Vorbereitung

Windows Remote Management

Der SCCM Webservice nutzt Windows Remote Management (WinRM) zur administrativen Verwaltung der Clients. Um dessen Funktion zu gewährleisten, ist folgende Checkliste zu beachten.
Windows Dienst für WinRM auf dem Server aktiviert und Starttyp auf Automatisch
Windows Dienst für WinRM auf allen zu verwaltenden Clients aktiviert und Starttyp auf Automatisch
Port für WinRM konfiguriert
Wenn die Richtlinie zur Ausführung von PowerShell Scripten, auf den zu verwaltenen Clients, auf RemoteSigned gestellt ist, müssen alle PowerShell Scripte, in dem WebService-Verzeichnis PS1, signiert werden
Firewall-Regel für WinRM erstellt
Der Webservice hat administrativen Zugriff auf die zu verwaltenden Clients (abhängig vom konfigurierten Account des IIS Application Pools "SCCM Manager Pool"; Standard: Local System)

Um einen neuen User Login zu erstellen, wird das Microsoft SQL Server Management Studio benötigt.

Dort muss sich mit dem Server verbunden werden, auf dem die SCCM-Datenbank liegt.

Auf dem entsprechenden Server, den Ordner "Security" aufklappen und das Kontextmenü des "Logins"-Ordners öffnen. Dort muss der Eintrag "New Login.." ausgewählt werden.

Dort muss die Domäne und der Name des Servers eingegeben werden auf dem sich die SCCM Manager-Datenbank befindet. Da es sich um einen Computer-Benutzer handelt muss am Ende des Names ein "$" hinzugefügt werden. In diesem Beispiel wird zusätzlich der Punkt "Windows authentication" ausgewählt. Optional kann als "Default database" die SCCM-Datenbank ausgewählt werden.

Links zu dem Reiter "User Mapping" wechseln und dort die SCCM-Datenbank auswählen. Dort muss dem Nutzer die Berechtigung gegeben werden die Datenbank lesen zu dürfen (db_datareader). Mit "OK" wird der UUser Login erstellt.

Datenbank

Während der automatischen Installation wird eine Datenbank mit dem Namen „SCCMManager“ erstellt. Dazu wird ein Account mit der entsprechenden Berechtigung benötigt. Außerdem muss dieser Account Leseberechtigungen auf die SCCM-Datenbank haben.

"Full Administrator"-Benutzer erstellen

Der Computer auf dem der SCCM Manager installiert ist, muss auf dem ihm zugewiesenem SCCM Server, als "Full Administrator"-Benutzer hinzugefügt werden. Zum erstellen eines "Full Administrator"-Benutzer wird der Microsoft Endpoint Configuration Manager benötigt.

Dort muss der Menüpunkt "Administration" ausgewählt werden. Im dem Ordner "Security" können unter "Administraive Users" neue Benutzer hinzugefügt werden.

In dem Fenster "Add User or Group" kann nun der neue Benutzer erstellt werden. Dazu muss zunächst eine Name angeben werden. Per Klick auf "Browse.." können automatisch schon vorhandene Benutzer aus der Domäne ausgewählt werden.

Damit über "Check Name" auch Computernamen automatisch ausgefüllt werden, muss unter "Object Types", "Computers" ausgewählt werden. Per "OK" wird der Computer hinzugefügt.

Unter "Assigned security roles" muss per Klick auf "Add" jetzt die Security Role "Full Administrator" ausgewählt werden. Mit "OK" bestätigen.

Unter "Assigned security scopes and collections" muss der erste Punkt auswählt werden. Mit "OK" bestätigen. Jetzt wurde ein "Full Administrator"-Benutzer für den Computer erstellt

Zusätzliche Information zur Client-Konfiguration

Für den Einsatz des SCCM Managers wird empfohlen, dem Systemkonto des Servers, administrative Berechtigungen auf die zu verwaltenen Clients zu gewähren. Dies geschieht durch das Hinzufügen des Systemkontos zur Gruppe der „lokalen Administratoren“ der zu verwaltenden Clients.

Weitere Informationen dazu:

The LocalSystem Account

Sceurity Considerations for All Services

Service Security and Access Rights

LocalSystem Account privileges

Systemvoraussetzungen

Vorbereitung

Installation

Deployment

Client Loader

Client Installation

Server Konfiguration Client Loader

Client Setup

Allg. - Übersicht

Allg. - Grundkonfiguration

Allg. - Windows Remote Management

Allg. - Sicherheitseinstellungen

Allg. - Dynamic GUI Editor

Allg. - Pluginkonfiguration

Allg. - Linked Server

Client - Startparameter

Client - Konfiguration

Client - Administration

Client - Übersetzungen

Client - Download & Execute

WebService - Konfiguration

WebService - Anmeldeinformationen

WebService - Berechtigungen

WebService - Computersuche

SQL Replacement Strings

Client Migration

Reporting & Monitoring

Remote Control

Software Deployment

OS Deployment

Custom Inventory

Sprachenübersetzungen

Client - Arbeitsoberfläche

Client - Computersuche

Client - Computerlisten

Client - Administration

Client - Funktionsgruppen

Client - Aktionen (Plugins)

Sever - Dynamic GUI Editor

Server - Computer Datasheet Editor

Verwaltung \ Einrichtung einer Installation

Computer Cache

Einleitung

Add Computer

Advertisesments

Browser

Clear PXE

Client Actions

Client Creator

Client Operations

Client Settings

Collection Editor

Collection Lists

Collection Manager

Collection Membership Viewer

Computer Datasheet

Computer Variables

Custom Logs

Custom Inventory

Database Connection

Delete Computer

Event Viewer

Executer

Installed Software

Kafka Service

Language Translations

SCCM Logging

Power Control Settings

Power Shell

Process Manager

Product Match Rule Editor

Queue Service

Remote Control

Remote Desktop

Reset Computer

Service Manager

Software Installation

Software Assignment

Webservice Cache

Rerun Package