Последнее обновление раздела: ноябрь 2007 г.
Если в Microsoft System Center Configuration Manager 2007 возникают ошибки, обычно причиной является неправильная настройка доступа безопасности. Следующий контрольный список помогает проверить правильность настройки учетной записи и группы для Configuration Manager 2007.
Контрольный список учетных записей
Проверка | Подробные сведения |
---|---|
Проверьте, что учетные записи компьютера для следующих ролей сайта добавлены к группе подключения системы сайта к серверу сайта.
|
Если между доменом роли системы сайта и доменом сервера сайта нет отношения доверия, невозможно добавить эти учетные записи к группе подключения системы сайта к серверу сайта. В этом случае необходимо установить на вкладке Общие свойств системы сайта параметр Разрешить только инициированные сервером сайта передачи данных из этой системы сайта, который настраивает сервер сайта на извлечение данных из роли сайта вместо того, чтобы роль системы сайта принудительно отправляла данные обратно на сервер сайта. Дополнительные сведения см. в разделе О группе подключения системы сайта к серверу сайта. |
Убедитесь, что все сайты имеют учетные записи, настроенные для передач данных от сайта к сайту (если в иерархии несколько сайтов) |
Если серверы сайтов находятся в одном лесу, следует использовать учетную запись компьютера$ сервера сайта для передачи данных от сайта к сайту. Если серверы сайтов находятся в разных лесах, используйте учетную запись адреса сайта, даже при отношении доверия. Независимо от того, какая учетная запись используется, убедитесь, что она является членом группы подключения сайта к сайту. Дочерний сайт отправляет данные только на родительский сайт, но родительский сайт может инициировать передачи данных от сайта к сайту с дочерним или внучатым сайтом и потребовать членство в группе подключения сайта к сайту на внучатых сайтах. Если учетная запись пользователя домена указана в качестве учетной записи адреса сайта, а позднее решено использовать в качестве учетной записи адреса сайта учетную запись компьютера, необходимо удалить этот адрес и создать заново. Недостаточно изменить имя учетной записи при переключении от учетной записи пользователя к учетной записи имя_компьютера$. Дополнительные сведения см. в разделе Об учетной записи адреса сайта. |
Убедитесь, что учетная запись компьютера для сервера сайта добавлена к группе локальных администраторов для следующих ролей системы сайта:
|
Если все компьютеры находятся в одном лесу, необходимо вручную добавить учетную запись компьютера$ сервера сайта к каждой группе локальных администраторов. Этот шаг следует выполнить до конфигурирования компьютера в качестве системы сайта. Если система сайта и сервер сайта находятся в разных лесах, настройте в свойствах системы сайта учетную запись установки системы сайта и добавьте эту запись к каждой группе локальных администраторов. Дополнительные сведения см. в разделе Об учетной записи установки системы сайта. |
Если требуется использовать учетные записи подключения базы данных, вручную добавьте их к роли SQL.
|
Configuration Manager 2007 по умолчанию использует учетную запись компьютера$ системы сайта для подключения к базе данных сайта и автоматически добавляет эту учетную запись компьютера$ к соответствующей роли SQL Server в базе данных. Если создается учетная запись подключения, эти учетные записи не добавляются автоматически к соответствующей роли. Дополнительные сведения см. в разделах Об учетной записи подключения базы данных точки управления, Об учетной записи подключения базы данных точки обслуживания PXE и Об учетной записи подключения базы данных точки обнаружения серверов. |
Если расширена схема Active Directory, предоставьте учетной записи компьютера сервера сайта разрешения на публикацию в доменных службах Active Directory |
Дополнительные сведения см. в разделе Установление безопасности на контейнере System Management в доменных службах Active Directory. |
Убедитесь, что необходимые учетные записи IIS включены и имеют разрешения по умолчанию на всех системах сайтов, требующих IIS. |
Для Configuration Manager 2007 требуется гостевая учетная запись Интернета и группа рабочего процесса IIS. Если эти группы отключены или их права и разрешения ограничены по умолчанию, роли сайта Configuration Manager 2007 не смогут функционировать правильно. Дополнительные сведения см. в разделах О гостевой учетной записи Интернета в Configuration Manager и О группе рабочего процесса IIS в Configuration Manager. |
Убедитесь, что соответствующие пользователи добавлены к группе администраторов SMS. |
Ограничьте доступ к группе администраторов SMS до как можно меньшего количества членов. Однако, если пользователи должны иметь доступ к консоли Configuration Manager 2007, они должны быть членами этой группы, чтобы иметь права доступа к объектам на этой консоли. Если пользователям предоставлены права управления объектом, но они не находятся в группе администраторов SMS, они не смогут получить доступ к этому объекту. Дополнительные сведения см. в разделе Группа администраторов SMS. |
Добавьте пользователей к пользователям отчетов, если им требуется доступ только к отчетам, а не к консоли Configuration Manager 2007 |
Пользователи отчетов управляют доступом к сайту отчетов Configuration Manager 2007. Поскольку пользователи отчетов являются локальной группой, необходимо добавить пользователей в отдельности к каждой точке формирования отчетов, если им требуется доступ более чем к одной точке. Дополнительные сведения см. в разделе О группе пользователей отчетов. |
Если удаляется гостевая учетная запись Интернета из группы пользователей или удаляется группа пользователей как учетная запись доступа к пакету, добавьте гостевую учетную запись Интернета к пакету как учетную запись доступа к пакету с теми разрешениями, которые требуются для доступа к пакету. |
Гостевая учетная запись Интернета IUSR_<имя_компьютера> используется клиентами Microsoft System Center Configuration Manager 2007 для анонимного доступа к точкам распространения с поддержкой BITS при доступе к содержимому без использования проверки подлинности Windows. Дополнительные сведения см. в разделе О гостевой учетной записи Интернета в Configuration Manager. |
Если выполнено обновление с SMS 2003, убедитесь, что администраторы имеют права для объектов, новых для Configuration Manager 2007. |
Сразу после установки учетной записью является единственная учетная запись пользователя с правами для консоли Configuration Manager 2007. Если выполняется обновление с предыдущей версии, другие администраторы сохраняют свои существующие права для консоли, но им не предоставляются автоматически новые права для новых объектов. Дополнительные сведения см. в разделе Предоставление пользователям и группам прав доступа к объектам. |
Убедитесь, что администраторы, которые будут использовать удаленную консоль Configuration Manager, имеют разрешения удаленной активации DCOM и на компьютере сервера сайта, и на компьютере поставщика SMS. |
Дополнительные сведения см. в разделе Настройка DCOM-разрешений для подключений консоли Configuration Manager. |
Убедитесь, что каждая учетная запись использует минимально возможные разрешения. |
Дополнительные сведения см. в разделе Учетные записи и группы в Configuration Manager. |
Рекомендации по безопасности для учетных записей
□ |
Добавьте пользователей к списку разрешенных наблюдателей вместо того, чтобы добавлять их непосредственно к группе пользователей удаленного управления ConfigMgr |
□ |
После установки, если требуется удалить права Configuration Manager 2007 из учетной записи, использовавшейся для установки Configuration Manager, сначала добавьте эти права другой учетной записи |
□ |
Всегда имейте по крайней мере одного пользователя с полными правами для всех объектов Configuration Manager 2007 |
□ |
Назначайте минимальные права безопасности Configuration Manager 2007 для пользователя для выполнения администрирования Configuration Manager 2007. Всегда, когда возможно, используйте разделение роли. |
□ |
Внимательно наблюдайте за пользователями, имеющими доступ к консоли Configuration Manager 2007, так как от доверенного администратора нет защиты. |
□ |
Настройте SQL Server для запуска с учетной записью пользователя домена вместо локальной системы |
□ |
Настройте разрешения доступа к пакету таким образом, чтобы только авторизованные установщики программного обеспечения имели доступ к файлам на точках распространения. |
□ |
Не добавляйте никакие учетные записи пользователя или компьютера Configuration Manager 2007 к группе администраторов домена |
□ |
Не добавляйте к группе подключения системы сайта к серверу сайта серверы, на которых размещаются следующие роли серверов:
|
□ |
Не изменяйте параметры Тип запуска и Войти в систему как для служб Configuration Manager 2007 |
○□ |
Не предоставляйте учетной записи принудительной установки клиентов право локального входа в систему. |
□ |
Не предоставляйте права на интерактивный вход в систему следующим учетным записям:
|
□ |
Не предоставляйте учетной записи доступа к сети права для присоединения компьютера к домену. |
□ |
Не изменяйте роли и разрешения SQL Server, созданные Configuration Manager 2007 |
□ |
Не удаляйте права и разрешения из локальной системы, локальной службы и сетевой службы |
□ |
Не удаляйте разрешения по умолчанию, используемые гостевой учетной записью Интернета и группой рабочего процесса IIS для доступа к ресурсам Configuration Manager 2007 |
□ |
Не используйте учетную запись доступа к сети в качестве любой из следующих учетных записей:
|
□ |
Не используйте одну и ту же учетную запись для учетной записи публикации ссылки на состояние работоспособности и учетной записи запросов на ссылки на состояние работоспособности, так как для учетной записи запросов требуются только разрешения на чтение. |
□ |
Введите имя учетной записи в список разрешенных наблюдателей, используя формат домен\учетная_запись, чтобы устранить могущие возникнуть неоднозначности на клиенте |
□ |
Четко укажите все глобальные группы в списке разрешенных наблюдателей |
□ |
Если возможно, используйте учетную запись компьютера$ сервера сайта, вместо того чтобы создавать следующие учетные записи:
|
□ |
Создавая следующие учетные записи, создавайте их как локальные учетные записи на компьютере, на котором запущен SQL Server:
|
□ |
Отключая удаленные средства, вручную удалите группу пользователей удаленного управления ConfigMgr. |
□ |
Если имеется много контроллеров домена и имеются учетные записи для использования по доменам, проверьте, что эти учетные записи реплицированы, прежде, чем настраивать их на консоли Configuration Manager 2007. |
□ |
Если нужны учетные записи для последовательностей задач, создайте одну учетную запись пользователя домена с минимальными разрешениями для доступа к необходимым сетевым ресурсам и используйте ее для всех учетных записей последовательностей задач. |
□ |
Если используется учетная запись принудительной установки клиента, создайте объект групповой политики, чтобы добавить его к группе локальных администраторов |
□ |
Минимизируйте использование локальной системной учетной записи на серверах и системах сайтов, не устанавливая другие службы, использующие локальную системную учетную запись |
□ |
Сразу удаляйте серверы из группы подключения системы сайта к серверу сайта, если они более не размещают роли серверов, требующие членства |
□ |
Устанавливайте разрешения доступа к пакету при первом создании пакета |
□ |
Чтобы уменьшить риск оказаться под угрозой для учетной записи принудительной установки клиента, используйте альтернативный метод установки клиента, такой как установка клиента через точку обновления программного обеспечения, установка на основе групповой политики или создание образа |
□ |
Используйте сложные пароли для всех учетных записей пользователей |
□ |
Используйте одну и ту же учетную запись для учетной записи адресной книги отправителя RAS, как и для учетной записи адреса сайта. |