Последнее обновление раздела: май 2008 г.
Учетные записи пользователей AMT контролируют, какие пользователи или группы могут запускать функции управления на внешней консоли управления в Microsoft System Center Configuration Manager 2007. При настройке учетных записей пользователей AMT вместо предоставления учетных данных, которые будут проверяться, создается нечто вроде списка управления доступом, где указывается, какие возможности AMT разрешены для указанной глобальной группы безопасности домена Windows или пользователя домена. Когда вошедший в систему пользователь пытается выполнить действие, AMT использует протокол Kerberos для проверки подлинности учетной записи, а затем, на основании настройки учетной записи пользователя AMT, авторизует доступ к возможности.
Примечание |
---|
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям. |
Необходимые права и разрешения
Используйте диалоговое окно Параметр учетных записей пользователей AMT для указания конкретной возможности AMT, разрешенной для конкретной учетной записи пользователя AMT. Например, можно создать группу безопасности для поддержки уровня один, чтобы разрешить Сведения об оборудовании, Общие сведения и Удаленное управление, и можно создать другую группу безопасности для поддержки уровня три, чтобы разрешить Администрирование PT. Эти действия управления относятся к AMT. Дополнительные сведения см. в документации производителя.
Создание учетной записи и пароля
Учетные записи пользователей AMT или группы безопасности создаются и поддерживаются администратором Configuration Manager 2007. Можно настроить до восьми разных записей.
Расположение учетной записи
Поскольку используется проверка подлинности Kerberos, учетные записи пользователей и группы безопасности должны быть в домене Active Directory.
Обслуживание учетной записи
При изменении учетной записи на консоли Configuration Manager 2007 компьютеры не получат это изменение, пока не будут заново подготовлены.
Рекомендации по безопасности
Используйте группы безопасности вместо отдельных учетных записей пользователей и управляйте доступом посредством групп безопасности.
Чтобы разрешать доступ, создайте группы на основе роли. Например, просмотр сведений об оборудовании – это обычно режим работы с меньшим риском относительно угрозы раскрытия информации, в то время как разрешение перенаправления носителя может дать возможность пользователю выполнить загрузку по сети и затем переформатировать компьютер. Поэтому может потребоваться создание отдельной группы для режимов работы с меньшим риском.
Настройте учетные записи пользователей AMT до подготовки к работе компьютеров, основанных на AMT. Если учетные записи пользователей AMT настраиваются после обеспечения компьютеров AMT, необходимо вручную обновить память AMT для этих компьютеров, чтобы они были перенастроены с новыми параметрами.