次の方法で共有


ネットワーク アクセス アカウントについて

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 クライアント コンピュータはコンピュータ上で、ほとんどの Configuration Manager 2007 クライアントの操作をローカル システム アカウントを使用して実行しますが、ローカル システムはネットワーク リソースにアクセスすることはできません。クライアント コンピュータは、配布ポイントにアクセスしてオペレーティング システム展開パッケージなどのパッケージを実行するとき、computername$ アカウントを使用して、信頼された Active Directory ドメインのリソースにアクセスします。ネットワーク アクセス アカウントは、ワークグループまたは信頼されていないドメインの Configuration Manager 2007 クライアントが、サイト サーバーのドメインのリソースにアクセスする必要があるときに提供されます。このアカウントは、オペレーティング システムの展開中にも必要となります。オペレーティング システムを受信するコンピュータには、ネットワーク上のコンテンツへのアクセスに使用できるセキュリティ コンテキストがないからです。

重要

ネットワーク アクセス アカウントは、プログラムの実行、ソフトウェアの更新のインストール、タスク シーケンスの実行のうちいずれかのセキュリティ コンテキストとして使用されることはなく、ネットワーク上のリソースにアクセスするためのセキュリティ コンテキストとして使用されます。

必要な権限とアクセス許可

このアカウントには、アクセスする必要があるソフトウェアの配布またはオペレーティング システム展開のコンテンツで、最低限の適切なアクセス許可が必要です。このアカウントは、パッケージ コンテンツが保存されている配布ポイントまたはその他のサーバーで、ネットワークからこのコンピュータにアクセスできる必要があります。

ネットワーク アクセス アカウントはサイトごとに 1 つしか作成できないので、このアカウントは、必要となるすべてのパッケージおよびタスク シーケンスで機能する必要があります。

ソフトウェアの配布のシナリオ

内容に接続するために使用されるアカウントと、プログラムの実行に使用されるアカウントは、プログラムと提供情報の構成によって異なります。

注意

プログラムは、プログラム プロパティで管理者が指定したコンテキスト内で常に実行されます。ネットワーク アクセス アカウントは、配布ポイントの共有フォルダへのアクセスに使用された場合でも、プログラムの実行には使用されません。

配布ポイントからダウンロードする場合の提供情報の構成

プログラムの提供先 プログラムの起動 配布ポイントの共有フォルダへのアクセスに使用されるアカウントのシーケンス

ユーザーまたはグループ

ユーザーが開始するか、スケジュールに従って起動

  1. ログオンしたユーザー

  2. ネットワーク アクセス アカウント

  3. Computername$

  4. ネットワーク アクセス アカウント*

コンピュータ

ユーザーが起動

  1. ログオンしたユーザー

  2. ネットワーク アクセス アカウント

  3. Computername$

  4. ネットワーク アクセス アカウント*

コンピュータ

スケジュールに従って起動

  1. Computername$

  2. ネットワーク アクセス アカウント

* Configuration Manager は、computername$ コンテキストを使用して内容をダウンロードしようとして失敗した場合、既に試みて失敗した場合であっても、ネットワーク アクセス アカウントの使用を自動的にもう一度試みます。

配布ポイントから実行する場合の提供情報の構成

プログラムの構成 配布ポイントの共有フォルダへのアクセスに使用されるアカウントのシーケンス

ユーザーの権限で実行する

1. ログオンしたユーザー

2. ネットワーク アクセス アカウント

管理者権限で実行する

1. Computername$

2. ネットワーク アクセス アカウント

ユーザーの権利で実行するように構成された Windows インストーラ ファイル

Configuration Manager 2007 クライアントは、次のアカウント シーケンスを使用し、配布ポイントにアクセスして Windows インストーラ アプリケーションを実行しようとします。

1. ログオンしたユーザー

2. ネットワーク アクセス アカウント

Configuration Manager 2007 クライアントは、次のアカウント シーケンスを使用し、配布ポイントにアクセスしてユーザーの Windows インストーラの権利を昇格しようとします。

1. Computername$

2. ネットワーク アクセス アカウント

多くの場合は、Windows インストーラ ファイルがユーザーのコンテキストにインストールされているとき、インストールに管理コンテキストが必要となるコンポーネントがファイル内に存在します。Configuration Manager 2007 クライアントは、Windows インストーラ昇格を活用して、アプリケーションが正しくインストールされるようにすることができます。クライアントは昇格が必要かどうかを認識しないので、プログラムで必要かどうか、ログオン ユーザーが管理者であるかどうかに関係なく、Windows インストーラのインストールを常に昇格しようとします。昇格を正常に行うには、Computername$ アカウントまたはネットワーク アクセス アカウントがリソースにアクセスできる必要があります。Computername$ アカウントとネットワーク アクセス アカウントの両方が配布ポイントの共有フォルダにアクセスする権限がない場合、プログラムはユーザーのコンテキストで動作しますが、昇格はエラーになります。この場合は、Windows インストーラー パッケージの昇格のエラーを示すステータス メッセージ 10046 が表示されます。Windows インストーラ ファイル内の処理でシステムへの管理者アクセスが必要である場合、インストールはエラーになります。

配布ポイントの共有フォルダへの接続が確立すると、プログラムがユーザー権利で実行するように構成されている場合、プログラムは、共有へのアクセスに使用されるアカウントに関係なく、ログオン ユーザーのコンテキストで動作します。プログラムは、管理者権限で実行するように構成されている場合、ローカル システム アカウントのコンテキストで動作します。

オペレーティング システム展開のシナリオ

Configuration Manager 2007 がネットワーク アクセス アカウントを使用して、配布ポイントに保存されているタスク シーケンスにアクセスできる場合、ネットワーク アクセス アカウントはコンテンツへのアクセスのみに使用され、タスク シーケンスの実行には使用されません。タスク シーケンスは、ローカル システム アカウントのコンテキストのみで実行されます。

タスク シーケンスは、パッケージとは異なり、ユーザーおよびグループではなく、コンピュータのみに提供できます。

オペレーティング システムの展開にブート イメージを使用している場合、Configuration Manager 2007 は、完全なオペレーティング システムではない Windows プレインストール環境 (Windows PE) を使用します。コンピュータは、Windows PE を実行している間、自動的に生成されたランダムな名前を使用し、どのドメインのメンバでもありません。セキュリティ制限により、コンピュータは、タスク シーケンスの Windows PE 段階で配布ポイントにアクセスできないことがあります。

提供情報の構成 配布ポイントの共有フォルダへのアクセスに使用されるアカウントのシーケンス – Windows PE 配布ポイントの共有フォルダへのアクセスに使用されるアカウントのシーケンス – オペレーティング システム

オプション

  1. ネットワーク アクセス アカウント

  2. Computername$

  1. ネットワーク アクセス アカウント

  2. Computername$

  3. ネットワーク アクセス アカウント*

必須

  1. ネットワーク アクセス アカウント

  2. Computername$

  1. Computername$

  2. ネットワーク アクセス アカウント

* Configuration Manager は、computername$ コンテキストを使用して内容をダウンロードしようとして失敗した場合、既に試みて失敗した場合であっても、ネットワーク アクセス アカウントの使用を自動的にもう一度試みます。

アカウントとパスワードの作成

管理者は Active Directory ドメイン サービス データベースにアカウントとパスワードを作成し、Configuration Manager 2007 コンソールでアカウントを使用するように Configuration Manager 2007 を構成します。

重要

ネットワーク アクセス アカウント用パスワードは、38 文字以下に制限されます。

アカウントの場所

このアカウントは、リソースへの必要なアクセスを提供する任意のドメインに作成できます。ネットワーク アクセス アカウントには、常にドメイン名が含まれている必要があります。このアカウントでは、パススルー セキュリティはサポートされません。複数のドメインがある場合は、信頼される側のドメインにアカウントを作成します。

アカウントの保守

Configuration Manager 2007 管理者がアカウントおよびパスワードを作成して保守します。

アカウントのロックアウトを避けるため、既存のネットワーク アクセス アカウントのパスワードは変更しないでください。新しいアカウントを作成し、このアカウントを使用するように Configuration Manager 2007 を設定する必要があります。すべてのクライアントが新しいアカウントの詳細情報を受け取ったら、ネットワーク共有フォルダから古いアカウントを削除する必要があります。

セキュリティの運用方法

このアカウントに対話型ログオン権限を付与しないでください。

コンピュータがドメインに参加する権利をこのアカウントに付与しないでください。タスク シーケンス中にコンピュータをドメインに参加させる必要がある場合は、タスク シーケンス エディタのドメイン参加アカウントを使用します。

クライアント ネットワーク アクセス アカウントの使用は避けてください。これは一般的なアカウントであり、すべてのユーザーには適切でないパッケージも含めて、複数のパッケージへのアクセスを許可するために使用できるからです。ローミングやワークグループの環境の関係で使用する必要がある場合は、最小限のアクセス許可のみを割り当てて、ドメイン管理者の権限は割り当てないようにします。

他のすべてのアカウントと同様に、空白のパスワードは使用しないでください。Configuration Manager 2007 コンソールでこのアカウントを構成するときにパスワードを指定しないと、アカウントは保存されません。

ネットワーク アクセス アカウントは、Users のメンバであり、既定で含まれているため、パッケージ アクセス アカウントとして追加する必要はありません。ネットワーク アクセス アカウントのみにパッケージの ACL を制限しても、クライアントがパッケージにアクセスすることを防止することにはなりません。Configuration Manager 2007 クライアントは、必要なときにネットワーク アクセス アカウントの使用を要求できるからです。未許可ユーザーからパッケージのコンテンツを保護するには、ユーザー グループを追加するのではなく、ユーザーまたはグループをパッケージ アクセス アカウントに追加します。

参照:

タスク

ネットワーク アクセス アカウントの構成方法

概念

パッケージ アクセス アカウントについて

その他のリソース

Configuration Manager コンソールで構成されるアカウント

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.