Bereitstellung von Client Security auf Clientcomputern

Um Client Security auf Clientcomputern bereitzustellen, müssen Sie zunächst eine Richtlinie für diese Computer implementieren. Wenn ein Clientcomputer eine Richtlinie aufweist, lädt der Computer automatisch Client Security von Ihrem Verteilungsserver herunter.

Beachten Sie folgende Punkte, wenn Sie entscheiden, wie Client Security-Richtlinien für Ihre Clientcomputer bereitgestellt werden:

  • Damit eine Richtlinie in Kraft tritt, müssen Sie sie für eine oder mehrere Zielorganisationseinheiten (OU), Sicherheitsgruppen oder Gruppenrichtlinienobjekte (GPO) bereitstellen.
  • Wenn als Ziel eine Datei bereitgestellt wurde, wird die Richtlinie als bereitgestellt markiert. Sie müssen die Richtlinie trotzdem für die jeweiligen Clientcomputer übernehmen. Es wird empfohlen, dass Sie dazu fcspolicytool.exe verwenden, ein auf der Client Security-CD enthaltenes Tool.

Nachdem die Clientkomponenten bereitgestellt wurden, müssen die Clientcomputer in MOM genehmigt werden, bevor sie Daten melden können. Die Clients werden in der Regel innerhalb einer Stunde automatisch genehmigt. Falls die Berichtsdaten schneller verfügbar sein sollen, können Sie die Clients manuell genehmigen. Ausführliche Schritte finden Sie unter „Genehmigen von Clients über den MOM-Server“ weiter unten in diesem Thema.

Ausführlichere Informationen zum Erstellen und Bereitstellen von Richtlinien einschließlich Beschreibungen der in der Richtlinie verfügbaren Einstellungen finden Sie unter Arbeiten mit Richtlinien im Client Security-Administrationshandbuch.

So erstellen Sie eine Richtlinie
  1. Klicken Sie in der Client Security-Konsole auf die Registerkarte Richtlinienverwaltung.

  2. Klicken Sie auf der Registerkarte Richtlinienverwaltung auf Neu.

  3. Geben Sie im Dialogfeld Neue Richtlinie die gewünschten Einstellungen für diese Richtlinie ein.

  4. Nachdem Sie das Erstellen der Richtlinie abgeschlossen haben, klicken Sie auf OK.

So stellen Sie eine Richtlinie bereit
  1. Klicken Sie in der Client Security-Konsole auf die Registerkarte Richtlinienverwaltung und anschließend auf die Richtlinie, die Sie bereitstellen möchten.

  2. Klicken Sie auf Bereitstellen.

  3. Wählen Sie im Dialogfeld Bereitstellen die Ziele aus, für die Sie die Richtlinie bereitstellen möchten. Sie können mehrere Ziele für die Bereitstellung der Richtlinie hinzufügen.

    Wenn Sie die Richtlinie für eine Active Directory-Organisationseinheit oder Domäne bereitstellen:

    1. Klicken Sie auf Organisationseinheit hinzufügen. Das Dialogfeld Active Directory wird angezeigt, und die Organisationseinheiten der obersten Ebene werden aufgelistet.
    2. Suchen Sie unter Ziel auswählen nach der Organisationseinheit, für die Sie die Richtlinie bereitstellen möchten, und wählen Sie diese aus. Wenn Sie eine Richtlinie für alle verwalteten Computer einer Domäne bereitstellen möchten, können Sie die Domäne anstatt der Organisationseinheit auswählen.
    3. Klicken Sie auf OK.

    Wenn Sie die Richtlinie für eine Active Directory-Sicherheitsgruppe bereitstellen:

    1. Klicken Sie auf Gruppe hinzufügen.
    2. Legen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppe fest.

    Wenn Sie die Richtlinie für ein Gruppenrichtlinienobjekt bereitstellen:

    1. Klicken Sie auf Gruppenrichtlinienobjekt hinzufügen.
    2. Wählen Sie unter Ziel auswählen das Gruppenrichtlinienobjekt, für das Sie die Richtlinie bereitstellen möchten.
    3. Klicken Sie auf OK.

    Wenn Sie die Richtlinie für eine REG-Datei bereitstellen:

    1. Klicken Sie auf Datei hinzufügen. Das Dialogfeld Speichern unter wird angezeigt.
    2. Wählen Sie einen Speicherort aus, an dem Sie die REG-Datei speichern möchten.
    3. Geben Sie im Feld Dateiname den Namen für die REG-Richtliniendatei ein.
    4. Klicken Sie auf Speichern.
  4. Klicken Sie auf Bereitstellen. Client Security stellt die Richtlinie für die ausgewählten Ziele bereit.

