Configuration Manager 中所使用帳戶的技術參照

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

利用下列資訊可識別 System Center 2012 Configuration Manager 中使用的 Windows 群組及帳戶、其使用方式,以及任何需求。

Configuration Manager 會自動建立,而且在許多情況下,會自動維護下列 Windows 群組:

System_CAPS_note注意事項

當 Configuration Manager 在身為網域成員的電腦上建立群組時,群組會是本機安全性群組。 如果電腦是網域控制站,群組會是網域中所有網域控制站之間共用的網域本機群組。

此群組為 Configuration Manager 用來授與檢視軟體清查所收集檔案的存取權限。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組為主要網站伺服器上建立的本機安全性群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

成員資格

Configuration Manager 會自動管理群組成員資格。 成員資格包括系統管理使用者,會授與對指派的安全性角色中 [集合] 安全物件的 [檢視收集到的檔案] 權限。

權限

根據預設,此群組具備站台伺服器上下列資料夾的 Read 權限:%path%\Microsoft Configuration Manager\sinv.box\FileCol

此群組是 System Center 2012 Configuration Manager 在網站資料庫伺服器或資料庫複本伺服器上建立的本機安全性群組,且目前未使用。 此群組保留供 Configuration Manager 未來使用。

此群組為 Configuration Manager 遠端工具用來儲存您在允許的檢視者清單中設定要指派至每個用戶端的帳戶和群組。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組是用戶端收到啟用遠端工具的原則時,在 Configuration Manager 用戶端上建立的本機安全性群組。

System_CAPS_important重要事項

您停用用戶端的遠端工具後,此群組不會自動移除,必須從每部用戶端電腦手動刪除。

成員資格

根據預設,此群組中沒有成員。 當您新增使用者至 [允許的檢視者] 清單時,使用者會自動新增至此群組。

System_CAPS_tip提示

使用 [允許的檢視者] 清單管理此群組的成員資格,而不要直接新增使用者或群組至此群組。

除了作為允許的檢視者之外,系統管理使用者還必須具備 [集合] 物件的 [遠端控制] 權限。 您可以使用 [遠端工具操作員] 安全性角色指派此權限。

權限

根據預設,此群組未具有電腦上任何位置的權限,而且只用來保存 [允許的檢視者] 清單。

此群組為 Configuration Manager 用來授與透過 WMI 存取 SMS 提供者的權限。 檢視及修改 Configuration Manager 主控台中的物件都需要存取 SMS 提供者。

System_CAPS_note注意事項

系統管理使用者的角色為基礎系統管理組態,其會決定使用 Configuration Manager 主控台時可檢視及管理哪些物���。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組是每部擁有 SMS 提供者電腦上建立的本機安全性群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,階層中的每位系統管理使用者及網站伺服器電腦帳戶,都是網站中每部 SMS 提供者電腦的 SMS Admins 群組成員。

權限

SMS Admins 的權限是在 WMI Control MMC 嵌入式管理單元中設定。 根據預設,會授與 SMS Admins 群組 Root\SMS 命名空間上的 Enable AccountRemote Enable。 「已驗證的使用者」具有 Execute MethodsProvider WriteEnable Account

System_CAPS_note注意事項

將使用遠端 Configuration Manager 主控台的系統管理使用者,需要網站伺服器電腦及 SMS 提供者電腦上的「遠端啟用 DCOM」權限。 最佳作法是將這些權限授與 SMS Admins 以簡化系統管理,而不要直接將這些權限授與使用者或群組。 如需詳細資訊,請參閱管理站台和階層設定主題中的設定遠端 Configuration Manager 主控台連線的 DCOM 權限一節。

此群組為網站伺服器的遠端 Configuration Manager 管理點連接網站資料庫所使用。 此群組提供網站伺服器和網站資料庫上 [收件匣] 資料夾的管理點存取。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組是每部擁有 SMS 提供者電腦上建立的本機安全性群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括擁有網站管理點之遠端電腦的電腦帳戶。

權限

根據預設,此群組具備網站伺服器上 Read 資料夾的 Read & executeList folder contents%path%\Microsoft Configuration Manager\inboxes 權限。 此外,此群組具有管理點寫入用戶端資料所在 Write 下,不同子資料夾的額外 inboxes 權限。

此群組為網站伺服器的遠端 Configuration Manager SMS 提供者電腦連接網站伺服器所使用。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組為網站伺服器上建立的本機安全性群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括從已安裝網站的 SMS 提供者的每一部遠端電腦連接至網站伺服器所使用的電腦帳戶或網域使用者帳戶。

權限

根據預設,此群組具備網站伺服器上 Read 資料夾的 Read & executeList folder contents%path%\Microsoft Configuration Manager\inboxes 權限。 此外,這個群組會有額外的 Write 權限,或 SMS 提供者需要存取 inboxes 之下的寫入修改不同子資料夾的權限。

這個群組也有 ReadRead & executeList folder contents寫入修改%path%\Microsoft Configuration Manager\OSD\boot 之下資料夾的權限,和讀取 站台伺服器上 %path%\Microsoft Configuration Manager\OSD\Bin 之下資料夾的權限。

此群組為 Configuration Manager 遠端網站系統電腦上檔案發送管理員連接至網站伺服器所使用。

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組為網站伺服器上建立的本機安全性群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

成員資格

Configuration Manager 會自動管理群組成員資格。 根據預設,成員資格包括從執行檔案發送管理員的每一部遠端網站系統電腦連接至網站伺服器所使用的電腦帳戶或網域使用者帳戶。

權限

根據預設,此群組具備網站伺服器上該位置下的 Read 資料夾及不同子資料夾的 Read & executeList folder contents%path%\Microsoft Configuration Manager\inboxes 權限。 此外,這個群組會有額外的撰寫修改站台伺服器上 %path%\Microsoft Configuration Manager\inboxes\statmgr.box 資料夾的權限。

此群組為 Configuration Manager 在階層中的網站之間啟用檔案為基礎複寫所使用。 對���直接傳送檔案至此網站的每一個遠端網站,此群組會包含下列帳戶:

  • 設定為網站位址帳戶的帳戶,來自無 Service Pack 的 Configuration Manager 網站

  • 設定為檔案複本帳戶,且來自執行 Configuration Manager SP1 或更新版本之站台的帳戶

System_CAPS_note注意事項

僅從 Configuration Manager SP1 開始,檔案複寫帳戶會取代網站位址帳戶

下表列出此群組的其他詳細資料:

詳細資料

詳細資訊

類型和位置

此群組為網站伺服器上建立的本機安全性群組。

成員資格

當您安裝新網站做為另一個網站的子網站時,Configuration Manager 會自動將新網站的電腦帳戶新增至父網站伺服器上的群組,並且將父網站電腦帳戶新增至新網站伺服器上的群組。 如果您指定另一個帳戶進行檔案為基礎的傳輸,請將該帳戶新增至目的地網站伺服器上的此群組。

System_CAPS_note注意事項

當您解除安裝網站時,此群組不會自動移除,必須手動刪除。

權限

根據預設,此群組可完全控制%path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive 資料夾。

您可以為 Configuration Manager 設定下列帳戶:

Active Directory 群組探索帳戶用來探索本機、全域和通用安全性群組、這些群組內的成員資格,以及 Active Directory 網域服務中指定位置之發佈群組內的成員資格。 發佈群組不會探索為群組資源。

此帳戶可以是執行探索之網站伺服器的電腦帳戶,或是 Windows 使用者帳戶。 它必須具有指定進行探索之 Active Directory 位置的 [讀取] 存取權限。

Active Directory 系統探索帳戶用來探索 Active Directory 網域服務中指定位置的電腦。

此帳戶可以是執行探索之網站伺服器的電腦帳戶,或是 Windows 使用者帳戶。 它必須具有指定進行探索之 Active Directory 位置的 [讀取] 存取權限。

Active Directory 使用者探索帳戶用來探索 Active Directory 網域服務中指定位置的使用者帳戶。

此帳戶可以是執行探索之網站伺服器的電腦帳戶,或是 Windows 使用者帳戶。 它必須具有指定進行探索之 Active Directory 位置的 [讀取] 存取權限。

Active Directory 樹系帳戶用來探索 Active Directory 樹系中的網路基礎結構,管理中心網站及主要網站也會使用此帳戶將網站資料發佈至樹系的 Active Directory 網域服務。

System_CAPS_note注意事項

次要網站一律使用次要網站伺服器電腦帳戶發佈至 Active Directory。

System_CAPS_note注意事項

Active Directory 樹系帳戶必須是通用帳戶,才能探索及發佈至不受信任的樹系。 如果您未使用網站伺服器的電腦帳戶,就只能選取通用帳戶。

此帳戶必須具有您要探索網路基礎結構所在之每個 Active Directory 樹系的 [讀取] 權限。

此帳戶必須具有您要發佈網站資料所在的每個 Active Directory 樹系中,系統管理容器及其所有子物件的 [完全控制] 權限。

AMT 佈建和探索帳戶的功能相當於 AMT 遠端系統管理員帳戶,位於 Intel AMT 架構電腦的管理引擎 BIOS 擴充 (MEBx) 內。 此帳戶為執行超出訊號範圍服務點角色的伺服器,透過超出訊號範圍管理功能管理部分 AMT 網路介面功能所使用。

如果您在 Configuration Manager 中指定 AMT 佈建和探索帳戶,該帳戶必須符合 AMT 架構電腦中 BIOS 擴充內指定的 AMT 遠端系統管理員帳戶名稱及密碼。

System_CAPS_note注意事項

如需有關是否要指定 AMT 佈建和探索帳戶的詳細資訊,請參閱 步驟 5:設定向外的頻外管理元件指南中,如何佈建和 Configuration Manager 中設定 AMT 型電腦主題的System Center 2012 Configuration Manager 中的資產與相容性

該帳戶儲存於 AMT 型電腦的 Management Engine BIOS 擴充內,不與 Windows 中的任何帳戶相對應。

AMT 佈建移除帳戶可以在您需要復原網站時移除 AMT 佈建資訊。 您也可以在重新指派 Configuration Manager 用戶端,而且 AMT 佈建資訊未從舊網站的電腦中移除時使用該帳戶。

若要使用 AMT 佈建移除帳戶成功移除 AMT 佈建資訊,下列所有條件都必須為 true:

  • AMT 佈建移除帳戶是在超出訊號範圍管理元件內容中設定。

  • 佈建或更新 AMT 架構電腦時,針對 AMT 佈建移除帳戶設定的帳戶已在超出訊號範圍管理元件內容中設定為 AMT 使用者帳戶。

  • 針對 AMT 佈建移除帳戶設定的帳戶,必須是超出訊號範圍服務點電腦上本機系統管理員群組的成員。

  • 未啟用 AMT 稽核記錄。

因為這是 Windows 使用者帳戶,請指定具備永不過期之強式密碼的帳戶。

AMT 遠端系統管理員帳戶是 Intel AMT 型電腦 (由執行超出訊號範圍服務點角色來管理 Configuration Manager 中 AMT 的某些網路介面功能的伺服器使用) 的 Management Engine BIOS 擴充 (MEBx) 中的帳戶,使用超出訊號範圍管理功能。

Configuration Manager 會自動設定佈建 AMT 之電腦的遠端系統管理員帳戶密碼,接著用於後續驗證對 AMT 韌體的存取。 此帳戶功能相當於 Configuration Manager AMT 佈建和探索帳戶。

該帳戶儲存於 AMT 型電腦的 Management Engine BIOS 擴充內,不與 Windows 中的任何帳戶相對應。

AMT 使用者帳戶會控制哪些 Windows 使用者或群組,可以執行超出訊號範圍管理主控台中的管理功能。

AMT 使用者帳戶的設定會在 AMT 韌體中建立相當於存取控制清單 (ACL) 的清單。 登入的使用者嘗試執行超出訊號範圍管理主控台時,AMT 會使用 Kerberos 驗證帳戶,然後授權或拒絕存取以執行 AMT 管理功能。

佈建 AMT 型電腦前,設定 AMT 使用者帳戶。 如果在為 AMT 佈建電腦後設定 AMT 使用者帳戶,您必須為這些電腦手動更新 AMT 記憶體,以便以新的設定重新設定這些電腦。

因為 AMT 使用者帳戶使用 Kerberos 驗證,所以使用者帳戶和安全性群組必須存在於 Active Directory 網域。

Asset Intelligence 同步處理點會使用 Asset Intelligence 同步處理點 Proxy 伺服器帳戶,經由需要驗證存取的 Proxy 伺服器或防火牆來存取網際網路。

System_CAPS_security 安全性 注意事項

為所需的 Proxy 伺服器或防火牆指定具備最低可能權限的帳戶。

憑證登錄點帳戶會將憑證登錄點連接到 Configuration Manager 資料庫。 預設會使用憑證登錄點伺服器的電腦帳戶,但您可以改為設定使用者帳戶。 只要憑證登錄點位於網站伺服器的不受信任網域內,就必須指定使用者帳戶。 此帳戶僅需要唯讀權限就能存取網站資料庫,因為寫入操作會由狀況訊息系統處理。

Configuration Manager 會使用擷取作業系統映像帳戶來存取資料夾,部署作業系統時,擷取到的影像都會儲存在這個資料夾中。 如果您將步驟 [擷取作業系統映像] 新增到工作順序,就需要此帳戶。

帳戶在儲存映像的網路共用上都必須擁有 [讀取] 與 [寫入] 權限。

如果 Windows 中帳戶的密碼變更,您必須以新密碼更新工作順序。 在用戶端接著下載用戶端原則時,Configuration Manager 用戶端會收到新的密碼。

如果您使用此帳戶,您可以建立一個具備最低權限的網域使用者帳戶,來存取所需的網路資源,並用在所有工作順序帳戶上。

System_CAPS_security 安全性 注意事項

請勿將互動登入權限指派給此帳戶。

勿對此帳戶使用網路存取帳戶。

如果您使用用戶端推入安裝來部署用戶端,您可使用用戶端推入安裝帳戶來連線至電腦,並安裝 Configuration Manager 用戶端軟體。 若未指定此帳戶,則會使用網站伺服器帳戶來嘗試安裝用戶端軟體。

此帳戶必須是該電腦之本機系統管理員群組的成員,其中需要安裝 Configuration Manager 用戶端軟體。 此帳戶不需要網域系統管理員權限。

您可以指定一個或多個用戶端推入安裝帳戶,Configuration Manager 會嘗試輪流使用這些用戶端,直到其中一個成功為止。

System_CAPS_tip提示

為更有效協調大型 Active Directory 部署中的帳戶更新,請以不同的名稱建立新的帳戶,然後將新的帳戶新增至 Configuration Manager 中用戶端推入安裝帳戶的清單。 應提供 Active Directory 網域服務足夠的時間複寫新帳戶,然後從 Configuration Manager 和 Active Directory 網域服務移除舊帳戶。

System_CAPS_security 安全性 注意事項

請勿授與此帳戶登入本機的權限。

註冊點連線帳戶會將註冊點連線到 Configuration Manager 網站資料庫。 根據預設,會使用註冊點的電腦帳戶,但您可以設定改為使用者帳戶。 只要註冊點位於網站伺服器的不受信任網域內,就必須指定使用者帳戶。 此帳戶需要網站資料庫的 [讀取] 和 [寫入] 權限。

Exchange Server 連線帳戶會將網站伺服器連線到指定的 Exchange Server 電腦,以找出並管理連線到 Exchange Server 的行動裝置。 此帳戶需要提供給 Exchange Server 電腦必要權限的 Exchange PowerShell Cmdlet。 如需有關 Cmdlet 的詳細資訊,請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置

Exchange Server 連接器會使用 Exchange Server 連接器 Proxy 伺服器帳戶,以經由需要經驗證存取的 Proxy 伺服器或防火牆來存取網際網路。

System_CAPS_security 安全性 注意事項

為所需的 Proxy 伺服器或防火牆指定具備最低可能權限的帳戶。

針對無 Service Pack 的 Configuration Manager:SMTP 伺服器需要經驗證存取時,網站伺服器會使用 Endpoint Protection SMTP 伺服器連線帳戶來針對 Endpoint Protection 來傳送電子郵件警示。

System_CAPS_security 安全性 注意事項

指定具備最低可能權限的帳戶來寄送電子郵件。

使用健全狀況狀態參照發佈帳戶來發佈 Configuration Manager 至 Active Directory 網域服務的網路存取保護 (NAP) 健全狀況狀態參照。

如果未設定帳戶,Configuration Manager 會嘗試使用網站伺服器電腦帳戶來發佈健全狀況狀態參照。

在儲存健全狀況狀態參照的 Active Directory 樹系中,此帳戶需要 [讀取]、[寫入] 和 [建立] 權限。

在指定用來儲存健全狀況狀態參照的樹系中建立帳戶。 將最低權限指派給此帳戶,且不使用指定給健全狀況狀態參照查詢帳戶的相同帳戶,因此帳戶僅需要 [讀取] 權限。

使用健全狀況狀態參照查詢帳戶來擷取 Active Directory 網域服務至 Configuration Manager 的網路存取保護 (NAP) 健全狀況狀態參照。

如果未設定帳戶,Configuration Manager 會嘗試使用網站伺服器電腦帳戶來擷取健全狀況狀態參照。

此帳戶需要通用類別目錄中 Configuration Manager 系統管理容器的讀取權限。

在指定用來儲存健全狀況狀態參照的樹系中建立帳戶。 請勿使用與健全狀況狀態參照發佈帳戶相同的帳戶,這需要更多權限。

System_CAPS_security 安全性 注意事項

不要授與此帳戶互動式登入權限。

管理點連線帳戶可用來將管理點連線到 Configuration Manager 網站資料庫,使其可以傳送和擷取用戶端的資訊。 根據預設,會使用管理點的電腦帳戶,但您可以設定改為使用者帳戶。 只要管理點位於網站伺服器的不受信任網域內,就必須指定使用者帳戶。

在執行 Microsoft SQL Server 的電腦上建立低權限的本機帳戶。

System_CAPS_security 安全性 注意事項

不要授與此帳戶互動式登入權限。

MEBx 帳戶是 Intel AMT 型電腦上 Management Engine BIOS 擴充 (MEBx) 中的帳戶,用來針對 AMT 型電腦上的 AMT 韌體起始經驗證存取。

根據預設,MEBx 帳戶的名稱為 [admin],密碼為 [admin]。 您的製造商可能會提供自訂的密碼,或者您在 AMT 中已經指定您選定的密碼。 如果 MEBx 密碼設定的值不是 [admin],您必須設定 AMT 佈建和探索帳戶。 如需詳細資訊,請參閱步驟 5:設定向外的頻外管理元件主題中的如何佈建和 Configuration Manager 中設定 AMT 型電腦

此帳戶儲存於 AMT 型電腦的 Management Engine BIOS 擴充中。 此帳戶並不對應至 Windows 中的任何帳戶。

如果 Configuration Manager 佈建 AMT 的電腦前尚未變更預設的 MEBx 密碼,則在 AMT 佈建程序中,Configuration Manager 會設定您所設定的密碼。

針對多點傳送設定的發佈點會使用多點傳送連線帳戶,來讀取網站資料庫的資訊。 根據預設,會使用發佈點的電腦帳戶,但您可以設定改為使用者帳戶。 只要網站資料庫位於不受信任的樹系中,就必須指定使用者帳戶。 例如,如果您的資料中心在網站伺服器和網站資料庫以外的樹系中擁有周邊網路,您可以使用此帳戶來讀取網站資料庫的多點傳送資訊。

如果建立此帳戶,則在執行 Microsoft SQL Server 的電腦上建立低權限的本機帳戶。

System_CAPS_security 安全性 注意事項

不要授與此帳戶互動式登入權限。

當用戶端電腦無法使用其本機電腦帳戶存取發佈點上的內容時,就會使用網路存取帳戶。 例如,這會套用至不受信任網域的工作群組用戶端和電腦。 當安裝作業系統的電腦沒有網域上的電腦帳戶時,此帳戶也會在作業系統部署期間使用。

System_CAPS_note注意事項

網路存取帳戶不能作為執行應用程式、安裝軟體更新或執行工作順序的安全性環境,而是僅用來存取網路上的資源。

請授與此帳戶用戶端存取軟體所需之內容的最低適當權限。 該帳戶在發佈點或包含套件內容的其他伺服器上,必須具有 [從網路存取這台電腦] 的權限 在 System Center 2012 R2 Configuration Manager 之前,您只能在每個網站上建立一個網路存取帳戶,而這個帳戶對於需要該帳戶的所有套件和工作順序必須都能運作。 從 System Center 2012 R2 Configuration Manager 開始,您可以在每個網站設定多個網路存取帳戶。

System_CAPS_warning警告

當 Configuration Manager 嘗試使用 computername$ 帳戶下載內容卻失敗時,即使先前嘗試網路存取帳戶時失敗,還是會自動再次嘗試使用網路存取帳戶。

在任何提供必要的資源存取的網域中建立帳戶。 網路存取帳戶一律都必須包含網域名稱。 此帳戶不支援傳遞安全性。 如果您在多個網域中擁有發佈點,請在受信任網域中建立此帳戶。

System_CAPS_tip提示

為避免帳戶鎖定,請不要變更現有網域存取帳戶的密碼。 您可改為建立新帳戶,並且在 Configuration Manager 中設定新帳戶。 經過一段時間所有用戶端都已收到新帳戶的詳細資料後,從網路共用資料夾移除舊帳戶,並刪除該帳戶。

System_CAPS_security 安全性 注意事項

請勿將互動登入權限授與此帳戶

不要授與此帳戶將電腦加入網域的權限。 如果您必須在工作順序期間將電腦加入網域,請使用工作順序編輯器網域加入帳戶。

對於 System Center 2012 R2 Configuration Manager 及更新版本: 您現在就可以為網站指定多個網路存取帳戶。 當用戶端嘗試存取內容,卻無法使用其本機電腦帳戶時,會先使用上次成功連線的網路存取帳戶。Configuration Manager 最多支援十個網路存取帳戶。

您可使用套件存取帳戶設定 NTFS 權限,來指定可以存取發佈點上套件資料夾的使用者和使用者群組。Configuration Manager 預設只將存取權授與一般存取帳戶 [使用者] 和 [系統管理員],但您可以使用額外的 Windows 帳戶或群組控制用戶端電腦的存取。 行動裝置一律都是匿名擷取套件內容,因此行動裝置不會使用套件存帳戶。

根據預設,當 Configuration Manager 在發佈點建立封裝共用時,它會授與讀取存取權限給本機使用者群組,和授與完全控制存取權限給本機系統管理員群組。 實際需要的權限則依套件而定。 如果有用戶端位於工作群組或不受信任的樹系中,這些用戶端會使用網路存取帳戶來存取套件內容。 請使用預設套件存取帳戶來確保網路存取帳戶有權限存取套件。

使用網域中可存取發佈點的帳戶。 如果您在建立套件後建立或修改帳戶,則必須重新發佈套件。 更新套件並不會變更套件上的 NTFS 權限。

您不需要將網路存取帳戶新增為套件存取帳戶,因為使用者群組的成員資格會自動新增該帳戶。 將套件存取帳戶限制為只有網路存取帳戶不會阻止用戶端存取套件。

SQL Server Reporting Services 點使用 Reporting Services 點帳戶,從網站資料庫擷取 Configuration Manager 報告的資料。 您指定的 Windows 使用者帳戶和密碼皆經過加密,並且儲存在 SQL Server Reporting Services 資料庫中。

指定進行遠端控制的 [獲准檢視器] 是一份使用者清單,這些使用者均獲准使用用戶端上的遠端工具功能。

網站伺服器使用網站系統安裝帳戶安裝、重新安裝、解除安裝和設定網站系統。 如果設定網站系統要求網站伺服器起始與此網站系統之間的連線,安裝網站系統和任何網站系統角色後,Configuration Manager 也會使用此帳戶從網站系統電腦提取資料。 每個網站系統的網站系統安裝帳戶可以不同,但您只能設定一個網站系統安裝帳戶管理該網站系統上的所有網站系統角色。

此帳戶在將安裝及設定的網站系統上必須具備本機系統管理權限。 此外,在將安裝及設定的網站系統上,此帳戶的安全性原則必須設定 [從網路存取這台電腦]。

System_CAPS_tip提示

如果您有許多網域控制站,且將跨網域使用這些帳戶,請在設定網站系統前確認已複寫這些帳戶。

在每個要管理的網站系統指定本機帳戶時,這種設定比使用網域帳戶更安全,因為它能夠有效降低攻擊者入侵帳戶時所造成的損失。 不過,管理網域帳戶較容易,因此請斟酌安全性與系統管理效益之間的取捨。

對於 System Center 2012 Configuration Manager SP1 及更新版本: 當 SMTP 伺服器需要驗證存取時,網站伺服器使用 SMTP 伺服器連線帳戶傳送電子郵件警示。

System_CAPS_security 安全性 注意事項

指定具備最低可能權限的帳戶來寄送電子郵件。

網站伺服器使用軟體更新點連線帳戶進行下列兩種軟體更新服務:

  • WSUS Configuration Manager,會設定產品定義、分類及上游設定之類的設定值。

  • WSUS Synchronization Manager,會要求與上游 WSUS 伺服器或 Microsoft Update 同步處理。

網站系統安裝帳戶可以安裝軟體更新元件,但無法在軟體更新點上執行軟體更新專屬功能。 如果因為軟體更新點位於不受信任的樹系中而無法以網站伺服器電腦帳戶使用此功能,除了網站系統安裝帳戶外,還必須指定這個帳戶。

這個帳戶必須是 WSUS 安裝電腦上的本機系統管理員,而且必須屬於本機 WSUS 系統管理員群組。

軟體更新點會使用軟體更新點 Proxy 伺服器帳戶,透過要求驗證存取的 Proxy 伺服器或防火牆存取網際網路。

System_CAPS_security 安全性 注意事項

為所需的 Proxy 伺服器或防火牆指定具備最低可能權限的帳戶。

移轉程序使用來源網站帳戶存取來源網站的 SMS 提供者。 此帳戶需要 [讀取] 權限以讀取來源網站中的網站物件,才能收集移轉作業所需的資料。

如果您升級 Configuration Manager 2007 發佈點,或將發佈點共置於 System Center 2012 Configuration Manager 發佈點的次要站台,這個帳戶也必須具有刪除站台類別的權限,才能在升級期間成功從 Configuration Manager 2007 站台移除散佈點。

System_CAPS_note注意事項

來源站台帳戶與來源站台資料庫帳戶都識別為移轉管理員,其位於Configuration Manager 主控台的 [系統管理] 工作區的 [帳戶] 節點中。

移轉程序使用來源網站資料庫帳戶存取來源網站的 SMS Server 資料庫。 若要從來源網站的 SQL Server 資料庫收集資料,來源網站資料庫帳戶必須要有來源網站 SQL Server 資料庫的 [讀取] 及 [執行] 權限。

System_CAPS_note注意事項

如果使用 System Center 2012 Configuration Manager 電腦帳戶,請確定此帳戶的下列條件皆成立:

  • 它是該網域中分散式 COM 使用者安全性群組的成員,其中該網域為 Configuration Manager 2007 站台所在。

  • 其為 [SMS Admins] 安全性群組的成員。

  • 它有讀取所有 Configuration Manager 2007 物件的權限。

System_CAPS_note注意事項

來源站台帳戶與來源站台資料庫帳戶都識別為移轉管理員,其位於Configuration Manager 主控台的 [系統管理] 工作區的 [帳戶] 節點中。

工作順序會中運用工作順序編輯器網域加入帳戶,將新製作映像的電腦新增至網域中。 如果在工作順序中新增 [加入網域或工作群組] 步驟,然後選取 [加入網域],則必須要有此帳戶。 如果在工作順序中新增 [套用網路設定] 步驟,也可以設定此帳戶,但並非必要條件。

此帳戶會要求 [網域加入] 該電腦將加入的網域中。

System_CAPS_tip提示

如果需要此帳戶才能進行工作順序,您可以建立一個具備最小權限的網域使用者帳戶來存取必要的網路資源,並且在所有工作順序帳戶中使用該帳戶。

System_CAPS_security 安全性 注意事項

請勿將互動登入權限指派給此帳戶。

勿對此帳戶使用網路存取帳戶。

工作順序使用工作順序編輯器網路資料夾連線帳戶連線至網路上的共用資料夾。 如果在工作順序中新增 [連線至網路資料夾] 步驟,則一定要有此帳戶。

此帳戶需要存取指定共用資料夾的權限,而且必須是使用者網域帳戶。

System_CAPS_tip提示

如果需要此帳戶才能進行工作順序,您可以建立一個具備最小權限的網域使用者帳戶來存取必要的網路資源,並且在所有工作順序帳戶中使用該帳戶。

System_CAPS_security 安全性 注意事項

請勿將互動登入權限指派給此帳戶。

勿對此帳戶使用網路存取帳戶。

工作順序執行身分帳戶用於在工作順序中執行命令列,以及使用本機系統帳戶以外的認證。 如果您在工作順序中新增 [執行命令列] 步驟,但不希望工作順序在受管理電腦上使用本機系統帳戶權限執行,則一定要有此帳戶。

設定帳戶權限,使其擁有執行工作順序指定之命令列所需的最小權限即可。 此帳戶需要互動式登入權限,而且通常需要安裝軟體及存取網路資源。

System_CAPS_security 安全性 注意事項

勿對此帳戶使用網路存取帳戶。

永不使帳戶成為網域系統管理員。

永不設定此帳戶的漫遊設定檔。 工作順序在執行時,會下載帳戶的漫遊設定檔,讓設定檔在本機電腦上容易��取。

限制帳戶的範圍。 例如,為每個工作順序建立不同的工作順序執行身分帳戶,一旦其中一個帳戶遭受入侵時,只有該帳戶能夠存取的用戶端電腦會出現風險。

如果命令列要求電腦的系統管理存取權限,請考慮在所有將執行該工作順序的電腦上建立單獨作為工作順序執行身分帳戶的本機系統管理員帳戶,並且在不需要此類帳戶時立即加以刪除。

顯示: