Topic last updated -- November 2007
Configuration Manager 2007 混合模式在客户端被允许加入站点之前,不对客户端进行身份验证。安装了 System Center Configuration Manager 2007 客户端并分配到站点,且具有自签名证书的任何计算机均可以与管理点进行通信,显示在 System Center Configuration Manager 2007 控制台中,从站点接收策略并将信息发送到站点。在混合模式下,如果没有选择复选框“此站点仅包含 ConfigMgr 2007 客户端”,则包含敏感数据的策略可以发送到任何客户端。但是如果选择此复选框,仅被批准的客户端可以接收包含敏感数据的策略。
Configuration Manager 2007 客户端在成功安装并分配到站点之后才能获得批准。
批准可以从受信任域中的计算机手动或自动进行,或为所有计算机自动进行,并在混合模式站点的“站点模式”选项卡中配置为站点属性。
最安全的批准方法是自动批准属于受信任域成员的客户端。在此模式下,不属于受信任域成员的客户端(包括工作组客户端)必须手动批准。如果希望在允许客户端接收包含敏感数据的策略之前手动验证每个客户端,请将批准模式设置为手动。不建议自动批准所有客户端,除非您具有其他访问控制来避免不受信任的计算机访问您的网络。如果客户端没有经自动方法批准,它仍然显示在 Configuration Manager 2007 控制台中,则可以通过在集合中查找并使用“操作”菜单中的“批准”来手动批准。有关详细信息,请参阅如何批准 Configuration Manager 客户端。
移动设备客户端不接收任何包含敏感数据的策略,因此不需要批准。
当站点配置为纯模式时也不需要批准,因为公钥基础结构 (PKI) 证书要向管理点和其他站点系统对客户端进行身份验证。
.gif) 注意 |
|---|
|
当 Configuration Manager 2007 站点处于纯模式时,不使用客户端批准。但是如果在 Configuration Manager 控制台中查看集合,则将显示批准列。对于纯模式站点,不应使用此列中的信息。
|
下表列出了可用作混合模式站点选项的三个批准选项。
|
批准设置
|
更多信息
|
|---|
|
手动批准每台计算机
|
手动批准每台计算机加入站点带来的风险最低,但是需要的管理开销最大。客户端必须在 Configuration Manager 控制台中从它们的已分配站点获得手动批准。
|
|
自动批准受信任的域中的计算机
|
如果自动批准受信任域中的计算机,则将自动批准客户端计算机加入受站点服务器的域信任的域。在使用此设置时,应该确保有其他安全控制来避免不受信任的计算机加入受信任的域。
.gif) 重要信息 |
|
自动批准所有计算机
|
如果自动批准所有计算机加入站点,则将允许任何计算机加入站点。从不建议使用此设置,因为它允许任何计算机无需验证是否值得信任即可成为客户端。
|
在站点迁移时将客户端的批准状态重置为纯模式
当 Configuration Manager 2007 站点从混合模式迁移到纯模式时,客户端不保留其批准状态,所有分配到站点的客户端的批准状态将自动设置为未批准。
当站点在纯模式下操作时,使用 PKI 证书的客户端身份验证将取代批准,不使用批准状态。但是如果站点恢复到混合模式,客户端必须作为新客户端重新进行批准。
另请参阅