Skip to main content

Vorbereitung

Windows Remote Management
  • Der SCCM Webservice nutzt Windows Remote Management (WinRM) zur administrativen Verwaltung der Clients. Um dessen Funktion zu gewährleisten, ist folgende Checkliste zu beachten.
  • Windows Dienst für WinRM auf dem Server aktiviert und Starttyp auf Automatisch
  • Windows Dienst für WinRM auf allen zu verwaltenden Clients aktiviert und Starttyp auf Automatisch
  • Port für WinRM konfiguriert
  • Wenn die Richtlinie zur Ausführung von PowerShell Scripten, auf den zu verwaltenen Clients, auf RemoteSigned gestellt ist, müssen alle PowerShell Scripte, in dem WebService-Verzeichnis PS1, signiert werden
  • Firewall-Regel für WinRM erstellt
  • Der Webservice hat administrativen Zugriff auf die zu verwaltenden Clients (abhängig vom konfigurierten Account des IIS Application Pools "SCCM Manager Pool"; Standard: Local System)
Neuen User Login erstellen

Um einen neuen User Login zu erstellen, wird das Microsoft SQL Server Management Studio benötigt.

SCCMSERVER-Connect.png

Dort muss sich mit dem Server verbunden werden, auf dem die SCCM-Datenbank liegt.

NewUser-NewLogin.png

Auf dem entsprechenden Server, den Ordner "Security" aufklappen und das Kontextmenü des "Logins"-Ordners öffnen. Dort muss der Eintrag "New Login.." ausgewählt werden.

NewUser-Servername.png

Dort muss die Domäne und der Name des Servers eingegeben werden auf dem sich die SCCM Manager-Datenbank befindet. Da es sich um einen Computer-Benutzer handelt muss am Ende des Names ein "$" hinzugefügt werden. In diesem Beispiel wird zusätzlich der Punkt "Windows authentication" ausgewählt. Optional kann als "Default database" die SCCM-Datenbank ausgewählt werden.

NewUser-Mapping.png

Links zu dem Reiter "User Mapping" wechseln und dort die SCCM-Datenbank auswählen. Dort muss dem Nutzer die Berechtigung gegeben werden die Datenbank lesen zu dürfen (db_datareader). Mit "OK" wird der UUser Login erstellt.

Datenbank

Während der automatischen Installation wird eine Datenbank mit dem Namen „SCCMManager“ erstellt. Dazu wird ein Account mit der entsprechenden Berechtigung benötigt. Außerdem muss dieser Account Leseberechtigungen auf die SCCM-Datenbank haben.

"Full Administrator"-Benutzer erstellen

Der Computer auf dem der SCCM Manager installiert ist, muss auf dem ihm zugewiesenem SCCM Server, als "Full Administrator"-Benutzer hinzugefügt werden. Zum erstellen eines "Full Administrator"-Benutzer wird der Microsoft Endpoint Configuration Manager benötigt.

SCCM-FULLADMIN.png

Dort muss der Menüpunkt "Administration" ausgewählt werden. Im dem Ordner "Security" können unter "Administraive Users" neue Benutzer hinzugefügt werden.

FullAdmin-NewUser.png

In dem Fenster "Add User or Group" kann nun der neue Benutzer erstellt werden. Dazu muss zunächst eine Name angeben werden. Per Klick auf "Browse.." können automatisch schon vorhandene Benutzer aus der Domäne ausgewählt werden.

FullAdmin-SelectUser.png FullAdmin-Computer.png

Damit über "Check Name" auch Computernamen automatisch ausgefüllt werden, muss unter "Object Types", "Computers" ausgewählt werden. Per "OK" wird der Computer hinzugefügt.

FullAdmin-Rolle.png

Unter "Assigned security roles" muss per Klick auf "Add" jetzt die Security Role "Full Administrator" ausgewählt werden. Mit "OK" bestätigen.

FullAdmin-Instance.png

Unter "Assigned security scopes and collections" muss der erste Punkt auswählt werden. Mit "OK" bestätigen. Jetzt wurde ein "Full Administrator"-Benutzer für den Computer erstellt

Zusätzliche Information zur Client-Konfiguration

Für den Einsatz des SCCM Managers wird empfohlen, dem Systemkonto des Servers, administrative Berechtigungen auf die zu verwaltenen Clients zu gewähren. Dies geschieht durch das Hinzufügen des Systemkontos zur Gruppe der „lokalen Administratoren“ der zu verwaltenden Clients.

Weitere Informationen dazu:

The LocalSystem Account

Sceurity Considerations for All Services

Service Security and Access Rights

LocalSystem Account privileges


Back to top