По умолчанию задача синхронизации каталога Центра обновления Windows выполняется в контексте пользователя, вошедшего в систему. Это означает, что для работы программы синхронизации необходимо, чтобы в систему вошел пользователь с соответствующими разрешениями.

Важная информация
Если узел синхронизации работает в контексте учетной записи пользователя, не забывайте блокировать компьютер, когда он не используется.

Если в организации нет клиентского компьютера, который можно оставить в состоянии пользователя, вошедшего в систему, можно настроить программу синхронизации на работу в автоматическом режиме. При настройке на работу в автоматическом режиме задача синхронизации будет выполняться от имени локальной системной учетной записи.

Чтобы выполнять программу от имени локальной системной учетной записи, а не от имени учетной записи пользователя, необходимо предоставить компьютеру узла синхронизации определенные разрешения. Если на брандмауэре должна выполняться проверка подлинности, необходимо также настроить учетные данные таким образом, чтобы трафик узла синхронизации мог проходить через брандмауэр.

Разрешение совместного использования исходной папки пакета для работы в автоматическом режиме

  1. В окне Свойства PkgSource перейдите на вкладку Совместное использование и нажмите кнопку Разрешения.

  2. В окне Разрешения для PackageSrc нажмите кнопку Добавить. Появится окно Выбор: пользователи, компьютеры или группы.

  3. В окне Выбор: пользователи, компьютеры или группы нажмите кнопку Типы объектов.

  4. В окне Типы объектов выберите Компьютеры и нажмите кнопку ОК.

  5. В окне Выбор: пользователи, компьютеры или группы в поле Введите имена выбираемых объектов введите домен\компьютер_узла_синхронизации и нажмите кнопку ОК.

  6. В окне Разрешения для PackageSrc в группе Разрешить выберите Полный доступ и нажмите кнопку ОК один раз.

Установка разрешений безопасности NTFS для исходной папки пакета для работы в автоматическом режиме

  1. В окне Свойства PkgSource перейдите на вкладку Безопасность и нажмите кнопку Добавить. Появится окно Выбор: пользователи, компьютеры или группы.

  2. В окне Выбор: пользователи, компьютеры или группы нажмите кнопку Типы объектов.

  3. В окне Типы объектов выберите Компьютеры и нажмите кнопку ОК.

  4. В окне Выбор: пользователи, компьютеры или группы в поле Введите имена выбираемых объектов введите домен\компьютер_узла_синхронизации и нажмите кнопку ОК.

  5. В окне Свойства PkgSource в группе Разрешить выберите Полный доступ и нажмите кнопку ОК.

Установка разрешений WMI для работы в автоматическом режиме

  1. На компьютере поставщика SMS щелкните правой кнопкой мыши значок Мой компьютер, расположенный на рабочем столе компьютера, и выберите пункт Управление. Появится окно Управление компьютером.

    Примечание
    Компьютер поставщика SMS — это или сервер сайта Configuration Manager, или сервер базы данных сайта Configuration Manager. Компьютер поставщика SMS определяется при установке Configuration Manager 2007. Если сервер сайта установлен не на сервере базы данных сайта, роль поставщика SMS обычно выполняет компьютер, на котором существует локальная группа "Администраторы SMS".

  2. В окне Управление компьютером в группе Службы и приложения щелкните правой кнопкой мыши элемент Управляющий элемент WMI и выберите Свойства. Появится окно Свойства управляющего элемента WMI.

  3. В окне Свойства управляющего элемента WMI перейдите на вкладку Безопасность, разверните узел Корень, выделите узел SMS и нажмите кнопку Безопасность. Появится окно Безопасность для Корень\SMS.

  4. В окне Безопасность для Корень\SMS нажмите кнопку Добавить. Появится окно Выбор: пользователи, компьютеры или группы.

  5. В окне Выбор: пользователи, компьютеры или группы нажмите кнопку Типы объектов.

  6. В окне Типы объектов выберите Компьютеры и нажмите кнопку ОК.

  7. В окне Выбор: пользователи, компьютеры или группы в поле Введите имена выбираемых объектов введите домен\компьютер_узла_синхронизации и нажмите кнопку ОК.

  8. В окне Безопасность для Корень\SMS выберите домен\компьютер_узла_синхронизации.

  9. В группе Разрешения для домен\компьютер_узла_синхронизации выделите следующие разрешения в столбце Разрешить и нажмите кнопку OK:

    • Выполнение методов

    • Полная запись

    • Частичная запись

    • Запись поставщика

    • Включить учетную запись

    • Включить удаленно

  10. В окне Свойства управляющего элемента WMI разверните узел Корень и выберите узел SMS.

  11. Разверните узел SMS, чтобы выбрать Сайт_код_сайта.

  12. Нажмите кнопку Безопасность. Появится окно Безопасность для Корень\SMS\Сайт_код_сайта.

  13. В окне Безопасность для Корень\SMS\Сайт_код_сайта нажмите кнопку Добавить. Появится окно Выбор: пользователи, компьютеры или группы.

  14. В окне Выбор: пользователи, компьютеры или группы нажмите кнопку Типы объектов.

  15. В окне Типы объектов выберите Компьютеры и нажмите кнопку ОК.

  16. В окне Выбор: пользователи, компьютеры или группы в поле Введите имена выбираемых объектов введите домен\компьютер_узла_синхронизации$ и нажмите кнопку ОК.

  17. В окне Безопасность для Корень\SMS\Сайт_код_сайта выберите домен\компьютер_узла_синхронизации$.

  18. В группе Разрешения для домен\компьютер_узла_синхронизации$ выделите следующие разрешения в столбце Разрешить и нажмите кнопку OK:

    • Выполнение методов

    • Полная запись

    • Частичная запись

    • Запись поставщика

    • Включить учетную запись

    • Включить удаленно

  19. Дважды нажмите кнопку ОК.

Обеспечение доступа узла синхронизации к поставщику SMS, если поставщик работает на компьютере под управлением Windows 2000

  • На компьютере поставщика SMS в командной строке введите следующую команду.

    net localgroup "sms admins" /add домен \ компьютер_узла_синхронизации $

Обеспечение доступа узла синхронизации к поставщику SMS, если поставщик работает на компьютере под управлением Windows Server 2003

  1. На компьютере поставщика SMS под управлением Windows Server 2003, работающем в качестве рядового сервера, щелкните правой кнопкой мыши значок Мой компьютер, расположенный на рабочем столе компьютера, и выберите пункт Управление. Появится окно Управление компьютером. Если Windows Server 2003 является контроллером домена, воспользуйтесь элементом управления Пользователи и компьютеры Active Directory.

  2. На рядовом сервере найдите группу "Администраторы SMS" в узле Локальные пользователи и группы. На контроллере домена найдите локальную группу "Администраторы SMS" (по умолчанию она располагается в контейнере "Пользователи").

  3. На рядовом сервере щелкните правой кнопкой мыши Администраторы SMS, выберите элемент Добавить в группу и в окне Свойства: администраторы SMS нажмите кнопку Добавить. На контроллере домена щелкните правой кнопкой мыши Администраторы SMS, выберите элемент Свойства, перейдите на вкладку Члены группы нажмите кнопку Добавить.

  4. В окне Выбор: пользователи, компьютеры или группы нажмите кнопку Типы объектов.

  5. В окне Типы объектов выберите Компьютеры и нажмите кнопку ОК.

  6. В окне Выбор: пользователи, компьютеры или группы в поле Введите имена выбираемых объектов введите домен\компьютер_узла_синхронизации и нажмите кнопку ОК.

Предоставление компьютеру узла синхронизации разрешений для работы с объектом обновления программного обеспечения

  1. В консоли Configuration Manager перейдите к элементу System Center Configuration Manager / База данных сайта / Управление компьютером / Права доступа / Пользователи.

  2. Щелкните правой кнопкой мыши пункт Пользователи и выберите команду Управление пользователями Configuration Manager.

  3. Нажмите кнопку Далее.

  4. Введите в поле Добавить пользователя <домен>\<компьютер_узла_синхронизации> и дважды нажмите кнопку Далее.

  5. Выберите Элементы конфигурации для элемента Класс и нажмите Выбрать все, чтобы настроить все права безопасности. Нажмите кнопку Далее три раза, затем нажмите кнопку Закрыть.

Обновление точек распространения после изменения разрешений пакета "Средство обновлений Microsoft"

  1. В консоли Configuration Manager разверните узел Пакеты и выберите пакет Средство обновлений Microsoft.

  2. Щелкните правой кнопкой мыши пакет Средство обновлений Microsoft, выберите элемент Все задачи и выберите команду Обновить точки распространения.

  3. Нажмите кнопку Да.

Повторное объявление "Синхронизация средства обновлений Microsoft"

  1. В консоли Configuration Manager выберите Объявления.

  2. В правой панели выберите объявление Синхронизация средства обновлений Microsoft.

  3. Щелкните правой кнопкой мыши объявление Синхронизация средства обновлений Microsoft, выберите элемент Все задачи и выберите команду Повторный запуск объявления.

  4. Нажмите кнопку Да.

Настройка учетных данных для межсетевых экранов, не допускающих анонимный доступ пользователей

Следующая процедура позволяет создать раздел реестра, в котором указывается учетная запись пользователя и ее пароль, используемые для доступа через брандмауэр. Хотя этот раздел реестра создается в зашифрованном виде, он хранится таким образом, что доступ к нему могут получить только локальные администраторы Windows. При запуске задачи синхронизации процесс загрузки на узле синхронизации (PatchDownloader.dll) использует указанную учетную запись для доступа в Интернет через межсетевой экран.

Настройка учетных данных для брандмауэров, не допускающих анонимный доступ пользователей

  1. Найдите программу PatchDownloader.exe в каталоге установки сервера основного сайта или консоли Configuration Manager и выполните эту программу на компьютере, на котором работает компонент синхронизации.

  2. Для работы с программой используется следующий синтаксис командной строки.

    < буква_диска >:\sms\bin\i386\00000409\PatchDownloader.exe /?

  3. После запуска программы с такими параметрами на экране появляется следующая подсказка, где имя_пользователя — учетная запись, обладающая разрешениями для доступа через брандмауэр.

    Использование: PatchDownloader /s:<сервер[:порт]> [/u:<домен\имя_пользователя>] [/clean]

    Если домен не указан, по умолчанию используется домен узла синхронизации. Если порт не указан, по умолчанию используется порт 80. Программа запросит пароль. Используйте параметр /clean для удаления конфигурации.

    Пример.

    PatchDownloader.exe /s:myserver:80 /u:myaccount

    Важная информация
    Из соображений безопасности следует убедиться, что указанная учетная запись не обладает большими разрешениями безопасности, чем необходимо для подключения через брандмауэр.