Übersicht Kontenzuordnung mypDeploy Clientservice

Owned by Onlinehilfe CebiCon
25.Nov..2024
7 min read

Benutzerkonten

mypDeploy benötigt Benutzerkonten

  • Zur Verbindung der Paketablage

  • Zur Erlangung administrativer Rechte zur Installation

  • Zur Installation und Aktualisierung der mypDeploy-Clientkomponenten

Übersicht

  • Bei der Erstinstallation von mypDeploy wird ein lokaler Account “mypDeploySvc” als Default-Konto für alle Mandanten automatisch angelegt. Wenn Sie dieses Konto nutzen und keine anderen Konteninformationen festlegen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten automatisch als lokales Konto angelegt und der Gruppe der lokalen Administratoren hinzugefügt.

  • Wenn Sie für den Betrieb von mypDeploy ein Domänenkonto nutzen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten ignoriert. Sie müssen selbst mit geeigneten Mitteln (GPO, Script,…) dieses Konto in die Gruppe der lokalen Administratoren aufnehmen.

  • Wenn Sie für den Betrieb von mypDeploy ein selbst definiertes lokales Konto nutzen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten ebenfalls automatisch als lokales Konto angelegt und der Gruppe der lokalen Administratoren hinzugefügt.

  • Wenn Sie Rechner anhand der Standortinformationen auf den mypDeploy-Server oder einen Distribution-Point direkt zugreifen lassen müssen Sie sicherstellen, dass die konfigurierten Benutzer alle lesenden Zugriff auf die Freigabe “mypDeployPackages$” des jeweiligen Servers haben (unabhängig davon, ob der Server standalone oder in einer Domäne läuft).

  • Wenn Sie Domänen-Controller mit mypDeploy verwalten möchten müssen Sie im entsprechenden Mandanten ein Domänenkonto verwenden, da Domänen-Controller keine lokalen Konten kennen.

  • Lokale und/oder Domänenkonten müssen den Richtlinien Ihrer Domäne entsprechen.

Zugriff durch den mypDeployClientService

Bei jedem Durchlauf des Clients-Service wir neu ermittelt, mit welchem Benutzer der Client-Service auf Pakete zugreift und Installationen vornimmt.

Zur Ermittlung des aktuell zu verwendenden Accounts werden folgende Szenarien angewendet:

  1. Aufgrund seiner Standortdaten ist der Rechner einem Distribution-Point zugeordnet

    1. der Distribution-Point hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird sowohl für den Zugriff auf den Paket-Share des Distribution-Point als auch als lokales Administrationskonto für die Installation verwendet.

    2. der Distribution-Point hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto des Distribution-Points wird sowohl für den Zugriff auf den Paket-Share des Distribution-Point als auch als lokales Administrationskonto für die Installation verwendet.

  2. Aufgrund seiner Standortdaten ist der Rechner dem mypDeploy-Server zugeordnet

    1. der mypDeploy-Server hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird sowohl für den Zugriff auf den Paket-Share des mypDeploy-Servers als auch als lokales Administrationskonto für die Installation verwendet.

    2. der mypDeploy-Server hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto der Server-Konfiguration wird sowohl für den Zugriff auf den Paket-Share des mypDeploy-Servers als auch als lokales Administrationskonto für die Installation verwendet.

  3. Aufgrund seiner Standortdaten ist der Rechner keinem Server zugeordnet

    1. der mypDeploy-Server hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird als lokales Administrationskonto für die Installation verwendet; die erforderlichen Daten werden via https vom mypDeploy-Server geladen

    2. der mypDeploy-Server hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto wird als lokales Administrationskonto für die Installation verwendet; die erforderlichen Daten werden via https vom mypDeploy-Server geladen

Konten bearbeiten

Sie finden die Kennwörter im mypDeployAdmin an folgenden Stellen

Einstellungen: Server/Grundlagen

Legen Sie hier

  • ein globales Default-Konto für alle Rechner

  • wahlweise ein Default-Konto je Mandant.

fest.

Rechner, die sich direkt mit dem mypDeploy-Server verbinden können oder über https Daten beziehen (weil Sie keinen zugeordneten Distributionpoint haben) nutzen dieses Konto sowohl als lokales Administratorkonto als auch für die SMB-Verbindung zum Paketverzeichnis.

1.jpg

In diesem Beispiel benutzt Mandant 2 ein lokales Konto mypDeployWorkgroup; der Mandant 3 das Konto Admin Mandant3 in der Domäne Company3.local, alle anderen Mandanten benutzen das Konto mypdeploysvcuser in der Domäne mypDeploy.

Aktion: Distribution Points verwalten

Legen Sie hier

  • ein globales Default-Konto für alle Rechner, die diesem Distribution Point zugeordnet sind

  • wahlweise ein Default-Konto je Mandant, dessen Rechner diesem Distribution Point zugeordnet sind

fest.

Rechner, die sich anhand der zugewiesenen Standortgrenzen direkt mit dem Distribution Point verbinden können, nutzen dieses Konto sowohl als lokales Administratorkonto als auch für die SMB-Verbindung zum Paketverzeichnis des Distribution Point.

2.jpg

In diesem Beispiel benutzt Mandant 1 das Konto mypdeploysvcuser in der Domäne mypDeploy, alle anderen Mandanten benutzen das lokale Konto mypDeployLocalAdmin.

DP als Domänenmitglied

Ist Ihr Distribution Point Mitglied einer Domäne und Sie arbeiten mit lokalen Konten, dann müssen Sie Ihren DP so berechtigen, dass die lokalen Konten auf seinen Share mypdeploypackages$ lesen zugreifen dürfen. Im einfachsten Fall berechtigen Sie die authentifizierten Benutzer hierfür; dann dürfen alle Computer, die ein Konto in der Domäne haben, zugreifen.

Wenn Sie die Konten zentral verwalten möchten können Sie die Checkbox “Die globalen Konten aus den Server-Einstellungen verwenden” aktivieren.

Aktion: Mandanten verwalten

In der Mandantenverwaltung legen Sie den Account fest, mit dem die erstmalige Installation des mypDeploy-Clients erfolgt.

In diesem Beispiel wird für den Mandanten das Konto mypdeploysvcuser in der Domäne MyDomain verwendet.

Erstinstallation

Die Erstinstallation legt das hier eingetragene Konto nur an, wenn es ein lokales Konto ist. Das Konto wird mit den Option “Kennwort kann nicht geändert werden” und “Kennwort läuft nie ab” angelegt.

Konten ermitteln

Das Konto aus der Erstinstallation wird nur für die Installation genutzt. Bereits beim ersten Kontakt mit dem mypDeploy-Server wird das für den Client konfigurierte Konto anhand der im Server hinterlegten Kriterien ermittelt.

Ändern von Konten

Domänen-Konto

Möchten Sie das Kennwort eines in mypDeploy benutzten Domänenaccounts ändern gehen Sie wie folgt vor

  • Ändern Sie das Kennwort unter “Einstellungen: Server/Grundlagen”.

  • Ändern Sie das Kennwort unter “Aktion: Distribution Point verwalten” für alle betroffenen DP.

  • Eine Änderung und “Aktion: Mandanten verwalten” ist nicht erforderlich, da die Domänenkennwörter für die Erstinstallation nicht relevant sind.

  • Ändern Sie das Passwort in Ihrem Active Directory.

Lokales Konto

Möchten Sie das Kennwort eines in mypDeploy benutzten lokalen Kontos ändern gehen Sie wie folgt vor

  • Erstellen Sie ein Script (beispielsweise als One-Time-Action), das das Kennwort des lokalen Benutzers ändert.

  • Verteilen Sie das Script an alle Rechner, die von der Änderung betroffen sind.

  • Warten Sie, bis alle Rechner das Script bestätigt haben.

  • Ändern Sie das Kennwort unter “Einstellungen: Server/Grundlagen”.

  • Ändern Sie das Kennwort unter “Aktion: Distribution Point verwalten” für alle betroffenen DP.

  • Änderung Sie das Kennwort unter “Aktion: Mandanten verwalten” , damit für die zukünftige Erstinstallation das korrekte Konto gesetzt wird.

Wichtige Hinweise