取帳戶具有封裝的許可權。

使用網域中可存取發佈點的帳戶。 如果您在建立套件之後建立或修改帳戶,則必須重新發佈套件。 更新套件不會變更套件的NTFS許可權。

您不需要將網路存取帳戶新增為套件存取帳戶,因為 Users 群組中的成員資格會自動新增它。 將套件存取帳戶限制為僅限網路存取帳戶,並不會防止用戶端存取套件。

管理套件存取帳戶

  1. 在 Configuration Manager 控制台中,移至 [軟體連結庫] 工作區。

  2. 在 [ 軟體連結庫 ] 工作區中,判斷您要管理存取帳戶的內容類型,並遵循提供的步驟:

    • 應用程式:展開 [ 應用程式管理],選擇 [ 應用程式],然後選取要管理其存取帳戶的應用程式。

    • 套件:展開 [應用程式管理],選擇 [ 套件],然後選取要管理其存取帳戶的套件。

    • 軟體更新部署套件:展開 [軟體 匯報],選擇 [部署套件],然後選取要管理其存取帳戶的部署套件。

    • 驅動程式套件:展開 [操作系統],選擇 [ 驅動程式套件],然後選取要管理其存取帳戶的驅動程式套件。

    • 操作系統映像:展開 [操作系統],選擇 [ 操作系統映射],然後選取要管理其存取帳戶的操作系統映像。

    • 操作系統升級套件:展開 [操作系統],選擇 [ 操作系統升級套件],然後選取要管理其存取帳戶的 OS 升級套件。

    • 開機映射:展開 [操作系統],選擇 [ 開機映射],然後選取要管理其存取帳戶的開機映射。

  3. 以滑鼠右鍵按下選取的物件,然後選擇 [管理存取帳戶]

  4. 在 [ 新增帳戶] 對話框中,指定將授與內容存取權的帳戶類型,然後指定與帳戶相關聯的訪問許可權。

    注意事項

    當您新增帳戶的用戶名稱,且 Configuration Manager 找到具有該名稱的本機用戶帳戶和網域用戶帳戶時,Configuration Manager 設定網域使用者帳戶的訪問許可權。

Reporting Services 點帳戶

SQL Server Reporting Services 使用 Reporting Services 點帳戶從月台資料庫擷取 Configuration Manager 報表的數據。 您指定的 Windows 使用者帳戶和密碼會加密並儲存在 SQL Server Reporting Services 資料庫中。

注意事項

您指定的帳戶在裝載 SQL Server Reporting Services 資料庫的電腦上,必須具有本機登入許可權。

系統會將帳戶新增至 Configuration Manager 資料庫上的 smsschm_users SQL Server 資料庫角色,自動授與所有必要的許可權。

如需詳細資訊, 請參閱報告簡介

遠端工具允許的查看器帳戶

您指定為[允許遠端控制的 檢視者 ] 的帳戶是允許在用戶端上使用遠端工具功能的使用者清單。

如需詳細資訊, 請參閱遠端控制簡介

月臺安裝帳戶

使用網域用戶帳戶登入您執行 Configuration Manager 安裝程式並安裝新月臺的伺服器。

此帳戶需要下列權限:

  • 下列伺服器上的系統管理員

    • 月臺伺服器
    • 裝載月臺資料庫的每部伺服器
    • 月臺的每個SMS提供者實例

  • 裝載月台資料庫之 SQL Server 實例上的 Sysadmin

Configuration Manager 安裝程式會自動將此帳戶新增至SMS Admins群組。

安裝之後,此帳戶是唯一具有 Configuration Manager 控制台許可權的帳戶。 如果您需要移除此帳戶,請務必先將其許可權新增至另一個使用者。

擴充獨立網站以包含管理中心網站時,此帳戶需要獨立主要月臺的系統管理員或基礎結構系統管理員角色型系統管理員許可權。

月臺系統安裝帳戶

月臺伺服器會使用 月台系統安裝帳戶 來安裝、重新安裝、卸載及設定月台系統。 如果您將月臺系統設定為要求月臺伺服器起始與此月台系統的連線,Configuration Manager 也會在安裝月臺系統和任何角色之後,使用此帳戶從站臺系統提取數據。 每個月台系統可以有不同的安裝帳戶,但您只能設定一個安裝帳戶來管理該月臺系統上的所有角色。

此帳戶需要目標月台系統上的本機系統管理許可權。 此外,在目標站台系統的安全策略中,此帳戶必須具有 從網路存取這部計算機 的許可權。

重要事項

如果您要在遠端網域或樹系中指定帳戶,請務必在用戶名稱之前指定網域 FQDN,而不只是網域 NetBIOS 名稱。 例如,指定 Corp.Contoso.com\UserName,而不只是 Corp\UserName。 這可讓 Configuration Manager 在帳戶用來向遠端月臺系統進行驗證時使用 Kerberos。 使用 FQDN 通常會修正 Windows 每月更新中最近針對 NTLM 進行強化變更所造成的驗證失敗。

提示

如果您有許多域控制器,而且這些帳戶會跨網域使用,請在設定月台系統之前,檢查 Active Directory 是否已復寫這些帳戶。

當您在每個要管理的月台系統上指定本機帳戶時,此設定會比使用網域帳戶更安全。 它會限制攻擊者在帳戶遭到入侵時可能造成的損害。 不過,網域帳戶更容易管理。 請考慮安全性與有效管理之間的取捨。

月台系統 Proxy 伺服器帳戶

下列月台系統角色會使用 月台系統 Proxy 伺服器帳戶 ,透過需要驗證存取權的 Proxy 伺服器或防火牆來存取因特網:

  • Asset Intelligence 同步處理點
  • Exchange Server 連接器
  • 服務連接點
  • 軟體更新點

重要事項

指定對必要 Proxy 伺服器或防火牆具有最低可能許可權的帳戶。

如需詳細資訊,請參閱 Proxy 伺服器支援

SMTP 伺服器連線帳戶

當 SMTP 伺服器需要經過驗證的存取權時,月台伺服器會使用 SMTP 伺服器連線帳戶 來傳送電子郵件警示。

重要事項

指定具有最小可能傳送電子郵件許可權的帳戶。

如需詳細資訊, 請參閱設定警示

軟體更新點連線帳戶

月臺伺服器會針對下列兩個 軟體更新服務使用軟體更新點連線帳戶

  • Windows Server Update Services (WSUS) ,其會設定產品定義、分類和上游設定等設定。

  • WSUS 同步處理管理員,其要求同步處理至上游 WSUS 伺服器或 Microsoft Update。

月臺系統安裝帳戶可以安裝軟體更新的元件,但無法在軟體更新點上執行軟體更新特定功能。 如果您因為軟體更新點位於不受信任的樹系中而無法使用月臺伺服器電腦帳戶來執行這項功能,您必須指定此帳戶以及站台系統安裝帳戶。

此帳戶必須是您安裝 WSUS 之電腦上的本機系統管理員。 它也必須是本機 WSUS 系統管理員 群組的一部分。

如需詳細資訊,請 參閱規劃軟體更新

來源月台帳戶

移轉程式會使用 來源月台帳戶 來存取來源月臺的SMS提供者。 此帳戶需要來源站臺上月台對象的 取許可權,才能收集移轉作業的數據。

如果您有 Configuration Manager 2007 發佈點或具有共置發佈點的次要月臺,當您將發佈點升級至最新分支 Configuration Manager () 發佈點時,此帳戶也必須具有 Site 類別的 Delete 許可權。 此許可權是在升級期間成功從 Configuration Manager 2007 月臺移除發佈點。

注意事項

來源月台帳戶和來源月臺資料庫帳戶都會在 Configuration Manager 控制台中 [系統管理] 工作區的 [帳戶] 節點中識別為 [轉管理員]。

如需詳細資訊,請 參閱在階層之間移轉數據

來源月臺資料庫帳戶

移轉程式會使用來源月臺資料庫帳戶來存取來源月臺的 SQL Server 資料庫。 若要從來源月臺的 SQL Server 資料庫收集數據,來源月臺資料庫帳戶必須具有來源月臺 SQL Server 資料庫的取和執行許可權。

如果您使用 Configuration Manager (最新分支) 電腦帳戶,請確定此帳戶適用下列所有專案:

  • 它是與 Configuration Manager 2012 網站位於相同網域中的分散式 COM 使用者安全組成員。
  • 它是 SMS Admins 安全組的成員。
  • 它具有所有 Configuration Manager 2012 對象的取許可權。

注意事項

來源月台帳戶和來源月臺資料庫帳戶都會在 Configuration Manager 控制台中 [系統管理] 工作區的 [帳戶] 節點中識別為 [轉管理員]。

如需詳細資訊,請 參閱在階層之間移轉數據

工作順序網域加入帳戶

Windows 安裝程式會使用 工作順序網域加入帳戶 ,將新映射的電腦加入網域。 使用 [加入網] 選項的 [加入網域] 或 [工作組] 工作順序步驟需要此帳戶。 此帳戶也可以使用 [ 套用網络設定 ] 步驟來設定,但並非必要。

此帳戶需要目標 網域中的網域加入 許可權。

提示

Create 一個具有最低許可權的網域用戶帳戶加入網域,並將其用於所有工作順序。

重要事項

請勿將互動式登入許可權指派給此帳戶。

請勿將網路存取帳戶用於此帳戶。

工作順序網路資料夾連線帳戶

工作順序引擎會使用 工作順序網路資料夾連線帳戶 來連線到網路上的共享資料夾。 聯機 到網路資料夾 工作順序步驟需要此帳戶。

此帳戶需要存取指定共享資料夾的許可權。 它必須是網域用戶帳戶。

提示

Create 一個具有最低許可權的網域用戶帳戶存取所需的網路資源,並將其用於所有工作順序。

重要事項

請勿將互動式登入許可權指派給此帳戶。

請勿將網路存取帳戶用於此帳戶。

工作順序以帳戶身分執行

工作順序引擎會使用 工作順序執行身分帳戶 來執行命令行,或使用本機系統帳戶以外的認證執行 PowerShell 腳本。 執行 命令行 和執行 PowerShell 腳本 工作順序步驟需要此帳戶,並選擇以下 列帳戶執行此步驟 選項。

將帳戶設定為具有執行您在工作順序中指定之命令行所需的最低許可權。 帳戶需要互動式登入許可權。 通常需要能夠安裝軟體和存取網路資源。 針對執行 PowerShell 腳本工作,此帳戶需要本機系統管理員許可權。

重要事項

請勿將網路存取帳戶用於此帳戶。

永遠不要將帳戶設為網域系統管理員。

永遠不要為此帳戶設定漫遊配置檔。 當工作順序執行時,它會下載帳戶的漫遊配置檔。 這會讓配置檔容易在本機計算機上存取。

限制帳戶的範圍。 例如,建立不同的工作順序,以每個工作順序的帳戶身分執行。 然後,如果一個帳戶遭到入侵,則只有該帳戶具有存取權的用戶端計算機會遭到入侵。

如果命令行需要計算機上的系統管理存取權,請考慮在執行工作順序的所有計算機上,單獨為此帳戶建立本機系統管理員帳戶。 當您不再需要帳戶時,請將其刪除。

Configuration Manager 在 SQL Server 中使用的用戶物件

Configuration Manager 會在 SQL 中自動建立及維護下列用戶物件。 這些物件位於 [安全性/使用者] 下 Configuration Manager 資料庫內。

重要事項

修改或移除這些物件可能會在 Configuration Manager 環境中造成嚴重的問題。 建議您不要對這些物件進行任何變更。

smsdbuser_ReadOnly

這個對像是用來在唯讀內容下執行查詢。 這個物件會與數個預存程式搭配使用。

smsdbuser_ReadWrite

此物件可用來提供動態 SQL 語句的許可權。

smsdbuser_ReportSchema

這個對像是用來執行 SQL Server報表執行。 下列預存程式與此函式搭配使用: spSRExecQuery

#DA1A815C609A2409FAB404282AA3DA526 在 SQL 中使用的資料庫角色

Configuration Manager 會在 SQL 中自動建立及維護下列角色物件。 這些角色提供特定預存程式、數據表、檢視和函式的存取權。 這些角色會取得數據或將數據新增至 Configuration Manager 資料庫。 這些物件位於 [安全性/角色/資料庫角色] 下 Configuration Manager 資料庫內。

重要事項

修改或移除這些物件可能會在 Configuration Manager 環境中造成嚴重的問題。 請勿變更這些物件。 下列清單僅供資訊之用。

smsdbrole_AITool

Configuration Manager 根據角色型存取權將此許可權授與系統管理用戶帳戶,以匯入 Asset Intelligence 的大量授權資訊。 此帳戶可由系統高許可權管理員、作業管理員或資產管理員角色,或具有「管理 Asset Intelligence」許可權的任何角色新增。

smsdbrole_AIUS

Configuration Manager 授與裝載 Asset Intelligence 同步處理點帳戶存取權的電腦帳戶,以取得 Asset Intelligence Proxy 數據,以及檢視擱置中的 AI 數據以進行上傳。

