none
SCCM 2012 OOBM разница между различными AMT аккаунтами. RRS feed

  • Вопрос

  • Поправьте, пожалуйста, если я ошибаюсь.

    Как я понял, со стороны Компьютера есть два аккаунта:

    1. Local MEBx Account - тот, с которым мы заходим в биосе.

    2. Remote MEBx Account - который изначально совпадает с локальным, но после инициализации (provisioning) меняется на рандомный и храниться где-то в недрах sccm.

    Со стороны SCCM есть следующие аккаунты:

    1. MEBx Account - это тот аккаунт, которым станет Local MEBx Account после инициализации

    2. AMT User Accounts - это те кто имеют доступ к OOBM консоли и WebUI. Сюда же входит Remote MEBx Account, но мы не знаем пароля (он рандомный), и через этот аккаунт заходит OOBM консоль, так как у неё есть доступ к базе паролей на SCCM.

    3. AMT Provisioning and Discovery Accounts - это текущий Local MEBx Account (считаем, что компьютер не был инициализирован ещё)

    4. AMT Provisioning Removal Account - это аккаунт, который был настроен, как AMT Provisioning and Discovery Accounts при последней инициализации. И в случае с миграцией мы не знаем этот аккаунт и не можем его узнать (Хранится где-то в биосе на компе, как и Remote MEBx Account). То есть это не один из аккаунтов из пункта 2., опять же считаем, что компьютер инициализировался сторонней утилитой или другим SCCM.

    И такой вот вопрос

    При логине в AMT WebUI после инициализации мы не можем использовать Digest account (например, в Firefox), так как он меняется на Remote MEBx Account и мы не знаем пароль?

Ответы

  • Я так и не понял из обсуждения, нашел ли автор решение с Digest Account'ом. У него там больше проблем с сертификатами (у firefox свое хранилище сертификатов)

    Но судя по всему нет. И моя мысль о том, что по умолчанию создается Remote MEBx Account с паролем, который невозможно вытащить из SCCM, правильная. Надо будет попробовать SCS раз он умеет создавать статические пароли. К тому же он умеет инициализировать AMT версий > 6, в отличии от sccm.

    Вот ещё нашел мануал от HP:

    You can change the MEBx password for the remote system in the WebGUI.
    Changing the password in the WebGUI or a remote console results in two passwords. The new
    password, known as the “remote” MEBx password, only works remotely with the WebGUI or
    remote console. The local MEBx password used to locally access the MEBx is not changed. The
    user has to remember both local and remote MEBx passwords to access the system MEBx locally
    and remotely.
    When the MEBx password is initially set in AMT Setup, the password serves as both the local and
    remote password. If the remote password is changed, then the passwords are out of sync.

    То есть можно зайти в WebUI с доменной учёткой (Integrated Windows Authentication) и добавить еще одного админа. Тогда firefox и IE с выключеной функцией Integrated Windows Authentication будут заходить с новой учеткой.

    Тогда ещё такой вопрос возник:

    можно ли управлять этой страничкой (https://fqdn:16993)? То есть хочеться сделать SSO, или чтобы он сразу переходил на index.htm вместо logon.htm

Все ответы

  • Привет,

    Может обсуждение внизу поможет:

    Problem accessing AMT webgui


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Я так и не понял из обсуждения, нашел ли автор решение с Digest Account'ом. У него там больше проблем с сертификатами (у firefox свое хранилище сертификатов)

    Но судя по всему нет. И моя мысль о том, что по умолчанию создается Remote MEBx Account с паролем, который невозможно вытащить из SCCM, правильная. Надо будет попробовать SCS раз он умеет создавать статические пароли. К тому же он умеет инициализировать AMT версий > 6, в отличии от sccm.

    Вот ещё нашел мануал от HP:

    You can change the MEBx password for the remote system in the WebGUI.
    Changing the password in the WebGUI or a remote console results in two passwords. The new
    password, known as the “remote” MEBx password, only works remotely with the WebGUI or
    remote console. The local MEBx password used to locally access the MEBx is not changed. The
    user has to remember both local and remote MEBx passwords to access the system MEBx locally
    and remotely.
    When the MEBx password is initially set in AMT Setup, the password serves as both the local and
    remote password. If the remote password is changed, then the passwords are out of sync.

    То есть можно зайти в WebUI с доменной учёткой (Integrated Windows Authentication) и добавить еще одного админа. Тогда firefox и IE с выключеной функцией Integrated Windows Authentication будут заходить с новой учеткой.

    Тогда ещё такой вопрос возник:

    можно ли управлять этой страничкой (https://fqdn:16993)? То есть хочеться сделать SSO, или чтобы он сразу переходил на index.htm вместо logon.htm

  • Второй вопрос лучше задать в новой теме

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор