Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Apéndice E: procedimientos de seguridad de SMS

Publicado: enero 9, aaaa

En este apéndice se incluyen los procedimientos a seguir para todas las tareas de seguridad relacionadas con Microsoft® Systems Management Server (SMS) 2003. Esta sección únicamente contiene información sobre el propósito de cada una de estas tareas pero se proporcionan también vínculos a otros apéndices o prácticas recomendadas en Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad.

Con algunas excepciones, las tareas se presentan ordenadas de acuerdo con la estructura observada en el documento principal, aunque éste no sea necesariamente el orden en que deban llevarse a cabo.

En esta página
Derechos de objetos SMSDerechos de objetos SMS
Seguridad de implementación de SMSSeguridad de implementación de SMS
Seguridad de comunicaciones SMSSeguridad de comunicaciones SMS
Seguridad de sistemas del sitioSeguridad de sistemas del sitio
Seguridad de características SMSSeguridad de características SMS
Administración de cuentas SMSAdministración de cuentas SMS
Administración de certificados SMSAdministración de certificados SMS

Derechos de objetos SMS

Dispone de varias opciones para cambiar derechos de objetos SMS:

modificar los derechos de clase e instancia directamente.

usar el asistente de usuario de SMS.

usar el cuadro de diálogo para clonar usuario de SMS.

usar secuencias de comandos (consulte el Apéndice C sobre el uso de secuencias de comandos en operaciones SMS, incluido en la guía de operaciones de Microsoft Systems Management Server 2003).

note.gif  Nota
Las operaciones de copia de los derechos de un usuario a otro pueden ser bastante laboriosas. Es posible que la consola de administración de SMS no pueda utilizarse mientras se lleva a cabo esta tarea. Para evitar este tipo de problema, no copie los derechos de instancias del otro usuario si basta con disponer de los derechos de clase.

important.gif  Importante
En algunos casos resulta posible eliminar los derechos de SMS para la cuenta LocalSystem, NT Authority\SYSTEM. Estos derechos no deben eliminarse. Aunque no se usan en esta versión de SMS, quizás se necesiten en versiones futuras o para el uso de determinadas herramientas.

Modificación de los derechos de clase e instancia directamente

Hay dos formas de cambiar directamente los derechos de clase e instancia para objetos SMS en la consola de administración de SMS:

Haga clic con el botón secundario en un objeto (por ejemplo, en una colección). Haga clic en Propiedades y, a continuación, seleccione la ficha Seguridad. Cambie los derechos como necesite.

Haga clic con el botón secundario en Derechos de seguridad, seleccione Nuevo y, a continuación, haga clic en Derecho de seguridad de clase o en Derecho de seguridad de instancia. Alternativamente, seleccione Derechos de seguridad, haga clic con el botón secundario en el derecho apropiado y haga clic en Propiedades. Cambie los derechos como necesite.

note.gif  Nota
Si utiliza el derecho Delegar para conceder derechos, solamente podrá otorgar aquellos derechos que posee. Los derechos que no puede conceder aparecen marcados con el icono de un candado en la consola de administración de SMS.

Los derechos de seguridad pueden tener muchas entradas, particularmente en sitios SMS que llevan bastante tiempo en funcionamiento. Para aplicar filtros a las entradas que se muestran, haga clic con el botón secundario en Derechos de seguridad y, a continuación, haga clic en Propiedades. Elimine las entradas que no quiera ver.

important.gif  Importante
El filtro de permisos se mantendrá vigente hasta que vuelva a cambiarlo. Esto podría resultarle confuso si regresa al nodo de derechos de seguridad más adelante y no ve todas las entradas de permisos. Para evitar este problema, vuelva a incluir todos los permisos del filtro en cuanto termine la tarea que le ocupa.

Uso del asistente de usuario de SMS

La utilización del asistente de usuario de SMS facilita la concesión de derechos de seguridad de objetos SMS a usuarios o grupos. Encontrará el asistente de usuario de SMS en el nodo Derechos de seguridad en la consola de administración de SMS.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Security Rights

Haga clic con el botón secundario en el nodo Derechos de seguridad, haga clic en Todas las tareas y, a continuación, seleccione Administrar usuarios de SMS.

El asistente de usuario de SMS permite modificar o eliminar usuarios existentes y agregar usuarios nuevos. Al agregar usuarios nuevos o modificar los actuales, puede cambiar los derechos individualmente o copiarlos de otro usuario. Repita estos pasos según se necesite.

El asistente de usuario SMS agregará automáticamente nuevos administradores al grupo de administradores de SMS.

important.gif  Importante
Al agregar un usuario nuevo, es posible que SMS muestre un mensaje que indica la imposibilidad de verificar la identidad del nombre especificado como usuario de Windows o cuenta de grupo de usuarios existente. Esto puede darse si se ha cometido un error tipográfico, si hay algún problema subyacente que impide al asistente verificar la cuenta o si la cuenta es un grupo de usuarios local. Todas las cuentas que tienen permisos de seguridad de objetos SMS deben contar también con acceso al espacio de nombres WMI de SMS. Puede otorgar acceso al espacio de nombres WMI de SMS colocando las cuentas en el grupo local de administradores de SMS. Los grupos locales no pueden agregarse a grupos locales. Por lo tanto, para que un grupo local pueda acceder al espacio de nombres WMI de SMS, deberá proporcionarle los derechos de WMI de forma manual.

Creación de clones de usuarios de SMS

Si desea agregar un usuario nuevo que tenga los mismos derechos que un usuario actual, puede crear un clon de este usuario de SMS. Para crear un clon de un usuario de SMS, acuda al nodo Derechos de seguridad en la consola de administración de SMS.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Security Rights

Haga clic con el botón secundario en el usuario actual, haga clic en Todas las tareas y, a continuación, seleccione Clonar usuario de SMS. Sin embargo, el asistente de creación de clones de usuario de SMS no agregará la cuenta nueva al grupo de administradores de SMS. Esto deberá hacerse manualmente.

Seguridad de implementación de SMS

Para obtener más detalles sobre estas tareas, consulte la sección Seguridad de SMS.

Migración a seguridad avanzada

Si actualiza el sitio de SMS 2.0 a SMS 2003, de forma automática, la instalación se lleva a cabo en seguridad estándar. Lleve a cabo la migración del sitio SMS 2003 a seguridad avanzada los antes posible.

Los sitios SMS 2003 pueden configurarse para usar seguridad estándar durante la instalación y luego modificarse para el uso de seguridad avanzada, siempre y cuando cumplan los requisitos para hacerlo.

important.gif  Importante
Si se realiza la migración de un sitio de seguridad estándar a seguridad avanzada por equivocación, será necesario recurrir a los procedimientos de recuperación para restaurar el modo de seguridad estándar. Para obtener los detalles sobre los procedimientos de recuperación, consulte Escenarios y procedimientos de Microsoft Systems Management Server 2003:  copia de seguridad, recuperación y mantenimiento, disponible en la página de documentación del producto SMS 2003, incluida en el sitio Web de SMS.

Para cambiar el modo de seguridad:

1.

En la consola de administración de SMS, acuda al nodo del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name)

2.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

3.

Haga clic en cuando aparezca el mensaje de advertencia si está seguro de que el sitio está preparado para la migración a seguridad avanzada.

Durante la implementación de los cambios es posible que se produzcan errores en los componentes SMS y que los registros de errores contengan mensajes de error. Espere hasta que surta efecto la migración a seguridad avanzada. Los componentes se recuperarán automáticamente.

Para verificar qué sitios están usando seguridad avanzada, compruebe las propiedades de cada nodo del sitio en la consola de administración de SMS.

Tras la migración a seguridad avanzada es aconsejable eliminar cuentas que ya no se necesitan. SMS no las eliminará de forma automática.  Adicionalmente, la migración a la seguridad avanzada no crea automáticamente todas las cuentas necesarias ni tampoco asigna todas las pertenencias a grupos que se requieren.

note.gif  Nota
Es posible que la opción de seguridad para un sitio secundario deje de estar disponible tras la modificación del sitio principal para ejecutarse en modo de seguridad avanzada.
Cuando se configura un sitio principal para usar seguridad avanzada, es posible que se anule la disponibilidad del botón Establecer seguridad (incluido en el cuadro de diálogo Propiedades del sitio) para los sitios secundarios configurados con seguridad estándar. Esto impedirá que pueda llevar a cabo la migración de sitios secundarios de seguridad estándar a seguridad avanzada.
Reinicie el servicio de ejecución SMS en el sitio secundario. De esta forma se activará la opción de establecimiento de seguridad en la consola de administración de SMS.

Ejecución de los archivos de instalación desde el servidor del sitio secundario

La instalación del servidor del sitio secundario desde el CD del producto le permitirá llevar a cabo la operación sin necesidad de convertir la cuenta de equipo de servidor del sitio en miembro del grupo local de administradores en el servidor del sitio secundario.

Para instalar un sitio secundario desde el CD de SMS:

1.

Inserte el CD de SMS 2003 en la unidad de CD del servidor. Haga clic en Instalar SMS 2003.

2.

En la página Bienvenida, haga clic en Siguiente.

3.

En la página de configuración del sistema, haga clic en Siguiente.

4.

En la página Opciones de configuración, seleccione Instalar un sitio secundario SMS y, a continuación, haga clic en Siguiente.

5.

En la página de registro del producto, complete los campos y haga clic en Siguiente. Deberá introducir la clave del producto; la encontrará en la caja del CD de SMS 2003.

6.

En la página Información del sitio SMS, teclee el código único de tres dígitos del sitio, el nombre y el dominio del sitio; por último, haga clic en Siguiente.

caution.gif  Precaución
Para cambiar los nombres del dominio y del equipo una vez instalado SMS, tendrá que desinstalar SMS, cambiar los nombres y volver a realizar la instalación. Seleccione con detenimiento los datos que deben introducirse para evitar este problema.

1.

En la página Información de seguridad de SMS, elija el modo de seguridad:

Si selecciona el modo de seguridad estándar, acuda al paso 8.

Si selecciona el modo de seguridad avanzada, continúe con el paso 9.

note.gif  Nota
No podrá instalar un sitio secundario en modo de seguridad avanzada si el sitio principal usa la seguridad estándar.

2.

En la página de información de cuenta de servicio SMS, si aún no ha creado una cuenta de servicio, utilice la cuenta predeterminada (SMSService) o especifique un nombre y contraseña de cuenta. El programa de configuración de SMS creará la cuenta. Si ya ha creado una cuenta, especifique el nombre y la contraseña de la misma. Para especificar una cuenta de dominio de confianza, teclee el dominio y el nombre de la cuenta separados por una barra inversa (\). El dominio de confianza debe tener una relación de confianza con todos los dominios del sitio.

3.

En la página de opciones de configuración, seleccione los componentes SMS que desea instalar y, a continuación, haga clic en Siguiente. Si lo desea, también puede modificar las carpetas donde se instalan los componentes en el servidor.

4.

En la página de identificación e información del sitio principal, especifique el código del sitio principal y el nombre del servidor del sitio primario con el que conectará el sitio secundario. Indique el tipo de conexión de red que utilizará este sitio para comunicar con el sitio principal y haga clic en Siguiente. Esta opción no está disponible al realizar la instalación en el modo de seguridad avanzada.

5.

En la página de información de la cuenta de conexión, especifique la información de la cuenta que utilizará el sitio secundario para conectar con el sitio principal y, a continuación, haga clic en Siguiente.

6.

Utilice el asistente de configuración de SMS para revisar las selecciones realizadas durante el proceso de configuración. Si desea cambiar alguna opción o especificación, no tiene más que hacer doble clic en el elemento en cuestión. Realice el cambio y haga clic en Siguiente hasta regresar al asistente de configuración de SMS. Cuando esté satisfecho con los cambios, haga clic en Finalizar. La instalación del sitio secundario de SMS 2003 se ha completado.

Seguridad de comunicaciones SMS

Para obtener más detalles sobre estas tareas, consulte la sección Seguridad de comunicaciones SMS.

Cómo deshabilitar las comunicaciones sin firmar entre sitios

Las comunicaciones sin firmar están permitidas de forma predeterminada. Si deshabilita este tipo de comunicación, conseguirá un nivel de seguridad superior pero no podrá llevarse a cabo la comunicación con sitios que no ejecutan SMS 2.0 SP5.

Para deshabilitar las comunicaciones sin firmar entre sitios:

1.

En la consola de administración de SMS, acuda al nodo del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name)

2.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

3.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Avanzada y elija no aceptar datos sin firmar de sitios que ejecutan SMS 2.0 SP4 y versiones anteriores.

Requisito de intercambio de claves seguro

El intercambio de claves seguro no se requiere de forma predeterminada. Si habilita esta opción, conseguirá un nivel de seguridad superior pero no podrá llevarse a cabo la comunicación con sitios que no ejecutan SMS 2.0 SP5.

Para requerir el intercambio de claves seguro:

1.

En la consola de administración de SMS, acuda al nodo del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name)

2.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

3.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Avanzada y, a continuación, elija la opción de requerir intercambio de claves seguro entre sitios.

Instalación de la clave raíz de confianza con la instalación de la directiva de grupo de Windows (Client.msi)

Si instala el cliente avanzado por medio de la instalación de la directiva de grupo (Client.msi), el cliente no obtendrá la clave raíz de confianza automáticamente durante la instalación y tendrá que configurar la clave para que se instale de forma manual.

Para instalar la clave raíz de confianza:

1.

Por medio de Bloc de notas, abra el archivo C:\sms\bin\i386\mobileclient.tcf.

2.

Copie la clave que aparece después de SMSPublicRootKey=, y guárdela en un archivo de texto en la ubicación que desee.

3.

Configure la directiva de grupo para usar esta sintaxis durante la instalación:  msiexec /i \\servidor\recursocompartido\client.msi /L*v c:\install.log SMSROOTKEYPATH=<rutaynombredearchivocompletos>

Verificación de la instalación de la clave raíz de confianza

Si desea asegurarse de que un cliente avanzado ha recibido la clave raíz de confianza o verificar que un cliente dispone de la clave raíz de confianza correcta, puede ver la clave en WMI en el cliente avanzado.

Para verificar la instalación de la clave raíz de confianza:

1.

En el menú Inicio, haga clic en Ejecutar y teclee Wbemtest.

2.

En el cuadro de diálogo Prueba de WMI, haga clic en Conectar. Se mostrará el cuadro de diálogo de conexión.

3.

En el cuadro de diálogo de conexión, en el campo Espacio de nombres, teclee root\ccm\locationservices y haga clic en Conectar. A continuación aparecerá el cuadro de diálogo Prueba de WMI.

4.

En la sección IWbemServices, haga clic en Enumerar clases. Aparece el cuadro de diálogo Información de la superclase.

5.

En el cuadro de diálogo Información de la superclase, seleccione la opción Recursiva y, a continuación, haga clic en Aceptar.  Aparece la ventana Resultado de la consulta.

6.

En la ventana Resultado de la consulta, desplácese al final de la lista y haga doble clic en TrustedRootKey (). Aparece el cuadro de diálogo Editor de objetos de TrustedRootKey.

7.

En el cuadro de diálogo Editor de objetos de TrustedRootKey, haga clic en Instancias. Aparecerá una ventana Resultado de la consulta nueva para mostrar las instancias de TrustedRootKey.

8.

En la ventana Resultado de la consulta, haga doble clic en TrustedRootKey=@. Aparece el cuadro de diálogo Editor de objetos de TrustedRootKey=@.

9.

En el cuadro de diálogo Editor de objetos de TrustedRootKey=@, en la sección Propiedades, desplácese hasta TrustedRootKey CIM_STRING. La cadena que se muestra en la columna de la derecha es la clave raíz de confianza. Debe coincidir con la clave SMSPublicRootKey en el archivo C:\sms\bin\i386\mobileclient.tcf.

Eliminación de la clave raíz de confianza

Si traslada un cliente avanzado de una jerarquía a otra y a un sitio que no tiene el esquema ampliado para SMS, tendrá que eliminar la clave raíz de confianza antes de realizar el traslado.

En el equipo del cliente avanzado, ejecute CCMSetup RESETKEYINFORMATION = TRUE.

Reinstalación de la clave raíz de confianza

Si ha eliminado la clave raíz de confianza durante la transferencia de un cliente a una jerarquía nueva, debería volver a instalar la clave.

Para hacerlo:

1.

Por medio de Bloc de notas, abra el archivo C:\sms\bin\i386\mobileclient.tcf.

2.

Copie la clave que aparece después de SMSPublicRootKey=, y guárdela en un archivo de texto en la ubicación que desee.

3.

Instale el cliente por medio de uno de los tres métodos siguientes y la sintaxis apropiada:

CCMSetup/trustedkeyfile:<rutaynombredearchivocompletos>

msiexec /i \\servidor\recursocompartido\client.msi /L*v c:\install.log SMSROOTKEYPATH=<rutaynombredearchivocompletos>

Capinst.exe /advcli /advlicmd /trustedkeyfile:<rutaynombredearchivocompletos>

Configuración del puerto TCP del cliente avanzado

SMS 2003 SP1 permite cambiar el puerto TCP utilizado para la comunicación con puntos de administración, puntos de localización de servidor y puntos de distribución con BITS habilitado. Puede configurarse un máximo de dos puertos y uno de ellos puede designarse como puerto predeterminado asignado a clientes recién instalados.

Para cambiar el puerto TCP predeterminado:

1.

En la consola de administración de SMS, acuda al nodo del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name)

2.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

3.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Puertos. Agregue un número y descripción de puerto.

Habilitación de la firma de clientes y el cifrado de datos de inventario

Habilite la autenticación de clientes para evitar que clientes no autorizados introduzcan datos no válidos en la base de datos de SMS. Habilite el cifrado de clientes para codificar todas las comunicaciones iniciadas por clientes, como mensajes de estado e inventario.

important.gif  Importante
Una vez habilitada, la firma de inventario de clientes no puede deshabilitarse.

Para habilitar la protección de inventarios:

1.

En la consola de administración de SMS, acuda al nodo del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name)

2.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

3.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Avanzada y elija firmar datos antes de enviarlos al punto de administración y cifrar datos antes de enviarlos al punto de administración.

Seguridad de sistemas del sitio

Para obtener más detalles sobre estas tareas, consulte la sección Seguridad de sistemas del sitio SMS. Además, las listas de comprobación incluidas en el archivo SMS 2003 Security Checklists.xls ofrecen una enumeración de los pasos recomendados para reforzar la seguridad de IIS (Internet Information Services) y Microsoft SQL Server™.

SMS2003 Security checklists.xls

Verificación de componentes IIS instalados

Para reducir el perfil de ataque de sus sistemas IIS, instale solamente los componentes mínimos requeridos. Puede encontrar una lista de los componentes de IIS requeridos en la tabla 2, sobre funciones de sistemas del sitio y componentes de IIS.

Para verificar los componentes IIS instalados:

1.

Haga clic en Inicio, seleccione Panel de control, haga doble clic en Agregar o quitar programas y, a continuación, seleccione Agregar o quitar componentes de Windows.

2.

En Componentes, haga clic en Servidor de aplicaciones y, a continuación, en Detalles.

3.

En el cuadro de diálogo Servidor de aplicaciones, bajo Subcomponentes del servidor de aplicaciones, resalte Internet Information Services (IIS) y haga clic en Detalles.

4.

En el cuadro de diálogo Internet Information Services (IIS), bajo Subcomponentes de Internet Information Services (IIS), compruebe los componentes IIS instalados.  

5.

Haga clic en Aceptar hasta que regrese al Asistente para componentes de Windows.

6.

Haga clic en Siguiente y, a continuación, en Finalizar.

Configuración de SQL Server y SMS para el uso de la autenticación de Windows

Como modo de seguridad, se recomienda la autenticación de Windows para Microsoft SQL Server™. En primer lugar, configure SQL Server para ejecutarse en modo de autenticación de Windows y, a continuación, configure SMS para acceder a SQL Server en el modo de autenticación de Windows.

Para configurar la seguridad con el modo de autenticación de Windows mediante el administrador corporativo de SQL Server:

1.

En el menú Inicio, haga clic en Administrador corporativo.

2.

Amplíe un grupo de servidores.

3.

Haga clic con el botón secundario en el servidor de base de datos del sitio SMS y, a continuación, haga clic en Propiedades.

4.

Haga clic en la ficha Seguridad y, bajo Autenticación, seleccione Sólo Windows.

Para obtener más información, consulte el tema dedicado al modo de autenticación en SQL Server Books Online.

Si desea configurar SMS para el uso de SQL Server con la autenticación de Windows:

1.

Inicie la sesión en el servidor del sitio primario que va a actualizar. Use una cuenta miembro del grupo local de administradores.

2.

En el menú Inicio, haga clic en Systems Management Server y haga clic en Configuración de SMS.

3.

El programa de configuración detectará la instalación de SMS 2003. Haga clic en Siguiente para ver las opciones de configuración.

4.

En la página Opciones de configuración, seleccione Modificar o restablecer la instalación actual y, a continuación, haga clic en Siguiente.

5.

En la página de selección de opciones de instalación, haga clic en Siguiente.

6.

En la página de información de seguridad de SMS, haga clic en Siguiente.

7.

En la página de modificación de base de datos, haga clic en Siguiente.

8.

En la página de modo de autenticación para la base de datos del sitio SMS, seleccione Sí, usar autenticación de Windows.

9.

En la página final del asistente, haga clic en Finalizar.

Cuando el programa de configuración de SMS acabe de instalar los componentes en el sitio, aparecerá un mensaje para indicar que la instalación se ha llevado a cabo satisfactoriamente.

Asignación de la cuenta de equipo de servidor del sitio SMS al usuario propietario de la base de datos del sitio SMS

Si la base de datos del sitio SMS se encuentra en un servidor ajeno al servidor del sitio SMS y se modifican o eliminan los derechos de acceso a la base de datos del sitio SMS para el grupo de administradores local en el equipo de base de datos del sitio SMS, deberá asignar la cuenta de equipo de servidor del sitio SMS a la cuenta de SQL de usuario propietario de la base de datos del sitio SMS. Para ello, siga estos pasos:

Para asignar la cuenta de equipo de servidor del sitio SMS al usuario propietario de la base de datos del sitio SMS:

1.

Inicie el analizador de consultas de SQL con la base de datos del sitio SMS seleccionada.

2.

Ejecute las consultas siguientes para agregar los datos de inicio de sesión para la cuenta de equipo:

exec sp_grantlogin '<computer account>' 
exec sp_changedbowner '<computer account>' 
exec sp_grantlogin 'NT AUTHORITY\SYSTEM' 
exec sp_addrolemember 'db_owner', 'NT AUTHORITY\SYSTEM' 
exec sp_droplogin 'BUILTIN\Administrators'

Habilitación de acceso HTTPS para puntos de informe

Con sitios SMS 2003 SP1, es recomendable configurar la consola de administración de SMS de forma que inicie el visor de informes a través de HTTPS. Sin embargo, primero debería configurar el servidor IIS para usar SSL de acuerdo con las instrucciones incluidas en la documentación de IIS.

Para configurar la consola de administración de SMS para usar HTTPS al conectar con puntos de informe:

1.

En la consola de administración de SMS, acuda a Sistemas del sitio.

Systems Management Server 
   ( Site Database (site code - site name) 
    ( Site Hierarchy 
     ( site code - site name 
      ( Site Settings 
       ( Connection Accounts 
        ( Site Systems

2.

En el panel de detalles, haga clic con el botón secundario en el sistema del sitio que desee modificar y, a continuación, haga clic en Propiedades.

3.

En la ficha Punto de informe, active la casilla Usar https y especifique un número de puerto o acepte el puerto SSL 443 predeterminado.

Seguridad de características SMS

Para obtener más detalles sobre estas tareas, consulte la sección Seguridad de características SMS.

Concesión de acceso de usuarios a informes en puntos de informe

De forma automática, los administradores de SMS y los administradores locales en el punto de informe cuentan con permisos de acceso a informes en puntos de informe.

Para otorgar a un usuario que no es administrador el permiso de ejecutar informes:

1.

Agregue el usuario o un grupo al que pertenezca el usuario al grupo de usuarios de informes en el punto de informe.

2.

Si el usuario necesita acceso a varios puntos de informe, repita el paso 1 para cada punto.

Modificación de la configuración de seguridad predeterminada de Internet Explorer 6.0 para los usuarios de informes

Internet Explorer 6.0 y las versiones posteriores cuentan con una configuración de seguridad mejorada predeterminada. Es necesario modificar esta configuración para los usuarios de informes. Lleve a cabo este procedimiento en cada equipo cliente con Internet Explorer 6.0 que requiera acceso a informes de SMS.

Para modificar la configuración de seguridad predeterminada de Internet Explorer 6.0 para los usuarios de informes:

1.

En Internet Explorer, seleccione Herramientas y, a continuación, Opciones de Internet.

2.

Haga clic en la ficha Seguridad y seleccione Sitios de confianza como zona de contenido Web.

3.

Haga clic en Sitios. En la lista de sitios Web de confianza, agregue la URL de cada punto de informe al que el usuario puede acceder.

4.

Bajo Nivel de seguridad de la zona, haga clic en Nivel personalizado.

5.

Desplácese a Autenticación del usuario y establezca el inicio de sesión como Inicio de sesión automático con el nombre de usuario y contraseña actuales.

6.

Guarde la configuración nueva.

Modificación de la lista de usuarios permitidos para herramientas remotas

Si ha llevado a cabo la actualización de SMS 2.0, es probable que haya visto nombres de administradores en la lista de usuarios permitidos que no se necesitan y debieran eliminarse. Cuando especifique usuarios en esta lista, utilice el formato dominio\cuenta para evitar ambigüedades.

Para modificar la lista de usuarios permitidos para herramientas remotas:

1.

En la consola de administración de SMS, acuda a Agentes de cliente.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( (site code - site name) 
       ( Site Settings 
         ( Client Agents

2.

Haga clic en Agentes de cliente.

3.

En el panel de detalles, haga clic con el botón secundario en Agente de cliente de herramientas remotas y, a continuación, haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades de agente de cliente de herramientas remotas, haga clic en la ficha Seguridad.

5.

Haga clic en el botón Nuevospsmss03.gifpara abrir el cuadro de diálogo Usuario nuevo y, a continuación, especificar un nombre de grupo o una cuenta de usuario de Windows existente.

important.gif  Importante
Use grupos globales en lugar de locales. SMS no enumera miembros de grupos globales cuando están anidados en un grupo local.

Establecimiento de permisos de acceso a paquetes

Los permisos de acceso a paquetes predeterminados conceden a los usuarios los derechos de lectura y control total de administradores sobre los archivos de paquetes en los puntos de distribución donde reside el paquete en cuestión. En caso de que no todos los usuarios requieran acceso al paquete, modifique la lista de cuentas de acceso a paquetes para especificar permisos mínimos. Para realizar este procedimiento, deberá disponer del permiso de modificar sobre la instancia o la clase de objetos de seguridad del paquete.

Para especificar las cuentas de acceso a paquetes:

1.

En la consola de administración de SMS, acuda a Cuentas de acceso.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Packages 
      ( packages 
       ( Access Accounts

2.

