附錄 D:繼承用戶端安全性環境 (Microsoft Systems Management Server 2003 的方案和處理程序:安全強化指南)

附錄 D:繼承用戶端安全性環境

發佈日期: 2004 年 9 月 1 日

Microsoft ®Systems Management Server (SMS) 中的繼承用戶端 (Legacy Client) 並不被視為安全的環境。本節的對象為必須管理 Microsoft® Windows® 98 及 Microsoft Windows NT 4.0 用戶端的組織。在 SMS 2003 RTM 中,不建議在 Microsoft Windows XP、Microsoft Windows 2000 或 Microsoft Windows 2003 執行繼承用戶端;SMS 2003 SP1 中則是不支援。

本頁內容

管理繼承用戶端帳戶

保護遠端工具

管理繼承用戶端帳戶

繼承用戶端每台電腦都需要多個帳戶。SMS 應該建立並管理所有需要的帳戶,但是 SMS 系統管理員 (SMS Administrator) 可以建立額外的帳戶,以提升安全性並避免帳戶被鎖定。

不在網域控制站安裝繼承用戶端

進階用戶端 (Advanced Client) 會以 LocalSystem 帳戶的內容執行,因此擁有唯一的安全性內容 (甚至不同於網域控制站上的所有其他電腦),也不需要複製帳戶或帳戶變更。反觀繼承用戶端就需要多個帳戶,而且因為網域控制站沒有本機資料庫,SMS 繼承用戶端帳戶還必須是網域帳戶。其中有些帳戶擁有作業系統較高的使用者權限。在 NT 4.0 網域中,應要在風險提高或管理能力提高之間評估取捨。

建立多個用戶端連線帳戶

如果網域啟用帳戶鎖定,只要有一個用戶端密碼無效就會導致用戶端連線 (Client Connection) 帳戶禁止所有用戶端連線。例如,久未上線的 SMS 用戶端便可能造成鎖定現象,因為持有的用戶端連線帳戶密碼可能已過期。當該用戶端以舊的用戶端連線帳戶密碼連往 CAP 時,該帳戶就會被鎖定。為避免孤立用戶端,務必隨時保持至少一個有效的用戶端連線帳戶供用戶端使用。如需詳細程序,請參閱<附錄 E:SMS 安全性程序>中的<建立額外用戶端連線帳戶以免孤立繼承用戶端>。

以進階安全性進行運作前,先建立用戶端連線帳戶

以進階安全性安裝新站台時,SMS 不會建立用戶端連線帳戶。繼承用戶端使用用戶端連線帳戶連往 CAP 並傳送資訊,如探索資料記錄 (Discovery Data Records;DDR)、目錄及狀態訊息等。如果您計畫在進階安全性 SMS 站台中使用繼承用戶端,就必須先建立至少一個用戶端連線帳戶,然後才安裝繼承用戶端。

如果您在進階安全性站台設定額外 CAP,而且原先的用戶端連線帳戶又是原先 CAP 的本機帳戶 (依照建議事項),那就必須再建立額外的用戶端連線帳戶,讓用戶端存取新增的 CAP。

SMS 預設會為每個 CAP 建立一個用戶端連線帳戶,但是為了提高安全性、站台完整性及容錯能力,您還是必須再建立額外的用戶端連線帳戶。使用這個程序建立多個用戶端連線帳戶:

不變更自動建立的繼承用戶端帳戶密碼

下列帳戶是 SMS 自動建立與維護的帳戶。變更密碼的唯一方式就是移除然後重新安裝繼承用戶端。

表格 D.1  自動建立的繼承用戶端帳戶

好記的名稱

介面名稱

用戶端服務 (非 DC)

SMSCliSvcAcct&

用戶端服務 (DC)

SMS&_網域_控制站_名稱

用戶端使用者語彙基元 (非 DC)

SMSCliToknLocalAcct&

用戶端使用者語彙基元 (DC)

SMSCliToknAcct&

CCM 開機載入器 (DC)

SMS#_網域_控制站_名稱

CCM 開機載入器 (非 DC)

SMSCCMBootAcct&


遷移至進階安全性之後,刪除不再需要的安全性帳戶 (繼承用戶端環境)

將站台遷移至進階安全性並不會自動刪除標準安全性帳戶,因為用戶端或其他站台仍可能需要這些帳戶。當您確定完全用不到這些帳戶,即可加以移除。

note.gif  注意
此清單僅適用於含有繼承用戶端的環境。如果您沒有繼承用戶端,請參閱<從標準安全性遷移至進階安全性之後,刪除不再需要的帳戶 (進階用戶端環境)>中的帳戶移除清單。

一律刪除:

  • SMS Service 帳戶

  • 站台系統資料庫帳戶 (SMS_SQL_RX_站台碼)


如果您有執行繼承用戶端的網域控制站,請勿刪除下列帳戶:

CCM 開機載入器 (DC) (SMS#_dc)

用戶端服務 (DC) (SMS&_dc)

用戶端使用者語彙基元 (DC) (SMSCliToknAcct&)

內部用戶端群組 (SMSInternalCliGrp)

如果您的 SMS 提供者安裝在執行 SQL Server 的遠端電腦,請勿刪除:

伺服器連線帳戶 (SMSServer_站台碼)

  • 如果您的 SMS 站台資料庫是在站台伺服器上,請刪除這個帳戶。在 SMS 2003 (未安裝 Service Pack) 中,如果 SMS 提供者是安裝在執行 SQL Server 的遠端電腦上,刪除 SMSServer_站台碼帳戶可能會導致站台伺服器無法存取 SMS 站台資料庫。如需更多資訊,請至 Microsoft TechNet,在《SMS 2003 操作發行注意事項》中搜尋 "Transitioning from Standard Security to Advanced Security Might Fail" (從標準安全性轉換至進階安全性可能會失敗)。升級至 SMS 2003 SP1 後即無此問題。


如果沒有用到下列選用帳戶就可以安全地刪除:

  • Client Push Installation

  • Advanced Client Network Access

  • Legacy Client Software Installation


不要刪除

  • SMS 系統管理員群組 (SMS Admins)

  • 報告使用者群組 (SMS Reporting Users)

  • 站台系統對站台伺服器連線群組 (SMS_SiteSystemToSiteServerConnection_站台碼)

  • 站台系統對 SQL Server 連線群組 (SMS_SiteSystemToSQLConnection_站台碼)

  • 站台間連線群組 (SMS_SiteToSiteConnection_站台碼)

  • 用戶端連線帳戶 (SMSClient_站台碼)

  • 您新增至 [SMS_SiteToSiteConnection_站台碼] 的 Site Address 帳戶;除非您已用電腦帳戶加以取代。

    如果您先指定一個 Site Address 帳戶給某個位址,之後又決定要改以電腦帳戶作為 Site Address 帳戶,就必須刪除之前的位址並重新建立。如果是要從使用者帳戶遷移至 computername$ 帳戶,僅是變更帳戶名稱是不夠的。


不要授予 Legacy Client Software Installation 帳戶任何用戶端電腦權限

當用戶端執行需要系統管理權限的程式時,SMS 用戶端元件會授予 Legacy Client Software Installation 帳戶特定本機系統管理員群組的使用者權限與成員資格。

保護遠端工具

請依照建議事項以保護 Windows 2000 Professional Advanced Clients 的遠端工具。

執行 Windows 98 的用戶端只須要求使用者權限,即可維護遠端工具的安全性。執行 Windows 98 的用戶端並沒有 [允許的檢視者] 清單,可以跳過集合安全性。如果要避免未經授權的使用者從遠端控制 Windows 98 電腦之風險,就必須啟用選項,要求使用者權限才能存取 Windows 98 用戶端被指派的站台。您可以設定此選項,讓只有執行 Windows 98 的電腦才需要使用者權限,而其他作業系統的用戶端不會要求權限。

顯示: