Benötigte Berechtigungen auf die Quellenfreigabe

Was ist eine SCCM Struktur ohne Programme und Betriebssysteme? Das ganze wird ja erst mit diesen Paketen eine “runde Sache”. Beim Einrichten einer SCCM Struktur kommt immer wieder die Frage der Berechtigung für die Freigaben auf. Dieses Thema ist ein sehr sensibles Thema und sollte auch gut durchgeplant sein. Man versucht ja auch immer so wenig Rechte wie nötig zu vergeben.

Aber was liegt den alles in einem Quellverzeichnis für SCCM? Meistens sind es:

• Die Programmpakete (reale/virtuelle)
• Softwareupdates
• Die Installationsquellen (I386 Ordner/WIM)
• Auch werden dort die aufgezeichneten Images abgelegt

Als nächstes kommt dann die Frage auf, wer überhaupt den Zugriff auf diese Freigabe benötigt. Die User & Rechner, welche die Programme und Betriebssysteme benötigen, bekommen Ihre Quellen ja über die Distribution Points (Verteilungspunkte). Wer bleibt also noch übrig?

• Die Paktierer welche die Pakete erstellen und ändern
• Die SCCM Konsole welche benutzt wird um bestimmte Aktionen auszuführen.

Die Paktierer werden als globale ADDS Gruppe abgebildet und können einfach berechtigt werden. Aber in welchem Kontext läuft den die SCCM Konsole? Da man mit einer SCCM Konsole nicht direkt an die SCCM Datenbank kommt, braucht man hierzu eine vermittelnde Instanz. Dies ist der SMS Provider. Jede Konsole verbindet sich über das WMI mit dem SMS Provider und dieser leitet die Anfragen an die Datenbank weiter. Der SMS Provider läuft als Dienst im Kontext des Systems. Somit braucht man eigentlich nur dem System die benötigten Berechtigungen auf die Freigabe geben. Natürlich sollte man auch noch wissen, auf welcher Maschine der SMS Provider installiert wurde! ;-)

Dies funktioniert auch ohne Probleme, wenn die Freigabe nicht lokal auf diesem Primary Site Server liegt. Denn dann benutzt SCCM den Computeraccount um sich mit der Freigabe zu verbinden. Liegt die Freigabe aber lokal auf dem Primary Site Server, versucht SCCM sich im Kontext “NT AUTHORITY\SYSTEM “ zu verbinden! Somit muss man bei den Freigabe/NTFS Berechtigungen unterscheiden, ob sich die Freigabe lokal auf dem Primary Site Server befindet oder remote im Netzwerk.

Wenn sich die Freigabe lokal auf dem Primary Site Server befindet, muss man als erstes den Pfad auf die lokale SAM in der Berechtigungssteuerung umstellen.

Danach wählt man das lokale “NT AUTHORITY\SYSTEM “  aus und vergibt diesem die Berechtigung auf der Freigaben & NTFS Ebene.

Befindet sich die Freigabe remote im Netzwerk, so muss man das Computerobjekt aus dem Active Directory auswählen und diesem die benötigten Berechtigungen geben.

Mit diesem Hintergrundwissen sollte es dann nicht mehr schwer sein, die benötigten Programme und Betriebssysteme in die SCCM Struktur zu importieren.