本文件已封存並已停止維護。

System Center Essentials 2010 中的本機原則與群組原則

更新日期: 2010年4月

適用於: System Center Essentials 2010

為使 System Center Essentials 2010 與 Windows 作業系統上執行的其他元件能正常相互操作,您必須對 Essentials 管理伺器、所有受管理電腦及執行 Essentials 元件 (例如遠端主控台或遠端資料庫) 的任何遠端電腦進行若干變更。要如何進行這些變更,取決於您能否使用網域系統管理員或群組原則系統管理員的認證登入這些電腦。

群組原則

設定 Essentials 2010 時,如果能夠以網域系統管理員或群組原則系統管理員的認證登入,那麼您就可以選取網域群組原則選項,而且凡是執行 Essentials 元件或代理程式的電腦均會自動設定。

若選取群組原則選項,系統便會指示 Essentials 2010 對網域進行下列變更:

  • 建立 Active Directory 安全性群組。

  • 將 Essentials 管理伺服器新增到 Active Directory 安全性群組。

  • 建立兩個群組原則物件 (GPO)。

    • 其中一個 GPO 的目標鎖定網域中的所有電腦,且包含安全通訊端層 (SSL) 及 Windows Server Update Services (WSUS) 憑證和 Windows 防火牆例外設定。

    • 另一個 GPO 則特別將目標鎖定在 Essentials 受管理電腦。此 GPO 適用於 Essentials 2010 所建立的 Active Directory 安全性群組,且包含與 Windows Update 代理程式、無代理程式例外監視 (AEM) 及遠端協助相關的設定。

此外,若選取 [群組原則] 選項,系統便會指示 Essentials 2010 進行下表所述的變更。

 

在 Essentials 管理伺服器上 在受管理電腦上
  • Essentials 2010 會檢查 WSUS 網站上是否已設定 SSL 憑證,若找不到憑證,則會建立並設定新憑證。

  • Essentials 2010 會檢查 Essentials 管理伺服器是否已設定 WSUS 憑證,若找不到憑證,則會建立並設定新憑證。

  • 若為 AEM,就會建立檔案共用及存取控制清單 (ACL),將寫入權限授與網域和網域使用者。

  • 若為 AEM,會使用用於 WSUS 網站的 SSL 憑證設定 AEM 的 HttpListener 連接埠 (連接埠 51906)。並且,啟用該連接埠的 SSL 和 WindowsAuth。

  • 同時在 WSUS 伺服器和 Essentials 管理伺服器上設定 Proxy 資訊。

  • 無 (受管理電腦透過群組原則接收所有必要設定)。

note附註
當電腦新增到 Active Directory 安全性群組時,會自動執行重新整理該電腦之群組成員資格的工作。

本機原則

如果您在設定 Essentials 2010 時無法使用網域系統管理員或群組原則系統管理員的認證登入,請使用本機原則。如果您環境中的電腦使用 Windows 防火牆或其他廠商的防火牆產品,那麼您必須在 Essentials 管理伺服器和受管理電腦上建立防火牆例外。此外,如果裝有遠端 Essentials 主控台的任何電腦不是由 Essential 管理伺服器管理,則必須在那些電腦上匯入兩種憑證。如需詳細資訊,請參閱如何在遠端電腦上安裝 System Center Essentials 2010 主控台

選取 [本機原則] 選項,會指示 Essentials 2010 進行下表所述的變更。

 

在 Essentials 管理伺服器上 在受管理電腦上
  • Essentials 2010 會檢查 WSUS 網站上是否已設定 SSL 憑證,若找不到憑證,則會建立並設定新憑證。

  • Essentials 2010 會檢查 Essentials 管理伺服器是否已設定 WSUS 憑證,若找不到憑證,則會建立並設定新憑證。

  • 若為 AEM,就會建立檔案共用及 ACL,將寫入權限授與網域和網域使用者。

  • 若為 AEM,會使用用於 WSUS 網站的 SSL 憑證設定 AEM 的 [HttpListener] 連接埠 (連接埠 51906)。並且,啟用該連接埠的 SSL 和 WindowsAuth。

  • 同時在 WSUS 伺服器和 Essentials 管理伺服器上設定 Proxy 資訊。

  • 下列憑證會匯出到 <EssentialsFolder>\Certificates 資料夾:

    • WSUSCodeSigning.cer

    • WSUSSSL.cer

  • System Center Essentials 管理組件中的 SCE_ConfigureAgentCertPolicy 規則會啟用。

  • 針對 LocalPolicyConfig 規則,設定 Essentials 管理伺服器名稱及 AEM 檔案共用內容值。

  • 安裝代理程式時,System Center Essentials 管理組件中的 SCE_ConfigureAgentCertPolicy 規則會執行並設定電腦。

顯示: