附錄 E:SMS 安全性程序 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

附錄 E:SMS 安全性程序

發佈日期: 2004 年 9 月 1 日

本附錄包含所有 Microsoft® Systems Management Server (SMS) 2003 相關安全性工作的步驟資訊。本章節提供極少關於每項工作執行的原因資訊,但在《Microsoft Systems Management Server 2003 的方案和處理程序:安全性》中提供其他附錄或最佳實務的相關連結。

除了少數的例外,工作多半是以主文件中的架構加以組織,但這並不是執行工作的順序。

本頁內容

SMS 物件權限

SMS 實作安全性

SMS 通訊安全性

站台系統安全性

SMS 功能安全性

SMS 帳戶管理

SMS 憑證管理

SMS 物件權限

在變更 SMS 物件權限方面,您有很多選擇:

  • 直接變更類別與執行個體權限

  • 使用 SMS 使用者精靈

  • 使用 [Clone SMS User] 對話方塊

  • 使用指令碼 (請參閱《Microsoft Systems Management Server 2003 操作指南》(英文) 中的<附錄 C:使用指令碼進行 SMS 作業>)


    note.gif  注意
    複製使用者的權限到另一個使用者,可能需要花費相當多的時間, 且在這段時間中可能無法使用 SMS Administrator 主控台。若要避免這種問題發生,當您有足夠的類別權限,請勿複製其他使用者的執行個體權限。


    important.gif  重要事項
    在某些情況下,您可以移除 LocalSystem 帳戶的 SMS 權限 - NT Authority\SYSTEM。在一般情況下請不要移除這些權限。此 SMS 版本不會使用這些權限,但新的版本或工具可能會要求。


直接變更類別與執行個體權限

您可以在 SMS Administrator 主控台直接變更 SMS 物件的類別與執行個體權限,方式有以下兩種:

  • 在物件 (例如集合) 上按一下滑鼠右鍵,按一下 [Properties],然後按一下 [Security] 索引標籤。視需要變更權限。

  • 在 [Security Rights] 上按一下滑鼠右鍵,選取 [New],然後按一下 [Class Security Right] 或 [Instance Security Right], 您也可以選取 [Security Rights],在適當的權限上按一下滑鼠右鍵,然後按一下 [Properties]。視需要變更權限。


    note.gif  注意
    使用「委派」權限授予權限時,您只能授予您擁有的權限。在 SMS Administrator 主控台中,您無法授予的權限會顯示鎖定圖示。


[Security Rights] 可以有多種項目,尤其是已上線運作一段時間的 SMS 站台。若要篩選顯示的項目,請在 [Security Rights] 上按一下滑鼠右鍵,然後按一下 [Properties]。清除不想要的項目。

important.gif  重要事項
除非變更權限篩選器,否則權限篩選器會持續生效。日後您返回 [Security Rights] 節點時,可能會看不到所有的權限項目,因而產生混淆。若要避免該問題發生,當您完成權限相關工作時,請在篩選器中包含所有的權限。

使用 SMS 使用者精靈

若要讓增加使用者或群組的 SMS 物件安全性權限更為容易,您可以使用 SMS 使用者精靈。若要使用 SMS 使用者精靈,請移至 SMS Administrator 主控台中的 [Security Rights] 節點。


Systems Management Server 
    ( Site Database (site code - site name) 
     ( Security Rights

在 [Security Rights] 節點上按一下滑鼠右鍵,按一下 [All Tasks],然後選取 [Manage SMS Users]。

SMS 使用者精靈可以讓您修改現有使用者、新增使用者,或移除現有使用者。新增使用者或修改目前的使用者時,您可以個別修改權限或從另一個使用者複製權限。視需要重複這些步驟。

SMS 使用者精靈會自動新增新 SMS 系統管理員到 SMS Admins 群組。

important.gif  重要事項
新增使用者時,SMS 可能會顯示下列訊息:"SMS is unable to verify that the name you entered is an existing Windows user or user group account" (SMS 無法確認您輸入的名稱是現有的 Windows 使用者還是使用者群組帳戶)。造成這個錯誤訊息的原因可能是打字錯誤、導致精靈無法確認帳戶的潛在問題,或帳戶是本機使用者群組。所有具備 SMS 物件安全性權限的帳戶都必須有 SMS WMI 命名空間的存取權。將帳戶置於 SMS Admins 本機群組,就可以授予帳戶存取 SMS WMI 命名空間的權限, 但無法將本機群組加入到本機群組中。因此您必須手動提供本機群組 WMI 權限,讓群組能存取 SMS WMI 命名空間。

複製 SMS 使用者

如果您想要新增與目前的使用者權限相同的使用者,您可以複製 SMS 目前使用者的權限。若要複製 SMS 使用者,請瀏覽至 SMS Administrator 主控台中的 [Security Rights] 節點。

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Security Rights

然後在目前使用者上按一下滑鼠右鍵,按一下 [All Tasks],然後選取 [Clone SMS User]。然而,複製 SMS 使用者精靈並不會將新帳戶放置在 SMS Admins 群組中, 您必須手動操作。

SMS 實作安全性

如需這些工作的詳細資訊,請參閱<保護 SMS 的安全>。

遷移至進階安全性

如果將站台從 SMS 2.0 升級到 SMS 2003,會自動安裝為標準安全性。您應該儘快將 SMS 2003 站台從標準安全性遷移至進階安全性。

在安裝期間,SMS 2003 站台可能會設定為使用標準安全性,如果符合進階安全性的需求,就會變更為進階安全性。

important.gif  重要事項
如果站台從標準安全性錯誤變更為進階安全性,只能使用復原程序回復到標準安全性。如需有關復原程序的詳細資訊,請參閱 SMS 網站上 SMS 2003 產品說明文件頁面上的《Microsoft Systems Management Server 2003 的方案和處理程序:維護、備份及還原》(英文)。

變更安全性模式

  1. 在 SMS Administrator 主控台中,瀏覽到站台的節點。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name)
    
  2. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  3. 如果您確定站台已準備好變更為進階安全性,請在警告訊息中按一下 [Yes]。

