Локальная системная учетная запись является мощной учетной записью с полным доступом к компьютеру. Она используется в Microsoft System Center Configuration Manager 2007 для запуска служб и предоставления им контекста безопасности, а также для выполнения многих операций Configuration Manager 2007 на сервере сайта, системах сайта и клиентских компьютерах.
Фактическое имя этой учетной записи: NT AUTHORITY\System.
Локальная системная учетная запись не имеет прав доступа к сети. При необходимости наличия доступа к сети, локальная системная учетная запись использует учетную запись Домен\имя_компьютера$.
С выпуском Windows Server 2003 добавлены два новых встроенных типа учетных записей, сходных с локальной системной учетной записью: учетная запись сетевой службы и учетная запись локальной службы. Дополнительные сведения о том, как Configuration Manager 2007 использует эти записи, см. в разделах О локальной учетной записи в Configuration Manager и Об учетной записи сетевой службы в Configuration Manager. Дополнительные сведения об этих учетных записях см. по адресу http://go.microsoft.com/fwlink/?LinkId=93067.
Функции локальной системной учетной записи
Локальная системная учетная запись по своему существу имеет все необходимые права и разрешения на локальном компьютере. Удаление любого из этих прав или разрешений может привести к прекращению работы Configuration Manager 2007 или операционной системы.
Следующие службы Configuration Manager 2007, если они используются, настроены для входа под локальной системной учетной записью:
- CCMSetup.exe
- Узел агента SMS
- Агент последовательности задач SMS
- SMS_EXECUTIVE
- SMS_REPORTING_POINT
- SMS_SERVER_LOCATOR_POINT
- SMS_SITE_BACKUP
- SMS_SITE_VSS_WRITER
- SMS_SITE_COMPONENT_MANAGER
-
SMS_SERVER_BOOTSTRAP_<имя_сервера>
Важно! |
---|
Изменение параметров по умолчанию службы может помешать правильной работе основных служб. Не поддерживается изменение параметров Тип запуска и Войти в систему как для служб Configuration Manager 2007. |
В дополнение к предоставлению контекста безопасности для служб Configuration Manager 2007, локальная системная учетная запись выполняет следующие функции:
- создание файлов, каталогов и служб в системах
сайта;
- предоставление учетной записи безопасности
для пула приложений, необходимой системам сайта, использующим
IIS.
Функции компьютера сервера сайта (имя_компьютера$)
Функция | Необходимые права и разрешения | Примечания |
---|---|---|
Доступ к контейнерам доменных служб Active Directory во время любого типа обнаружения Active Directory |
Доступ на чтение к контейнерам, указанным для обнаружения. Если учетная запись компьютера используется в доменах, отличных от доменов, в которых расположен сервер сайта, эта учетная запись должна иметь права пользователя в этих доменах. Учетная запись должна быть членом по меньшей мере одной группы пользователей домена или локальной группы пользователей в этих доменах. |
|
Доступ к DHCP-серверу для обнаружения сети DHCP |
Необходимо быть членом группы пользователей DHCP на DHCP-сервере. |
|
Создание и заполнение контейнера System Management в Active Directory. |
Если расширить схему, включить публикацию и предоставить учетной записи имя_компьютера$ полный доступ к контейнеру системы и всем дочерним объектам, в нем может быть автоматически создан контейнер System Management. |
Чтобы следовать принципу наименьших прав, вручную создайте контейнер System Management в контейнере системы, вместо того, чтобы разрешать Configuration Manager создавать его. Затем предоставьте учетной записи компьютера сервера сайта полные права для контейнера System Management и всех дочерних объектов. |
Доступ к исходным файлам при создании пакетов для распространения программного обеспечения. |
Разрешения на чтение и просмотр содержимого папки для всех исходных файлов и каталогов |
|
Обмен данными с родительским и дочерним сайтами. |
Разрешения на чтение, запись, выполнение и удаление для папки SMS\Inboxes\Despoolr.box\Receive на сервере сайта назначения Добавьте учетную запись адреса сайта в группу подключения сайта к сайту на сервере сайта назначения, имеющем соответствующие разрешения для общей папки SMS_Site. |
Можно создать и использовать учетную запись адреса сайта, но тогда потребуется вести учетную запись и пароль. |
Установка дополнительных сайтов, если создание сайта инициировано с консоли Configuration Manager. |
