Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Apéndice C: cuentas, grupos y contraseñas de SMS - Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Apéndice C: cuentas, grupos y contraseñas de SMS

Publicado: enero 9, 4

Para reforzar la seguridad, Systems Management Server (SMS) puede utilizar varias cuentas para funciones de sitio y cliente diferentes. Gracias a estas cuentas es posible evitar la concesión de acceso administrativo al dominio a toda la red. Mediante la asignación de los permisos y derechos mínimos requeridos, puede reducirse el riesgo para todos los procesos SMS, incluso en caso de ataque contra una sola cuenta.

Tabla C.1    Cuentas de usuario SMS

Categoría de cuenta

Nombre descriptivo

Nombre de interfaz

Cliente y servidor común

LocalSystem

N/A

Seguridad avanzada

Equipo

nombreequipo$

nombreequiposervidorsitio$

nombreequiposistemasitio$

Seguridad estándar

Servicio SMS

Elección del administrador

Seguridad estándar

Conexión de servidor SMS

SMSServer_códigositio (puede variar)

Seguridad estándar

Conexión de sistema del sitio

Elección del administrador

Seguridad estándar

Servicio remoto

SMSSvc_códigositio_xxxx

Seguridad estándar

Base de datos de sistemas del sitio

SMS_SQL_RX_códigositio  (puede variar)

Servidor común

Instalación de software cliente

Elección del administrador

Servidor común

Dirección del sitio

Elección del administrador

Base de datos común

Base de datos del sitio

Elección del administrador

Base de datos común

Función de aplicación de informe Web

webreport_approle

Base de datos común

Usuarios de esquema de SMS

smsschm_users

Cliente avanzado

Acceso a red de cliente avanzado

Elección del administrador

Cliente heredado

Cargador de inicio CCM (DC)

SMS#_dc

Cliente heredado

Cargador de inicio CCM (no DC)

SMSCCMBootAcct&

Cliente heredado

Servicios de cliente (DC)

SMS&_dc

Cliente heredado

Servicios de cliente (no DC)

SMSCliSvcAcct&

Cliente heredado

Token de usuario de cliente (DC)

SMSCliToknAcct&

Cliente heredado

Token de usuario de cliente (no DC)

SMSCliToknLocalAcct&

Cliente heredado

Conexión de cliente

SMSClient_códigositio

Cliente heredado

Instalación de software de cliente heredado

Elección del administrador

Tabla C.2    Grupos de SMS

Nombre de cuenta

Nombre de grupo

Tipo y ubicación de grupo

Administradores de SMS

SMS Admins

Grupo local en el servidor del sitio SMS y en el equipo remoto del proveedor de SMS, si se utiliza

Conexión de sistema del sitio al servidor del sitio

SMS_SiteSystemToSiteServerConnection_códigositio

Grupo local en el servidor del sitio SMS

Conexión de sitio a sitio

SMS_SiteToSiteConnection_códigositio

Grupo local en el servidor del sitio SMS

Conexión de sistema del sitio a SQL Server

SMS_SiteSystemToSQLConnection_códigositio

Grupo local en Microsoft SQL Server™

Usuarios de informes

Usuarios de informes SMS

Grupo local en punto de informe

Grupo de clientes internos

SMSInternalCliGrp

 

En esta página

Cuenta de cliente y servidor común Cuenta de cliente y servidor común
Cuenta de seguridad avanzada Cuenta de seguridad avanzada
Cuentas de seguridad estándar Cuentas de seguridad estándar
Cuentas de servidor común Cuentas de servidor común
Cuentas de base de datos común Cuentas de base de datos común
Cuenta de cliente avanzado Cuenta de cliente avanzado
Cuentas de cliente heredado Cuentas de cliente heredado
Grupos Grupos
Administración de cuentas a través de la configuración del sitio Administración de cuentas a través de la configuración del sitio
Restablecimiento de cuentas mediante el restablecimiento del sitio Restablecimiento de cuentas mediante el restablecimiento del sitio

Cuenta de cliente y servidor común

Hay una cuenta que SMS utiliza tanto para operaciones de cliente como de servidor. LocalSystem se usa para seguridad avanzada y funciones de cliente avanzado.

LocalSystem

La cuenta LocalSystem constituye el principio de seguridad que representa al sistema operativo.

Tabla C.3   Funciones de LocalSystem

Función

Permisos y derechos necesarios

Notas

Proporciona el contexto de seguridad que el servicio de ejecución SMS establece en el servidor del sitio (seguridad avanzada).

De forma intrínseca, esta cuenta dispone de todos los permisos y derechos necesarios sobre el equipo local.

Con seguridad estándar se usa la cuenta de servicio SMS.

Crea archivos, servicios y directorios en el servidor del sitio (seguridad avanzada).

De forma intrínseca, esta cuenta dispone de todos los permisos y derechos necesarios sobre el equipo local.

Con seguridad estándar se usa la cuenta de servicio SMS.

Crea archivos, servicios y directorios en los sistemas del sitio (seguridad avanzada).

De forma intrínseca, esta cuenta dispone de todos los permisos y derechos necesarios sobre el equipo local.

Con seguridad estándar se usa la cuenta de conexión de sistema del sitio, si existe. Si no existe, se usa la cuenta de servicio SMS. Si el sistema del sitio es remoto, agregue la cuenta nombreequipo_servidorsitio$ al grupo de conexión de sistema del sitio al servidor del sitio.

Ejecuta los servicios de cliente avanzado.

De forma intrínseca, esta cuenta dispone de todos los permisos y derechos necesarios sobre el equipo local.

El cliente heredado utiliza varias cuentas en lugar de la cuenta LocalSystem.

Cuenta de seguridad avanzada

Los servidores SMS deben establecer el contacto con recursos (carpetas compartidas o conexiones WMI) en otros equipos para realizar transferencias de datos en un mismo sitio o entre sitios, o para administrar clientes. La figura C.1 ilustra las conexiones y muestra el uso de las cuentas de servicios. Los números sobre las flechas y los servicios corresponden a los números en la lista de cuentas.

Figura C.1   Conectividad de servidor de seguridad avanzada SMS

Con seguridad avanzada, los servicios SMS en el servidor y los sistemas del sitio se ejecutan bajo el contexto de la cuenta LocalSystem y cualquier acción que requiera conectividad de red puede utilizar la cuenta nombreequipo$ o una cuenta alternativa designada, tal como se indica en las tablas C.4 y C.5.

Equipo (nombreequipo$)

Tabla C.4   Funciones de nombreequiposervidorsitio$

Función

Permisos y derechos necesarios

Notas

Accede a SQL Server, en caso de que se acceda a SQL Server mediante la autenticación de Windows.

Administrador local sobre SQL Server si SQL Server es remoto; de lo contrario, es automáticamente administrador en el servidor del sitio.

Si se usa la autenticación de SQL Server, SMS utiliza en su lugar una cuenta de base de datos del sitio específica.

Accede a contenedores de Active Directory durante los tipos de descubrimiento siguientes:

  • Descubrimiento de grupo de sistema de Active Directory

  • Descubrimiento de sistema de Active Directory

  • Descubrimiento de usuario de Active Directory

Acceso de lectura a los contenedores que se especifiquen para descubrimiento. Cuando se utiliza la cuenta de equipo en dominios ajenos a los que ubican el servidor del sitio, la cuenta debe disponer de derechos de usuario sobre ellos.

Como mínimo, la cuenta debe ser miembro del grupo de usuarios de dominio o del grupo de usuarios local en los dominios.

En la seguridad avanzada no hay cuentas alternativas.

Accede a controladores de dominio durante los tipos de descubrimiento siguientes:

  • Descubrimiento de cuenta de usuario de Windows

  • Descubrimiento de grupo de usuarios de Windows

Derechos administrativos sobre el dominio

En la seguridad avanzada no hay cuentas alternativas.

Crea el contenedor de administración del sistema en Active Directory.

Si concede a la cuenta nombreequipo$ el control total del contenedor del sistema y todos los objetos secundarios, podrá crear automáticamente el contenedor de administración del sistema bajo el contenedor del sistema.

En consonancia con el principio de privilegios mínimos, cree manualmente el contenedor de administración del sistema bajo el contenedor del sistema, en lugar de dejar que lo haga SMS. A continuación, conceda a la cuenta de equipo de servidor del sitio derechos completos sobre el contenedor de administración del sistema y todos los objetos secundarios.

Llena el contenedor de administración del sistema en Active Directory.

Control total sobre el contenedor de administración del sistema y todos los objetos secundarios

En la seguridad avanzada no hay cuentas alternativas.

Accede a los archivos de origen durante la creación de paquetes para la distribución de software.

Permisos de lectura y de enumeración del contenido de carpeta sobre todos los directorios y archivos de origen

En la seguridad avanzada no hay cuentas alternativas.

Se comunica con sitios principales y secundarios.

Permisos de lectura, escritura, ejecución y eliminación sobre la carpeta SMS\Inboxes\Despoolr.box\Receive ubicada en el servidor del sitio de destino

Agregue la cuenta de dirección del sitio al grupo de conexión de sitio a sitio en el servidor del sitio de destino, que dispone de los permisos adecuados en la carpeta compartida SMS_Site.

Puede crear y usar una cuenta de dirección del sitio pero, en adelante, tendrá que mantener la cuenta y la contraseña.

Instala sitios secundarios cuando la creación de sitios se inicia desde la consola de administración de SMS.

Derechos de administrador local en el servidor del sitio secundario

Si el programa de configuración de SMS se ejecuta en el servidor del sitio secundario, esta cuenta no necesita derechos de administrador local en dicho servidor.

En la seguridad avanzada, los sistemas del sitio utilizan sus cuentas de equipo en lugar de cuentas de usuario.

Tabla C.5   Funciones y permisos de nombreequiposistemasitio$ y alternativas a esta cuenta

Función

Permisos y derechos necesarios

Notas

Proporciona acceso a la base de datos del sitio SMS (cuando se usa la autenticación de Windows) para:

  • Puntos de administración

  • Puntos de informe

  • Puntos de localización de servidor

Pertenencia al grupo de conexión de sistema del sitio a SQL Server en el equipo que ejecuta SQL Server

En la seguridad avanzada no hay cuentas alternativas.

Si la cuenta de equipo de servidor del sitio tiene derechos administrativos sobre el equipo que ejecuta SQL Server, agregará nombreequiposistemasitio$ automáticamente al grupo de conexión de sistema del sitio a SQL Server.

Al contrario que las cuentas de equipo de servidor del sitio secundario, las cuentas de equipo del sitio primario deben pertenecer al grupo de administradores local en el equipo que ejecuta SQL Server. La concesión de derechos administrativos al servidor del sitio secundario simplifica la administración pero va en contra del principio de privilegios mínimos. Antes de instalar el sistema del sitio, debería agregar manualmente la cuenta nombreequiposistemasitio$ al grupo de conexión de sistema del sitio a SQL Server.

Creación y contraseña

La cuenta se crea cuando el equipo se une al dominio. El nombre de cada cuenta de equipo en el dominio acaba con $.

Ubicación de la cuenta

La cuenta se crea en el dominio al que pertenece el equipo.

Mantenimiento de la cuenta

El sistema operativo mantiene su propia cuenta y contraseña. Sin embargo, en ocasiones, la contraseña de la cuenta de equipo puede perder la sincronización con el controlador de dominio y tendrá que restablecerse el canal de comunicación segura entre el equipo miembro y el controlador de dominio. Si desea más información sobre el restablecimiento de cuentas de equipo para Microsoft Windows® 2000, Microsoft Windows XP y Windows 2003, consulte el artículo 216393 de Microsoft Knowledge Base. Para dominios de Microsoft Windows NT® 4.0, vea el artículo 156684 de Microsoft Knowledge Base.

Prácticas recomendadas de seguridad

En SMS no es necesario agregar cuentas de equipo al grupo de administradores de dominio. Cuando una cuenta de equipo requiera derechos administrativos (por ejemplo, en un servidor del sitio remoto), agregue la cuenta al grupo local apropiado.

Si desea consultar el procedimiento, consulte la sección Inclusión en grupos de las cuentas de equipo, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Cuentas de seguridad estándar

Los servidores SMS deben establecer el contacto con recursos (carpetas compartidas o conexiones WMI) en otros equipos para realizar transferencias de datos en un mismo sitio o entre sitios, o para administrar clientes. La figura C.2 ilustra las conexiones y muestra el uso de las cuentas de servicios. Los números sobre las flechas y los servicios corresponden a los números en la lista de cuentas.

Figura C.2   Conectividad de servidor de seguridad estándar SMS

Las cuentas siguientes se requieren solamente en la seguridad estándar. Pueden eliminarse si se lleva a cabo la migración a seguridad avanzada.

Servicio SMS

Tabla C.6   Funciones de la cuenta de servicio SMS

Función

Permisos y derechos necesarios

Notas

Proporciona el contexto de seguridad que el servicio de ejecución SMS establece en el servidor del sitio.

Inicie la sesión como servicio en el servidor del sitio SMS.

En la seguridad estándar no hay cuentas alternativas.

Crea archivos, servicios y directorios en el servidor del sitio.

Administrador local en el servidor del sitio SMS

En la seguridad estándar no hay cuentas alternativas.

Crea archivos, servicios y directorios en los sistemas del sitio.

Administrador local en los sistemas del sitio SMS

SMS puede usar la cuenta de conexión de sistema del sitio, que es más segura.

Accede a SQL Server, en caso de que se acceda a SQL Server mediante la autenticación de Windows.

Administrador local en SQL Server

Si se usa la autenticación de SQL Server, SMS utiliza en su lugar una cuenta de base de datos del sitio específica.

Accede a contenedores de Active Directory durante los tipos de descubrimiento siguientes:

  • Descubrimiento de grupo de sistema de Active Directory

  • Descubrimiento de sistema de Active Directory

  • Descubrimiento de usuario de Active Directory

Acceso de lectura a los contenedores que se especifiquen para descubrimiento.

Cuando se utiliza la cuenta de servicio SMS en dominios ajenos a los que ubican el servidor del sitio, la cuenta debe disponer de derechos de usuario sobre ellos. Como mínimo, la cuenta debe ser miembro del grupo de usuarios de dominio o del grupo de usuarios local en los dominios.

En la seguridad estándar no hay cuentas alternativas.

Accede a controladores de dominio durante los tipos de descubrimiento siguientes:

  • Descubrimiento de cuenta de usuario de Windows

  • Descubrimiento de grupo de usuarios de Windows

Derechos administrativos sobre el dominio

En la seguridad estándar no hay cuentas alternativas.

Crea el contenedor de administración del sistema en Active Directory.

Si concede a la cuenta de servicio SMS el control total del contenedor del sistema y todos los objetos secundarios, podrá crear automáticamente el contenedor de administración del sistema bajo el contenedor del sistema.

En consonancia con el principio de privilegios mínimos, cree manualmente el contenedor de administración del sistema bajo el contenedor del sistema, en lugar de dejar que lo haga SMS.

Llena el contenedor de administración del sistema en Active Directory.

Control total sobre el contenedor de administración del sistema y todos los objetos secundarios

En la seguridad estándar no hay cuentas alternativas.

Accede a los archivos de origen durante la creación de paquetes para la distribución de software.

Permisos de lectura y de enumeración del contenido de carpeta sobre todos los directorios y archivos de origen

En la seguridad estándar no hay cuentas alternativas.

Instala sitios secundarios cuando la creación de sitios se inicia desde la consola de administración de SMS.

Derechos de administrador local en el servidor del sitio secundario

En la seguridad estándar no hay cuentas alternativas.

En caso de no haber una cuenta válida de instalación de software cliente, instala clientes mediante la instalación de software cliente.

Derechos administrativos locales sobre el equipo cliente de destino.

Primero se recurre a cuentas de instalación de software cliente existentes.

Creación de cuenta y contraseña

El administrador puede dar a la cuenta cualquier nombre de cuenta válido. Sin embargo, para aumentar el nivel de seguridad, no utilice el nombre predeterminado SMSService, pues ésta será la primera cuenta a la que se dirigirán los posibles atacantes. Además, SMSAdmin se ha utilizado en materiales de formación de SMS y no debe considerarse un nombre seguro.

La contraseña y la cuenta de servicio SMS pueden crearse de forma automática durante la instalación de SMS o manualmente antes de ejecutar el programa de configuración.

Automática   El administrador especifica el nombre de la cuenta durante la instalación. SMS intenta crear la cuenta y asignarle los derechos y permisos necesarios. Si el usuario que ejecuta el programa de instalación de SMS no cuenta con los permisos necesarios para crear usuarios en el contenedor de usuarios del dominio, la cuenta de servicio SMS debería crearse manualmente antes de llevar a cabo la configuración. El programa de configuración de SMS intentará siempre crear la cuenta en el contenedor de usuarios pero si la creación se realiza antes de la instalación, podrá crearla en cualquier unidad organizativa cualquiera que tenga permisos para crear usuarios.

Adicionalmente, si SQL Server no se encuentra en el equipo de servidor del sitio SMS, un usuario con los derechos suficientes debería agregar manualmente la cuenta de servicio SMS al grupo de administradores local en el equipo que ejecuta SQL Server antes de la configuración de SMS.

Manual   Cree la cuenta SMS manualmente antes de la instalación si:

  • tiene intenciones de realizar la configuración de SMS por medio del símbolo del sistema.

  • tiene intenciones de realizar la configuración de SMS por medio del archivo SMSAccountSetup.ini.

  • necesita utilizar la misma cuenta en varios dominios.

  • dispone de un número considerable de controladores de dominio y necesita permitir la replicación de la cuenta de servicio SMS antes de realizar la configuración de SMS.

  • no se le han concedido permisos para crear cuentas de usuario en el dominio y necesita que alguien cree la cuenta en su nombre.

  • desea crear la cuenta en un dominio al que el servidor del sitio no pertenece.

Para obtener más información sobre la configuración de SMS por medio del símbolo del sistema o de un archivo SMSAccountSetup.ini, consulte la sección Administración de cuentas a través de la configuración del sitio, incluida en este apéndice.

Ubicación de la cuenta

La cuenta debe ser una cuenta de dominio pero no es necesario que tenga derechos de administración de dominio. Si permite que SMS cree la cuenta automáticamente durante la configuración, SMS la creará en la base de datos de dominio a la que pertenece el servidor del sitio SMS (siempre y cuando tenga los permisos necesarios). Si desea crear la cuenta en un dominio diferente, tendrá que crearla manualmente antes de la instalación.

Mantenimiento de la cuenta

El administrador elige la contraseña para la cuenta de servicio SMS. En caso de que decida cambiar la contraseña para esta cuenta, primero tendrá que cambiarla en el sistema operativo y, a continuación, será necesario también configurar SMS para que use la contraseña modificada. Tras cambiar la contraseña en el sistema operativo, puede volver a configurar SMS mediante:

  • el restablecimiento del sitio

  • la consola de administración de SMS

Para facilitar la administración, particularmente en organizaciones con sitios en puntos geográficos diversos, use la consola de administración de SMS para cambiar las contraseñas de estas cuentas. De esta forma puede permitir a los administradores el uso de consolas de administración de SMS remotas para cambiar las contraseñas de cuentas. No olvide que para poder utilizar este sistema es necesario que se estén ejecutando todos los servicios SMS. Si no lo están o si se detienen antes de que se complete el ciclo de cambio de la contraseña, será necesario llevar a cabo el restablecimiento del sitio. De lo contrario no podrá acceder a la consola de administración de SMS.

Si su organización cuenta con sitios en varios puntos geográficos, no es necesario que esté presente físicamente en cada servidor para realizar este cambio. Para utilizar el restablecimiento del sitio como método para cambiar contraseñas de cuentas SMS sin desplazarse hasta la ubicación del servidor del sitio en cuestión, haga una de las dos cosas siguientes:

  • Use la característica de distribución de software de SMS para enviar un paquete de configuración con una secuencia de comandos apropiada al servidor del sitio en el sitio remoto.

    - O bien -

  • Use las herramientas remotas SMS para ejecutar el archivo Setup.exe desde la carpeta SMS\Bin\i386\.

Para consultar los procedimientos, vea la sección Creación y modificación de la cuenta de servicio SMS, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Prácticas recomendadas de seguridad

Si hay varios dominios que comparten la cuenta de servicio SMS, configure las relaciones de confianza apropiadas y la pertenencia a grupos. Si varios sitios comparten la cuenta de servicio SMS y tiene intenciones de cambiar la contraseña de la cuenta, cree una segunda cuenta para evitar bloqueos. Los mismos procesos SMS que usan la información de la cuenta modificada usan también la cuenta de servicio SMS para iniciar y autenticar sesiones. Por medio de la creación de una segunda cuenta y dejando ambas cuentas activas hasta que se complete la transición a la cuenta nueva, puede garantizar que independientemente de la cuenta que un proceso intente utilizar para iniciar o autenticar una sesión, el proceso obtendrá el acceso que necesita.

Conexión de servidor SMS (SMSServer_códigositio)

La cuenta se llamará SMSServer_códigositio si SMS la crea automáticamente. Si se crea de forma manual, el nombre quedará a la elección del administrador.

Tabla C.7   Funciones de SMSServer_códigositio

Función

Permisos y derechos necesarios

Notas

Escribe archivos de datos de clientes desde puntos de administración y CAP remotos al servidor del sitio.

Pertenencia al grupo de conexión de sistema del sitio al servidor del sitio

En la seguridad estándar no hay cuentas alternativas.

Lee las reglas de la bandeja de entrada desde CAP remotos.

Pertenencia al grupo de conexión de sistema del sitio al servidor del sitio

En la seguridad estándar no hay cuentas alternativas.

Lee la información de activación de SQL Server desde el registro del servidor del sitio.

Pertenencia al grupo de conexión de sistema del sitio al servidor del sitio

En la seguridad estándar no hay cuentas alternativas.

Creación y contraseña de cuenta

La cuenta de conexión de servidor y la contraseña pueden:

  • crearse automáticamente durante la configuración de SMS; se asignará una contraseña inicial aleatoria.

  • crearse manualmente antes de ejecutar la configuración por medio de la línea de comandos.

  • crearse manualmente antes de ejecutar la configuración por medio del archivo SMSAccountSetup.ini.

Ubicación de la cuenta

La cuenta se crea automáticamente en la base de datos de cuentas local en el servidor del sitio. Si es el administrador quien crea la cuenta, será el administrador quien elija la ubicación.

Mantenimiento de la cuenta

Si necesita cambiar la contraseña de la cuenta, cree una cuenta nueva antes de eliminar la antigua. Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de conexión de servidor SMS, incluida en el Apéndice E: procedimientos de seguridad de SMS.

La cuenta de conexión de servidor SMS predeterminada creada por SMS no debería modificarse a menos que se haya creado con el método de configuración por línea de comandos o con el archivo SMSAccountSetup.ini. Si necesita ejecutar el restablecimiento del sitio, deberá utilizar el mismo contexto de línea de comandos o archivo SMSAccountSetup.ini para especificar la misma cuenta que indicó durante la configuración del sitio. De lo contrario, cuando se ejecuta un restablecimiento de sitio, SMS crea la cuenta de conexión de servidor SMS predeterminada de costumbre y cambia la contraseña por una generada de forma aleatoria. Como resultado, los sistemas del sitio remotos no pueden acceder al servidor del sitio, ya que intentan utilizar la cuenta de conexión de servidores especificada manualmente durante la configuración del sitio. Si elimina la cuenta de conexión de servidor SMS y, a continuación, ejecuta el restablecimiento del sitio para recrearla, el restablecimiento no recreará todos los permisos NTFS para la cuenta. Esto sucede porque los identificadores de seguridad asociados con los permisos en las bandejas de entrada se aplican a la cuenta antigua, no a la nueva. Si se elimina la cuenta de conexión de servidor SMS, será necesario llevar a cabo el restablecimiento del sitio y, a continuación, ejecutar la herramienta ACLreset.exe, incluida en las herramientas de recuperación de Systems Management Server en el sitio Web del Centro de descargas de Microsoft.

Prácticas recomendadas de seguridad

Si el servidor del sitio es un controlador de dominio y dispone de varios controladores, compruebe que la cuenta se ha replicado antes de iniciar la configuración de SMS.

Para acelerar la recuperación del sitio, cree esta cuenta de forma manual y especifique la contraseña. Si no crea su propia cuenta y establece su propia contraseña, el programa de configuración de SMS creará una cuenta predeterminada con una contraseña aleatoria. Cuando se recrea un sitio durante una operación de recuperación, el programa de configuración crea una cuenta nueva predeterminada con una contraseña nueva seleccionada de forma aleatoria. Es necesario llevar a cabo un restablecimiento del sitio para propagar esta cuenta nueva y la contraseña a todos los sistemas del sitio. Si especifica la cuenta y la contraseña por medio de los parámetros de la línea de comandos o el archivo SMSAccountSetup.ini, puede evitar tener que ejecutar el restablecimiento del sitio durante la recuperación del mismo.

En caso de que necesite restablecer el sitio para restablecer la contraseña, no use PREINST /STOPSITE. Este modo de restablecimiento es similar al iniciado por la configuración de SMS; sin embargo, no restablece la contraseña para la cuenta de conexión de servidor SMS.

Durante el restablecimiento de un sitio, el asistente de configuración de SMS muestra un cuadro de diálogo que le permitirá omitir el cambio de la contraseña para la cuenta de conexión de servidor SMS. Omita este cambio si la opción de bloqueo de cuenta está habilitada en el dominio y desea evitar el riesgo de bloquear la cuenta de conexión de servidor SMS.

Conexión de sistema del sitio

Ésta no es una cuenta necesaria. Puede crearla el administrador y darle cualquier nombre de cuenta válido.

Tabla C.8   Funciones de la cuenta de conexión de sistema del sitio

Función

Permisos y derechos necesarios

Notas

El servidor del sitio usa este cuenta para conectar con los sistemas del sitio.

Derechos administrativos en el sistema del sitio

Si no se especifica, se usa la cuenta de servicio SMS en su lugar.

Creación de cuenta y contraseña

El administrador tiene la opción de crear esta cuenta y contraseña en cualquier momento. Una vez creada, el administrador configura SMS para que use la cuenta en la consola de administración de SMS.

Varios sitios pueden compartir la misma cuenta: una cuenta para cada sitio o una cuenta para cada sistema del sitio.

Esta cuenta puede crearse antes de instalar SMS para que dé tiempo a que se replique en todos los controladores de dominio.

Ubicación de la cuenta

La cuenta puede ubicarse en el dominio o en la base de datos de cuentas local de cada sistema del sitio.

Mantenimiento de la cuenta

El mantenimiento de esta cuenta está al cargo del administrador de SMS. SMS no se ocupa de la administración de esta cuenta.

Para consultar los procedimientos, vea la sección Creación y modificación de la cuenta de conexión de sistema del sitio, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Prácticas recomendadas de seguridad

Si utiliza seguridad estándar, cree esta cuenta para evitar el uso excesivo de la cuenta de servicio SMS.

Servicio remoto (SMSSvc_códigositio_xxxx)

Tabla C.9   Funciones de SMSSvc_códigositio_xxxx

Función

Permisos y derechos necesarios

Notas

Proporciona el contexto de seguridad para el servicio de ejecución SMS en puntos de administración y de acceso de cliente.

Inicie la sesión como servicio en el CAP o el punto de administración, que se asigna de forma automática cuando se crea el sistema del sitio.

En la seguridad estándar no hay cuentas alternativas.

Proporciona el contexto de seguridad para la ejecución de SQL Monitor en un equipo remoto que ejecuta SQL Server con el proveedor de SMS.

Inicie la sesión como servicio en el equipo que ejecuta SQL Server, que se asigna de forma automática durante la configuración del sitio.

En la seguridad estándar no hay cuentas alternativas.

Creación de cuenta y contraseña

SMS crea automáticamente esta cuenta en la base de datos de cuentas local en cada servidor de base de datos del sitio SMS, punto de administración y CAP remoto.

Mantenimiento de la cuenta

No se recomienda el cambio manual de la contraseña de esta cuenta. Esta cuenta puede recrearse y la contraseña puede restablecerse por medio del restablecimiento del sitio.

Base de datos de sistemas del sitio (SMS_SQL_RX_códigositio)

Tabla C.10   Funciones de SMS_SQL_RX_códigositio

Función

Permisos y derechos necesarios

Notas

De forma predeterminada, proporciona acceso a la base de datos del sitio SMS para los puntos de administración, de informe y de localización de servidor cuando se usa la autenticación de Windows.

Pertenencia al grupo local de conexión de sistema del sitio a SQL Server en el equipo que ejecuta SQL Server

Para facilitar la conectividad de los puntos de administración y de localización de servidor, puede crear esta cuenta y agregarla al grupo de conexión de sistema del sitio a SQL Server.

Creación de cuenta y contraseña

SMS crea esta cuenta y la contraseña de forma automática. Puede crear una cuenta alternativa para que los puntos de administración y de localización de servidor conecten con el equipo SMS que ejecuta SQL Server y especificarlos en la consola de administración de SMS. La creación de una cuenta alternativa reduce el riesgo de bloqueo de la cuenta durante una operación de restablecimiento del sitio.

Para consultar el procedimiento, vea la sección Creación y modificación de cuentas de base de datos de sistemas del sitio, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Ubicación de la cuenta

La cuenta puede crearse en la base de datos de cuentas local en el equipo que ejecuta SQL Server. Si especifica una cuenta alternativa, puede crearla en cualquier ubicación, siempre y cuando disponga de acceso al equipo que ejecuta SQL Server y sea posible agregarla al grupo local de conexión de sistema del sitio a SQL Server en el equipo que ejecuta SQL Server.

Mantenimiento de la cuenta

No se recomienda el cambio manual de la contraseña de esta cuenta, particularmente si la opción de bloqueo de cuenta está habilitada en el equipo que ejecuta SQL Server.

Los puntos de administración y de localización de servidor usan esta cuenta para acceder al equipo donde reside la base de datos del sitio SMS. Si el administrador elige restablecer las contraseñas de las cuentas del servidor durante una operación de restablecimiento del sitio primario, los puntos de administración que usan las credenciales antiguas no podrán obtener directiva del equipo que ejecuta SQL Server hasta que se actualicen con la contraseña nueva. La sincronización de la cuenta puede tardar más de 30 minutos, según la conectividad entre sitios y la cantidad de sitios secundarios y puntos de administración. La cuenta de base de datos de sistemas del sitio se bloqueará si algún punto de administración o de localización de servidor intenta conectar al equipo que ejecuta SQL Server por medio de la contraseña antigua. Si esto ocurre, puede especificar una cuenta alternativa.

Para consultar el procedimiento, vea la sección Creación y modificación de cuentas de base de datos de sistemas del sitio, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Cuentas de servidor común

Estas cuentas pueden usarse con seguridad estándar o avanzada.

Instalación de software cliente

El uso de esta cuenta solamente es posible si se implementan clientes mediante la instalación de software cliente.

Tabla C.11   Funciones de la cuenta de instalación de software cliente

Función

Permisos y derechos necesarios

Notas

El administrador de configuración de clientes puede utilizar esta cuenta para instalar software cliente SMS en los equipos.

No es necesario que la cuenta pertenezca al grupo de administradores de dominio pero debe disponer de credenciales administrativas locales sobre los equipos que tienen el software cliente SMS instalado.

Si usa seguridad estándar y no existe una cuenta de instalación de software cliente, SMS recurrirá a la cuenta de servicio SMS. Con seguridad avanzada no hay una cuenta alternativa.

Creación de cuenta y contraseña

Esta cuenta no se crea automáticamente. Su creación queda al cargo del administrador de SMS, quien asignará una contraseña en caso de que se necesite la cuenta.

Ubicación de la cuenta

La cuenta puede crearse en el dominio o en la base de datos de cuentas local. Si se crea como cuenta de dominio y la agrega al grupo de administradores de dominio, se le otorgarán automáticamente derechos de administración sobre la mayoría de los equipos cliente. Sin embargo, la cuenta podría utilizarse para lanzar un ataque contra el dominio. En su lugar, es posible utilizar una cuenta de usuario de dominio pero tendría que agregar la cuenta al grupo de administradores local en cada equipo. Podría crearla en la base de datos de cuentas local para cada cliente que requiera instalación pero esto podría causar conflictos con la administración de cuentas. Pueden crearse varias cuentas de instalación de software cliente o varios sitios pueden compartir una misma cuenta.

Mantenimiento de la cuenta

El administrador cambia la cuenta o la contraseña en el sistema operativo y, seguidamente, configura SMS para usarla. Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de instalación de software cliente, incluida en el Apéndice E: procedimientos de seguridad de SMS.

El administrador de configuración de clientes (CCM, Client Configuration Manager) comprueba los cambios realizados en la cuenta de instalación de software cliente cada hora. Los cambios en esta cuenta no surten efecto inmediatamente.

Prácticas recomendadas de seguridad

Si la cuenta de instalación de software cliente es un miembro de dominio, no configure el sitio con clientes hasta que se complete la replicación de la cuenta en todo el dominio:

Dirección del sitio

Tabla C.12   Funciones de dirección del sitio

Función

Permisos y derechos necesarios

Notas

Sirve para establecer comunicaciones y realizar transferencias de datos entre sitios principales y secundarios. Los sitios principales usan esta cuenta para transferir datos administrativos (por ejemplo, información sobre paquetes o colecciones) a los sitios secundarios. Los sitios secundarios usan esta cuenta para transferir datos (por ejemplo, información de inventarios, registros de descubrimiento o mensajes de estado) a los sitios principales.

Esta cuenta debe disponer de permisos de lectura, escritura, ejecución y eliminación sobre la carpeta SMS\Inboxes\Despoolr.box\Receive ubicada en el servidor del sitio de destino.1

Agregue la cuenta de dirección del sitio al grupo de conexión de sitio a sitio en el servidor del sitio de destino, que dispone de los permisos adecuados en la carpeta compartida SMS_Site. La cuenta de dirección del sitio no necesita permisos directos sobre la carpeta compartida SMS_Site.

Si usa seguridad estándar e instala o desinstala sitios secundarios de forma remota desde la consola de administración de SMS mediante el asistente de creación de sitios secundarios, la cuenta de dirección del sitio debe ser miembro del grupo de administradores local en el servidor del sitio secundario.

En sitios de seguridad estándar, cuando se crean direcciones para otros sitios, es necesario especificar una cuenta de dirección del sitio por cada dirección de emisor. Es posible utilizar la cuenta de servicio SMS como cuenta de dirección del sitio. Sin embargo, para reducir riesgos de seguridad y facilitar la administración tal como se indicó anteriormente en este documento, se recomienda evitar el uso de esta cuenta para estas funciones.

Los sitios de seguridad avanzada pueden usar la cuenta de equipo de servidor del sitio si se agrega al grupo de conexión de sitio a sitio.

1 No es necesario que los dos sitios se encuentren en el mismo modo de seguridad. Un sitio secundario de seguridad estándar puede comunicarse con un sitio principal de seguridad avanzada. De darse esta situación, el sitio secundario utilizaría la cuenta de servicio SMS para conectar con el sitio principal y pertenecería al grupo de conexión de sitio a sitio en el servidor del sitio principal. El sitio principal usaría la cuenta nombreequipo$ para conectar al sitio secundario o terciario y pertenecería al grupo de conexión de sitio a sitio en el servidor del sitio secundario o terciario.

Creación de cuenta y contraseña

El administrador crea la cuenta y la contraseña y, seguidamente, configura SMS para usarla durante la creación de una dirección entre sitios. La cuenta debe poder verificarse en el servidor del sitio de destino. No es necesario que se verifique en el servidor del sitio de origen donde se define la dirección.

Ubicación de la cuenta

La cuenta puede crearse en cualquier ubicación elegida por el administrador. Varios sitios y dominios pueden usar una misma cuenta siempre y cuando tenga los permisos requeridos.

Mantenimiento de la cuenta

El administrador está al cargo del mantenimiento de la cuenta y la contraseña. Si se modifica la cuenta en la base de datos de cuentas, será necesario actualizar también la configuración en la consola de administración de SMS. Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de dirección del sitio, incluida en el Apéndice E: procedimientos de seguridad de SMS.

important.gif  Importante
Si especifica una cuenta de dirección del sitio para una dirección y luego decide que desea utilizar la cuenta de equipo como cuenta de dirección del sitio, tendrá que eliminar la dirección y volver a crearla. El cambio del nombre de la cuenta no es suficiente cuando se trata de pasar de una cuenta de usuario a la cuenta nombreequipo$.

Prácticas recomendadas de seguridad

Si dispone de varios controladores de dominio y esta cuenta se utilizará en varios de ellos, compruebe que la cuenta se ha replicado antes de iniciar la configuración de SMS.

Cuentas de base de datos común

Los sitios SMS usan cuentas de base de datos para establecer conexiones desde el servidor del sitio y el punto de administración y de localización de servidor, así como para manipular las bases de datos.

Además, SQL Server usa funciones para administrar permisos de base de datos. Una función es una cuenta de seguridad de SQL Server que, a su vez, es una colección de otras cuentas de seguridad. En lo que respecta a la administración de permisos, esta colección de cuentas puede tratarse como una sola unidad. Una función puede contener inicios de sesión de SQL Server, otras funciones y grupos o inicios de sesión de Windows.

Base de datos del sitio

Tabla C.13   Funciones de base de datos del sitio

Función

Permisos y derechos necesarios

Notas

Conecta el servidor del sitio al equipo que ejecuta SQL Server.

Administrador local en el equipo con SQL Server. Si SQL Server y SMS están instalados en el mismo equipo, los derechos de administrador local se conceden de forma predeterminada.

La cuenta que debe utilizarse depende del modo de seguridad de SQL Server. Las cuentas de base de datos de SMS son cuentas de SQL Server si se usa la autenticación de SQL Server y son cuentas de Windows si se implementa la autenticación de Windows.

Se recomienda el uso de la autenticación de Windows.

Creación de cuenta y contraseña

Con la autenticación de Windows no es necesario especificar una cuenta de base de datos del sitio para que el sitio SMS pueda acceder a la base de datos del sitio SMS. SMS usa la cuenta de equipo de servidor del sitio (seguridad avanzada) o la cuenta de servicio SMS (seguridad estándar).

Si usa la autenticación de SQL Server, deberá crear una cuenta de base de datos del sitio y configurar SMS para que la use durante o después de la configuración en la consola de administración de SMS.

Ubicación de la cuenta

Con la autenticación de SQL Server, la cuenta reside en la base de datos de cuentas de SQL Server y se configura en la consola de administración de SMS. En caso de usar la autenticación de Windows, consulte la cuenta de equipo de servidor del sitio (seguridad avanzada) o la de servicio SMS (seguridad estándar) para ver las posibles ubicaciones de esta cuenta.

Mantenimiento de la cuenta

Si usa la autenticación de SQL Server y necesita cambiar la cuenta de base de datos del sitio, realice el cambio primero en SQL Server y, a continuación, lleve a cabo el restablecimiento del sitio o implemente el cambio en la consola de administración de SMS. Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de base de datos del sitio, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Si la base de datos del sitio SMS se encuentra en un servidor ajeno al servidor del sitio SMS y se modifican o eliminan los derechos de acceso a la base de datos del sitio SMS para el grupo de administradores local en el equipo de base de datos del sitio SMS, deberá asignar la cuenta de equipo de servidor del sitio SMS a la cuenta de SQL Server de usuario propietario de la base de datos para la base de datos del sitio SMS. Para consultar el procedimiento, vea la sección Asignación de la cuenta de equipo de servidor del sitio SMS al usuario propietario de la base de datos para la base de datos del sitio SMS, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Prácticas recomendadas de seguridad

Utilice la autenticación de Windows.

Función de aplicación de informe Web (webreport_approle)

Creación de función y contraseña

Esta función se genera y asegura de forma automática por medio de una contraseña aleatoria generada también automáticamente y almacenada por SMS de forma igualmente segura.

Ubicación de la función

Las funciones de SQL Server residen en la base de datos de cuentas de SQL Server.

Función

Sirve para que los puntos de informe puedan acceder a vistas de SQL Server.

Mantenimiento de la función

SMS se encarga del mantenimiento de esta cuenta y la contraseña. En caso de modificación o pérdida de la sincronización, hay dos formas de restablecer la contraseña:

  • ejecutar el restablecimiento del sitio.

    - O bien -

  • eliminar el punto de informe del equipo de destino, esperar a que se eliminen los archivos y, seguidamente, volver a establecer el equipo como punto de informe.

Usuarios de esquema de SMS (smsschm_users)

Tabla C.14   Funciones de SMSschm_users

Función

Permisos y derechos necesarios

Notas

Permite la conexión de los usuarios a la base de datos del sitio SMS cuando se usa la autenticación de Windows.

Derecho de selección sobre todas las vistas SMS de SQL Server

Con la autenticación de Windows, use el grupo de usuarios de informes en su lugar.

Puede asignar usuarios individuales o permisos de funciones a vistas específicas si desea limitar el acceso a los datos de SMS. Para obtener más información sobre la concesión de permisos a vistas de SQL Server, consulte la documentación que acompaña a SQL Server.

Creación de función y contraseña

Duante la configuración de SMS 2003, la secuencia de comandos de vistas crea la función smsschm_users de SQL Server y le concede permisos. Sin embargo, puede agregar este grupo de SQL Server manualmente mediante el procedimiento almacenado sp_addrolemember de SQL Server. Aunque su cuenta de usuario de SQL Server (smsschm_user) viene creada por la configuración de generación de informes de SMS, puede crear su propia cuenta de usuario de SQL Server mediante el Administrador corporativo de SQL Server. Si lo hace, asegúrese de que la cuenta sea miembro de la función de base de datos smsschm_users.

Ubicación de la función

Las funciones de SQL Server residen en la base de datos de cuentas de SQL Server.

Cuenta de cliente avanzado

Los clientes avanzados usan la cuenta LocalSystem para llevar a cabo la mayoría de las operaciones de cliente SMS. El acceso a la red es la única excepción, ya que LocalSystem no puede acceder a los recursos de la red.

Acceso a red de cliente avanzado

Tabla C.15   Funciones de acceso a red de cliente avanzado

Función

Permisos y derechos necesarios

Notas

El programa de configuración de CCM la utiliza durante la actualización del cliente avanzado para conectar a la carpeta de cliente compartido en el punto de administración y descargar Client.msi.

Cuando se usa durante la instalación de software cliente en un miembro de un dominio de NT 4.0, esta cuenta requiere únicamente derechos de usuario básicos.

Si la cuenta de acceso a red de cliente avanzado no se configura, el programa de configuración de CCM intentará usar la cuenta de equipo si el cliente es miembro de un dominio de Active Directory. Si el cliente es miembro de un dominio de Windows NT 4.0, el programa de configuración de CCM intentará usar la cuenta del usuario conectado o esperará a que el usuario inicie la sesión.

Se usa para acceder al punto de distribución si la cuenta de equipo o del usuario conectado no dispone de los permisos necesarios.

  • Esta situación puede darse cuando el cliente se desplaza entre:1

  • dominios de confianza de Windows Server 2003 y Windows NT 4.0

  • dominios de confianza de Windows 2000 y Windows NT 4.0

  • dos bosques que no son de confianza

  • un bosque y un dominio de Windows NT

Permisos apropiados en la carpeta compartida del paquete. La cuenta de acceso a red de cliente avanzado debe funcionar para todos los paquetes que la necesiten, ya que solamente puede crearse una.

Si la jerarquía de SMS se distribuye por bosques de confianza u otros entornos de red en que la cuenta del usuario conectado o de equipo cliente constituye un principio de seguridad reconocido, el cliente no necesitará la cuenta de acceso a red de cliente avanzado.

Al contrario que ocurre con la cuenta de instalación de software de cliente heredado, la cuenta de acceso a red de cliente avanzado no se utiliza cuando un programa anunciado necesita acceder a una carpeta compartida en una red ajena al punto de distribución.

1 Para obtener más información sobre la configuración y el funcionamiento de la itinerancia de cliente avanzado, consulte las notas del producto Configuration and Operation of Advanced Client Roaming, en el sitio Web del Centro de descargas de Microsoft.

Creación de cuenta y contraseña

El administrador crea la cuenta y la contraseña en la base de datos de cuentas de Windows y, seguidamente, configura SMS para usarla en la consola de administración de SMS.

important.gif  Importante
Se necesita la revisión Q325804 de Windows para distribuir software con derechos administrativos si se usan las cuentas de acceso a red. En este caso, la revisión debe instalarse en todos los equipos que estén ejecutando clientes avanzados para el funcionamiento con derechos administrativos y ejecutarse desde la configuración de red. Puede continuar descargando y ejecutando software con derechos administrativos.
Para obtener más información, realice una consulta sobre distribución de software en SMS 2003 Operations Release Notes dentro de Microsoft TechNet.

Ubicación de la cuenta

La cuenta puede crearse en cualquier dominio que proporcione el acceso necesario a los recursos. La cuenta de acceso a red de cliente avanzado debe incluir siempre un nombre de dominio. La seguridad de paso de sucesos no es compatible con esta cuenta. Si hay varios dominios, cree la cuenta en uno de confianza.

Mantenimiento de la cuenta

El administrador de SMS crea y mantiene la cuenta y la contraseña. Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de acceso a red de cliente avanzado, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Para evitar bloqueos, asegúrese de no cambiar la contraseña de una cuenta de acceso a red de cliente avanzado existente. En su lugar, cree una cuenta nueva y configure SMS para que la use. Una vez que todos los clientes hayan recibido los detalles de la cuenta nueva, puede quitar la cuenta antigua de las carpetas compartidas en la red y eliminarla.

Prácticas recomendadas de seguridad

Al igual que con el resto de las cuentas, nunca utilice contraseñas en blanco. Si no especifica una contraseña al configurar esta cuenta en la consola de administración de SMS, la cuenta no se guardará.

Cuentas de cliente heredado

No se recomienda el uso del cliente heredado en entornos seguros. No es aconsejable instalar el cliente heredado en el controlador de dominio, ya que varias cuentas de cliente heredado requieren derechos de administrador local que, en un controlador de dominio, se convierten en derechos de administración de dominio.

Cargador de inicio CCM (DC) (SMS#_dc)

Tabla C.16   Funciones de SMS#_dc

Función

Notas

Instala el software de cliente heredado SMS en un controlador de dominio.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

Cuando se instalan clientes heredados mediante la instalación de software cliente, CCM crea esta cuenta de dominio para ejecutar el servicio de cargador de inicio CCM en equipos cliente que son controladores de dominio. Esta cuenta se convierte en única por medio de la inclusión del nombre del controlador de dominio en el nombre de la cuenta. Para ofrecer una seguridad mejorada y de forma aleatoria, SMS genera y cifra las contraseñas para estas cuentas. Esta cuenta se elimina automáticamente tras la configuración del cliente.

Ubicación de la cuenta

La cuenta se crea en el dominio al que pertenece el cliente, ya que el cliente es un controlador de dominio. Tendrá una cuenta por cada controlador de dominio en el dominio que ejecuta el cliente heredado. Las cuentas son únicas, ya que incluyen el nombre del servidor en su nombre.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas.

Prácticas recomendadas de seguridad

Resuelva conflictos que impiden la eliminación de las cuentas temporales; de lo contrario, SMS#_dc no podrá eliminarse una vez completada la instalación.

Cargador de inicio CCM (no DC) (SMSCCMBootAcct&)

Tabla C.17   Funciones de SMSCCMBootAcct&

Función

Notas

Instala el software de cliente heredado SMS en un controlador que no sea de dominio.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

SMS genera la cuenta y la contraseña de la cuenta de cargador de inicio CCM al comenzar la instalación del cliente y elimina la cuenta una vez finalizada la configuración. Para ofrecer una seguridad mejorada y de forma aleatoria, SMS genera y cifra las contraseñas para esta cuenta.

Ubicación de la cuenta

La cuenta se crea en la base de datos SAM local del cliente.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas.

Prácticas recomendadas de seguridad

Resuelva conflictos que impiden la eliminación de las cuentas temporales; de lo contrario, SMS#_dc no podrá eliminarse una vez completada la instalación.

Servicios de cliente (DC) (SMS&_dc)

Tabla C.18   Funciones de SMS&_dc

Función

Permisos y derechos necesarios

Notas

Instala el servicio de cliente SMS en controladores de dominio.

Miembro del grupo de administradores local en cada controlador de dominio que tiene componentes de cliente heredado.

Miembro del grupo de clientes internos.

Cuenta con los siguientes derechos sobre los clientes:

  • Iniciar sesión como un servicio.

  • Actuar como parte del sistema operativo.

  • Reemplazar un token a nivel de proceso.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

De forma automática, SMS crea una cuenta en cada controlador de dominio que tiene componentes de cliente. Para ofrecer una seguridad mejorada y de forma aleatoria, SMS genera y cifra las contraseñas para estas cuentas y cambia la contraseña una vez por semana automáticamente. SMS elimina estas cuentas una vez que los componentes de cliente se han eliminado de los controladores de dominio.

Ubicación de la cuenta

La cuenta se crea en el dominio al que pertenece el cliente, ya que el cliente es un controlador de dominio. Tendrá una cuenta por cada controlador de dominio en el dominio que ejecuta el cliente heredado. Las cuentas son únicas, ya que incluyen el nombre del servidor en su nombre.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas.

Prácticas recomendadas de seguridad

No instale el cliente heredado, particularmente en controladores de dominio.

Servicios de cliente (no DC) (SMSCliSvcAcct&)

Tabla C.19   Funciones de SMSCliSvcAcct$

Función

Permisos y derechos necesarios

Notas

Instala el servicio de cliente SMS en controladores de dominio.

Miembro del grupo de administradores local en cada cliente heredado.

Cuenta con los siguientes derechos sobre los clientes:

  • Iniciar sesión como un servicio.

  • Actuar como parte del sistema operativo.

  • Reemplazar un token a nivel de proceso.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

SMS crea esta cuenta de forma automática para clientes heredados. Para ofrecer una seguridad mejorada y de forma aleatoria, SMS genera y cifra las contraseñas para estas cuentas y cambia la contraseña una vez por semana automáticamente. SMS elimina estas cuentas una vez que los componentes de cliente se han eliminado.

Ubicación de la cuenta

La cuenta se crea en la base de datos SAM local del cliente.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas. La eliminación y la reinstalación automática de un cliente genera una contraseña nueva.

SMS cambia esta contraseña de forma automática una vez por semana. Si desea especificar un intervalo diferente para el cambio de contraseña, puede modificar el registro. Para cambiar el intervalo, agregue un valor de registro nuevo llamado ServiceResetInterval a HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\Client\Client Components\SMS Client Base Components. En la clave SMS Client Base Components, agregue un valor REG_DWORD de ServiceResetInterval. Especifique el intervalo en el número de segundos en que desea que el servicio de cliente SMS genere una contraseña nueva.

Prácticas recomendadas de seguridad

No instale el cliente heredado.

Token de usuario de cliente (DC) (SMSCliToknAcct&)

Tabla C.20   Funciones de SMSCliToknAcct$

Función

Permisos y derechos necesarios

Notas

Ejecuta programas que requieren permisos de administrador cuando el usuario conectado no cuenta con tales permisos. Esta cuenta crea token de usuario exclusivos en controladores de dominio en un contexto de usuario único. De esta forma se evitan conflictos de credenciales de usuario entre procesos de cliente.

Los avisos que requieren derechos de administrador se ejecutan en un contexto de seguridad como de servicio con la cuenta de token de usuario cliente en clientes heredados, si el usuario no tiene derechos administrativos. La cuenta de token de usuario cliente se agrega dinámicamente al grupo de administradores local según se necesite (se elimina una vez completada la tarea) y dispone del derecho de actuar como parte del sistema operativo.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

SMS crea esta cuenta y la contraseña de forma automática. La contraseña se restablece si el cliente heredado experimenta dificultades durante el uso de la cuenta o una actualización. Tras instalar el primer cliente SMS, se agregará una clave cifrada nueva al registro del controlador de dominio primario (PDC) o del emulador del PDC. El registro almacenará los datos cifrados de nombre y contraseña de la cuenta SMSCliToknAcct&. Así, otros controladores de dominio podrán recuperar la información del registro.

Cuando el cliente heredado se instala en un controlador de dominio, SMS comprueba si la cuenta SMSCliToknAcct& existe en el dominio y verifica los derechos que se le han concedido. Si existe, SMS utiliza esta cuenta. En caso de que SMS no pueda obtener acceso exclusivo a la cuenta, leerá el registro del PDC o del emulador del PDC para determinar si hay algún otro controlador de dominio que utiliza esta cuenta. De estar en uso, SMS esperará hasta que pueda obtener acceso exclusivo a la cuenta. Si no lo consigue en un plazo de 61 minutos, se cancelará el proceso de instalación de cliente.

Si se quita el cliente SMS del PDC o del emulador del PDC, la cuenta SMSCliToknAcct& no se elimina y la información cifrada de la misma se conserva en el registro por si la necesitase algún otro controlador de dominio.

Ubicación de la cuenta

En sistemas del sitio que son controladores de dominio, solamente existe una cuenta con el mismo nombre (la cuenta SMSCliToknAcct&) y la comparten todos los controladores de dominio.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas. La eliminación y la reinstalación automática de un cliente genera una contraseña nueva.

Si tiene directivas de bloqueo de cuenta en su dominio, esta cuenta puede bloquearse con frecuencia. Supervísela y desbloquéela cuando sea necesario.

Prácticas recomendadas de seguridad

No instale el cliente heredado, particularmente en controladores de dominio.

Token de usuario de cliente (no DC) (SMSCliToknLocalAcct&)

Tabla C.21   Funciones de SMSCliToknLocalAcct$

Función

Permisos y derechos necesarios

Notas

Ejecuta programas que requieren permisos de administrador cuando el usuario conectado no cuenta con tales permisos. Esta cuenta crea token de usuario exclusivos en el equipo cliente en un contexto de usuario único. De esta forma se evitan conflictos de credenciales de usuario entre procesos de cliente.

Los avisos que requieren derechos de administrador se ejecutan en un contexto de seguridad como de servicio con la cuenta de token de usuario cliente en clientes heredados, si el usuario no tiene derechos administrativos. La cuenta de token de usuario cliente se agrega dinámicamente al grupo de administradores local según se necesite (se elimina una vez completada la tarea) y dispone del derecho de actuar como parte del sistema operativo.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

SMS crea esta cuenta y la contraseña de forma automática. La contraseña de la cuenta de token de usuario cliente se restablece cada vez que se reinicia el cliente. El proceso de restablecimiento de contraseña sustituye la contraseña por una más segura y restaura los derechos y permisos predeterminados para la cuenta de token de usuario cliente.

Ubicación de la cuenta

La cuenta se crea en la base de datos SAM local del cliente.

Mantenimiento de la cuenta

No cambie la contraseña, el nombre ni los permisos de esta cuenta. Si modifica la cuenta de forma manual, los procesos relacionados no se ejecutarán correctamente y correrá el riesgo de causar bloqueos de cuentas, ya que se perderá la sincronización de las mismas. La eliminación y la reinstalación automática de un cliente genera una contraseña nueva.

Cuenta de conexión de cliente (SMSClient_códigositio, las cuentas adicionales quedan a la elección del administrador)

Tabla C.22   Funciones de SMSClient_códigositio

Función

Permisos y derechos necesarios

Notas

Proporciona acceso a CAP y puntos de distribución para clientes heredados.

Si los clientes necesitan acceder a CAP en varios dominios, esta cuenta debe disponer de los derechos adecuados sobre el CAP que reside en los otros dominios. De lo contrario tendrán que crearse cuentas adicionales.

No hay cuentas alternativas para el cliente heredado.

Creación de cuenta y contraseña

La cuenta de conexión de cliente y la contraseña iniciales predeterminadas pueden:

  • crearse automáticamente durante la configuración de SMS; se asignará una contraseña inicial aleatoria.

  • crearse manualmente antes de ejecutar la configuración por medio de la línea de comandos.

  • crearse manualmente antes de ejecutar la configuración por medio del archivo SMSAccountSetup.ini.

Puede crear cuentas de conexión de cliente como cuentas de dominio para que las compartan varios CAP. De esta forma disminuye el número de cuentas de conexión de cliente que deben crearse y mantenerse pero, al mismo tiempo, aumenta el alcance de seguridad de cada una de ellas.

Para conseguir mejoras en seguridad, integridad del sitio y tolerancia a errores, se recomienda que cree cuentas de conexión de cliente adicionales.

Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de acceso a red de cliente avanzado, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Ubicación de la cuenta

La cuenta se crea automáticamente en la base de datos de cuentas de dominio. Si es el administrador quien crea la cuenta, será el administrador quien elija la ubicación.

Mantenimiento de la cuenta

El restablecimiento del sitio restablece automáticamente la contraseña en la cuenta de conexión de cliente predeterminada. Si especifica cuentas de conexión de cliente adicionales, el restablecimiento del sitio SMS no cambiará las contraseñas de estas cuentas de forma automática. Si especificó la cuenta de conexión de cliente inicial predeterminada por medio del archivo SMSAccountSetup.ini o parámetros de línea de comandos, ejecute el programa de configuración con la misma línea de comandos que la instalación inicial para especificar las cuentas de forma manual. Para consultar el procedimiento de cambio de la cuenta o la contraseña mediante la consola de administración de SMS, vea la sección Creación y modificación de la cuenta de conexión de cliente, incluida en el Apéndice E: procedimientos de seguridad de SMS.

No cambie la contraseña en estas cuentas. En su lugar, cree cuentas nuevas para estas funciones y recíclelas cuando los clientes tengan servidores que se hayan configurado con las cuentas nuevas.

Si la opción de bloqueo de cuenta está habilitada en el sitio, un solo cliente con una contraseña no válida puede provocar el bloqueo de la cuenta de conexión de cliente para todos los clientes. Por ejemplo, un cliente SMS que ha estado desconectado durante un largo período de tiempo puede causar el bloqueo porque quizás su contraseña para la cuenta de conexión de cliente ha caducado. Cuando intenta conectar a un CAP a través de una cuenta de conexión de cliente con una contraseña antigua, la cuenta se bloquea. Para evitar que sus clientes se conviertan en huérfanos, es importante asegurarse de que siempre hay por lo menos una cuenta de conexión de cliente disponible para ellos. Para consultar el procedimiento, vea la sección Creación de cuentas de conexión de cliente adicionales para evitar clientes heredados huérfanos, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Cuando se cambia una contraseña de cuenta de conexión de cliente, se producen errores en el cliente SMS con la contraseña antigua, ya que la información de cuenta de Windows suele propagarse hacia los niveles inferiores del dominio más rápidamente que la información de cuenta SMS en una jerarquía de SMS. Si el software cliente SMS se instala en el cliente por medio de la función de instalación de software cliente, será difícil conseguir la recuperación del cliente tras el bloqueo de cuenta, ya que éste recibe la información de cuenta actualizada del CAP mediante el uso de la cuenta en la que se han producido los errores. Sin embargo, si ha configurado las secuencias de comandos de inicio de sesión para instalar (o reinstalar) los clientes SMS durante el inicio de sesión, el cliente recibirá la información de cuenta y contraseña actualizada durante el inicio de sesión siguiente (en caso de utilizarse secuencias de comandos de inicio de sesión). Si no cuenta con algún método para instalar clientes durante el inicio de sesión, la única forma de conseguir la recuperación del cliente tras el bloqueo de la cuenta es usar SMSman.exe para llevar a cabo la reinstalación. Alternativamente, puede eliminar el cliente y volver a instalarlo mediante la instalación de software cliente.

No elimine y reinstale el servidor del sitio SMS sin antes habilitar un método de instalación de cliente durante el inicio de sesión. La contraseña para la cuenta de conexión de cliente predeterminada (SMSClient_códigositio) se genera de forma aleatoria y se sincroniza con la cuenta de dominio durante cada inicio de sesión de cliente SMS (si se ejecuta SMSls.bat). Si elimina y reinstala un servidor del sitio SMS sin antes habilitar la instalación de cliente durante el inicio de sesión o por algún otro método, los clientes quedan huérfanos.

Si los clientes incluyen información de seguridad obsoleta o incorrecta, es posible que tenga que desinstalar y volver a instalar el cliente heredado SMS.

Prácticas recomendadas para las cuentas   Al crear cuentas de conexión de cliente adicionales, asegúrese de que hay al menos dos cuentas válidas para cada dominio en que residen clientes. Las ventajas de tener múltiples cuentas se vuelven obvias cuando todos los clientes disponen de varias cuentas válidas disponibles. Por ejemplo, si crea cuatro cuentas de conexión de cliente pero cada cuenta es válida únicamente para los clientes de un dominio, no se evita que los clientes en otros dominios puedan bloquearse. Para consultar el procedimiento de mantenimiento permanente de dos cuentas de conexión de cliente válidas, vea la sección Creación de cuentas de conexión de cliente adicionales para evitar clientes heredados huérfanos, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Use cuentas de conexión de cliente locales siempre que sea posible.

Con la opción de bloqueo de cuenta habilitada, se recomienda utilizar la configuración siguiente para cuentas SMS:

  • Lockout after five attempts (bloqueo tras cinco intentos). Ésta es la configuración predeterminada.

  • Reset count after 30 minutes (restablecer contador transcurridos 30 minutos). Ésta es la configuración predeterminada.

  • Lockout duration: forever (duración de bloqueo: para siempre). Esta configuración no es predeterminada pero se recomienda su uso para obtener un nivel de seguridad mayor. Le permitirá detectar los bloqueos cuando se produzcan para tomar las medidas oportunas.

Instalación de software de cliente heredado

Tabla C.23   Funciones de la cuenta de instalación de software de cliente heredado

Función

Permisos y derechos necesarios

Notas

Los clientes SMS (con la excepción de clientes heredados de Windows 98) usan esta cuenta cuando un programa anunciado necesita acceder a una carpeta compartida en un servidor ajeno al punto de distribución.

Si no se especifica esta cuenta pero se solicita a un programa que la utilice, el programa no podrá ejecutarse. De forma predeterminada, esta cuenta no se usa, lo que significa que el programa se ejecuta a través de la cuenta del usuario conectado o la cuenta de token de usuario cliente.

Permisos apropiados en la carpeta compartida a la que accede el programa anunciado.

Los componentes de cliente SMS conceden derechos de usuario determinados y pertenencia al grupo de administradores local a la cuenta de instalación de software de cliente heredado cuando el cliente ejecuta un programa configurado para requerir derechos administrativos. Tanto la pertenencia al grupo como los derechos de usuario se eliminan cuando el programa termina de ejecutarse.

Para incrementar la seguridad al máximo, no debe concederse a la cuenta de instalación de software de cliente heredado ningún derecho sobre equipos cliente, ya sea directamente o a través de pertenencia a grupos.

Para acceder a los puntos de distribución, los clientes buscan primero una conexión existente a la carpeta compartida del paquete en un punto de distribución. Si la encuentran, la utilizarán, independientemente de las credenciales que se les haya proporcionado.

Por el contrario, si los clientes SMS no encuentran una conexión existente al servidor y la carpeta compartida, intentarán establecer la conexión por medio del contexto de seguridad actual. En este caso, el sistema operativo usa el contexto de cualquier otra conexión establecida con el servidor.

Una vez que el cliente SMS ha probado todas las opciones para conectar al punto de distribución, el cliente heredado intenta establecer la conexión por medio de la cuenta de instalación de software de cliente heredado.

Creación de cuenta y contraseña

El administrador crea la cuenta y la contraseña en la base de datos de cuentas de Windows y, seguidamente, configura SMS para usarla en la consola de administración de SMS.

Para consultar el procedimiento, vea la sección Creación y modificación de la cuenta de instalación de software de cliente heredado, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Ubicación de la cuenta

La cuenta puede crearse en cualquier ubicación pero el cliente necesitará encontrar el dominio donde resida la cuenta. La cuenta no funcionará si el cliente no puede encontrarla o, si no encuentra la correcta, pueden experimentarse bloqueos de cuentas.

Mantenimiento de la cuenta

El administrador de SMS crea y mantiene esta cuenta en el sistema operativo y, seguidamente, la configura en la consola de administración de SMS.

Para evitar bloqueos de cuenta, asegúrese de no cambiar la contraseña de una cuenta de instalación de software de cliente heredado existente. En su lugar, cree una cuenta nueva y configure SMS para que la use. Una vez que todos los clientes hayan recibido los detalles de la cuenta nueva, puede quitar la cuenta antigua de las carpetas compartidas en la red y eliminarla.

Grupos

Los siguientes grupos SMS se crean automáticamente:

Administradores de SMS (SMS Admins)

¿Por qué se necesita este grupo?  

El grupo de administradores de SMS proporciona a sus miembros acceso al proveedor de SMS a través de WMI. El acceso al proveedor de SMS se necesita para ver y modificar objetos de seguridad de SMS e información en la consola de administración de SMS y otras herramientas similares.

¿Dónde se crea este grupo?

En el servidor del sitio y en el equipo que ejecuta el proveedor de SMS. Si SMS y SQL Server se encuentran en el mismo equipo, la ejecución del proveedor de SMS y la creación del grupo se llevan a cabo en dicho equipo. Si SQL Server reside en un equipo remoto, la ubicación del proveedor de SMS quedó determinada durante la instalación. Si el proveedor se instaló en el equipo remoto que ejecuta SQL Server, se creará un grupo de administradores de SMS adicional en dicho equipo.

¿De qué tipo de grupo se trata?

Si el equipo del proveedor de SMS es un servidor miembro, el grupo de administradores de SMS es un grupo local. Si el equipo del proveedor de SMS es un controlador de dominio, el grupo de administradores de SMS es un grupo local de dominio.

¿Quién debe pertenecer a este grupo?

Cualquiera que necesite acceso a la consola de administración de SMS pero que no necesita ser miembro del grupo de administradores local en el equipo del proveedor de SMS.

Durante la concesión de derechos a las cuentas, puede asignar permisos a usuarios y grupos locales, globales y universales, así como a grupos globales anidados. Sin embargo, todas las cuentas que tienen derechos de seguridad de objetos SMS deben contar también con acceso a los espacios de nombres WMI de SMS. Si los usuarios son miembros de grupos globales o universales, puede anidar el grupo global o universal en el grupo de administradores de SMS local.

important.gif  Importante
Si crea su propio grupo local o grupo local de dominio para proporcionar acceso a la consola de administración de SMS, deberá otorgar a dicho grupo local o grupo local de dominio el mismo permiso WMI que al grupo de administradores de SMS.

Si asigna permisos de objetos SMS por medio del asistente de usuario SMS, SMS agregará automáticamente nuevos administradores al grupo de administradores de SMS. Si asigna permisos de objetos SMS mediante el asistente de creación de clones de usuario de SMS, SMS no agregará automáticamente al usuario clonado al grupo de administradores de SMS. Si cambia los derechos directos de instancia y clase sobre un objeto en la consola de administración de SMS, SMS no agregará automáticamente al usuario al grupo de administradores de SMS.

¿Cuáles son los derechos y permisos mínimos que requiere este grupo?

Los permisos y derechos de los administradores de SMS están establecidos en el complemento MMC en el panel de control de WMI.

De forma predeterminada, la cuenta Todos tiene los permisos de ejecutar métodos, escribir proveedor y habilitar cuenta.

El grupo de administradores de SMS cuenta explícitamente con los permisos de habilitar cuenta y habilitar de forma remota en el espacio de nombres Root\SMS.

Si necesita permitir que el asistente de distribución de actualizaciones de software de SMS 2003 funcione correctamente en sitios de SMS 2.0, tendrá que crear una carpeta compartida nueva en el servidor del sitio de SMS 2.0 llamada SMS_SUIAgent y asignar al grupo de administradores de SMS los permisos de lectura, lectura y ejecución y enumeración del contenido de carpeta sobre la carpeta compartida.

Conexión de sistema del sitio al servidor del sitio (SMS_SiteSystemToSiteServerConnection_códigositio)

¿Por qué se necesita este grupo?  

Este grupo permite a los sistemas del sitio establecer el contacto con el servidor del sitio.

¿Dónde se crea este grupo?

En el servidor del sitio SMS.

¿De qué tipo de grupo se trata?

Si el servidor del sitio es un servidor miembro, este grupo es un grupo local. Si el servidor del sitio es un controlador de dominio, este grupo es un grupo local de dominio.

¿Quién debe pertenecer a este grupo?

Los puntos de administración, de acceso de cliente, de informe y de localización de servidor deberían ser miembros de este grupo. Los puntos de distribución no deberían pertenecer a este grupo.

Cuando se actualiza un sitio de seguridad estándar a seguridad avanzada, de forma automática, SMS agrega las cuentas de equipo para los sistemas del sitio de puntos de administración y CAP al grupo de conexión de sistema del sitio al servidor del sitio.

Conexión de sitio a sitio (SMS_SiteToSiteConnection_códigositio)

¿Por qué se necesita este grupo?  

Este grupo cuenta con los permisos necesarios para que un emisor establezca la conexión de un sitio a otro.

¿Dónde se crea este grupo?

En el servidor del sitio SMS.

¿De qué tipo de grupo se trata?

Si el servidor del sitio es un servidor miembro, este grupo es un grupo local. Si el servidor del sitio es un controlador de dominio, este grupo es un grupo local de dominio.

¿Quién debe pertenecer a este grupo?

Las cuentas configuradas en las direcciones del sitio. Si utiliza el modo de seguridad avanzada, agregue la cuenta del equipo que inicia la conexión al grupo de conexión de sitio a sitio en el equipo que recibe que la conexión. Esto significa que todos los servidores de sitios secundarios deberían agregarse al grupo de conexión de sitio a sitio en el sitio principal. Las cuentas de equipo de servidor del sitio principal deberían agregarse al grupo de conexión de sitio a sitio en todos los sitios secundarios directos. Si tiene intenciones de especificar direcciones para conectar de un sitio a un sitio terciario, agregue la cuenta de equipo de servidor del sitio principal al grupo de conexión de sitio a sitio en el sitio terciario.

Durante la instalación de un sitio secundario, de forma automática, SMS agrega la cuenta de equipo del sitio principal al grupo de conexión de sitio a sitio en el sitio secundario. En caso de iniciar la instalación del sitio secundario desde el sitio principal, SMS agrega también la cuenta de equipo del sitio secundario al grupo de conexión de sitio a sitio en el sitio principal. La inclusión automática de las cuentas en los grupos simplifica el proceso de migración del sitio a la seguridad avanzada.

Cuando se actualiza un sitio de seguridad estándar a seguridad avanzada, de forma automática, SMS agrega la cuenta de equipo de servidor del sitio al grupo de conexión de sitio a sitio en los sitios principal y secundarios.

¿Cuáles son los derechos y permisos mínimos que requiere este grupo?

Esta cuenta debe disponer de permisos de lectura, escritura, ejecución y eliminación sobre la carpeta SMS\Inboxes\Despoolr.box\Receive ubicada en el servidor del sitio de destino.

Conexión de sistema del sitio a SQL Server (SMS_SiteSystemToSQLConnection_códigositio)

¿Por qué se necesita este grupo?  

Los puntos de administración, puntos de localización de servidor y puntos de informe reciben acceso a los equipos que ejecutan SQL Server y que usan este grupo.

¿Dónde se crea este grupo?

En el equipo que ejecuta SQL Server.

¿De qué tipo de grupo se trata?

Si el equipo que ejecuta SQL Server es un servidor miembro, este grupo es un grupo local. Si el equipo que ejecuta SQL Server es un controlador de dominio, este grupo es un grupo local de dominio.

¿Quién debe pertenecer a este grupo?

Si está usando seguridad avanzada, agregue las cuentas de equipo para los puntos de administración, puntos de localización de servidor y puntos de informe. Si utiliza el modo de seguridad estándar, agregue la cuenta de base de datos de sistemas del sitio (SMS_SQL_RX_códigositio).

De forma automática, SMS agrega las cuentas de base de datos de puntos de administración y de localización del servidor al grupo de conexión de sistema del sitio a SQL Server cuando se habilitan en un sitio los sistemas del sitio de puntos de administración y de localización del servidor. El proceso de migración a seguridad avanzada resulta más sencillo al tener las cuentas de base de datos en el grupo.

Usuarios de informes (SMS Reporting Users)

¿Por qué se necesita este grupo?  

El grupo de usuarios de informes controla el acceso al sitio Web de informes de SMS cuando se utiliza el modo de autenticación de Windows en el equipo que ejecuta SQL Server.

Si utiliza la autenticación de SQL Server en el equipo que ejecuta SQL Server, use la función de usuarios de esquema de SMS (smsschm_users) en su lugar. Alternativamente, puede asignar usuarios individuales o permisos de funciones a vistas específicas si desea limitar el acceso a los datos de SMS mediante la seguridad de SQL Server.

¿Dónde se crea este grupo?

El grupo se ubica en el punto de informe.

¿De qué tipo de grupo se trata?

Si el punto de informe es un servidor miembro, este grupo es un grupo local. Si el punto de informe es un controlador de dominio, este grupo es un grupo local de dominio.

¿Quién debe pertenecer a este grupo?

Cualquier usuario que no sea administrador y que necesite acceso a los informes de dicho punto de informe. De forma automática, los miembros del grupo de administradores cuentan con los permisos necesarios para ver los informes y no necesitan agregarse a este grupo. De forma predeterminada, el grupo de usuarios de informes no tiene ningún miembro.

Para que un usuario o un grupo pueda acceder a uno o más servidores de punto de informe, el usuario o el grupo deberá ser miembro del grupo de usuarios de informes SMS en los servidores de punto de informe deseados.

Grupo de clientes internos (SMSInternalGrp)

¿Por qué se necesita este grupo?  

Únicamente dispondrá de este grupo si está ejecutando el cliente heredado en un controlador de dominio. Permite la ejecución de las cuentas DC de servicios de cliente y de token de usuario cliente pero no les concede derechos que no necesitan.

caution.gif  Precaución
No es aconsejable instalar el cliente heredado en un controlador de dominio, ya que varias cuentas de cliente heredado requieren derechos de administrador local que, en un controlador de dominio, se convierten en derechos de administración de dominio.

¿Dónde se crea este grupo?

En la base de datos del dominio donde cualquier controlador de dominio tiene el cliente heredado instalado.

¿De qué tipo de grupo se trata?

Es un grupo global.

¿Quién debe pertenecer a este grupo?

De forma automática, SMS agrega las cuentas DC de servicios de cliente y de token de usuario cliente a este grupo. No requiere administración ni mantenimiento. Si cree que está experimentando problemas relacionados con este grupo, desinstale el cliente heredado y vuelva a instalarlo.

Administración de cuentas a través de la configuración del sitio

Es posible que necesite especificar los detalles para las cuentas SMS durante la configuración del sitio, por ejemplo, al reducir el número de cuentas que usa SMS. En las secciones siguientes se explica cómo deben especificarse los detalles para las cuentas SMS durante la configuración de un sitio.

important.gif  Importante
El archivo de inicialización o cualquier archivo por lotes con opciones de línea de comandos muestra las contraseñas para estos servidores predeterminados y cuentas de conexión de cliente en texto sin formato. Por lo tanto, es importante restringir el acceso a estos archivos. El directorio de sistema de Windows NT es de acceso restringido pero deben tomarse precauciones adicionales si estos archivos se encuentran fuera de este directorio.

Configuración para sitios SMS en sitios de Active Directory con varios controladores de dominio

El programa de configuración del sitio SMS en seguridad estándar crea varias cuentas. Algunas de ellas se utilizan durante la configuración, momento en el que deben autenticarse. Sin embargo, en un sitio de Active Directory con Windows 2000 o Windows Server 2003 en el que hay varios controladores de dominio, el controlador de dominio que se usa para autenticar las cuentas puede no ser el mismo que se usa para crearlas. Si las cuentas no se han replicado entre los dos controladores de dominio, la autenticación falla y, por consiguiente, la configuración no puede llevarse a cabo.

Para evitar este problema, cree las cuentas antes de configurar el sitio y espere a que se repliquen. Use las opciones de configuración de línea de comandos o del archivo de inicialización para usar las cuentas creadas manualmente.

En esta situación, la cuenta de servicio SMS debe crearse antes de realizar la configuración.

No configure el sitio con sistemas, relaciones de sitio a sitio o clientes heredados hasta que no se hayan replicado las cuentas siguientes (si se trata de cuentas de dominio):

  • cuenta de conexión de servidor SMS, si el servidor del sitio se encuentra en un controlador de dominio

  • cuenta de conexión de sistema del sitio

  • cuentas de dirección del sitio

  • cuentas de conexión de cliente

  • cuenta de instalación de software cliente (si se usa)

El programa de configuración de sitios secundarios desde la consola de administración de SMS realiza varios intentos, de modo que debería llevarse a cabo incluso en el caso de que la cuenta de servicio SMS no esté replicada en el momento de iniciarse la configuración del sitio secundario. El programa de configuración de sistemas del sitio, como puntos de acceso de cliente, también realiza varios intentos y debería completarse con éxito aunque el sistema del sitio esté establecido en un controlador de dominio y la cuenta de servicios remotos tarde en replicarse.

important.gif  Importante
Los administradores de SMS deben estar familiarizados con los valores de replicación y sincronización establecidos por el comprobador de coherencia de réplica (KCC, Knowledge Consistency Checker) entre varios dominios de Active Directory. En ocasiones, cuando se usa el comprobador de coherencia de réplica, particularmente en casos en que el administrador de Active Directory personaliza su configuración, es posible que el programa de configuración de SMS exceda el tiempo de espera al crear cuentas si el intervalo de replicación es demasiado largo.

Opciones de línea de comandos de configuración

La configuración de SMS cuenta con opciones de línea de comandos disponibles para especificar las cuentas de conexión de cliente y de conexión de servidor SMS, así como los grupos de sistema del sitio al servidor del sitio, sistema del sitio a SQL Server y conexión de sitio a sitio.

Las cuentas o los grupos deben existir y contar con derechos apropiados. Cuando las cuentas o los grupos se especifican de forma manual, el programa de configuración no crea los grupos ni las cuentas predeterminados, y las contraseñas asignadas a las cuentas quedan a su elección.

La sintaxis del comando de configuración es la siguiente:

setup /ServerAccount <domain>\<account> /ServerPassword <password> /ClientAccount  
<domain or computer>\<account> /ClientPassword <password> /MySiteSystemsGroup 
<groupname> /MyAddressesGroup <groupname>

Por ejemplo, durante la instalación de un sitio, quizás desee que el programa de configuración utilice:

  • MyDomain\SMSServerAcct (contraseña: Elvis1) como cuenta de conexión de servidor SMS

  • MyDomain\SMSClientAcct (contraseña: Elvis2) como cuenta de conexión de cliente

  • MySiteSystemsGroup como grupo de sistemas del sitio

  • MyAddresseses como grupo de direcciones (grupo de conexión de sitio a sitio)

important.gif  Importante
Los grupos designados con este comando no pueden ir precedidos de un prefijo de nombre de equipo o dominio. El programa de configuración de SMS hará caso omiso de cualquier prefijo de nombre de equipo o dominio. El programa intentará validar la existencia de estos grupos como grupos locales. No los creará. Si no resulta posible verificar que estos grupos existen localmente, la configuración fallará y devolverá un error para indicar que no ha podido validar un grupo en particular. Por el contrario, si los grupos existen localmente, la configuración se completará con éxito y asignará los derechos y permisos necesarios a estos grupos.

Puede invocar el programa de configuración mediante el uso de la sintaxis siguiente:

setup /ServerAccount MyDomain\SMSServerAcct /ServerPassword Elvis1 /ClientAccount  
MyDomain\SMSClientAcct /ClientPassword Elvis2 /SiteSystemGroup MySiteSystemsGroup  
/AddressGroup MyAddressesGroup

Sin embargo, para usar argumentos de línea de comandos debe especificar el comando de configuración. Por lo tanto, no puede especificar un servidor creado y una cuenta de conexión de cliente al ejecutar el asistente de configuración de SMS o el asistente de creación de sitios secundarios, que usan un comando de configuración que no puede especificar.

Opciones de archivo de inicialización de configuración

También puede usar un archivo de inicialización para especificar las mismas cuentas y grupos que con las opciones de línea de comandos de configuración. Además, puede especificar el grupo de acceso a SQL Server.

Para especificar cuentas o grupos para la configuración de un sitio por medio de un archivo de inicialización, cree un archivo llamado SMSAccountSetup.ini en el directorio systemroot\System32 del servidor del sitio de destino.

note.gif  Nota
En lugar de especificar cuentas de dominio en el archivo de inicialización, pueden especificarse cuentas locales. El uso de cuentas locales reducirá su dependencia de cuentas de dominio. Si no se especifica un dominio, SMS intentará utilizar la cuenta como cuenta local.

El archivo muestra la información de la cuenta de cliente y de servidor en el formato siguiente:

[ServerAccount] 
Name=domain\account 
Password=password 
[ClientAccount] 
Name=domain\account 
Password=password 
[SiteSystemGroup] 
Name=groupname 
[AddressGroup] 
Name=groupname 
[SQLGroup] 
Name=MySqlServerGroup

SiteSystemGroup es el grupo de conexión de sistema del sitio al servidor del sitio. AddressGroup es el grupo de conexión de sitio a sitio. SQLGroup es el grupo de conexión de sistema del sitio a SQL Server.

important.gif  Importante
Los grupos designados en este archivo no pueden ir precedidos de un prefijo de nombre de equipo o dominio. El programa de configuración de SMS hará caso omiso de cualquier prefijo de nombre de equipo o dominio. El programa intentará validar la existencia de estos grupos como grupos locales. No los creará. Si no resulta posible verificar que estos grupos existen localmente, la configuración fallará y devolverá un error para indicar que no ha podido validar un grupo en particular. Por el contrario, si los grupos existen localmente, la configuración se completará con éxito y asignará los derechos y permisos necesarios a estos grupos.

Cuando se inicia, el programa de configuración lee el archivo SMSAccountSetup.ini desde el directorio systemroot\System32, si el archivo SMSAccountSetup.ini existe. Las cuentas de usuario especificadas en el archivo de inicialización reciben el mismo tratamiento que los argumentos de línea de comandos /ServerAccount y /ClientAccount. Tampoco se crean los grupos ni las cuentas predeterminados.

important.gif  Importante
En equipos que ejecutan Windows 2000 o un sistema operativo Windows Server 2003, los usuarios que no cuentan con derechos administrativos pueden leer archivos en el directorio systemroot\System32 de forma predeterminada. Igualmente de forma predeterminada, no pueden iniciar la sesión en un servidor, de modo que el archivo SMSAccountSetup.ini está asegurado. Sin embargo, si les permite iniciar la sesión en servidores SMS, estos usuarios que no son administradores podrían leer este archivo. Para impedirlo, elimine los permisos de usuarios y usuarios avanzados sobre este archivo.

 

Restablecimiento de cuentas mediante el restablecimiento del sitio

La función de restablecimiento del sitio se encuentra en proceso de ejecutar el asistente de configuración de SMS y seleccionar la opción de modificar o restablecer la instalación actual para iniciar cambios de configuración en un sitio SMS. El restablecimiento del sitio SMS detiene los servicios del sitio SMS básicos, los elimina y, por último, vuelve a instalarlos. Puede ejecutar el restablecimiento del sitio para:

  • reparar un servidor del sitio dañado.

  • implementar cambios de cuenta o contraseña.

  • Configure el sitio para que use un nombre de base de datos de SQL Server diferente o un servidor que ejecute SQL Server o un modo de seguridad de SQL Server diferente.

  • Devuelva los permisos SMS de registro y carpeta a su estado original una vez ejecutada la herramienta ACLReset.

important.gif  Importante
Es posible que la herramienta ACLReset no devuelva los permisos SMS de registro y carpeta a su estado original si tiene funciones de sistema del sitio instaladas en un servidor del sitio SMS 2003. Tras ejecutar ACLReset, realice siempre el restablecimiento del sitio.

Durante esta operación, los cambios especificados durante la ejecución del asistente de configuración de SMS se escriben en el archivo de control del sitio maestro. Los componentes y subprocesos de SMS se eliminan de los servidores y sistemas del sitio y, a continuación, vuelven a instalarse. El efecto exacto del restablecimiento del sitio dependerá de cómo se inicie la operación y las opciones que se seleccionen, que pueden incluir:

  • restablecimiento del sitio desde la consola de administración de SMS.

  • restablecimiento del sitio desde la configuración.

  • restablecimiento del sitio desde Preinst.exe.

note.gif  Nota
El restablecimiento del sitio en un sitio secundario no se ejecuta desde el menú Inicio pero se lleva a cabo satisfactoriamente desde el CD.

Restablecimiento del sitio desde la consola de administración de SMS

El restablecimiento del sitio se ejecuta cuando se actualizan las cuentas del sitio a través de la ficha Cuentas en el cuadro de diálogo Propiedades del sitio en la consola de administración de SMS. Este tipo de restablecimiento solamente afecta a las cuentas de servicio SMS o de SQL Server, si se cambian. El administrador de jerarquías elimina el administrador de componentes del sitio, vuelve a instalarlo y le transmite un archivo de control del sitio actualizado. El administrador de componentes del sitio lleva a cabo la eliminación acostumbrada por medio del restablecimiento del sitio y vuelve a instalar los servicios locales siguientes:

  • SMS_Site_Component_Manager

  • SMS_Executive (solamente en el servidor del sitio)

  • SMS_Site_Backup

  • SMS_SQL_Monitor (solamente en el servidor del sitio)

Restablecimiento del sitio desde la configuración

El restablecimiento del sitio se ejecuta al seleccionar la opción de modificar o restablecer la instalación actual en el asistente de configuración de SMS. El restablecimiento del sitio dirige al sitio a un nombre de base de datos nuevo o un equipo que ejecuta SQL Server, o cambia el modo de seguridad de SQL Server si especifica dicho cambio en el asistente de configuración de SMS. El restablecimiento del sitio elimina y reinstala todos los servicios SMS que usan la cuenta de servicio SMS, incluidos los que residen en el servidor del sitio, los CAP del sitio y el servidor que ejecuta SQL Server. Si especifica cambios por medio del asistente de configuración de SMS, el restablecimiento del sitio actualizará la información de la cuenta de servicio SMS o de SQL Server almacenada en SMS. La configuración de SMS afecta a los servicios adicionales siguientes:

  • SMS_Site_Component_Manager

  • SMS_Executive (en el servidor del sitio o los servidores de componente)

  • SMS_Site_Backup

  • SMS_SQL_Monitor (en el servidor del sitio o los servidores de componente)

La secuencia para cada componente básico en un servidor de componentes es:

  1. Se apaga el componente SMS.

  2. Los componentes SMS se marcan para la reinstalación.

  3. Se recrea la cuenta de servicios remotos.

El programa de configuración apaga los servicios, instala el administrador de componentes del sitio y, seguidamente, crea un archivo de control del sitio actualizado. En este punto del ciclo, el asistente de configuración de SMS muestra un cuadro de diálogo donde tendrá que indicar si desea restablecer las cuentas de conexión en el servidor del sitio y en el equipo con SQL Server.

Restablecimiento de las cuentas de conexión

El restablecimiento de las cuentas de conexión (cuentas de conexión de servidor SMS y de base de datos de sistemas del sitio) puede provocar el bloqueo de las cuentas si esta opción está habilitada en el dominio.

Cuenta de base de datos de sistemas del sitio

Se trata de una cuenta local en la base de datos SAM local ubicada en el equipo que ejecuta SQL Server. Cada punto de administración y de localización de servidor está configurado para usar el nombre y la contraseña de la cuenta al conectar al equipo que ejecuta SQL Server. Si está usando datos de nombre y contraseña personalizados para la cuenta de base de datos de sistemas del sitio, primero debe cambiar la cuenta o la contraseña en la base de datos SAM local del equipo que ejecuta SQL Server y, a continuación, configurar SMS para que use las credenciales nuevas mediante el restablecimiento del sitio. Si usa la cuenta de base de datos de sistemas del sitio predeterminada (SMS_SQL_RX_códigositio), de forma automática, SMS generará una contraseña segura durante el restablecimiento del sitio. Si el archivo SMSAccountSetup.ini especifica contraseñas para SMS_SQL_RX_códigositio, el asistente de configuración de SMS utilizará esta información para restablecer la cuenta.

Tras el restablecimiento del sitio, el servicio del administrador de componentes del sitio actualizará los puntos de administración y de localización de servidor con las credenciales nuevas. Hasta que se complete la actualización, los sistemas del sitio SMS intentarán conectar con el equipo que ejecuta SQL Server mediante las credenciales antiguas. Esto causará el bloqueo de cuentas en los dominios en que esté habilitada esta opción. Una vez que SMS ha actualizado las credenciales en cada punto de administración y de localización de servidor, ya puede desbloquear la cuenta en la base de datos SAM del equipo que ejecuta SQL Server.

Cuenta de conexión de servidor SMS

De forma predeterminada, esta cuenta se crea en la base de datos de cuentas de dominio. Los servicios SMS que se ejecutan en CAP y puntos de administración remotos usan la cuenta de conexión de servidor SMS para conectar al servidor del sitio.

Si el archivo SMSAccountSetup.ini especifica contraseñas para las cuentas de conexión de servidor SMS, el asistente de configuración de SMS utilizará esta información para restablecer la cuenta. De lo contrario, el programa de configuración de SMS genera una contraseña segura de forma aleatoria para la cuenta de conexión de servidor SMS (SMSServer_códigositio).

Tras el restablecimiento del sitio, el servicio del administrador de componentes del sitio SMS actualizará los puntos de administración y de localización de servidor con las credenciales nuevas. Sin embargo, hasta que se complete la actualización, los sistemas del sitio intentarán conectar al servidor del sitio mediante las credenciales antiguas. Esto causará el bloqueo de cuentas en los dominios en que esté habilitada esta opción. Una vez que SMS ha actualizado las credenciales en cada punto de administración y CAP, ya puede desbloquear la cuenta en la base de datos de dominios.

Si el restablecimiento del sitio recrea la cuenta de conexión de servidor SMS, la cuenta nueva contará con un identificador de seguridad también nuevo y no tendrá el mismo grado de acceso a los recursos SMS que la cuenta antigua. La concesión de permisos completos a la cuenta nueva en el árbol de directorio de SMS permite a los servidores SMS conectar al servidor del sitio SMS correctamente.

Restablecimiento del sitio desde Preinst.exe.

El restablecimiento del sitio se lleva a cabo al ejecutar el comando PREINST /STOPSITE. Este modo de restablecimiento es similar al iniciado por la configuración de SMS. Sin embargo, no se modifica la contraseña para la cuenta de conexión de servidor SMS, ya que esta operación forma parte de la configuración, no del administrador de componentes del sitio. El programa de configuración de SMS también cambia las contraseñas para las cuentas de servicios remotos utilizadas por servicios remotos en puntos de acceso de cliente y por el servicio SMS_SQL_Monitor.

note.gif  Nota
El restablecimiento del sitio no administra la cuenta de conexión de cliente predeterminada. La configuración original del sitio crea la cuenta de conexión de cliente pero, en adelante, la administración de la misma se lleva a cabo a través de la consola de administración de SMS y no se necesita un restablecimiento del sitio para implementar cambios. El restablecimiento del sitio tampoco cambia ninguna otra cuenta de cliente o del sitio ni las activa para que se cambien o actualicen. La administración de la mayor parte del resto de las cuentas queda bajo el control de la consola de administración de SMS.

  • Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad


¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft