Informationen zum Aktivieren und Deaktivieren des Netzwerkzugriffsschutzes

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Mithilfe der folgenden Informationen können Sie wichtige Aspekte beim Aktivieren und Deaktivieren des Netzwerkzugriffsschutzes (Network Access Protection, NAP) an einem Configuration Manager 2007-Standort erkennen.

ImportantWichtig
Für den Netzwerkzugriffsschutz in Configuration Manager gelten eine Reihe von externer Abhängigkeiten und Konfigurationsaufgaben, die abgeschlossen werden müssen, bevor der Schutz funktioniert. Diese sollten vorhanden sein, bevor Sie den Netzwerkzugriffsschutz in Configuration Manager aktivieren. Weitere Informationen zu den Abhängigkeiten und Konfigurationsaufgaben finden Sie im Abschnitt „Siehe auch“.

Aktivieren des Netzwerkzugriffsschutzes in Configuration Manager

Um den Netzwerkzugriffsschutz (NAP) an einem Configuration Manager 2007-Standort zu aktivieren, müssen Sie den Netzwerkzugriffsschutz-Client-Agent aktivieren. Auf diese Weise werden sofort alle Configuration Manager-NAP-Richtlinien des Standorts aktiviert, die entweder von einem übergeordneten Standort mit aktiviertem Netzwerkzugriffsschutz geerbt oder bereits vor der Deaktivierung des Netzwerkzugriffsschutzes am Standort erstellt wurden. Mithilfe der Configuration Manager-NAP-Richtlinien können NAP-fähige Configuration Manager-Clients ihre Kompatibilität mit den von Ihnen ausgewählten Softwareupdates bewerten.

ImportantWichtig
Führen Sie vor dem Aktivieren des Netzwerkzugriffsschutzes den Bericht Liste der NAP-Richtlinien aus. Dadurch werden alle Configuration Manager-NAP-Richtlinien angezeigt, die automatisch aktiviert werden, wenn Sie den Netzwerkzugriffsschutz-Client-Agent aktivieren.

Stellen Sie beim Aktivieren des Agents an einem untergeordneten Standort sicher, dass die in den NAP-Richtlinien enthaltenen Softwareupdates den Clients Ihres Standorts zur Verfügung stehen.

Wenn Sie den Client-Agent an einem Standort erneut aktivieren, an dem zuvor Configuration Manager-NAP-Richtlinien erstellt wurden, ist es eventuell erforderlich, die alten Configuration Manager-NAP-Richtlinien zu löschen, sobald Sie den Client-Agent erneut aktivieren, sofern die Softwareupdates nicht mehr benötigt werden und auf den Verteilungspunkten gelöscht wurden.

Nachdem Sie den Netzwerkzugriffsschutz an einem Standort aktiviert haben, kann Configuration Manager NAP-fähige Computer melden, die diesem Standort zugeordnet sind. Dazu gehört auch die Meldung der Anzahl an Computern, die im Rahmen der Netzwerkzugriffsschutz-Bereitstellung für beliebige Systemintegritäts-Agents wiederhergestellt werden.

Wenn der Netzwerkzugriffsschutz in Configuration Manager aktiviert ist, können Sie Configuration Manager-NAP-Richtlinien am zentralen oder primären Standort erstellen. Untergeordnete Standorte erben Configuration Manager-NAP-Richtlinien von ihrem übergeordneten Standort.

noteHinweis
Obwohl durch das Aktivieren des Client-Agents für Netzwerkzugriffsschutz am Standort sofort auch alle Configuration Manager-NAP-Richtlinien aktiviert werden (Sie können auch Configuration Manager-NAP-Richtlinien am zentralen oder primären Standort erstellen), beginnen Clients erst mit der NAP-Evaluierung von Richtlinien, wenn sie das nächste Mal ihre Clientrichtlinie mit den neuen Client-Agent-Einstellungen herunterladen.

Erst wenn der Client die neue Clientrichtlinie mit aktiviertem Netzwerkzugriffsschutz-Client-Agent empfängt, bewertet er die Kompatibilität mit den Configuration Manager-NAP-Richtlinien seines Standorts und erhält vom Systemintegritätsprüfungspunkt den Integritätszustand „Kompatibel“.

Deaktivieren des Netzwerkzugriffsschutzes in Configuration Manager

Gehen Sie wie folgt vor, wenn der Netzwerkzugriffsschutz (NAP) mit Configuration Manager 2007 nicht mehr erforderlich ist:

  1. Die Richtlinien auf den Windows-Netzwerkrichtlinienservern müssen neu konfiguriert oder gelöscht werden, sodass sie nicht auf die Configuration Manager-Systemintegritätsprüfung verweisen. Dazu können Sie entweder die Integritätsrichtlinien neu konfigurieren oder bei den Netzwerkrichtlinien eine andere Integritätsrichtlinie ohne Configuration Manager-Systemintegritätsprüfung auswählen.

  2. Wenn Sie den Netzwerkzugriffsschutz für alle Configuration Manager-Hierarchien deaktivieren, müssen Sie alle v-NAP-Richtlinien an dem zentralen oder primären Standort löschen, an dem sie erstellt wurden.

  3. Deaktivieren Sie den Netzwerkzugriffsschutz-Client-Agent. Diese Einstellung wird auf Clients wirksam, wenn sie das nächste Mal ihre Clientrichtlinie herunterladen. Dies erfolgt im nächsten geplanten Intervall (standardmäßig alle 60 Minuten, kann jedoch mithilfe der Option Richtlinienabrufintervall in den Eigenschaften von Computerclient-Agent: Registerkarte „Allgemein“ geändert werden.) Die aktuelle Clientrichtlinie kann auch heruntergeladen werden, wenn sie auf dem Configuration Manager-Client lokal oder über ein Skript angefordert wird. Weitere Informationen finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager-Client.

    Der Client bewertet seine Kompatibilität mit den Configuration Manager-NAP-Richtlinien seines Standorts so lange, bis er die neue Clientrichtlinie mit deaktiviertem Netzwerkzugriffsschutz-Client-Agent empfängt.

  4. Entfernen Sie die Standortsystemrolle „Systemintegritätsprüfungspunkt“ von den Computern, auf denen der Windows-Netzwerkrichtlinienserver ausgeführt wird.

Nachdem der Netzwerkzugriffsschutz deaktiviert wurde, werden auf der Startseite noch bis zu deren Ersetzung Daten angezeigt, und unter Netzwerkzugriffsschutz bleibt der Knoten Richtlinien so lange sichtbar, bis Sie den Knoten Netzwerkzugriffsschutz aktualisieren oder die Configuration Manager-Konsole neu laden.

ImportantWichtig
Wenn der Netzwerkzugriffsschutz für diesen Standort nicht aktiviert war, zeigt die Startseite abgesehen von einer Meldung, dass der Netzwerkzugriffsschutz für diesen Standort deaktiviert ist, keine weiteren Daten an. Wenn Sie den Netzwerkzugriffsschutz nach seiner Aktivierung deaktivieren, werden Informationen zum Netzwerkzugriffsschutz bis zu deren Ersetzung angezeigt, und Sie erhalten keine Meldung, dass der Netzwerkzugriffsschutz jetzt deaktiviert ist.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: