在 Enterprise Manager 環境中部署 Client Security 代理程式

在標準 Client Security 部署中,透過建立與部署 Client Security 原則,將 Client Security 代理程式部署至目標受管理電腦。此原則將 Client Security 集合伺服器與 Client Security 管理群組的名稱寫入目標電腦中。然後電腦從分佈伺服器下載 Client Security 代理程式,並且使用來自於 Client Security 原則的組態資訊予以安裝。如此便會使目標電腦向建立 Client Security 原則的 Client Security 管理群組報告。

在 Enterprise Manager 環境中,Client Security 原則是由 Enterprise Manager 伺服器集中管理。使用部署 Client Security 代理程式的 Client Security 原則方法,將使所有已部署的 Client Security 代理程式直接向 Enterprise Manager 伺服器報告。若要避免這種情況發生,則在 Enterprise Manager 環境中設定 Client Security 原則時必須採取額外步驟。

針對 Client Security 代理程式部署設定 Enterprise Manager 環境這個程序包含 3 個步驟:

步驟 描述

建立一個「守護員」Client Security 原則,連結於組織的根。

本原則將 Client Security 組態資訊設定為停用,以避免從分佈伺服器安裝 Client Security 代理程式。

為每一下層 Client Security 部署建立 Active Directory 安全性群組,並在其中新增目標受管理電腦。

這些安全性群組用於篩選 Client Security 代理程式在部署時所用的 Client Security 原則之範圍。

建立 Client Security 原則,以部署每個下層 Client Security 伺服器的受管理電腦,並將每部電腦連結到適當的安全性群組。

如此將使每個安全性群組內的電腦安裝 Client Security 代理程式,並向適當的下層 Client Security 伺服器報告。

此群組原則物件必須在群組原則管理主控台中建立,連結到 Enterprise Manager 環境中的各個網域,並設定為 [強制]。

建立與連結守護員群組原則物件
  1. 在 Enterprise Manager 伺服器上,按一下 [啟動],指向 [系統管理工具],然後按一下 [群組原則管理]。

  2. 在 [群組原則管理] 樹狀目錄中,依序展開 [樹系]、[網域]、[domainname],然後展開 [群組原則物件]。

  3. 在 [群組原則物件] 上按一下滑鼠右鍵,然後按一下 [新增]。

  4. 在 [新增 GPO] 對話方塊中,鍵入新 GPO 的名稱,然後按一下 [確定]。

  5. 在新 GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。

  6. 在 [群組原則物件編輯器] 的樹狀目錄窗格中,在 [系統管理範本] 上按一下滑鼠右鍵,然後按一下 [新增/移除範本]。

  7. 在 [新增/移除範本] 對話方塊中,按一下 [新增]。

  8. 在 [原則範本] 對話方塊中,瀏覽至 Enterprise Manager 安裝目錄 (預設位置是 %Program Files%\Microsoft Forefront\Client Security\Server),選取 [fcsem.adm],按一下 [開啟],然後在 [新增/移除範本] 對話方塊中,按一下 [關閉]。

  9. 在 [群組原則物件編輯器] 的樹狀目錄窗格中,展開 [系統管理範本],然後按一下 [Microsoft Forefront Client Security Enterprise Manager]。

  10. 在 [詳細資料] 窗格中,在 [MOM 伺服器與管理群組] 上按一下滑鼠右鍵,然後按一下 [內容]。

  11. 在 [MOM 伺服器與管理群組內容] 對話方塊中,在 [設定] 索引標籤上按一下 [停用],然後按一下 [確定]。

  12. 關閉 [群組原則物件編輯器]。

  13. 在 [群組原則管理] 主控台中,在 [domainname] 上按一下滑鼠右鍵,然後按一下 [連結一個現存的 GPO]。

  14. 在 [選取 GPO] 對話方塊的 [群組原則物件] 之下,選擇您建立的守護員 GPO,然後按一下 [確定]。

  15. 在 [群組原則管理] 主控台的樹狀目錄窗格中,在您剛剛連結的守護員 GPO 的連結物件上按一下滑鼠右鍵,然後按一下 [強制]。

下一步驟是將所有目標 Client Security 代理程式劃分為對應至其目標 Enterprise Manager 下層部署的 Active Directory 安全性群組。如果 Active Directory 樹系針對 Windows 2000 樹系功能層級而設定,那麼您必須將電腦劃分為 5,000 個成員以下的群組。如果 Active Directory 樹系是針對 Windows Server 2003 過渡版功能等級或更高等級,那麼您便可建立超過 5,000 個成員的群組。

Bb896631.note(zh-tw,TechNet.10).gifImportant:
目標電腦必須僅是下層 Client Security 部署安全性群組之一的成員。

如需關於 Windows Server 2003 樹系功能層級的詳細資訊,請參閱 Active Directory 功能等級技術參考 (英文) (http://go.microsoft.com/fwlink/?LinkId=104092)。

最後一個步驟是為各個下層 Client Security 部署建立群組原則物件,並使用 Enterprise Manager 原則範本檔案,將各個原則指定到特定的下層 MOM 管理伺服器與管理群組。然後您必須將各個下層 GPO 連結到適當的安全性群組。

建立與連結下層 Client Security 部署 GPO
  1. 在 Enterprise Manager 伺服器上,按一下 [啟動],指向 [系統管理工具],然後按一下 [群組原則管理]。

  2. 在 [群組原則管理] 樹狀目錄中,依序展開 [樹系]、[網域]、[domainname],然後展開 [群組原則物件]。

  3. 在 [群組原則物件] 上按一下滑鼠右鍵,然後按一下 [新增]。

  4. 在 [新增 GPO] 對話方塊中,鍵入新 GPO 的名稱,然後按一下 [確定]。

  5. 在新 GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。

  6. 在 [群組原則物件編輯器] 的樹狀目錄窗格中,在 [系統管理範本] 上按一下滑鼠右鍵,然後按一下 [新增/移除範本]。

  7. 在 [新增/移除範本] 對話方塊中,按一下 [新增]。

  8. 在 [原則範本] 對話方塊中,瀏覽至 Enterprise Manager 安裝目錄 (預設位置是 %Program Files%\Microsoft Forefront\Client Security\Server),選取 [fcsem.adm],按一下 [開啟],然後在 [新增/移除範本] 對話方塊中,按一下 [關閉]。

  9. 在 [群組原則物件編輯器] 的樹狀目錄窗格中,展開 [系統管理範本],然後按一下 [Microsoft Forefront Client Security Enterprise Manager]。

  10. 在 [詳細資料] 窗格中,在 [MOM 伺服器與管理群組] 上按一下滑鼠右鍵,然後按一下 [內容]。

  11. 在 [MOM 伺服器與管理群組內容] 對話方塊中,在 [設定] 索引標籤上選取 [啟用]。

  12. 在 [MOM 管理群組] 欄位中,輸入您在目標下層 Client Security 部署上安裝 Client Security 時,所指定的管理群組名稱。

  13. 在 [MOM 伺服器] 欄位中,輸入下層 Client Security 集合伺服器的名稱,然後按一下 [確定]。

  14. 關閉 [群組原則物件編輯器]。

  15. 在 [群組原則管理] 主控台的樹狀目錄窗格中,展開 [群組原則物件],然後按一下您剛剛建立的 GPO。

  16. 在 [詳細資料] 窗格的 [安全性篩選] 之下,按一下 [新增]。

  17. 在 [選取使用者、電腦或群組] 對話方塊的 [請輸入物件名稱來選取] 之下,鍵入將套用此 GPO 的安全性群組的名稱,然後按一下 [確定]。

  18. 在 [群組原則管理] 主控台中,在 [domainname] 上按一下滑鼠右鍵,然後按一下 [連結一個現存的 GPO]。

  19. 在 [選取 GPO] 對話方塊的 [群組原則物件] 之下,選擇您建立的 GPO,然後按一下 [確定]。

  20. 在 [群組原則管理] 主控台的樹狀目錄窗格中,在您剛剛連結的 GPO 的連結物件上按一下滑鼠右鍵,然後按一下 [強制]。

  21. 在樹狀目錄中,按一下 [domainname]。

  22. 在 [已連結的群組原則物件] 索引標籤上,選取您建立的 GPO,並按一下向上箭頭按鈕,將它移動到守護員 GPO 的上方。

所有 Enterprise Manager Client Security 原則均由 Enterprise Manager 伺服器集中管理。從多個獨立 Client Security 部署移轉至 Enterprise Manager 環境時,您必須記錄下層管理伺服器上的任何現有 Client Security 原則。

記錄原則之後,您必須在 Enterprise Manager 伺服器上重新建立這些原則。

Bb896631.note(zh-tw,TechNet.10).gifNote:
在重新建立原則之前,請評估是否仍需要那些原則。透過整合多個下層 Client Security 部署的管理工作,您也可能可以整合 Client Security 原則。

如需關於建立原則的詳細資訊,請參閱使用原則 (http://go.microsoft.com/fwlink/?LinkID=88415)。

顯示: