Informationen zum Paketzugriffskonto
Letzte Aktualisierung: Juli 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Paketzugriffskonten sind eigentlich keine Konten. Sie ermöglichen Ihnen das Festlegen von NTFS-Berechtigungen zum Angeben der Benutzer und Benutzergruppen, denen Sie den Zugriff auf den Paketordner gestatten möchten. Standardmäßig gewährt Microsoft System Center Configuration Manager 2007 nur den allgemeinen Zugriffskonten „Benutzer“ und „Administratoren“ Zugriff. Der Administrator kann jedoch den Zugriff für Clientcomputer durch den Einsatz von zusätzlichen Windows-Konten oder -Gruppen steuern.
Hinweis
Unter Mobile Geräteverwaltung befindet sich zwar ein Knoten Zugriffskonten, die Geräte rufen jedoch den gesamten Paketinhalt anonym ab, sodass die Zugriffskonten vom Gerät nicht verwendet werden.
Erforderliche Rechte und Berechtigungen
Standardmäßig erteilt Configuration Manager 2007 beim Erstellen der Paketfreigabe auf einem Verteilungspunkt für die lokale Gruppe „Benutzer“ Lesezugriff und für die Gruppe „Administratoren“ Vollzugriff. Die tatsächlich erforderlichen Berechtigungen hängen vom jeweiligen Paket ab.
Clients in Arbeitsgruppen oder nicht vertrauenswürdigen Gesamtstrukturen verwenden das Netzwerkzugriffskonto zum Zugriff auf den Paketinhalt. Stellen Sie anhand der definierten Paketzugriffskonten sicher, dass das Netzwerkzugriffskonto über Berechtigungen für das Paket verfügt.
Konto- und Kennworterstellung
Das Konto wird nicht automatisch erstellt. Der Configuration Manager 2007-Administrator erstellt die Konten oder Gruppen oder verwendet vorhandene Konten oder Gruppen.
Kontospeicherort
Das Konto muss in einer Domäne erstellt werden, in der es auf die Verteilungspunkte zugreifen kann.
Kontowartung
Der Administrator ändert das Konto oder Kennwort im Betriebssystem und konfiguriert anschließend Configuration Manager 2007 für die Verwendung des neuen Kontos oder Kennworts. Nach der Änderung des Zugriffskontos muss der Administrator das Paket aktualisieren. Beim Aktualisieren des Pakets werden die NTFS-Berechtigungen für das Paket nicht geändert.
Bewährte Sicherheitsmethoden
Konfigurieren Sie die Paketzugriffsberechtigungen so, dass nur autorisierte Installationsprogramme der Software Zugriff auf die Dateien auf den Verteilungspunkten haben.
Wenn die Clients dem Standort beigetreten sind, können sie alle Softwareverteilungen empfangen, die am Standort verfügbar sind und für die der Computer oder Benutzer den Anforderungen der relevanten Sammlungen entspricht. Aus diesem Grund sollte Software, die auf bestimmte Benutzer begrenzt sein soll, auf Paketzugriffsebene für diese Benutzer geschützt werden, anstatt sie durch Standortverfügbarkeit oder Sammlungskriterien zu begrenzen.
Wichtig
In manchen Fällen kann das Entfernen der Benutzergruppe als Paketzugriffskonto zu Fehlern bei der Softwareverteilung führen. Wenn sich der Verteilungspunkt an einem Standort im einheitlichen Modus befindet, müssen Sie als Paketzugriffskonto IUSR_<Computername> mit den für den Paketzugriff erforderlichen Berechtigungen hinzufügen. Ist ein Verteilungspunkt so konfiguriert, dass er den anonymen Zugriff für Clients mobiler Geräte zulässt, müssen Sie zudem das Konto „Internetgast“ als Paketzugriffskonto hinzufügen.
Änderungen an den Zugriffskonten für die Paketdateien (im Gegensatz zu den Freigabeordnern von Verteilungspunkten) werden nur wirksam, wenn Sie das Paket aktualisieren. Daher sollten Sie die Paketzugriffsberechtigungen beim Erstellen des Pakets sorgfältig festlegen. Dies gilt insbesondere bei einem umfangreichen Paket, wenn das Paket an viele Verteilungspunkte verteilt wird oder wenn die Netzwerkkapazität für Paketverteilungen begrenzt ist.
Das Netzwerkzugriffskonto muss nicht als Paketzugriffskonto hinzugefügt werden, da es Mitglied von „Benutzer“ und damit standardmäßig eingeschlossen ist. Außerdem wird durch Einschränken des Paketzugriffskontos auf das Netzwerkzugriffskonto nicht verhindert, dass Clients auf das Paket zugreifen, da Configuration Manager 2007-Clients die Verwendung des Netzwerkzugriffskontos bei Bedarf anfordern können.
Siehe auch
Tasks
Löschen eines Paketzugriffskontos
Ändern eines Paketzugriffskontos
Angeben eines Paketzugriffskontos
Konzepte
Informationen zum Netzwerkzugriffskonto
Informationen zu Paketen
Dialogfeld „Allgemeines Konto“
Dialogfeld „Windows-Konto“
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com