管理 SMS 帳戶 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

管理 SMS 帳戶

發佈日期: 2004 年 9 月 1 日

您對 Systems Management Server (SMS) 的帳戶管理方式,依照使用的是進階安全性或標準安全性,及使用進階用戶端或繼承用戶端而定。從安全性的立場看來,不宜使用繼承用戶端。請儘可能迅速將繼承用戶端從環境中移除。

本節詳述管理 SMS 帳戶的最佳實務作法。如需所有 SMS 帳戶的完整清單,包括由 SMS 自動建立及維護的清單在內,請參閱<附錄 C:SMS 帳戶、群組與密碼>。關於 SMS 帳戶管理的相關作業,請參閱<附錄 E:SMS 安全性程序>的<SMS 帳戶管理>。

本節首先討論標準與進階安全性兩者都適用的一般帳戶管理。若使用進階安全性,可降低大部分的帳戶複雜性,但起始設定的過程中可能需要系統管理員執行較多手動步驟。若執行標準安全性,另有更多安全性的最佳實務作法。如果您不得不執行繼承用戶端,請參閱<附錄 D:繼承用戶端安全性環境>,取得繼承用戶端安全性的相關資訊。

本頁內容

一般原則

管理進階安全性帳戶

管理標準安全性帳戶

一般原則

下列原則適用於進階與標準安全性兩者。

在每一個站台或每一個網域中使用唯一帳戶

依此方式,如果帳戶在一個位置遭到入侵,其他位置便再也無法使用它。為避免混淆,請提供唯一帳戶唯一的使用者名稱 (而非只在唯一的 SAM 資料庫中)。

選擇能在便於系統管理與風險性之間達成平衡的用戶端安裝方法

安裝 SMS 用戶端需要電腦上的系統管理認證。取得這類認證的方式有幾種,各依照不同的用戶端安裝方法而為適當方式:

  • 使用者本身在所使用的電腦上可能已有系統管理認證。在此情況下,如果用戶端是在登入指令檔之中安裝,登入過程中這類認證可用於用戶端安裝。或者,使用者也可從共用資料夾、網站或類似來源安裝軟體。

  • 您可能有在所有電腦上都有系統管理認證的網域或本機帳戶。用戶端發送安裝可用該帳戶安裝用戶端。如果沒有這樣的帳戶,可嘗試取得是「網域使用者」、但加入至所有用戶端電腦上本機 Administrators 群組的帳戶。您可使用 [群組原則] 的 [受限群組] 功能自動加入成員至群組,強制成立在群組中的成員資格。

  • 您已設置的軟體發佈方法可能有能力以系統管理認證安裝軟體。例如,可將 SMS 2.0 用戶端升級至 SMS 2003 進階用戶端。這樣的情形下,您可使用軟體發佈將進階用戶端部署到這些電腦。

  • 在高安全性的環境下,可請網路管理員手動安裝所有 SMS 用戶端,以控制用戶端元件安裝的位置與方式。

使用者若須要存取 SMS Administrator 主控台、但不必是本機系統管理員,請加入至 SMS Admins 中

SMS Admins 可供成員存取 SMS Provider (透過 WMI)。

如果要使用不同的本機群組授與 SMS Administrator 主控台存取權,請指派必要的 WMI 權限

如果您建立自有的本機或網域本機群組以提供對 SMS Administrator 主控台的存取權,則也必須授與該本機或網域本機群組和 SMS Administrators 群組相同的 WMI 權限。在預設的情況下,Everyone 帳戶有 [執行方法]、[提供者寫入] 及 [啟用帳戶] 權限。SMS Admins 群組在 Root\SMS 名稱區中明確獲得 [啟用帳戶] 及 [遠端啟用] 權限。

如果使用者只需要存取報告、不須存取 SMS Administrator 主控台,加入至 Reporting Users

在執行 SQL Server 的伺服器上使用 [Windows 的帳戶驗證] 模式時,Reporting Users 可控制對 SMS Reports 網站的存取權。因為 Reporting Users 是本機群組,所以如果使用者需要存取多重報告點,您必須將該使用者分別加入至每一個報告點。

如果只有一位系統管理員知道帳戶密碼,妥善保管並集中儲存密碼

為維護 SMS 安全性,只讓一位系統管理員知道最強大 SMS 帳戶 (或儘可能所有帳戶) 的密碼。這一點通常以較小型的組織方為可行。在此情況下,系統管理員可將書面密碼放在密封的信封內,儲存於安全的位置,如僅有授權人員能接觸的公司保險箱。

依此儲備措施,SMS 必須進行重要變更時,如果 SMS 系統管理員不在,可由經理或其他授權人員將必要的密碼提供給知識充分的 SMS 專家。密封的信封可證明密碼自設定後,無人曾經取得。

每當密碼變更時,務必記得更新信封中的密碼記錄。

tip.gif  提示
另一項選擇是實施 SMS Administrator 密碼的聯合共管。將密碼分割為二、三部分,分別交給不同的系統管理員。所有系統管理員都必須依正確順序輸入自己的那部分密碼,方能存取帳戶。
在高安全性的環境下,為 SMS Administrator 帳戶要求智慧卡。  

管理進階安全性帳戶

進階安全性支援並需要極少數的帳戶。為高效規劃及管理 SMS 安全性,瞭解管理 SMS 帳戶所需的系統管理動作非常重要。本節假設您使用 SQL Server 與建議的 [Windows 的帳戶驗證]。

進階安全性永遠使用下列帳戶:

  • 本機系統

  • 電腦 (computername$)

如果使用用戶端發送安裝方式安裝用戶端,必須在目標用戶端上建立具有系統管理權限的「用戶端發送安裝」帳戶。進階安全性中,沒有 SMS Service 帳戶可供用戶端發送安裝回復過去,而且站台伺服器電腦帳戶無法使用於用戶端發送安裝。

note.gif  注意
如果規劃使用用戶端發送安裝將進階用戶端部署到隸屬為 Windows NT 4.0 網域成員的電腦,但不會有使用者從本機登入目標系統,則您也必須建立 Advanced Client Network Access 帳戶。

確認適當的電腦帳戶具備一切必要權限

進階安全性需要的帳戶較少,但需要較多系統管理動作,以提供適當的安全性環境。要求系統管理上的介入,可提供安全 SMS 帳戶管理的檢查與平衡。

下一節與其說是最佳實務作法,更應該視為使進階安全性正確作用的需求。進階安全性的錯誤大多是由於群組設定錯誤所致。

確認管理點、用戶端存取點、報告點、伺服器定位點,及 SMS 站台資料庫伺服器 (如果在遠端) 的電腦帳戶已加入至 [站台系統對站台伺服器連線] 群組

將標準安全性站台升級為採用進階安全性時,SMS 會自動將用戶端存取點 (CAP)、管理點及 SMS 站台資料庫伺服器 (如果在遠端) 的電腦帳戶加入至 [站台系統對站台伺服器連線] 群組。您必須手動加入報告點及伺服器定位點。請勿加入發佈點至這個群組。

確認所有站台都將帳戶完成站台間通訊的設定

如果要從標準安全性遷移到進階安全性,現有的 Site Address 帳戶仍可作用。如果您後來決定要使用電腦帳戶作為 Site Address 帳戶,請確認所執行傳送電腦的電腦帳戶是接收電腦上 Site to Site Connection 群組的成員。子站台僅傳送至父站台,但父站台則可起始與子或孫站台的站台間通訊,因此需要擁有在孫站台上 Site to Site Connection 群組的成員資格。

important.gif  重要事項
如果將網域使用者帳戶指定為 Site Address 帳戶,後來又決定要使用電腦帳戶作為 Site Address 帳戶,則必須將位址刪除後再重新建立。從使用者帳戶轉為 computername$ 帳戶時,變更帳戶名稱是不夠的。

確認已將站台伺服器的電腦帳戶新增至每個管理點、用戶端存取點、報告點、伺服器定位器點、SMS 站台資料庫伺服器 (若是遠端) 以及發佈點的本機 Administrators 群組。

如果使用 Windows Server 2003,可使用圖形使用者介面將電腦帳戶加入至群組中。如果使用 Windows 2000 Server,只能以命令提示字元將電腦帳戶加入至本機群組或本機網域群組。如需程序,請參閱<附錄 E:SMS 安全性程序>的<新增電腦帳戶到群組中>。

確認管理點、伺服器定位點,及報告點的電腦帳戶已加入至 [站台系統對 SQL Server 連線] 群組

只有在採取進階安全性的情況下,當您在站台啟用管理點與伺服器定位點站台系統時,SMS 才會嘗試自動將管理點與伺服器定位點的電腦帳戶加入至 [站台系統對 SQL Server 連線] 群組。如果站台伺服器的電腦帳戶沒有對執行 SQL Server 的伺服器進行系統管理的權限,您必須手動加入帳戶至群組中。發生的情況通常是,次要站台伺服器並非父站台伺服器所屬 SMS 站台資料庫伺服器的系統管理員。

授與站台伺服器電腦帳戶權限,以在 Active Directory 中發佈 (已延伸 Active Directory 架構之後方適用)

如果您安裝使用標準安全性的 SMS 並延伸架構,應該已授與 SMS Service 帳戶對 System Management 容器及 Active Directory 中所有子物件的完整控制權。將站台遷移至進階安全性之後,您必須將 SMS Service 帳戶的存取控制清單 (ACL) 移除,將 System Management 容器及所有子物件的完整控制權授與站台伺服器電腦帳戶。

如果您已延伸架構,並安裝使用進階安全性的 SMS,則表示已授與站台伺服器電腦帳戶對 Active Directory 中 System Management 容器的完整控制權。未授與適當權限之前,SMS 無法發佈資訊到 Active Directory。

如需在 Active Directory 中延伸架構及授與必要發佈權限的特定程序,請參閱 Microsoft 下載中心站台的《Active Directory 針對 Systems Management Server 2003 的架構修改與發佈》(英文) 白皮書。

從標準安全性遷移至進階安全性後,刪除不再需要的帳戶 (進階用戶端環境)

將站台遷移至進階安全性,因為用戶端、或其他站台可能需要,所以不會造成標準安全性帳戶自動刪除。當您確定不會再使用,可將這些帳戶移除。

caution.gif  警告
本清單假設站台中沒有繼承用戶端,並指引您移除所有繼承用戶端帳戶。如果有繼承用戶端,請參閱<附錄 D:繼承用戶端安全性環境>的<遷移至進階安全性之後,刪除不再需要的安全性帳戶 (繼承用戶端環境)>。

一律刪除

  • SMS Service 帳戶

  • CCM 開機載入器 (DC) (SMS#_dc)

  • CCM 開機載入器 (非 DC) (SMSCCMBootAcct&)

  • 用戶端服務 (DC) (SMS&_dc)

  • 用戶端服務 (非 DC) (SMSCliSvcAcct&)

  • 用戶端使用者語彙基元 (DC) (SMSCliToknAcct&)

  • 用戶端使用者語彙基元 (Non-DC) (SMSCliToknLocalAcct&)

  • 用戶端連線 (SMSClient_站台碼)

  • 繼承用戶端軟體安裝

  • 內部用戶端群組 (SMSInternalCliGrp)

有時要刪除

  • 站台系統資料庫 (SMS_SQL_RX_站台碼)    如果下列條件全部為真,請勿刪除此帳戶:

    • 您有以標準安全性執行的次要站台。

    • 次要站台使用 Proxy 管理點。

    • 您尚未設定存取父站台所屬 SMS 站台資料庫伺服器的替代帳戶。

  • 伺服器 (SMSServer_站台碼)     如果您的 SMS 站台資料庫位在站台伺服器上,請刪除此帳戶。使用 SMS 2003 (不含 SP1) 時,如果 SMS 提供者安裝在執行 SQL Server 的遠端電腦上,刪除 [SMSServer_站台碼] 帳戶會使站台伺服器無法存取 SMS 站台資料庫伺服器。*SP 升級至 SMS 2003 SP1 之後便不再是這種情形。*SP 如需更多資訊,請至 Microsoft TechNet,在《SMS 2003 操作發行注意事項》中搜尋 "Transitioning from Standard Security to Advanced Security Might Fail" (從標準安全性轉換至進階安全性可能會失敗)。 

請勿刪除

  • 下列群組:

    • SMS 系統管理員 (SMS Admins)

    • 報告使用者 (SMS Reporting Users)

    • 站台系統對站台伺服器連線 (SMS_SiteSystemToSiteServerConnection_站台碼)

    • 站台系統對 SQL Server 連線 (SMS_SiteSystemToSQLConnection_站台碼)

    • 站台間連線 (SMS_SiteToSiteConnection_站台碼)

  • 下列帳戶:

    • Client Push Installation 帳戶 (除非您對帳戶的需要已改變)

    • Advanced Client Network Access 帳戶 (除非您對帳戶的需要已改變)

    • 您已加入至 [SMS_SiteToSiteConnection_站台碼] 的 Any Site Address 帳戶,除非已取代為電腦帳戶。

管理標準安全性帳戶

標準安全性模式支援並需要大量帳戶,您可使用來管理 SMS 作業。您在 SMS 中需要越多帳戶,這些帳戶的管理就越困難,整體管理 SMS 的安全性時也更為複雜。減少標準安全性中的帳戶數目會使安全性的風險提高;因為如果其餘的帳戶中有任何一個遭到入侵,可使用的所有電腦都可能遭入侵。

安裝標準安全性時管理帳戶的建立

使用命命列參數或 SMSAccountSetup.ini 檔案安裝 SMS,可控制帳戶名稱與位置。安裝過程中控制帳戶,可減少大型組織中預設會建立的帳戶數目。控制帳戶對於可用性與復原能力方面也很重要。如需安裝期間如何控制帳戶建立的詳細資訊,請參閱<附錄 C:SMS 帳戶、群組與密碼>的<安裝命令列選項>。

important.gif  重要事項
起始檔案、或有命令列選項的任何批次檔,都會以純文字顯示這些預設伺服器與用戶端連線帳戶的密碼。因此,限制對這些檔案的存取非常重要。Windows NT 系統目錄有存取限制,但如果這些檔案存在於該目錄以外,您必須格外留意。

為 SMS 伺服器連線帳戶建立您本身的密碼

當您起始設定站台時,安裝程式會以隨機密碼建立預設的 SMS Server Connection 帳戶 (SMSServer_<站台碼>)。這個帳戶是由遠端站台系統上的元件使用來對站台伺服器來回讀寫資料。若您在修復作業中重新站台,安裝程式會以不同於原始密碼的另一個隨機密碼重新建立 SMS Server Connection 帳戶。

為使修復中的站台伺服器與站台中所有站台系統能夠適當通訊,您必須將 SMS Server Connection 帳戶的新密碼傳播到站台中的所有站台系統。為達成此目的,您必須執行站台重設,此項作業可能需花一些時間才能完成。

藉由為 SMS Server Connection 帳戶指定您本身的密碼,可避免修復作業過程中執行站台重設的必要。當您起始設定站台時,不允許安裝程式產生隨機密碼,您可改為使用 SMSAccountSetup.ini 檔、或設定命令列參數,以指定您本身的密碼。請將密碼保存在安全的地方,於站台修復作業過程中要重建站台時再重新利用。此實務作法能簡化修復程序。

使用下列選用帳戶來降低對 SMS 服務帳戶的倚賴

如果下列選用帳戶不存在,SMS Service 帳戶可用來應急。SMS Service 帳戶應儘可能不使用,以降低入侵帳戶的機會。如果有下列帳戶存在,SMS 會改為使用:

Site System Connection 帳戶

SMS Site System Connection 帳戶由站台伺服器連線到站台系統時使用。

Client Push Installation 帳戶

Client Push Installation 帳戶由 Client Configuration Manager 用來將 SMS 用戶端軟體安裝到電腦上。

Site Address 帳戶

Site Address 帳戶能建立通訊,及在父、子站台之間傳輸資料。

如需所有 SMS 帳戶的完整清單,包括由 SMS 自動建立及維護的清單在內,請參閱<附錄 C:SMS 帳戶、群組與密碼>。

為有所手動建立的標準安全性帳戶設定帳戶原則,使密碼永不過期

下列帳戶必須以手動方式維護: 為避免 SMS 作業中斷,其密碼應設定成為永不過期。不過,應手動定期循環更新,以維護安全性。

  • SMS Service 帳戶

  • Site System Connection 帳戶

  • Client Push Installation 帳戶

  • Site Address 帳戶

  • Client Connection 帳戶

  • Advanced Client Network Access 帳戶

  • Legacy Client Software Installation 帳戶

不要手動變更 SMS 程序自動維護的帳戶

除非另有註明,否則不要變更 SMS 在標準安全性中自動建立及維護的密碼、帳戶名稱,或帳戶權限。為增強安全性,SMS 會隨機產生這些帳戶的密碼,並且加密。如果手動變更下列帳戶,相關程序無法順利執行,您會蒙受強制帳戶失去同步而導致帳戶鎖定的風險:

  • 預設的 Client Connection 帳戶 (SMSClient_站台碼)

  • Remote Service 帳戶 (SMSSvc_站台碼_xxxx)

  • 預設的 SMS Server Connection 帳戶 (SMSServer_站台碼).

  • 預設的 Site System Database 帳戶 (SMS_SQL_RX_站台碼)

    note.gif  注意
    如果在安裝期間建立本身的 SMS Server Connection 帳戶或 Site System Database 帳戶,可變更這些帳戶的密碼。如果必須執行站台重設,必須使用相同的命令列內容、或 SMSAccountSetup.ini 檔案,指定您在站台設定期間所指定的相同帳戶。

若要變更無法以手動方式變更帳戶的密碼,請使用相關的 SMS 工具來變更密碼。例如,若要變更 Remote Service 帳戶密碼,請執行站台重設。如需詳細資訊,請參閱<附錄 C:SMS 帳戶、群組與密碼>的<站台重設>。

important.gif  重要事項
如果建立這些帳戶之後於多重站台之間共用,請為這些角色建立新的帳戶,待用戶端的伺服器全都設定新帳戶再循環更新帳戶。

  • 站台系統資料庫 (SMS_SQL_RX_站台碼)

  • SMS Server Connection 帳戶 (SMSServer_站台碼)

  • Client Connection 帳戶

顯示: