Informationen zum Netzwerkzugriffskonto

Letzte Aktualisierung: Juni 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007-Clientcomputer verwenden zum Ausführen der meisten Configuration Manager 2007-Clientvorgänge auf dem Computer das lokale Systemkonto. Dieses Konto hat jedoch keinen Zugriff auf Netzwerkressourcen. Wenn der Clientcomputer auf einen Verteilungspunkt zugreift, um ein Paket auszuführen, z. B. ein Betriebssystembereitstellungspaket, greift er über das Konto Computername$ auf Ressourcen in einer vertrauenswürdigen Active Directory-Domäne zu. Das Netzwerkzugriffskonto steht für Situationen zur Verfügung, in denen Configuration Manager 2007-Clients aus Arbeitsgruppen oder nicht vertrauenswürdigen Domänen Zugriff auf Ressourcen in der Domäne des Standortservers benötigen. Dieses Konto wird möglicherweise auch bei der Betriebssystembereitstellung benötigt, da der Computer, der das Betriebssystem empfängt, über keinen Sicherheitskontext verfügt, über den er auf Inhalt im Netzwerk zugreifen kann.

Wichtig

Das Netzwerkzugriffskonto wird nie als Sicherheitskontext für die Ausführung von Programmen, Installation von Softwareupdates oder Ausführen von Tasksequenzen verwendet, sondern nur für den Zugriff auf Ressourcen im Netzwerk.

Erforderliche Rechte

Dieses Konto sollte über die erforderlichen Mindestberechtigungen für den Zugriff auf Inhalt der Softwareverteilung oder der Betriebssystembereitstellung verfügen. Das Konto muss über das Netzwerk auf den Verteilungspunkt oder einen anderen Server zugreifen können, auf dem der Paketinhalt gespeichert ist.

Da nur ein Netzwerkzugriffskonto pro Standort erstellt werden kann, muss dieses Konto für alle Pakete und Tasksequenzen funktionsfähig sein, für die es benötigt wird.

Szenarien für die Softwareverteilung

Welches Konto zum Herstellen einer Verbindung mit dem Inhalt und welches zum Ausführen des Programms verwendet wird, hängt von der Konfiguration des Programms und der Ankündigung ab.

Hinweis

Das Programm wird immer in dem vom Administrator in den Programmeigenschaften angegebenen Kontext ausgeführt. Das Netzwerkzugriffskonto wird nie zur Ausführung des Programms verwendet, auch dann nicht, wenn es für den Zugriff auf den freigegebenen Ordner am Verteilungspunkt verwendet wurde.

Ankündigung ist für den Download vom Verteilungspunkt konfiguriert

Programm ist angekündigt für: Programminitiierung Kontenreihenfolge für den Zugriff auf den freigegebenen Ordner des Verteilungspunkts

Benutzer oder Gruppe

Wird vom Benutzer oder nach Zeitplan initiiert

  1. Angemeldeter Benutzer

  2. Netzwerkzugriffskonto

  3. Computername$

  4. Netzwerkzugriffskonto*

Computer

Wird vom Benutzer initiiert

  1. Angemeldeter Benutzer

  2. Netzwerkzugriffskonto

  3. Computername$

  4. Netzwerkzugriffskonto*

Computer

Wird nach Zeitplan initiiert

  1. Computername$

  2. Netzwerkzugriffskonto

* Wenn bei Verwendung des Computername$-Kontexts das Herunterladen des Inhalts nicht gelingt, versucht der Configuration Manager automatisch erneut, das Netzwerkzugriffskonto zu verwenden, auch wenn bei diesem Versuch bereits zuvor ein Fehler aufgetreten ist.

Ankündigung ist für die Ausführung vom Verteilungspunkt konfiguriert

Programmkonfiguration Kontenreihenfolge für den Zugriff auf den freigegebenen Ordner des Verteilungspunkts

Mit Benutzerrechten ausführen

1. Angemeldeter Benutzer

2. Netzwerkzugriffskonto

Mit Administratorrechten ausführen

1. Computername$

2. Netzwerkzugriffskonto

Windows Installer-Datei, zur Ausführung mit Benutzerrechten konfiguriert

Der Configuration Manager 2007-Client versucht, auf den Verteilungspunkt zuzugreifen und die Windows Installer-Anwendung unter Verwendung der folgenden Kontenreihenfolge auszuführen:

1. Angemeldeter Benutzer

2. Netzwerkzugriffskonto

Der Configuration Manager 2007-Client versucht, auf den Verteilungspunkt zuzugreifen und die Windows Installer-Rechte für den Benutzer unter Verwendung der folgenden Kontenreihenfolge zu erhöhen:

1. Computername$

2. Netzwerkzugriffskonto

In vielen Fällen gibt es bei der Installation einer Windows Installer-Datei im Kontext eines Benutzers Komponenten in der Datei, die für die Installation einen administrativen Kontext erfordern. Der Configuration Manager 2007-Client kann die Vorteile der erhöhten Windows  Installer-Rechte nutzen, um die korrekte Installation der Anwendung sicherzustellen. Der Client kann nicht erkennen, ob erhöhte Rechte erforderlich sind. Daher versucht er stets, Windows Installer-Installationen mit erhöhten Rechten auszuführen, unabhängig davon, ob dies für das Programm erforderlich ist oder ob der angemeldete Benutzer ein Administrator ist. Damit erhöhte Rechte verwendet werden können, muss das Konto „Computername$“ oder das Netzwerkzugriffskonto Zugriff auf die Ressource haben. Wenn weder das Konto „Computername$“ noch das Netzwerkzugriffskonto die Berechtigung zum Zugreifen auf den freigegebenen Ordner am Verteilungspunkt hat, wird das Programm weiterhin im Kontext des Benutzers ausgeführt, jedoch nicht mit erhöhten Rechten. Sie erhalten dann die Statusmeldung „10046“, die angibt, dass bei der Ausführung des Windows Installer-Pakets mit erhöhten Rechten ein Fehler aufgetreten ist. Wenn Aktionen in der Windows Installer-Datei Administratorzugriff auf das System erfordern, tritt bei der Installation dann ein Fehler auf.

Wenn eine Verbindung mit dem freigegebenen Ordner des Verteilungspunkts hergestellt ist, wird das Programm, sofern es mit den Benutzerrechten konfiguriert wurde, im Kontext des angemeldeten Benutzers ausgeführt, unabhängig davon, über welches Konto auf die Freigabe zugegriffen wurde. Wurde das Programm mit Administratorrechten konfiguriert, wird es im Kontext des lokalen Systemkontos ausgeführt.

Szenarien für die Betriebssystembereitstellung

Configuration Manager 2007 kann zwar über das Netzwerkzugriffskonto auf Tasksequenzen zugreifen, die auf dem Verteilungspunkt gespeichert sind, das Netzwerkzugriffskonto wird jedoch nur für den Zugriff auf den Inhalt verwendet, nicht aber für das Ausführen der Tasksequenz. Tasksequenzen werden nur im Kontext des lokalen Systemkontos ausgeführt.

Im Gegensatz zu Paketen können Tasksequenzen nur Computern angekündigt werden, nicht Benutzern oder Gruppen.

Wenn Betriebssysteme über Startabbilder bereitgestellt werden, verwendet Configuration Manager 2007 die Windows-Vorinstallationsumgebung (Windows Preinstallation Environment, Windows PE), die kein vollständiges Betriebssystem darstellt. Während Windows PE ausgeführt wird, verwendet der Computer einen automatisch generierten zufälligen Namen und ist kein Mitglied einer Domäne. Sicherheitseinschränkungen verhindern u. U., dass der Computer während der Windows PE-Phase der Tasksequenz auf den Verteilungspunkt zugreift.

Konfiguration der Ankündigung Kontenreihenfolge für den Zugriff auf den freigegebenen Ordner des Verteilungspunkts – Windows PE Kontenreihenfolge für den Zugriff auf den freigegebenen Ordner des Verteilungspunkts – Betriebssystem

Optional

  1. Netzwerkzugriffskonto

  2. Computername$

  1. Netzwerkzugriffskonto

  2. Computername$

  3. Netzwerkzugriffskonto*

Obligatorisch

  1. Netzwerkzugriffskonto

  2. Computername$

  1. Computername$

  2. Netzwerkzugriffskonto

* Wenn bei Verwendung des Computername$-Kontexts das Herunterladen des Inhalts nicht gelingt, versucht der Configuration Manager automatisch erneut, das Netzwerkzugriffskonto zu verwenden, auch wenn bei diesem Versuch bereits zuvor ein Fehler aufgetreten ist.

Konto- und Kennworterstellung

Der Administrator erstellt das Konto und Kennwort in der Datenbank der Active Directory-Domänendienste und konfiguriert dann Configuration Manager 2007 so, dass das Konto in der Configuration Manager 2007-Konsole verwendet wird.

Wichtig

Das Kennwort für das Netzwerkzugriffskonto darf maximal 38 Zeichen lang sein.

Kontospeicherort

Dieses Konto kann in jeder Domäne erstellt werden, die den notwendigen Zugriff auf Ressourcen bereitstellt. Das Netzwerkzugriffskonto muss immer einen Domänennamen enthalten. Pass-Through-Sicherheit wird für dieses Konto nicht unterstützt. Wenn mehrere Domänen vorhanden sind, erstellen Sie das Konto in einer vertrauenswürdigen Domäne.

Kontowartung

Der Configuration Manager 2007-Administrator erstellt und verwaltet das Konto und Kennwort.

Um Kontosperrungen zu vermeiden, sollten Sie das Kennwort für ein vorhandenes Netzwerkzugriffskonto nicht ändern. Erstellen Sie ein neues Konto, und legen Sie fest, dass Configuration Manager 2007 dieses Kontos verwenden soll. Wenn ausreichend Zeit verstrichen ist, so dass alle Clients die neuen Kontodetails empfangen haben, sollte das alte Konto aus den freigegebenen Netzwerkordnern entfernt und gelöscht werden.

Bewährte Sicherheitsmethoden

Erteilen Sie diesem Konto keine Rechte zur interaktiven Anmeldung.

Gewähren Sie diesem Konto nicht das Recht, der Domäne Computer hinzuzufügen. Wenn während einer Tasksequenz Computer der Domäne beitreten müssen, verwenden Sie dafür das Tasksequenz-Editor-Domänenbeitrittskonto.

Vermeiden Sie die Verwendung des Netzwerkzugriffskontos, da dies ein allgemeines Konto ist und zum Gewähren des Zugriffs auf mehrere Pakete verwendet werden kann, einschließlich Pakete, die nicht für alle Benutzer vorgesehen sind. Sollte das Verwenden des Kontos aufgrund von Roaming- oder Arbeitsgruppenumgebungen doch erforderlich sein, weisen Sie die geringstmöglichen Berechtigungen zu. Weisen Sie dem Konto niemals Domänenadministratorrechte zu.

Verwenden Sie wie bei allen Konten niemals leere Kennwörter. Wenn Sie bei der Konfiguration dieses Kontos kein Kennwort in der Configuration Manager 2007-Konsole angeben, wird das Konto nicht gespeichert.

Das Netzwerkzugriffskonto muss nicht als Paketzugriffskonto hinzugefügt werden, da es Mitglied von „Benutzer“ und damit standardmäßig eingeschlossen ist. Außerdem wird durch Einschränken der ACLs eines Pakets auf das Netzwerkzugriffskonto nicht verhindert, dass Clients auf das Paket zugreifen, da Configuration Manager 2007-Clients die Verwendung des Netzwerkzugriffskontos bei Bedarf anfordern können. Wenn Sie den Paketinhalt vor unberechtigten Benutzern schützen möchten, fügen Sie Benutzer oder Gruppen anstatt der gesamten Gruppe „Benutzer“ den Paketzugriffskonten hinzu.

Siehe auch

Tasks

Konfigurieren des Netzwerkzugriffskontos

Konzepte

Informationen zum Paketzugriffskonto

Andere Ressourcen

In der Configuration Manager-Konsole konfigurierte Konten

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com