Последнее обновление раздела: март 2008 г.
Учетная запись "Запуск от имени" последовательности задач позволяет открывать для выполнения последовательностей задач в Microsoft System Center Configuration Manager 2007 командные строки, учетные данные которых отличаются от учетных данных локальной системной учетной записи. Учетная запись "Запуск от имени" нужна, если в последовательность задач добавляется шаг Выполнить из командной строки, но нужно, чтобы разрешения последовательности задач отличались от разрешений локальной системной учетной записи на управляемом компьютере.
Примечание |
---|
Сведения в этом разделе относятся только к Configuration Manager 2007 R2 и Configuration Manager 2007 R3. |
Необходимые разрешения
Для запуска командной строки в последовательности задач учетной записи требуются минимальные разрешения. Нужны права на интерактивный вход в систему, а также, как правило, права на установку программ и на доступ к сетевым ресурсам.
Создание учетной записи и пароля
Администратор Configuration Manager 2007 создает учетную запись и управляет паролем.
Расположение учетной записи
Учетная запись может быть как локальной, так и доменной. Главное — чтобы у нее были разрешения на запуск командной строки.
Обслуживание учетной записи
Все необходимые действия по обслуживанию учетной записи выполняет администратор Configuration Manager 2007. Если в базе данных учетных записей изменяется учетная запись или пароль, свойства учетной записи также нужно изменить в редакторе последовательности задач.
Если администратор изменяет пароль учетной записи и применяет это обновление пароля к последовательности задач, то новый пароль вступает в действие на клиентском компьютере после очередного обновления политики.
Рекомендации по безопасности
Используйте учетную запись с минимально возможными разрешениями.
Не используйте для этой учетной записи учетную запись Network Access.
Не присваивайте учетной записи полномочия администратора домена.
Не настраивайте для этой учетной записи перемещаемые профили. Во время выполнения последовательности задач для учетной записи загрузится перемещаемый профиль, в результате чего она станет уязвимой для доступа на локальном компьютере.
Ограничьте область действия учетной записи. Например, для каждой последовательности задач создайте свою учетную запись «Запуск от имени», чтобы в случае несанкционированного доступа к одной из последовательностей задач были скомпрометированы только те компьютеры, к которым есть доступ у соответствующей учетной записи.
Если командной строке необходим доступ к компьютеру с правами администратора, на всех компьютерах, на которых будет выполняться соответствующая последовательность задач, желательно создать учетные записи только с локальными правами администратора в качестве учетных записей «Запуск от имени» для выполнения последовательности задач и удалить эти учетные записи, как только они станут ненужными.