附錄 C:SMS 帳戶、群組與密碼 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

附錄 C:SMS 帳戶、群組與密碼

發佈日期: 2004 年 9 月 1 日

為加強安全性,Systems Management Server (SMS) 可以針對不同的站台與用戶端功能使用多個不同的帳戶。使用這些帳戶,就不需在網路上授予網域系統管理存取權。只要授予最低限度的權限,就可以降低單一帳戶的安全性破壞可能對其他 SMS 程序造成的風險。

表 C.1    SMS 使用者帳戶

帳戶類別

易記名稱

介面名稱

一般伺服器與用戶端

本機系統

不適用

進階安全性

電腦

Computername$

SiteServerComputername$

SiteSystemComputername$

標準安全性

SMS 服務

系統管理員選定

標準安全性

SMS 伺服器連線

SMSServer_站台碼 (可變動)

標準安全性

站台系統連線

系統管理員選定

標準安全性

遠端服務

SMSSvc_站台碼_xxxx

標準安全性

站台系統資料庫

SMS_SQL_RX_站台碼  (可變動)

一般伺服器

用戶端推播安裝

系統管理員選定

一般伺服器

站台位址

系統管理員選定

一般資料庫

站台資料庫

系統管理員選定

一般資料庫

Web 報告應用程式角色

webreport_approle

一般資料庫

SMS 架構使用者

smsschm_users

進階用戶端

進階用戶端網路存取

系統管理員選定

傳統用戶端

CCM 開機載入器 (DC)

SMS#_dc

傳統用戶端

CCM 開機載入器 (非 DC)

SMSCCMBootAcct&

傳統用戶端

用戶端服務 (DC)

SMS&_dc

傳統用戶端

用戶端服務 (非 DC)

SMSCliSvcAcct&

傳統用戶端

用戶端使用者語彙基元 (DC)

SMSCliToknAcct&

傳統用戶端

用戶端使用者語彙基元 (非 DC)

SMSCliToknLocalAcct&

傳統用戶端

用戶端連線

SMSClient_站台碼

傳統用戶端

傳統用戶端軟體安裝

系統管理員選定

表 C.2    SMS 群組

帳戶名稱

群組名稱

群組類型和位置

SMS 系統管理員

SMS Admins

SMS 站台伺服器本機群組,也是遠端 SMS 提供者電腦上的群組 (如果有使用)

站台系統對站台伺服器連線

SMS_SiteSystemToSiteServerConnection_站台碼

SMS 站台伺服器本機群組

站台對站台連線

SMS_SiteToSiteConnection_站台碼

SMS 站台伺服器本機群組

站台系統對 SQL Server 連線

SMS_SiteSystemToSQLConnection_站台碼

Microsoft SQL Server™ 本機群組

報告使用者

SMS Reporting Users

報告點的本機群組

內部用戶端群組

SMSInternalCliGrp

 

本頁內容

一般伺服器與用戶端帳戶

進階安全性帳戶

標準安全性帳戶

一般伺服器帳戶

一般資料庫帳戶

進階用戶端帳戶

傳統用戶端帳戶

群組

站台安裝時的帳戶管理

以站台重設重設帳戶

一般伺服器與用戶端帳戶

有一個帳戶是 SMS 進行用戶端及伺服器作業都會使用的,就是本機系統帳戶。它用於進階安全性以及進階用戶端功能。

本機系統

LocalSystem 帳戶是代表作業系統的安全性主體。

表 C.3   本機系統功能

功能

必要權限

附註

提供 SMS Executive 服務在站台伺服器上執行所需的安全性內容 (進階安全性)。

帳戶本身具有本機電腦上所有需要的權限。

標準安全性會改用 SMS 服務帳戶。

在站台伺服器上建立檔案、目錄、服務 (進階安全性)。

帳戶本身具有本機電腦上所有需要的權限。

標準安全性會改用 SMS 服務帳戶。

在站台系統上建立檔案、目錄、服務 (進階安全性)。

帳戶本身具有本機電腦上所有需要的權限。

標準安全性會使用站台系統連線帳戶 (如果帳戶存在), 如果帳戶不存在,則會改用 SMS 服務帳戶。如果站台系統在遠端,請將 siteserver_computername$ 帳戶加入 Site System to Site Server Connection 群組。

執行進階用戶端服務。

帳戶本身具有本機電腦上所有需要的權限。

傳統用戶端會使用數個帳戶替代 LocalSystem 帳戶。

進階安全性帳戶

SMS 伺服器必須與其他電腦上的資源 (共用資料夾或 WMI 連線) 連線,才能在站台內或跨站台傳輸資料或管理用戶端。圖 C.1 說明了連線情形以及服務帳戶的使用。箭頭和服務上的數字對應到帳戶清單的編號。

圖 C.1   SMS 進階安全性伺服器連線

圖 C.1   SMS 進階安全性伺服器連線 查看完整大小影像

在進階安全性模式裡,站台伺服器及站台系統的 SMS 服務會在 LocalSystem 帳戶的內容下執行,任何需要網路連線的動作都可以使用 computername$ 帳戶或指定的替代帳戶,如表 C.4 及 C.5 所示。

電腦 (computername$)

表 C.4   SiteServerComputername$ 功能

功能

必要權限

附註

存取 SQL Server (如果使用 Windows 驗證存取 SQL Server)。

SQL Server 若為遠端,則需要該電腦的本機系統管理員權限,除此之外本身已具備站台伺服器系統管理員的權限。

如果使用 SQL Server 驗證,SMS 會使用指定的站台資料庫帳戶。

在進行下列類型的探索時,存取 Active Directory 容器:

  • Active Directory 系統群組探索

  • Active Directory 系統探索

  • Active Directory 使用者探索

指定要探索的容器的讀取權限。要在站台伺服器所屬網域以外的網域使用電腦帳戶,帳戶必須具有這些網域的使用者權限。

帳戶至少必須是這些網域的 Domain Users 群組或本機 Users 群組的成員。

進階安全性沒有替代帳戶。

在進行下列類型的探索時,存取網域控制站:

  • Windows 使用者帳戶探索

  • Windows 使用者群組探索

網域的系統管理權限。

進階安全性沒有替代帳戶。

在 Active Directory 中建立系統管理容器。

如果您授予 computername$ 帳戶系統容器及所有子物件的完整控制權,帳戶就能夠自動在其下建立系統管理容器。

為採用最低權限原則,請在系統容器下手動建立系統管理容器,不要讓 SMS 自動建立。然後再授予站台伺服器電腦帳戶對系統管理容器及所有子容器的完整權限。

在 Active Directory 中填入系統管理容器。

系統管理容器以及所有子物件的完整權限

進階安全性沒有替代帳戶。

為軟體發佈建立封裝時,存取來源檔案。

所有來源檔案與目錄的讀取以及列出資料夾內容權限。

進階安全性沒有替代帳戶。

與父站台、子站台通訊。

通訊目標站台伺服器上 SMS\Inboxes\Despoolr.box\Receive 資料夾的讀取寫入執行以及刪除權限。

將站台位址帳戶加入目標站台伺服器的 Site to Site Connection 群組,此群組具有 SMS_Site 共用資料夾的適當權限。

您可以建立並使用站台位址帳戶,但需要自行維護帳戶及密碼。

從 SMS Administrator 主控台開始建立站台時,安裝次要站台。

次要站台伺服器上的本機系統管理員權限

如果在次要站台伺服器執行 SMS 安裝程式,這個帳戶就不需要具有次要站台伺服器上的本機系統管理員權限。

在進階安全性裡,站台系統也會改用電腦帳戶而不用使用者帳戶。

表 C.5   SiteSystemComputername$ 功能、權限與替代方案

功能

必要權限

附註

為下列項目提供 SMS 站台資料庫存取 (使用 Windows 驗證時):

  • 管理點

  • 報告點

  • 伺服器定位器點

在執行 SQL Server 的電腦上,具備 Site System to SQL Server Connection 群組成員資格。

進階安全性中,這個帳戶沒有其他替代帳戶。

如果站台伺服器電腦帳戶在執行 SQL Server 的電腦上具有系統管理權限,就會自動將 sitesystemcomputername$ 加入 Site System to SQL Server Connection 群組。

主要站台電腦帳戶必須是執行 SQL Server 的電腦中本機 Administrators 群組的成員,但次要站台伺服器電腦帳戶則否。授予次要站台伺服器系統管理權限,可以簡化系統管理作業,但會違反最低權限原則。請在安裝站台系統前,手動將 sitesystemcomputername$ 帳戶加入 Site System to SQL Server Connection 群組。

帳戶建立與密碼

電腦加入網域時會建立帳戶。網域裡所有電腦帳戶的名稱都會以 $ 字元結尾。

帳戶位置

帳戶會建立在該電腦所屬的網域裡。

帳戶維護

作業系統會維護自己的帳戶及密碼。不過,有時電腦帳戶密碼可能會與網域控制站不同步,這時必須重設成員電腦與網域控制站之間的安全通訊通道。如需關於重設 Microsoft Windows® 2000、Microsoft Windows XP 和 Windows 2003 電腦帳戶的詳細資訊,請參閱 Microsoft 知識庫文件編號 216393。如需關於 Microsoft Windows NT® 4.0 網域的資訊,請參閱 Microsoft 知識庫文件編號 156684 (英文)。