在進階安全性變更生效時,SMS 元件可能會失敗,而且錯誤記錄檔可能包含錯誤訊息。請給 SMS 一些時間,讓進階安全性的變更生效, 元件會自動復原。

若要確認哪些站台使用進階安全性,請檢查 SMS Administrator 主控台中每個站台節點的內容。

遷移到進階安全性後,請移除不需要的帳戶。SMS 不會自動移除這些帳戶,  而且遷移到進階安全性不會自動建立所有需要的帳戶,或指派所有需要的群組成員資格。

note.gif  注意
父站台變更為在進階安全性模式中執行時,可能無法使用子次要站台的安全性選項。
設定父站台為進階安全性後,因為子次要站台設定為標準安全性,該 [Site Properties] 對話方塊中的 [Set Security] 按鈕可能無法使用。這將會導致無法將子次要站台從標準安全性變更至進階安全性。
重新啟動子次要站台上的 SMS Executive 服務。這樣會啟用 SMS Administrator 主控台中的 [Set Security]。

從次要站台伺服器執行安裝檔案。

從產品 CD 安裝次要站台伺服器,您在進行安裝時就不需將站台伺服器電腦帳戶加入次要站台伺服器的本機 Administrators 群組。

從 SMS 安裝程式產品 CD 安裝次要站台

  1. 將 SMS 2003 產品 CD 放入伺服器的光碟機中。按一下 [Set up SMS 2003]。

  2. 在 [Welcome] 頁面上,按一下 [Next]。

  3. 在 [System Configuration] 頁面上,按一下 [Next]。

  4. 在 [Setup Options] 頁面上,選取 [Install an SMS secondary site],然後按一下 [Next]。

  5. 在 [Product Registration] 頁面上,填寫欄位,然後按一下 [Next]。您必須輸入 [Product Key] 值,這個值可以在 SMS 2003 產品 CD 的外盒上找到。

  6. 在 [SMS Site Information] 頁面上,輸入唯一的三位數站台代碼、站台名稱與此站台的網域,然後按一下 [Next]。

    caution.gif  警告
    在安裝 SMS 後,如果要變更網域名稱和電腦名稱,必須先移除 SMS 安裝,然後變更名稱,再重新安裝 SMS。若要避免這項費時的工作,在您輸入名稱之前請先參考這項資訊。

  1. 在 [SMS Security Information] 頁面上,選擇您自己的安全性模式:

    • 如果您選擇的是標準安全性模式,請繼續步驟 8。

    • 如果您選擇的是進階安全性模式,請繼續步驟 9。

      note.gif  注意
      如果父站台在標準安全性模式中,就無法在進階安全模式中安裝次要站台。

  2. 如果尚未建立服務帳戶,請在 [SMS Service Account Information] 頁面上使用預設帳戶 (SMSService),或輸入帳戶名稱和密碼。SMS 安裝程式會建立帳戶。如果您已經建立帳戶,請輸入帳戶名稱和密碼。您可以輸入網域和帳戶名稱,並以反斜線 (\) 分隔,指定信任的網域帳戶。信任的網域必須受到站台內所有網域的信任。

  3. 在 [Setup Installation Options] 頁面上,選取要安裝的 SMS 元件,然後按 [Next]。您也可以變更伺服器上安裝元件的資料夾。

  4. 在 [Parent Site Information/Identification] 頁面上,輸入父站台的站台碼,以及次要站台連線的主要站台伺服器名稱。輸入此站台與父站台通訊的網路連線類型,然後按 [Next]。在進階安全性模式中安裝時,無法使用此選項。

  5. 在 [Connection Account Information] 頁面上,指定次要站台與父站台連線的帳戶資訊,然後按一下 [Next]。

  6. 在完成系統管理伺服器安裝精靈上,檢視安裝過程中所做的選擇。若要變更任何選項或規格,請按兩下要變更的項目。變更後連續按 [Next],返回完成系統管理伺服器安裝精靈。若滿意您所做的選擇,按一下 [Finish]。已完成電腦上 SMS 2003 次要站台的安裝。

SMS 通訊安全性

如需這些工作的詳細資訊,請參閱<保護 SMS 通訊的安全>。

停用站台間未簽署的通訊

依照預設,會允許未簽署的通訊。停用未簽署的通訊會比較安全,但會導致沒有執行 SMS 2.0 SP5 的站台無法通訊。

停用站台間未簽署的通訊

  1. 在 SMS Administrator 主控台中,瀏覽到站台的節點。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name)
    
  2. 在站台上按一下滑鼠右鍵,然後選取 [Properties]。

  3. 在 [Site Properties] 對話方塊中,按一下 [Advanced] 索引標籤,然後選取 [Do not accept unsigned data from sites that are running SMS 2.0 SP4 and earlier]。

需要安全金鑰交換

依照預設,並不需要安全金鑰交換。啟用安全金鑰交換會比較安全,但會導致沒有執行 SMS 2.0 SP5 的站台無法通訊。

要求站台間使用安全金鑰交換

  1. 在 SMS Administrator 主控台中,瀏覽到站台的節點。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name)
    
  2. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  3. 在 [Site Properties] 對話方塊中,按一下 [Advanced] 索引標籤,然後選取 [Require secure key exchange between sites]。

使用 Windows 群組原則安裝 (Client.msi) 安裝信任的根目錄金鑰

如果您是使用群組原則安裝 (Client.msi) 安裝進階用戶端,安裝期間用戶端不會自動取得信任的根目錄金鑰,您必須手動設定安裝金鑰。

安裝信任的根目錄金鑰

  1. 在 [記事本] 中,開啟位於 C:\sms\bin\i386\mobileclient.tcf 的檔案。

  2. 複製在 SMSPublicRootKey= 之後的金鑰,並將金鑰儲存文字檔中,存放在任何您想要的位置。

  3. 安裝時設定群組原則使用此語法:msiexec /i \\server\share\client.msi /L*v c:\install.log SMSROOTKEYPATH=<完整路徑與檔案名稱>

確認安裝信任的根目錄金鑰

如果您不確定進階用戶端是否已接收到信任的根目錄金鑰,或想要確認用戶端是否具有正確的信任根目錄金鑰,您可以在進階用戶端上檢視 WMI 中的信任根目錄金鑰。

確認信任根目錄金鑰的安裝

  1. 從 [開始] 功能表,按一下 [執行],然後輸入 Wbemtest

  2. 在 [Windows Management Instrumentation 測試器] 對話方塊中,按一下 [連線], 會出現 [連線] 對話方塊。

  3. 在 [連線] 對話方塊中的 [命名空間] 欄位中,輸入 root\ccm\locationservices,然後按一下 [連線], 會再次出現 [Windows Management Instrumentation 測試器] 對話方塊。

  4. 在 [IWbemServices] 區段中,按一下 [列舉類別], 會出現 [超級類別資訊] 對話方塊。

  5. 在 [超級類別資訊] 對話方塊中,選取 [遞迴],然後按一下 [確定],  會出現 [查詢結果] 視窗。

  6. 在 [查詢結果] 視窗中,捲動到清單的底部,然後按兩下 [TrustedRootKey ()], 會出現 [TrustedRootKey 物件編輯器] 對話方塊。

  7. 在 [TrustedRootKey 物件編輯器] 對話方塊中,按一下 [執行個體], 會出現新的 [查詢結果] 視窗,顯示 [TrustedRootKey] 的執行個體。

  8. 在 [查詢結果] 視窗中,按兩下 [TrustedRootKey=@], 會出現 [TrustedRootKey=@ 物件編輯器] 對話方塊。

  9. 在 [TrustedRootKey =@ 物件編輯器] 對話方塊的 [內容] 區段中,向下捲動到 [TrustedRootKey CIM_STRING]。右邊欄位內的字串即為信任的根目錄金鑰。金鑰應該與位於 C:\sms\bin\i386\mobileclient.tcf 檔案中的 SMSPublicRootKey 相符。

移除信任的根目錄金鑰

如果您將進階用戶端移動到另一個階層和未具備 SMS 延伸架構的站台,您必須在移動用戶端到新站台前移除信任的根目錄金鑰。

在進階用戶端電腦上,執行 CCMSetup RESETKEYINFORMATION = TRUE

重新安裝信任的根目錄金鑰

如果您在移動用戶端到新階層時,移除信任的根目錄金鑰,請重新安裝信任的根目錄金鑰。

重新安裝信任的根目錄金鑰

  1. 在 [記事本] 中,開啟位於 C:\sms\bin\i386\mobileclient.tcf 的檔案。

  2. 複製在 SMSPublicRootKey= 之後的金鑰,並將金鑰儲存文字檔中,存放在任何您想要的位置。

  3. 使用下列其中一種方式與適當語法安裝用戶端:

    • CCMSetup/trustedkeyfile:<完整路徑與檔案名稱>

    • msiexec /i \\伺服器\共用\client.msi /L*v c:\install.log SMSROOTKEYPATH=<完整路徑與檔案名稱>

    • Capinst.exe /advcli /advlicmd /trustedkeyfile:<完整路徑與檔案名稱>

設定進階用戶端 TCP 連接埠

SMS 2003 SP1 會讓您變更與管理點通訊的 TCP 連接埠、伺服器定位器點,以及啟用 BITS 的發佈點。最多可以設定兩個連接埠,並可以指定一個連接埠為預設連接埠,專門指派給新安裝的用戶端。

變更預設 TCP 連接埠

  1. 在 SMS Administrator 主控台中,瀏覽到站台的節點。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name)
    
  2. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  3. 在 [Site Properties] 對話方塊中,按一下 [Ports] 索引標籤。新增連接埠號碼與描述。

啟用清單資料的用戶端簽署與加密

啟用用戶端驗證,防止未授權的用戶端將無效的資料注入 SMS 資料庫。啟用用戶端加密,將所有用戶端起始的通訊予以加密,例如清單與狀態訊息。

important.gif  重要事項
啟用用戶端清單簽署後便無法停用。

啟用清單保護

  1. 在 SMS Administrator 主控台中,瀏覽到站台的節點。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name)
    
  2. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  3. 在 [Site Properties] 對話方塊上,按一下 [Advanced] 索引標籤,然後選取 [Sign data before sending to Management Point] 與 [Encrypt data before sending to Management Point]。

站台系統安全性

如需這些工作的詳細資訊,請參閱<保護 SMS 站台系統的安全>。您也可以參考 SMS 2003 Security Checklists.xls 檔案中的檢查清單,查看強化網際網路資訊服務 (IIS) 與 Microsoft SQL Server™ 的建議步驟清單。

SMS2003 Security checklists.xls

確認安裝 IIS 元件

若要減少網際網路資訊服務 (IIS) 系統受攻擊的風險,請盡量安裝最少的必要元件。如需要基本必要元件的清單,請參閱表 2:站台系統角色與 IIS 元件。

確認安裝的 IIS 元件

  1. 按一下 [開始],按一下 [控制台],按兩下 [新增或移除程式],然後按一下 [新增/移除 Windows 元件]。

  2. 在 [元件] 下按一下 [應用程式伺服器],然後按一下 [詳細資料]。

  3. 在 [應用程式伺服器] 對話方塊的 [應用程式伺服器的子元件] 下,按一下 [網際網路資訊服務 (IIS)],然後按一下 [詳細資料]。

  4. 在 [網際網路資訊服務 (IIS)] 對話方塊的 [網際網路資訊服務的子元件]  下,確認安裝的 IIS 元件。  

  5. 連續按 [確定],直到返回 Windows 元件精靈。

  6. 按一下 [下一步],然後按一下 [完成]。

設定 SQL Server 與 SMS 使用 Windows 驗證

Microsoft SQL Server™ 的建議安全性模式是 Windows 驗證。首先,您必須設定 SQL Server 以 Windows 驗證模式執行,然後再設定 SMS 以 Windows 驗證模式存取 SQL Server。

使用 SQL Server Enterprise Manager 設定 Windows 驗證模式安全性

  1. 從 [開始] 功能表,按一下 [Enterprise Manager]。

  2. 展開伺服器群組。

  3. 在 SMS 站台資料庫伺服器上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 按一下 [安全性] 索引標籤,在 [驗證] 下選取 [只有 Windows]。

如需詳細資訊,請參閱 SQL Server Books Online 上的「驗證模式」主題。

設定 SMS 以 Windows 驗證使用 SQL Server

  1. 登入要升級的主要站台伺服器。使用屬於本機 Administrators 群組的帳戶。

  2. 在 [開始] 功能表上,按一下 [Systems Management Server],然後按一下 [SMS Setup]。

  3. 安裝程式會偵測 SMS 2003 的安裝。若要檢視您的安裝選項,按一下 [Next]。

  4. 在 [Setup Options] 頁面上,選取 [Modify or reset the current installation],然後按一下 [Next]。

  5. 在 [Setup Installation Options] 頁面上,按一下 [Next]。

  6. 在 [SMS Security Information] 頁面上,按一下 [Next]。

  7. 在 [Database Modification] 頁面上,按一下 [Next]。

  8. 在 [Authentication Mode for SMS Site Database] 頁面上,選取 [Yes, use Windows Authentication]。

  9. 在精靈的最後一頁上,按一下 [Finish]。

SMS 安裝程式在站台上安裝元件後,會出現安裝成功的訊息。

將 SMS 站台伺服器電腦帳戶對應到 SMS 站台資料庫的 DBO 使用者

如果 SMS 站台資料庫位於 SMS 站台伺服器以外的伺服器上,而您要修改或移除 SMS 站台資料庫電腦上 Administrators 本機群組的 SMS 站台資料庫存取權限,您需要將 SMS 站台伺服器電腦帳戶對應到 SMS 站台資料庫的 DBO 使用者 SQL 帳戶。請依照下列步驟進行:

將 SMS 站台伺服器電腦帳戶對應到 SMS 站台資料庫的 DBO 使用者

  1. 使用選取的 SMS 站台資料庫啟動 SQL Query Analyzer。

  2. 執行下列查詢,為此電腦帳戶新增登入:

    exec sp_grantlogin '<computer account>' 
    exec sp_changedbowner '<computer account>' 
    exec sp_grantlogin 'NT AUTHORITY\SYSTEM' 
    exec sp_addrolemember 'db_owner', 'NT AUTHORITY\SYSTEM' 
    exec sp_droplogin 'BUILTIN\Administrators'
    

啟用報告點的 HTTPS 存取

在 SMS 2003 SP1 站台中,建議您設定 SMS Administrator 主控台使用 HTTPS 啟動報表檢視器。然而,您應該先根據 IIS 文件設定您的 IIS 伺服器使用 SSL。

設定 SMS Administrator 主控台在連線到報告點時使用 HTTPS

  1. 在 SMS Administrator 主控台中,瀏覽到 [Site Systems]。

    Systems Management Server 
       ( Site Database (site code - site name) 
        ( Site Hierarchy 
         ( site code - site name 
          ( Site Settings 
           ( Connection Accounts 
            ( Site Systems
    
  2. 在詳細資料窗格中,在想要修改的站台系統上按一下滑鼠右鍵,然後按一下 [Properties]。

  3. 在 [Reporting Point] 索引標籤上,選取 [Use https] 核取方塊,並指定連接埠號碼或接受預設的 SSL 連接埠 443。

SMS 功能安全性

如需這些工作的詳細資訊,請參閱<保護 SMS 功能的安全>。

授予使用者報告點的報告存取權

報告點的 SMS 系統管理員與本機系統管理員會自動擁有報告點的報告存取權限。

授予非系統管理員執行 SMS 報告的能力

  1. 將使用者或使用者所屬群組新增到報告點上的 Reporting Users 群組中。

  2. 如果使用者必須存取多重報告點上的報告,請為每個報告點執行步驟 1。

修改報表檢視器使用者的 Internet Explorer 6.0 預設安全性

Internet Explorer 6.0 以及更新版本都已增加預設安全性設定, 但必須為報表檢視器使用者修改此項設定。在每部執行 Explorer 6.0 且必須檢視 SMS 報告的用戶端電腦上執行這項程序。

修改報表檢視器使用者的 Internet Explorer 6.0 預設安全性

  1. 在 Internet Explorer 中選取 [工具],然後選取 [網際網路選項]。

  2. 按一下 [安全性] 索引標籤,然後選取網頁內容區域的 [信任的站台]。

  3. 按一下 [站台]。將使用者能夠存取的每個報告點 URL 新增到信任網站的清單中。

  4. 在 [此區域的安全性等級] 下,按一下 [自訂等級]。

  5. 向下捲動到 [使用者驗證],並變更為 [使用目前的使用者名稱及密碼來自動登入] 登入。

  6. 儲存新的設定。

修改遠端工具的 [允許的檢視器] 清單

如果您要升級 SMS 2.0, [允許的檢視器] 清單中可能會有已中文化的系統管理員名稱,這些名稱並不需要,可以加以移除。當您指定 [允許的檢視器] 清單中的使用者時,請使用「網域\帳戶」的格式,避免模稜兩可。

修改遠端工具的 [允許的檢視器] 清單

  1. 在 SMS Administrator 主控台中,瀏覽到 [Client Agents]。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( (site code - site name) 
           ( Site Settings 
             ( Client Agents
    
  2. 按一下 [Client Agents]。

  3. 在詳細資料窗格中,在 [Remote Tools Client Agent] 上按一下滑鼠右鍵,然後按一下 [Properties]。

  4. 在 [Remote Tools Client Agent Properties] 對話方塊中,按一下 [Security] 索引標籤。

  5. 按一下 [New] spsmss03.gif 按鈕開啟 [New Viewer] 對話方塊,然後指定現有的 Windows 使用者帳戶或群組名稱。

important.gif  重要事項
使用通用群組,而不要使用本機群組。如果成員以巢狀結構置於本機群組中,SMS 就無法列舉通用群組的成員。

設定套件存取權限

預設套件存取權限會允許使用者擁有保存套件的發佈點上套件檔案的 [Read] 與 [Administrators Full Control] 權限。如果沒有使用者需要存取套件,請修改套件存取帳戶的清單,指定為最小權限。若要執行此程序,您必須有套件安全性物件類別或執行個體的 [Modify] 權限。

指定套件存取帳戶

  1. 在 SMS Administrator 主控台中,瀏覽到 [Access Accounts]。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Packages 
          ( packages 
           ( Access Accounts
    
  2. 在 [Access Accounts] 上按一下滑鼠右鍵,指向 [New],然後按一下想要的存取帳戶類型 (Windows 或一般帳戶)。

  3. 在 [Access Account Properties] 對話方塊中,指定可以存取此套件發佈點上的套件的使用者或使用者群組帳戶。

移除套件存取帳戶

  1. 在 SMS Administrator 主控台中,瀏覽到 [Access Accounts]。

    Systems Management Server 
        ( Site Database (site code - site name) 
        ( Packages 
          ( packages 
           ( Access Accounts
    
  2. 在詳細資料窗格中,在想要刪除的帳戶上按一下滑鼠右鍵,然後按一下 [Delete]。

  3. 按一下 [Yes],確認您想要刪除選取的套件存取帳戶。

important.gif  重要事項
如果您要新增、刪除帳戶,或修改現有套件存取帳戶的權限,您必須重新整理發佈點上的套件。

停用 IDMIF 與 NOIDMIF 集合

收集 IDMIF 或 NOIDMIF 對安全性可能造成風險,如果認為這是重大風險,您可以停用 IDMIF 與 NOIDMIF 集合。依照預設,最近安裝的 SMS 2003 站台會停用 MIF 集合。依照預設,之前從 SMS 2.0 升級到 SMS 2003 的站台會啟用 MIF 集合。停用硬體清單 MIF 集合不會停用軟體發佈狀態 MIF 集合。

啟用或停用 MIF 集合

  1. 按一下 [Hardware Inventory Client Agent Properties] 對話方塊中的 [MIF Collection] 索引標籤。

  2. 清除為繼承用戶端與進階用戶端收集 IDMIF 或 NOIDMIF 檔案的選項。

caution.gif  警告
當停用 NOIDMIF 集合時,使用 NOIDMIF 收集的資料會自用戶端被指定的 SMS 站台中刪除。

SMS 帳戶管理

如需 SMS 使用者帳戶的詳細資料,請參閱<附錄 C:SMS 帳戶、群組與密碼>。

建立與修改 SMS 帳戶

下列是建立與變更可以由系統管理員管理的 SMS 帳戶的程序。

建立或修改 SMS 服務帳戶

如果您使用標準安全性安裝 SMS 2003,在安裝過程中會建立 SMS 服務帳戶,並使用您在 SMS 安裝精靈中指定的帳戶名稱與密碼。若要修改 SMS 服務帳戶,您可以透過站台重設或 SMS Administrator 主控台,使用 Windows NT® 網域使用者管理員或 Active Directory® 使用者和電腦進行。

使用 SMS Administrator 主控台建立或修改 SMS 服務帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新的站台系統連線帳戶。

    -或-

    如果您已經建立要進行修改的站台系統連線帳戶,請修改現有帳戶的名稱、密碼或兩者。

  2. 在 SMS Administrator 主控台中,瀏覽到想要指定或變更 SMS 服務帳戶的站台。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name
    
  3. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  4. 在 [Site Properties] 對話方塊中,按一下 [Accounts] 索引標籤,然後按一下 [Set]。

  5. 在 [Windows Account] 對話方塊中:

    指定您在作業系統中新建立的 SMS 服務帳戶的名稱與密碼。

    -或-

    如果您已經建立要進行修改的 SMS 服務帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

為增加可靠性,請使用站台重設變更 SMS 服務帳戶的密碼。

使用站台重設修改 SMS 服務帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中,修改現有帳戶的名稱、密碼 (或兩者)。

  2. 啟動 SMS 安裝精靈。

  3. 在 [Setup Options] 頁面上,按一下 [Modify] 或重設目前的安裝。

  4. 在 [SMS Service account Information] 頁面中,修改帳戶以使用在步驟 1 指定的相同密碼與名稱。

建立或修改 SMS 伺服器連線帳戶

請勿變更現有 SMS 伺服器連線帳戶的密碼, 並使用在刪除舊帳戶前建立新帳戶代替的方式。

建立或修改 SMS 伺服器連線帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中,建立新的站台系統連線帳戶。

  2. 新增帳戶到 Site System to Site Server Connection 群組,但此時請勿移除該群組的舊帳戶。

  3. 重設站台,並在命令提示字元或 smsaccountsetup.ini 中指定新帳戶。出現提示時,核取方塊以變更帳戶。

建立或修改站台系統連線帳戶

若要增強安全性,請指定站台伺服器執行的服務使用站台系統連線帳戶連線到站台系統。如果您不建立這個帳戶,則會使用 SMS 服務帳戶。

建立或修改站台系統連線帳戶

  1. 建立新的站台系統連線帳戶。

    -或-

    如果您已經建立要進行修改的站台系統連線帳戶,修改現有帳戶的名稱、密碼或兩者。

  2. 在 SMS Administrator 主控台中,瀏覽到 [Site System]。

    Systems Management Server 
       ( Site Database (site code - site name) 
        ( Site Hierarchy 
         ( site code - site name 
          ( Site Settings 
           ( Connection Accounts 
            ( Site System
    
  3. 在 [Site System] 上按一下滑鼠右鍵,指向 [New],然後按一下 [Windows User Account]。

  4. 在 [Connection Account Properties] 對話方塊中,按一下 [Set]。

  5. 在 [Windows User Account] 對話方塊中:

  6. 指定您使用作業系統工具建立的新站台系統連線帳戶的名稱與密碼。

    -或-

    如果您已經建立要進行修改的站台系統連線帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

建立或修改站台系統資料庫帳戶

管理點與伺服器定位器點會使用站台系統資料庫帳戶連線到執行 SQL Server 的電腦。依照預設,SMS 會使用 SMS_SQL_RX_站台碼帳戶此帳戶是自動建立與維護的。 如果您在站台重設期間重設伺服器帳戶密碼,並發生了帳戶鎖定,這個預設帳戶可能會鎖定。您可以指定替代帳戶來使用。

建立或修改管理點或伺服器定位器點的站台系統資料庫帳戶

  1. 建立新使用者帳戶或修改現有使用者帳戶。這個帳戶可以是:

    • 執行 SQL Server 電腦上本機帳戶資料庫中的 Windows 帳戶

    • 網域資料庫中的 Windows 帳戶

    • SQL Server 帳戶資料庫中的 SQL Server 帳戶

  2. 在 SMS Administrator 主控台中,瀏覽到想要指定站台系統資料庫帳戶的站台,或想要變更的帳戶。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name 
           ( Site Settings 
            ( Site Systems
    
  3. 在結果窗格中想要修改的管理點或伺服器定位器點上按一下滑鼠右鍵,然後按一下 [Properties]。

  4. 在 [Site System Properties] 對話方塊中,按一下 [Management Point] 或 [Server Locator Point] 索引標籤。在 [Database] 清單中,按一下選取 [Use a different database]。

    tip.gif  提示
    如果您想要設定 SMS 使用「SMS_SQL_RX_站台碼」以外的帳戶,您必須選取 [Use a different database],即使與原本站台使用的資料庫伺服器或 SMS 站台資料庫相同。

  5. 在對話方塊中會出現其他設定選項。

  6. 在 [SQL Server name] 方塊中,輸入 SMS 站台資料庫伺服器的名稱。

  7. 在 [Database name] 方塊中,輸入 SMS 站台資料庫的名稱。

  8. 選取驗證類型。

  9. 按一下 [Set],

  10. 會出現 Windows 使用者帳戶 (Windows 驗證) 或 Microsoft SQL Server™ 帳戶 (SQL Server 驗證)。

  11. 輸入使用者名稱與密碼,然後按一下 [OK]。

important.gif  重要事項
如果您使用 Windows 驗證,您必須新增使用者帳戶到 Site System to SQL Server Connection 群組。

建立或修改用戶端推播安裝帳戶

用戶端推播安裝帳戶並不需要是 Domain Admins 群組的成員,但必須在要安裝 SMS 用戶端軟體的電腦上具有本機系統管理認證。

建立或修改用戶端推播安裝帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新的站台位址帳戶。

    或 -

    如果您已經建立要進行修改的站台位址帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到想要指定用戶端推播安裝帳戶的站台,或想要變更的帳戶。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name 
           ( Site Settings 
            ( Client Installation Methods
    
  3. 在結果窗格的 [Client Push Installation] 上,按一下 [Properties]。

  4. 在 [Site Properties] 對話方塊中,按一下 [Accounts] 索引標籤,然後按一下新帳戶圖示。您可以重複此步驟與步驟 5。

  5. 在 [Windows User Account] 對話方塊中:

    指定您建立的新用戶端推播安裝帳戶名稱與密碼。

    -或-

    如果您已經建立要進行修改的用戶端推播安裝帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

建立或修改站台位址帳戶

在標準安全性站台上,為其他站台建立位址時,必須為每個傳送者位址指定站台位址帳戶。如果沒有設定站台位址帳戶,進階安全性站台可以使用站台伺服器的電腦帳戶。新增帳戶到將連線的站台伺服器上的 Site to Site Connection 群組中。

important.gif  重要事項
如果為某個位址指定了站台位址帳戶,之後決定改用電腦帳戶做為站台位址帳戶,就必須刪除位址並重新建立。您無法只變更位址,把電腦帳戶當作站台位址帳戶使用。

您可以在 SMS Administrator 主控台上,在 Windows NT 網域使用者管理員和 Active Directory 使用者及電腦中建立每個站台位址帳戶。如果您要修改此帳戶,也必須修改這兩個位置的帳戶。

建立或修改站台位址帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新的站台位址帳戶。

    -或-

    如果您已經建立要進行修改的站台位址帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到 [Addresses]。

    Systems Management Server 
       ( Site Database (site code - site name) 
        ( Site Hierarchy 
         ( site code - site name 
          ( Site Settings 
           ( Addresses
    
  3. 按一下 [Addresses]。

  4. 在想要變更站台位址帳戶的位址上按一下滑鼠右鍵,然後按一下 [Properties]。

  5. 在 [Address Properties] 對話方塊中,按一下 [General] 索引標籤,然後按一下 [Set]。

  6. 在 [Windows Account] 對話方塊中:

    指定您建立的新站台位址帳戶名稱與密碼。

    -或-

    如果您已經建立要進行修改的站台位址帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

    note.gif  注意
    您必須在 [Address Properties] 對話方塊的 [General] 索引標籤上將這個帳戶指定給目標站台伺服器。針對 SMS 2003 目標站台,這個帳戶應該新增到目標站台伺服器上的「SMS_SiteToSiteConnection_站台碼」群組。如果您使用進階安全性,請參閱此附錄中的<新增電腦帳戶到群組中>的步驟。

建立或修改站台資料庫帳戶

如果您使用 Windows 驗證,SQL Server 帳戶即為 SMS 站台伺服器電腦帳戶 (進階安全性) 或 SMS 服務帳戶 (標準安全性),不需要修改。如果您使用 SQL Server 驗證,請在 SQL Server 中建立站台資料庫帳戶與密碼,然後設定 SMS 使用此帳戶與密碼。

使用 SMS Administrator 主控台建立或修改站台資料庫帳戶的使用者帳戶

  1. 在 SQL Server Enterprise Manager 中:

    建立站台資料庫帳戶的新使用者帳戶。

    -或-

    如果您已經建立要進行修改的使用者帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到想要指定或變更使用者帳戶的 SMS 站台。

    Systems Management Server 
       ( Site Database (site code - site name) 
        ( Site Hierarchy 
         ( site code - site name
    
  3. 在站台上按一下滑鼠右鍵,然後按一下 [Properties]。

  4. 在 [Site Properties] 對話方塊中,按一下 [Accounts] 索引標籤,然後按一下 [Set]。

  5. 在 [SQL Server Account] 對話方塊中,指定現有的站台資料庫帳戶與密碼。

  6. 指定您在 SQL Server Enterprise Manager 中建立的新使用者帳戶的名稱與密碼。

    -或-

    如果您已經建立要進行修改的使用者帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

為增加可靠性,請使用站台重設變更站台資料庫帳戶的密碼。如果您組織的站台分散在各地區,您可以使用 SMS 軟體發佈或遠端工具執行此變更,無須前往各站台伺服器。

使用站台重設修改站台資料庫帳戶的使用者帳戶

  1. 在 SQL Server Enterprise Manager 中,修改站台資料庫帳戶的現有使用者帳戶名稱、密碼 (或兩者)。

  2. 啟動 SMS 安裝精靈。

  3. 在 [Setup Options] 頁面上,按一下 [Modify or reset the current installation]。

  4. 在 [Integrated Security for SMS Site Database] 頁面上,修改使用者帳戶以使用在步驟 1 指定的相同密碼與名稱。

建立或修改進階用戶端網路存取帳戶

進階用戶端可以使用進階用戶端網路存取帳戶,存取非 SMS 伺服器上的網路共用資料夾。如果啟用了帳戶鎖定,您可以在移除舊帳戶前有建立新帳戶,循環使用帳戶以減少鎖定帳戶的機率。

建立或修改進階用戶端網路存取帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新進階用戶端網路存取帳戶

    -或-

    如果您已經建立要進行修改的進階用戶端網路存取帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到 [Component Configuration]。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name 
           ( Site Settings 
            ( Component Configuration
    
  3. 按一下 [Component Configuration]。

  4. 在詳細資料窗格中的 [Software Distribution] 上按一下滑鼠右鍵,然後按一下 [Properties]。

  5. 在 [Software Distribution Properties] 對話方塊中,按一下 [General] 索引標籤,然後按一下 [Advanced Client Network Access Account] 方塊中的 [Set]。

  6. 在 [Windows User Account] 對話方塊中:

    指定您在作業系統中建立的新進階用戶端網路存取帳戶的名稱與密碼。

    -或-

    如果您已經建立要進行修改的進階用戶端網路存取帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

建立或修改用戶端連線帳戶

SMS 會建立並維護每個 CAP 的本機用戶端連線帳戶 (SMSClient_站台碼),但為提高安全性、站台完整性以及容錯能力,建議額外建立帳戶。

建立或修改用戶端連線帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新的用戶端連線帳戶。

    -或-

    如果您已經建立要進行修改的用戶端連線帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到 [Client]。

    Systems Management Server 
       ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name 
           ( Site Settings 
            ( Connection Accounts 
             ( Client
    
  3. 在 [Client] 上按一下滑鼠右鍵,指向 [New],然後按一下 [Windows]。

  4. 在 [Connection Account Properties] 對話方塊中,按一下 [Set]。

  5. 在 [Windows Account] 對話方塊中:

    指定您建立的新用戶端連線帳戶名稱與密碼。

    -或-

    如果您已經建立要進行修改的用戶端連線帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

建立額外用戶端連線帳戶以免孤立繼承用戶端

在建立額外的 SMS 用戶端連線帳戶時,確定用戶端所在的每個網域都有多重有效帳戶。您可以增加額外帳戶,讓每個用戶端都有多個有效帳戶可以使用,這樣非常有用。舉例來說,假設您建立四個用戶端連線帳戶,但每個帳戶僅對單一網域中的用戶端有效,那麼其他網域的用戶端還是可能發生鎖定。

您可以使用下列程序,確保能隨時維護兩個有效的用戶端連線帳戶。在有站台用戶端使用用戶端連線帳戶的網域中,實作這個程序。下列程序描述如何建立三個新用戶端連線帳戶,及如何在建立其他的新帳戶與刪除舊帳戶間循環。透過建立三個新帳戶、新增新帳戶與刪除舊帳戶的方式,能確保在帳戶維護期間具有兩個新舊有效帳戶。較舊的帳戶可以確保離線很久的用戶端能以有效的帳戶與密碼回到線上。

note.gif  注意
在三個帳戶週期中新增與刪除帳戶的循環間隔應該為作業系統中密碼最長使用期限設定的三分之一。在此程序中,新增與刪除帳戶的間隔為兩個星期 (預設密碼最長使用期限 42 天的三分之一)。

循環使用用戶端連線帳戶

  1. 啟動網域使用者管理員或 Active Directory 使用者及電腦,並建立下列三個帳戶:

    • SMSClient_00001

    • SMSClient_00002

    • SMSClient_00003

    (當您命名帳戶以確定足夠的帳戶容量時,請使用 SMSClient_XXXXX 格式)

  2. 在 SMS Administrator 主控台中,建立三個相同的帳戶。

    如需有關在 SMS Administrator 主控台建立用戶端連線帳戶的詳細資訊,請參閱<Systems Management Server 系統管理員說明>。

  3. 在建立前三個帳戶後的兩個星期,在網域使用者管理員、Active Directory 使用者及電腦與 SMS Administrator 主控台中建立第四個帳戶 (SMSClient_00004)。

  4. 從網域使用者管理員、Active Directory 使用者及電腦與 SMS Administrator 主控台中刪除最舊的帳戶 (SMSClient_00001)。

  5. 刪除最舊帳戶的兩個星期後,新增新帳戶 (SMSClient_00005) 到網域使用者管理員、Active Directory 使用者及電腦與 SMS Administrator 主控台中。

  6. 從網域使用者管理員、Active Directory 使用者及電腦與 SMS Administrator 主控台中刪除最舊的帳戶 (SMSClient_00002)。

每兩個星期使用帳戶名稱中的遞增數字新增帳戶 (SMSClient_0001,SMSClient_0002,以此類推),並刪除數列中最舊的帳戶來繼續這個循環。記得要新增及刪除網域使用者管理員、Active Directory 使用者及電腦與 SMS Administrator 主控台中的帳戶。

建立或修改繼承用戶端軟體安裝帳戶

您可以建立繼承用戶端軟體安裝帳戶,以提供特定通告程式在繼承用戶端電腦上執行時可能要求的安全性內容。只有在通告程式必須有網路資源存取權,且此資源不是由 SMS 管理,帳戶下執行的程式 (目前登入的使用者或用戶端使用者語彙基元帳戶) 無法加以存取時,才需要此帳戶。您可以在 SMS Administrator 主控台上,在 Windows NT 網域使用者管理員和 Active Directory 使用者及電腦中建立用戶端軟體安裝帳戶。如果您變更這個帳戶的密碼,必須變更這兩個位置的帳戶密碼。

建立或修改繼承用戶端軟體安裝帳戶

  1. 在 Windows NT 網域使用者管理員或 Active Directory 使用者及電腦中:

    建立新的用戶端軟體安裝帳戶。

    -或-

    如果您已經建立要進行修改的繼承用戶端軟體安裝帳戶,請修改現有帳戶的名稱、密碼 (或兩者)。

  2. 在 SMS Administrator 主控台中,瀏覽到 [Component Configuration]。

    Systems Management Server 
        ( Site Database (site code - site name) 
         ( Site Hierarchy 
          ( site code - site name 
           ( Site Settings 
            ( Component Configuration
    
  3. 按一下 [Component Configuration]。

  4. 在詳細資料窗格中的 [Software Distribution] 上按一下滑鼠右鍵,然後按一下 [Properties]。

  5. 在 [Software Distribution Properties] 對話方塊中,按一下 [General] 索引標籤,然後按一下 [Legacy Client Software Installation Account] 方塊中的 [Set]。

  6. 在 [Windows User Account] 對話方塊中:

    指定您在作業系統中建立的新用戶端軟體安裝帳戶的名稱與密碼。

    -或-

    如果您已經建立要進行修改的用戶端軟體安裝帳戶,請將帳戶修改為使用步驟 1 中指定的相同密碼與名稱。

修改 SMS 群組成員資格

SMS 會自動維護一些 SMS 群組成員資格。如果帳戶沒有自動新增到群組中,請手動新增。如果帳戶沒有適當的群組成員資格,SMS 作業會失敗。

新增電腦帳戶到群組中

如果您需要新增電腦帳戶 (電腦名稱$) 到 Windows Server 2003 的本機群組或網域本機群組中,您可以修改物件選取器選取電腦帳戶,或使用 net ocalgroup 命令列公用程式。如果您需要新增電腦帳戶到 Windows 2000 Server 的本機群組或網域本機群組中,您僅能使用命令提示字元。

使用 Windows 介面新增電腦帳戶到群組中

  1. 在 [電腦管理] (成員伺服器) 或 [Active Directory 使用者和電腦] (網域控制站) 中,在詳細資料窗格中的群組上按一下滑鼠右鍵,然後按一下 [內容]。

  2. 按一下 [一般] 索引標籤 (成員伺服器) 或 [成員] 索引標籤 (網域控制站),然後按一下 [新增]。

  3. 在 [選擇使用者、電腦或群組] 對話方塊中,按一下 [物件類型]。

  4. 在 [物件類型] 對話方塊中,選取 [電腦],然後按一下 [確定]。

  5. 在 [選擇使用者、電腦或群組] 對話方塊的 [輸入物件名稱來選取] 方塊中輸入電腦名稱$,其中電腦名稱即為您想要新增到群組的電腦名稱。

  6. 按一下 [確定],

  7. 會關閉 [選擇使用者、電腦與群組] 對話方塊。確認您的電腦出現在清單中。

note.gif  注意
當您將電腦設為可選取的物件類型時,這項設定並不會保存到下一次您新增帳戶時。如果您需要新增另一個電腦帳戶,請重複上述步驟,選取正確的物件類型。

使用命令提示字元新增電腦帳戶到群組中

您可以輸入下列命令,將電腦帳戶新增到網域群組或另一部電腦的本機群組:

Net localgroup <group> <domain name>\<computer name>$ /ADD

例如,若要新增 NWTRADERS 網域成員的電腦 Dublin 到 ABC 網域中的 Site System to Site Server Connection 群組,請輸入下列命令:

Net localgroup SMS_SiteSystemToSiteServerConnection_ABC NWTRADERS\DUBLIN$ /ADD

如果您沒有指定電腦帳戶的網域內容,將會預設指定目前的網域內容。

SMS 憑證管理

如需這些工作的詳細資料,請參閱<附錄 B:SMS 憑證基礎結構>。

手動傳送站台金鑰

在建立站台時,每個站台伺服器會產生公開/私密金鑰組。私密金鑰值只能由站台伺服器的作業系統得知。假設站台正在執行 SMS 2.0 SP5 或更新版本,此站台會在建立父/子網站關係時自動交換檔案。

如果您已擴充 Active Directory 架構,並授予 SMS 發佈 Active Directory 的權限,此站台會從 Active Directory 讀取公開金鑰以確認其有效性。mSSMSSite 物件的 serviceBindingInformation 屬性是用來儲存每個站台的公開金鑰。將公開金鑰寫入 Active Directory 需要很大的權限,因此能確定此站台並不是未授權的站台。此金鑰交換的方法是自動發生,但會要求 Active Directory,以及用來建立此站台的帳戶 要有足夠的權限寫入 Active Directory 物件。此方法也不適用於跨越樹系的架構。如果您的站台階層跨越樹系,且沒有擴充您的 Active Directory 架構或授予 SMS 發佈 Active Directory 的權限,您必須在父站台與子站台間手動傳送站台金鑰。

在使用系統管理員帳戶登入時,請使用適當的參數執行 SMS Preinst.exe 工具,然後複製產生的檔案來手動傳送金鑰。表 E.1 列出相關的 Preinst.exe 參數。Preinst.exe 位於 SMS 2003 或 SMS 2.0 SP5 站台伺服器上的 \SMS\bin\i386\<語言碼> 目錄中。

表 E.1   交換站台金鑰的 Preinst.exe 參數

金鑰

用途

如何使用

/KEYFORPARENT

將此站台的公開金鑰傾印到位於 SMS 磁碟機根目錄上的 <站台碼>.ct4 檔案。

複製此檔案到父站台的 hman.box 收件匣中 (不是 hman.box\pubkey)。

/KEYFORCHILD

將此站台的公開金鑰傾印到 <站台碼>.ct5 檔案。

複製此檔案到子站台的 hman.box 收件匣中。

/CHILDKEYS

將此金鑰與所有子站台的公開金鑰傾印到 <站台碼>.ct6 檔案。

複製此檔案到父站台的 hman.box 收件匣中。

/PARENTKEYS

將此金鑰與所有父站台的公開金鑰傾印到 <站台碼>.ct7 檔案。

複製此檔案到子站台的 hman.box 收件匣中。

顯示: