NWC Services Blog
Berechtigungen der enteo Dienstkonten
Immer wieder werde ich grade von Neukunden gefragt, welches Enteo Konto, welche Berechtigungen benötigt und wie dieses Berechtigungen verteilt und von den Infrastrukturdiensten angewendet werden. Also nun folgendes dazu:
Enteo Runtime Dienst
Der Enteo Runtime Dienst muss zwingend lokale Administrationsrechte auf allen Maschinen haben, die mit Enteo/DSM versorgt werden müssen. Dies wird in der Regel automatisch durch den enteo Agent bei der Installation des Clients geregelt. Hierfür werden die Credentials des SIS (siehe unten) verwendet, um die notwendige Rechte zu erhalten. Aus diesem Grund kann der enteo Runtime Dienst Account als ganz normaler Benutzer in der Domain angelegt werden.
Anders verhält es sich bei WORKGROUP Umgebungen. Hierfür muss ein angepasstes PostOS Action Script genutzt werden, um einen lokalen Benutzer mit administrativen Rechten anzulegen. Diese Script muss allerdings lesenden Zugriff auf den Share (z.B: über einen net use) erhalten, da PostOS Action Packages im Kontext des lokalen SYSTEM Accounts ablaufen. In diesem Fall wird eine explizite Site angelegt, deren Sitetype auf NT4-Arbeitsgruppe gestellt wird und der angelegte lokale Administrator referenziert wird. Wichtig: Die UAC kann nicht relaxed werden, wenn der Computer kein Mitglied einer Domäne ist. Siehe weiter unten.
Zudem benötigt das Konto lesenden Zugriff auf alle Enteo Depots, sofern bei der Paketierung darauf geachtet wird, dass keine schreibenden Zugriffe auf den Share stattfinden (z.B. Logfile Ablage, für eine Paketinstallation...).
Enteo SIS
Der Enteo SIS Dienst kann pro Site ein oder mehrmals (aus Gründen der Ausfallsicherheit) installiert werden. Das Konto des Die SIS Konteninformationen werden grundsätzlich in der ICDB (vormals NCP) hinterlegt werden, ohne den SIS Dienst zu installieren. Werden bei der Installation des Enteo Client Administrative Berechtigungen benötigt, werden die in der NCP hinterlegten Konteninformationen verwendet um den angegebenen Runtime Dienst in die lokale Administratorgruppe zu heben.
Die hierfür benötigten Rechte können auf verschiedene Arten hinterlegt werden:
Im einfachsten Fall können diese Rechte vergeben werden, indem der entsprechende User in die Gruppe der Domain Administratoren aufgenommen wird. Allerdings berechtigt dies den Enteo Runtime Dienst auch zu Operationen im AD und vergibt Berechtigungen auch für Computer die explizit nicht von Enteo/DSM verwaltet werden sollen. Besser ist es also, die lokalen Adminrechte über eine GPO (Computerkonfiguration / Windows Einstellungen / Sicherheitseinstellungen / Eingeschränkte Gruppen) zu vergeben.
Wird der Enteo Client auf einem Vista (oder höherem) Client (also auch Server) installiert, muss auch der SIS Dienst aktiv installiert sein. Der Agent, bittet dann sozusagen den Core Service auf dem System, auf dem der SIS-Dienst installiert ist, die UAC Policy kurzfristig soweit zu relaxen, so dass der Agent den Installationsprozess beenden kann. Damit dieser Vorgang gesichert abläuft, wird bei dem RPC Call von Agent zu SIS geprüft, ob die Anfrage von einem lokalen Administrator stammt, der identische User wie der User ist, unter dem der SIS läuft und ob der Client von dem die Anfrage kommt. ein Domain Member ist. Dies setzt zudem voraus, dass der User unter dem der SIS läuft, auch lokale Administrationsrechte auf dem Server erhält, auf dem er installiert ist.
Der SIS Dienst benötigt weiterhin Schreibzugriff auf das Unterverzeichnis SIS in dem Enteo-Depot Share, dem er als Client zugeordnet ist. An dieser Stelle wird im 15-Sekunden Rhythmus eine Statusdatei abgelegt wird, die die Aktivität des Client wiederspiegelt.
Enteo Distributionsdienst
Der Distributionsdient benötigt Schreibzugriff auf alle Enteo Depots auf die er zugreifen muss. In der Regel wird ein Konto pro nicht-vertrauter Domain angelegt, welches in den Sites entsprechend eingetragen wird.
Ich hoffe dies erläutert die grundsätzliche Funktionsweise der Dienste und gibt Anlass immer wieder mal diesen Blog zu besuchen.
Gruss Dave
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments