Contas utilizadas no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize as informações seguintes para identificar os grupos e as contas do Windows usados no O System Center Configuration Manager e como devem ser utilizados, bem como os requisitos.

Gestor de configuração cria automaticamente e, em muitos casos, mantém automaticamente os seguintes grupos do Windows:

System_CAPS_ICON_note.jpg Nota


Quando o Gestor de configuração cria um grupo num computador que é o membro do domínio, o grupo é um grupo de segurança local. Se o computador for um controlador de domínio, o grupo é um grupo local de domínio que é partilhado entre todos os controladores de domínio no domínio.

ConfigMgr_CollectedFilesAccess

Este grupo é utilizado pelo Gestor de configuração para conceder acesso para ver os ficheiros recolhidos pelo inventário de software.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado no servidor do site primário.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
AssociaçãoGestor de configuração gere automaticamente a associação a grupos. A associação inclui os utilizadores administrativos que recebem permissão para Ver Ficheiros Recolhidos relativamente ao objeto com capacidade de segurança Recolha de uma função de segurança atribuída.
PermissõesPor predefinição, este grupo tem permissão de Leitura para a seguinte pasta no servidor do site: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccess

Este grupo é um grupo de segurança local criado no servidor de base de dados do site ou no servidor de réplicas de base de dados pelo Gestor de configuração e não está a ser utilizado atualmente. Este grupo está reservado para utilização futura pelo Gestor de configuração.

Utilizadores do Controlo Remoto do ConfigMgr

Este grupo é utilizado pelas ferramentas remotas do Gestor de configuração para armazenar contas e grupos que configura na lista de visualizadores autorizados, atribuídos a cada cliente.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado no cliente do Gestor de configuração quando o cliente recebe uma política que ativa as ferramentas remotas.

Depois de desativar as ferramentas remotas para um cliente, este grupo não é removido automaticamente e tem de ser eliminado manualmente a partir de cada computador cliente.
AssociaçãoPor predefinição, não existem membros neste grupo. Quando são adicionados utilizadores à lista de Visualizadores Autorizados, eles são automaticamente adicionados a este grupo.

Pode utilizar a lista de Visualizadores Autorizados para gerir a associação a este grupo, em vez de adicionar utilizadores ou grupos diretamente a este grupo.

Além de ser um Visualizador Autorizado, um utilizador administrativo tem de ter permissão de Controlo Remoto para o objeto Recolha. Pode atribuir esta permissão utilizando a função de segurança Operador de Ferramentas Remotas.
PermissõesPor predefinição, este grupo não tem permissões para localizações no computador e é utilizado apenas para conter a lista de Visualizadores Autorizados.

Admins de SMS

Este grupo é utilizado pelo Gestor de configuração para conceder acesso ao Fornecedor de SMS, através do WMI. É necessário acesso ao Fornecedor de SMS para ver e modificar objetos na consola do Gestor de configuração.

System_CAPS_ICON_note.jpg Nota


A configuração de administração baseada em funções de um utilizador administrativo determina que objetos podem visualizar e gerir ao utilizarem a consola do Gestor de configuração.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
AssociaçãoGestor de configuração gere automaticamente a associação a grupos. Por predefinição, cada utilizador administrativo numa hierarquia e a conta do computador do servidor de site são membros do grupo Admins de SMS em cada computador do Fornecedor de SMS num site.
PermissõesOs direitos e permissões de Admins de SMS estão definidos no snap-in MMC de Controlo WMI. Por predefinição, o grupo Admins de SMS tem as opções Ativar Conta e Ativação Remota atribuídas no espaço de nomes Root\SMS. Utilizadores Autenticados tem Executar Métodos, Escrita do Fornecedor e Ativar Conta

Os utilizadores administrativos que utilizem uma consola remota do Gestor de configuração necessitarão de permissões DCOM de Ativação Remota no computador do servidor de sites e no computador do Fornecedor de SMS. É um procedimento recomendado conceder estes direitos a Admins de SMS para simplificar a administração em vez de conceder estes direitos diretamente a utilizadores ou grupos. Para obter mais informações, veja a secção Configurar permissões de DCOM para consolas remotas do Configuration Manager do tópico Modificar a infraestrutura do System Center Configuration Manager.

SMS_SiteSystemToSiteServerConnection_MP_<sitecode>

Este grupo é utilizado pelos pontos de gestão do Gestor de configuração que são remotos, a partir do servidor de site para ligar à base de dados do site. Este grupo fornece acesso de ponto de gestão às pastas a receber no servidor do site e na base de dados do site.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado em cada computador que tem um Fornecedor de SMS.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
AssociaçãoGestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site.
PermissõesPor predefinição, este grupo tem permissão de Leitura, Ler e executar e Listar conteúdo da pasta para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Além disso, este grupo tem a permissão adicional de Escrita para várias subpastas abaixo das caixas de entrada para as quais o ponto de gestão escreve os dados do cliente.

SMS_SiteSystemToSiteServerConnection_SMSProv_<sitecode>

Este grupo é utilizado pelos computadores do Fornecedor de SMS do Gestor de configuração que são remotos, a partir do servidor de site para ligar ao servidor do site.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado no servidor do site.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
AssociaçãoGestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui a conta do computador ou a conta de utilizador de domínio que é utilizada para ligar ao servidor do site a partir de cada computador remoto que tem o Fornecedor de SMS instalado para o site.
PermissõesPor predefinição, este grupo tem permissão de Leitura, Ler e executar e Listar conteúdo da pasta para a pasta %path%\Microsoft Configuration Manager\inboxes no servidor do site. Além disso, este grupo tem a permissão adicional de Escrita ou as permissões de Escrita e Modificar para várias subpastas abaixo das caixas de entradas às quais o Fornecedor de SMS precisa de acesso.

Este grupo também tem permissões de Leitura, Ler e executar, Listar conteúdo da pasta, Escrita e Modificar para as pastas indicadas abaixo de %path%\Microsoft Configuration Manager\OSD\boot e permissão de Leitura para as pastas indicadas abaixo de %path%\Microsoft Configuration Manager\OSD\Bin no servidor do site.

SMS_SiteSystemToSiteServerConnection_Stat_<sitecode>

Este grupo é utilizado pelo Gestor de Distribuição de Ficheiros nos computadores do sistema de sites remoto do Gestor de configuração para ligar ao servidor de site.

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado no servidor do site.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
AssociaçãoGestor de configuração gere automaticamente a associação a grupos. Por predefinição, a associação inclui a conta do computador ou a conta do utilizador de domínio que é usada para ligar ao servidor do site a partir de cada computador do servidor de site remoto que executa o Gestor de Distribuição de Ficheiros.
PermissõesPor predefinição, este grupo tem permissões de Leitura, Ler e executar e Listar conteúdo da pasta para a pasta %path%\Microsoft Configuration Manager\inboxes e várias subpastas indicadas abaixo dessa localização no servidor do site. Além disso, este grupo tem permissões adicionais de Escrita e Modificar na pasta %path%\Microsoft Configuration Manager\inboxes\statmgr.box no servidor do site.

SMS_SiteToSiteConnection_<sitecode>

Este grupo é utilizado pelo Gestor de configuração para ativar a replicação baseada em ficheiros entre sites numa hierarquia. Para cada site remoto que transfere diretamente ficheiros para este site, este grupo contém contas configuradas como uma Conta de Replicação de Ficheiros

A tabela seguinte lista os detalhes adicionais para este grupo:

DetalheMais informações
Tipo e localizaçãoEste grupo é um grupo de segurança local criado no servidor do site.
AssociaçãoAquando da instalação de um novo site como subordinado de outro site, o Gestor de configuração adiciona automaticamente a conta de computador do novo site ao grupo do servidor do site principal e a conta de computador dos sites principais ao grupo do novo servidor de site. Se especificar outra conta para transferências baseadas em ficheiros, adicione essa conta a este grupo no servidor do site de destino.

Quando desinstala um site, este grupo não é removido automaticamente e tem de ser eliminado manualmente.
PermissõesPor predefinição, este grupo tem controlo total da pasta %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive.

Pode configurar as seguintes contas do Gestor de configuração:

Conta de Deteção de Grupos do Active Directory

A Conta de Deteção de Grupos do Active Directory serve para detetar grupos de segurança locais, globais e universais, as associações no âmbito desses grupos e a associação no âmbito de grupos de distribuição a partir de localizações especificadas nos Serviços de Domínio do Active Directory. Os grupos de distribuição não são detetados como recursos de grupo.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.

Conta de Deteção de Sistemas do Active Directory

A Conta de Deteção de Sistemas do Active Directory serve para detetar computadores a partir de localizações especificadas nos Serviços de Domínio do Active Directory.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.

Conta de Deteção de Utilizadores do Active Directory

A Conta de Deteção de Utilizadores do Active Directory serve para detetar contas de utilizador a partir de localizações especificadas nos Serviços de Domínio do Active Directory.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows. Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.

Conta de Floresta do Active Directory

A Conta de Floresta do Active Directory serve para detetar infraestruturas de rede a partir de florestas do Active Directory e é também utilizada pelos sites de administração central e sites primários para publicar dados do site nos Serviços de Domínio do Active Directory de uma floresta.

System_CAPS_ICON_note.jpg Nota


Os sites secundários utilizam sempre a conta de computador de servidor do site secundário para publicar no Active Directory.

System_CAPS_ICON_note.jpg Nota


A Conta de Floresta do Active Directory tem de ser uma conta global para detetar e publicar em florestas não fidedignas. Se não utilizar a conta de computador do servidor do site, só pode selecionar uma conta global.

Esta conta tem de ter permissões de Leitura para cada floresta do Active Directory onde pretende detetar infraestruturas de rede.

Esta conta tem de ter permissões de Controlo Total para o contentor de Gestão do Sistema e todos os respetivos objetos subordinados em cada floresta do Active Directory onde pretende publicar os dados do site.

Conta de Servidor Proxy do Ponto de Sincronização do Asset Intelligence

A Conta de Servidor Proxy do Ponto de Sincronização do Asset Intelligence é utilizada pelo ponto de sincronização do Asset Intelligence para aceder à Internet através de um servidor proxy ou de uma firewall que precise de acesso autenticado.

System_CAPS_ICON_important.jpg Importante


Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.

Conta de Ponto de Registo de Certificados

A Conta de Ponto de Registo de Certificados liga o ponto de registo de certificados à base de dados do Gestor de configuração. Por predefinição, é utilizada a conta de computador do servidor de ponto de registo de certificados, mas também é possível configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que o ponto de registo de certificados está num domínio não fidedigno do servidor do site. Esta conta requer apenas acesso de Leitura na base de dados do site, uma vez que as operações de escrita são processadas pelo sistema de mensagens de estado.

Conta para Captura de Imagem do Sistema Operativo

A Conta para Captura de Imagem do Sistema Operativo é utilizada pelo Gestor de configuração para aceder à pasta onde as imagens capturadas são armazenadas ao implementar sistemas operativos. Esta conta é necessária se adicionar o passo Capturar Imagem do Sistema Operativo a uma sequência de tarefas.

A conta tem de ter permissões de Leitura e Escrita na partilha de rede onde a imagem capturada está armazenada.

Se a palavra-passe da conta for alterada no Windows, é necessário atualizar a sequência de tarefas com a nova palavra-passe. O cliente do Gestor de configuração receberá a nova palavra-passe quando transferir a política de cliente.

Se utilizar esta conta, pode criar uma conta de utilizador de conta de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequência de tarefas.

System_CAPS_ICON_important.jpg Importante


Não atribua permissões de início de sessão interativo a esta conta.

Não utilize a conta de Acesso à Rede para esta conta.

Conta de instalação para ligar cliente

A Conta para Instalação Push do Cliente serve para ligar a computadores e instalar o software de cliente do Gestor de configuração se implementar clientes através da instalação push do cliente. Se esta conta não for especificada, é utilizada a conta de servidor do site para tentar instalar o software de cliente.

Esta conta tem de ser membro do grupo de Administradores local nos computadores onde é instalado o software de cliente Gestor de configuração. Esta conta não necessita de direitos de administrador de domínio.

Pode especificar uma ou mais contas de instalação para ligar cliente, que o Gestor de configuração tenta por ordem até uma ter êxito.

System_CAPS_ICON_tip.jpg Dica


Para coordenar de forma mais eficaz atualizações de conta em grandes implementações de Active Directory, crie uma nova conta com um nome diferente e depois adicione-a à lista das contas de instalação push do cliente no Gestor de configuração. Aguarde que os serviços de domínio do Active Directory repliquem a nova conta e depois remova a conta antiga do Gestor de configuração e dos serviços de domínio do Active Directory.

System_CAPS_ICON_important.jpg Importante


Não conceda a esta conta o direito de iniciar sessão localmente.

Conta de Ligação do Ponto de Registo

A Conta de Ligação do Ponto de Registo liga o ponto de registo à base de dados do site do Gestor de configuração. Por predefinição, é utilizada a conta de computador do ponto de registo, mas também pode configurar uma conta de computador. Tem de especificar uma conta de utilizador sempre que o ponto de registo está num domínio não fidedigno do servidor do site. Esta conta necessita de acesso de leitura e escrita à base de dados do site.

Conta de ligação a Exchange Server

A Conta de Ligação a Exchange Server liga o servidor do site ao computador do Exchange Server especificado para localizar e gerir dispositivos móveis que ligam ao Exchange Server. Esta conta necessita de cmdlets do Exchange PowerShell que forneçam as permissões necessárias ao computador do Exchange Server. Para obter mais informações sobre os cmdlets, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.

Conta de servidor proxy de conector do Exchange Server

A Conta de Servidor Proxy de Conetor do Exchange Server é utilizada pelo conetor do Exchange Server para aceder à Internet através de um servidor proxy ou de uma firewall que precise de acesso autenticado.

System_CAPS_ICON_important.jpg Importante


Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.

Conta de Ligação de Ponto de Gestão

A Conta de Ligação de Ponto de Gestão serve para ligar o ponto de gestão à base de dados do site do Gestor de configuração, para que possa enviar e receber informações de clientes. Por predefinição, é utilizada a conta de computador do ponto de gestão, mas também pode configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que o ponto de gestão está num domínio não fidedigno do servidor do site.

Crie a conta como uma conta local, com direitos restritos, no computador que executa o Microsoft SQL Server.

System_CAPS_ICON_important.jpg Importante


Não conceda direitos de início de sessão interativo a esta conta.

Conta de ligação de multicast

A Conta de Ligação de Multicast é utilizada pelos pontos de distribuição que estão configurados para o multicast ler informações da base de dados do site. Por predefinição, é utilizada a conta de computador do ponto de distribuição, mas também pode configurar uma conta de utilizador. Tem de especificar uma conta de utilizador sempre que a base de dados do site estiver numa floresta não fidedigna. Por exemplo, se o seu centro de dados possuir uma rede de perímetro numa floresta que não é o servidor do site e a base de dados do site, pode utilizar esta conta para ler as informações de multicast da base de dados do site.

Se criar esta conta, crie-a como uma conta local, com direitos restritos, no computador que executa o Microsoft SQL Server.

System_CAPS_ICON_important.jpg Importante


Não conceda direitos de início de sessão interativo a esta conta.

Conta de Acesso à Rede

A Conta de Acesso à Rede é utilizada por computadores cliente quando estes não podem utilizar a respetiva conta de computador local para aceder ao conteúdo em pontos de distribuição. Por exemplo, isto aplica-se a clientes e computadores de grupo de trabalho de domínios não fidedignos. Esta conta também pode ser utilizada durante a implementação do sistema operativo quando o computador a instalar o sistema operativo ainda não possui uma conta de computador no domínio.

System_CAPS_ICON_note.jpg Nota


A conta de acesso a rede conta nunca é utilizada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas; apenas para aceder a recursos na rede.

Conceda a esta conta o menor número possível de permissões ao nível do conteúdo de que o cliente necessita para aceder ao software. A conta tem de ter o direito de Aceder a este computador a partir da rede no ponto de distribuição ou outro servidor que contém o conteúdo de pacote. Pode configurar até 10 Contas de Acesso de Rede por site.

System_CAPS_ICON_warning.jpg Aviso


Quando o Configuration Manager tenta utilizar a conta nomedocomputador$ para transferir o conteúdo sem êxito, volta a tentar automaticamente a conta de acesso a rede, mesmo que tenta tentado sem êxito anteriormente.

Crie a conta em qualquer domínio que forneça o acesso necessário a recursos. A Conta de Acesso à Rede tem de incluir sempre um nome de domínio. A segurança pass-through não é suportada para esta conta. Se existirem pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.

System_CAPS_ICON_tip.jpg Dica


Para evitar bloqueios de conta, não altere a palavra-passe de uma Conta de Acesso à Rede existente. Em vez disso, crie uma nova conta e configure-a no Gestor de configuração. Quando tiver passado o tempo suficiente para todos os clientes receberem os detalhes da nova conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta.

System_CAPS_ICON_important.jpg Importante


Não conceda direitos de início de sessão interativo a esta conta.

Não conceda a esta conta o direito de associar computadores ao domínio. Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a Conta de Adesão ao Domínio do Editor de Sequência de Tarefas.

Conta de acesso a pacote

Uma Conta de Acesso a Pacote permite definir permissões NTFS para especificar os utilizadores e grupos de utilizadores que podem aceder a uma pasta de pacote em pontos de distribuição. Por predefinição, o Gestor de configuração atribui o acesso apenas às contas de acesso genéricas Utilizadores e Administradores, embora seja possível controlar o acesso de computadores cliente através de contas ou grupos adicionais do Windows. Os dispositivos móveis obtêm sempre o conteúdo de pacotes de forma anónima, por isso as contas de acesso a pacote não são utilizadas por dispositivos móveis.

Por predefinição, quando o Gestor de configuração cria a partilha de pacote num ponto de distribuição, concede acesso de Leitura ao grupo de Utilizadores local e de Controlo total ao grupo de Administradores local. As permissões reais necessárias vão depender do pacote. Se tiver clientes localizados em grupos de trabalho ou em florestas não fidedignas, esses clientes utilizam a Conta de Acesso à Rede para aceder ao conteúdo dos pacotes. Certifique-se de que a conta de acesso a rede possui permissões para o pacote utilizando as contas de acesso a pacote definidas.

Utilize contas de um domínio que tenham acesso aos pontos de distribuição. Se criar ou alterar a conta após a criação do pacote, necessitará de redistribuir o pacote. A atualização do pacote não altera as permissões NTFS no pacote.

Não é necessário adicionar a conta de acesso a rede como uma conta de acesso a pacote, pois a associação do grupo de Utilizadores adiciona-a automaticamente. Restringir a Contas de Acesso a Pacotes Apenas à Conta de Acesso à Rede não impedirá o acesso dos clientes ao pacote.

Conta do ponto do Reporting Services

A Conta do Ponto do Reporting Services é utilizada pelo SQL Server Reporting Services para obter dados dos relatórios do Gestor de configuração a partir da base de dados do site. A conta de utilizador do Windows e a palavra-passe que especificar são encriptadas e armazenadas na base de dados do SQL Server Reporting Services.

Contas de visualizador permitidas por ferramentas remotas

As contas que especificar como Visualizadores Autorizados para o controlo remoto são uma lista de utilizadores autorizados a utilizar a funcionalidade de ferramentas remotas em clientes.

Conta de Instalação de Sistema de Sites

A Conta de Instalação de Sistema de Sites é utilizada pelo servidor do site para instalar, reinstalar, desinstalar e configurar sistemas de sites. Se configurar o sistema de sites para exigir que o servidor do site inicie ligações a este sistema de site, o Gestor de configuração também utiliza esta conta para retirar dados do computador do sistema de sites após a instalação deste e de todas as respetivas funções. Cada sistema de sites pode ter uma diferente conta de instalação de sistema de sites, mas apenas pode configurar uma conta de instalação de sistema de sites para gerir todas as funções do sistema de sites nesse sistema de sites.

Esta conta necessita de permissões administrativas locais nos sistemas de site que irão instalar e configurar. Além disso, esta conta tem de ter o direito Aceder a este computador a partir da rede na política de segurança nos sistemas de sites que irão instalar e configurar.

System_CAPS_ICON_tip.jpg Dica


Se existirem muitos controladores de domínio e se estas contas forem utilizadas em diferentes domínios, confirme se as contas foram replicadas antes de configurar o sistema de sites.

Quando especificar uma conta local em cada sistema de sites a gerir, esta configuração é mais segura do que utilizar contas de domínio, pois limita os danos que podem ser feitos por atacantes se a conta for comprometida. No entanto, as contas de domínio são mais fáceis de gerir, por isso considere o compromisso entre segurança e administração eficaz.

Conta da ligação ao servidor SMTP

A Conta de Ligação ao Servidor SMTP é utilizada pelo servidor do site para enviar alertas por e-mail quando o servidor SMTP precisa de acesso autenticado.

System_CAPS_ICON_important.jpg Importante


Especifique uma conta que tenha o menor número possível de permissões para enviar mensagens de correio eletrónico.

Conta de ligação de ponto de atualização de software

A Conta de Ligação de Ponto de Atualização de Software é utilizada pelo servidor do site para os dois serviços de atualização de software que se seguem:

  • WSUS Configuration Manager, que configura definições como, por exemplo, definições de produto, classificações e definições a montante.

  • WSUS Synchronization Manager, que pede a sincronização a um servidor WSUS a montante ou ao Microsoft Update.

A Conta de Instalação de Sistema de Sites pode instalar componentes para atualizações de software, mas não pode executar funções específicas de atualização de software no ponto de atualização de software. Se não for possível utilizar a conta de computador do servidor de site para esta funcionalidade porque o ponto de atualização de software está numa floresta não fidedigna, tem de especificar esta conta para além da conta de instalação de sistema de sites.

Esta conta tem de ser um administrador local no computador onde o WSUS está instalado e fazer parte do grupo de Administradores do WSUS local.

Conta de servidor proxy de ponto de atualização de software

A Conta de Servidor Proxy de Ponto de Atualização de Software é utilizada pelo ponto de atualização de software para aceder à Internet através de um servidor proxy ou de uma firewall que precise de acesso autenticado.

System_CAPS_ICON_important.jpg Importante


Especifique uma conta que tenha o menor número possível de permissões para a firewall ou o servidor proxy necessário.

Conta de site de origem

A Conta de Site de Origem é utilizada pelo processo de migração para aceder ao Fornecedor de SMS do site de origem. Esta conta precisa de permissões de Leitura a objetos de site no site de origem para recolher dados para tarefas de migração.

Se atualizar pontos de distribuição do Configuration Manager 2007 ou sites secundários com pontos de distribuição colocalizados para pontos de distribuição do O System Center Configuration Manager, esta conta também terá de ter permissões Eliminar na classe Site para remover com sucesso o ponto de distribuição do site do Configuration Manager 2007 durante a atualização.

System_CAPS_ICON_note.jpg Nota


Tanto a Conta de Site de Origem como a Conta de Base de Dados do Site de Origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração da consola do Gestor de configuração.

Conta de base de dados do site de origem

A Conta de Base de Dados do Site de Origem é utilizada pelo processo de migração para aceder à base de dados do SQL Server do site de origem. Para recolher dados da base de dados do SQL Server do site de origem, a Conta de Base de Dados do Site de Origem tem de ter as permissões Leitura e Executar na base de dados do SQL Server do site de origem.

System_CAPS_ICON_note.jpg Nota


Se utilizar a conta de computador do O System Center Configuration Manager, certifique-se de que todas as opções seguintes são verdadeiras para esta conta:

  • É um membro do grupo de segurança Utilizadores COM Distribuídos no domínio onde reside o site do Configuration Manager 2007.
  • É um membro do grupo de segurança Admins de SMS.
  • Possui permissão de Leitura em todos os objetos do Configuration Manager 2007.
System_CAPS_ICON_note.jpg Nota


Tanto a Conta de Site de Origem como a Conta de Base de Dados do Site de Origem são identificadas como Gestor de Migração no nó Contas da área de trabalho Administração da consola do Gestor de configuração.

Conta de adesão ao domínio do editor de sequência de tarefas

A Conta de Associação de Domínio do Editor de Sequência de Tarefas é utilizada numa sequência de tarefas para associar um computador com imagem recentemente duplicada a um domínio. Esta conta é necessária se adicionar o passo Associar Domínio ou Grupo de Trabalho a uma sequência de tarefas e selecionar Aderir a um domínio. Esta conta também pode ser configurada se adicionar o passo Aplicar Definições de Rede a uma sequência de tarefas, sem que seja necessário.

Esta conta precisa do direito Associação a um Domínio no domínio ao qual o computador será associado.

System_CAPS_ICON_tip.jpg Dica


Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.

System_CAPS_ICON_important.jpg Importante


Não atribua permissões de início de sessão interativo a esta conta.

Não utilize a Conta de Acesso à Rede para esta conta.

Conta de ligação à pasta de rede do editor de sequência de tarefas

A Conta de Ligação de Pasta de Rede do Editor de Sequência de Tarefas é utilizada por uma sequência de tarefas para estabelecer ligação a uma pasta partilhada na rede. Esta conta é necessária se adicionar o passo Ligar à Pasta de Rede a uma sequência de tarefas.

Esta conta necessita de permissões para aceder à pasta partilhada especificada e tem de ser uma conta de domínio de utilizador.

System_CAPS_ICON_tip.jpg Dica


Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.

System_CAPS_ICON_important.jpg Importante


Não atribua permissões de início de sessão interativo a esta conta.

Não utilize a Conta de Acesso à Rede para esta conta.

Conta Run As de sequência de tarefas

A Conta Run As de Sequência de Tarefas é utilizada para executar linhas de comandos em sequências de tarefas e utilizar credenciais diferentes da conta do sistema local. Esta conta é necessária se adicionar o passo Executar Linha de Comandos a uma sequência de tarefas, mas não quiser que esta seja executada com permissões da conta do Sistema Local no computador gerido.

Configure a conta para ter as permissões mínimas necessárias para executar a linha de comandos especificada na sequência de tarefas. A conta necessita de direitos de início de sessão interativo e normalmente requer a capacidade de instalar software e aceder a recursos de rede.

System_CAPS_ICON_important.jpg Importante


Não utilize a conta de Acesso à Rede para esta conta.

Nunca torne a conta num administrador do domínio.

Nunca configure perfis itinerantes para essa conta. Quando a sequência de tarefas for executada, transferirá o perfil itinerante para a conta, o que deixará o perfil vulnerável a acesso no computador local.

Limite o âmbito da conta. Por exemplo, crie Contas Run As de Sequência de Tarefas diferentes para cada sequência de tarefas, de modo a que, se uma conta for comprometida, apenas sejam comprometidos os computadores cliente a que essa conta tenha acesso.

Se a linha de comandos exigir acesso administrativo no computador, considere a criação de uma conta de administrador local apenas para a Conta Run As de Sequência de Tarefas em todos os computadores que executarão a sequência de tarefas, eliminando-a assim que deixar de ser necessária.

Referência técnica para a infraestrutura de hierarquia e site no System Center Configuration Manager

Mostrar: