⏱ Temps de lecture estimé : 3 minutes

Ce guide s’adresse aux petites et moyennes entreprises souhaitant mettre en place une infrastructure MECM (anciennement SCCM) sur un seul serveur, afin de gérer efficacement leurs postes (déploiement d’applications, mises à jour, inventaire…).

⚠️ Ce déploiement est destiné à des petits et moyens environnements. Pour un usage en production à grande échelle, une architecture distribuée est recommandée.

✅ Objectifs

  • Installer MECM avec un niveau de sécurité renforcé
  • Héberger tous les rôles MECM sur un seul serveur

🖥️ 1. Configuration requise du serveur MECM

ÉlémentRecommandation sécurité
OSWindows Server 2022 Standard
Rôle serveurUniquement MECM (pas contrôleur de domaine)
RAM16–32 Go
StockageDisque dédié pour SQL (min. 100 Go)
DomaineIntégré à l’Active Directory

🧩 2. Création des comptes de service requis

Afin de renforcer la sécurité de votre infrastructure MECM, il est recommandé de séparer les usages en créant plusieurs comptes dédiés.

Nom du compteTypeUtilisation principaleRecommandations de sécurité
svc_mecmUtilisateur ADExécution des services MECMAdmin local sur le serveur MECM, SQL sysadmin
gmsa_sql_mecm$gMSAExécution du service SQL ServerAucun mot de passe, SPN configuré pour Kerberos
svc_mecm_push (optionnel)Utilisateur ADDéploiement du client SCCM à distanceAdmin local sur les postes, désactiver hors usage
svc_mecm_networkaccess (optionnel)Utilisateur ADTéléchargement initial des clients SCCMLecture seule, pas d’accès interactif

%fixme : ADD svc_mecm_domainjoin

💡 Attention : certains usages comme le svc_mecm_push peuvent introduire des vulnérabilités s’ils ne sont pas correctement encadrés.

🎯 Détail des comptes, usages et risques associés

🔸 svc_mecm – Compte principal de MECM

Ce compte est utilisé pour exécuter les services internes de MECM (comme SMS_EXECUTIVE, SMS_SITE_COMPONENT_MANAGER, etc.).

  • Admin local requis sur le serveur MECM
  • Rôle sysadmin sur SQL Server
  • Contrôle total sur le conteneur AD System Management

🔸 gmsa_sql_mecm$ – Compte gMSA pour SQL Server

Ce compte est utilisé par le service SQL Server pour fonctionner de manière sécurisée.

  • Aucune gestion de mot de passe (rotation automatique via gMSA)
  • Authentification Kerberos via SPN (MSSQLSvc/serveur.domaine:1433)
  • Ne nécessite aucun droit dans l’Active Directory

🔸 svc_mecm_push – Compte de déploiement client (optionnel mais recommandé)

Permet à MECM :

  • D’installer automatiquement le client SCCM à distance
  • D’exécuter des scripts distants sur les machines clientes ou serveurs

⚠️ Risques :

  • Doit être administrateur local sur tous les postes cibles
  • En cas de compromission, un attaquant pourrait prendre le contrôle total du parc
  • Susceptible d’être utilisé pour du mouvement latéral

✅ Bonnes pratiques :

  • Créer un compte dédié uniquement à cette fonction
  • Le désactiver hors période de déploiement
  • Restreindre son usage via GPO (ex : scope de machines)
  • Auditer régulièrement les connexions
  • Utiliser un modèle de tiering : un compte push par niveau (T0 / T1 / T2)

📎 Recommandation officielle Microsoft :
“For greater security, create multiple client push installation accounts, each with administrative access to a limited number of computers. If one account is compromised, only the client computers to which that account has access are compromised.”
Source – Microsoft Docs

🔸 svc_mecm_networkaccess – Compte d’accès au partage réseau (optionnel)

Ce compte est utilisé lorsque :

  • Le poste n’est pas encore joint au domaine
  • Le client SCCM n’est pas encore installé
  • Le poste démarre via PXE, MDT, ou Task Sequence

⚠️ Risques :

  • Peut servir de point d’entrée réseau si mal configuré
  • Difficilement traçable s’il n’est pas audité correctement

✅ Bonnes pratiques :

  • Lecture seule uniquement sur \\MECM\SMS_<site>\Client
  • Interdiction de connexion interactive (via GPO)
  • Mot de passe long, usage restreint
  • Ne doit jamais être administrateur local
  • Activer l’audit des accès réseau (via Object Access dans les GPO)