Für die SCCM Client Push Installation wird ein Benutzeraccount benötigt, das auf den Zielgeräten über lokale administrative Rechte verfügt. Zu diesem Zwecke empfehle ich generell das Vorgehen, dass im Active Directory ein Dienstaccount angelegt wird, diesem über eine GPO lokale Administratorrechte auf den Geräten zugewiesen und dieser Account dann im SCCM verwendet wird.
Der SCCM 2012 Client Push Account im Active Directory
Erste notwendige Vorbereitung ist die Erstellung eines Accounts im Active Directory:
Da es sich hier um einen Dienstaccount handelt, sollte dieser sein Kennwort nicht ändern müssen.
Aus Sicherheitsgründen sei darauf hingewiesen, dass es Aufgabe des Sicherheitskonzeptes ist, die Kennwörter von Dienstaccounts regelmäßig zu ändern und entsprechend nachzupflegen.
Zuweisung von lokalen administrativen Rechten für den Client Push Account
Ich empfehle hier den Weg über die Gruppenrichtlinienvorgaben und entscheide mich bewusst dafür, hier keine aktuellen Mitgliedschaften zu löschen.
Die Einstellungen werden hier gefunden: Computerkonfiguration | Einstellungen | Systemsteuerungseinstellungen | Lokale Benutzer und Gruppen.
Hier füge ich das erzeugte Dienstkonto der lokalen Gruppe Administratoren zu:
Die GPO mit der Zuweisung des SCCM Client Push Accounts zu der Gruppe der lokalen Administratoren wird auf die entsprechende Client OU verknüpft.
Nach Anwendung der GPO ist der SCCM Client Push Account der Gruppe hinzugefügt worden. Hier das Beispiel aus meiner Test Umgebung:
Verwendung des SCCM Client Push Accounts in der ConfigMgr Konsole
Der SCCM Client Push Account wird in der Konsole an folgender Stelle konfiguriert:
Verwaltung | Übersicht | Standortkonfiguration | Standorte | Standort | Clientinstallationseinstellungen | Clientpushinstallation
Im Anschluss daran kann die Client Push Methode eingesetzt und verwendet werden. Der Client Push kann manuell für jedes entdeckte Gerät ausgeführt, oder voll automatisiert nach Entdeckung eines neuen Clients durch den SCCM gestartet werden.
