Для выполнения большинства операций клиентов Configuration Manager 2007 на клиентских компьютерах Microsoft System Center Configuration Manager 2007 используется локальная системная учетная запись, но она не предоставляет доступ к сетевым ресурсам. Когда клиентский компьютер обращается к точке распространения для выполнения пакета (включая пакеты развертывания операционной системы), он использует учетную запись имя_компьютера$ для доступа к ресурсам в доверенном домене Active Directory. Учетная запись доступа к сети предоставляется тогда, когда клиентам Configuration Manager 2007 из рабочих групп или недоверенных доменов требуются ресурсы доступа в домене сервера сайта. Эта учетная запись может также потребоваться во время развертывания операционной системы, поскольку компьютер, принимающий операционную систему, не имеет контекста безопасности, который он может использовать для доступа к содержимому в сети.

Важно!
Учетная запись доступа к сети никогда не используется в качестве контекста безопасности для выполнения программ, установки обновлений программного обеспечения и выполнения последовательностей задач. Она применяется только для доступа к ресурсам сети.

Необходимые права и разрешения

Эта учетная запись должна иметь минимальные соответствующие разрешения на использование содержимого распространения программного обеспечения или развертывания операционной системы, к которому ей требуется доступ. Она должна иметь доступ к данному компьютеру из сети в точке распространения или к другому серверу, на котором находится содержимое пакета.

Поскольку для каждого сайта можно создать только одну учетную запись доступа к сети, эта учетная запись должна функционировать для всех пакетов и последовательностей задач, для которых она требуется.

Сценарии распространения программного обеспечения

Учетная запись, используемая для доступа к содержимому, и учетная запись, применяемая для выполнения программы, различаются в зависимости от конфигурации программы и объявления.

Примечание
Программа всегда выполняется в контексте, заданном администратором в свойствах программы. Учетная запись доступа к сети никогда не применяется для выполнения программы, даже если она была использована для доступа к общей папке точки распространения.

Случай настройки объявления на загрузку из точки распространения

Объект, для которого объявляется программа Инициация программы Последовательность учетных записей, используемых для доступа к общей папке точки распространения

Пользователь или группа

Инициируется пользователем или по расписанию

  1. Учетная запись пользователя, вошедшего в систему

  2. Учетная запись доступа к сети

  3. Имя_компьютера$

  4. Учетная запись доступа к сети*

Компьютер

Инициируется пользователем

  1. Учетная запись пользователя, вошедшего в систему

  2. Учетная запись доступа к сети

  3. Имя_компьютера$

  4. Учетная запись доступа к сети*

Компьютер

Инициируется по расписанию

  1. Имя_компьютера$

  2. Учетная запись доступа к сети

* Когда приложение Configuration Manager пытается использовать контекст имя_компьютера$ для загрузки содержимого и эта попытка завершается неуспешно, оно автоматически повторяет попытку использования учетной записи доступа к сети, даже если такая попытка уже предпринималась ранее и завершилась неуспешно.

Случай настройки объявления на выполнение из точки распространения

Конфигурация программы Последовательность учетных записей, используемых для доступа к общей папке точки распространения

Выполнение с правами пользователя

1. Учетная запись пользователя, вошедшего в систему

2. Учетная запись доступа к сети

Выполнение с правами администратора

1. Имя_компьютера$

2. Учетная запись доступа к сети

Файл установщика Windows, настроенный на выполнение с правами пользователя

Клиент Configuration Manager 2007 пытается получить доступ к точке распространения для выполнения приложения установщика Windows, используя следующую последовательность учетных записей.

1. Учетная запись пользователя, вошедшего в систему

2. Учетная запись доступа к сети

Клиент Configuration Manager 2007 пытается получить доступ к точке распространения, чтобы повысить права установщика Windows для пользователя, используя следующую последовательность учетных записей.

1. Имя_компьютера$

2. Учетная запись доступа к сети

Во многих случаях, когда файл установщика Windows устанавливается в контексте пользователя, в этом файле существуют компоненты, для установки которых требуется контекст администрирования; чтобы обеспечить правильность установки приложения, клиент Configuration Manager 2007 может воспользоваться возможностью повышения прав установщика Windows. Клиент не знает, требуется ли повышение прав, поэтому он всегда пытается повысить права установки установщика Windows независимо от того, необходимо ли это для программы, и является ли вошедший в систему пользователь администратором. Для успешного повышения прав учетная запись "Имя_компьютера$" или учетная запись доступа к сети должна иметь возможность доступа к ресурсу. Если ни одна из этих учетных записей не имеет права доступа к общей папке в точке распространения, программа все же будет выполняться в контексте пользователя, но повышение прав не произойдет. Появится сообщение об изменении состояния 10046, означающее отказ повышения прав пакета установщика Windows. Если для выполнения любых действий в файле установщика Windows требуется доступ администратора к системе, произойдет сбой установки.

Если после подключения к общей папке точки распространения программа была настроена на выполнение с правами пользователя, она выполняется в контексте пользователя, вошедшего в систему, независимо от учетной записи, использованной для доступа к общей папке. Если программа была настроена на выполнение с правами администратора, она выполняется в контексте локальной системной учетной записи.

Сценарии развертывания операционной системы

Хотя Configuration Manager 2007 может использовать учетную запись доступа к сети для доступа к последовательностям задач, сохраненным в точках распространения, эта учетная запись служит только для доступа к содержимому, а не для выполнения последовательности задач. Последовательности задач выполняются только в контексте локальной системной учетной записи.

В отличие от пакетов, последовательности задач могут объявляться только компьютерам, а не пользователям и группам.

При использовании загрузочных образов для развертывания операционной системы приложение Configuration Manager 2007 использует среду предустановки Windows (Windows PE), не являющуюся полноценной операционной системой. Работая в среде предустановки Windows, компьютер использует автоматически генерируемое, случайное имя, а не является членом любого домена. Ограничения безопасности могут препятствовать доступу компьютера к точке распространения в фазе среды предустановки Windows последовательности задач.

Конфигурация объявления Последовательность учетных записей, используемых для доступа к общей папке точки распространения — среда предустановки Windows Последовательность учетных записей, используемых для доступа к общей папке точки распространения — операционная система

Необязательно

  1. Учетная запись доступа к сети

  2. Имя_компьютера$

  1. Учетная запись доступа к сети

  2. Имя_компьютера$

  3. Учетная запись доступа к сети*

Обязательно

  1. Учетная запись доступа к сети

  2. Имя_компьютера$

  1. Имя_компьютера$

  2. Учетная запись доступа к сети

* Когда приложение Configuration Manager пытается использовать контекст имя_компьютера$ для загрузки содержимого и эта попытка завершается неуспешно, оно автоматически повторяет попытку использования учетной записи доступа к сети, даже если такая попытка уже предпринималась ранее и завершилась неуспешно.

Создание учетной записи и пароля

Администратор создает учетную запись и пароль в базе данных доменных служб Active Directory и затем настраивает Configuration Manager 2007 на использование этой учетной записи в консоли Configuration Manager 2007.

Важно!
Длина пароля учетной записи для доступа к сети ограничена 38 символами.

Расположение учетной записи

Эта учетная запись может быть создана в любом домене, который будет обеспечивать необходимый доступ к ресурсам. Учетная запись доступа к сети всегда должна содержать имя домена. Сквозная защита для этой учетной записи не поддерживается. Если существует несколько доменов, создайте учетную запись в доверенном домене.

Обслуживание учетной записи

Учетная запись и пароль создаются и обслуживаются администратором Configuration Manager 2007.

Во избежание блокировок учетной записи не изменяйте пароль для существующей учетной записи доступа к сети. Следует создать новую учетную запись и настроить Configuration Manager 2007 на использование этой учетной записи. По истечении времени, достаточного для того, чтобы все клиенты получили подробные данные о новой учетной записи, старую учетную запись необходимо удалить из общих сетевых папок и уничтожить.

Рекомендации по безопасности

Не давайте этой учетной записи право на интерактивный вход в систему.

Не предоставляйте данной учетной записи право на подключение компьютеров к домену. Если во время выполнения последовательности задач необходимо подключение компьютеров к домену, следует использовать учетную запись подключения к домену редактора последовательности задач.

Избегайте использования учетной записи клиентского доступа к сети, поскольку она является общей учетной записью и может использоваться для предоставления доступа к нескольким пакетам, включая пакеты, подходящие не для всех пользователей. Если необходимо использовать данную учетную запись из-за сред роуминга или рабочих групп, назначьте ей только минимально возможное разрешение и никогда не назначайте прав администратора домена.

Как и для всех учетных записей, никогда не используйте пустые пароли. Если при настройке данной учетной записи в консоли Configuration Manager 2007 пароль не задается, учетная запись не сохраняется.

Нет необходимости добавлять учетную запись доступа к сети в качестве учетной записи доступа к пакету, потому что она является членом группы "Пользователи" и поэтому включена по умолчанию. Кроме того, ограничение списков ACL пакета только учетной записью доступа к сети не предотвратит получения любым клиентом доступа к пакету, потому что клиенты Configuration Manager 2007 могут при необходимости запросить использование учетной записи доступа к сети. Если требуется защитить содержимое пакета от несанкционированных пользователей, добавьте в учетные записи доступа к пакету пользователей или группы, а не группу "Пользователи".

См. также