转载－SMS2003 安全性常见问题解答

liuwei4439306

SMS2003 安全性常见问题解答
问： 标准和高级安全性之间的区别
答： 标准安全性使用用户账号运行服务、配置计算机并连接不同的计算机。 高级安全性使用内建的 Active Directory 功能。 它使用本地系统账户运行服务、配置计算机并连接不同的计算机。 这种方法更安全，但需要Active Directory。 它不要求对架构进行扩展。你可以把标准安全性更改为高级安全性，但不能把高级安全性更改为标准安全性。Rc
有关 SMS 安全性模式的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章 “理解 SMS 安全性”。 Yj
?软件大地 -- 软件大地兄弟会　　X{>
问： 什么是本地系统账户？ .sBcAQ
答： 本地系统账户是操作系统中可用的安全上下文。 它是由操作系统创建的一个账户，专门用于使用管理凭据的登录和启动服务。 因为是本地账户，它不可以访问网络。 账户由操作系统管理，因此不需要密码维护。@h8(?z
?软件大地 -- 软件大地兄弟会　　M\"@>fA
问： 使用高级安全性的要求 （2003年12月12日更新） .g
答： Windows NT 4.0 域或任何运行 Windows NT 4.0 的站点系统都不能使用高级安全性。 对于需要使用高级安全性的 SMS 2003 站点，这一 SMS 站点服务器以及所有 SMS 站点系统都必须位于一个 Active Directory 域中。 除了管理点，所有运行 Windows 2000 的站点系统都必须拥有 SP2 或更高版本，管理点则必须至少拥有 SP3。 站点系统也可以运行 Windows Server 2003 家族中的操作系统。 SMS 站点数据库服务器必须运行 SQL Server 2000 或更高版本。 使用高级安全性的站点不能将报表发送至运行有标准安全性的父站点。 有关高级安全性要求的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章“理解 SMS 安全性”。 这一章错误地认为 SQL Server 数据库计算机必须处于 Windows 验证模式。 混合模式包含 Windows 验证模式，所以两种模式都适用于高级安全性。9~.
?软件大地 -- 软件大地兄弟会　　pPI
问： 何时启用高级安全性？ DR
答： SMS 站点可以在安装过程中设置为使用高级安全性。 同样地，SMS 站点可以在安装过程中设置为使用标准安全性，并可以在符合高级安全性要求时更改为高级安全性。 在特定情况下，对于使用远程 SQL Server 数据库的站点，从标准安全性向高级安全性的转换可能会部分失败。 有关详细信息，请在SMS 2003 Operations 发行说明中搜索“transitioning from standard to advanced security”。]O
有关设置高级安全性站点的信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第15章 “部署和配置 SMS 站点”。p
?软件大地 -- 软件大地兄弟会　　wY
问： 如何从高级安全性切换回标准安全性 ZZix^,
答： 只有重新安装才能切换回标准安全性。 I}@
有关迁移至高级安全性的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章“理解 SMS 安全性”。}V
?软件大地 -- 软件大地兄弟会　　G$+
问： 我最近将标准安全性模式更改为高级安全性模式，但所有的标准安全性模式账号仍然存在。 cw]O
答： 这是我们故意设计的。 您必须手动删除所有剩余的标准安全性模式账号。0
有关迁移至高级安全性的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章“理解 SMS 安全性”。tC
?软件大地 -- 软件大地兄弟会　　G;
问： 我刚刚将标准安全性升级为高级安全性。 哪一个 SMS 帐户可以安全地删除？ （2004年2月27日添加） ?e@obV
答： 您肯定可以地删除 SMS 服务账户。 该帐户在 SMS 安装过程中被命名，并在使用高级安全性时被 SMS 站点服务器的计算机帐户所替换。 你也可以删除 SMS_SQL_RX_sitecode。 C)Fr

如果没有任何 Legacy Client，您可以删除 SMSClient_sitecode。 如果没有任何运行 Legacy Client的域控制器，您可以删除 SMS&_SMSServer、SMSCliToknAcct& 和 SMSInternalCliGrp。6G
如果 SMS 站点数据库位于站点服务器上，你可以删除 SMSServer_sitecode 帐户。 如果 SMS 提供程序安装在运行 SQL Server 的远程计算机上，删除 SMSServer_sitecode 帐户可以防止站点服务器访问 SMS 站点数据库服务器。 详情请在 SMS 2003 Operations 发行说明中搜索“Transitioning from Standard Security to Advanced Security Might Fail”。9W\'
不要删除下列五个组中的任何一个： SMS Admins、SMS Reporting Users、SMS_SiteSystemToSiteServerConnection_sitecode、SMS_SiteSystemToSQLConnection_sitecode或 SMS_SiteToSiteConnection_sitecode。 不要删除已经添加至 SMS_SiteToSiteConnection_sitecode 的站点地址帐户。s%Af
如果你正在使用可选的 Client Push Installation 帐户、可选的 Advanced Client Network Access Account，或可选的 Legacy Client Software Installation Account，不要删除这些帐户。W-s:{\\
有关 SMS 帐户和组的更多信息，请参阅 《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章“理解 SMS 安全性”。.>>K>E
?软件大地 -- 软件大地兄弟会　　o
问： 在切换至高级安全性后，我没有获得等量的网络发现信息。 怎么回事？  qOLg1
答： 当 SMS 站点正在使用高级安全性时，DHCP 网络发现被默认禁用。 这是由设计所定。 高级安全性使用本地系统帐户上下文来访问诸如 DHCP 数据的服务器资源。 但 DHCP 数据不能通过使用本地系统帐户安全性上下文而被访问。 因此，DHCP 网络发现在高级安全性模式中被禁用。c
有关选择发现模式的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第10章 “规划 SMS 部署和配置”。$i
?软件大地 -- 软件大地兄弟会　　*ng5$
问： 对于标准安全性，SMS 服务帐户需要域管理权限吗？ （2003年12月12号更新） N:
答： 如果 SMS 没有安装在域控制器上，SMS 服务帐户不需要是 Domain Admins 的成员。 在成员服务器上安装 SMS 是建议的最优方法。I^q`>
详情请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第5章“理解 SMS 安全性”。d4>^
?软件大地 -- 软件大地兄弟会　　C
问： 层次中的所有站点都必须为高级安全性吗？可以同时拥有标准安全性和高级安全性吗？ b,z.\'b
答： 你的层次可以是高级安全性模式和标准安全性模式站点的混合。 但是，高级安全性站点只能将报表发送到高级安全性站点，因此能够在高级安全性模式中运行的第一个站点是中心站点。 在每一个站点，确定该站点能否成为高级安全性站点。 如果不能，那么它的直接或间接子站点必须是标准安全性站点。s
有关站点和层次设计的安全性考虑的更多信息，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第12章“规划 SMS 安全性策略”。V
?软件大地 -- 软件大地兄弟会　　n8
问： SMS 2003 能否防止 SMS 帐户锁定（lockout）？ V
答： 帐户锁定是一个域策略和域功能，因此完全防止帐户锁定的唯一途径是禁用该特性。 但是，如果使用 Advanced Client，SMS 2003 可以减少帐户锁定，因为你不再拥有原先会被锁定的那些帐户。 原先被锁定的帐户是 SMS Client Token Account 和 SMS Client Connection Account。 Advanced Client 不使用这两种帐户。{6]o7y
有关避免帐户锁定的指导原则，请参阅《Microsoft Systems Management Server 2003 概念、规划和部署指南》第12章“规划 SMS 安全性策略”。o
?软件大地 -- 软件大地兄弟会　　<
问： 为使 SMS 2003 正常工作，必须打开防火墙的哪些端口？ (2004年2月27日添加） F]
答： 在 Microsoft 知识库文章826852说明了 SMS 2003 在通过防火墙间或代理服务器进行通信时所用的端口。