Bereitstellen des Client Security-Agents in einer Enterprise Manager-Umgebung

In einer Client Security-Standardbereitstellung werden die Client Security-Agents durch die Erstellung und Bereitstellung einer Client Security-Richtlinie an die betroffenen verwalteten Computer bereitgestellt. Diese Richtlinie schreibt die Namen des Client Security-Sammlungsservers und der Client Security-Verwaltungsgruppe an die Zielcomputer. Die Computer laden dann den Client Security-Agent vom Verteilungsserver herunter und installieren ihn mit den Konfigurationsinformationen aus der Client Security-Richtlinie. Damit senden die betroffenen Computer ihre Berichte an die Client Security-Verwaltungsgruppe, die die Client Security-Richtlinie erstellt hat.

In einer Enterprise Manager-Umgebung wird die Client Security-Richtlinie zentral vom Enterprise Manager-Server verwaltet. Die Verwendung der auf einer Client Security-Richtlinie basierenden Methode für die Bereitstellung des Client Security-Agents würde dazu führen, dass alle bereitgestellten Client Security-Agents direkt an Enterprise Manager-Server berichten. Um dies zu verhindern, sind bei der Konfiguration der Client Security-Richtlinie in einer Enterprise Manager-Umgebung zusätzliche Schritte erforderlich.

Die Enterprise Manager-Umgebung wird in drei Schritten für die Bereitstellung des Client Security-Agents konfiguriert:

Schritt Beschreibung

Erstellen Sie eine im Organisationsstamm verknüpfte Client Security-Richtlinie, die nur Verwaltungszwecken dient.

Mit dieser Richtlinie werden die Client Security-Konfigurationsinformationen deaktiviert, damit der Client Security-Agent nicht vom Verteilungsserver aus installiert wird.

Erstellen Sie für jede untergeordnete Client Security-Bereitstellung je eine Active Directory-Sicherheitsgruppe, und fügen Sie ihr die betroffenen verwalteten Computer hinzu.

Diese Sicherheitsgruppen filtern den Umfang der für die Bereitstellung des Client Security-Agents verwendeten Client Security-Richtlinie.

Erstellen Sie für die Client Security-Richtlinien für die Bereitstellung an die verwalteten Computer jedes untergeordneten Client Security-Servers, und verknüpfen Sie jede mit der entsprechenden Sicherheitsgruppe.

Das führt dazu, dass die Computer in jeder Sicherheitsgruppen den Client Security-Agent installieren und an den entsprechenden untergeordneten Client Security-Server berichten.

Dieses Gruppenrichtlinienobjekt muss in der Gruppenrichtlinien-Verwaltungskonsole erstellt, mit jeder Domäne der Enterprise Manager-Umgebung verknüpft und auf Erzwungen gesetzt werden.

So erstellen und verknüpfen Sie das Gruppenrichtlinienobjekt für Verwaltungszwecke
  1. Klicken Sie auf dem Enterprise Manager-Server auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Struktur der Gruppenrichtlinienverwaltung Gesamtstruktur, dann Domänen, dann Domänenname und schließlich Gruppenrichtlinienobjekte.

  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Neu.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.

  5. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

  6. Klicken Sie im Gruppenrichtlinienobjekt-Editor im Strukturbereich mit der rechten Maustaste auf administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

  7. Klicken Sie im Dialogfeld Vorlagen hinzufügen/entfernen auf Hinzufügen.

  8. Blättern Sie im Dialogfeld „Richtlinienvorlagen“ zum Installationsverzeichnis von Enterprise Manager (der Standardspeicherort lautet %Programme%\Microsoft Forefront\Client Security\Server), wählen Sie fcsem.adm aus, klicken Sie auf Öffnen, und klicken Sie dann im Dialogfeld Vorlagen hinzufügen/entfernen auf Schließen.

  9. Erweitern Sie im Gruppenrichtlinienobjekt-Editor im Strukturbereich den Knoten Administrative Vorlagen, und klicken Sie dann auf Microsoft Forefront Client Security Enterprise Manager.

  10. Klicken Sie im Detailbereich mit der rechten Maustaste auf MOM-Server und -Verwaltungsgruppe, und klicken Sie dann auf Eigenschaften.

  11. Klicken Sie im Dialogfeld MOM-Server- und -Verwaltungsgruppeneigenschaften in der Registerkarte Einstellungen auf Deaktiviert und dann auf OK.

  12. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

  13. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf Domänenname, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

  14. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen unter Gruppenrichtlinienobjekte das für Verwaltungszwecke erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

  15. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole im Strukturbereich mit der rechten Maustaste auf das verknüpfte Objekt für das eben verknüpfte Gruppenrichtlinienobjekt für Verwaltungszwecke, und klicken Sie dann auf Erzwungen.

Der nächste Schritt besteht in der Aufteilung aller betroffenen Client Security-Agents in Active Directory-Sicherheitsgruppen, die ihren jeweiligen Enterprise Manager untergeordneten Bereitstellungen entsprechen. Wenn Ihre Active Directory-Gesamtstruktur für die Gesamtstrukturfunktionsebene Windows 2000 konfiguriert ist, müssen Sie die Computer in Gruppen mit je höchstens 5.000 Mitgliedern aufteilen. Wenn Ihre Active Directory-Gesamtstruktur hingegen für die Gesamtstrukturfunktionsebene einer Interimsversion von Windows Server 2003 oder höher konfiguriert ist, können Sie Gruppen mit mehr als 5.000 Mitgliedern erstellen.

Bb896631.note(de-de,TechNet.10).gifImportant:
Die betroffenen Computer können nur einer der Sicherheitsgruppen für die untergeordneten Client Security-Bereitstellungen angehören.

Weitere Informationen über die Gesamtstrukturfunktionsebenen von Windows Server 2003 finden Sie in der technischen Referenz zu Active Directory-Funktionsebenen (möglicherweise in englischer Sprache) (http://go.microsoft.com/fwlink/?LinkId=104092).

Der letzte Schritt besteht in der Erstellung eines Gruppenrichtlinienobjekts für jede untergeordnete Client Security-Bereitstellung und der Zuweisung jeder Richtlinie zu einem bestimmten untergeordneten MOM-Verwaltungsserver und einer entsprechenden Verwaltungsgruppe mithilfe der Enterprise Manager-Richtlinienvorlage. Danach müssen Sie jedes untergeordnete Gruppenrichtlinienobjekt mit der passenden Sicherheitsgruppe verknüpfen.

So erstellen und verknüpfen Sie die Gruppenrichtlinienobjekte für die untergeordneten Client Security-Bereitstellungen.
  1. Klicken Sie auf dem Enterprise Manager-Server auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Struktur der Gruppenrichtlinienverwaltung Gesamtstruktur, dann Domänen, dann Domänenname und schließlich Gruppenrichtlinienobjekte.

  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Neu.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.

  5. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

  6. Klicken Sie im Gruppenrichtlinienobjekt-Editor im Strukturbereich mit der rechten Maustaste auf administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

  7. Klicken Sie im Dialogfeld Vorlagen hinzufügen/entfernen auf Hinzufügen.

  8. Blättern Sie im Dialogfeld „Richtlinienvorlagen“ zum Installationsverzeichnis von Enterprise Manager (der Standardspeicherort lautet %Programme%\Microsoft Forefront\Client Security\Server), wählen Sie fcsem.adm aus, klicken Sie auf Öffnen, und klicken Sie dann im Dialogfeld Vorlagen hinzufügen/entfernen auf Schließen.

  9. Erweitern Sie im Gruppenrichtlinienobjekt-Editor im Strukturbereich den Knoten Administrative Vorlagen, und klicken Sie dann auf Microsoft Forefront Client Security Enterprise Manager.

  10. Klicken Sie im Detailbereich mit der rechten Maustaste auf MOM-Server und -Verwaltungsgruppe, und klicken Sie dann auf Eigenschaften.

  11. Klicken Sie im Dialogfeld MOM-Server- und -Verwaltungsgruppeneigenschaften in der Registerkarte Einstellungen auf Aktiviert.

  12. Geben Sie im Feld MOM-Verwaltungsgruppe den bei der Installation von Client Security auf der betroffenen untergeordneten Client Security-Bereitstellung angegebenen Verwaltungsgruppennamen an.

  13. Geben Sie im Feld MOM-Server den Namen des untergeordneten Client Security-Sammlungsservers ein, und klicken Sie auf OK.

  14. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

  15. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole im Strukturbereich den Knoten Gruppenrichtlinienobjekte, und klicken Sie dann auf das eben erstellte Gruppenrichtlinienobjekt.

  16. Klicken Sie im Detailbereich unter Sicherheitsfilterung auf Hinzufügen.

  17. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppe auswählen unter Geben Sie den zu verwendenden Objektnamen ein die Namen der Sicherheitsgruppen ein, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie auf OK.

  18. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf Domänenname, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

  19. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen unter Gruppenrichtlinienobjekte das eben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

  20. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole im Strukturbereich mit der rechten Maustaste auf das für das eben verknüpfte Gruppenrichtlinienobjekt verknüpfte Objekt, und klicken Sie dann auf Erzwungen.

  21. Klicken Sie in der Struktur auf Domänenname.

  22. Wählen Sie in der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das eben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf den nach oben zeigenden Pfeil, um es über die zu Verwaltungszwecken erstellte Richtlinie zu verschieben.

Alle Enterprise Manager Client Security-Richtlinien werden zentral vom Enterprise Manager-Server verwaltet. Bei der Migration von mehreren eigenständigen Client Security-Bereitstellungen zu einer Enterprise Manager-Umgebung müssen Sie alle auf dem untergeordneten Verwaltungsserver bestehenden Client Security-Richtlinien dokumentieren.

Nach der Dokumentation der Richtlinien müssen Sie diese auf dem Enterprise Manager-Server neu erstellen.

Bb896631.note(de-de,TechNet.10).gifNote:
Überprüfen Sie vor der Neuerstellung der Richtlinien, ob diese überhaupt noch benötigt werden. Durch die Konsolidierung der Verwaltung mehrerer untergeordneter Client Security-Bereitstellungen können Sie möglicherweise auch gleich die Client Security-Richtlinien selbst konsolidieren.

Weitere Informationen zur Erstellung von Richtlinien finden Sie unter Arbeiten mit Richtlinien (http://go.microsoft.com/fwlink/?LinkID=88415).

Anzeigen: