パッケージ アクセス シナリオの例
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 でソフトウェアを配布するために、Configuration Manager 2007 はパッケージ、プログラム、および提供情報を作成します。パッケージにソース ファイルが含まれる場合、管理者はパッケージを配布ポイントにコピーする必要があります。既定では、ファイルのアクセス制御リスト (ACL) が管理者にフル コントロール、ユーザーに読み取りアクセス権を許可するように設定されています。パッケージのアクセス権を変更することはできますが、Configuration Manager 2007 がさまざまな状況下でパッケージにどのようにアクセスするのかを理解しておく必要があります。これは、不正ユーザーによる機密パッケージへのアクセスを許可したり、正規ユーザーによる業務必須パッケージへのアクセスを拒否したりという事態が発生するのを減らすためです。
以下のシナリオを読む前に、ユーザー、グループ、ACL、フォレスト アーキテクチャなどの Windows の基本概念を理解しておく必要があります。また、「ソフトウェアの配布の概要」に記載されているソフトウェアの配布の概念についても理解しておく必要があります。
このトピックでは、以下の一般的なシナリオを紹介しています。
配布ポイントから実行するように構成された提供情報
キャッシュからダウンロードおよび実行するように構成された提供情報
インターネット ベースのクライアントが実行している提供情報
これらには、サイト間のローミングの例は含まれていません。パッケージのアクセスについては、クライアントがローミングしているかどうかにかかわらず、同じ手順に従います。ローミングの詳細については、「Configuration Manager のローミングのシナリオ例 :簡易」および「Configuration Manager のローミングのシナリオ例 :複合」を参照してください。
すべてのシナリオ例で使用する階層
以下の図は、6 つの異なるドメインと 1 人のインターネット ベースのユーザーが存在する 1 つの Configuration Manager サイトを示しています。
.gif "例の階層を示すグラフィック")
配布ポイントから実行するように構成された提供情報
Todd は、配布ポイントから実行するように構成された提供情報を受け取ります。管理ポイントは、コンテンツの場所の要求に応えて、SJC-DP1 を返します。
提供情報が配布ポイントから実行するように構成されている場合、ファイルのアクセスはネイティブ モードであっても常にサーバー メッセージ ブロック (SMB) 経由になり、証明書認証ではなく Windows 認証が使用されます。
Todd はフォレスト内の信頼されたドメインにいますが、SJC-DP1 ではありません。Todd がパッケージにアクセスできるかどうかは、管理者がローカル グループ、ドメインのローカル グループ、ユニバーサル グループ、またはグローバル グループの構成で dev.corp.contoso.com のリソースに corp.contoso.com のサーバーへのアクセスを許可しているかどうかによって決まります。また、Todd のアクセス権は、Configuration Manager 2007 管理者がパッケージ ディレクトリに ACL を自動的に設定するように構成したパッケージ アクセス アカウントにも左右されます。
Todd のコンピュータ アカウントとユーザー アカウントが SJC-DP1 にアクセスできない場合でも、管理者がネットワーク アクセス アカウントを構成していて、そのアカウントが、直接またはグループ メンバシップ経由のいずれであっても、パッケージ アクセス アカウントの構成に基づいたパッケージ ディレクトリへのアクセス許可を持っていれば、Todd がそのパッケージにアクセスできる可能性はあります。
注意
ネットワーク アクセス アカウントは、Users のメンバであり、既定で含まれているため、パッケージ アクセス アカウントとして追加する必要はありません。ネットワーク アクセス アカウントのみにパッケージの ACL を制限しても、クライアントがパッケージにアクセスすることを防止することにはなりません。Configuration Manager 2007 クライアントは、必要なときにネットワーク アクセス アカウントの使用を要求できるからです。
別のドメインからのパッケージへのアクセス
「配布ポイントから実行する時のパッケージ アクセスのフローチャート」のフローチャートを参照し、次の手順によってこのパッケージに対する Todd のアクセス権が評価されます。
プログラムは管理者権限で実行するように構成されていますか? |
いいえ。 |
パッケージのアクセス許可では、ログオン ユーザーのアクセスが許可されていますか? |
いいえ。管理者は、dev.corp.contoso.com の Domain Users グループを SJC-DP1 のローカル Users グループに追加していません。また、他のグループについても Todd のユーザー アカウントに直接アクセスを許可するようには構成していません。 |
ネットワーク アクセス アカウントは構成されていますか? |
はい。Todd の管理者は、corp.contoso.com ドメインにアカウントを作成し、Configuration Manager 2007 コンソールでそのアカウントをネットワーク アクセス アカウントに構成しました。 |
アクセス許可では、そのネットワーク アクセス アカウントがパッケージ ディレクトリにアクセスできるようになっていますか? |
はい。Todd の管理者は既定のパッケージ アクセス アカウントを変更していません。パッケージ ディレクトリの ACL では、ユーザーの読み取りアクセス権と管理者のフル コントロールが許可されています。ネットワーク アクセス アカウントは、corp.contoso.com ドメインのユーザーです。 Tom のコンピュータは、パッケージを実行するために、ネットワーク アクセス アカウントを使用して SJC-DP1 に接続します。 |
このパッケージは、Windows インストーラ パッケージですか?(インストール ファイルは .msi 形式ですか?) |
はい。これは社内アプリケーションです。社内の開発チームが Windows インストーラ パッケージを作成しました。 |
パッケージのアクセス許可では、Todd-PC$ がパッケージ ディレクトリにアクセスするのを許可していますか? |
いいえ。管理者は、SJC-DP1 に対するアクセスを Todd-PC$ に許可するグループやパッケージ アクセス アカウントを構成していません。 |
、ネットワーク アクセス アカウントは構成されていますか? |
はい。 |
アクセス許可では、そのネットワーク アクセス アカウントがパッケージ ディレクトリにアクセスできるようになっていますか? |
はい。ネットワーク アクセス アカウントは、既に SJC-DP1 上のパッケージ共有フォルダに接続できますが、インストール ファイルが Windows インストーラ ファイルなので、Configuration Manager 2007 クライアントでは、Todd-PC の管理者権限がないとインストールできないようになっています。プログラムを実行すると、管理者権限を必要とするすべての処理が、このネットワーク アクセス アカウントを使用して配布ポイントに接続します。Todd のコンピュータでは、彼のユーザー アカウントでプログラムが実行されます。これは、このプログラムが管理者権限で実行するように構成されていなかったためです。 Todd はパッケージのインストールに成功します。 |
同じドメインからのパッケージへのアクセス
Cliff が corp.contoso.com の自分のアカウントで同じ提供情報を実行しようとする場合は、ネットワーク アクセス アカウントは必要ありません。Configuration Manager 2007 クライアント コンポーネントは、Cliff のユーザー アカウントを使用して SJC-DP1 に接続し、昇格が必要な処理がある場合は、Cliff-PC$ アカウントを使用して接続します。
信頼されているフォレストからのパッケージへのアクセス
April が treyreasearch.net の自分のアカウントで同じ提供情報を実行しようとする場合も、同様の状態になります。corp.contoso.com と treyresearch.net 間にフォレストの信頼関係がある場合でも、管理者はグループおよびパッケージ アクセス アカウントを使用して適切なアクセス権を構成するか、またはネットワーク アクセス アカウントを構成する必要があります。これらの構成を行わないと、April はパッケージにアクセスできません。
信頼されていないフォレストからのパッケージへのアクセス
Torsten が adatum.com からパッケージを実行しようとしても、adatum.com と corp.contoso.com 間に信頼関係がないため、グループやパッケージ アクセス アカウントを使用してもアクセス権を取得できません。このシナリオの場合は、適切な ACL が設定されたネットワーク アクセス アカウントがなければ、Torsten はパッケージにアクセスできません。
キャッシュからダウンロードおよび実行するように構成された提供情報
提供情報がクライアント コンピュータ上のローカル キャッシュからダウンロードおよび実行するように構成されている場合、パッケージのダウンロードにどのアカウントが使用されるかは、さまざまな要因によって異なります。ただし、パッケージは常に、ローカル システムのセキュリティ コンテキスト (プログラムが管理者権限で実行するように構成されている場合) か、ログオン ユーザーのセキュリティ コンテキストのいずれかで実行されます。プログラムのダウンロードに使用するアカウントには左右されません。
重要
このセクションを読む前に、「BITS 対応の配布ポイントについて」を参照し、ネイティブ モードのクライアントをサポートするためにバックグラウンド インテリジェント転送サービス (BITS) 対応の配布ポイントに作成される仮想ディレクトリについて理解しておく必要があります。
信頼されているフォレストからのパッケージへのアクセス
Marcus は、経理アプリケーションをダウンロードしてローカルで実行する提供情報を持っています。「イントラネット ベースの配布ポイントからダウンロードする時のパッケージ アクセスのフローチャート」のフローチャートを参照し、次の手順によってこのパッケージに対する Marcus のアクセス権が評価されます。
このサイトはネイティブ モードですか? |
はい。すべてのドメインが SJC サイト内にあり、このサイトはネイティブ モード用に構成されています。 |
SJC-DP1 は BITS 対応ですか? |
はい。管理者は、ダウンロードの効率を高めるために、SJC サイト内のすべての配布ポイントを BITS 対応に構成しています。 |
クライアントが、Windows 認証の仮想ディレクトリ (SMS_DP_SMSPKGE$) か証明書認証の仮想ディレクトリ (NOCERT_SMS_DP_SMSPKGE$) に接続しますか? |
クライアントは SMS_DP_SMSPKGE$ 仮想ディレクトリをランダムに選択します。 |
セキュリティ コンテキストはクライアント証明書の秘密キーにアクセスできますか? |
はい。Marcus はローカル管理者としてログオンしていますので、彼のユーザー アカウントでクライアント認証証明書の秘密キーにアクセスできます。 |
パッケージのアクセス許可では、インターネット ゲスト (IUSR) アカウントのパッケージ ディレクトリへのアクセスを許可していますか? |
いいえ。既定では、インターネット ゲストのアカウントは SJC-DP1 の Users グループのメンバになるため、パッケージにアクセスできます。しかし、管理者がこの既定のパッケージ アクセス アカウントを変更しました。ユーザーは SJC-DP1 のパッケージ ディレクトリの読み取りを許可されていませんが、経理ドメインのローカル グループのメンバは許可されています。IUSR アカウントは、経理のセキュリティ グループのメンバではありません。 注意 パッケージ コンテンツへの匿名アクセスを許可することは、重大なリスクとは見なされません。クライアントは、IUSR アカウントを使用してパッケージ コンテンツにアクセスする前に、有効なクライアント認証証明書で認証される必要があるからです。 |
プログラムはユーザーまたはユーザー グループに提供されますか? |
はい。提供情報は、経理のセキュリティ グループに属するユーザーのみを含むコレクションに送信されます。 |
パッケージのアクセス許可では、Marcus がパッケージ ディレクトリにアクセスするのを許可していますか? |
いいえ。Marcus のアカウントを SJC-DP1 のローカル Users グループのメンバとして許可するように構成されたグループがあったとしても、管理者がユーザーの ACL を削除しています。Marcus は、自身が SJC-DP1 のローカル管理者であるか、または経理ドメインのローカル グループのメンバでない限り、パッケージ ディレクトリにアクセスできません。 |
パッケージのアクセス許可では、ネットワーク アクセス アカウントのアクセスが許可されていますか? |
いいえ。ネットワーク アクセス アカウントは、経理グループのメンバではありません。管理者が、最適な方法を無視してネットワーク アクセス アカウントをパッケージ アクセス アカウントとして追加した場合、Todd は経理グループのメンバでなくてもパッケージにアクセスできるようになります。 |
パッケージのアクセス許可では、Marcus-PC$ がパッケージ ディレクトリにアクセスするのを許可していますか? |
いいえ。Marcus-PC$ は、管理者でも経理グループのメンバでもありません。 |
パッケージのアクセス許可では、ネットワーク アクセス アカウントのアクセスが許可されていますか? |
Configuration Manager 2007 クライアントは、たとえ、ネットワーク アクセス アカウントを使用したパッケージ ディレクトリへのアクセスが既に失敗に終わっていたとしても、再試行します。 |
ネイティブ モードの場合、SMS_DP_SMSPKGE$ 仮想ディレクトリに接続してみましたか? |
はい。クライアントは、まずランダムに SMS_DP_SMSPKGE$ 仮想ディレクトリへの接続を試みました。クライアントが NOCERT_ SMS_DP_ ディレクトリから開始していた場合、次に証明書を使用してクライアントの認証を試み、これには成功します。その後、クライアントはインターネット ゲスト アカウントを使用してパッケージのダウンロードを試みますが、ダウンロードは失敗します。つまり、結果は同じです。Marcus は、プログラムをダウンロードして実行することはできません。 |
同じドメインからのパッケージへのアクセス
Cliff は同じ提供情報を実行しようとします。Cliff は、経理のグローバル ユーザー グループのメンバ、つまり SJC-DC1 の経理ドメインのローカル グループのメンバです。Cliff のクライアントは、SMS_DP_SMSPKGE$ 仮想ディレクトリにランダムに接続し、クライアント証明書を使用して認証されます。しかし、IUSR アカウントが経理グループのメンバではないため、クライアントが NOCERT_ ディレクトリへの接続に切り替えます。パッケージ ディレクトリの ACL では経理ユーザーの読み取りアクセスが許可されているため、Cliff はパッケージにアクセスできます。
別のドメインからのパッケージへのアクセス
Todd は経理グループのメンバではないため、提供情報の実行に失敗します。彼のクライアントは、まず、NOCERT_SMS_DP_SMSPKGE$ 仮想ディレクトリに接続しますが、Todd のアカウント、ネットワーク アクセス アカウント、および彼のコンピュータ アカウントが経理のメンバではないため、アクセスに失敗します。Windows 認証が失敗しても、クライアントは NOCERT_SMS_DP_SMSPKGE$ 仮想ディレクトリと証明書認証を使用してアクセスを試みます。しかし、IUSR が経理のメンバではないため、Todd はパッケージにアクセスできません。
信頼されていないフォレストからのパッケージへのアクセス
Torsten は、Adatum.com フォレストとの信頼関係がないため経理グループのメンバになることができません。したがって、経理プログラムを正常にダウンロードして実行することはできません。パッケージへのアクセスを確実に経理ユーザーに限定する必要がある場合、これは望ましい結果であるといえます。管理者がパッケージ アクセス アカウントの一覧に IUSR を追加すると、Torsten が認証と匿名アクセスを使用してパッケージ証明書にアクセスできます。
重要
ネイティブ モードの場合は、IUSR をパッケージ アクセス アカウントに追加することにより、証明書で認証されたクライアントはその他のすべてのパッケージ アクセス アカウントを無視できます。混在モードの場合は、Windows 認証のみが使用されるため、IUSR をパッケージ アクセス アカウントに追加しても、クライアントはその他のすべてのパッケージ アクセス アカウントを無視できません。
たとえば、管理者が、Microsoft Office 2003 用の新しい提供情報を作成しても、パッケージ アクセス アカウントを変更しないと仮定します。また、Active Directory ドメイン サービスのネットワーク アクセス アカウントを変更しても、Configuration Manager 2007 コンソールでアカウントを再構成しません。Torsten-PC がこの提供情報を実行しようとすると、以下の手順が使用されます。
このサイトはネイティブ モードですか? |
はい。 |
SJC-DP1 は BITS 対応ですか? |
はい。 |
クライアントが、Windows 認証の仮想ディレクトリ (SMS_DP_SMSPKGE$) か証明書認証の仮想ディレクトリ (NOCERT_SMS_DP_SMSPKGE$) に接続しますか? |
クライアントは SMS_DP_SMSPKGE$ 仮想ディレクトリをランダムに選択します。 |
クライアント証明書を使用して、クライアントを認証できますか? |
はい。Torsten-PC はネイティブ モードで有効なクライアント認証証明書を持っています。 |
パッケージのアクセス許可では、インターネット ゲスト (IUSR) アカウントのパッケージ ディレクトリへのアクセスを許可していますか? |
はい。既定では、インターネット ゲスト アカウントが SJC-DP1 の Users グループのメンバなので、信頼関係がなくてもパッケージにアクセスできます。ネットワーク アクセス アカウントは、管理者が正しいパスワードを設定するまで有効になりません。Torsten のクライアントがまず NOCERT_SMS_DP_SMSPKGE$ 仮想ディレクトリに接続すると、Windows 認証を使用した Torsten の認証が試行されます。その認証に失敗すると、クライアントは SMS_DP_SMSPKGE$ ディレクトリにフォールバックして証明書で認証されます。 |
インターネット ベースのクライアントが実行している提供情報
インターネット ベースのクライアントは提供情報のダウンロードおよび実行しかできず、配布ポイントからの実行はできません。
イントラネット クライアントは、SMS_DP_ および NOCERT_SMS_DP_ 仮想ディレクトリのいずれかをランダムに選択します。最初に選択した仮想ディレクトリがコンテンツをダウンロードするアクセス権と認証の提供に失敗したすると、別の仮想ディレクトリに切り替えます。インターネット ベースのクライアントが受け取るのは、インターネット ベースのクライアントをサポートできる配布ポイント上の SMS_DP_ 仮想ディレクトリのみです。証明書を使用してクライアントを認証できない場合は、パッケージをダウンロードできません。これは仕様であり、インターネット ベースのクライアントに対して証明書認証を要求します。
ログオン ユーザーが管理者の場合、そのユーザーはローカル証明書ストアにアクセスして、クライアント認証の証明書を配布ポイントに提示します。プログラムが、スケジュールに従って開始される場合は、ローカル証明書ストアにアクセスして証明書を提示できる、ローカル システム アカウントによって実行されます。
インターネット ベースのクライアントがネイティブ モードの認証用の証明書を提示できる場合は、その IUSR アカウントがパッケージ ディレクトリへのアクセス許可を所有していないと、プログラムが失敗します。
Ed は、会社のウィルス対策アプリケーションをダウンロードしてローカルで実行する提供情報を持っています。次の手順に従って、このウィルス対策パッケージに対する Ed のアクセス権が評価されます(「インターネット ベースのクライアントのパッケージ アクセスのフローチャート」のフローチャートを参照)。
サイトは Configuration Manager 2007 SP1 以降を実行していますか? |
いいえ。 注意 Configuration Manager 2007 SP1 以降では、ログオンしているユーザーが管理者でない場合でも、提供情報をスケジュールせずに実行できます。 |
ログオン ユーザーはローカル管理者ですか? |
いいえ。推奨されるセキュリティ運用方法に従って、Ed は通常のユーザーとして Windows Vista コンピュータにログオンし、管理者のアクセス権が必要な場合はユーザー アクセス コントロールを使用します。 |
プログラムは、スケジュールされた割り当てとして実行するように構成されていますか? |
はい。ウィルス対策プログラムは毎週実行されます。 プログラムはスケジュールされているため、ローカル システムのコンテキスト内で実行されます。ローカル システムは、配布ポイントに対して ID を証明するために、クライアント認証証明書の秘密キーにアクセスする権限を持っています。 |
その秘密キーは認証されていますか? |
はい。クライアント認証証明書は、信頼された CA から発行されています。 |
パッケージのアクセス許可では、インターネット ゲスト アカウントのパッケージ ディレクトリへのアクセスを許可していますか? |
はい。管理者は、この既定のパッケージ アクセス アカウントを変更していません。パッケージが、匿名アクセスを使用してダウンロードされます。 |
プログラムは管理者権限で実行するように設定されていますか? |
はい。管理者は、ユーザーのログオン状態に関係なく、プログラムを実行するように構成しています。 プログラムはローカル システムのセキュリティ コンテキスト内で実行されます。 |
Ed は、経理アプリケーションへのアクセスを必要としており、この経理アプリケーションをダウンロードしてローカルで実行する提供情報を受け取ります。次の手順に従って、このパッケージに対する Ed のアクセス権が評価されます(「インターネット ベースのクライアントのパッケージ アクセスのフローチャート」のフローチャートを参照)。
サイトは Configuration Manager 2007 SP1 以降を実行していますか? |
いいえ。 |
ログオン ユーザーはローカル管理者ですか? |
はい。Ed は、このパッケージを受け取るために、ローカル管理者としてログオンしています。 Ed は管理者ですから、配布ポイントに ID を証明するために、クライアント認証証明書の秘密キーにアクセスする権限を持っています。 |
その秘密キーは認証されていますか? |
はい。クライアント認証証明書は、信頼された CA から発行されています。 |
パッケージのアクセス許可では、インターネット ゲスト アカウントのパッケージ ディレクトリへのアクセスを許可していますか? |
いいえ。既定では、インターネット ゲストのアカウントは IBCM-DP1 の Users グループのメンバになるため、パッケージにアクセスできます。しかし、管理者がこの既定のパッケージ アクセス アカウントを変更しました。ユーザーは IBCM-DP1 のパッケージ ディレクトリの読み取りを許可されていませんが、経理ドメインのローカル グループのメンバは許可されています。IUSR アカウントは、経理のセキュリティ グループのメンバではありません。 |
重要
インターネット ベースのクライアントは、証明書を使用して認証し、匿名アクセスを使用してパッケージをダウンロードする必要があります。そのため、パッケージ アクセス アカウントをユーザーやグループ アカウントに基づいたアクセス制限に使用することはできません。
管理者は、インターネット ベースのクライアントをサポートしている配布ポイントにコピーされたパッケージで既定のパッケージ アクセス アカウントを削除した場合の結果を考慮する必要があります。パッケージを経理グループのメンバに限定する必要がある場合、Ed がそのパッケージへのアクセスに失敗するというのは、期待どおりの結果です。インターネット ベースのユーザーがそのパッケージにアクセスする必要がある場合、インターネット ゲスト アカウントが、パッケージのソース ファイルにアクセスする NTFS アクセス許可を与えられている必要があります。
参照:
その他のリソース
Configuration Manager のソフトウェアの配布
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.