Erstellen von Installations- und Dienstkonten

Veröffentlicht: Dezember 2009

Betrifft: Forefront Client Security

Bevor Sie Client Security installieren, müssen Sie die geeigneten Installations- und Dienstkonten erstellen und ihnen alle notwendigen Berechtigungen zuweisen. In den meisten Fällen weist Client Security als Teil des Setups den Dienstkonten automatisch Berechtigungen zu. Für das Aktionskonto müssen Sie aber lokale Administratorrechte für den Auflistungsserver erteilen.

Installationskonto

Bevor Sie Client Security installieren und bereitstellen, müssen Sie das Installationskonto für die Installation sowie deren Überprüfung erstellen. Dieses Konto muss auf allen Servern ein lokaler Administrator sein.

Um Client Security für die Clientcomputer bereitzustellen, müssen Sie ein Konto mit der Berechtigung zum Erstellen, Bearbeiten und Bereitstellen von Richtlinien verwenden.

Weitere Informationen zum Erstellen von Benutzerrollen für die Verwaltung von Client Security einschließlich von Details zu separaten Rollen für die Richtlinienerstellung und -bereitstellung finden Sie unter „Working with user roles“ (http://go.microsoft.com/fwlink/?LinkId=86555, möglicherweise in englischer Sprache) im Administratorhandbuch.

Dienstkonten

Sie müssen während der Installation von Client Security und der dafür erforderlichen Softwarekomponenten Informationen zu Dienstkonten eingeben. Nach Installation von Client Security müssen Sie manuell Berechtigungen erteilen.

Es wird empfohlen, dass Sie ein einziges Domänenbenutzerkonto für alle Client Security-Dienstkonten verwenden.

 

Konto Typ Beschreibung

Data Access Server (DAS)-Konto

Domänenbenutzer und in einigen Fällen lokaler Administrator für Auflistungsserver

Falls Sie das DAS-Konto für das Aktionskonto verwenden, müssen Sie dem DAS-Konto lokale Administratorrechte für den Auflistungsserver zuweisen.

Wenn auf dem Auflistungsserver die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, müssen Sie das DAS-Konto zur lokalen Gruppe MOM-Administratoren hinzufügen, nachdem die Auslistungsserverrolle installiert wurde.

Der Auflistungsserver verwendet das DAS-Konto für den Zugriff auf die Auflistungsdatenbank.

Client Security gewährt dem DAS-Konto beim Setup automatisch die entsprechenden Rechte.

Berichtskonto

Domänenbenutzer

Der Berichtsserver verwendet das Berichtskonto, um auf die Berichtsdatenbank und die Auflistungsdatenbank zuzugreifen.

Aktionskonto

Domänenbenutzer und lokaler Administrator für den Auflistungsserver

Das Aktionskonto muss ein lokaler Administrator für den Auflistungsserver sein. Sie müssen entweder dem Aktionskonto diese Rechte erteilen oder (falls Sie das DAS-Konto für das Aktionskonto verwenden), dem DAS-Konto diese Rechte gewähren.

Der Auflistungsserver verwendet das Aktionskonto, um die serverbasierten Skripts auszuführen und Sicherheitsstatusbewertungen durchzuführen. Das Aktionskonto muss ein Domänenbenutzerkonto sein.

Data Transformation Services (DTS)-Konto

Domänenbenutzer

Der Berichtsserver verwendet das DTS-Konto, um einen Windows Scheduler-Task (DTS-Job) auszuführen, der Daten von der Auflistungsdatenbank zur Berichtsdatenbank überträgt.

Anzeigen: