• Artikel

Implementaties van besturingssystemen plannen in een NAP-omgeving

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Wanneer u een besturingssysteem en de System Center 2012 Configuration Manager-client wilt implementeren in een omgeving waarin NAP (Network Access Protection) wordt gebruikt, moet u extra configuratiestappen uitvoeren. Wanneer de implementatie van een besturingssysteem niet correct wordt geconfigureerd voor NAP, hebben de geïmplementeerde computers mogelijk beperkt netwerktoegang en kan dit niet worden hersteld.

Clients met Windows Vista en Windows Server 2008 ondersteunen NAP standaard, maar op computers met Windows XP moet een aanvullende NAP-client worden geïnstalleerd. Raadpleeg de website Network Access Protection (Netwerktoegangsbeveiliging) voor meer informatie over de NAP-client voor Windows XP.

NAP ondersteunt een aantal afdwingingsmechanismen, zoals IPsec, 802.1X, VPN en DHCP. Voor elk afdwingingsmechanisme moet een bijbehorende NAP-afdwingingsclient zijn ingeschakeld en de Windows Network Access Protection-service moet worden gestart en geconfigureerd voor automatisch opstarten. Zie Vereisten voor software-updates in Configuration Manager voor meer informatie over de vereisten voor het gebruik van NAP met software-updates in Configuration Manager.

Gebruik de stappen in de volgende gedeelten om ervoor te zorgen dat het afdwingingsmechanisme en de Windows Network Access Protection-service zijn ingeschakeld en correct communiceren met de Configuration Manager-client wanneer u een besturingssysteem implementeert in een NAP-omgeving.

De referentiecomputer is geconfigureerd voor NAP

Het volgende scenario is geschikt als al uw besturingssysteemimplementaties in een NAP-omgeving plaatsvinden en hetzelfde NAP-afdwingingsmechanisme kan worden gebruikt:

  1. Configureer de referentiecomputer met het besturingssysteem, de servicepacks, beveiligingsupdates, toepassingen, instellingen, hulpprogramma's en bureaubladaanpassing.

  2. Als Windows XP het besturingssysteem is, installeert u de NAP-client voor Windows XP.

  3. Schakel de juiste NAP-afdwingingsclients in.

  4. Configureer de Windows Network Access Protection-service zodat deze automatisch wordt gestart. Start de service vervolgens.

  5. Leg de installatiekopie van het besturingssysteem vast met vastlegmedia.

  6. Maak een takenreeks die verwijst naar de vastgelegde installatiekopie.

  7. Implementeer de takenreeks op de doelcomputers.

Met deze configuratie worden de NAP-afdwingingsclient en Windows Network Access Protection-service automatisch gestart op de geïmplementeerde computer omdat ze deel uitmaken van de installatiekopie. Daarnaast worden ze al uitgevoerd wanneer de Configuration Manager-client wordt geïnstalleerd, zodat de Configuration Manager-client kan worden verbonden met de Windows Network Access Protection-service.

De referentiecomputer is niet geconfigureerd voor NAP

Het volgende scenario is geschikt als slechts enkele van uw computers zijn geïnstalleerd in een NAP-omgeving of als u de configuratie voor NAP moet toevoegen aan een bestaande vastgelegde installatiekopie:

  1. Configureer de referentiecomputer met het besturingssysteem, de servicepacks, beveiligingsupdates, toepassingen, instellingen, hulpprogramma's en bureaubladaanpassing.

  2. Leg de installatiekopie van het besturingssysteem vast met vastlegmedia.

  3. Maak een takenreeks voor implementatie die verwijst naar de vastgelegde installatiekopie.

  4. Als Windows XP het besturingssysteem is, voegt u een takenreeksstap in het geïmplementeerde besturingssysteem toe om de NAP-client voor Windows XP te installeren.

  5. Voeg een aangepaste takenreeksstap toe die in het geïmplementeerde besturingssysteem wordt uitgevoerd om de relevante NAP-afdwingingsclients in te schakelen.

    Notitie

    Gebruik het opdrachtregelhulpprogramma netsh nap client set enforcement <enforcement ID> enable. Raadpleeg de documentatie van Windows Network Access Protection voor meer informatie. Zorg ervoor dat de afdwingingsclients worden geconfigureerd door Groepsbeleid.

  6. Voeg een takenreeksstap toe die in het geïmplementeerde besturingssysteem wordt uitgevoerd om de Windows Network Access Protection-service zo te configureren dat deze automatisch wordt gestart. Start de service vervolgens.

    Notitie

    Zorg ervoor dat deze service wordt geconfigureerd door Groepsbeleid.

  7. Voeg een takenreeksstap toe om de computer opnieuw op te starten.

    Notitie

    De computer moet opnieuw worden opgestart om ervoor te zorgen dat de afdwingingsclients en de Windows Network Access Protection-service al worden uitgevoerd wanneer de Configuration Manager-client wordt gestart en de Configuration Manager-client correct kan worden verbonden met de Windows Network Access Protection-service.

  8. Implementeer de takenreeks op de doelcomputers.