Informationen zum Internetgastkonto in Configuration Manager

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung – November 2007

Beim Zugriff auf Inhalte ohne Windows-Authentifizierung wird das Internetgastkonto „IUSR_<computername>“ von Microsoft System Center Configuration Manager 2007-Clients für den anonymen Zugriff auf BITS-fähige Verteilungspunkte verwendet. Im einheitlichen Modus werden Configuration Manager 2007-Clientcomputer beispielsweise durch ihre PKI-Zertifikate authentifiziert. Da das PKI-Zertifikat keinem Benutzer- oder Computerkonto zugeordnet ist, verwenden Configuration Manager 2007-Clients im einheitlichen Modus, die über HTTP auf Inhalte zugreifen, den anonymen Zugriff über das Internetgastkonto. (Wenn der Verteilungspunkt nicht BITS-fähig ist, oder wenn der Client nicht über HTTP auf die Inhalte zugreifen kann, kann er auf die Verwendung von Server Message Blocks (SMB) zurückgreifen. In dem Fall verwenden Clients die Windows-Authentifizierung.) Wenn Clients für mobile Geräte außerdem Zugriff auf Verteilungspunktinhalte benötigen, liegt für die mobilen Geräte kein Sicherheitskontext vor. Configuration Manager 2007 muss ihnen daher anonymen Zugriff unter Verwendung der virtuellen Verzeichniskonfiguration gewähren.

Erforderliche Rechte und Berechtigungen

Wenn der Verteilungspunkt so konfiguriert ist, dass Clients für mobile Geräte anonymen Zugriff erhalten, muss „IUSR_<computername>“ Zugriff auf das Paket haben. Anderenfalls kann die Ankündigung nicht auf Clients für mobile Geräte ausgeführt werden.

Wenn Sie internetbasierte Clients unterstützen, tritt bei dem Paket ein Fehler auf, wenn das IUSR-Konto nicht über NTFS-Berechtigungen verfügt. In den meisten Fällen ist dies das gewünschte Ergebnis. Ein Benutzer, der z. B. von einem Heimbüro aus arbeitet und nicht über ein Konto in der Unternehmensdomäne verfügt, kann keinen Sicherheitsgruppen hinzugefügt werden. Wenn Sicherheitsgruppen für die Einschränkung des Zugriffs auf Pakete verwendet werden, ist der Benutzer kein Mitglied und erhält keine NTFS-Berechtigungen für das Paket. Der Paketzugriff muss anonym erfolgen, wenn der Benutzer Zugriff auf das Paket erhalten soll. Dem Client wird nur dann anonymer Zugriff gewährt, wenn er ein gültiges Clientauthentifizierungszertifikat vorlegt.

Wichtig

Internetbasierte Clients müssen Zertifikate für die Authentifizierung verwenden und das Paket dann unter anonymen Zugriff herunterladen, damit eine Zugriffsbeschränkung für Benutzer oder Gruppenkonten nicht von den Paketzugriffskonten ausgehen kann.

Wenn Sie das Internetgastkonto aus der Benutzergruppe entfernen oder die Benutzergruppe als Paketzugriffskonto entfernen, können Sie das Internetgastkonto dem Paket explizit als Paketzugriffskonto und mit den für den Zugriff auf das Paket erforderlichen Berechtigungen hinzufügen. Überprüfen Sie zunächst, dass dieser Vorgang zu den gewünschten Ergebnissen führt und mit Ihren Sicherheits- und Paketzugriffsrichtlinien übereinstimmt.

Wichtig

Standardmäßig erhält das Internetgastkonto Rechte für Internetinformationsdienst (Internet Information Services, IIS)-Ressourcen, beispielsweise virtuelle Verzeichnisse. Ein Entfernen der Standardberechtigungen für von Configuration Manager 2007 verwendete IIS-Ressourcen aus dem Internetgastkonto könnte zu Fehlern bei Configuration Manager 2007-Vorgängen führen und wird nicht unterstützt.

Konto- und Kennworterstellung

Das Konto wird bei der Installation von IIS automatisch erstellt. Das Kennwort wird vom Server bestimmt und läuft nie aus.

Kontospeicherort

Das Konto wird auf allen Servern erstellt, wobei IIS bereits installiert ist.

Kontowartung

Wenn das IUSR-Konto wegen eines manuellen Entfernungsversuchs von IIS oder eines fehlgeschlagenen Versuchs zum Zurücksetzen des Kennworts nicht mehr synchronisiert ist, ist ein manuelles Zurücksetzen möglich. Das Kennwort ist in der IIS-Metabasis und in der Kontodatenbank gespeichert (in Active Directory-Domänendiensten, wenn IIS sich auf einem Domänencontroller oder der lokalen Kontodatenbank eines Mitgliedsservers befindet). Wenn Sie das Kennwort in der Benutzeroberfläche ändern, sollten Sie das IUSR-Kennwort mithilfe von Metabase Explorer in „metabase.xml“ oder „metabase.bin“ zurücksetzen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=102502 (möglicherweise in englischer Sprache).

Siehe auch

Konzepte

Beispielszenarien für den Paketzugriff

Andere Ressourcen

Von Configuration Manager verwendete Windows-Konten

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com