24、ConfigMgr 使用与安全配置全解析

ConfigMgr 使用与安全配置全解析

1. 常见环境问题理解

1.1 DNS 相关要点

在大型多区域环境中，可通过右键单击 DNS 服务器而非区域来启用和配置所有区域的清理功能。但需注意，此操作会影响所有区域，若需要按区域进行精细的清理设置，则不宜采用该方法。

在排查 DNS 问题时，在系统的 HOSTS 文件中创建手动条目可能会很有用，因为可以直接控制系统如何解析特定名称。不过使用后要记得清理，因为本地 HOSTS 文件的优先级高于其他所有名称解析方法。

1.2 管理权限问题

ConfigMgr 主站点服务器需要对自身以及层次结构中其下方的每个服务器拥有完全管理员权限，才能正常工作。通常可通过将计算机对象账户（如 MOL\CM01$）手动添加到本地管理员组来实现，也可使用组策略进行操作，推荐使用组策略，因其可进行集中控制和审计。

在授予账户本地管理员访问权限时，应避免将该账户添加到“Domain Admins”组。虽然该组自动拥有对每个加入域的系统的本地管理员访问权限，但这种方式会赋予账户过多的特权访问权限，甚至可能被视为安全漏洞。

当使用组策略或其他机制配置本地管理员成员资格，且该机制未考虑 ConfigMgr 权限要求时，可能会出现问题。若发生这种情况，或使用策略更改/撤销本地文件系统上的默认权限，站点角色将开始被标记为不健康，内容分发将失败，站点服务器对自身或其他站点服务器发起的任何操作都将出现问题。日志可能会显示明确的“Access denied”错误消息，有助于缩小问题范围。若无法控制环境中基于策略的权限，很难防止此类问题发生，因此相关管理员在生产环境中进行重大更改前，应与 C