smsdbrole_CRP

Configuration Manager 會將許可權授與支援簡單憑證註冊通訊協定憑證註冊點之月臺系統的計算機帳戶, (SCEP) 支援憑證簽署和更新。

smsdbrole_CRPPfx

Configuration Manager 會將許可權授與月臺系統的計算機帳戶,該月台系統支援針對簽署和更新所設定的 PFX 支援所設定的憑證註冊點。

smsdbrole_DMP

Configuration Manager 將此許可權授與管理點的計算機帳戶,該管理點具有 [允許行動裝置和 Mac 計算機使用此管理點] 選項,也就是提供 MDM 註冊裝置支援的能力。

smsdbrole_DmpConnector

Configuration Manager 將此許可權授與裝載服務連接點的計算機帳戶,以擷取和提供診斷數據、管理雲端服務,以及擷取服務更新。

smsdbrole_DViewAccess

Configuration Manager 在復寫連結屬性中選取 [SQL Server 分散式檢視] 選項時,將此許可權授與 CAS 上主要月臺伺服器的電腦帳戶。

smsdbrole_DWSS

Configuration Manager 將此許可權授與裝載數據倉儲角色的計算機帳戶。

smsdbrole_EnrollSvr

Configuration Manager 將此許可權授與裝載註冊點的計算機帳戶,以允許透過 MDM 進行裝置註冊。

smsdbrole_extract

提供所有延伸架構檢視的存取權。

smsdbrole_HMSUser

針對階層管理員服務。 Configuration Manager 授與此帳戶管理故障轉移狀態消息的許可權,以及 SQL Server 階層內月臺之間的 Broker 交易。

注意事項

根據預設,smdbrole_WebPortal角色是這個角色的成員。

smsdbrole_MCS

Configuration Manager 將此許可權授與支援多播之發佈點的計算機帳戶。

smsdbrole_MP

Configuration Manager 將此許可權授與裝載管理點角色的計算機帳戶,以提供 Configuration Manager 客戶端的支援。

smsdbrole_MPMBAM

Configuration Manager 將此許可權授與裝載管理環境 BitLocker 之管理點的電腦帳戶。

smsdbrole_MPUserSvc

Configuration Manager 將此許可權授與裝載管理點的電腦帳戶,以支援以用戶為基礎的應用程式要求。

smsdbrole_siteprovider

Configuration Manager 將此許可權授與裝載 SMS 提供者角色的電腦帳戶。

smsdbrole_siteserver

Configuration Manager 將此許可權授與主控主要月臺或 CAS 的電腦帳戶。

smsdbrole_SUP

Configuration Manager 將此許可權授與裝載軟體更新點以使用第三方更新的計算機帳戶。

smsschm_users

Configuration Manager 授與用於 Reporting Services 點帳戶之帳戶的存取權,以允許存取 SMS 報告檢視以顯示 Configuration Manager 報告數據。 使用角色型存取可進一步限制數據。

提高的許可權

Configuration Manager 需要某些帳戶具備持續作業的更高許可權。 例如,請參閱 安裝主要月臺的必要條件。 下列清單摘要說明這些許可權,以及需要這些許可權的原因。

  • 主要站臺伺服器和管理中心月臺伺服器的電腦帳戶需要:

    • 所有站台系統伺服器上的本機系統管理員許可權。 此許可權是管理、安裝和移除系統服務。 當您新增或移除角色時,月臺伺服器也會更新月臺系統上的本機群組。

    • 月臺資料庫 SQL Server 實例的系統管理員存取權。 此許可權是用來設定和管理網站的 SQL Server。 Configuration Manager 與 SQL 緊密整合,它不只是資料庫。

  • 具有系統高許可權管理員角色的用戶帳戶需要:

    • 所有站台伺服器上的本機系統管理員許可權。 此許可權是檢視、編輯、移除和安裝系統服務、登錄機碼和值,以及 WMI 物件。

    • 月臺資料庫 SQL Server 實例的系統管理員存取權。 此許可權是在安裝或復原期間安裝和更新資料庫。 維護和作業也需要 SQL Server。 例如,重新編製索引和更新統計數據。

      注意事項

      有些組織可能會選擇移除系統管理員存取權,並且只在需要時才授與它。 此行為有時稱為「Just-In-Time (JIT) 存取」。在此情況下,具有系統高許可權管理員角色的使用者仍應具有讀取、更新及執行 Configuration Manager 資料庫預存程式的存取權。 這些許可權可讓他們在沒有完整系統管理員存取權的情況下,針對大部分問題進行疑難解答。