Чтобы распространение программного обеспечения происходило в Microsoft System Center Configuration Manager 2007, Configuration Manager 2007 создает пакет, программу и объявление. Если пакет содержит исходные файлы, администратор должен скопировать пакет на точку распространения. По умолчанию списки управления доступом (ACL) к файлу настроены на разрешение полного доступа для администраторов и доступа для чтения для пользователей. Можно изменить доступ к пакету, но необходимо понимать, как Configuration Manager 2007 пытается получит доступ к пакетам в различных сценариях, что позволяет снизить риск предоставления неавторизованным пользователям доступа к защищенным пакетам или отказа действительным пользователям в доступе к пакетам, необходимым им для выполнения своей работы.

Прежде чем приступить к чтению этих сценариев, необходимо ознакомиться с основными концепциями Windows, такими как пользователи, группы, списки ACL и архитектура леса. Также следует ознакомиться с концепцией распространения программного обеспечения, описанной в Обзор распространения программного обеспечения.

В этом разделе содержатся следующие общие сценарии:

Эти сценарии не содержат примеров роуминга между сайтами. Доступ к пакету по-прежнему следует тому же процессу, независимо от того, использует клиент роуминг или нет. Дополнительные сведения о роуминге см. в разделах Примеры сценариев роуминга для Configuration Manager: простой и Примеры сценариев роуминга для Configuration Manager: сложный.

Иерархия, используемая во всех примерах сценария роуминга

На следующей диаграмме показан сайт Configuration Manager с шестью различными доменами и Интернет-пользователем.



рисунок, отображающий иерархию для данного примера

Объявление, настроенное на запуск с точки распространения

Алексей получает объявление, настроенное на запуск с точки распространения. В ответ на запрос местоположения содержимого точка управления возвращает SJC-DP1.

Когда объявление настроено на запуск с точки распространения, доступ к файлу всегда преобладает над блоками сообщений сервера (SMB), даже в основном режиме, и вместо проверки подлинности при помощи сертификатов используется проверка подлинности Windows.

Алексей находится в доверенном домене леса, но он и SJC-DP1 находятся в разных доменах. Возможность Алексея получить доступ к пакету зависит от того, настроил ли администратор локальные группы, группы домена, а также универсальные или глобальные группы для предоставления ресурсам из домена dev.corp.contoso.com доступа к серверу в домене corp.contoso.com. Доступ Алексея также зависит от учетных записей доступа к пакетам, настроенных администратором Configuration Manager 2007 для автоматического составления списков управления доступом (ACL) для каталога пакета.

Если учетная запись компьютера Алексея и его пользовательская учетная запись не могут получить доступ к SJC-DP1, Алексей по-прежнему может получить доступ к пакету, если администратор настроил учетную запись доступа к сети, и если у учетной записи доступа к сети есть разрешения для каталога пакета на основе конфигурации учетной записи доступа к пакету, напрямую или благодаря членству в группе.

Примечание
Нет необходимости добавлять учетную запись доступа к сети как учетную запись доступа к пакету, потому что она является членом группы "Пользователи" и поэтому включена по умолчанию. Кроме того, ограничение списков ACL пакета только учетной записью доступа к сети не предотвратит получения любым клиентом доступа к пакету, потому что клиенты Configuration Manager 2007 могут при необходимости запросить использование учетной записи доступа к сети.

Получение доступа к пакету из другого домена

Как было показано на блок-схеме в Блок-схема доступа к пакету при запуске с точки распространения, для оценки доступа Алексея к пакету используется следующий процесс.

Программа настроена для работы с правами администратора?

Нет.

Предоставляют ли разрешения для пакетов доступ пользователям, вошедшим в систему?

Нет. Администраторы не добавили группу пользователей домена dev.corp.contoso.com к группе локальных пользователей на SJC-DP1, а также не настроили какой-либо другой групповой доступ, при помощи которого учетная запись Алексея могла бы получить прямой доступ.

Есть ли настроенная учетная запись доступа к сети?

Да. Администратор Алексея создал учетную запись в домене corp.contoso.com и назначил ее учетной записью доступа к сети в консоли Configuration Manager 2007.

Предоставляют ли разрешения учетной записи доступа к сети доступ к каталогу пакета?

Да. Администратор Алексея не изменил учетных записей доступа к пакету по умолчанию, поэтому списки управления доступом (ACL) к каталогу пакета предоставляют пользователям доступ для чтения, а администраторам — полный доступ. Учетная запись доступа к сети — это пользователь в домене corp.contoso.com.

Компьютер Вадима использует учетную запись доступа к сети для установки соединения с SJC-DP1 для запуска пакета.

Это пакет Windows Installer? (Этот установочный файл в формате MSI?)

Да. Это приложение является внутренним приложением, а внутренняя команда разработчиков создала пакет Windows Installer.

Предоставляют ли разрешения для пакета доступ к каталогу пакета учетной записи персонального компьютера Алексея?

Нет. Администратор не настроил группы или учетные записи доступа к пакету, которые бы предоставляли учетной записи персонального компьютера Алексея доступ к SJC-DP1.

Есть ли настроенная учетная запись доступа к сети?

Да.

Предоставляют ли разрешения учетной записи доступа к сети доступ к каталогу пакета?

Да. Учетная запись доступа к сети уже могла соединиться с общей папкой пакета на SJC-DP1, но поскольку установочный файл является файлом Windows Installer, клиент Configuration Manager 2007 предполагает, что для установки потребуются права администратора на персональном компьютере Алексея. Во время работы программы любые действия, для которых потребуются права администратора, потребуют установки соединения с точкой распространения при помощи учетной записи доступа к сети. На компьютере Алексея программа работает под учетной записью Алексея, потому что программа не была настроена на работу с правами администратора.

Алексей успешно устанавливает пакет.

Получение доступа к пакету из того же домена

Если Александр попытается запустить то же объявление со своей учетной записью в corp.contoso.com, ему не потребуется учетная запись доступа к сети. Компоненты клиента Configuration Manager 2007 подключаются к SJC-DP1 при помощи собственных пользовательских учетных записей, и если для некоторых действий требуется повышение уровня разрешений, клиент соединяется при помощи учетной записи компьютера Александра.

Получение доступа к пакету из доверенного леса

Если Дарья попытается запустить то е объявление со своей учетной записью в treyreasearch.net, у нее получится то же самое. Несмотря на то, что между corp.contoso.com и treyresearch.net существует доверие лесов, администратор должен либо настроить соответствующий доступ при помощи групп и учетных записей доступа к пакету, либо настроить учетную запись доступа к сети. В противном случае Дарья не сможет получить доступ к пакету.

Получение доступа к пакету из леса без доверия

Если Руслан пытается запустить пакет из домена adatum.com, ему не может быть предоставлен доступ с помощью групп и учетных записей доступа к пакету, потому что между adatum.com и corp.contoso.com не установлены отношения доверия. В этом случае в отсутствие учетной записи доступа к сети с соответствующими списками ACL Руслан не сможет получить доступ к пакету.

Объявление, настроенное для загрузки и запуска из кэша

Когда объявления настроены для загрузки и запуска из локального кэша на клиентском компьютере, несколько факторов влияют на то, какая учетная запись используется для загрузки пакета. Тем не менее, пакет всегда запускается, либо в контексте безопасности локальной системы, если программа настроена на работу с правами администратора, либо в контексте безопасности пользователя, вошедшего в систему, независимо от учетной записи, используемой для загрузки программы.

Важно!
Прежде чем приступить к чтению этого раздела, следует прочитать О точках распространения с поддержкой BITS и понять виртуальные каталоги, созданные на точках распространения с поддержкой двоичной интеллектуальной службы передачи (BITS) для поддержки клиентов в основном режиме.

Получение доступа к пакету из доверенного леса

У Николая есть объявление для загрузки финансового приложения и его локального запуска. Как было показано на блок-схеме в Блок-схема доступа к пакету при загрузке с точки распространения в интрасети, для оценки доступа Николая к пакету используется следующий процесс.

Сайт находится в основном режиме?

Да. Все домены находятся на сайте SJC, и этот сайт настроен для основного режима.

Поддерживает ли SJC-DP1 BITS?

Да. Администратор настроил все точки распространения на сайте SJC так, чтобы они поддерживали BITS для повышения эффективности загрузки.

Соединяется клиент с виртуальным каталогом подтверждения подлинности Windows (SMS_DP_SMSPKGE$) или с виртуальным каталогом подтверждения подлинности при помощи сертификатов (NOCERT_SMS_DP_SMSPKGE$)?

Клиент случайным образом выбирает виртуальный каталог SMS_DP_SMSPKGE$.

Может ли контекст безопасности получить доступ к закрытому ключу сертификата клиента?

Да. Николай вошел в систему как локальный администратор, поэтому его пользовательская учетная запись может получить доступ к закрытому ключу для сертификата подтверждения подлинности клиента.

Предоставляют ли разрешения пакета доступ к каталогу пакета гостевой учетной записи Интернета (IUSR)?

Нет. По умолчанию гостевая учетная запись Интернета будет членом группы "Пользователи" на SJC-DP1 и поэтому может получить доступ к пакету. Тем не менее, администратор изменил учетные записи доступа к пакету по умолчанию. Пользователям не разрешается читать каталог пакета на SJC-DP1, но члены локальной группы домена "Финансы" могут это делать. Учетная запись IUSR не является членом группы безопасности "Финансы".

Примечание
Разрешение анонимного доступа к содержимому пакета не считается существенным риском, потому что клиент должен сначала подтвердить свою подлинность при помощи действительного сертификата подтверждения подлинности клиента, прежде чем ему будет предоставлен доступ к содержимому пакета при помощи учетной записи IUSR.

Программа объявлена пользователю или группе пользователей?

Да. Объявление посылается коллекции, содержащей только пользователей в группе безопасности "Финансы".

Предоставляют ли разрешения для пакета Николаю доступ к каталогу пакета?

Нет. Даже если бы были группы, настроенные так, чтобы разрешить учетной записи Николая быть членом локальной группы "Пользователи" на SJC-DP1, администратор удалил ACL для группы "Пользователи". Николая может получить доступ к каталогу пакета, только если он является локальным администратором на SJC-DP1, либо если он является членом локальной группы домена "Финансы".

Предоставляют ли разрешения пакета доступ учетной записи доступа к сети?

Нет. Учетная запись доступа к сети не является членом группы "Финансы". Если администратор вопреки рекомендованным методикам добавил учетную запись доступа к сети как учетную запись доступа к пакету, Алексей сможет получить доступ к пакету, несмотря на то, что он не является членом группы "Финансы".

Предоставляют ли разрешения для пакета учетной записи персонального компьютера Николая доступ к каталогу пакета?

Нет. Учетная запись персонального компьютера Николая не является ни администратором, ни членом группы "Финансы".

Предоставляют ли разрешения пакета доступ учетной записи доступа к сети?

Хотя клиент Configuration Manager 2007 уже совершил неудачную попытку получить доступ к каталогу пакета при помощи учетной записи доступа к сети, он пытается снова.

Если в основном режиме, мы уже пытались подключиться к виртуальному каталогу SMS_DP_SMSPKGE$?

Да. Сначала клиент случайным образом выбирает виртуальный каталог SMS_DP_SMSPKGE$. Если бы клиент начал с каталога NOCERT_ SMS_DP_, затем он бы попытался подтвердить подлинность клиента при помощи сертификата, что бы ему удалось. Затем клиент попытался бы загрузить пакет при помощи гостевой учетной записи Интернета, что у него не получилось бы. Будет получен тот же результат: Николая не может загрузить и запустить программу.

Получение доступа к пакету из того же домена

Александр пытается запустить то же объявление. Александр является членом группы "Глобальные пользователи финансов", которая является членом локальной группы домена "Финансы" на SJC-DC1. Клиент Александра случайным образом подключается к виртуальному каталогу SMS_DP_SMSPKGE$ и его подлинность подтверждается при помощи сертификата клиента. Однако учетная запись IUSR не является членом группы "Финансы", поэтому клиент переключается на каталог NOCERT_. Поскольку списки ACL для каталога пакета предоставляют членам группы "Финансы" доступ для чтения, Александру разрешается получить доступ к пакету.

Получение доступа к пакету из другого домена

Алексею не удается запустить объявление, потому что он не является членом группы "Финансы". Когда клиент сначала подключается к виртуальному каталогу NOCERT_SMS_DP_SMSPKGE$, ему не удается получить доступ, так как его учетная запись, учетная запись доступа к сети, и учетная запись его компьютера не являются членами группы "Финансы". Не смотря на то, что подтверждение подлинности Windows закончилось неудачей, клиент пытается получить доступ при помощи виртуального каталога NOCERT_SMS_DP_SMSPKGE$ с подтверждением подлинности с использованием сертификата. Однако IUSR не является членом группы "Финансы", поэтому Алексей не может получит доступ к пакету.

Получение доступа к пакету из леса без доверия

Руслан не может быть членом группы "Финансы", потому что нет доверия с лесом Adatum.com, поэтому Руслан не может загрузить и запустить финансовую программу. Если круг лиц, имеющих доступ к пакету, должен быть ограничен членами группы "Финансы", то это желаемый результат. Если бы администратор добавил IUSR к списку учетных записей доступа к пакету, Руслан смог бы получить доступ к сертификату пакета при помощи подтверждения подлинности и анонимного доступа.

Важно!
В основном режиме добавление IUSR к учетным записям доступа к пакету позволяет клиентам, чья подлинность подтверждена при помощи сертификатов, обойти все прочие учетные записи доступа к пакету. В смешанном режиме добавление IUSR к учетным записям доступа к пакету позволяет клиентам, чья подлинность подтверждена при помощи сертификатов, обойти все прочие учетные записи доступа к пакету.

Предположим, администратор создает новое объявление для Microsoft Office 2003, но не изменяет учетные записи доступа к пакету. Администратор также изменяет учетную запись доступа к сети в доменных службах Active Directory, но не перенастраивает учетную запись в консоли Configuration Manager 2007. Когда персональный компьютер Руслана пытается запустить объявление, используется следующий процесс.

Сайт находится в основном режиме?

Да.

Поддерживает ли SJC-DP1 BITS?

Да.

Соединяется клиент с виртуальным каталогом подтверждения подлинности Windows (SMS_DP_SMSPKGE$) или с виртуальным каталогом подтверждения подлинности при помощи сертификатов (NOCERT_SMS_DP_SMSPKGE$)?

Клиент случайным образом выбирает виртуальный каталог SMS_DP_SMSPKGE$.

Может ли клиент подтвердить свою подлинность при помощи сертификата клиента?

Да. У персонального компьютера Руслана есть действительный сертификат подтверждения подлинности для основного режима.

Предоставляют ли разрешения пакета доступ к каталогу пакета гостевой учетной записи Интернета (IUSR)?

Да. По умолчанию гостевая учетная запись Интернета является членом группы "Пользователи" на SJC-DP1, поэтому она может получить доступ к пакету, даже, несмотря на то, что нет отношения доверия, и учетная запись доступа к сети не действительна до тех пор, пока администратор не настроит правильный пароль. Если бы клиент Руслана сначала подключился к виртуальному каталогу NOCERT_SMS_DP_SMSPKGE$, он бы попытался подтвердить подлинность Руслана при помощи проверки подлинности Windows. Когда эта попытка закончится неудачей, он вернется к каталогу SMS_DP_SMSPKGE$ и его подлинность будет подтверждена при помощи сертификата.

Интернет-клиенты, запускающие объявления

Интернет-клиенты могут только загружать и запускать объявления. Они не могут запускать их с точки распространения.

Клиенты интрасети случайным образом выбирают виртуальный каталог SMS_DP_ или виртуальный каталог NOCERT_SMS_DP_. Затем они переключаются на другой виртуальный каталог, если первому каталогу не удается подтвердить их подлинность и получить доступ для загрузки содержимого. Интернет-клиенты получают только виртуальный каталог SMS_DP_ на точках распределения, для которых включена поддержка Интернет-клиентов. Если клиенты не могут подтвердить свою подлинность при помощи сертификата, они не могут загрузить пакет. Это сделано для того, чтобы требовать подтверждение подлинности при помощи сертификата для Интернет-клиентов.

Если вошедший в систему пользователь является администратором, он может получить доступ к локальному хранилищу сертификатов, чтобы предоставить сертификат подтверждения подлинности клиента точке распространения. Если программа активирована по расписанию, она активируется локальной системной учетной записью, которая может получить доступ к локальному хранилищу сертификатов для представления сертификата.

Если Интернет-клиент может представить сертификат для подтверждения подлинности в основном режиме, у учетной записи IUSR все равно должны быть разрешения для доступа к каталогу папки или программа не сможет работать.

У Евгения есть объявление о загрузке корпоративного антивирусного приложения и его локального запуска. Чтобы оценить доступ Евгения к антивирусному пакету, используется следующий процесс. См. блок-схему в разделе Блок-схема доступа к пакету для интернет-клиентов.

Сайт работает под управлением Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздним?

Нет.

Примечание
В Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий объявления можно запускать без расписания, даже если вошедший в систему пользователь не является администратором.

Является администратором вошедший в систему пользователь?

Нет. Следуя рекомендациям безопасности, Евгений входит в систему как обычный пользователь на своем компьютере с операционной системой Windows Vista и использует службу управления доступом пользователя, когда ему нужен административный доступ.

Программа настроена для работы в качестве запланированного объявления?

Да. Антивирусная программа работает раз в неделю.

Поскольку программа запланирована, она запускается в контексте локальной системной учетной записи. У локальной системной учетной записи есть права доступа к закрытому ключу сертификата подтверждения подлинности клиента для подтверждения его подлинности для точки распространения.

Подлинность закрытого ключа подтверждена?

Да. Сертификат подтверждения подлинности клиента получен от доверенного центра сертификации.

Предоставляют ли разрешения пакета доступ к каталогу пакета гостевой учетной записи Интернета?

Да. Администратор не изменил учетные записи доступа к пакету по умолчанию. Пакет загружается при помощи анонимного доступа.

Эта программа настроена на запуск с правами администратора?

Да. Администратор настраивает программу так, чтобы она работала независимо от того, вошел пользователь в систему или нет.

Программа работает в контексте безопасности локальной системной учетной записи.

Евгению нужен доступ к финансовому приложению. Он получает объявление для загрузки финансового приложения и его локального запуска. Чтобы оценить доступ Евгения к пакету, используется следующий процесс. См. блок-схему в разделе Блок-схема доступа к пакету для интернет-клиентов.

Сайт работает под управлением Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздним?

Нет.

Является администратором вошедший в систему пользователь?

Да. Евгений вошел в систему как локальный администратор, чтобы получить пакет.

Так как Евгений — администратор, у него есть права доступа к закрытому ключу сертификата подтверждения подлинности клиента для подтверждения его подлинности для точки распространения.

Подлинность закрытого ключа подтверждена?

Да. Сертификат подтверждения подлинности клиента получен от доверенного центра сертификации.

Предоставляют ли разрешения пакета доступ к каталогу пакета гостевой учетной записи Интернета?

Нет. По умолчанию гостевая учетная запись Интернета будет членом группы "Пользователи" на IBCM-DP1 и поэтому может получить доступ к пакету. Тем не менее, администратор изменил учетные записи доступа к пакету по умолчанию. Пользователям не разрешается читать каталог пакета на IBCM-DP1, но члены локальной группы домена "Финансы" могут это делать. Учетная запись IUSR не является членом группы безопасности "Финансы".

Важно!
интернет-клиенты должны использовать сертификаты для подтверждения подлинности, а затем загрузить пакет при помощи анонимного доступа, поэтому учетные записи доступа к пакету не могут использоваться для ограничения доступа на основе учетных записей пользователя или группы.

Администраторы должны рассмотреть желаемый результат при удалении учетных записей доступа к пакету по умолчанию для пакетов, скопированных на точки распространения с поддержкой Интернет-клиентов. Если круг лиц, имеющих доступ к пакету, должен быть ограничен членами группы "Финансы", то отказ Евгению в доступе к пакету — это желаемый результат. Если Интернет-пользователь должен получить доступ к пакету, у гостевой учетной записи Интернета должны быть разрешения NTFS для доступа к исходным файлам пакета.

См. также