  5. Wenn Sie die Richtlinie für eine Organisationseinheit bereitgestellt haben und die Richtlinie sofort aktiviert werden soll, können Sie den Befehl gpupdate /force auf jedem Clientcomputer der Organisationseinheit ausführen oder jeden Clientcomputer neu starten. Anderenfalls wird die Richtlinie erst bei der standardmäßigen Aktualisierung der Gruppenrichtlinie für die Clientcomputer bereitgestellt.

    Wenn Sie die Richtlinie für eine Sicherheitsgruppe bereitgestellt haben und die Richtlinie sofort aktiviert werden soll, können Sie jeden Clientcomputer der Sicherheitsgruppe neu starten. Der Befehl gpudate /force aktualisiert die Richtlinien für Clientcomputer in Sicherheitsgruppen nicht. Anderenfalls wird die Richtlinie erst bei der standardmäßigen Aktualisierung der Gruppenrichtlinie für die Clientcomputer bereitgestellt.

    Der Befehl gpudate ist in Windows 2000 nicht verfügbar. Um die Richtlinie sofort für einen Clientcomputer anzuwenden, der Windows 2000 ausführt, führen Sie folgenden Befehl aus: secedit /refreshpolicy machine_policy /enforce

    Wenn Sie für die Richtlinie die Bereitstellung mit Registrierungsdatei verwenden, müssen Sie die folgenden Schritte auf allen Clientcomputern ausführen, für welche die Richtlinie bereitgestellt werden soll.

    1. Verteilen Sie die REG-Datei an die Computer, oder stellen Sie die Datei in einem freigegebenen Ordner zur Verfügung.
    2. Führen Sie „fcslocalpolicytool.exe“ aus, um die Richtlinie für die Computer bereitzustellen. Ausführliche Anleitungen finden Sie im folgenden Abschnitt.

Wenn als Ziel eine Datei bereitgestellt wird, müssen Sie die Richtlinie trotzdem auf Ihre Clientcomputer anwenden. Es wird empfohlen, dass Sie dazu fcslocalpolicytool verwenden, ein auf der Client Security-CD enthaltenes Tool. Mit diesem Tool gewährleisten Sie, dass die Client Security-Einstellungen in der Richtlinie korrekt aktualisiert werden.

Bereitstellen einer Richtlinie mit fcslocalpolicytool
  1. Legen Sie die Client Security-CD in den Clientcomputer ein.

  2. Öffnen Sie ein Eingabeaufforderungsfenster.

  3. Geben Sie in der Eingabeaufforderung Folgendes ein: :cd [cd drive]\Client

  4. Drücken Sie die Eingabetaste.

  5. Geben Sie folgende Informationen ein, die zum Ausführen des Skripts notwendig sind: fcslocalpolicytool.exe /f /i filename

    wobei filename die REG-Datei ist, die Sie für den Clientcomputer bereitstellen möchten. Alle vorherigen Client Security-Richtlinien werden gelöscht.

    Bei automatisierten Bereitstellungen können Sie mit der Option /f die Bestätigungsmeldung unterdrücken.

  6. Drücken Sie die Eingabetaste.

Nach der Bereitstellung werden die Clients der Regel innerhalb einer Stunde automatisch genehmigt. Falls die Berichtsdaten schneller verfügbar sein sollen, können Sie die Clients manuell genehmigen.

So genehmigen Sie Clients manuell über den MOM-Server
  1. Klicken Sie auf dem Client Security-Verwaltungsserver auf Start, klicken Sie auf Programme, dann auf Microsoft Operations Manager und schließlich auf Administratorkonsole.

  2. Erweitern Sie in der MOM 2005 Administratorkonsole unter Konsolenstamm die Option Administration, erweitern Sie Computer, und klicken Sie auf Ausstehende Aktion.

  3. Klicken Sie mit der rechten Maustaste auf den Clientcomputer (MCPClient) in der Liste Ausstehende Aktion, und klicken Sie auf Manuelle Agentinstallation jetzt genehmigen. Wird der Client nicht in der Liste Ausstehende Aktion angezeigt, warten Sie einige Minuten. Klicken Sie dann im Menü Aktion auf Aktualisieren.

  4. Klicken Sie im Dialogfeld Microsoft Operations Manager auf Ja, um die Genehmigung zu bestätigen. Der Clientcomputer wird nicht mehr in der Liste Ausstehende Aktion aufgeführt.

Anzeigen: