Übersicht Kontenzuordnung mypDeploy Clientservice

Übersicht Kontenzuordnung mypDeploy Clientservice

Benutzerkonten

mypDeploy benötigt Benutzerkonten

  • Zur Verbindung der Paketablage

  • Zur Erlangung administrativer Rechte zur Installation

  • Zur Installation und Aktualisierung der mypDeploy-Clientkomponenten

Übersicht

  • Bei der Erstinstallation von mypDeploy wird ein lokaler Account “mypDeploySvc” als Default-Konto für alle Mandanten automatisch angelegt. Wenn Sie dieses Konto nutzen und keine anderen Konteninformationen festlegen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten automatisch als lokales Konto angelegt und der Gruppe der lokalen Administratoren hinzugefügt.

  • Wenn Sie für den Betrieb von mypDeploy ein Domänenkonto nutzen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten ignoriert. Sie müssen selbst mit geeigneten Mitteln (GPO, Script,…) dieses Konto in die Gruppe der lokalen Administratoren aufnehmen.

  • Wenn Sie für den Betrieb von mypDeploy ein selbst definiertes lokales Konto nutzen wird dieses Konto bei der Erstinstallation der mypDeploy-Clientkomponenten ebenfalls automatisch als lokales Konto angelegt und der Gruppe der lokalen Administratoren hinzugefügt.

  • Wenn Sie Rechner anhand der Standortinformationen auf den mypDeploy-Server oder einen Distribution-Point direkt zugreifen lassen müssen Sie sicherstellen, dass die konfigurierten Benutzer alle lesenden Zugriff auf die Freigabe “mypDeployPackages$” des jeweiligen Servers haben (unabhängig davon, ob der Server standalone oder in einer Domäne läuft).

  • Wenn Sie Domänen-Controller mit mypDeploy verwalten möchten müssen Sie im entsprechenden Mandanten ein Domänenkonto verwenden, da Domänen-Controller keine lokalen Konten kennen.

  • Lokale und/oder Domänenkonten müssen den Richtlinien Ihrer Domäne entsprechen.

Zugriff durch den mypDeployClientService

Bei jedem Durchlauf des Clients-Service wir neu ermittelt, mit welchem Benutzer der Client-Service auf Pakete zugreift und Installationen vornimmt.

Zur Ermittlung des aktuell zu verwendenden Accounts werden folgende Szenarien angewendet:

  1. Aufgrund seiner Standortdaten ist der Rechner einem Distribution-Point zugeordnet

    1. der Distribution-Point hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird sowohl für den Zugriff auf den Paket-Share des Distribution-Point als auch als lokales Administrationskonto für die Installation verwendet.

    2. der Distribution-Point hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto des Distribution-Points wird sowohl für den Zugriff auf den Paket-Share des Distribution-Point als auch als lokales Administrationskonto für die Installation verwendet.

  2. Aufgrund seiner Standortdaten ist der Rechner dem mypDeploy-Server zugeordnet

    1. der mypDeploy-Server hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird sowohl für den Zugriff auf den Paket-Share des mypDeploy-Servers als auch als lokales Administrationskonto für die Installation verwendet.

    2. der mypDeploy-Server hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto der Server-Konfiguration wird sowohl für den Zugriff auf den Paket-Share des mypDeploy-Servers als auch als lokales Administrationskonto für die Installation verwendet.

  3. Aufgrund seiner Standortdaten ist der Rechner keinem Server zugeordnet

    1. der mypDeploy-Server hat für den Mandanten des Rechners ein konfiguriertes Konto: das konfigurierte Konto wird als lokales Administrationskonto für die Installation verwendet; die erforderlichen Daten werden via https vom mypDeploy-Server geladen

    2. der mypDeploy-Server hat für den Mandanten des Rechners kein konfiguriertes Konto: das Default-Konto wird als lokales Administrationskonto für die Installation verwendet; die erforderlichen Daten werden via https vom mypDeploy-Server geladen

Konten bearbeiten

Sie finden die Kennwörter im mypDeployAdmin an folgenden Stellen

Einstellungen: Server/Grundlagen

Legen Sie hier

  • ein globales Default-Konto für alle Rechner

  • wahlweise ein Default-Konto je Mandant.

fest.

Rechner, die sich direkt mit dem mypDeploy-Server verbinden können oder über https Daten beziehen (weil Sie keinen zugeordneten Distributionpoint haben) nutzen dieses Konto sowohl als lokales Administratorkonto als auch für die SMB-Verbindung zum Paketverzeichnis.

1.jpg

In diesem Beispiel benutzt Mandant 2 ein lokales Konto mypDeployWorkgroup; der Mandant 3 das Konto Admin Mandant3 in der Domäne Company3.local, alle anderen Mandanten benutzen das Konto mypdeploysvcuser in der Domäne mypDeploy.

Aktion: Distribution Points verwalten

Legen Sie hier

  • ein globales Default-Konto für alle Rechner, die diesem Distribution Point zugeordnet sind

  • wahlweise ein Default-Konto je Mandant, dessen Rechner diesem Distribution Point zugeordnet sind

fest.

Rechner, die sich anhand der zugewiesenen Standortgrenzen direkt mit dem Distribution Point verbinden können, nutzen dieses Konto sowohl als lokales Administratorkonto als auch für die SMB-Verbindung zum Paketverzeichnis des Distribution Point.

2.jpg

In diesem Beispiel benutzt Mandant 1 das Konto mypdeploysvcuser in der Domäne mypDeploy, alle anderen Mandanten benutzen das lokale Konto mypDeployLocalAdmin.

DP als Domänenmitglied

Ist Ihr Distribution Point Mitglied einer Domäne und Sie arbeiten mit lokalen Konten, dann müssen Sie Ihren DP so berechtigen, dass die lokalen Konten auf seinen Share mypdeploypackages$ lesen zugreifen dürfen. Im einfachsten Fall berechtigen Sie die authentifizierten Benutzer hierfür; dann dürfen alle Computer, die ein Konto in der Domäne haben, zugreifen.

Wenn Sie die Konten zentral verwalten möchten können Sie die Checkbox “Die globalen Konten aus den Server-Einstellungen verwenden” aktivieren.

3.jpg

Aktion: Mandanten verwalten

In der Mandantenverwaltung legen Sie den Account fest, mit dem die erstmalige Installation des mypDeploy-Clients erfolgt.

4.jpg

In diesem Beispiel wird für den Mandanten das Konto mypdeploysvcuser in der Domäne MyDomain verwendet.

Erstinstallation

Die Erstinstallation legt das hier eingetragene Konto nur an, wenn es ein lokales Konto ist. Das Konto wird mit den Option “Kennwort kann nicht geändert werden” und “Kennwort läuft nie ab” angelegt.

Konten ermitteln

Das Konto aus der Erstinstallation wird nur für die Installation genutzt. Bereits beim ersten Kontakt mit dem mypDeploy-Server wird das für den Client konfigurierte Konto anhand der im Server hinterlegten Kriterien ermittelt.

Ändern von Konten

Domänen-Konto

Möchten Sie das Kennwort eines in mypDeploy benutzten Domänenaccounts ändern gehen Sie wie folgt vor

  • Ändern Sie das Kennwort unter “Einstellungen: Server/Grundlagen”.

  • Ändern Sie das Kennwort unter “Aktion: Distribution Point verwalten” für alle betroffenen DP.

  • Eine Änderung und “Aktion: Mandanten verwalten” ist nicht erforderlich, da die Domänenkennwörter für die Erstinstallation nicht relevant sind.

  • Ändern Sie das Passwort in Ihrem Active Directory.

Offline-Systeme

Bei genannter Vorgehensweise kann es temporär zu Problemen mit Systemen kommen, die Offline sind und/oder keine VPN-Verbindung in die Domäne herstellen können.

Diese müssen einmalig in Kontakt mit der Domäne kommen, damit sie das geänderte Passwort in ihren Passwort-Cache aktualisieren können.

Lokales Konto

Möchten Sie das Kennwort eines in mypDeploy benutzten lokalen Kontos ändern gehen Sie wie folgt vor

  • Erstellen Sie ein Script (beispielsweise als One-Time-Action), das das Kennwort des lokalen Benutzers ändert.

  • Verteilen Sie das Script an alle Rechner, die von der Änderung betroffen sind.

  • Warten Sie, bis alle Rechner das Script bestätigt haben.

  • Ändern Sie das Kennwort unter “Einstellungen: Server/Grundlagen”.

  • Ändern Sie das Kennwort unter “Aktion: Distribution Point verwalten” für alle betroffenen DP.

  • Änderung Sie das Kennwort unter “Aktion: Mandanten verwalten” , damit für die zukünftige Erstinstallation das korrekte Konto gesetzt wird.

Kennwörter

Warten Sie, bis alle Computer das Script zur Änderung der Konten ausgeführt haben. Sobald Sie die Konten in mypDeploy ändern können Sie nur noch mit diesem Konto zugreifen.

Wichtige Hinweise

Standort-Kriterien

Definieren Sie Ihre Standortkriterien so, dass ein Computer eindeutig dem mypDeploy-Server oder exakt einem Distribution Point zugeordnet ist.

Findet der mypDeploy-Server mehrere passende Paketfreigaben teilt er dem Computer zufällig einen davon mit; das ist in aller Regel nicht das, was Sie haben möchten.

mypDeploy entscheidet anhand seiner Kriterien

Wenn anhand der hinterlegten Kriterien dem Rechner ein Server (mypDeploy oder DP) zugeordnet ist dann wird dieser auch angesprochen. Ob der Server für den Client erreichbar ist oder nicht spielt hierbei keine Rolle. Kann der Server nicht erreicht werden wird ein entsprechender Eintrag im Protokoll erzeugt. Es findet nicht ersatzweise der Datentransfer über Https statt.

Das gilt auch umgekehrt: wenn anhand der hinterlegten Kriterien dem Rechner kein Server (mypDeploy oder DP) zugeordnet ist dann wird dieser auch nicht angesprochen; selbst wenn der Client diesen erreichen kann. Auch dann werden die Pakete per Https vom mypDeploy-Server geladen.

Arbeiten mit WorkGroups

Wenn Sie Rechner in Workgroups verwalten müssen Sie mit lokalen Accounts arbeiten.

In diesem Fall müssen Sie sicherstellen, dass die Freigabe “\\Server\mypDeployPackages$” lesend von diesem lokalen Account angesprochen werden kann.

Domänen- und Workgroup-Systeme innerhalb des Mandanten mischen

Wenn Sie einen Mandanten haben, in der Sie sowohl Domänen- als auch Workgroup-Rechner verwalten, beachten Sie bitte, dass Sie pro Distributionspunkt und Mandant nur ein! Default-Konto festlegen können. Sie können nicht getrennte Konten für Workgroups und Domäne festlegen.

Folgende Lösungsmöglichkeiten gibt es für dieses Szenario:

  • wenn Sie keine AD-Controller verwalten müssen können Sie mit lokalen Konten arbeiten.

  • Sie grenzen den Distribution Point anhand der Standort-Kriterien so ein, dass er nur die Workgroup- oder nur die Domänenrechner bedient (je nachdem, was mehrheitlich vorliegt) und hinterlegen dort die entsprechenden Konteninformationen. Auf dem mypDeploy-Server setzen Sie als Default für den Mandanten das Default-Konto auf das jeweils andere erforderliche Konto. Dann bedient sich ein Teil der Systeme vom Distribution Point; die anderen Systeme mit den anderen Konteninformationen mittels Https vom mypDeploy-Server.

  • Sie installieren zwei Distribution Points für den Mandanten, ordnen anhand der Standort-Kriterien einen den Domänen-Systemen und den anderen den Workgroup-Systemen zu und hinterlegen dort die jeweiligen Kontendaten.

Rechte für Domänen-Konten

Wenn Sie für mypDeploy Domänen-Konten verwendet müssen diese lokal in die lokale Administratorengruppe aufgenommen werden (Empfehlung: GPO).

In der Domänen benötigt das Konto aber keinerlei administrativen Rechte; ein rechtebeschränktes “Domänen-Benutzer”-Konto, welches nur lesenden Zugriff auf die mypDeployPackages$-Shares der jeweiligen Distribution Points hat, ist völlig ausreichend.