最佳安全性實務

在 SMS 中,不需要將電腦帳戶加入 Domain Admins 群組。當電腦帳戶需要系統管理權限時 (例如位於遠端站台伺服器),請將帳戶加入適當的本機群組。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>裡的<將電腦帳戶加入群組>。

標準安全性帳戶

SMS 伺服器必須與其他電腦上的資源 (共用資料夾或 WMI 連線) 連線,才能在站台內或跨站台傳輸資料或管理用戶端。圖 C.2 說明了連線情形以及服務帳戶的使用。箭頭和服務上的數字對應到帳戶清單的編號。

圖 C.2   SMS 標準安全性伺服器連線

圖 C.2   SMS 標準安全性伺服器連線查看完整大小影像

下列帳戶僅用於標準安全性, 當您移轉到進階安全性之後,可以將這些帳戶刪除。

SMS 服務

表 C.6    SMS 服務帳戶功能

功能

必要權限

附註

提供 SMS Executive 服務在站台伺服器上執行所需的安全性內容。

以服務方式登入 SMS 站台伺服器。

標準安全性沒有替代帳戶。

在站台伺服器上建立檔案、目錄、服務。

SMS 站台伺服器的本機系統管理員權限。

標準安全性沒有替代帳戶。

在站台系統上建立檔案、目錄、服務。

SMS 站台系統的本機系統管理員權限。

SMS 可以改用較為安全的站台系統連線帳戶。

存取 SQL Server (如果使用 Windows 驗證存取 SQL Server)。

SQL Server 的本機系統管理員。

如果使用 SQL Server 驗證,SMS 會使用指定的站台資料庫帳戶。

在進行下列類型的探索時,存取 Active Directory 容器:

  • Active Directory 系統群組探索

  • Active Directory 系統探索

  • Active Directory 使用者探索

指定要探索的容器的讀取權限。

要在站台伺服器所屬網域以外的網域使用 SMS 服務帳戶,帳戶必須具有這些網域的使用者權限。帳戶至少必須是這些網域的 Domain Users 群組或本機 Users 群組的成員。

標準安全性沒有替代帳戶。

在進行下列類型的探索時,存取網域控制站:

  • Windows 使用者帳戶探索

  • Windows 使用者群組探索

網域的系統管理權限。

標準安全性沒有替代帳戶。

在 Active Directory 中建立系統管理容器。

如果您授予 SMS 服務帳戶系統容器及所有子物件的完整控制權,帳戶就能夠自動在其下建立系統管理容器。

為採用最低權限原則,請在系統容器下手動建立系統管理容器,不要讓 SMS 自動建立。

在 Active Directory 中填入系統管理容器。

系統管理容器以及所有子物件的完整權限

標準安全性沒有替代帳戶。

為軟體發佈建立封裝時,存取來源檔案。

所有來源檔案與目錄的讀取以及列出資料夾內容權限。

標準安全性沒有替代帳戶。

從 SMS Administrator 主控台開始建立站台時,安裝次要站台。

次要站台伺服器上的本機系統管理員權限

標準安全性沒有替代帳戶。

沒有有效的用戶端推播安裝帳戶時,以用戶端推播安裝來安裝用戶端。

目標用戶端電腦的本機系統管理員權限。

會先嘗試現有用戶端推播安裝帳戶。

帳戶與密碼的建立

系統管理員可以使用任何有效的帳戶名稱來命名帳戶,但是為提高安全性,請勿使用預設的 SMSService 名稱,因為這會是攻擊者嘗試的第一個帳戶。另外,在 SMS 課程教材裡用過 SMSAdmin 這個名稱,因此這也不是安全的名稱。

SMS 服務帳戶及密碼可以在 SMS 安裝時自動建立,或在執行 SMS 安裝程式前手動建立。

自動   系統管理員在安裝時指定帳戶名稱,SMS 就會嘗試建立帳戶並指定所需的權限。如果執行 SMS 安裝程式的使用者沒有權限,無法在網域的使用者容器中建立使用者,請在安裝之前先手動建立 SMS 服務帳戶。SMS 安裝程式永遠會嘗試在使用者容器裡建立帳戶,但如果帳戶是在安裝前建立的,任何有權限建立使用者的人員都能在任何組織單位中建立帳戶。

另外,如果 SQL Server 不在 SMS 站台伺服器電腦上,請在執行 SMS 安裝程式前,由具有足夠權限的人員將 SMS 服務帳戶加入執行 SQL Server 電腦的本機 Administrators 群組中。

手動   在下列情形中,請在安裝前手動建立 SMS 帳戶:

  • 想要使用命令提示字元執行 SMS 安裝程式。

  • 想要使用 SMSAccountSetup.ini 檔案執行 SMS 安裝程式。

  • 需要在多個網域裡使用相同的帳戶。

  • 擁有多個網域控制站,且執行 SMS 安裝程式之前需要先複製 SMS 服務帳戶。

  • 沒有在網域中建立使用者帳戶的權限,必須由他人為您建立帳戶。

  • 想要在站台伺服器所屬網域以外的網域建立帳戶。

如需關於使用命令提示字元或 SMSAccountSetup.ini 檔案執行 SMS 安裝程式的詳細資訊,請參閱本附錄中的<站台安裝時的帳戶管理>。

帳戶位置

帳戶必須是網域帳戶,但不需要是網域系統管理員帳戶。如果讓 SMS 在安裝時自動建立帳戶,SMS 會在 SMS 站台伺服器所屬的網域資料庫建立帳戶 (如果權限足夠)。如果要在不同的網域建立帳戶,必須在安裝前手動建立帳戶。

帳戶維護

系統管理員會設定 SMS 服務帳戶的密碼。如果要變更這個帳戶的密碼,必須先在作業系統中變更密碼,再設定 SMS 使用新密碼。在作業系統中變更密碼後,可以使用以下方式重新設定 SMS:

  • 站台重設

  • SMS Administrator 主控台

使用 SMS Administrator 主控台變更密碼可以簡化管理作業,尤其是站台位置分佈廣泛的組織。這種做法讓系統管理員可以使用遠端 SMS Administrator 主控台來變更帳戶密碼。不過,所有 SMS 服務都必須正在執行,才能使用這個做法。如果服務沒有執行,或服務在完成密碼變更前停止,您就必須執行站台重設,否則會無法存取 SMS Administrator 主控台。

即使您組織的站台位置分佈廣泛,也不需要實際到每個站台伺服器做密碼變更。若要使用站台重設從遠端變更 SMS 帳戶密碼,請使用下列其中一種方法:

  • 使用 SMS 的軟體發佈功能,將含有適當指令碼的安裝套件傳送到遠端的站台伺服器。

    -或-

  • 使用 SMS 遠端工具,從 SMS\Bin\i386\ 資料夾執行 Setup.exe 檔案。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改 SMS 服務帳戶>。

最佳安全性實務

如果有多個網域共用 SMS 服務帳戶,請設定適用的信任關係及群組成員資格。如果有多個站台共用 SMS 服務帳戶,且您想要變更帳戶密碼,請建立第二個帳戶以避免鎖定。使用變更的帳戶資訊的 SMS 程序,也會使用 SMS 服務帳戶來啟動並驗證工作階段。在新帳戶轉移完成之前讓兩組帳戶同時保持作用狀態,可以確保不論程序使用哪個帳戶啟動和驗證工作階段,都能進行所需的存取。

SMS 伺服器連線 (SMSServer_站台碼)

SMS 自動建立的帳戶名稱會是 SMSServer_站台碼,手動建立的帳戶名稱則會由系統管理員設定。

表 C.7   SMSServer_站台碼功能

功能

必要權限

附註

從遠端 CAP 與管理點,將用戶端資料寫入站台伺服器。

Site System to Site Server Connection 群組成員資格。

標準安全性沒有替代帳戶。

從遠端 CAP 讀取收件匣規則。

Site System to Site Server Connection 群組成員資格。

標準安全性沒有替代帳戶。

從站台伺服器登錄讀取 SQL Server 觸發資訊。

Site System to Site Server Connection 群組成員資格。

標準安全性沒有替代帳戶。

帳戶密碼與建立

伺服器連線帳戶是自動建立的,密碼則可能會是:

  • 在 SMS 安裝時自動建立,並設為隨機初始密碼

  • 在執行命令列安裝前手動建立

  • 在使用 SMSAccountSetup.ini 檔案執行安裝程式前手動建立

帳戶位置

帳戶會自動建立在站台伺服器的本機帳戶資料庫中, 如果帳戶是系統管理員建立的,則由系統管理員指定位置。

帳戶維護

如果一定要變更帳戶密碼,先建立第二個帳戶,舊帳戶等循環完成後再刪除。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改 SMS 伺服器連線帳戶>。

除非您是使用安裝程式令命列選項或 SMSAccountSetup.ini 檔案建立帳戶,否則請勿改變 SMS 建立的預設 SMS 伺服器連線帳戶。如果必須執行站台重設,必須使用相同的命令列內容或 SMSAccountSetup.ini 檔案,指定站台安裝時相同的帳戶。否則執行站台重設時,SMS 會照常建立預設的 SMS 伺服器連線帳戶,並將密碼改成隨機產生的密碼。遠端站台系統會嘗試使用最初安裝站台時手動指定的 SMS 伺服器連線帳戶,因而無法存取站台伺服器。如果刪除 SMS 伺服器連線帳戶,然後執行站台重設以重新建立帳戶,站台重設並不會重建這個帳戶的所有 NTFS 權限。這是因為收件匣的權限安全識別碼仍然和舊帳戶關連,而非和新帳戶關連。如果刪除 SMS 伺服器連線帳戶,一定要執行站台重設,然後再執行 ACLreset.exe 工具。這個工具可從 Microsoft 下載網站取得,是 Systems Management Server 還原工具 的一部份。

最佳安全性實務

如果站台伺服器也兼作網域控制站,且您有多個網域控制站,請務必在啟動 SMS 安裝程式之前複製帳戶。

若要加快站台還原速度,請手動建立這個帳戶並指定密碼。如果不自己建立帳戶並指定密碼,SMS 安裝程式會建立預設帳戶並隨機指定密碼。在還原作業期間重建站台時,安裝程式會建立新的預設帳戶,並指定隨機新密碼。您必須執行站台重設,才能將新帳戶及密碼傳播給所有站台系統。如果您使用 SMSAccountSetup.ini 或命令列參數指定帳戶與密碼,站台還原時就不需執行站台重設。

如果需要為了重設密碼而執行站台重設,請勿使用 PREINST /STOPSITE。這種重設方式與 SMS 安裝程式啟動的重設方式很類似,但不會重設 SMS 伺服器連線帳戶的密碼。

站台重設時,SMS 安裝精靈會顯示對話方塊,讓您選擇略過 SMS 伺服器連線帳戶的密碼變更。如果網域啟用了帳戶鎖定,且您想要避免 SMS 伺服器連線帳戶鎖定,請略過密碼變更。

站台系統連線

這個帳戶不是必要帳戶。系統管理員可以建立這個帳戶,並使用任何有效帳戶名稱。

表 C.8   站台系統連線帳戶功能

功能

必要權限

附註

站台伺服器會在連線到站台系統時使用這個帳戶。

站台系統上的系統管理權限。

如果沒有指定,就會改用 SMS 服務帳戶。

帳戶與密碼的建立

系統管理員可以隨時建立這個帳戶及密碼,再從 SMS Administrator 主控台設定 SMS 使用這個帳戶。

單一帳戶可供多個站台共用:每個站台一個帳戶,或每個站台系統一個帳戶。

可以在安裝 SMS 之前建立這個帳戶,預留時間讓帳戶複製到所有網域控制站。

帳戶位置

這個帳戶可以建立在網域或各站台系統的本機帳戶資料庫中。

帳戶維護

這個帳戶由 SMS 系統管理員負責維護, SMS 並不會管理這個帳戶。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改站台系統連線帳戶>。

最佳安全性實務

如果您使用的是標準安全性模式,請建立這個帳戶,以避免過度使用 SMS 服務帳戶。

遠端服務 (SMSSvc_站台碼_xxxx)

表 C.9   SMSSvc_站台碼_xxxx 功能

功能

必要權限

附註

提供用戶端存取點和管理點上的 SMS Executive 服務所需的安全性內容。

以服務方式登入 CAP 或管理點的權限,建立站台系統時就已經自動授予此權限。

標準安全性沒有替代帳戶。

為在以 SMS Provider 執行 SQL Server 的遠端電腦上執行的 SQL Monitor 提供所需的安全性內容。

以服務方式登入執行 SQL Server 電腦的權限,站台安裝時就已經自動授予此權限。

標準安全性沒有替代帳戶。

帳戶與密碼的建立

SMS 會自動在每個遠端 CAP、管理點以及 SMS 站台資料庫伺服器的本機帳戶資料庫建立這個帳戶。

帳戶維護

不建議手動變更這個帳戶的密碼。執行站台重設,即可重新建立這個帳戶並重設密碼。

站台系統資料庫 (SMS_SQL_RX_站台碼)

表 C.10   SMS_SQL_RX_站台碼功能

功能

必要權限

附註

預設用來提供管理點、報告點以及伺服器定位器點的 SMS 站台資料庫存取 (使用 Windows 驗證時)。

在執行 SQL Server 的電腦上,為 Site System to SQL Server Connection 本機群組成員。

對於管理點以及伺服器定位器點的連線,您可以建立帳戶並將帳戶加入 Site System to SQL Server Connection 群組。

帳戶與密碼的建立

SMS 會自動建立這個帳戶及密碼。您可以建立替代帳戶,讓管理點及伺服器定位器點連接執行 SQL Server 的 SMS 電腦,並在 SMS Administrator 主控台進行指定。建立替代帳戶,可以降低站台重設時帳戶鎖定的風險。

如需關於建立替代站台系統資料庫帳戶程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改站台系統資料庫帳戶>。

帳戶位置

這個帳戶可以建立在執行 SQL Server 的電腦的本機帳戶資料庫中。如果指定替代帳戶,則帳戶的建立位置不限,但帳戶必須能夠存取執行 SQL Server 的電腦,也必須能夠成為執行 SQL Server 的電腦上 Site System to SQL Server Connection 本機群組的成員。

帳戶維護

不建議手動變更這個帳戶的密碼 (特別是當執行 SQL Server 的電腦上啟用了帳戶鎖定時)。

管理點以及伺服器定位器點會使用這個帳戶,存取 SMS 站台資料庫所在的電腦。如果在主站台重設期間,系統管理員決定重設伺服器帳戶密碼,使用舊認證的管理點便無法從執行 SQL Server 的電腦取得原則,要在以新帳戶密碼更新管理點後才能取得。帳戶同步所需的時間會依站台間的連線狀況,以及次要站台與管理點的數目而定,可能需要 30 分鐘或更久。如果有任何管理點或伺服器定位器點嘗試以舊密碼連接執行 SQL Server 的電腦,站台系統資料庫帳戶就會鎖定。如果發生這種情況,您可以指定替代帳戶。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改站台系統資料庫帳戶>。

一般伺服器帳戶

一般伺服器帳戶就是標準或進階安全性都可以使用的帳戶。

用戶端推播安裝

只有在使用用戶端推播安裝部署用戶端時,才會使用這個帳戶。

表 C.11   用戶端推播安裝帳戶功能

功能

必要權限

附註

用戶端設定管理員可以使用這個帳戶在電腦上安裝 SMS 用戶端軟體。

用戶端推播安裝帳戶並不需要是 Domain Admins 群組的成員,但必須在要安裝 SMS 用戶端軟體的電腦上具有本機系統管理認證。

如果您使用標準安全性,也沒有用戶端推播安裝帳戶,SMS 就會改用 SMS 服務帳戶。如果使用的是進階安全性,就沒有替代帳戶。

帳戶與密碼的建立

不會自動建立這個帳戶。如果有必要,SMS 系統管理員會手動建立這個帳戶並設定密碼。

帳戶位置

這個帳戶可以建立在網域或本機帳戶資料庫中。如果將它建立為網域帳戶並加入 Domain Admins 群組中,這個帳戶會自動具有大部分用戶端電腦的系統管理員權限;不過,一旦這個帳戶遭到入侵,攻擊者可能會用它來攻擊整個網域。您可以使用網域使用者帳戶,但必須將該帳戶加入每部電腦的本機 Administrators 群組。您也可以在每個需要安裝的用戶端本機帳戶資料庫中建立這個帳戶,但這樣做會產生帳戶管理問題。您可以建立多個用戶端推播安裝帳戶,也可以數個站台共用單一帳戶。

帳戶維護

系統管理員會在作業系統裡變更帳戶或密碼,然後設定 SMS 使用新帳戶或密碼。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改用戶端推播安裝帳戶>。

用戶端設定管理員 (CCM) 會每小時檢查一次用戶端推播安裝帳戶的變更,這個帳戶的變更不會立即生效。

最佳安全性實務

如果用戶端推播安裝帳戶是網域成員,請在帳戶於網域裡複製完成後再設定站台用戶端。

站台位址

表 C.12   站台位址功能

功能

必要權限

附註

在父站台與子站台之間建立通訊與傳輸資料。父站台會使用這個帳戶傳輸系統管理資料 (如封裝或集合資料) 給子站台。子站台則會使用這個帳戶傳輸資料 (如詳細目錄資料、探索記錄或狀態訊息) 給父站台。

這個帳戶必須具有目標站台伺服器上 SMS\Inboxes\Despoolr.box\Receive 資料夾的讀取寫入執行刪除權限。1

將站台位址帳戶加入目標站台伺服器的 Site to Site Connection 群組,此群組具有 SMS_Site 共用資料夾的適當權限。不需要直接授予站台位址帳戶 SMS_Site 共用資料夾的權限。

如果您使用的是標準安全性,且從 SMS Administrator 主控台使用建立次要站台精靈,遠端安裝或解除安裝次要站台,站台位址帳戶就必需是次要站台伺服器的本機 Administrators 群組成員。

在標準安全性站台上,為其他站台建立位址時,必須為每個傳送者位址指定站台位址帳戶。也可以使用 SMS 服務帳戶做為站台位址帳戶。不過,如本文中所述,為降低安全性風險並簡化系統管理,最好避免使用 SMS 服務帳戶擔任這些角色。

進階安全性站台可以使用站台伺服器的電腦帳戶 (如果這個帳戶已加入 Site to Site Connection 群組)。

1 這兩個站台不需要具有相同的安全性模式。使用標準安全性的子站台可以向使用進階安全性的父站台報告。在這種情況下,子站台會使用 SMS 服務帳戶連接父站台,且會是父站台伺服器上的 Site to Site Connection 群組成員。父站台則會使用 computername$ 帳戶連接子站台或更下層的子站台,且會是目標站台上的 Site to Site Connection 群組成員。

帳戶與密碼的建立

系統管理員會建立帳戶及密碼,並在建立站台間的位址時設定 SMS 使用這個帳戶。帳戶必需接受目標站台伺服器的驗證, 但不需要經過定義位址的原始站台伺服器的驗證。

帳戶位置

系統管理員可以選擇將這個帳戶建立在任何位置。只要具備所需的權限,單一帳戶可以供多個站台與網域使用。

帳戶維護

系統管理員會執行所有帳戶及密碼的維護作業。如果修改帳戶資料庫裡的帳戶,必須同時更新 SMS Administrator 主控台裡的設定。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改站台位址帳戶>。

important.gif  重要
如果為某個位址指定了站台位址帳戶,之後決定改用電腦帳戶做為站台位址帳戶,就必須刪除位址並重新建立。從使用者帳戶轉換為 computername$ 帳戶時,僅變更帳戶名稱是不夠的。

最佳安全性實務

如果有多個網域控制站,且會跨網域使用這個帳戶,請務必在啟動 SMS 安裝程式之前複製帳戶。

一般資料庫帳戶

SMS 站台會使用資料庫帳戶,從站台伺服器、管理點以及伺服器定位器點進行連接,並操作資料庫。

SQL Server 也會使用角色管理資料庫權限。角色就是 SQL Server 的安全性帳戶,由不同的安全性帳戶組成,管理權限時可以當作一個單位看待。角色可以包含 SQL Server 登入、其他角色以及 Windows 登入或群組。

站台資料庫

表 C.13  站台資料庫功能

功能

必要權限

附註

用來將站台伺服器連接到執行 SQL Server 的電腦。

執行 SQL Server 的電腦本機系統管理員權限。如果 SQL Server 和 SMS 安裝在同一部電腦上,預設會具有本機系統管理員權限。

您必須使用的帳戶會由 SQL Server 安全性模式指定, 如果您實作的是 SQL Server 驗證,SMS 資料庫帳戶會是 SQL Server 帳戶;如果實作的是 Windows 驗證,SMS 資料庫帳戶就會是 Windows 帳戶。

建議使用 Windows 驗證。

帳戶與密碼的建立

如果使用 Windows 驗證,就不必指定供 SMS 站台存取 SMS 站台資料庫使用的站台資料庫帳戶;SMS 會使用站台伺服器電腦帳戶 (進階安全性) 或 SMS 服務帳戶 (標準安全性)。

如果使用 SQL Server 驗證,就必須建立站台資料庫帳戶,並在安裝時或安裝後於 SMS Administrator 主控台設定 SMS 使用這個帳戶。

帳戶位置

如果使用 SQL Server 驗證,帳戶會位於 SQL Server 帳戶資料庫裡,並需要從 SMS Administrator 主控台做設定。如果使用 Windows 驗證,請參考站台伺服器電腦帳戶 (進階安全性) 或 SMS 服務帳戶 (標準安全性),取得帳戶的位置。

帳戶維護

如果使用 SQL Server 驗證,且需要變更站台資料庫帳戶,請先在 SQL Server 做變更,再進行站台重設或在 SMS Administrator 主控台加以變更。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改站台資料庫帳戶>。

如果 SMS 站台資料庫位於 SMS 站台伺服器以外的伺服器,且您在 SMS 站台資料庫電腦上修改或移除了本機 Administrators 群組的 SMS 站台資料庫權限,那麼就必須為 SMS 站台資料庫將 SMS 站台伺服器電腦帳戶對應到資料庫擁有者 (DBO) SQL Server 帳戶。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<為 SMS 站台資料庫將 SMS 站台伺服器電腦帳戶對應到 DBO 使用者>。

最佳安全性實務

使用 Windows 驗證。

Web 報告應用程式角色 (webreport_approle)

角色與密碼的建立

這個角色是自動產生的,會以自動產生的隨機密碼保護,並由 SMS 安全地儲存。

角色位置

SQL Server 角色都存在 SQL Server 帳戶資料庫。

功能

可以讓報告點用來存取 SQL Server 檢視。

角色維護

SMS 會維護這個帳戶及其密碼。如果密碼經過變更或不同步,有兩種方法可以重設密碼:

  • 執行站台重設

    - 或 -

  • 從目標電腦移除報告點,等檔案移除後再重新將電腦指定為報告點。

SMS 架構使用者 (smsschm_users)

表 C.14   SMSschm_users 功能

功能

必要權限

附註

使用 SQL Server 驗證時讓使用者連接到 SMS 站台資料庫。

所有 SMS SQL Server 檢視中的 "SELECT" 權限。

使用 Windows 驗證時,請改用 Reporting Users 群組。

您也可以授予個別使用者或角色對特定檢視的權限,限制 SMS 資料的存取。如需關於授予 SQL Server 檢視權限的詳細資訊,請參閱 SQL Server 說明文件。

角色與密碼的建立

在 SMS 2003 安裝期間,檢視指令碼會建立 SQL Server smsschm_users 角色並授予權限。不過,您也可以使用 SQL Server sp_addrolemember 預存程序,手動加入這個 SQL Server 群組。雖然 SMS 報告安裝會建立 SQL Server 使用者帳戶 (smsschm_user),您還是可以使用 SQL Server Enterprise Manager 手動建立自己的 SQL Server 使用者帳戶。如果您自己建立了使用者帳戶,請確認建立的使用者帳戶具備 smsschm_users 資料庫角色成員資格。

角色位置

SQL Server 角色都存在 SQL Server 帳戶資料庫。

進階用戶端帳戶

進階用戶端會使用本機系統帳戶執行大部分的 SMS 用戶端作業。供網路存取用的帳戶例外,因為 LocalSystem 無法存取網路資源。

進階用戶端網路存取

表 C.15   進階用戶端網路存取功能

功能

必要權限

附註

進階用戶端升級期間,CCMSetup 會用這個帳戶連接管理點的共用用戶端資料夾,以下載 Client.msi。

如果這個帳戶是用於 NT 4.0 網域成員的用戶端推播安裝,就只需要基本的使用者權限。

如果沒有設定進階用戶端網路存取帳戶,且用戶端是 Active Directory 網域的成員,CCMSetup 就會嘗試使用電腦帳戶。如果用戶端是 Windows NT 4.0 網域成員,CCMSetup 則會嘗試使用登入的使用者帳戶,或等待使用者登入。

登入的使用者帳戶或電腦帳戶缺乏權限時,用來存取發佈點。

  • 這個情況可能發生在用戶端漫遊於:1

  • Windows Server 2003 和 Windows NT 4.0 信任網域之間。

  • Windows 2000 和 Windows NT 4.0 信任網域之間。

  • 兩個不受信任的樹系之間。

  • 樹系和 Windows NT 網域之間。

封裝共用資料夾應有的權限。因為只能建立一個進階用戶端網路存取帳戶,所有要求使用的封裝都必須能使用這個帳戶。

如果 SMS 階層分散於信任的樹系或是其他網路環境中,而登入的使用者或電腦帳戶是環境中認可的安全性主體,用戶端就不需要進階用戶端網路存取帳戶。

和傳統用戶端軟體安裝帳戶不相同的是,通告程式需要存取發佈點以外的伺服器共用資料夾時,並不會使用進階用戶端網路存取帳戶。

1 如需關於漫遊的詳細資訊,請參閱 Microsoft 下載網站的<進階用戶端漫遊設定和運作>(英文) 白皮書。

帳戶與密碼的建立

系統管理員會在 Windows 帳戶資料庫中建立帳戶及密碼,然後在 SMS Administrator 主控台設定 SMS 使用這個帳戶。

important.gif  重要
如果使用網路存取帳戶,就需要安裝 Windows Hotfix Q325804,才能以系統管理權限散佈軟體。在這個情況下,必須在所有執行進階用戶端的電腦上安裝這個 Hotfix,才能使用 [以系統管理員身份執行] 與從網路執行等設定。您還是可以使用系統管理權限下載並執行軟體。
如需詳細資訊,請在 Microsoft TechNet 的<SMS 2003 作業版本資訊> 中搜尋 Software Distribution。

帳戶位置

這個帳戶可以建立在任何能提供所需資源存取權限的網域中。進階用戶端網路存取帳戶一定要包含網域名稱。這個帳戶不支援傳遞安全性, 如果有多個網域,請將帳戶建立在信任的網域。

帳戶維護

SMS 系統管理員會建立及維護帳戶與密碼。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改進階用戶端網路存取帳戶>。

若要避免帳戶鎖定,請勿變更現有進階用戶端網路存取帳戶的密碼, 請建立新帳戶,並設定 SMS 使用新帳戶。等待一段時間讓所有用戶端接收新帳戶資料,再從網路共用資料夾中移除舊帳戶並加以刪除。

最佳安全性實務

和使用任何帳戶的道理一樣,絕對不要使用空白密碼。如果在 SMS Administrator 主控台設定這個帳戶時沒有指定密碼,就不會儲存帳戶。

傳統用戶端帳戶

不建議在安全環境中使用傳統用戶端。也不建議在網域控制站安裝傳統用戶端,因為許多傳統用戶端帳戶都需要本機系統管理員權限,進而成為網域控制站的網域管理員。

CCM 開機載入器 (DC) (SMS#_dc)

表 C.16   SMS#_dc 功能

功能

附註

在網域控制站上安裝 SMS 傳統用戶端軟體。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

以用戶端推播安裝進行傳統用戶端安裝時,用戶端設定管理員 (CCM) 會建立此網域帳戶,在做為網域控制站的用戶端上執行 CCM 開機載入器服務。這個帳戶的名稱加入了網域控制站名稱,以確保名稱不會重覆。為提高安全性,SMS 會為帳戶隨機產生密碼並加密。用戶端安裝完成後,會自動刪除這個帳戶。

帳戶位置

因為用戶端是網域控制站,帳戶會建立在用戶端所屬的網域中。在執行傳統用戶端的網域中,每個網域控制站會有一個帳戶。這些帳戶的名稱中會加上伺服器名稱,避免名稱重覆。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。

最佳安全性實務

解決任何會防止刪除暫時帳戶的問題,否則安裝完成後會無法刪除 SMS#_dc

CCM 開機載入器 (非 DC) (SMSCCMBootAcct&)

表 C.17   SMSCCMBootAcct& 功能

功能

附註

在非網域控制站上安裝 SMS 傳統用戶端軟體。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

用戶端安裝開始時,SMS 會產生 CCM 開機載入器帳戶及密碼,並在安裝成功之後刪除帳戶。為提高安全性,SMS 會為帳戶隨機產生密碼並加密。

帳戶位置

帳戶會建立在用戶端的本機 SAM 資料庫中。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。

最佳安全性實務

解決任何會防止刪除暫時帳戶的問題,否則安裝完成後會無法刪除 SMS#_dc

用戶端服務 (DC) (SMS&_dc)

表 C.18   SMS&_dc 功能

功能

必要權限

附註

在網域控制站上執行 SMS 用戶端服務。

在含有傳統用戶端元件的網域控制站上,必需為本機 Administrators 群組的成員。

為 Internal Client 群組成員。

擁有的用戶端權限:

  • 以服務方式登入。

  • 扮演作業系統的一部分。

  • 取代處理序層級語彙基元。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

SMS 會自動為每個含有用戶端元件的網域控制站建立帳戶。為提高安全性,SMS 會為這些帳戶隨機產生密碼並進行加密,且每週自動更換密碼。網域控制站的用戶端元件移除後,SMS 會刪除這些帳戶。

帳戶位置

因為用戶端是網域控制站,帳戶會建立在用戶端所屬的網域中。在執行傳統用戶端的網域中,每個網域控制站會有一個帳戶。這些帳戶的名稱中會加上伺服器名稱,避免名稱重覆。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。

最佳安全性實務

不要安裝傳統用戶端,尤其在網域控制站上特別如此。

用戶端服務 (非 DC) (SMSCliSvcAcct&)

表 C.19   SMSCliSvcAcct& 功能

功能

必要權限

附註

在網域控制站上執行 SMS 用戶端服務。

身為每個傳統用戶端上的本機 Administrators 群組成員。

擁有的用戶端權限:

  • 以服務方式登入。

  • 扮演作業系統的一部分。

  • 取代處理序層級語彙基元。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

SMS 會自動為傳統用戶端建立這個帳戶。為提高安全性,SMS 會為這個帳戶隨機產生密碼並進行加密,且每週自動更換密碼。用戶端元件移除後,SMS 會刪除這個帳戶。

帳戶位置

帳戶會建立在用戶端的本機 SAM 資料庫中。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。移除用戶端以及重新安裝都會自動產生新密碼。

SMS 會每週自動更換密碼。如果要指定更換密碼的間隔時間,可以修改登錄資料。請在 HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\Client\Client Components\SMS Client Base Components 中,新增名稱為 ServiceResetInterval 的登錄值。在 SMS Client Base Components 機碼中,新增 REG_DWORD 數值 ServiceResetInterval。請以秒為單位指定 SMS 用戶端服務產生新密碼的間隔時間。

最佳安全性實務

不要安裝傳統用戶端。

用戶端使用者語彙基元 (DC) (SMSCliToknAcct&)

表 C.20   SMSCliToknAcct& 功能

功能

必要權限

附註

登入的使用者權限不足時,執行需要系統管理員權限的程式。這個帳戶會在網域控制站上以唯一的使用者內容建立唯一的使用者語彙基元, 可以防止防用戶端處理序間的使用者認證衝突。

如果使用者沒有系統管理員權限,則需要系統管理員權限的通告在傳統用戶端會以用戶端使用者語彙基元帳戶,以近似服務的安全性內容執行。用戶端使用者語彙基元帳戶會依需要動態加入本機 Administrators 群組 (工作結束後就會移除),並具有 [扮演作業系統的一部分] 權限。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

SMS 會自動建立這個帳戶及密碼。升級時或傳統用戶端無法使用帳戶時,即會重設密碼。第一個 SMS 用戶端安裝之後,主要網域控制站 (PDC) 或是 PDC 模擬器就會在登錄中新增加密的機碼,機碼中儲存了加密的 SMSCliToknAcct& 帳戶的名稱與密碼。其他網域控制站會從登錄中擷取這個資訊。

如果傳統用戶端是安裝在網域控制站上,SMS 會先檢查看 SMSCliToknAcct& 帳戶是否存在網域中,並驗證這個帳戶擁有的權限。如果帳戶已存在,SMS 就會使用現有帳戶。如果 SMS 無法獨佔存取這個帳戶,就會讀取 PDC 或 PDC 模擬器的登錄,判斷是否有其他網域控制站在使用帳戶。如果帳戶在使用中,SMS 就會等候進行帳戶的獨佔存取。如果在 61 分鐘內無法取得帳戶獨佔存取,用戶端安裝程序就會中止。

PDC 或 PDC 模擬器上的 SMS 用戶端移除時,並不會刪除 SMSCliToknAcct& 帳戶,加密的帳戶資訊也會保留在登錄中,以備其他網域控制站需要使用帳戶。

帳戶位置

在做為網域控制站的站台系統上,僅會有一個帳戶用此名稱 (SMSCliToknAcct& 帳戶),供所有網域控制站共用。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。移除用戶端以及重新安裝都會自動產生新密碼。

如果網域中有帳戶鎖定原則,這個帳戶可能會經常遭到鎖定。監視這個帳戶並視情況解除鎖定。

最佳安全性實務

不要安裝傳統用戶端,尤其在網域控制站上特別如此。

用戶端使用者語彙基元 (非 DC) (SMSCliToknLocalAcct&)

表 C.21   SMSCliToknLocalAcct& 功能

功能

必要權限

附註

登入的使用者權限不足時,執行需要系統管理員權限的程式。這個帳戶會在用戶端電腦上以唯一的使用者內容建立唯一的使用者語彙基元, 可以防止防用戶端處理序間的使用者認證衝突。

如果使用者沒有系統管理員權限,則需要系統管理員權限的通告在傳統用戶端會以用戶端使用者語彙基元帳戶,以近似服務的安全性內容執行。用戶端使用者語彙基元帳戶會依需要動態加入本機 Administrators 群組 (工作結束後就會移除),並具有 [扮演作業系統的一部分] 權限。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

SMS 會自動建立這個帳戶及密碼。每次用戶端重新啟動,就會重設用戶端使用者語彙基元帳戶密碼。密碼重設程序會將密碼改為新的增強式密碼,並還原用戶端使用者語彙基元帳戶的預設權限。

帳戶位置

帳戶會建立在用戶端的本機 SAM 資料庫中。

帳戶維護

請勿變更這個帳戶的密碼、帳戶名稱或權限。如果手動變更帳戶,相關的程序就無法正常運作,可能會強制帳戶不同步,而引發帳戶鎖定。移除用戶端以及重新安裝都會自動產生新密碼。

用戶端連線帳戶 (SMSClient_站台碼,系統管理員可增加額外帳戶)

表 C.22   SMSClient_站台碼功能

功能

必要權限

附註

讓傳統用戶端存取 CAP 及發佈點。

如果用戶端必須存取多個網域的 CAP,這個帳戶就需要擁有其他網域 CAP 的權限,或是建立額外的帳戶。

傳統用戶端並沒有替代帳戶。

帳戶與密碼的建立

最初的預設用戶端連線帳戶及密碼可以:

  • 在 SMS 安裝時自動建立,並設為隨機初始密碼

  • 在執行命令列安裝前手動建立

  • 在使用 SMSAccountSetup.ini 檔案執行安裝程式前手動建立

用戶端連線帳戶也可以建立為網域帳戶,然後讓多個 CAP 共用。這樣可以降低需要建立和維護的用戶端連線帳戶數量,同時提高每個用戶端連線帳戶的安全性。

為提高安全性、站台完整性以及容錯能力,建議額外建立用戶端連線帳戶。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改進階用戶端網路存取帳戶>。

帳戶位置

帳戶會自動建立在網域帳戶資料庫中。如果帳戶是系統管理員建立的,則由系統管理員指定位置。

帳戶維護

站台重設會自動重設預設用戶端連線帳戶的密碼。如果有額外指定其他用戶端連線帳戶,SMS 站台重設並不會自動變更這些帳戶的密碼。如果最初的預設用戶端連線帳戶是用 SMSAccountSetup.ini 或是命令列參數指定的,請使用與初始安裝時相同的命令列執行安裝程式,以手動指定帳戶。如需關於使用 SMS Administrator 主控台變更帳戶或密碼的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改用戶端連線帳戶>。

不要變更這些帳戶的密碼, 請為這些角色建立新帳戶,等到所有伺服器都設定使用新帳戶之後再循環使用這些帳戶。

如果您的站台啟用了帳戶鎖定,只要有一個用戶端密碼不正確,就會導致所有用戶端的用戶端連線帳戶鎖定。例如,長期為離線狀態的 SMS 用戶端可能會因為用戶端連線帳戶密碼過期,而造成帳戶鎖定。當該用戶端嘗試以使用舊密碼的用戶端連線帳戶連接 CAP 時,該帳戶就會鎖定。為避免造成孤立用戶端,請務必隨時保持至少一個有效的用戶端連線帳戶供用戶端使用。如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立額外用戶端連線帳戶以避免造成傳統用戶端孤立>。

由於 Windows 帳戶資訊在網域裡的傳播速度通常快於 SMS 帳戶資訊在 SMS 階層裡的傳播速度,所以變更用戶端連線帳戶密碼後,使用舊密碼的 SMS 用戶端會發生錯誤。如果該用戶端的 SMS 用戶端軟體是以用戶端推播安裝的,用戶端將難以從帳戶鎖定復原,因為用戶端會使用發生錯誤的帳戶,從 CAP 取得新帳戶訊息。不過,如果您設定登入指令碼在登入時安裝 (或重新安裝) SMS 用戶端,用戶端就會在下次登入時收到新的帳戶及密碼資訊 (如果使用登入指令檔)。如果沒有啟用登入時安裝用戶端的方式,復原用戶端帳戶鎖定的唯一方法就是使用 SMSman.exe 重新安裝。您也可以移除用戶端,再使用用戶端推播安裝,重新安裝用戶端。

沒有啟用登入時安裝用戶端的方式之前,請不要移除和重新安裝 SMS 站台伺服器。預設的用戶端連線帳戶 (SMSClient_站台碼) 會隨機產生密碼,並在每次 SMS 用戶端登入時與網域帳戶重新同步 (如果執行 SMSls.bat)。不過,如果您移除並重新安裝 SMS 站台伺服器,而沒有啟用登入或其他用戶端安裝方式,就會造成用戶端孤立。

如果用戶端的安全資訊過期或錯誤,您可能必須將 SMS 傳統用戶端解除安裝後再重新安裝。

帳戶最佳實務   建立額外用戶端連線帳戶時,請確認用戶端所在的每個網域至少有兩個有效帳戶。您可以增加額外帳戶,讓每個用戶端都有多個有效帳戶可以使用,這樣非常有用。舉例來說,假設您建立四個用戶端連線帳戶,但每個帳戶僅對單一網域中的用戶端有效,那麼其他網域的用戶端還是可能發生鎖定。如需關於確保隨時維持兩個有效用戶端連線帳戶的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立額外用戶端連線帳戶以避免造成傳統用戶端孤立>。

儘可能使用本機用戶端連線帳戶。

如果啟用了 [帳戶鎖定] 選項,建議您為 SMS 帳戶使用下列設定:

  • 五次嘗試錯誤後鎖定。這是預設設定。

  • 三十分鐘後重新計數。這是預設設定。

  • 鎖定時間:永久。這不是預設設定,但是建議使用以加強安全性, 使用這項設定可以監視鎖定動作並適時反應。

傳統用戶端軟體安裝

表 C.23   傳統用戶端軟體安裝帳戶功能

功能

必要權限

附註

通告程式需要存取發佈點以外的伺服器共用資料夾時,Windows 98 傳統用戶端以外的 SMS 用戶端會使用這個帳戶。

如果沒有指定這個帳戶,但是程式設定要用這個帳戶執行,程式就無法執行。預設是不使用這個帳戶,也就是程式會使用登入的使用者帳戶或是用戶端使用者語彙基元帳戶執行。

通告程式所存取的共用資料夾適當權限。

當用戶端執行指定需要系統管理員權限的程式時,SMS 用戶端元件會將特定的本機 Administrators 群組使用者權限與成員資格授予傳統用戶端軟體安裝帳戶。程式執行結束後,就會移除成員資格及使用者權限。

若要提高安全性,請勿將用戶端電腦的任何權限授予傳統用戶端軟體安裝帳戶 (不論直接授予或透過群組成員資格)。

為存取發佈點,用戶端會先尋找離接發佈點上封裝共用資料夾的現有連線。如果找到連線,不論所提供的認證為何,用戶端都會直接使用找到的連線。

如果 SMS 用戶端找不到伺服器及共用資料夾的現有連線,就會嘗試用目前的安全性內容連線。在這種情況下,作業系統會使用其他任何連接伺服器的連線內容。

SMS 用戶端試過所有連接發佈點的方式之後,傳統用戶端會嘗試使用傳統用戶端軟體安裝帳戶連線。

帳戶與密碼的建立

系統管理員會在 Windows 帳戶資料庫中建立帳戶及密碼,然後在 SMS Administrator 主控台設定 SMS 使用這個帳戶。

如需相關程序的資訊,請參閱<附錄 E:SMS 安全性程序>中的<建立或修改傳統用戶端軟體安裝帳戶>。

帳戶位置

帳戶可以建立於任何位置,但是用戶端必需能夠找到帳戶所屬的網域。如果用戶端找不到帳戶的網域,就無法使用帳戶;而如果用戶端找不到正確的帳戶,則可能造成帳戶鎖定。

帳戶維護

SMS 系統管理員會在作業系統建立並維護這個帳戶,然後在 SMS Administrator 主控台設定帳戶。

若要避免帳戶鎖定,請勿變更現有傳統用戶端軟體安裝帳戶的密碼, 請建立新帳戶,並設定 SMS 使用新帳戶。等待一段時間讓所有用戶端接收新帳戶資料,再從網路共用資料夾中移除舊帳戶並加以刪除。

群組

下列 SMS 群組都是自動建立的。

SMS Administrators (SMS Admins)

為什麼需要這個群組?  

這個群組可以讓成員透過 WMI 連線存取 SMS Provider。必須能夠存取 SMS Provider,才能使用 SMS Administrator 主控台或類似工具檢視和修改 SMS 安全性物件及資料。

這個群組建立在哪裡?

這個群組會建立於站台伺服器,以及執行 SMS Provider 的電腦。如果 SMS 與 SQL Server 在同一部電腦上,該電腦會執行 SMS Provider,群組也會建立於此。如果 SQL Server 位於遠端電腦,則 SMS Provider 的位置會在安裝時決定。如果 SMS Provider 安裝在執行 SQL Server 的遠端電腦上,則會在該電腦上額外建立一個 SMS Administrators 群組。

群組的類型為何?

如果 SMS Provider 電腦是成員伺服器,SMS Admins 就是本機群組; 如果 SMS Provider 電腦是成員伺服器,則 SMS Admins 就是網域本機群組。

應有哪些成員?

所有需要存取 SMS Administrator 主控台,但不需要成為 SMS Provider 電腦上本機 Administrators 群組成員的人員。

授予帳戶權限時,可以指派權限給使用者、本機群組、通用群組、萬用群組以及巢狀通用群組。然而,所有具有 SMS 物件安全性權限的帳戶,也必須能夠存取 SMS WMI 命名空間。如果使用者是通用或萬用群組的成員,就可以將通用或萬用群組以巢狀結構置於本機 SMS Administrators 群組中。

important.gif  重要
如果您建立自己的本機群組或網域本機群組,以供存取 SMS Administrator 主控台,就必須為該本機群組或網域本機群組授予和 SMS Administrators 群組相同的 WMI 權限。

如果您使用 SMS 使用者精靈指定 SMS 物件權限,SMS 會自動將新的 SMS 系統管理員加入 SMS Admins 群組; 如果是使用複製 SMS 使用者精靈指定 SMS 物件權限,SMS 就不會自動將複裂的使用者加入 SMS Admins 群組。如果直接在 SMS Administrator 主控台上變更物件的類別及執行個體權限,SMS 也不會自動將使用者加入 SMS Admins 群組。

這個群組需要的最低權限為何?

SMS Admins 群組的權限是在 [WMI 控制] MMC 嵌入式管理單元中設定的。

依照預設,執行方法提供者寫入以及啟用帳戶權限會授予 Everyone 群組中的使用者。

Root\SMS 命名空間的 啟用帳戶遠端啟用等權限則特別授予 SMS Admins 群組。

如果必須讓 SMS 2003 散佈軟體更新精靈在 SMS 2.0 站台上正常作業,您就必須在 SMS 2.0 站台伺服器建立名稱為 SMS_SUIAgent 的共用資料夾,並將這個共用資料夾的讀取讀取和執行以及列出資料夾內容權限授予 SMS Admins 群組。

Site System to Site Server Connection (SMS_SiteSystemToSiteServerConnection_站台碼)

為什麼需要這個群組?  

這個群組可以讓站台系統連接站台伺服器。

這個群組建立在哪裡?

這個群組會建立在 SMS 站台伺服器上。

群組的類型為何?

如果站台伺服器是成員伺服器,則為本機群組。如果站台伺服器是網域控制站,則為網域本機群組。

應有哪些成員?

管理點、用戶端存取點、報告點以及伺服器定位器點都應該是這個群組的成員, 發佈點則不應該是這個群組的成員。

從標準安全性升級到進階安全性站台時,SMS 會自動將 CAP 與管理點站台系統的電腦帳戶加入 Site System to Site Server Connection 群組。

Site to Site Connection (SMS_SiteToSiteConnection_站台碼)

為什麼需要這個群組?  

這個群組具有可以讓傳送者從某個站台連接到另一站台的權限。

這個群組建立在哪裡?

這個群組會建立在 SMS 站台伺服器上。

群組的類型為何?

如果站台伺服器是成員伺服器,則為本機群組。如果站台伺服器是網域控制站,則為網域本機群組。

應有哪些成員?

在站台位址設定的帳戶。如果您使用的是進階安全性,請將起始連線的電腦帳戶加入接收連線的電腦上的 Site to Site Connection 群組中。亦即,所有子站台伺服器都應該加入父站台伺服器上的 Site to Site Connection 群組; 父站台伺服器電腦帳戶則應該加入所有直系子站台上的 Site to Site Connection 群組。如果想要指定從某個站台連到下二層子站台的位址,請將該站台伺服器的電腦帳戶加入下二層子站台上的 Site to Site Connection 群組中。

安裝次要站台時,SMS 會自動將父站台電腦帳戶加入次要站台上的 Site to Site Connection 群組中。如果您是從父站台起始次要站台安裝,SMS 也會將次要站台的電腦帳戶加入父站台上的 Site to Site Connection 群組中。自動將帳戶加入群組,可以簡化將站台遷移至進階安全性的過程。

當您將使用標準安全性的站台升級為進階安全性時,SMS 會自動將站台伺服器的電腦帳戶加入父站台及子站台上的 Site to Site Connction 群組中。

這個群組需要的最低權限為何?

這個帳戶必須具有目標站台伺服器上 SMS\Inboxes\Despoolr.box\Receive 資料夾的讀取寫入執行刪除權限。

Site System to SQL Server Connection (SMS_SiteSystemToSQLConnection_站台碼)

為什麼需要這個群組?  

管理點、伺服器定位器點以及報告點都可以存取使用這個群組並執行 SQL Server 的電腦。

這個群組建立在哪裡?

這個群組位於執行 SQL Server 的電腦上。

群組的類型為何?

如果執行 SQL Server 的電腦是成員伺服器,則為本機群組。如果執行 SQL Server 的電腦是網域控制站,則為網域本機群組。

應有哪些成員?

如果您使用的是進階安全性,請將管理點、伺服器定位器點以及報告點的電腦帳戶加入; 如果使用的是標準安全性,請加入站台系統資料庫 (SMS_SQL_RX_站台碼) 帳戶。

當您啟用站台上的管理點與伺服器定位器點站台系統時,SMS 會自動將管理點和伺服器定位器點資料庫帳戶加入 Site System to SQL Server 群組中。將資料庫帳戶加入這個群組,可以簡化遷移至進階安全性的過程。

Reporting Users (SMS Reporting Users)

為什麼需要這個群組?  

在執行 SQL Server 的電腦上使用 Windows 驗證模式時,這個群組會控制 SMS 報告網站的存取。

如果在執行 SQL Server 的電腦上使用 SQL Server 驗證,請改用SMS 架構使用者 (smsschm_users) 角色。您也可以授予個別使用者或角色對特定檢視的權限,限制使用 SQL Server 安全性存取 SMS 資料。

在何處建立此群組?

這個群組位於報告點。

群組的類型為何?

如果報告點是成員伺服器,則為本機群組。如果報告點是網域控制站,則為網域本機群組。

應有哪些成員?

任何需要存取該報告點的報告,且非系統管理員的使用者。Administrators 群組成員會自動擁有檢視報告所需的權限,不需要加入此群組。Reporting Users 群組預設沒有成員。

如果某個使用者或群組要存取一或多個報告點伺服器,該使用者或群組必須為該報告點伺服器上 SMS Reporting Users 群組的成員。

Internal Client Group (SMSInternalGrp)

為什麼需要這個群組?  

只有當您在網域控制站上執行傳統用戶端時,才會有這個群組。這個群組可以讓用戶端使用者語彙基元帳戶及用戶端服務 (DC) 帳戶正常執行,但並不會授予這些帳戶不需要的權限。

caution.gif注意
也不建議在網域控制站安裝傳統用戶端,因為許多傳統用戶端帳戶都需要本機系統管理員權限,進而成為網域控制站的網域管理員。

這個群組建立在哪裡?

任何安裝了傳統用戶端的網域控制站的網域資料庫中,都會建立這個群組。

群組的類型為何?

通用群組。

應有哪些成員?

SMS 會自動將用戶端使用者語彙基元帳戶和用戶端服務 (DC) 帳戶加入這個群組。這個群組不需要系統管理作業或維護作業。如果這個群組造成任何問題,請解除安裝再重新安裝傳統用戶端。

站台安裝時的帳戶管理

安裝站台時可能需要指定 SMS 帳戶詳細資訊,例如要將 SMS 使用的帳戶數量減到最少時。以下章節會說明安裝站台時如何指定 SMS 帳戶詳細資訊。

important.gif  重要
初始化檔案或任何具有命令列選項的批次檔,都會以純文字顯示預設伺服器及用戶端連線帳戶的密碼。因此,請務必限制這些檔案的存取。Windows NT 系統目錄有限制存取,但是這些檔案若存在於該目錄之外,請特別小心處理。

在含有多個網域控制站的 Active Directory 站台中安裝 SMS 站台

安裝使用標準安全性的 SMS 站台時,會建立一些帳戶, 部分的帳戶會在安裝過程時使用,使用時需要進行驗證。然而,在具有多個網域控制站的 Windows 2000 或 Windows Server 2003 Active Directory 站台上,用來驗證帳戶的網域控制站可能並非建立帳戶用的網域控制站。如果這些帳戶尚未複製到另一個網域控制站,驗證就會失敗,並造成安裝失敗。

若要避免發生這個問題,請在安裝站台前建立帳戶,並預留一些時間讓帳戶進行複製。使用安裝程式命令列選項或安裝程式初始設定檔案選項,使用手動建立的帳戶。

在這個案例中,必須在安裝之前建立 SMS Service 帳戶。

請先等下列帳戶 (如果是網域帳戶) 複製完成,再設定站台的站台系統、站台間的關係或傳統用戶端:

  • SMS 伺服器連線 (如果站台伺服器位於網域控制站)

  • 站台系統連線帳戶

  • 站台位址帳戶

  • 用戶端連線帳戶

  • 用戶端推播安裝帳戶 (如果有使用)

從 SMS Administrator 主控台進行的次要站台安裝會重試數次,所以即使在次要站台安裝起始時 SMS 服務帳戶尚未複製完成,也還是可以成功安裝。站台系統的安裝 (例如用戶端存取點) 也會重試數次,因此即使站台系統是安裝在網域控制站,且遠端服務帳戶需要一些時間,也還是可以成功安裝。

important.gif  重要
SMS 系統管理員必須熟悉多個 Active Directory 網域間的「認知一致性檢查程式」設定的複製及計時數值。在部分「認知一致性檢查程式」的相關案例中,如果複製間隔時間太長,SMS 安裝還是可能在建立帳戶時逾時 (尤其是當 Active Directory 系統管理員自訂程式的設定時)。

安裝程式命令列選項

您可以使用 SMS 安裝程式命令列選項,指定用戶端連線與 SMS 伺服器連線帳戶,以及 Site System to Site Server、Site System to SQL Server 以及 Site to Site Connection 群組。

這些帳戶或群組必需已經存在並具有適當權限。手動指定帳戶或群組時,安裝程式並不會建立預設帳戶或群組,帳戶密碼也由您指定。

安裝命令語法如下:

setup /ServerAccount <domain>\<account> /ServerPassword <password> /ClientAccount  
<domain or computer>\<account> /ClientPassword <password> /MySiteSystemsGroup 
<groupname> /MyAddressesGroup <groupname>

例如,安裝站台時您可能想讓安裝程式使用:

  • MyDomain\SMSServerAcct (密碼 Elvis1) 做為 SMS 伺服器連線帳戶

  • MyDomain\SMSClientAcct (密碼 Elvis2) 做為用戶端連線帳戶

  • MySiteSystemsGroup 做為站台系統群組

  • MyAddresseses 做為位址群組 (Site to Site Connection 群組)

important.gif  重要
以這個命令指定的群組不可以加上網域或電腦名稱前置詞。SMS 安裝程式會忽略任何網域或電腦名稱前置詞。安裝程式會嘗試驗證這些群組是否存在於本機,但不會建立這些群組。如果安裝程式無法確認這些群組存在於本機,安裝就會失敗,並傳回無法驗證特定群組的錯誤訊息。如果群組存在於本機,安裝程式就能正確完成安裝,並授予這些群組應有的權限。

您可以使用以下語法呼叫安裝程式:

setup /ServerAccount MyDomain\SMSServerAcct /ServerPassword Elvis1 /ClientAccount  
MyDomain\SMSClientAcct /ClientPassword Elvis2 /SiteSystemGroup MySiteSystemsGroup  
/AddressGroup MyAddressesGroup

不過,要使用命令列引數,您必須能夠指定安裝命令。因此,在使用 SMS 安裝精靈或建立次要站台精靈時,不能指定已建立的伺服器與用戶端連線帳戶,因為這樣一來會使用您無法指定的安裝命令。

安裝程式初始設定檔案選項

您也可以使用初始設定檔,指定與安裝程式命令列選項相同的帳戶及組群,還可以指定 SQL Server 存取群組。

若要使用初始設定檔案指定站台安裝用的帳戶或群組,請在目標站台伺服器的 systemroot\System32 目錄建立名為 SMSAccountSetup.ini 的檔案。

note.gif  附註
您可以在初始設定檔案裡指定本機帳戶,而不要指定網域帳戶, 使用本機帳戶可以降低對網域帳戶的依存性。如果沒有指定網域,SMS 就會試著將帳戶當作本機帳戶。

這個檔案會列出伺服器及用戶端帳戶資訊,格式如下:

[ServerAccount] 
Name=domain\account 
Password=password 
[ClientAccount] 
Name=domain\account 
Password=password 
[SiteSystemGroup] 
Name=groupname 
[AddressGroup] 
Name=groupname 
[SQLGroup] 
Name=MySqlServerGroup

SiteSystemGroup 就是 Site System to Site Server Connection 群組。AddressGroup 就是 Site To Site Connection 群組。SQLGroup 就是 Site System to SQL Server Connection 群組。

important.gif  重要
在這個檔案中指定的群組不可以加上網域或電腦名稱前置詞。SMS 安裝程式會忽略任何網域或電腦名稱前置詞。安裝程式會嘗試驗證這些群組是否存在於本機,但是不會建立這些群組。如果安裝程式無法確認這些群組存在於本機,安裝就會失敗,並傳回無法驗證特定群組的錯誤訊息。如果群組存在於本機,安裝程式就能正確完成安裝,並授予這些群組應有的權限。

當安裝程式啟動時,會從 systemroot\System32 目錄讀取 SMSAccountSetup.ini 檔案 (如果檔案存在)。安裝程式會將初始設定檔中指定的使用者帳戶會與 /ServerAccount 及 /ClientAccount 命令列引數視為相同,不會建立預設帳戶與群組。

important.gif  重要
依照預設,在執行 Windows 2000 或 Windows Server 2003 系列作業系統的電腦上,非系統管理員使用者可以讀取 systemroot\System32 目錄的檔案。依照預設,這些使用者不能登入伺服器,以保護 SMSAccountSetup.ini 檔案。不過,如果允許非系統管理員使用者登入 SMS 伺服器,他們就能讀取這個檔案。若要避免此問題,請移除此檔案的 Users 及 Power Users 權限。

 

以站台重設重設帳戶

站台重設就是執行 SMS 安裝精靈並選取 [修改或重設目前的安裝] 選項,起始 SMS 站台設定變更的程序。SMS 站台重設會中止核心 SMS 站台服務,並移除服務後再重新安裝。執行站台重設可以:

  • 修復受損的站台伺服器。

  • 讓帳戶或密碼變更生效。

  • 讓站台使用不同的 SQL Server 資料庫名稱或執行 SQL Server 的伺服器,或是使用不同的 SQL Server 安全模式。

  • 將 SMS 資料夾及登錄權限還原到執行 ACLReset 工具後的狀態。

important.gif  重要
如果 SMS 2003 站台伺服器安裝了站台系統角色,ACLReset 工具可能無法將 SMS 資料夾與登錄權限還原至原始狀態。執行 ACLReset 之後,請務必執行站台重設。

在進行站台重設時,執行 SMS 安裝精靈時指定的變更會寫入主站台控制檔案。SMS 元件及執行緒會從站台伺服器及站台系統移除,然後重新安裝。站台重設的實際效果,取決於站台重設的啟動方式以及選取的選項,包括:

  • 從 SMS Administrator 主控台執行站台重設。

  • 從安裝程式執行站台重設。

  • 從 Preinst.exe 執行站台重設。

note.gif  附註
次要站台上的站台重設無法從 [開始] 功能表執行,但可以從光碟執行。

從 SMS Administrator 主控台進行站台重設

請在 SMS Administrator 主控台 [站台內容] 對話方塊中的 [帳戶] 索引標籤中更新站台帳戶,以執行站台重設。這個重設的變更不會影響到 SMS 服務帳戶或 SQL Server 帳戶以外的帳戶。階層管理員會移除並重新安裝站台元件管理員,並傳遞更新的站台控制檔案。站台元件管理員會進行一般站台重設,移除下列本機服務並重新安裝:

  • SMS_Site_Component_Manager

  • SMS_Executive (限位於站台伺服器本身)

  • SMS_Site_Backup

  • SMS_SQL_Monitor (限位於站台伺服器本身)

從安裝程式執行站台重設

選擇 SMS 安裝精靈的 [修改或重設目前的安裝] 選項時,會執行站台重設。站台重設會將站台指向新的資料庫名稱或執行 SQL Server 的電腦,或是變更 SQL Server 安全性模式,依 SMS 安裝精靈裡指定的選項而定。站台重設會移除重裝所有使用 SMS 服務帳戶的 SMS 服務,包括站台伺服器、站台 CAP 以及執行 SQL Server 的伺服器上的服務。如果用 SMS 安裝精靈指定變更,站台重設會更新儲存在 SMS 裡的 SMS 服務帳戶或 SQL Server 帳戶資訊。SMS 安裝會影響下列其他服務:

  • SMS_Site_Component_Manager

  • SMS_Executive (站台伺服器或元件伺服器上)

  • SMS_Site_Backup

  • SMS_SQL_Monitor (站台伺服器或元件伺服器上)

元件伺服器上每個核心元件的順序為:

  1. 完成關閉 SMS 元件。

  2. 標示要重新安裝的 SMS 元件。

  3. 重新建立遠端服務帳戶。

安裝程式會關閉服務、安裝站台元件管理員,然後建立更新過的站台控制檔案。在循環的這個過程中,SMS 安裝精靈會顯示對話方塊,詢問是否要重設站台伺服器與執行 SQL Server 的電腦上的連線帳戶。

重設連線帳戶

如果網域啟用了帳戶鎖定,重設連線帳戶 (SMS 伺服器連線帳戶與站台系統資料庫帳戶) 可能會導致帳戶鎖定。

站台系統資料庫帳戶

這是位於執行 SQL Server 電腦本機 SAM 資料庫的本機帳戶。管理點及伺服器定位器點設定會在連接 SQL Server 電腦時使用這個帳戶名稱及密碼。如果您是使用自訂的站台系統資料庫帳戶名稱及密碼,就必需先變更執行 SQL Server 電腦的本機 SAM 資料庫的帳戶和/或密碼,再使用站台重設,設定 SMS 使用新的認證。如果使用的是預設的站台系統資料庫帳戶 (SMS_SQL_RX_站台碼),站台重設時 SMS 會自動產生增強式密碼。如果 SMSAccountSetup.ini 檔案有指定 SMS_SQL_RX_站台碼 的密碼,SMS 安裝精靈便會用指定密碼來重設帳戶。

站台重設之後,在更新之前,SMS 站台元件管理員服務會使用新的認證更新管理點及伺服器定位器點,這兩個站台系統會嘗試使用舊認證與執行 SQL Server 的電腦連線。這樣會在啟用帳戶鎖定的網域中觸發鎖定。SMS 更新每個管理點及伺服器定位器點的認證之後,會解除執行 SQL Server 電腦上 SAM 資料庫的帳戶鎖定。

SMS 伺服器連線帳戶

這個帳戶預設會建立於網域帳戶資料庫中。遠端 CAP 與管理點的 SMS 服務會使用 SMS 伺服器連線帳戶連線到站台伺服器。

如果 SMSAccountSetup.ini 檔案有指定密碼給 SMS 伺服器連線帳戶,SMS 安裝精靈便會使用這項資訊重設帳戶。否則,SMS 安裝程式就會隨機產生增強式密碼給預設的 SMS 伺服器連線帳戶 (SMSServer_站台碼)。

站台重設後,SMS 站台元件管理員服務會使用新的認證更新管理點與 CAP。不過更新之前,這些站台系統還是會嘗試用舊的認證連線到站台伺服器。這樣會在啟用帳戶鎖定的網域中觸發鎖定。SMS 更新完所有管理點與 CAP 的認證之後,會解除鎖定網域資料庫中的帳戶。

如果站台重設有重建 SMS 伺服器連線帳戶,新帳戶便會擁有新的安全性識別碼,也因此會與舊帳戶有不同的 SMS 資源存取權限。給予 SMS 樹狀目錄上新帳戶完整的權限,SMS 伺服器便能正常連上 SMS 站台伺服器。

從 Preinst.exe 執行站台重設

請執行 PREINST /STOPSITE 命令,進行站台重設。這項重設作業與 SMS 安裝程式的重設相似。不同的是,SMS 伺服器連線帳戶的密碼不會變更,因為這個功能是安裝程式的一部份,不是站台元件管理員 的一部份。SMS 安裝程式也會變更 CAP 上遠端服務與 SMS_SQL_Monitor 服務所用的遠端服務帳戶密碼。

note.gif  附註
站台重設不會管理預設用戶端連線帳戶。原始站台安裝會建立用戶端連線帳戶,但是之後就必需用 SMS Administrator 主控台做管理,實作變更也不需要執行站台重設。站台重設不會更改其他站台或用戶端帳戶,也不會設定任何觸發條件做變更或更新。其餘大多數的帳戶都是經由 SMS Administrator 主控台管理。

顯示: