中国网络-ITPro俱乐部 » System Center技术论坛 » SMS2003 安全性常见问题解答

跃跃领舞 发表于 2007-7-5 17:36

SMS2003 安全性常见问题解答

[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]标准和高级安全性之间的区别[/font][font=Times New Roman]  [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]标准安全性使用用户账号运行服务、配置计算机并连接不同的计算机。[/font][font=Times New Roman] [/font][font=宋体]高级安全性使用内建的[/font][font=Times New Roman] Active Directory [/font][font=宋体]功能。[/font][font=Times New Roman] [/font][font=宋体]它使用本地系统账户运行服务、配置计算机并连接不同的计算机。[/font][font=Times New Roman] [/font][font=宋体]这种方法更安全，但需要[/font][font=Times New Roman]Active Directory[/font][font=宋体]。[/font][font=Times New Roman] [/font][font=宋体]它不要求对架构进行扩展。你可以把标准安全性更改为高级安全性，但不能把高级安全性更改为标准安全性。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关[/font][font=Times New Roman] SMS [/font][font=宋体]安全性模式的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章[/font][font=Times New Roman] [/font][font=宋体]“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][font=Times New Roman] [/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]什么是本地系统账户？[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]本地系统账户是操作系统中可用的安全上下文。[/font][font=Times New Roman] [/font][font=宋体]它是由操作系统创建的一个账户，专门用于使用管理凭据的登录和启动服务。[/font][font=Times New Roman] [/font][font=宋体]因为是本地账户，它不可以访问网络。[/font][font=Times New Roman] [/font][font=宋体]账户由操作系统管理，因此不需要密码维护。[/font][/color][/size]
[size=3][color=#000000][/color][/size]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]使用高级安全性的要求[/font][font=Times New Roman] [/font][font=宋体]（[/font][font=Times New Roman]2003[/font][font=宋体]年[/font][font=Times New Roman]12[/font][font=宋体]月[/font][font=Times New Roman]12[/font][font=宋体]日更新）[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] Windows NT 4.0 [/font][font=宋体]域或任何运行[/font][font=Times New Roman] Windows NT 4.0 [/font][font=宋体]的站点系统都不能使用高级安全性。[/font][font=Times New Roman] [/font][font=宋体]对于需要使用高级安全性的[/font][font=Times New Roman] SMS 2003 [/font][font=宋体]站点，这一[/font][font=Times New Roman] SMS [/font][font=宋体]站点服务器以及所有[/font][font=Times New Roman] SMS [/font][font=宋体]站点系统都必须位于一个[/font][font=Times New Roman] Active Directory [/font][font=宋体]域中。[/font][font=Times New Roman] [/font][font=宋体]除了管理点，所有运行[/font][font=Times New Roman] Windows 2000 [/font][font=宋体]的站点系统都必须拥有[/font][font=Times New Roman] SP2 [/font][font=宋体]或更高版本，管理点则必须至少拥有[/font][font=Times New Roman] SP3[/font][font=宋体]。[/font][font=Times New Roman] [/font][font=宋体]站点系统也可以运行[/font][font=Times New Roman] Windows Server 2003 [/font][font=宋体]家族中的操作系统。[/font][font=Times New Roman] SMS [/font][font=宋体]站点数据库服务器必须运行[/font][font=Times New Roman] SQL Server 2000 [/font][font=宋体]或更高版本。[/font][font=Times New Roman] [/font][font=宋体]使用高级安全性的站点不能将报表发送至运行有标准安全性的父站点。[/font][font=Times New Roman] [/font][font=宋体]有关高级安全性要求的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][font=Times New Roman] [/font][font=宋体]这一章错误地认为[/font][font=Times New Roman] SQL Server [/font][font=宋体]数据库计算机必须处于[/font][font=Times New Roman] Windows [/font][font=宋体]验证模式。[/font][font=Times New Roman] [/font][font=宋体]混合模式包含[/font][font=Times New Roman] Windows [/font][font=宋体]验证模式，所以两种模式都适用于高级安全性。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]何时启用高级安全性？[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] SMS [/font][font=宋体]站点可以在安装过程中设置为使用高级安全性。[/font][font=Times New Roman] [/font][font=宋体]同样地，[/font][font=Times New Roman]SMS [/font][font=宋体]站点可以在安装过程中设置为使用标准安全性，并可以在符合高级安全性要求时更改为高级安全性。[/font][font=Times New Roman] [/font][font=宋体]在特定情况下，对于使用远程[/font][font=Times New Roman] SQL Server [/font][font=宋体]数据库的站点，从标准安全性向高级安全性的转换可能会部分失败。[/font][font=Times New Roman] [/font][font=宋体]有关详细信息，请在[/font][font=Times New Roman]SMS 2003 Operations [/font][font=宋体]发行说明中搜索“[/font][font=Times New Roman]transitioning from standard to advanced security[/font][font=宋体]”。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关设置高级安全性站点的信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]15[/font][font=宋体]章[/font][font=Times New Roman] [/font][font=宋体]“部署和配置[/font][font=Times New Roman] SMS [/font][font=宋体]站点”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]如何从高级安全性切换回标准安全性[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]只有重新安装才能切换回标准安全性。[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]有关迁移至高级安全性的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]我最近将标准安全性模式更改为高级安全性模式，但所有的标准安全性模式账号仍然存在。[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]这是我们故意设计的。[/font][font=Times New Roman] [/font][font=宋体]您必须手动删除所有剩余的标准安全性模式账号。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关迁移至高级安全性的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]我刚刚将标准安全性升级为高级安全性。[/font][font=Times New Roman] [/font][font=宋体]哪一个[/font][font=Times New Roman] SMS [/font][font=宋体]帐户可以安全地删除？[/font][font=Times New Roman] [/font][font=宋体]（[/font][font=Times New Roman]2004[/font][font=宋体]年[/font][font=Times New Roman]2[/font][font=宋体]月[/font][font=Times New Roman]27[/font][font=宋体]日添加）[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]您肯定可以地删除[/font][font=Times New Roman] SMS [/font][font=宋体]服务账户。[/font][font=Times New Roman] [/font][font=宋体]该帐户在[/font][font=Times New Roman] SMS [/font][font=宋体]安装过程中被命名，并在使用高级安全性时被[/font][font=Times New Roman] SMS [/font][font=宋体]站点服务器的计算机帐户所替换。[/font][font=Times New Roman] [/font][font=宋体]你也可以删除[/font][font=Times New Roman] SMS_SQL_RX_sitecode[/font][font=宋体]。[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]如果没有任何[/font][font=Times New Roman] Legacy Client[/font][font=宋体]，您可以删除[/font][font=Times New Roman] SMSClient_sitecode[/font][font=宋体]。[/font][font=Times New Roman] [/font][font=宋体]如果没有任何运行[/font][font=Times New Roman] Legacy Client[/font][font=宋体]的域控制器，您可以删除[/font][font=Times New Roman] SMS&_SMSServer[/font][font=宋体]、[/font][font=Times New Roman]SMSCliToknAcct& [/font][font=宋体]和[/font][font=Times New Roman] SMSInternalCliGrp[/font][font=宋体]。[/font][/color][/size]
[size=3][color=#000000][font=宋体]如果[/font][font=Times New Roman] SMS [/font][font=宋体]站点数据库位于站点服务器上，你可以删除[/font][font=Times New Roman] SMSServer_sitecode [/font][font=宋体]帐户。[/font][font=Times New Roman] [/font][font=宋体]如果[/font][font=Times New Roman] SMS [/font][font=宋体]提供程序安装在运行[/font][font=Times New Roman] SQL Server [/font][font=宋体]的远程计算机上，删除[/font][font=Times New Roman] SMSServer_sitecode [/font][font=宋体]帐户可以防止站点服务器访问[/font][font=Times New Roman] SMS [/font][font=宋体]站点数据库服务器。[/font][font=Times New Roman] [/font][font=宋体]详情请在[/font][font=Times New Roman] SMS 2003 Operations [/font][font=宋体]发行说明中搜索“[/font][font=Times New Roman]Transitioning from Standard Security to Advanced Security Might Fail[/font][font=宋体]”。[/font][/color][/size]
[size=3][color=#000000][font=宋体]不要删除下列五个组中的任何一个：[/font][font=Times New Roman] SMS Admins[/font][font=宋体]、[/font][font=Times New Roman]SMS Reporting Users[/font][font=宋体]、[/font][font=Times New Roman]SMS_SiteSystemToSiteServerConnection_sitecode[/font][font=宋体]、[/font][font=Times New Roman]SMS_SiteSystemToSQLConnection_sitecode[/font][font=宋体]或[/font][font=Times New Roman] SMS_SiteToSiteConnection_sitecode[/font][font=宋体]。[/font][font=Times New Roman] [/font][font=宋体]不要删除已经添加至[/font][font=Times New Roman] SMS_SiteToSiteConnection_sitecode [/font][font=宋体]的站点地址帐户。[/font][/color][/size]
[size=3][color=#000000][font=宋体]如果你正在使用可选的[/font][font=Times New Roman] Client Push Installation [/font][font=宋体]帐户、可选的[/font][font=Times New Roman] Advanced Client Network Access Account[/font][font=宋体]，或可选的[/font][font=Times New Roman] Legacy Client Software Installation Account[/font][font=宋体]，不要删除这些帐户。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关[/font][font=Times New Roman] SMS [/font][font=宋体]帐户和组的更多信息，请参阅[/font][font=Times New Roman] [/font][font=宋体]《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]在切换至高级安全性后，我没有获得等量的网络发现信息。[/font][font=Times New Roman] [/font][font=宋体]怎么回事？[/font][font=Times New Roman]  [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]当[/font][font=Times New Roman] SMS [/font][font=宋体]站点正在使用高级安全性时，[/font][font=Times New Roman]DHCP [/font][font=宋体]网络发现被默认禁用。[/font][font=Times New Roman] [/font][font=宋体]这是由设计所定。[/font][font=Times New Roman] [/font][font=宋体]高级安全性使用本地系统帐户上下文来访问诸如[/font][font=Times New Roman] DHCP [/font][font=宋体]数据的服务器资源。[/font][font=Times New Roman] [/font][font=宋体]但[/font][font=Times New Roman] DHCP [/font][font=宋体]数据不能通过使用本地系统帐户安全性上下文而被访问。[/font][font=Times New Roman] [/font][font=宋体]因此，[/font][font=Times New Roman]DHCP [/font][font=宋体]网络发现在高级安全性模式中被禁用。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关选择发现模式的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]10[/font][font=宋体]章[/font][font=Times New Roman] [/font][font=宋体]“规划[/font][font=Times New Roman] SMS [/font][font=宋体]部署和配置”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]对于标准安全性，[/font][font=Times New Roman]SMS [/font][font=宋体]服务帐户需要域管理权限吗？[/font][font=Times New Roman] [/font][font=宋体]（[/font][font=Times New Roman]2003[/font][font=宋体]年[/font][font=Times New Roman]12[/font][font=宋体]月[/font][font=Times New Roman]12[/font][font=宋体]号更新）[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]如果[/font][font=Times New Roman] SMS [/font][font=宋体]没有安装在域控制器上，[/font][font=Times New Roman]SMS [/font][font=宋体]服务帐户不需要是[/font][font=Times New Roman] Domain Admins [/font][font=宋体]的成员。[/font][font=Times New Roman] [/font][font=宋体]在成员服务器上安装[/font][font=Times New Roman] SMS [/font][font=宋体]是建议的最优方法。[/font][/color][/size]
[size=3][color=#000000][font=宋体]详情请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]5[/font][font=宋体]章“理解[/font][font=Times New Roman] SMS [/font][font=宋体]安全性”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]层次中的所有站点都必须为高级安全性吗？可以同时拥有标准安全性和高级安全性吗？[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]你的层次可以是高级安全性模式和标准安全性模式站点的混合。[/font][font=Times New Roman] [/font][font=宋体]但是，高级安全性站点只能将报表发送到高级安全性站点，因此能够在高级安全性模式中运行的第一个站点是中心站点。[/font][font=Times New Roman] [/font][font=宋体]在每一个站点，确定该站点能否成为高级安全性站点。[/font][font=Times New Roman] [/font][font=宋体]如果不能，那么它的直接或间接子站点必须是标准安全性站点。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关站点和层次设计的安全性考虑的更多信息，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]12[/font][font=宋体]章“规划[/font][font=Times New Roman] SMS [/font][font=宋体]安全性策略”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] SMS 2003 [/font][font=宋体]能否防止[/font][font=Times New Roman] SMS [/font][font=宋体]帐户锁定（[/font][font=Times New Roman]lockout[/font][font=宋体]）？[/font][font=Times New Roman] [/font][/color][/size]
[size=3][color=#000000][font=宋体]答：[/font][font=Times New Roman] [/font][font=宋体]帐户锁定是一个域策略和域功能，因此完全防止帐户锁定的唯一途径是禁用该特性。[/font][font=Times New Roman] [/font][font=宋体]但是，如果使用[/font][font=Times New Roman] Advanced Client[/font][font=宋体]，[/font][font=Times New Roman]SMS 2003 [/font][font=宋体]可以减少帐户锁定，因为你不再拥有原先会被锁定的那些帐户。[/font][font=Times New Roman] [/font][font=宋体]原先被锁定的帐户是[/font][font=Times New Roman] SMS Client Token Account [/font][font=宋体]和[/font][font=Times New Roman] SMS Client Connection Account[/font][font=宋体]。[/font][font=Times New Roman] Advanced Client [/font][font=宋体]不使用这两种帐户。[/font][/color][/size]
[size=3][color=#000000][font=宋体]有关避免帐户锁定的指导原则，请参阅《[/font][font=Times New Roman]Microsoft Systems Management Server 2003 [/font][font=宋体]概念、规划和部署指南》第[/font][font=Times New Roman]12[/font][font=宋体]章“规划[/font][font=Times New Roman] SMS [/font][font=宋体]安全性策略”。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]问：[/font][font=Times New Roman] [/font][font=宋体]为使[/font][font=Times New Roman] SMS 2003 [/font][font=宋体]正常工作，必须打开防火墙的哪些端口？[/font][font=Times New Roman] (2004[/font][font=宋体]年[/font][font=Times New Roman]2[/font][font=宋体]月[/font][font=Times New Roman]27[/font][font=宋体]日添加）[/font][font=Times New Roman] [/font][/color][/size]
[color=#000000][font=宋体][size=10.5pt]       答：[/size][/font]
[font=宋体][size=10.5pt]在[/size][/font][size=10.5pt] Microsoft [/size][font=宋体][size=10.5pt]知识库文章[/size][/font][size=10.5pt]826852[/size][font=宋体][size=10.5pt]说明了[/size][/font][size=10.5pt] SMS 2003 [/size][font=宋体][size=10.5pt]在通过防火墙间或代理服务器进行通信时所用的端口。[/size][/font][/color]

清水飘萍 发表于 2007-7-5 19:11

好文章！推荐一下！

stickhuhu 发表于 2007-12-11 15:35

顶下的了 。路过看了 ，不错

查看完整版本: SMS2003 安全性常见问题解答