Lokale Richtlinie oder Gruppenrichtlinie in System Center Essentials 2010

  • Artikel

Letzte Aktualisierung: April 2010

Betrifft: System Center Essentials 2010

Damit System Center Essentials 2010 mit anderen Komponenten, die unter Microsoft Windows-Betriebssystemen ausgeführt werden, ordnungsgemäß zusammenarbeiten kann, müssen einige Änderungen am Essentials-Verwaltungsserver, allen verwalteten Computern und allen Remotecomputern, auf denen Essentials-Komponenten wie Remotekonsolen oder Remotedatenbanken ausgeführt werden, vorgenommen werden. Wie diese Änderungen vorgenommen werden, hängt davon ab, ob Sie sich auf diesen Computern als Domänenadministrator oder Gruppenrichtlinienadministrator anmelden können.

Gruppenrichtlinie

Wenn Sie sich bei der Konfiguration von Essentials 2010 als Domänenadministrator oder Gruppenrichtlinienadministrator anmelden können, können Sie die Option „Gruppenrichtlinie der Domäne“ auswählen, und alle Computer, auf denen Essentials-Komponenten oder -Agents aufgeführt werden, werden automatisch konfiguriert.

Wenn Sie die Gruppenrichtlinienoption auswählen, nimmt Essentials 2010 die folgenden Änderungen an der Domäne vor:

  • Eine Active Directory-Sicherheitsgruppe wird erstellt.

  • Der Essentials-Verwaltungsserver wird der neuen Active Directory-Sicherheitsgruppe hinzugefügt.

  • Zwei Gruppenrichtlinienobjekte (GPOs oder Group Policy Objects) werden erstellt.

    • Ein Gruppenrichtlinienobjekt ist für alle Computer in der Domäne vorgesehen und enthält Zertifikate für Secure Sockets Layer (SSL) und Windows Server Update Services (WSUS) sowie Einstellungen für die Windows-Firewall.

    • Das andere Gruppenrichtlinienobjekt ist speziell für mit Essentials verwaltete Computer vorgesehen. Dieses Gruppenrichtlinienobjekt wird auf die von Essentials 2010 erstellte Active Directory-Gruppe angewendet und enthält den Windows Update-Agent, die Ausnahmeüberwachung ohne Agent (AEM, Agentless Exception Monitoring) und die Remoteunterstützung betreffende Einstellungen.

Wenn Sie die Option Gruppenrichtlinie auswählen, werden von Essentials 2010 außerdem die in der folgenden Tabelle beschriebenen Änderungen vorgenommen.

Auf dem Essentials-Verwaltungsserver Auf verwalteten Computern
  • Essentials 2010 überprüft, ob das SSL-Zertifikat auf der WSUS-Website konfiguriert wurde, und erstellt und konfiguriert ein neues Zertifikat, falls keines vorhanden ist.

  • In Essentials 2010 wird überprüft, ob das WSUS-Zertifikat bereits auf dem Essentials-Verwaltungsserver konfiguriert wurde. Wenn das Zertifikat fehlt, wird ein neues Zertifikat erstellt und konfiguriert.

  • Für die Ausnahmenüberwachung ohne Agent (Agentless Exception Monitoring, AEM) werden eine Dateifreigabe und eine Zugriffssteuerungsliste (ACL) erstellt, um der Domäne und den Domänenbenutzern Schreibzugriff zu gewähren.

  • Für die Ausnahmenüberwachung ohne Agents wird der HttpListener-Port für AEM (Port 51906) mit demselben SSL-Zertifikat konfiguriert, das für die WSUS-Website verwendet wurde. Des Weiteren werden SSL und WindowsAuth für den Port aktiviert.

  • Proxyinformationen werden sowohl auf dem WSUS-Server als auch auf dem Essentials-Verwaltungsserver eingerichtet.
  • Keine (verwaltete Computer erhalten alle benötigten Einstellungen über die Gruppenrichtlinie).

Hinweis

Wenn ein Computer der Active Directory-Sicherheitsgruppe hinzugefügt wird, wird automatisch ein Task ausgeführt, mit dem die Mitgliedschaft der Gruppe aktualisiert wird.

Lokale Richtlinie

Wenn Sie sich bei der Konfiguration von Essentials 2010 nicht als Domänenadministrator oder Gruppenrichtlinienadministrator anmelden können, verwenden Sie die lokale Richtlinie. Wenn die Windows-Firewall oder die Firewall eines anderen Anbieters auf Computern in Ihrer Umgebung verwendet wird, müssen Sie Ausnahmen auf dem Essentials-Verwaltungsserver und auf verwalteten Computern erstellen. Darüber hinaus müssen Sie auf jedem Computer, auf dem Sie eine Essentials-Remotekonsole installiert haben, zwei Zertifikate importieren, wenn diese nicht auch vom Essentials-Verwaltungsserver installiert werden. Weitere Informationen finden Sie unter Installieren der System Center Essentials 2010-Konsole auf einem Remotecomputer.

Wenn Sie die Option Lokale Richtlinie auswählen, werden von Essentials 2010 die in der folgenden Tabelle beschriebenen Änderungen vorgenommen.

Auf dem Essentials-Verwaltungsserver Auf verwalteten Computern
  • Essentials 2010 überprüft, ob das SSL-Zertifikat auf der WSUS-Website konfiguriert wurde, und erstellt und konfiguriert ein neues Zertifikat, falls keines vorhanden ist.

  • In Essentials 2010 wird überprüft, ob das WSUS-Zertifikat bereits auf dem Essentials-Verwaltungsserver konfiguriert wurde. Wenn das Zertifikat fehlt, wird ein neues Zertifikat erstellt und konfiguriert.

  • Für die Ausnahmenüberwachung ohne Agent (Agentless Exception Monitoring, AEM) werden eine Dateifreigabe und eine Zugriffssteuerungsliste (Access Control List, ACL) erstellt, um der Domäne und den Domänenbenutzern Schreibzugriff zu gewähren.

  • Für die Ausnahmenüberwachung ohne Agent wird der HttpListener-Port für AEM (Port 51906) mit demselben SSL-Zertifikat konfiguriert, das für die WSUS-Website verwendet wird. Des Weiteren werden SSL und WindowsAuth für den Port aktiviert.

  • Proxyinformationen werden sowohl auf dem WSUS-Server als auch auf dem Essentials-Verwaltungsserver eingerichtet.

  • Die folgenden Zertifikate werden in den Ordner <EssentialsOrdner>\Certificates importiert:

    • WSUSCodeSigning.cer

    • WSUSSSL.cer

  • Die Regel „SCE_ConfigureAgentCertPolicy“ im System Center Essentials-Management Pack wird aktiviert.

  • Der Name des Essentials-Verwaltungsservers und die Werte der AEM-Dateifreigabe werden für die Regel „LocalPolicyConfig“ festgelegt.
  • Bei der Installation des Agents wird die Regel „SCE_ConfigureAgentCertPolicy“ im System Center Essentials-Management Pack ausgeführt und der Computer entsprechend konfiguriert.