Локальные права администратора на сервере дополнительного сайта |
Если на сервере дополнительного сайта запущена программа установки, локальные права администратора для этой учетной записи на сервере дополнительного сайта не требуются. |
Установка удаленных систем сайтов |
Локальные права администратора на удаленной системе сайта |
Если системы сайтов настраиваются в удаленных не доверенных лесах, необходимо использовать учетную запись установки системы сайтов. Дополнительные сведения см. в разделе "Учетная запись установки системы". |
Извлечение данных из систем сайтов (если настроено) |
Локальные права администратора на удаленной системе сайта |
При установке на вкладке Общие параметра Разрешить только инициированные сервером сайта передачи данных из этой системы сайта Configuration Manager извлекает данные из системы сайта, вместо того, чтобы ожидать, когда система сайта принудительно отправит эти данные. Вместо этого, если настроена учетная запись установки системы сайтов, Configuration Manager использует эту учетную запись. |
Создание и настройка базы данных сайта |
Членство в группе Sysadmins на сервере SQL Server, если база данных сайта находится на удаленном компьютере. |
Необходимо создать имя входа на сервер SQL Server для учетной записи компьютера сервера сайта и добавить его к роли Sysadmins. |
Функции компьютера системы сайта (компьютер$)
Функция | Необходимые права и разрешения | Примечания |
---|---|---|
Предоставление доступа к базе данных сайта для следующих ролей сайта:
|
Учетная запись компьютера системы сайта автоматически добавляется к соответствующей роли базы данных. Роль базы данных имеет все необходимые права и разрешения. |
Можно настроить точку управления, точку обслуживания PXE и точку обнаружения серверов для использования учетной записи подключения базы данных вместо локальной системной учетной записи. Дополнительные сведения см. разделе Об учетной записи подключения базы данных точки управления, Об учетной записи подключения базы данных точки обнаружения серверов или Об учетной записи подключения базы данных точки обслуживания PXE. |
Следующие роли сайтов используют учетную запись компьютера$ системы сайта для передачи данных обратно на сервер сайта:
|
Членство в группе подключения системы сайта к серверу сайта |
При настройке систем сайтов в удаленных не доверенных лесах нельзя добавить учетную запись компьютера$ системы сайта в группу подключения системы сайта к серверу сайта, поэтому на вкладке Общие системы сайта необходимо установить Разрешить только инициированные сервером сайта передачи данных из этой системы сайта. |
Создание и пароль
Учетная запись создается автоматически, а паролем управляет операционная система.
Расположение учетной записи
Локальная системная учетная запись является локальной учетной записью. Если компьютер является членом домена, учетная запись компьютера$ создается в домене, которому принадлежит компьютер.
Обслуживание учетной записи
Операционная система обслуживает свои собственные учетные записи и пароли. Однако пароль учетной записи компьютера$ может не синхронизироваться с контроллером домена, вследствие чего потребуется восстановить безопасный коммуникационный канал между компьютером-членом и контроллером домена. Дополнительные сведения о сбросе учетных записей компьютера см. в базе знаний Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=93062.
Рекомендации по безопасности
Для Configuration Manager 2007 не требуется, чтобы учетная запись каждого компьютера добавлялась в группу администраторов домена. Если учетной записи компьютера требуются права администратора, например, на удаленном сервере сайта, добавьте эту учетную запись в соответствующую локальную группу.
Не удаляйте права и разрешения локальной системной учетной записи. Изменение значений по умолчанию для прав и разрешений может повредить работе операционной системы и приложений.
Минимизируйте использование локальной системной учетной записи на серверах и системах сайтов, не устанавливая другие службы, использующие локальную системную учетную запись. Это гарантирует, что другие процессы не смогут воспользоваться преимуществом расширенных привилегий учетной записи компьютера системы, обращаясь к файлам и данным Configuration Manager 2007 через другие системы.
Настройте сервер SQL Server для запуска с учетной записью пользователя домена вместо локальной системной учетной записи.