Configuration Manager のインターネット ゲスト アカウントについて
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
インターネット ゲスト アカウント IUSR_<コンピュータ名> は、Microsoft System Center Configuration Manager 2007 クライアントが Windows 認証を使用しないでコンテンツにアクセスする場合に、BITS 対応配布ポイントに匿名アクセスするために使用されます。たとえば、ネイティブ モードでは、Configuration Manager 2007 クライアント コンピュータは、PKI 証明書によって認証されます。PKI 証明書はユーザーまたはコンピュータのアカウントにマッピングされないため、HTTP 経由でコンテンツにアクセスする Configuration Manager 2007 ネイティブ モード クライアントは、インターネット ゲスト アカウントによる匿名アクセスを使用します(配布ポイントが BITS 対応でない場合、またはクライアントが HTTP 経由でコンテンツにアクセスできない場合、クライアントはフォールバックしてサーバー メッセージ ブロック (SMB) を使用します。この場合、クライアントは Windows 認証を使用します)。また、モバイル デバイス クライアントが配布ポイント上のコンテンツにアクセスする必要がある場合、モバイル デバイスにはセキュリティ コンテキストがないため、Configuration Manager 2007 は仮想ディレクトリ構成を使用してモバイル デバイスに匿名アクセスを与える必要があります。
必要な権限とアクセス許可
モバイル デバイス クライアントに匿名アクセスを許可するように配布ポイントが構成されている場合、IUSR_<コンピュータ名> にはパッケージへのアクセス許可が必要です。それがないと、モバイル デバイス クライアントでの提供情報の実行に失敗します。
インターネット ベースのクライアントをサポートする場合、IUSR アカウントに NTFS アクセス許可がないと、パッケージが失敗します。ほとんどの場合、これは望ましい結果です。たとえば、ホーム オフィスの外で作業していて、組織のドメインのアカウントがないユーザーをセキュリティ グループに追加できません。セキュリティ グループがパッケージ アクセスの制限に使用されている場合、そのユーザーはメンバーではなく、パッケージに対する NTFS アクセス許可がありません。このユーザーがパッケージにアクセスするには、パッケージ アクセスが匿名で行われる必要があります。クライアントに匿名アクセスが許可されるのは、有効なクライアント認証証明書が先に提示された場合のみです。
重要
インターネット ベースのクライアントは、認証に証明書を使用し、匿名アクセスを使用してパッケージをダウンロードする必要があるので、ユーザー アカウントまたはグループ アカウントに基づいてアクセスを制限するのにパッケージ アクセス アカウントを使用することはできません。
ユーザー グループからインターネット ゲスト アカウントを削除する場合、およびパッケージ アクセス アカウントとしてユーザー グループを削除する場合は、インターネット ゲスト アカウントを、パッケージへのアクセスに必要なすべてのアクセス許可のあるパッケージ アクセス アカウントとして明示的にパッケージに追加できます。これを行う前に、これによって望ましい結果が得られること、およびこれがセキュリティ ポリシーおよびパッケージ アクセス ポリシーと整合性があることを確認してください。
重要
既定では、インターネット ゲスト アカウントには、仮想ディレクトリなどのインターネット インフォメーション サービス (IIS) リソースに対する権限が付与されます。Configuration Manager 2007 によって使用される IIS リソースへの既定のアクセス許可をインターネット ゲスト アカウントから削除することは、Configuration Manager 2007 の操作が失敗する原因になるため、サポートされていません。
アカウントとパスワードの作成
アカウントは、IIS のインストール時に自動的に作成されます。パスワードは、サーバーによって作成され、有効期限なしに設定されます。
アカウントの場所
アカウントは、IIS がインストールされているすべてのサーバーに作成されます。
アカウントの保守
IIS を手動で削除しようとしたこと、またはパスワードをリセットしようとしたことが理由で IUSR アカウントが同期されなくなった場合は、手動でのリセットを実行することが可能です。パスワードは、IIS メタベースとアカウント データベース (IIS がドメイン コントローラ上にある場合は Active Directory ドメイン サービス、またはメンバ サーバー上のローカル アカウント データベース) に格納されています。ユーザー インターフェイスでパスワードを変更した場合は、Metabase Explorer を使用して、metabase.xml ファイルまたは metabase.bin ファイルの IUSR パスワードをリセットする必要があります。詳細については、https://go.microsoft.com/fwlink/?LinkId=102502 を参照してください。
参照:
概念
その他のリソース
Configuration Manager で使用される Windows アカウント
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.