Las cuentas de SMS y nuestras mejores prácticas

  • Article

Las cuentas de SMS y nuestras mejores prácticas

Por: Ricardo Gomez Rey

Cuando instalamos SMS y abrimos la consola para administrar los grupos, encontramos muchos que grupos que a veces no sabemos para que los debamos utilizar, sin mencionar que SMS tiene muchas partes donde configurar cuentas para diferentes operaciones, como comunicación entre sites, instalación de programas, instalación de clientes entre otros.

Es muy importante que entandamos el porque de estas cuentas, los grupos que se crean y sus passwords como se deben administrar ya que esta es la base para que fluya la comunicación entre todos elementos de SMS desde los clientes hasta los servidores de SMS, su replicación e inclusive los reportes.

Para que nos quede mas fácil, vamos a dividir al explicación en Usuarios y Grupos, dentro de los usuario les quedare debiendo las recomendaciones para los Clientes legacy ya que esto hará parte de una próxima entrega para nuestro blog, al igual que la parte de grupos.

Usuarios

Cuenta de instalación de SMS

Esta es la cuenta con la que debemos instalar SMS. Para que podamos instalar correctamente SMS esta cuenta debe tener permisos de administrador local y debe tener credenciales como un Usuario del Dominio. Otra consideración que se debe tener es que esta cuenta debe tener también permisos de administrador sobre el computador de SQL donde vaya a estar la base de datos si esta no es local.

Tip: Nunca instalen SMS con un usuario local de la maquina, cuando este tipo de instalación les parecerá que instalo correctamente, pero cuando intenten entrar a la consola les fallará.

Instalación del cliente a través del método push

Esta es la cuenta que utiliza SMS para la instalación del cliente en los diferentes computadores de su organización. Para que el cliente pueda ser instalado necesita tener permisos administrativos sobre la maquina que se vaya a instalar.

Una de las malentendidos que a veces tienen los administradores de SMS es que como en todos los documentos dicen que deben tener permisos locales sobre las maquinas, entonces colocan la cuenta como Domain admin, ya q este grupo dentro del dominio tiene derecho sobre todas las maquinas, pero en realidad la recomendación es que no sea Domain admin, ya que esto podría causar una falla de seguridad.

En vez de esto se puede crear un grupo global y adicionar este grupo dentro de los administradores locales de las maquinas. Para mayor seguridad se podria crear varias cuentas de instalación de ciente y asignar esta cuenta a pequeños grupos de maquinas. Al configurar la cuenta se debe probar que tenga acceso como administrador a la maquina ya que en caso de falla el proceso ira instalar el cliente con la cuenta de servicio de SMS.

Site Adress

La cuenta de Site Address establece la comunicación y transfiere información entre los padres y sitios hijos. Los sitios padres usan esta cuenta para transferir datos administrativos como paquetes o data de las colecciones, los sitios hijos usan esta cuenta para transferir información como datos del inventario, nuevos registros descubiertos o mensajes de estado. Esta cuenta debe tener permisos de lectura, escritura, ejecutar y borrar en el fólder de SMS\Inbox\Despoolr.box\Receive en el servidor de destino.

En una próxima entrega les hablare de los grupos que tienen cuando instalan SMS pero por ahora, la cuenta de site Address debe ir en un grupo que se llama Site Connection Group, en el servidor de destino, el cual tiene permisos sobre la carpeta antes mencionada, es muy importante que no se coloquen los permisos directamente sobre la carpeta.

Si se esta usando Standard security y se quiere instalar o desinstalar un sitio secundario, esta cuenta debe estar dentro del grupo de los administradores locales.

En cuanto a las mejores prácticas no se debe usar la cuanta de servicio de SMS, cuando se usa Standard Secuirty se debe especificar una cuenta con pocos permisos, y para cuando se usa advanced secuirty, se debe usar la cuenta del computador del sitio a no ser que sean forest no seguros.

En próximas entregas estaremos explicando un poco acerca de las cuentas de IIS, Base de datos, las cuentas que tiene que ver con el cliente avanzado y legacy y por supuesto de los grupos que son muy importantes para el buen funcionamiento de SMS