Informationen zum Netzwerkdienstkonto in Configuration Manager

  • Artikel

Letzte Aktualisierung: April 2011

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 führt mithilfe des Netzwerkdienstkontos den Dienst SMS_SYSTEM_HEALTH_VALIDATOR auf dem Netzwerkrichtlinienserver aus, wenn es als Configuration Manager 2007-Systemintegritätsprüfungspunkt konfiguriert ist. Das Netzwerkdienstkonto ist ein besonderes, integriertes Konto mit reduzierten Rechten und ähnelt einem authentifizierten Benutzerkonto. Durch diesen begrenzten Zugriff wird der Computer geschützt, wenn ein Angreifer einzelne Dienste oder Prozesse kompromittiert.

Configuration Manager 2007 verwendet diesen Sicherheitskontext auch für Verbindungen mit Active Directory-Domänendienstressourcen in vertrauenswürdigen Domänen, obgleich die Verbindung über das Konto „Domäne\Computer$“ hergestellt wird. Muss der Systemintegritätsprüfungspunkt eine Verbindung mit Active Directory-Domänenressourcen in Domänen ohne Vertrauensstellungen herstellen, müssen Sie das Systemintegritätsprüfungs-Veröffentlichungs- oder das Systemintegritätsprüfungs-Abfragekonto konfigurieren.

Erforderliche Rechte und Berechtigungen

Das Netzwerkdienstkonto verwendet bei der Remoteauthentifizierung die Anmeldeinformationen des Computers, hat aber für den Server selbst stark reduzierte Rechte, daher weist es keine lokalen Administratorrechte auf. Configuration Manager 2007 erfordert nicht, dass das Netzwerkdienstkonto Rechte oder Berechtigungen außer den vom Betriebssystem zugewiesenen Standardberechtigungen hat. Das Entfernen der Standardrechte oder -berechtigungen vom Netzwerkdienstkonto kann dazu führen, dass Configuration Manager 2007 nicht mehr richtig funktioniert.

Dieses Konto erfordert Lesezugriff auf den Configuration Manager 2007-Systems Management-Container auf dem globalen Katalogserver.

Konto- und Kennworterstellung

Das Konto wird automatisch als „NT AUTHORITY\Netzwerkdienst“ erstellt und hat kein Kennwort, das ein Administrator verwalten müsste.

Kontospeicherort

Dieses Konto wird automatisch als lokales Konto auf Microsoft Windows Server 2003- und Windows XP-Betriebssystemen erstellt.

Kontowartung

Dieses Systemkonto muss nicht verwaltet werden.