关于网络访问帐户
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 客户端计算机使用本地系统帐户执行计算机上的大部分 Configuration Manager 2007 客户端操作,但是本地系统无法访问网络资源。当客户端计算机访问要运行包(包括操作系统部署包)的分发点时,它使用 computername$ 帐户访问受信任 Active Directory 域中的资源。当工作组或非信任域中的 Configuration Manager 2007 客户端需要访问站点服务器域中的资源时,提供网络访问帐户。在操作系统部署期间也可能需要此帐户,因为接收操作系统的计算机没有可以用来访问网络内容的安全上下文。
重要
网络访问帐户从不用作用于运行程序、安装软件更新或运行任务序列的安全上下文,仅用于访问网络上的资源。
所需权限
此帐户应具有访问它所需的软件分发或操作系统部署内容的最低适当权限。此帐户必须使计算机可以通过网络访问分发点或其他存放包内容的服务器。
由于只能为每个站点创建一个网络访问帐户,因此此帐户必须适用于它所需的所有包和任务序列。
软件分发方案
用于连接到内容的帐户和用于运行程序的帐户因程序和播发配置而异。
备注
程序始终在由管理员在程序属性中指定的上下文中运行。网络访问帐户从不会用于运行程序,即使其用于访问分发点共享文件夹。
播发配置为从分发点下载
| 程序播发位置: | 程序启动 | 用于访问分发点共享文件夹的帐户序列 |
|---|---|---|
用户或组 |
由用户启动或按计划启动 |
|
计算机 |
由用户启动 |
|
计算机 |
按计划启动 |
|
* 当 Configuration Manager 尝试使用 computername$ 上下文下载内容失败时,它会自动重试网络访问帐户,即使在先前已尝试并且失败的情况下。
播发配置为从分发点运行
| 程序配置 | 用于访问分发点共享文件夹的帐户序列 |
|---|---|
使用用户权限运行 |
1. 已登录的用户 2. 网络访问帐户 |
使用管理权限运行 |
1. Computername$ 2. 网络访问帐户 |
Windows Installer 文件,配置为使用用户权限运行 |
Configuration Manager 2007 客户端尝试使用以下帐户序列访问要运行 Windows Installer 应用程序的分发点: 1. 已登录的用户 2. 网络访问帐户 Configuration Manager 2007 客户端尝试使用以下帐户序列访问要提升用户 Windows Installer 权限的分发点: 1. Computername$ 2. 网络访问帐户 |
在许多情况下,如果 Windows Installer 文件安装在用户的上下文中,则文件中的组件需要管理上下文才能安装;Configuration Manager 2007 客户端能够利用 Windows Installer 提升来确保正确安装应用程序。由于该客户端不知道是否需要提升,因此无论程序是否需要,以及已登录用户是否是管理员,其始终尝试提升 Windows Installer 安装。为了使提升成功,Computername$ 帐户或网络访问帐户必须能够访问资源。如果 Computername$ 帐户或网络访问帐户均没有访问分发点上共享文件夹的权限,则程序将仍然在用户的上下文中运行,但提升将会失败。您将收到指示提升 Windows Installer 包失败的状态消息 10046。如果 Windows Installer 文件中的任何操作均需要对系统的管理员访问权限,则安装将会失败。
到分发点共享文件夹的连接建立后,如果程序配置为使用用户权限运行,则它在已登录用户的上下文中运行,无论帐户是否用来访问共享。如果程序配置为使用管理权限运行,则它在本地系统帐户的上下文中运行。
操作系统部署方案
虽然 Configuration Manager 2007 可以使用网络访问帐户访问存储在分发点上的任务序列,但网络访问帐户只能用于访问内容,而不能用于运行任务序列。任务序列只能在本地系统帐户的上下文中运行。
与包不同的是,任务序列只能播发到计算机,而不是用户和组。
将启动映像用于操作系统部署时,Configuration Manager 2007 使用 Windows 预安装环境 (Windows PE),而它不是一个完整的操作系统。运行 Windows PE 时,计算机不但使用自动生成的随机名称,而且它不是任何域的成员。在任务序列的 Windows PE 阶段,安全限制可能会阻止计算机访问分发点。
| 播发配置 | 用于访问分发点共享文件夹的帐户序列 – Windows PE | 用于访问分发点共享文件夹的帐户序列 – 操作系统 |
|---|---|---|
可选 |
|
|
强制 |
|
|
* 当 Configuration Manager 尝试使用 computername$ 上下文下载内容失败时,它会自动重试网络访问帐户,即使在先前已尝试并且失败的情况下。
帐户和密码的创建
管理员在 Active Directory 域服务数据库中创建帐户和密码,然后将 Configuration Manager 2007 配置为在 Configuration Manager 2007 控制台中使用此帐户。
重要
网络访问帐户的密码限制为不超过 38 个字符。
帐户位置
此帐户可在提供资源必需访问权限的任何域中创建。网络访问帐户必须始终包含域名。此帐户不支持传递安全。如果存在多个域,则在受信任的域中创建此帐户。
帐户维护
Configuration Manager 2007 管理员创建并维护此帐户和密码。
若要避免帐户锁定,请不要更改现有网络访问帐户的密码。您应该创建一个新帐户,并将 Configuration Manager 2007 设置为使用该帐户。在所有客户端经过足够的时间接收新帐户的详细信息后,应当从网络共享文件夹移除旧帐户并将其删除。
安全最佳方案
不向此帐户授予交互登录权限。
不向此帐户授予将计算机加入到域的权限。如果必须在任务序列期间将计算机加入域,请使用任务序列编辑器域加入帐户。
避免使用客户端网络访问帐户,因为该帐户是一个通用帐户,并且可以用于授予对多个包(包括不适用于所有用户的包)的访问权限。如果必须使用此帐户,由于漫游或工作组环境,仅分配尽可能少的权限且从不分配域管理权限。
对于所有帐户,从不使用空密码。如果在 Configuration Manager 2007 控制台中配置此帐户时未指定密码,则此帐户不会被保存。
无需将网络访问帐户添加为包访问帐户,因为它是用户组的成员,默认情况下已包括在内。此外,将包的 ACL 限制为仅限网络访问帐户不会阻止客户端对包的访问,因为 Configuration Manager 2007 客户端可以在必要时请求使用网络访问帐户。如果要保护包内容免受未经授权用户的影响,请将用户或组添加到包访问帐户,而不是添加用户组。
另请参阅
任务
概念
其他资源
Configuration Manager 控制台中配置的帐户
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。