Haga clic con el botón secundario en Cuentas de acceso, elija Nueva y, a continuación, indique el tipo de cuenta de acceso que desea (Windows o genérica).

3.

En el cuadro de diálogo Propiedades de cuenta de acceso, especifique la cuenta de usuario o de grupo de usuarios que podrán acceder al paquete en los puntos de distribución.

Para eliminar cuentas de acceso a paquetes:

1.

En la consola de administración de SMS, acuda a Cuentas de acceso.

Systems Management Server 
    ( Site Database (site code - site name) 
    ( Packages 
      ( packages 
       ( Access Accounts

2.

En el panel de detalles, haga clic con el botón secundario en la cuenta que desee eliminar y, a continuación, haga clic en Eliminar.

3.

Haga clic en para confirmar que desea eliminar la cuenta de acceso a paquetes seleccionada.

important.gif  Importante
Cuando se agregan o eliminan cuentas o se modifican los permisos de cuentas de acceso a paquetes existentes, es necesario actualizar el paquete en los puntos de distribución.

Deshabilitación de la recopilación de IDMIF y NOIDMIF

La recopilación de IDMIF o NOIDMIF puede constituir un riesgo de seguridad, de modo que puede deshabilitarla si considera que el peligro es significante. De forma predeterminada, los sitios SMS 2003 recién instalados tienen la recopilación de MIF deshabilitada. Los sitios SMS 2003 actualizados a partir de SMS 2.0 tienen la recopilación de MIF habilitada de forma predeterminada. La deshabilitación de la recopilación de MIF de inventario de hardware no deshabilita la recopilación de MIF de estado de distribución de software.

Para habilitar o deshabilitar la recopilación de MIF:

1.

Haga clic en la ficha Recopilación de MIF en el cuadro de diálogo Propiedades de agente de cliente de inventario de hardware.

2.

Elimine las opciones de recopilación de archivos IDMIF o NOIDMIF para los clientes heredado y avanzado.

caution.gif  Precaución
Cuando se deshabilita la recopilación de NOIDMIF, los datos recopilados por medio de NOIDMIF se eliminan del sitio SMS al que están asignados los clientes.

Administración de cuentas SMS

Si desea obtener más información sobre cuentas de usuario de SMS, consulte el Apéndice C: cuentas, grupos y contraseñas de SMS.

Creación y modificación de cuentas SMS

A continuación encontrará los procedimientos a seguir para crear y modificar las cuentas SMS al cargo de un administrador.

Creación o modificación de la cuenta de servicio SMS

Si instala SMS 2003 con seguridad estándar, la cuenta de servicio SMS se crea durante la configuración, con el nombre y la contraseña de cuenta que especifique en el asistente de configuración de SMS. Para modificar la cuenta de servicio SMS, puede usar Windows NT® User Manager for Domains o Active Directory® Users and Computers, con un restablecimiento del sitio o la consola de administración de SMS.

Para crear o modificar la cuenta de servicio SMS mediante la consola de administración de SMS:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de conexión de sistema del sitio nueva.

- O bien -

Si ya ha creado una cuenta de conexión de sistema del sitio que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda al sitio cuya cuenta de servicio SMS desea especificar o cambiar.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name

3.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Cuentas y, a continuación, haga clic en Establecer.

5.

En el cuadro de diálogo Cuenta de Windows:

Especifique el nombre y la contraseña de la cuenta de servicio SMS que creó en el sistema operativo.

- O bien -

Si ya ha creado una cuenta de servicio SMS que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Para obtener un nivel de fiabilidad mayor, use el restablecimiento del sitio para cambiar la contraseña de la cuenta de servicio SMS.

Para modificar la cuenta de servicio SMS mediante el restablecimiento del sitio:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

Inicie el asistente de configuración de SMS.

3.

En la página Opciones de configuración, haga clic en Modificar o restablecer la instalación actual.

4.

En la página de información de la cuenta de servicio SMS, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación o modificación de la cuenta de conexión de servidor SMS

No cambie la contraseña de una cuenta de conexión de servidor SMS existente. En su lugar, cree una cuenta nueva antes de eliminar la antigua.

Para crear o modificar la cuenta de conexión de servidor SMS:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers, cree una cuenta de conexión de sistema del sitio nueva.

2.

Agregue la cuenta nueva al grupo de conexión de sistema del sitio al servidor del sitio pero no elimine aún la cuenta antigua de este grupo.

3.

Restablezca el sitio y especifique la cuenta nueva en el símbolo del sistema o smsaccountsetup.ini. Marque la casilla para cambiar la cuenta cuando se indique.

Creación o modificación de la cuenta de conexión de sistema del sitio

Para incrementar el nivel de seguridad, especifique que los servicios que se ejecutan en el servidor del sitio utilicen la cuenta de conexión de sistema del sitio para conectar a sistemas del sitio. Si no crea esta cuenta, se utilizará la cuenta de servicio SMS en su lugar.

Para crear o modificar la cuenta de conexión de sistema del sitio:

1.

Cree una cuenta de conexión de sistema del sitio nueva.

- O bien -

Si ya ha creado una cuenta de conexión de sistema del sitio que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda a Sistema del sitio.

Systems Management Server 
   ( Site Database (site code - site name) 
    ( Site Hierarchy 
     ( site code - site name 
      ( Site Settings 
       ( Connection Accounts 
        ( Site System

3.

Haga clic en Sistema del sitio con el botón secundario, elija Nueva y, a continuación, haga clic en Cuenta de usuario de Windows.

4.

En el cuadro de diálogo Propiedades de cuenta de conexión, haga clic en Establecer.

5.

En el cuadro de diálogo Cuenta de usuario de Windows:

6.

Especifique el nombre y la contraseña de la cuenta de conexión de sistema del sitio que creó con la herramienta del sistema operativo.

- O bien -

Si ya ha creado una cuenta de conexión de sistema del sitio que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación o modificación de cuentas de base de datos de sistemas del sitio

Los puntos de administración y de localización de servidor usan cuentas de base de datos de sistemas del sitio para conectar al equipo que ejecuta SQL Server. De forma predeterminada, SMS usa la cuenta SMS_SQL_RX_códigositio, que se crea y mantiene de forma automática. Si restablece las contraseñas de cuentas de servidor durante un restablecimiento del sitio y dispone de la opción de bloqueo de cuenta, es posible que esta cuenta predeterminada se bloquee. Si esto ocurre, puede especificar una cuenta alternativa.

Para crear o modificar las cuentas de base de datos de sistemas del sitio del punto de administración o de localización del servidor:

1.

Cree una cuenta de usuario nueva o modifique una existente. Esta cuenta puede ser:

una cuenta de Windows en la base de datos de cuentas local ubicada en el equipo que ejecuta SQL Server.

una cuenta de Windows en la base de datos de dominios.

una cuenta de SQL Server en la base de datos de cuentas de SQL Server.

2.

En la consola de administración de SMS, acuda al sitio donde desea especificar o cambiar la cuenta de base de datos de sistemas del sitio.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name 
       ( Site Settings 
        ( Site Systems

3.

En el panel de resultados, haga clic con el botón secundario en el punto de administración o de localización de servidor que desea modificar y, a continuación, haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades de sistema del sitio, haga clic en la ficha Punto de administración o Punto de localización de servidor. En la lista Base de datos, seleccione Usar una base de datos diferente.

tip.gif  Sugerencia
Si desea configurar SMS para usar una cuenta además de SMS_SQL_RX_códigositio, deberá seleccionar Usar una base de datos diferente, aunque especifique el mismo servidor de base de datos y la misma base de datos del sitio SMS que utiliza el sitio.

5.

El cuadro de diálogo muestra opciones de configuración adicionales.

6.

En el cuadro Nombre de SQL Server, teclee el nombre del servidor de base de datos del sitio SMS.

7.

En el cuadro Nombre de base de datos, teclee el nombre de la base de datos del sitio SMS.

8.

Seleccione el tipo de autenticación.

9.

Elija Establecer.

10.

Aparecerá la cuenta de usuario de Windows (autenticación de Windows) o la cuenta de Microsoft SQL Server™ (autenticación de SQL Server).

11.

Especifique su nombre de usuario y contraseña y haga clic en Aceptar.

important.gif  Importante
Si usa la autenticación de Windows, deberá agregar la cuenta de usuario al grupo de conexión de sistema del sitio a SQL Server.

Creación o modificación de la cuenta de instalación de software cliente

No es necesario que la cuenta pertenezca al grupo de administradores de dominio pero debe disponer de credenciales administrativas locales sobre los equipos que tienen el software cliente SMS instalado.

Para crear o modificar la cuenta de instalación de software cliente:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de dirección del sitio nueva.

- O bien -

Si ya ha creado una cuenta de dirección del sitio que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda al sitio donde desea especificar o cambiar la cuenta de instalación de software cliente.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name 
       ( Site Settings 
        ( Client Installation Methods

3.

En el panel de resultados, haga clic con el botón secundario en Instalación de software cliente y, a continuación, haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Cuentas y, a continuación, haga clic en el icono de cuenta nueva. Puede repetir este paso y el paso 5.

5.

En el cuadro de diálogo Cuenta de usuario de Windows:

Especifique el nombre y la contraseña de la cuenta de instalación de software cliente que ha creado.

- O bien -

Si ya ha creado una cuenta de instalación de software cliente que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación o modificación de la cuenta de dirección del sitio

En sitios de seguridad estándar, cuando se crean direcciones para otros sitios, es necesario especificar una cuenta de dirección del sitio por cada dirección de emisor. Los sitios de seguridad avanzada pueden usar la cuenta de equipo de servidor del sitio si no se ha establecido una cuenta de dirección del sitio. Agregue la cuenta al grupo de conexión de sitio a sitio en el servidor del sitio con el que establecerá la conexión.

important.gif  Importante
Si especifica una cuenta dirección del sitio para una dirección y luego decide que desea utilizar la cuenta de equipo como cuenta de dirección del sitio, tendrá que eliminar la dirección y volver a crearla. No puede cambiar la dirección únicamente para usar la cuenta de equipo como cuenta de dirección del sitio.

Debe crear cada cuenta de dirección del sitio en Windows NT User Manager for Domains o Active Directory Users and Computers y en la consola de administración de SMS. Si modifica esta cuenta, tendrá que modificarla en ambas ubicaciones.

Para crear o modificar la cuenta de dirección del sitio:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de dirección del sitio nueva.

- O bien -

Si ya ha creado una cuenta de dirección del sitio que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda a Direcciones.

Systems Management Server 
   ( Site Database (site code - site name) 
    ( Site Hierarchy 
     ( site code - site name 
      ( Site Settings 
       ( Addresses

3.

Haga clic en Direcciones.

4.

Haga clic con el botón secundario en la dirección cuya cuenta de dirección del sitio desea cambiar y haga clic en Propiedades.

5.

En el cuadro de diálogo Propiedades de dirección, haga clic en la ficha General y, a continuación, haga clic en Establecer.

6.

En el cuadro de diálogo Cuenta de Windows:

Especifique el nombre y la contraseña de la cuenta de dirección del sitio que ha creado.

- O bien -

Si ya ha creado una cuenta de dirección del sitio que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

note.gif  Nota
Esta cuenta debe ser reconocible para el servidor del sitio de destino que especificó en la ficha General en el cuadro de diálogo Propiedades de dirección. En lo que respecta a sitios de destino de SMS 2003, la cuenta debería agregarse al grupo SMS_SiteToSiteConnection_códigositio en el servidor del sitio de destino. Si está usando seguridad avanzada, consulte el procedimiento Inclusión en grupos de las cuentas de equipo en este apéndice.

Creación o modificación de la cuenta de base de datos del sitio

Si está usando la autenticación de Windows, la cuenta de SQL Server es la cuenta de equipo de servidor del sitio SMS (seguridad avanzada) o la cuenta de servicio SMS (seguridad estándar) y no necesita modificarse. Si usa la autenticación de  SQL Server, deberá crear la cuenta y la contraseña de base de datos del sitio en SQL Server y, a continuación, configurar SMS para que las use.

Para crear o modificar la cuenta de usuario para la cuenta de base de datos del sitio mediante la consola de administración de SMS:

1.

En el administrador corporativo de SQL Server:

Cree una cuenta nueva para la cuenta de base de datos del sitio.

- O bien -

Si ya ha creado una cuenta de usuario que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda al sitio cuya cuenta de usuario desea especificar o cambiar.

Systems Management Server 
   ( Site Database (site code - site name) 
    ( Site Hierarchy 
     ( site code - site name

3.

Haga clic con el botón secundario en el sitio y, a continuación, haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades del sitio, haga clic en la ficha Cuentas y, a continuación, haga clic en Establecer.

5.

En el cuadro de diálogo Cuenta de SQL Server, especifique una cuenta y contraseña existentes de base de datos del sitio.

6.

Especifique el nombre y la contraseña de la cuenta de usuario que creó en el administrador corporativo de SQL Server.

- O bien -

Si ya ha creado una cuenta de usuario que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Para obtener un nivel de fiabilidad mayor, use el restablecimiento del sitio para cambiar la contraseña de la cuenta de base de datos del sitio. Si su organización cuenta con sitios en varios puntos geográficos, no es necesario que esté presente físicamente en cada servidor para realizar este cambio. Puede utilizar las herramientas remotas o la distribución de software SMS.

Si desea modificar la cuenta de usuario para la cuenta de base de datos del sitio mediante el restablecimiento del sitio:

1.

En el administrador corporativo de SQL Server, cambie el nombre o la contraseña (o ambos) de la cuenta de usuario existente para la cuenta de base de datos del sitio.

2.

Inicie el asistente de configuración de SMS.

3.

En la página Opciones de configuración, haga clic en Modificar o restablecer la instalación actual.

4.

En la página de seguridad integrada para la base de datos del sitio SMS, cambie la cuenta de usuario para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación o modificación de la cuenta de acceso a red de cliente avanzado

Los clientes avanzados pueden usar la cuenta de acceso a red de cliente avanzado para acceder a carpetas compartidas de red en servidores ajenos a SMS. Si tiene habilitada la opción de bloqueo de cuenta, puede reciclar la cuenta para reducir el riesgo de que se bloquee; cree una cuenta nueva antes de eliminar la antigua.

Para crear o modificar una cuenta de acceso a red de cliente avanzado:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de acceso a red de cliente avanzado nueva.

- O bien -

Si ya ha creado una cuenta de acceso a red de cliente avanzado que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda a Configuración de componentes.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name 
       ( Site Settings 
        ( Component Configuration

3.

Haga clic en Configuración de componentes.

4.

En el panel de detalles, haga clic con el botón secundario en Distribución de software y, a continuación, haga clic en Propiedades.

5.

En el cuadro de diálogo Propiedades de distribución de software, haga clic en la ficha General y, a continuación, haga clic en Establecer en el cuadro Cuenta de acceso a red de cliente avanzado.

6.

En el cuadro de diálogo Cuenta de usuario de Windows:

Especifique el nombre y la contraseña de la cuenta de acceso a red de cliente avanzado que creó en el sistema operativo.

- O bien -

Si ya ha creado una cuenta de acceso a red de cliente avanzado que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación o modificación de la cuenta de conexión de cliente

SMS crea y mantiene una cuenta de conexión de cliente (SMSClient_códigositio) para cada CAP pero, para conseguir mejoras en seguridad, integridad del sitio y tolerancia a errores, se recomienda que cree cuentas de conexión de cliente adicionales.

Para crear o modificar la cuenta de conexión de cliente:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de conexión de cliente nueva.

- O bien -

Si ya ha creado una cuenta de conexión de cliente que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda a Cliente.

Systems Management Server 
   ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name 
       ( Site Settings 
        ( Connection Accounts 
         ( Client

3.

Haga clic en Cliente con el botón secundario, elija Nueva y, a continuación, haga clic en Windows.

4.

En el cuadro de diálogo Propiedades de cuenta de conexión, haga clic en la ficha Establecer.

5.

En el cuadro de diálogo Cuenta de Windows:

Especifique el nombre y la contraseña de la cuenta de conexión de cliente que creó.

- O bien -

Si ya ha creado una cuenta de conexión de cliente que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Creación de cuentas de conexión de cliente adicionales para evitar clientes heredados huérfanos

Al crear cuentas de conexión de cliente SMS adicionales, asegúrese de que hay varias cuentas válidas para cada dominio en que residen clientes. Las ventajas de tener múltiples cuentas se convierten en obvias cuando cada cliente dispone de varias cuentas válidas disponibles. Por ejemplo, si crea cuatro cuentas de conexión de cliente pero cada cuenta es válida únicamente para los clientes de un dominio, no se evita que los clientes en otros dominios puedan bloquearse.

El procedimiento siguiente le ayudará a garantizar el mantenimiento de dos cuentas de conexión de cliente válidas de forma permanente. Impleméntelo en cada dominio que incluya una cuenta de conexión de cliente utilizada por clientes en el sitio. A continuación se describe el proceso para crear tres cuentas de conexión de cliente nuevas y, seguidamente, el ciclo de creación de cuentas nuevas adicionales y eliminación de las cuentas antiguas. Mediante la creación de tres cuentas nuevas, la inclusión de una cuenta adicional y la eliminación de una cuenta antigua se garantiza que dos cuentas válidas permanecen disponibles durante el mantenimiento de cuentas: la cuenta nueva y la antigua. La cuenta antigua permite que los clientes que se han conectado tras permanecer desconectados durante cierto tiempo dispongan de una cuenta y contraseña válidas.

note.gif  Nota
El plazo de tiempo desde que se agrega una cuenta nueva hasta que se elimina una cuenta antigua en un ciclo de tres cuentas debería ser un tercio de la antigüedad máxima de la contraseña establecida en el sistema operativo. En este procedimiento, el tiempo que puede transcurrir entre la inclusión y la eliminación de cuentas es dos semanas (un tercio de 42 días, que es la antigüedad máxima predeterminada de la contraseña).

Para completar el ciclo de cuentas de conexión de cliente:

1.

Inicie Windows NT User Manager for Domains o Active Directory Users and Computers y cree las tres cuentas siguientes:

SMSClient_00001

SMSClient_00002

SMSClient_00003

(Mediante el uso del formato SMSClient_XXXXX para el nombre de las cuentas se garantiza la disponibilidad de una capacidad de cuentas suficiente.)

2.

Cree las mismas cuentas en la consola de administración de SMS.

Para obtener detalles sobre la creación de cuentas de conexión de cliente en la consola de administración de SMS, consulte la ayuda del administrador de Systems Management Server.

3.

Una vez transcurridas dos semanas desde la creación de las tres primeras cuentas, cree una cuarta, SMSClient_00004, en Windows NT® User Manager for Domains o Active Directory® Users and Computers y en la consola de administración de SMS.

4.

Elimine la cuenta más antigua, SMSClient_00001, de Windows NT® User Manager for Domains o Active Directory® Users and Computers, así como de la consola de administración de SMS.

5.

Una vez transcurridas dos semanas desde la eliminación de la cuenta más antigua, incluya una cuenta nueva, SMSClient_00005, para Windows NT® User Manager for Domains o Active Directory® Users and Computers y la consola de administración de SMS.

6.

Elimine la cuenta más antigua, SMSClient_00002, en Windows NT® User Manager for Domains o Active Directory® Users and Computers y también en la consola de administración de SMS.

Realice este ciclo cada dos semanas por medio de la creación de una cuenta nueva con un número cada vez mayor en el nombre de la cuenta (SMSClient_0001, SMSClient_0002, etc.) y la eliminación de la cuenta de la serie más antigua. Recuerde agregar y eliminar la cuenta tanto en Windows NT User Manager for Domains o Active Directory Users and Computers como en la consola de administración de SMS.

Creación o modificación de la cuenta de instalación de software de cliente heredado

La creación de la cuenta de instalación de software de cliente heredado sirve para proporcionar el contexto de seguridad que pueden requerir determinados programas anunciados cuando se ejecutan en clientes heredados. Esta cuenta se necesita únicamente cuando un programa anunciado debe disponer de acceso a un recurso de red que no se encuentra bajo la administración de SMS y no está disponible para la cuenta con que se ejecuta el programa (la cuenta de usuario conectado actualmente o de token de usuario de cliente). La cuenta de instalación de software cliente se crea tanto en Windows NT User Manager for Domains o Active Directory Users and Computers como en la consola de administración de SMS. Si cambia la contraseña para esta cuenta, deberá cambiarla en ambas ubicaciones.

Para crear o modificar la cuenta de instalación de software de cliente heredado:

1.

En Windows NT User Manager for Domains o Active Directory Users and Computers:

Cree una cuenta de instalación de software cliente nueva.

- O bien -

Si ya ha creado una cuenta de instalación de software de cliente heredado que desea modificar, cambie el nombre o la contraseña (o ambos) de la cuenta existente.

2.

En la consola de administración de SMS, acuda a Configuración de componentes.

Systems Management Server 
    ( Site Database (site code - site name) 
     ( Site Hierarchy 
      ( site code - site name 
       ( Site Settings 
        ( Component Configuration

3.

Haga clic en Configuración de componentes.

4.

En el panel de detalles, haga clic con el botón secundario en Distribución de software y, a continuación, haga clic en Propiedades.

5.

En el cuadro de diálogo Propiedades de distribución de software, haga clic en la ficha General y, a continuación, haga clic en Establecer en el cuadro de Cuenta de instalación de software de cliente heredado.

6.

En el cuadro de diálogo Cuenta de usuario de Windows:

Especifique el nombre y la contraseña de la nueva la cuenta de instalación de software cliente que creó en el sistema operativo.

- O bien -

Si ya ha creado una cuenta de instalación de software cliente que desea modificar, cambie la cuenta para usar el mismo nombre y la contraseña que especificó en el paso 1.

Modificación de pertenencia a grupos de SMS

SMS mantiene automáticamente la pertenencia a algunos grupos de SMS. En caso de que una cuenta no se agregue a un grupo automáticamente, inclúyala de forma manual. Las operaciones SMS pueden fallar a menos que las cuentas sean miembros de los grupos apropiados.

Inclusión en grupos de las cuentas de equipo

Si necesita incluir una cuenta de equipo (nombreequipo$) en un grupo local o un grupo local de dominio en Windows Server 2003, puede modificar el selector de objetos para que elija cuentas de equipo o usar la utilidad de línea de comandos net localgroup. Si necesita incluir una cuenta de equipo en un grupo local o un grupo local de dominio en Windows 2000 Server, solamente puede utilizar el símbolo del sistema.

Para incluir una cuenta de equipo en un grupo mediante la interfaz de Windows:

1.

En el panel de detalles de Administración de equipos (servidor miembro) o Active Directory Users and Computers (controlador de dominio), haga clic con el botón secundario en el grupo y, a continuación, haga clic en Propiedades.

2.

Haga clic en la ficha General (servidor miembro) o en la ficha Miembros (controlador de dominio) y luego en Agregar.

3.

En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en Tipos de objetos.

4.

En el cuadro de diálogo Tipos de objetos, seleccione Equipos y, a continuación, haga clic en Aceptar.

5.

En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar, teclee nombreequipo$, donde nombreequipo es el nombre del equipo que desea añadir al grupo.

6.

Haga clic en Aceptar.

7.

Se cerrará el cuadro de diálogo Seleccionar usuarios, equipos o grupos. Compruebe que el equipo aparece en la lista.

note.gif  Nota
Cuando se establece un equipo como tipo de objeto que puede seleccionarse, su estado como tipo de objeto es sólo temporal y se habrá anulado la próxima vez que se disponga a agregar una cuenta. Si necesita agregar otra cuenta de equipo, repita estos pasos para seleccionar el tipo de objeto correcto.

Para incluir una cuenta de equipo en un grupo por medio del símbolo del sistema:

Puede agregar cuentas de equipo a un grupo de dominio o un grupo local de otro equipo mediante el comando siguiente:

Net localgroup <group> <domain name>\<computer name>$ /ADD

Por ejemplo, el comando siguiente sirve para agregar un equipo llamado Dublin, miembro del dominio NWTRADERS, al grupo de conexión de sistema del sitio al servidor del sitio en el dominio ABC:

Net localgroup SMS_SiteSystemToSiteServerConnection_ABC NWTRADERS\DUBLIN$ /ADD

Si no especifica un contexto de dominio para la cuenta de equipo, de forma predeterminada se utilizará el dominio actual.

Administración de certificados SMS

Para obtener más información sobre estas tareas, consulte el Apéndice B: infraestructura de certificados SMS.

Transferencia manual de claves del sitio

Los pares de claves pública/privada se generan en cada servidor del sitio durante la configuración del sitio en cuestión. El valor de la clave privada se muestra únicamente para el sistema operativo del servidor del sitio. Si ejecutan SMS 2.0 SP5 o una versión posterior, los sitios intercambian archivos de forma automática durante el establecimiento de una relación entre sitio principal y secundario.

Si ha ampliado el esquema de Active Directory y SMS cuenta con permisos de publicación en Active Directory, los sitios verifican su validez a través de la lectura de claves públicas en Active Directory. El atributo serviceBindingInformation de objetos mSSMSSite sirve para almacenar la clave pública de cada sitio. La escritura de claves públicas en Active Directory requiere derechos importantes, lo que garantiza que el sitio es un sitio autorizado. Este método de intercambio de claves se lleva a cabo automáticamente pero requiere que Active Directory y la cuenta utilizada para configurar los sitios dispongan de los derechos necesarios para escribir en los objetos de Active Directory. El intercambio de claves automático entre bosques no funciona. Si tiene una jerarquía de sitios que abarca bosques, no ha ampliado el esquema de Active Directory o SMS no dispone de permisos de publicación en Active Directory, la transferencia de claves entre los sitios principal y secundario tendrá que llevarse a cabo de forma manual.

Esto se consigue mediante la ejecución de la herramienta Preinst.exe de SMS con los conmutadores apropiados y, seguidamente, la copia de los archivos generados a través del uso de una cuenta administrativa. La tabla E.1 enumera los conmutadores de Preinst.exe relevantes. Preinst.exe se encuentra en el directorio \SMS\bin\i386\<código idioma> del servidor del sitio SMS 2003 o SMS 2.0 SP5.

Tabla E.1   Conmutadores de Preinst.exe para el intercambio de claves del sitio

ClaveFinalidadCómo se usa

/KEYFORPARENT

Vuelque la clave pública de este sitio en el archivo <códigositio>.ct4 en la raíz de la unidad de SMS.

Copie el archivo en la bandeja de entrada hman.box del sitio principal (no en hman.box\pubkey).

/KEYFORCHILD

Vuelque la clave pública de este sitio en el archivo <códigositio>.ct5.

Copie el archivo en la bandeja de entrada hman.box del sitio secundario.

/CHILDKEYS

Vuelque la clave pública de todos los sitios secundarios en el archivo <códigositio>.ct6.

Copie el archivo en la bandeja de entrada hman.box de los sitios principales.

/PARENTKEYS

Vuelque la clave pública de todos los sitios principales en el archivo <códigositio>.ct7.

Copie el archivo en la bandeja de entrada hman.box de los sitios secundarios.



©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft