Beispielszenarien für den Paketzugriff
Letzte Aktualisierung: November 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Damit eine Softwareverteilung in Microsoft System Center Configuration Manager 2007 vorgenommen werden kann, erstellt Configuration Manager 2007 ein Paket, ein Programm und eine Ankündigung. Wenn das Paket Quelldateien enthält, muss der Administrator das Paket an einen Verteilungspunkt kopieren. Standardmäßig sind die Zugriffssteuerungslisten (Access Control Lists, ACLs) auf der Datei so eingestellt, dass Administratoren Vollzugriff und Benutzern Lesezugriff gewährt wird. Es ist möglich, den Paketzugriff zu ändern. Dabei muss jedoch verstanden werden, auf welche Weise Configuration Manager 2007 in verschiedenen Szenarien auf Pakete zugreift, sodass die Möglichkeit eines nicht autorisierten Benutzerzugriffs auf Pakete mit eingeschränktem Zugriff verringert werden und sichergestellt werden kann, dass rechtmäßigen Benutzern der Zugriff auf Pakete nicht verweigert wird, die sie zur Ausführung ihrer Arbeit benötigen.
Bevor Sie diese Szenarien lesen, müssen Sie mit grundlegenden Windows-Konzepten wie Benutzer, Gruppen, ACLs und Gesamtstrukturarchitekturen vertraut sein. Außerdem sollten Sie mit den unter Übersicht über die Softwareverteilung beschriebenen Konzepten zur Softwareverteilung vertraut sein.
Dieses Thema enthält die folgenden häufigen Szenarien:
Ankündigung ist für die Ausführung vom Verteilungspunkt konfiguriert
Ankündigung ist für das Herunterladen und Ausführen vom Cache konfiguriert
Internetbasierte Clients führen Ankündigungen aus
Diese Szenarien enthalten keine Beispiele für das Roaming zwischen Standorten. Der Paketzugriff folgt nach wie vor demselben Prozess, unabhängig davon, ob der Client Roaming durchführt. Weitere Informationen zum Roaming finden Sie unter Beispielszenarien für Roaming für Configuration Manager 2007 Einfach und Beispielszenarien für Roaming für Configuration Manager 2007 Komplex.
In allen Szenariobeispielen verwendete Hierarchie
Im folgenden Diagramm wird ein Configuration Manager-Standort mit sechs verschiedenen Domänen und einem internetbasierten Benutzer gezeigt.
.gif "Grafik der Hierarchie des Beispiels")
Ankündigung ist für die Ausführung vom Verteilungspunkt konfiguriert
Alexander erhält eine Ankündigung, die für die Ausführung von einem Verteilungspunkt konfiguriert ist. Der Verwaltungspunkt gibt als Antwort auf die Inhaltsortsanfrage „SJC-DP1“ zurück.
Wenn eine Ankündigung für die Ausführung vom Verteilungspunkt konfiguriert ist, erfolgt der Dateizugriff immer über Server Message Blocks (SMB), selbst im einheitlichen Modus, und anstelle der Zertifikatauthentifizierung wird die Windows-Authentifizierung verwendet.
Alexander befindet sich in einer vertrauenswürdigen Domäne innerhalb der Gesamtstruktur, aber nicht in derselben Domäne wie SJC-DP1. Alexanders Zugriffsmöglichkeit auf das Paket hängt davon ab, ob der Administrator die lokalen, die lokalen Domänen-, die universellen und die globalen Gruppen so konfiguriert hat, dass Ressourcen in „dev.corp.contoso.com“ auf den Server in „corp.contoso.com“ zugreifen können. Alexanders Zugriff hängt weiterhin davon ab, ob der Configuration Manager 2007-Administrator die Paketzugriffskonten für das automatische Festlegen von ACLs im Paketverzeichnis konfiguriert hat.
Selbst wenn Alexanders Benutzer- und Computerkonto nicht auf SJC-DP1 zugreifen können, kann Alexander trotzdem auf das Paket zugreifen, wenn der Administrator ein Netzwerkzugriffskonto konfiguriert hat, das auf Grundlage der Konfiguration für das Paketzugriffskonto über Berechtigungen für das Paketverzeichnis verfügt, entweder direkt oder über eine Gruppenmitgliedschaft.
Hinweis
Das Netzwerkzugriffskonto muss nicht als Paketzugriffskonto hinzugefügt werden, da es Mitglied von „Benutzer“ und damit standardmäßig eingeschlossen ist. Außerdem wird durch Einschränken der ACLs eines Pakets auf das Netzwerkzugriffskonto nicht verhindert, dass Clients auf das Paket zugreifen, da Configuration Manager 2007-Clients die Verwendung des Netzwerkzugriffskontos bei Bedarf anfordern können.
Paketzugriff von einer anderen Domäne aus
In dem unter Flussdiagramm für den Paketzugriff bei Ausführung von einem Verteilungspunkt dargestellten Flussdiagramm wird der folgende Prozess für die Bewertung von Alexanders Zugriff auf das Paket verwendet.
Ist das Programm für die Ausführung mit Administratorrechten konfiguriert? |
Nein. |
Ermöglichen die Paketzugriffsberechtigungen den Zugriff für angemeldete Benutzer? |
Nein. Der Administrator hat SJC-DP1 weder die Domänenbenutzergruppe „dev.corp.contoso.com“ noch die lokale Gruppe „Benutzer“ hinzugefügt oder eine beliebige andere Gruppe konfiguriert, über die Alexanders Benutzerkonto direkten Zugriff erhalten könnte. |
Ist ein Netzwerkzugriffskonto konfiguriert? |
Ja. Alexanders Administrator hat ein Konto in der Domäne „corp.contoso.com“ erstellt und es als Netzwerkzugriffskonto in der Configuration Manager 2007-Konsole konfiguriert. |
Wird dem Netzwerkzugriffskonto über Berechtigungen der Zugriff auf das Paketverzeichnis ermöglicht? |
Ja. Alexanders Administrator hat die standardmäßigen Paketzugriffskonten nicht geändert, sodass Benutzern über die ACLs im Paketverzeichnis Lesezugriff und Administratoren Vollzugriff gewährt wird. Das Netzwerkzugriffskonto ist ein Benutzer in der Domäne „corp.contoso.com“. Toms Computer verwendet das Netzwerkzugriffskonto zur Verbindung mit SJC-DP1 zum Ausführen des Pakets. |
Ist dies ein Windows Installer-Paket? (Liegt die Installationsdatei im MSI-Format vor?) |
Ja. Es handelt sich um eine interne Anwendung, und das interne Entwicklungsteam hat ein Windows Installer-Paket erstellt. |
Wird „Alexander-PC$“ über Paketzugriffsberechtigungen der Zugriff auf das Paketverzeichnis ermöglicht? |
Nein. Der Administrator hat keine Gruppen oder Paketzugriffskonten konfiguriert, die „Alexander-PC$“ Zugriff auf SJC-DP1 ermöglichen. |
Ist ein Netzwerkzugriffskonto konfiguriert? |
Ja. |
Wird dem Netzwerkzugriffskonto über Berechtigungen der Zugriff auf das Paketverzeichnis ermöglicht? |
Ja. Das Netzwerkzugriffskonto konnte bereits eine Verbindung zum freigegebenen Paketordner auf SJC-DP1 herstellen, aber weil es sich bei der Installationsdatei um eine Windows Installer-Datei handelt, geht der Configuration Manager 2007-Client davon aus, dass für die Installation Administratorberechtigungen auf Alexander-PC erforderlich sind. Wenn das Programm ausgeführt wird, stellen alle Aktionen, für die Administratorberechtigungen erforderlich sind, über das Netzwerkzugriffskonto eine Verbindung zum Verteilungspunkt her. Auf Alexanders Computer wird das Programm unter Alexanders Benutzerkonto ausgeführt, da es nicht für die Ausführung mit Administratorrechten konfiguriert wurde. Alexander installiert das Paket ohne Probleme. |
Paketzugriff von derselben Domäne aus
Wenn Oliver versucht, dieselbe Ankündigung mit seinem Konto in „corp.contoso.com“ auszuführen, ist das Netzwerkzugriffskonto nicht erforderlich. Die Configuration Manager 2007-Clientkomponenten stellen unter Verwendung seines eigenen Benutzerkontos eine Verbindung zu SJC-DP1 her, und wenn für gewisse Aktionen eine Heraufstufung erforderlich ist, stellt der Client eine Verbindung über das Konto „Oliver-PC$“ her.
Paketzugriff von einer vertrauenswürdigen Gesamtstruktur aus
Wenn Anette versucht, dieselbe Ankündigung mit ihrem Konto in „treyreasearch.net“ auszuführen, findet etwas Ähnliches statt. Es besteht zwar ein Gesamtstruktur-Vertrauensverhältnis zwischen „corp.contoso.com“ und „treyresearch.net“, der Administrator muss jedoch entweder unter Verwendung von Gruppen und Paketzugriffskonten einen entsprechenden Zugriff konfigurieren, oder er muss ein Netzwerkzugriffskonto konfigurieren, damit Anette auf das Paket zugreifen kann.
Paketzugriff von einer nicht vertrauenswürdigen Gesamtstruktur aus
Wenn Torsten versucht, das Paket von „adatum.com“ auszuführen, kann ihm unter Verwendung von Gruppen und Paketzugriffskonten kein Zugriff gewährt werden, weil zwischen „adatum.com“ und „corp.contoso.com“ keine Vertrauensstellung besteht. Wenn in diesem Szenario kein Netzwerkzugriffskonto mit entsprechenden ACLs vorliegt, kann Torsten nicht auf das Paket zugreifen.
Ankündigung ist für das Herunterladen und Ausführen vom Cache konfiguriert
Wenn Ankündigungen für das Herunterladen und Ausführen vom lokalen Cache auf dem Clientcomputer konfiguriert sind, haben verschiedene Faktoren Einfluss darauf, welches Konto zum Herunterladen des Pakets verwendet wird. Das Paket wird jedoch immer entweder im Sicherheitskontext des lokalen Systems (wenn das Programm für die Ausführung mit Administratorrechten konfiguriert ist), oder im Sicherheitskontext des angemeldeten Benutzers ausgeführt, unabhängig vom Konto, das für den Download des Programms verwendet wurde.
Wichtig
Vor der Lektüre dieses Abschnitts sollten Sie das Thema Informationen zu BITS-fähigen Verteilungspunkten lesen und sich über die virtuellen Verzeichnisse informieren, die zur Unterstützung von Clients im einheitlichen Modus auf BITS-fähigen (Binary Intelligent Transfer Service) Verteilungspunkten erstellt werden.
Paketzugriff von einer vertrauenswürdigen Gesamtstruktur aus
Marcus liegt eine Ankündigung zum Herunterladen einer Buchhaltungsanwendung und ihrer lokalen Ausführung vor. Im Flussdiagramm unter Flussdiagramm zum Paketzugriff beim Herunterladen von einem intranetbasierten Verteilungspunkt wird der folgende Prozess für die Bewertung von Marcus Zugriff auf das Paket verwendet.
Befindet sich der Standort im einheitlichen Modus? |
Ja. Alle Domänen befinden sich im SJC-Standort, und der Standort ist für den einheitlichen Modus konfiguriert. |
Ist SJC-DP1 BITS-fähig? |
Ja. Der Administrator hat alle Verteilungspunkte im SJC-Standort als BITS-fähig konfiguriert, um die Downloadgeschwindigkeit zu verbessern. |
Stellt der Client eine Verbindung zum virtuellen Authentifizierungsverzeichnis in Windows (SMS_DP_SMSPKGE$) oder dem virtuellen Zertifikatauthentifizierungsverzeichnis (NOCERT_SMS_DP_SMSPKGE$) her? |
Der Client wählt das virtuelle Verzeichnis „SMS_DP_SMSPKGE$“ auf Zufallsbasis aus. |
Kann der Clientsicherheitskontext auf den privaten Schlüssel des Clientzertifikats zugreifen? |
Ja. Marcus ist als lokaler Administrator angemeldet, sodass sein Benutzerkonto auf den privaten Schlüssel des Clientauthentifizierungszertifikats zugreifen kann. |
Wird dem Internetgastkonto (IUSR) über Paketzugriffsberechtigungen Zugriff auf das Paketverzeichnis ermöglicht? |
Nein. Standardmäßig wäre das Internetgastkonto Mitglied der Gruppe „Benutzer“ auf SJC-DP1 und könnte somit auf das Paket zugreifen. Der Administrator hat jedoch die standardmäßigen Paketzugriffskonten geändert. Benutzern ist es nicht erlaubt, das Paketverzeichnis auf SJC-DP1 zu lesen, Mitgliedern der lokalen Domänengruppe „Finance“ ist es jedoch erlaubt. Das IUSR-Konto ist kein Mitglied der Finance-Sicherheitsgruppe. Hinweis Anonymen Benutzern Zugriff auf den Inhalt eines Pakets zu ermöglichen, wird nicht als bedeutendes Risiko angesehen, da der Client zunächst durch ein gültiges Clientauthentifizierungszertifikat authentifiziert werden muss, bevor über das IUSR-Konto auf den Paketinhalt zugegriffen werden kann. |
Wird das Programm einem Benutzer oder einer Benutzergruppe angekündigt? |
Ja. Die Ankündigung wird an eine Sammlung geschickt, die nur Benutzer der Finance-Sicherheitsgruppe enthält. |
Wird Marcus über Paketzugriffsberechtigungen der Zugriff auf das Paketverzeichnis ermöglicht? |
Nein. Selbst wenn Gruppen konfiguriert wären, um Marcus Konto als Mitglied der lokalen Gruppe „Benutzer“ auf SJC-DP1 zuzulassen, hätte der Administrator die ACLs für Benutzer entfernt. Marcus kann nur auf das Paketverzeichnis zugreifen, wenn er lokaler Administrator auf SJC-DP1 oder Mitglied der lokalen Domänengruppe „Finance“ ist. |
Wird dem Netzwerkzugriffskonto über Paketzugriffsberechtigungen der Zugriff ermöglicht? |
Nein. Das Netzwerkzugriffskonto ist kein Mitglieder der Finance-Gruppe. Wenn der Administrator sich nicht an bewährte Methoden gehalten und das Netzwerkkonto als Paketzugriffskonto hinzugefügt hätte, wäre Alexander in der Lage, auf das Paket zuzugreifen, obwohl er kein Mitglied der Finance-Gruppe ist. |
Wird „Marcus-PC$“ über Paketzugriffsberechtigungen der Zugriff auf das Paketverzeichnis ermöglicht? |
Nein. „Marcus-PC$“ ist weder Administrator noch Mitglied der Finance-Gruppe. |
Wird dem Netzwerkzugriffskonto über Paketzugriffsberechtigungen der Zugriff ermöglicht? |
Obwohl der Configuration Manager 2007-Client bereits erfolglos versucht hat, das Netzwerkzugriffskonto zum Zugriff auf das Paketverzeichnis einzusetzen, versucht der Client es erneut. |
Wurde im einheitlichen Modus bereits versucht, auf das virtuelle Verzeichnis „SMS_DP_SMSPKGE$“ zuzugreifen? |
Ja. Der Client hat auf Zufallsbasis zunächst den Zugriff auf das Verzeichnis „SMS_DP_SMSPKGE$“ versucht. Wenn der Client zuerst auf das Verzeichnis „NOCERT_ SMS_DP_“ zugegriffen hätte, würde dann ein Authentifizierungsversuch für den Client unter Verwendung eines Zertifikats stattfinden, was erfolgreich wäre. Der Client würde dann versuchen, das Paket unter Verwendung des Internetgastkontos herunterzuladen, wobei ein Fehler auftritt. Das Ergebnis ist das gleiche: Marcus kann das Programm nicht herunterladen und ausführen. |
Paketzugriff von derselben Domäne aus
Oliver versucht, dieselbe Ankündigung auszuführen. Oliver ist Mitglieder der Gruppe der globalen Finance-Benutzer, die wiederum Mitglied der lokalen Domänengruppe „Finance“ auf SJC-DC1 ist. Olivers Client stellt auf Zufallsbasis eine Verbindung zum virtuellen Verzeichnis „SMS_DP_SMSPKGE$“ her und wird unter Verwendung des Clientzertifikats authentifiziert. Das IUSR-Konto ist jedoch kein Mitglied der Finance-Gruppe, sodass für den Client ein Failover zum Verzeichnis „NOCERT_“ stattfindet. Da die ACLs im Paketverzeichnis Finance-Benutzern Lesezugriff ermöglichen, wird Oliver Zugriff auf das Paket gewährt.
Paketzugriff von einer anderen Domäne aus
Alexander kann die Ankündigung nicht ausführen, da er kein Mitglied der Finance-Gruppe ist. Wenn sein Client zum ersten Mal auf das virtuelle Verzeichnis „NOCERT_SMS_DP_SMSPKGE$“ zugreift, tritt ein Zugriffsfehler auf, da sein Konto, das Netzwerkzugriffskonto und sein Computerkonto nicht Mitglieder von „Finance“ sind. Obwohl bei der Windows-Authentifizierung ein Fehler aufgetreten ist, versucht der Client den Zugriff unter Verwendung des virtuellen Verzeichnisses „NOCERT_SMS_DP_SMSPKGE$“ mit der Zertifikatauthentifizierung. Das IUSR-Konto ist jedoch kein Mitglied von „Finance“, sodass Alexander nicht auf das Paket zugreifen kann.
Paketzugriff von einer nicht vertrauenswürdigen Gesamtstruktur aus
Torsten kann nicht Mitglied der Finance-Gruppe sein, da mit der Adatum.com-Gesamtstruktur keine Vertrauensstellung besteht, sodass Torsten das Buchhaltungsprogramm nicht erfolgreich herunterladen und ausführen kann. Wenn das Paket wirklich auf Finance-Benutzer beschränkt sein soll, liegt das gewünschte Ergebnis vor. Wenn der Administrator der Liste von Paketzugriffskonten das IUSR-Konto hinzufügt, könnte Torsten unter Verwendung von Authentifizierung und anonymem Zugriff auf das Paketzertifikat zugreifen.
Wichtig
Wenn den Paketzugriffskonten im einheitlichen Modus ein IUSR-Konto hinzugefügt wird, wird authentifizierten Clients durch Zertifikate ermöglicht, alle anderen Paketzugriffskonten zu umgehen. Im gemischten Modus wird nur die Windows-Authentifizierung verwendet. Durch Hinzufügen des IUSR-Kontos zu den Paketzugriffskonten wird Clients daher nicht ermöglicht, alle anderen Paketzugriffskonten zu umgehen.
Angenommen der Administrator erstellt eine neue Ankündigung für Microsoft Office 2003, ändert aber nicht die Paketzugriffskonten. Der Administrator ändert auch das Netzwerkzugriffskonto in den Active Directory-Domänendiensten, aber konfiguriert das Konto in der Configuration Manager 2007-Konsole nicht neu. Wenn „Torsten-PC“ versucht, die Ankündigung auszuführen, wird der folgende Prozess verwendet.
Befindet sich der Standort im einheitlichen Modus? |
Ja. |
Ist SJC-DP1 BITS-fähig? |
Ja. |
Stellt der Client eine Verbindung zum virtuellen Authentifizierungsverzeichnis in Windows (SMS_DP_SMSPKGE$) oder dem virtuellen Zertifikatauthentifizierungsverzeichnis (NOCERT_SMS_DP_SMSPKGE$) her? |
Der Client wählt das virtuelle Verzeichnis „SMS_DP_SMSPKGE$“ auf Zufallsbasis aus. |
Kann der Client mithilfe eines Clientzertifikats authentifiziert werden? |
Ja. „Torsten-PC“ verfügt über ein gültiges Clientauthentifizierungszertifikat für den einheitlichen Modus. |
Wird dem Internetgastkonto (IUSR) über Paketzugriffsberechtigungen Zugriff auf das Paketverzeichnis ermöglicht? |
Ja. Standardmäßig ist das Internetgastkonto Mitglied der Gruppe „Benutzer“ auf SJC-DP1, sodass es auf das Paket zugreifen kann, obwohl kein Vertrauensverhältnis besteht und das Netzwerkzugriffskonto erst dann gültig ist, wenn der Administrator das richtige Kennwort konfiguriert. Wenn Torstens Client zunächst eine Verbindung mit dem virtuellen Verzeichnis „NOCERT_SMS_DP_SMSPKGE$“ hergestellt hätte, hätte dieses versucht, Torsten mithilfe der Windows-Authentifizierung zu authentifizieren. Wenn dabei ein Fehler aufgetreten wäre, hätte es auf das Verzeichnis „SMS_DP_SMSPKGE$“ zurückgegriffen und wäre durch das Zertifikat authentifiziert worden. |
Internetbasierte Clients führen Ankündigungen aus
Internetbasierte Clients können Ankündigungen nur herunterladen und ausführen. Sie können sie nicht vom Verteilungspunkt ausführen.
Intranetclients wählen auf Zufallsbasis zwischen den virtuellen Verzeichnissen „SMS_DP_“ und „NOCERT_SMS_DP_“ und führen dann ein Failover zum jeweils anderen virtuellen Verzeichnis durch, wenn durch das erste die Authentifizierung und der Zugriff auf das Herunterladen der Inhalte nicht bereitgestellt werden kann. Internetbasierte Clients erhalten lediglich das virtuelle Verzeichnis „SMS_DP_“ auf Verteilungspunkten, die für eine Unterstützung internetbasierter Clients aktiviert sind. Wenn Clients nicht über ein Zertifikat authentifiziert werden können, können Sie das Paket nicht herunterladen. Dies ist beabsichtigt, damit für internetbasierte Clients eine Zertifikatauthentifizierung angefordert wird.
Wenn der angemeldete Benutzer ein Administrator ist, kann der Benutzer auf den lokalen Zertifikatspeicher zugreifen, um dem Verteilungspunkt das Clientauthentifizierungszertifikat vorzulegen. Wenn das Programm nach einem Zeitplan initiiert wird, wird die Initiierung über das lokale Systemkonto vorgenommen, das zur Vorlage des Zertifikats Zugriff auf den lokalen Zertifikatspeicher hat.
Auch wenn der internetbasierte Client ein Zertifikat für die Authentifizierung im einheitlichen Modus vorlegen kann, muss das IUSR-Konto trotzdem Berechtigungen für den Zugriff auf das Paketverzeichnis aufweisen, damit das Programm fehlerfrei ausgeführt werden kann.
Eduard hat eine Ankündigung zum Herunterladen der unternehmenseigenen Antivirusanwendung erhalten, um sie lokal auszuführen. Anhand des folgenden Prozesses wird Eduards Zugriff auf das Antivirenpaket bewertet. (Siehe das Flussdiagramm unter Flussdiagramm für den Paketzugriff durch internetbasierte Clients.)
Wird auf dem Standort Configuration Manager 2007 SP1 oder höher ausgeführt? |
Nein. Hinweis Ankündigungen in Configuration Manager 2007 SP1 oder höher können selbst dann ohne Planung ausgeführt werden, wenn der Benutzer kein Administrator ist. |
Ist der angemeldete Benutzer ein lokaler Administrator? |
Nein. Unter Beachtung bewährter Sicherheitsmethoden meldet sich Eduard als normaler Benutzer bei seinem Windows Vista-Computer an und verwendet für den Administratorzugriff die Benutzerzugriffssteuerung. |
Ist das Programm für eine Ausführung als geplante Zuweisung konfiguriert? |
Ja. Das Antivirenprogramm wird wöchentlich ausgeführt. Da das Programm geplant ist, wird es innerhalb des Kontexts des lokalen Systemkontos ausgeführt. Das lokale System verfügt über Zugriffsrechte auf den privaten Schlüssel für das Clientauthentifizierungszertifikat, um seine Identität beim Verteilungspunkt zu beweisen. |
Ist der private Schlüssel authentifiziert? |
Ja. Das Clientauthentifizierungszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle. |
Wird dem Internetgastkonto über Paketzugriffsberechtigungen Zugriff auf das Paketverzeichnis ermöglicht? |
Ja. Der Administrator hat die standardmäßigen Paketzugriffskonten nicht geändert. Das Paket wird unter Verwendung des anonymen Zugriffs heruntergeladen. |
Sind für die Ausführung des Programms Administratorrechte festgelegt? |
Ja. Der Administrator konfiguriert das Programm für die Ausführung, unabhängig davon, ob der Benutzer angemeldet ist. Das Programm wird innerhalb des Sicherheitskontexts des lokalen Systems ausgeführt. |
Eduard benötigt Zugriff auf die Buchhaltungsanwendung. Er erhält eine Ankündigung zum Herunterladen der Buchhaltungsanwendung, um sie lokal auszuführen. Anhand des folgenden Prozesses wird Eds Zugriff auf das Paket bewertet. (Siehe das Flussdiagramm unter Flussdiagramm für den Paketzugriff durch internetbasierte Clients.)
Wird auf dem Standort Configuration Manager 2007 SP1 oder höher ausgeführt? |
Nein. |
Ist der angemeldete Benutzer ein lokaler Administrator? |
Ja. Eduard hat sich als lokaler Administrator angemeldet, um Zugriff auf das Paket zu erhalten. Da Eduard Administrator ist, verfügt er über Zugriffsrechte für den privaten Schlüssel des Clientauthentifizierungszertifikats, um dessen Identität beim Verteilungspunkt zu beweisen. |
Ist der private Schlüssel authentifiziert? |
Ja. Das Clientauthentifizierungszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle. |
Wird dem Internetgastkonto über Paketzugriffsberechtigungen Zugriff auf das Paketverzeichnis ermöglicht? |
Nein. Standardmäßig wäre das Internetgastkonto Mitglied der Gruppe „Benutzer“ auf IBCM-DP1 und könnte somit auf das Paket zugreifen. Der Administrator hat jedoch die standardmäßigen Paketzugriffskonten geändert. Benutzern ist es nicht erlaubt, das Paketverzeichnis auf IBCM-DP1 zu lesen, Mitgliedern der lokalen Domänengruppe „Finance“ ist es jedoch erlaubt. Das IUSR-Konto ist kein Mitglied der Finance-Sicherheitsgruppe. |
Wichtig
Internetbasierte Clients müssen Zertifikate für die Authentifizierung verwenden und das Paket dann unter anonymen Zugriff herunterladen, damit eine Zugriffsbeschränkung für Benutzer oder Gruppenkonten nicht von den Paketzugriffskonten ausgehen kann.
Administratoren müssen das gewünschte Ergebnis in Betracht ziehen, wenn sie standardmäßige Paketzugriffskonten für Pakete entfernen, die an Verteilungspunkte mit Unterstützung internetbasierter Clients kopiert wurden. Wenn das Paket auf Mitglieder der Finance-Gruppe beschränkt sein soll, ist ein Fehler bei Eds Zugriff auf das Paket das gewünschte Ergebnis. Wenn der internetbasierte Benutzer auf das Paket zugreifen soll, muss das Internetgastkonto über NTFS-Berechtigungen verfügen, um auf die Paketquelldateien zugreifen zu können.
Siehe auch
Andere Ressourcen
Softwareverteilung in Configuration Manager
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com