Enterprise Manager-Verwaltung

Berichte in Enterprise Manager unterscheiden sich weder im Erscheinungsbild noch in der Art und Weise, wie auf sie zugegriffen wird, von Berichten in herkömmlichen Client Security-Bereitstellungen. Der einzige Unterschied besteht in den Daten, die in Enterprise Manager-Berichten angezeigt werden.

Enterprise Manager-Berichte enthalten die Daten, die bei der Abfrage der untergeordneten Enterprise Manager-Datenbanken angezeigt werden. Um möglichst genau und aktuell zu sein, werden die Daten in dem Augenblick abgefragt, in dem der Bericht angefordert wird.

Bei Anforderung eines Berichts auf einem Enterprise Manager-Server ruft SQL Server Reporting Services gespeicherte Prozeduren zur Abfrage der untergeordneten Enterprise Manager-Zieldatenbanken auf. Die Daten werden an den Enterprise Manager-Berichtsserver zurückgegeben und dem Enterprise Manager-Benutzer angezeigt.

Hierbei ist zu beachten, dass die auf dem Enterprise Manager-Server generierten Berichte Informationen aus allen untergeordneten Enterprise Manager-Datenbanken enthalten. Wenn Sie Berichte aus nur einer untergeordneten Datenbank anzeigen möchten, müssen Sie die untergeordnete Enterprise Manager-Installation direkt abfragen.

So greifen Sie auf Berichte für eine bestimmte untergeordnete Bereitstellung zu
  1. Öffnen Sie den Internet Explorer.

  2. Geben Sie in der Adressleiste die URL des untergeordneten Enterprise Manager-Berichtsservers ein. Die Adresse besteht aus dem Servernamen und dem Namen des virtuellen Verzeichnisses, ReportServer. Verwenden Sie die folgende URL: http://computername/reportserverWenn Sie eine benannte Instanz von SQL verwenden, geben Sie folgende URL ein: http://computername/reportserver$instanzname

  3. Klicken Sie im Internet Explorer auf MOM-Berichterstattung und dann auf Microsoft Forefront Client Security.

  4. Klicken Sie auf den Namen des Berichts, den Sie anzeigen möchten. Der Bericht wird erstellt und in Internet Explorer angezeigt.

Bb896622.note(de-de,TechNet.10).gifNote:
Der Enterprise Manager-Server selbst wird in Enterprise Manager-Berichten nicht als verwalteter Computer aufgeführt. Dies liegt daran, dass die Daten für Enterprise Manager-Berichte dynamisch aus den untergeordneten Enterprise Manager-Datenbanken abgefragt werden.

Weitere Informationen zum Umgang mit Client Security-Berichten finden Sie im Abschnitt zum Arbeiten mit Berichten (http://go.microsoft.com/fwlink/?LinkId=103834) (möglicherweise in englischer Sprache) im Client Security-Administrationshandbuch.

Informationen zum Datenkonsistenzbanner

Um Sie über den Status der in Enterprise Manager-Berichten zur Verfügung stehenden Daten zu informieren, wird in den Berichten nun am oberen Rand ein Datenkonsistenzbanner angezeigt.

Banner zur Berichtskonsistenz

Probleme mit der Netzwerkkonnektivität oder Serververfügbarkeit können dazu führen, dass der Enterprise Manager-Server keine Verbindung zu untergeordneten Enterprise Manager-Servern herstellen kann. Kann ein untergeordneter Enterprise Manager-Server nicht erreicht werden, wird das Datenkonsistenzbanner bei Rückgabe der verbleibenden Daten im Bericht angezeigt.

Die im Datenkonsistenzbanner angezeigten Werte stellen die Anzahl der Datenbanken dar, für die Abfragefehler gemeldet wurden („Anzahl der Datenbanken mit Abfragefehlern: n“), im Verhältnis zur Anzahl der insgesamt von Enterprise Manager verwalteten Datenbanken dar („Gesamtzahl der Datenbanken: n“).

Bedenken Sie, dass jede untergeordnete Client Security-Bereitstellung über zwei Datenbanken verfügt, die von Enterprise Manager verwaltet werden. Wird beispielsweise bei einer untergeordneten Client Security-Bereitstellung mit einem Server die untergeordnete Sammlungs- und Berichtsdatenbank offline geschaltet, wird im Datenkonsistenzbanner folgende Meldung angezeigt: „Anzahl der Datenbanken mit Abfragefehlern: 1." Wird der gesamte untergeordnete Client Security-Server offline geschaltet, melden zwei Datenbanken Abfragefehler.

Lange Abfragezeiten führen jedoch nicht dazu, dass das Datenkonsistenzbanner im Bericht angezeigt wird. Für Berichte ist in Enterprise Manager ein Zeitüberschreitungswert von 60 Minuten vorgesehen. Dieser Zeitraum sollte für den Berichterstellungsdienst von Enterprise Manager ausreichen, um die Abfrageergebnisse von den untergeordneten Servern zu erhalten.

Informationen zu untergeordneten Administratoren

Die Administratoren der untergeordneten Enterprise Manager-Server können Informationen zu den einzelnen Bereitstellungen abrufen, indem sie die Client Security-Berichte direkt von ihrem lokalen Client Security-Berichtsserver aus anzeigen. Die hierzu erforderlichen Schritte sind dieselben, die Enterprise Manager-Administratoren ausführen müssen, wenn sie auf Berichte für eine bestimmte untergeordnete Bereitstellung zugreifen möchten (siehe vorherige Vorgehensweise).

Administratoren von untergeordneten Servern können in Berichten die Namen von Bedrohungen oder Client Security-Richtlinien nicht einsehen. Da diese Daten ausschließlich auf dem Enterprise Manager-Server verwaltet werden, wird bei diesen Elementen der Name durch einen global eindeutigen Bezeichner (Globally Unique Identifier, GUID) ersetzt.

Banner zur Datenkonsistenz

Das Enterprise Manager-Dashboard unterscheidet sich nur unwesentlich vom herkömmlichen Client Security-Dashboard. Es gibt nur zwei Unterschiede.

Informationen zu zusammengefassten Daten

Die im Dashboard dargestellten Daten werden aus sämtlichen untergeordneten Enterprise Manager-Bereitstellungen zusammengefasst. Im Gegensatz zu einer Client Security-Standardinstallation mit nur einem Server ist der Enterprise Manager-Server jedoch nicht Teil der im Dashboard angezeigten Daten.

Ein SQL Server-Agent-Auftrag wird regelmäßig alle fünf Minuten im Hintergrund ausgeführt, um Daten von den untergeordneten Enterprise Manager-Servern zwischenzuspeichern. Diese Art der Zwischenspeicherung gewährleistet, dass im Enterprise Manager-Dashboard stets aktuelle Daten zur Verfügung stehen. Beim Start des Client Security-Dashboards auf dem Enterprise Manager-Server wird das Alter der zwischengespeicherten Daten für jeden der untergeordneten Server überprüft.

  • Sind die zwischengespeicherten Daten eines untergeordneten Servers nicht älter als 10 Minuten, werden sie verwendet.
  • Sind die Daten älter als 10 Minuten, wird die entsprechende untergeordnete Datenbank direkt abgefragt. Wenn keine Rückmeldung von der Datenbank erfolgt, werden die Daten im Zwischenspeicher verwendet.
  • Sind die Daten für einen untergeordneten Server älter als 30 Minuten, wird die entsprechende untergeordnete Datenbank direkt abgefragt. Wenn keine Rückmeldung erfolgt, werden im Dashboard keine Daten von dieser Datenbank angezeigt.

Informationen zum Datenkonsistenzbanner

Am oberen Rand des Enterprise Manager-Dashboards wird nun ein Datenkonsistenzbanner angezeigt. Probleme mit der Netzwerkkonnektivität oder der Verfügbarkeit von untergeordneten Servern können dazu führen, dass der Enterprise Manager-Server keine aktuellen Daten von den untergeordneten Servern abfragen kann. In einem solchen Fall wird am oberen Rand des Dashboards das Datenkonsistenzbanner angezeigt. Hier wird die Anzahl der untergeordneten Datenbanken angezeigt, bei denen bei Aktualisierung des Dashboards Abfragefehler aufgetreten sind.

Die im Datenkonsistenzbanner angezeigten Werte stellen die Anzahl der Datenbanken, für die Abfragefehler gemeldet wurden („Anzahl der Datenbanken mit Abfragefehlern: n“), im Verhältnis zur Anzahl der insgesamt von Enterprise Manager verwalteten Datenbanken dar („Gesamtzahl der Datenbanken: n“).

Bedenken Sie, dass jede untergeordnete Client Security-Bereitstellung über zwei Datenbanken verfügt, die von Enterprise Manager verwaltet werden. Wird beispielsweise bei einer untergeordneten Client Security-Bereitstellung mit einem Server die untergeordnete Sammlungs- und Berichtsdatenbank offline geschaltet, so zeigt das Datenkonsistenzbanner folgende Meldung an: „Anzahl der Datenbanken mit Abfragefehlern: 1". Wird der gesamte untergeordnete Client Security-Server offline geschaltet, melden zwei Datenbanken Abfragefehler.

Wenn Sie auf das Datenkonsistenzbanner klicken, wird die Microsoft Operations Manager 2005-Operatorkonsole geöffnet. Die Operatorkonsole zeigt die von den untergeordneten Enterprise Manager-Bereitstellungen generierten Warnungen sowie die Gründe für die Abfragefehler an.

So überprüfen Sie Enterprise Manager-Abfragefehler
  1. Klicken Sie auf dem Enterprise Manager-Server in der Client Security-Konsole auf das Datenkonsistenzbanner. Die Operatorkonsole von Microsoft Operations Manager (MOM) 2005 wird geöffnet.

  2. Erweitern Sie in der Microsoft Operations Manager 2005-Operatorkonsole unter Warnungsansichten die Struktur Alle: Warnungsansichten, erweitern Sie Microsoft Forefront Client Security, und klicken Sie dann auf Warnungen. Hinweis Diese Warnungsansicht zeigt nur die Client Security-spezifischen Warnungen an.

  3. Wählen Sie im Bereich Warnungen die Warnung aus, die angezeigt werden soll.

  4. Führen Sie im Bereich Warnungsdetails einen der folgenden Arbeitsschritte aus:

Weitere Informationen zum Umgang mit dem Client Security-Dashboard finden Sie im Abschnitt zum Arbeiten mit dem Dashboard (http://go.microsoft.com/fwlink/?LinkId=103826) (möglicherweise in englischer Sprache) im Client Security-Administrationshandbuch.

Verwalten von Client Security-Richtlinien mit Enterprise Manager

In einer Enterprise Manager-Umgebung werden sämtliche Client Security-Richtlinien auf dem Enterprise Manager-Server verwaltet. Wie bereits unter Bereitstellen des Client Security-Agents in einer Enterprise Manager-Umgebung erörtert, müssen alle vorhandenen Client Security-Richtlinien auf den untergeordneten Enterprise Manager-Servern dokumentiert und, falls erforderlich, auf dem Enterprise Manager-Server neu erstellt werden.

Bb896622.note(de-de,TechNet.10).gifImportant:
Auf dem Enterprise Manager-Server erstellte Client Security-Richtlinien werden auf den untergeordneten Servern in der Verwaltungskonsole für Client Security auf der Registerkarte Richtlinienverwaltung nicht angezeigt.

Die ersten Client Security-Richtlinien, die in einer Enterprise Manager-Umgebung bereitgestellt werden müssen, sind die Richtlinien für die Bereitstellung von Client Security-Agents. Diese wurden im oben erwähnten Abschnitt bereits vorgestellt. Anhand dieser Richtlinien werden alle neuen Client Security-Agents auf den Zielclients der untergeordneten Instanzen bereitgestellt.

Zusätzlich ist es erforderlich, die Richtlinien für den Unternehmensschutz zu überprüfen sowie Client Security-Richtlinien bereitzustellen, um den Client Security-Agent auf allen verwalteten Computern unternehmensweit zu konfigurieren.

Ähnlich wie bei der Installation von Enterprise Manager gilt es auch hier zu bedenken, dass für bestimmte Client Security-Agents möglicherweise eine andere Konfiguration erforderlich ist. Wahrscheinlich ist Ihr Unternehmen bereits in Organisationseinheiten aufgeteilt. Deshalb wird die Bereitstellung der Client Security-Richtlinien für die Verwaltung wahrscheinlich erleichtert, wenn Zielcomputer in Sicherheitsgruppen basierend auf den Anforderungen der Client Security-Richtlinien aufgeteilt werden.

Betrachten Sie als Beispiel das folgende Szenario. Es sind drei untergeordnete Client Security-Bereitstellungen vorhanden, die von der Enterprise Manager-Instanz verwaltet werden. In jeder der untergeordneten Bereitstellungen gibt es als Benutzer Führungskräfte, für die eine Client Security-Richtlinie für das Anzeigen und Bearbeiten der Einstellungen im Client Security-Agent vorhanden sein muss. Die übrigen Benutzer im Unternehmen sollen nicht berechtigt sein, Änderungen an den Einstellungen vorzunehmen.

Führen Sie die folgenden Arbeitsschritte aus, um dieses Szenario für die Benutzer im Unternehmen zu implementieren:

  • Erstellen Sie in jeder Domäne Sicherheitsgruppen mit allen Computern, die als Client Security-Clients verwaltet werden sollen.
    Bb896622.note(de-de,TechNet.10).gifNote:
    Client Security-Richtlinien gelten auf Computerebene, nicht auf Benutzerebene.
    Bb896622.note(de-de,TechNet.10).gifNote:
    Wenn Ihre Active Directory-Gesamtstruktur für die Gesamtstrukturfunktionsebene Windows 2000 konfiguriert ist, müssen Sie die Computer in Gruppen mit je höchstens 5.000 Mitgliedern aufteilen. Wenn Ihre Active Directory-Gesamtstruktur hingegen für die Gesamtstrukturfunktionsebene einer Interimsversion von Windows Server 2003 oder höher konfiguriert ist, können Sie Gruppen mit mehr als 5.000 Mitgliedern erstellen.
  • Erstellen Sie eine Client Security-Richtlinie, die den Zugriff auf die Einstellungen des Client Security-Agent einschränkt, und stellen Sie die Richtlinie dann in den erstellten Sicherheitsgruppen bereit.

Führen Sie die folgenden Arbeitsschritte aus, um dieses Szenario für die Führungskräfte im Unternehmen zu implementieren:

  • Erstellen Sie in allen Domänen Sicherheitsgruppen, die die Konten der Führungskräfte enthalten.
  • Erstellen Sie eine Client Security-Richtlinie, die den Zugriff auf die Einstellungen des Client Security-Agent nicht einschränkt, und stellen Sie die Richtlinie dann für die Computer der Führungskräfte bereit.

Weitere Informationen zur Planung von Client Security-Richtlinien finden Sie im Abschnitt zum Planen der Integration in der Active Directory-Umgebung (http://go.microsoft.com/fwlink/?LinkId=104234) (möglicherweise in englischer Sprache) im Client Security-Handbuch für Planung und Architektur. Weitere Informationen zur Verwendung von Client Security-Richtlinien finden Sie im Abschnitt zum Arbeiten mit Richtlinien (http://go.microsoft.com/fwlink/?LinkID=88415) (möglicherweise in englischer Sprache) im Client Security-Administrationshandbuch.

Warnungen, die von untergeordneten Client Security-Bereitstellungen weitergegeben werden, werden im Enterprise Manager-Dashboard angezeigt Der Umgang mit Warnungen ist im Enterprise Manager-Dashboard und in den eigenständigen Client Security-Bereitstellungen funktionell ähnlich.

Weitere Informationen zur Verwaltung von Warnungen in der Client Security finden Sie im Abschnitt zum Arbeiten mit Warnungen (http://go.microsoft.com/fwlink/?LinkID=86813) (möglicherweise in englischer Sprache) im Client Security-Administrationshandbuch.

Überprüfen aller bzw. eines bestimmten Computers

Funktionell macht es keinen Unterschied, ob die Computer eines Unternehmens in einer Enterprise Manager-Umgebung oder ohne Enterprise Manager auf schädliche Software überprüft wird. Der Hauptunterschied besteht darin, dass wenn Sie auf dem Enterprise Manager-Server im Client Security-Dashboard auf die Schaltfläche Jetzt scannen klicken, der Scanvorgang an die untergeordneten Server weitergegeben und auf den verwalteten Zielcomputern ausgeführt wird.

Wenn Sie auf Jetzt scannen klicken, können Sie entweder alle Clientcomputer (Alle verwalteten Computer scannen) oder nur einen einzelnen Computer (Bestimmten Computer scannen) überprüfen lassen. Der Scanvorgang wird in der Enterprise Manager-Sammlungsdatenbank erstellt und über den auf den untergeordneten Sammelservern installierten MOM-Agent an die untergeordneten Server weitergeleitet. Auf dem untergeordneten Sammelserver wird dann einer der folgenden Schritte ausgeführt:

  • Soll der Scanvorgang für einen einzelnen Computer ausgeführt werden, überprüfen die untergeordneten Server in der Sammlungsdatenbank, ob ein entsprechender verwalteter Computer vorhanden ist. Wird in einer bestimmten Sammlungsdatenbank keine Übereinstimmung gefunden, wird der Task ignoriert. Ist die Suche erfolgreich, wird der Scanvorgang mithilfe des MOM-Agent des entsprechenden Computers an diesen weitergeleitet.
  • Sollen alle verwalteten Computer gescannt werden, erstellen die untergeordneten Server für jeden Computer in ihren Datenbanken einen MOM-Task und leiten diesen mithilfe der installierten MOM-Agents weiter.

Schädliche Software, die bei Scanvorgängen auf verwalteten Computern entdeckt wurde, wird im Enterprise Manager-Dashboard als Warnung angezeigt und an die Enterprise Manager-Datenbank weitergeleitet.

Überprüfen einer einzelnen Verwaltungsgruppe

Zur Überprüfung einer einzelnen Verwaltungsgruppe muss der Scanvorgang vom untergeordneten Client Security-Verwaltungsserver aus gestartet werden. Wenn Sie in der untergeordneten Client Security-Konsole auf Jetzt scannen klicken und dann Alle verwalteten Computer scannen auswählen, werden nur die Computer in der zugehörigen Verwaltungsgruppe überprüft. Eventuelle Warnmeldungen werden jedoch auch in diesem Fall an den Enterprise Manager-Server weitergegeben, damit sie in Berichten zusammengefasst werden können.

Weitere Informationen zur Überprüfung von verwalteten Computern finden Sie im Abschnitt zum Scannen von verwalteten Computern (http://go.microsoft.com/fwlink/?LinkId=104313) (möglicherweise in englischer Sprache) im Client Security-Administrationshandbuch.

Anzeigen: