確認帳戶權限

為確保 Enterprise Manager 伺服器能與下層 Client Security 部署進行通訊,您必須確認 Enterprise Manager 中使用的安裝與服務帳戶具有適當權限。

您用來登入以安裝 Enterprise Manager 伺服器的使用者帳戶稱為安裝帳戶。此帳戶必須是將做為 Enterprise Manager 伺服器的 Client Security 伺服器的系統管理員。此外,此帳戶對於下列項目必須擁有 SQL Server EXECUTE 權限:

  • Enterprise Manager 集合伺服器 (OnePoint) 與報告資料庫 (SystemCenterReporting)。
  • 下層 Client Security 集合伺服器與報告資料庫。
授與 SQL Server 權限
  1. 在 SQL Server 上,啟動 [SQL Server Management Studio],並在 [物件總管] 中展開 [安全性]。

  2. 在 [登入] 上按一下滑鼠右鍵,然後按一下 [新增登入]。

  3. 在 [登入 - 新增] 方塊中,按一下 [搜尋]。

  4. 在 [選取使用者或群組] 方塊中,按一下 [位置],選擇要搜尋的位置,然後按一下 [確定]。

  5. 在 [請輸入物件名稱來選取] 欄位中,鍵入您要新增至登入的帳戶使用者名稱,然後按一下 [確定]。在 [登入 - 新增] 方塊中,按一下 [確定]。

  6. 在 [物件總管] 中,展開 [資料庫]、[OnePoint],然後展開 [安全性]。

  7. 在 [使用者] 上按一下滑鼠右鍵,然後按一下 [新增使用者]。

  8. 在 [資料庫使用者] 對話方塊中,按一下省略符號按鈕。

  9. 在 [選取登入] 方塊中的 [請輸入物件名稱來選取] 之下,鍵入登入名稱,然後按一下 [確定]。

  10. 在 [資料庫使用者] 對話方塊中的 [使用者名稱] 欄位之下,鍵入資料庫使用者名稱,然後按一下 [確定]。

  11. 在 [物件總管] 中的 [OnePoint] 上按一下滑鼠右鍵,再按一下 [屬性]。

  12. 在 [資料庫屬性] 頁面中的 [選取頁面] 之下,按一下 [權限]。

  13. 選取您要指派權限的使用者,然後在 [username 的明確權限] 之下,選取 [執行] 的 [授與] 核取方塊,然後按一下 [確定]。

  14. SystemCenterReporting 資料庫重複執行步驟 5 至 12。

用來安裝 Enterprise Manager 下層元件的使用者帳戶,必須是 Client Security 伺服器上的系統管理員。此外,此使用者帳戶需要 Enterprise Manager 伺服器報告資料庫上的 SQL Server EXECUTE 權限。

在安裝 Enterprise Manager 元件之前,您必須建立在安裝 Client Security 時要求的使用者帳戶。如需詳細資訊,請參閱建立安裝與服務帳戶 (http://go.microsoft.com/fwlink/?LinkID=86650)。

Enterprise Manager 資料存取伺服器 (DAS) 帳戶

Enterprise Manager 伺服器上的資料存取伺服器 (DAS) 帳戶需要擁有下列項目上的 SQL Server EXECUTE 權限:

  • Enterprise Manager 集合伺服器 (OnePoint) 與報告資料庫 (SystemCenterReporting)。
  • 下層 Client Security 集合伺服器與報告資料庫。

Enterprise Manager 下層伺服器的 DAS 帳戶,必須新增至 Enterprise Manager 伺服器的 MOM Service 群組中,以啟用將警示轉寄至 Enterprise Manager 伺服器。

Enterprise Manager 系統管理員必須在包含下層 Client Security 伺服器與受管理電腦的所有 Active Directory® 網域中擁有權限。

如果單一使用者將擔任 Enterprise Manager 系統管理員,則該使用者必須擁有《Client Security 系統管理指南》中,使用使用者角色中所述及之所有使用者角色的所有權限 (http://go.microsoft.com/fwlink/?LinkID=86555)。

區隔 Enterprise Manager 系統管理員的角色時,必須考量與多個網域環境相關的這些角色所需的權限。例如,可將建立 Client Security 原則的能力授與一位個別使用者;這位使用者就成為原則部署員。下表詳細說明原則部署員需要的權限。

部署目標 必要權限
  • 網域
  • OU
  • 安全性群組

原則部署員必須擁有建立、修改、刪除與連結群組原則物件 (GPO) 的權限。若為網域與組織單位 (OU) 的原則部署,原則部署員必須具備這些權限且層級必須適當;網域原則是網域層級,或 OU 原則是 OU 層級。若為安全性群組部署,原則部署者必須在網域層級上具有這些權限。

若要部署至遠端網域、OU,與安全性群組,那麼原則部署員必須在各個遠端網域中擁有建立、修改、刪除與連結 GPO 的權限;但是您不能將 Enterprise Manager 網域中的原則部署員新增到遠端網域中 Group Policy Creator Owners 通用群組中。相反地,您可以:

  • 將原則部署員新增到 Enterprise Manager 網域的 Group Policy Creator Owners 群組中。
  • 在每個遠端網域中:
    • 建立網域-本機群組。
    • 使用 [群組原則管理] 主控台,將 GPO 建立權限委派到新的網域-本機群組。
    • 將 Enterprise Manager 網域的 Group Policy Creator Owners 群組新增到您在遠端網域中建立的網域-本機群組。

GPO

原則部署者必須具有編輯 GPO 的權限,以便將 Client Security 原則散發到用戶端電腦。

如需關於使用其他使用者角色的資訊,請參閱《Client Security 系統管理員指南》的使用使用者角色 (http://go.microsoft.com/fwlink/?LinkID=86555)。

Enterprise Manager 系統管理員在下列項目上必須擁有 SQL Server EXECUTE 權限:

  • Enterprise Manager 集合伺服器 (OnePoint) 與報告資料庫 (SystemCenterReporting)。
  • 下層 Client Security 集合伺服器與報告資料庫。

Enterprise Manager 儀表板中排程的工作均會更新,維持在最新狀態,預設每 5 分鐘執行一次。此工作以 SQL Server 代理程式工作的形式而執行,且會查詢下層 Client Security 資料庫以取得儀表板資料。

SQL Server 代理程式服務執行的使用者帳戶必須具有對於下層 Client Security 資料庫的 SQL Server CONNECTSELECTEXECUTE 權限。

顯示: