示例包访问方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
为了在 Microsoft System Center Configuration Manager 2007 中进行软件分发,Configuration Manager 2007 将创建包、程序和播发。如果包包含源文件,则管理员必须将包复制到分发点。默认情况下,文件上的访问控制列表 (ACL) 将设置为允许管理员享有完全控制权限以及用户享有读取访问权限。可以更改包访问,但您应该了解 Configuration Manager 2007 在各种方案中如何尝试访问包,以便您能够避免未经授权的用户访问受限制的包,或者避免有效用户在访问所需包以完成工作时遭拒绝。
在阅读这些方案之前,您必须熟悉诸如用户、组、ACL 和林体系结构等基本 Windows 概念。此外,您还应该熟悉软件分发概述中描述的软件分发概念。
本主题包含下列常用方案:
播发配置为从分发点运行
配置为从缓存下载并运行的播发
运行播发的基于 Internet 的客户端
这些方案不包含在站点之间漫游的示例。不管客户端是否在漫游,包访问仍遵循相同过程。有关漫游的详细信息,请参阅 Configuration Manager 的示例漫游方案:简单和 Configuration Manager 的示例漫游方案:复杂。
在所有方案示例中使用的层次结构
下图显示了一个具有六个不同域和一个基于 Internet 的用户的 Configuration Manager 站点。
.gif "显示示例层次结构的图形")
播发配置为从分发点运行
Todd 接收到一个配置为从分发点运行的播发。管理点返回 SJC-DP1 以响应内容位置请求。
如果播发已配置为从分发点运行,则即使处于纯模式,也始终通过服务器消息块 (SMB) 进行文件访问,并且将使用 Windows 身份验证取代证书身份验证。
Todd 在林的受信任域中,但不在 SJC-DP1 域中。Todd 能否访问包取决于管理员配置的是本地、域本地、通用还是全局组以允许 dev.corp.contoso.com 中的资源访问 corp.contoso.com 中的服务器。Todd 的访问权限也取决于包访问帐户(Configuration Manager 2007 管理员将这些帐户配置为自动设置包目录上的 ACL)。
如果 Todd 的计算机帐户及其用户帐户无法访问 SJC-DP1,则当管理员配置了网络访问帐户并且该网络访问帐户根据包访问帐户的配置对包目录具有访问权限时,Todd 仍可以直接或通过组成员身份来访问包。
备注
无需将网络访问帐户添加为包访问帐户,因为它隶属于“用户”,默认情况下已包括在内。此外,将包的 ACL 限制为仅限网络访问帐户不会阻止客户端对包的访问,因为 Configuration Manager 2007 客户端可以在必要时请求使用网络访问帐户。
从其他域访问包
请参阅从分发点运行时的包访问流程图中的流程图,以下过程用于评估 Todd 对包的访问权限。
程序是否配置为使用管理权限来运行? |
否。 |
包权限允许登录用户访问吗? |
不允许。管理员既没有将 dev.corp.contoso.com 域用户组添加到 SJC-DP1 上的本地用户组,也没有配置任何其他组访问以允许 Todd 的用户帐户具有直接访问权限。 |
配置了网络访问帐户吗? |
是。Todd 的管理员在 corp.contoso.com 域中创建了帐户,并在 Configuration Manager 2007 控制台中将其配置为网络访问帐户。 |
权限允许网络访问帐户访问包目录吗? |
允许。Todd 的管理员尚未修改默认包访问帐户,因此包目录上的 ACL 允许用户享有读取访问权限及管理员享有完全控制权限。网络访问帐户是 corp.contoso.com 域中的用户。 Tom 的计算机使用网络访问帐户连接到 SJC-DP1 以运行包。 |
这是 Windows Installer 包吗?(安装文件是 .msi 格式吗?) |
是。该应用程序是内部应用程序,并且内部开发团队创建了 Windows Installer 包。 |
包权限允许 Todd-PC$ 访问包目录吗? |
不允许。管理员尚未配置任何组或包访问帐户以允许 Todd-PC$ 访问 SJC-DP1。 |
配置了网络访问帐户吗? |
是。 |
权限允许网络访问帐户访问包目录吗? |
允许。网络访问帐户已经能够连接到 SJC-DP1 上的包共享文件夹,但因为安装文件是一个 Windows Installer 文件,所以 Configuration Manager 2007 客户端假定安装将需要 Todd-PC 的管理权限。当程序运行时,任何需要管理权限的操作都将使用网络访问帐户连接到分发点。在 Todd 的计算机上,程序在 Todd 的用户帐户下运行,因为程序未配置为使用管理员权限来运行。 Todd 成功安装包。 |
从同一个域访问包
如果 Cliff 尝试使用他的帐户在 corp.contoso.com 中运行相同的播发,则他不需要网络访问帐户。Configuration Manager 2007 客户端组件使用他自己的用户帐户连接到 SJC-DP1,并且如果有需要提升的操作,则客户端将使用 Cliff-PC$ 帐户进行连接。
从受信任林访问包
如果 April 尝试使用她的帐户在 treyreasearch.net 中运行相同的播发,则她将遇到类似的经历。即使在 corp.contoso.com 与 treyresearch.net 之间存在林信任关系,管理员也必须使用组和包访问帐户来配置合适的访问权限,或者配置网络访问帐户;否则,April 将无法访问包。
从不受信任林访问包
如果 Torsten 尝试从 adatum.com 运行包,则无法使用组和包访问帐户向他授予访问权限,因为在 adatum.com 与 corp.contoso.com 之间没有信任关系。在这种情况下,如果不存在任何具有合适 ACL 的网络访问帐户,则 Torsten 无法访问包。
配置为从缓存下载并运行的播发
如果播发已配置为从客户端计算机上的本地缓存下载并运行,则有若干因素会影响用于下载包的帐户。然而,包始终使用本地系统安全上下文(如果程序已配置为使用管理权限来运行)或登录用户的安全上下文来运行,而不考虑用来下载程序的帐户。
重要
在阅读本节之前,您应该阅读关于启用了 BITS 的分发点并了解在启用了二进制智能传输服务 (BITS) 的分发点上创建的虚拟目录,以支持纯模式客户端。
从受信任林访问包
Marcus 使用播发在本地下载并运行财务应用程序。请参阅从 Intranet 分发点下载时的包访问流程图中的流程图,以下过程用于评估 Marcus 对包的访问权限。
站点处于纯模式吗? |
是。所有域都在 SJC 站点中,并且该站点已配置为使用纯模式。 |
SJC-DP1 启用了 BITS 吗? |
是。管理员已将 SJC 站点中的所有分发点配置为启用 BITS 以提高下载效率。 |
客户端是连接到 Windows 身份验证虚拟目录 (SMS_DP_SMSPKGE$) 还是连接到证书身份验证虚拟目录 (NOCERT_SMS_DP_SMSPKGE$)? |
客户端随机选择 SMS_DP_SMSPKGE$ 虚拟目录。 |
安全上下文可以访问客户端证书私钥吗? |
可以。Marcus 作为本地管理员登录,因此他的用户帐户可以访问客户端身份验证证书的私钥。 |
包权限允许 Internet 来宾 (IUSR) 帐户访问包目录吗? |
不允许。默认情况下,Internet 来宾帐户隶属于 SJC-DP1 上的用户组,因此可以访问包。然而,管理员更改了默认包访问帐户。用户无权读取 SJC-DP1 上的包目录,但财务域本地组的成员有权这样做。IUSR 帐户并不隶属于财务安全组。 备注 允许对包内容进行匿名访问并不会带来高安全风险,因为客户端必须先使用有效的客户端身份验证证书进行身份验证,然后才能使用 IUSR 帐户来访问包内容。 |
程序被播发到用户或用户组? |
是。播发被发送到仅包含财务安全组中的用户的集合。 |
包权限允许 Marcus 访问包目录吗? |
不允许。即使一些组已配置为允许 Marcus 的帐户成为 SJC-DP1 上本地用户组的成员,管理员仍删除了用户的 ACL。仅当 Marcus 是 SJC-DP1 上的本地管理员或隶属于财务域本地组时,他才能访问包目录。 |
包权限允许网络访问帐户访问吗? |
不允许。网络访问帐户并不隶属于财务组。如果管理员违反了最佳方案,将网络访问帐户添加为包访问帐户,则即使 Todd 并不隶属于财务组,他也能够访问包。 |
包权限允许 Marcus-PC$ 访问包目录吗? |
不允许。Marcus-PC$ 既不是财务组的管理员也不是财务组的成员。 |
包权限允许网络访问帐户访问吗? |
即使 Configuration Manager 2007 客户端尝试使用网络访问帐户来访问包目录时失败,但客户端仍将重试。 |
如果处于纯模式,我们已经尝试连接到 SMS_DP_SMSPKGE$ 虚拟目录吗? |
是。客户端首先随机尝试 SMS_DP_SMSPKGE$ 目录。如果客户端已从 NOCERT_ SMS_DP_ 目录开始,则客户端随后将尝试使用证书对客户端进行身份验证,这将成功。然后客户端将尝试使用 Internet 来宾帐户下载包,但这将失败。结果相同:Marcus 无法下载并运行程序。 |
从同一个域访问包
Cliff 尝试运行相同的播发。Cliff 隶属于全局财务用户组,而全局财务用户组隶属于 SJC-DC1 上的财务域本地组。Cliff 的客户端随机连接到 SMS_DP_SMSPKGE$ 虚拟目录并使用客户端证书进行身份验证。然而,IUSR 帐户并不隶属于财务组,因此客户端故障转移到 NOCERT_ 目录。因为包目录上的 ACL 允许财务用户享有读取访问权,所以 Cliff 有权访问包。
从其他域访问包
因为 Todd 并不隶属于财务组,所以无法运行播发。当他的客户端首次连接到 NOCERT_SMS_DP_SMSPKGE$ 虚拟目录时,访问失败,因为他的帐户、网络访问帐户和他的计算机帐户都不隶属于财务组。即使 Windows 身份验证失败,客户端也会尝试使用 NOCERT_SMS_DP_SMSPKGE$ 虚拟目录通过证书身份验证来访问。然而,IUSR 并不隶属于财务组,因此 Todd 无法访问包。
从不受信任林访问包
因为与 Adatum.com 林没有信任关系,导致 Torsten 不能成为财务组的成员,因此 Torsten 无法成功下载并运行财务程序。如果包实际上应限制于财务用户,则这是预期结果。如果管理员已将 IUSR 添加到包访问帐户列表,则 Torsten 将能够使用身份验证和匿名访问来访问包证书。
重要
在纯模式下,将 IUSR 添加到包访问帐户将允许已使用证书进行身份验证的客户端绕过所有其他包访问帐户。在混合模式下,仅使用 Windows 身份验证,因此将 IUSR 添加到包访问帐户不允许客户端绕过所有其他包访问帐户。
假定管理员为 Microsoft Office 2003 创建新的播发,但不更改包访问帐户。此外,管理员还更改 Active Directory 域服务中的网络访问帐户,但不在 Configuration Manager 2007 控制台中对该帐户进行重新配置。当 Torsten-PC 尝试运行播发时,将使用下列过程。
站点处于纯模式吗? |
是。 |
SJC-DP1 启用了 BITS 吗? |
是。 |
客户端是连接到 Windows 身份验证虚拟目录 (SMS_DP_SMSPKGE$) 还是连接到证书身份验证虚拟目录 (NOCERT_SMS_DP_SMSPKGE$)? |
客户端随机选择 SMS_DP_SMSPKGE$ 虚拟目录。 |
可以使用客户端证书对客户端进行身份验证吗? |
可以。Torsten-PC 具有一个适用于纯模式的有效客户端身份验证证书。 |
包权限允许 Internet 来宾 (IUSR) 帐户访问包目录吗? |
允许。默认情况下,Internet 来宾帐户隶属于 SJC-DP1 上的用户组,因此即使不存在任何信任关系并且网络访问帐户在管理员配置了正确密码后才有效,它也可以访问包。如果 Torsten 的客户端最初已连接到 NOCERT_SMS_DP_SMSPKGE$ 虚拟目录,则它应已尝试使用 Windows 身份验证对 Torsten 进行身份验证。如果身份验证失败,则它应已回退到 SMS_DP_SMSPKGE$ 目录并应已使用该证书进行身份验证。 |
运行播发的基于 Internet 的客户端
基于 Internet 的客户端只能下载并运行播发;它们不能从分发点运行播发。
Intranet 客户端在 SMS_DP_ 和 NOCERT_SMS_DP_ 虚拟目录之间随机选择;如果第一个虚拟目录无法提供身份验证和访问权限来下载内容,则它们故障转移到第二个虚拟目录。基于 Internet 的客户端仅接收已启用为支持基于 Internet 的客户端的分发点上的 SMS_DP_ 虚拟目录。如果客户端无法使用证书进行身份验证,则它们无法下载包。这是设计使然,以要求基于 Internet 的客户端进行证书身份验证。
如果登录用户是管理员,则该用户可以访问本地证书存储以将客户端身份验证证书显示给分发点。如果程序按计划启动,则由本地系统帐户启动程序,该帐户可以访问本地证书存储以显示证书。
如果基于 Internet 的客户端可以显示用于纯模式身份验证的证书,则 IUSR 帐户仍必须具有访问包目录的权限,否则程序将失败。
Ed 使用播发在本地下载并运行公司防病毒应用程序。使用下列过程评估 Ed 对防病毒包的访问权。(请参阅基于 Internet 的客户端的包访问流程图中的流程图。)
站点是否正在运行 Configuration Manager 2007 SP1 或更高版本? |
否。 备注 在 Configuration Manager 2007 SP1 和更高版本中,播发不必计划即可运行,即使登录用户不是管理员也不例外。 |
登录用户是本地管理员吗? |
不是。遵循最佳安全方案,Ed 以普通用户身份登录他的 Windows Vista 计算机,然后在需要管理访问权限时使用用户访问控制。 |
程序已配置为作为计划的分配来运行吗? |
是。防病毒程序每周运行一次。 因为该程序已计划,所以它在本地系统上下文中运行。本地系统有权访问客户端身份验证证书的私钥,以向分发点证明其身份。 |
私钥经过身份验证吗? |
是。客户端身份验证证书来自受信任 CA。 |
包权限允许 Internet 来宾帐户访问包目录吗? |
允许。管理员尚未更改默认包访问帐户。使用匿名访问下载包。 |
程序已设置为使用管理权限来运行吗? |
是。不管用户是否登录,管理员都将程序配置为运行。 程序在本地系统安全上下文中运行。 |
Ed 需要访问财务应用程序。他接收播发以便在本地下载并运行财务应用程序。使用下列过程评估 Ed 对包的访问权。(请参阅基于 Internet 的客户端的包访问流程图中的流程图。)
站点是否正在运行 Configuration Manager 2007 SP1 或更高版本? |
否。 |
登录用户是本地管理员吗? |
是。Ed 以本地管理员身份登录以接收此包。 因为 Ed 是管理员,所以他有权访问客户端身份验证证书的私钥,以向分发点证明其身份。 |
私钥经过身份验证吗? |
是。客户端身份验证证书来自受信任 CA。 |
包权限允许 Internet 来宾帐户访问包目录吗? |
不允许。默认情况下,Internet 来宾帐户隶属于 IBCM-DP1 上的用户组,因此可以访问包。然而,管理员更改了默认包访问帐户。用户无权读取 IBCM-DP1 上的包目录,但财务域本地组的成员有权这样做。IUSR 帐户并不隶属于财务安全组。 |
重要
基于 Internet 的客户端必须使用证书进行身份验证,然后使用匿名访问来下载包,因此无法使用包访问帐户根据用户或组帐户来限制访问权限。
在复制到分发点(支持基于 Internet 的客户端)的包上删除包访问帐户时,管理员必须考虑预期的结果。如果包应该限制于财务组的成员,则 Ed 无法访问包是预期结果。如果基于 Internet 的用户必须访问包,则 Internet 来宾帐户必须具有访问包源文件的 NTFS 权限。
另请参阅
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。