Freigeben über


Grundlagen von Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Falls Sie noch nicht mit Configuration Manager vertraut sind, können Sie sich die folgenden Informationen durchlesen, um die Grundkonzepte von Microsoft System Center 2012 Configuration Manager kennenzulernen. Es wird empfohlen, erst danach das Setup auszuführen oder ausführlichere Informationen zu lesen. Wenn Sie mit Configuration Manager 2007 vertraut sind, lesen Sie Neuigkeiten in System Center 2012 Configuration Manager.

Informationen zu unterstützten Betriebssystemen und unterstützten Umgebungen, Hardwareanforderungen und Kapazitäten finden Sie unter Unterstützte Konfigurationen für Configuration Manager.

Standorte

Wenn Sie System Center 2012 Configuration Manager zum ersten Mal installieren, erstellen Sie einen Configuration Manager-Standort, der als Grundlage für die Verwaltung von Geräten und Benutzern in Ihrem Unternehmen dient. Bei diesem Standort handelt es sich entweder um einen Standort der zentralen Verwaltung oder um einen primären Standort. Ein Standort der zentralen Verwaltung eignet sich für umfangreiche Bereitstellungen. Zu seinen Vorzügen gehört neben einer zentralen Verwaltungsschnittstelle die Flexibilität, Geräte zu unterstützen, die in einer globalen Netzwerkinfrastruktur verteilt sind. Ein primärer Standort eignet sich für kleinere Bereitstellungen und ist im Hinblick auf das künftige Wachstum Ihres Unternehmens weniger anpassungsfähig.

Beim Installieren eines Standorts der zentralen Verwaltung müssen Sie auch mindestens einen primären Standort zur Verwaltung der Benutzer und Geräte installieren. Bei diesem Entwurf können Sie zusätzliche primäre Standorte zur Verwaltung weiterer Geräte sowie zur Steuerung der Netzwerkbandbreite installieren, falls die Geräte sich an unterschiedlichen geografischen Orten befinden. Sie können auch einen weiteren Standorttyp installieren, der als sekundärer Standort bezeichnet wird. Sekundäre Standorte stellen eine Erweiterung eines primären Standorts dar und dienen zur Verwaltung der Geräte, die eine langsame Netzwerkverbindung mit dem primären Standort haben.

Wenn Sie keinen Standort der zentralen Verwaltung installieren, müssen Sie als ersten Standort einen eigenständigen primären Standort installieren. Standardmäßig können Sie keine weiteren primären Standorte installieren, die miteinander kommunizieren können. Sie können aber mehrere sekundäre Standorte installieren, um diesen primären Standort zu erweitern und so die Geräte zu verwalten, die über eine langsame Netzwerkverbindung zum primären Standort verfügen.

Wenn Sie einen eigenständigen primären Standort installiert haben und später beschließen, einen Entwurf mit einem zentralen Verwaltungsstandort zu verwenden, ist dies in Configuration Manager SP1 möglich. Von Configuration Manager ohne Service Pack wird diese Entwurfsänderung erst dann unterstützt, nachdem Sie ein Upgrade auf Configuration Manager SP1 für den Standort durchgeführt haben. Diese Entwurfsänderung wird als Standorterweiterung bezeichnet.

Wenn Sie über mehrere Standorte verfügen, zwischen denen eine Kommunikation stattfindet, ist dies eine Standortanordnung, die als Hierarchie bezeichnet wird. Die folgenden Diagramme enthalten einige Beispiele für Standortentwürfe.

Standortdesigns

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Standortverwaltung für System Center 2012 Configuration Manager:

Veröffentlichen von Standortinformationen in Active Directory-Domänendiensten

Wenn Sie das Active Directory-Schema für System Center 2012 Configuration Manager erweitern, können Sie System Center 2012 Configuration Manager-Standorte in den Active Directory-Domänendiensten veröffentlichen. So ermöglichen Sie, dass System Center 2012 Configuration Manager-Standortinformationen von Active Directory-Computer auf sichere Weise aus einer vertrauenswürdigen Quelle abgerufen werden können. Das Veröffentlichen von Standortinformationen in den Active Directory-Domänendiensten ist für die Basisfunktionen von Configuration Manager zwar nicht erforderlich, aber Sie können damit die Sicherheit der System Center 2012 Configuration Manager-Hierarchie erhöhen und den Verwaltungsaufwand reduzieren.

Sie können das Active Directory-Schema vor oder nach der Installation von System Center 2012 Configuration Manager erweitern. Außerdem müssen Sie in jeder Domäne, die einen System Management-Standort enthält, einen Active Directory-Container namens System Center 2012 Configuration Manager erstellen, damit Standortinformationen veröffentlicht werden können. Sie müssen zudem die Active Directory-Berechtigungen konfigurieren, um die Veröffentlichung der Standortinformationen in diesem Active Directory-Container zu ermöglichen. Wie bei allen Schemaerweiterungen gilt auch hier, dass Sie das Schema für System Center 2012 Configuration Manager je Gesamtstruktur nur einmal erweitern können.

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Standortverwaltung für System Center 2012 Configuration Manager:

Standortsystemserver und Standortsystemrollen

In Configuration Manager werden Standortsystemrollen verwendet, um die Verwaltungsvorgänge an den einzelnen Standorten zu unterstützen. Beim Installieren eines Configuration Manager-Standorts werden einige Standortsystemrollen automatisch installiert und dem Server zugewiesen, auf dem Configuration Manager Setup erfolgreich ausgeführt wurde. Eine dieser Standortsystemrollen ist der Standortserver, der nicht auf einen anderen Server übertragen oder entfernt werden kann, ohne den Standort zu deinstallieren. Sie können andere Server verwenden, um zusätzliche Standortsystemrollen auszuführen oder einige Standortsystemrollen vom Standortserver zu übertragen, indem Sie Configuration Manager-Standortsystemserver installieren und konfigurieren.

Von jeder Standortsystemrolle werden bestimmte Verwaltungsfunktionen unterstützt. Die folgende Tabelle enthält eine Übersicht über die Standortsystemrollen, von denen grundlegende Verwaltungsfunktionen bereitgestellt werden.

Standortsystemrolle

Beschreibung

Standortserver

Ein Computer, auf dem das Configuration Manager-Setup ausgeführt wird und die Hauptfunktionen für den Standort bereitgestellt werden.

Standortdatenbankserver

Ein Server, von dem die SQL Server-Datenbank mit Informationen zu Configuration Manager-Beständen und Standortdaten gehostet wird.

Komponentenserver

Ein Server, von dem Configuration Manager-Dienste ausgeführt werden. Wenn Sie bis auf die Rolle „Verteilungspunkt“ alle Standortsystemrollen installieren, wird der Komponentenserver automatisch von Configuration Manager installiert.

Verwaltungspunkt

Über diese Standortsystemrolle werden Informationen zu Richtlinien und Dienstorten für Clients bereitgestellt, und bei ihr gehen Konfigurationsdaten von Clients ein.

Verteilungspunkt

Dies ist eine Standortsystemrolle mit Quelldateien, die von Clients heruntergeladen werden können, darunter Anwendungsinhalt, Softwarepakete, Softwareupdates, Betriebssystemabbilder und Startabbilder.

Reporting Services-Punkt

Diese Standortsystemrolle wird in SQL Server Reporting Services integriert, um Berichte für Configuration Manager zu erstellen und zu verwalten.

Wenn Configuration Manager zum ersten Mal in der Produktionsumgebung eines Unternehmens bereitgestellt wird, werden normalerweise mehrere Standortsystemrollen auf dem Standortserver ausgeführt, und es gibt zusätzliche Standortsystemserver für Verteilungspunkte. Je nach den Geschäftsanforderungen und der Netzwerkinfrastruktur werden dann weitere Standortsystemserver installiert und neue Standortsystemrollen hinzugefügt.

Die folgende Tabelle enthält einen Überblick über die zusätzlichen Standortsystemrollen, die möglicherweise für bestimmte Funktionen erforderlich sind.

Standortsystemrolle

Beschreibung

Anwendungskatalog-Webdienstpunkt

Über diese Standortsystemrolle werden der Anwendungskatalog-Website Softwareinformationen aus der Softwarebibliothek bereitgestellt.

Anwendungskatalog-Websitepunkt

Über diese Standortsystemrolle wird Benutzern eine Liste der verfügbaren Software aus dem Anwendungskatalog bereitgestellt.

Asset Intelligence-Synchronisierungspunkt

Über diese Standortsystemrolle wird eine Verbindung mit Microsoft hergestellt, um Asset Intelligence-Kataloginformationen herunterzuladen und nicht kategorisierte Titel zur künftigen Berücksichtigung im Katalog hochzuladen.

Zertifikatregistrierungspunkt

Über diese Standortsystemrolle wird die Kommunikation mit einem Server abgewickelt, auf dem der Registrierungsdienst für Netzwerkgeräte für die Verwaltung von Zertifikatanforderungen ausgeführt wird, für die SCEP (Simple Certificate Enrollment Protocol) verwendet wird.

Endpoint Protection-Punkt

Über diese Standortsystemrolle werden die Endpoint Protection-Lizenzbedingungen in Configuration Manager akzeptiert, und die Standardmitgliedschaft für Microsoft Active Protection Service wird konfiguriert.

Anmeldungspunkt

Von dieser Standortsystemrolle werden PKI-Zertifikate für Configuration Manager verwendet, um mobile Geräte und Macintosh-Computer anzumelden und Intel AMT-basierte Computer bereitzustellen.

Anmeldungsproxypunkt

Eine Standortsystemrolle, mit der Configuration Manager-Anmeldungsanfragen von mobilen Geräten und Macintosh-Computern verwaltet werden.

Fallbackstatuspunkt

Über diese Standortsystemrolle können Sie die Clientinstallation überwachen und Clients ermitteln, die nicht verwaltet werden, weil die Kommunikation mit dem zugehörigen Verwaltungspunkt nicht möglich ist.

Out-of-Band-Dienstpunkt

Über diese Standortsystemrolle werden Intel AMT-basierte Computer für die Out-of-Band-Verwaltung bereitgestellt und konfiguriert.

Softwareupdatepunkt

Diese Standortsystemrolle wird in Windows Server Update Services (WSUS) integriert, um Configuration Manager-Clients Softwareupdates bereitzustellen.

Zustandsmigrationspunkt

Über diese Standortsystemrolle werden Benutzerzustandsdaten gespeichert, wenn ein Computer zu einem neuen Betriebssystem migriert wird.

Systemintegritätsprüfungspunkt

Über diese Standortsystemrolle werden die NAP-Richtlinien (Network Access Protection, Netzwerkzugriffsschutz) von Configuration Manager überprüft. Sie muss auf einem NAP-Integritätsrichtlinienserver installiert sein.

Microsoft Intune-Connector

Eine Standortsystemrolle in Configuration Manager SP1, von der Microsoft Intune verwendet wird, um mobile Geräte in der Configuration Manager-Konsole zu verwalten.

In der folgenden Abbildung sind diese grundlegenden und zusätzlichen Standortsystemrollen dargestellt, die Sie dem Standortservercomputer hinzufügen oder per Installation weiterer Standortsystemserver verteilen können.

Standortrollen

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Standortverwaltung für System Center 2012 Configuration Manager:

Clients

System Center 2012 Configuration Manager-Clients sind Geräte wie Arbeitsstationen, Laptops, Server und mobile Geräte, auf denen die Configuration Manager-Clientsoftware zur Verwaltung installiert ist. Die Verwaltung umfasst Vorgänge wie die Meldung von Hardware- und Softwareinventurinformationen, die Installation von Software und die Konfiguration von Einstellungen, die aus Kompatibilitätsgründen erforderlich sind. Mithilfe der Ermittlungsmethoden von Configuration Manager können Sie im Netzwerk nach Geräten suchen, um darauf die Clientsoftware zu installieren.

In Configuration Manager sind mehrere Optionen für die Installation der Clientsoftware auf Geräten enthalten. Dazu gehören die Clientpushinstallation, die auf Softwareupdates oder einer Gruppenrichtlinie basierende Installation sowie die manuelle Installation. Bei der Bereitstellung eines Betriebssystemabbilds können Sie auch den Client einschließen.

In Configuration Manager werden Geräte mithilfe von Sammlungen gruppiert, damit Sie Verwaltungstasks auf mehreren Geräten mit den gleichen Kriterien ausführen können. Beispielsweise kann es vorkommen, dass Sie eine mobile Geräteanwendung auf allen mobilen Geräten installieren möchten, die von Configuration Manager angemeldet wurden. In diesem Fall können Sie die Sammlung Alle Mobilgeräte verwenden, bei der Computer automatisch ausgeschlossen sind. Sie können eigene Sammlungen erstellen, um die von Ihnen verwalteten Geräte Ihren Geschäftsanforderungen entsprechend logisch zu gruppieren.

Weitere Informationen finden Sie in den folgenden Themen der HandbücherBereitstellen von Clients für System Center 2012 Configuration Manager und Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager):

Benutzerzentrierte Verwaltung

Zusätzlich zu den Sammlungen für Geräte gibt es auch Benutzersammlungen, die Benutzer aus den Active Directory-Domänendiensten enthalten. Mithilfe von Benutzersammlungen können Sie Software auf allen Computern installieren, bei denen ein Benutzer sich anmeldet. Sie können auch die Affinität zwischen Benutzer und Gerät konfigurieren, damit die Software nur auf den Hauptgeräten des Benutzers installiert wird. Diese Hauptgeräte werden als primäre Geräte bezeichnet. Ein Benutzer kann über ein oder mehrere primäre Geräte verfügen.

Eine der Möglichkeiten, mit denen Benutzer die Softwarebereitstellung auf ihren Geräten steuern können, ist die Verwendung der neuen Computerclientschnittstelle „Softwarecenter“. Softwarecenter wird automatisch auf Clientcomputern installiert und kann von den Benutzern über das Startmenü aufgerufen werden. Mithilfe dieser Clientschnittstelle können Benutzer ihre eigene Software verwalten und Folgendes ausführen:

  • Installieren von Software

  • Planen der automatischen Installation der Software außerhalb der Arbeitszeit

  • Konfigurieren, wann die Installation von Software auf ihrem Gerät durch Configuration Manager zulässig ist

  • Konfigurieren der Zugriffseinstellungen für die Remotesteuerung, wenn die Remotesteuerung in Configuration Manager aktiviert ist

  • Konfigurieren der Optionen für die Energieverwaltung, wenn dies von einem Administrator gestattet wurde

Über eine Verknüpfung im Software Center können Benutzer den Anwendungskatalog aufrufen und dort Software durchsuchen, installieren und anfordern. Darüber hinaus können Benutzer mithilfe des Anwendungskatalogs einige Voreinstellungen konfigurieren und ihre mobilen Geräte zurücksetzen. Da es sich beim Anwendungskatalog um eine in IIS gehostete Website handelt, können Benutzer im Intranet oder Internet den Anwendungskatalog direkt mithilfe eines Browsers aufrufen.

Benutzer können ihre primären Geräte auch über den Anwendungskatalog angeben, sofern Sie diese Konfiguration gestatten. Die Informationen zur Affinität zwischen Benutzer und Gerät können auch auf andere Weise konfiguriert werden, beispielsweise durch Importieren der Informationen aus einer Datei und durch automatisches Generieren anhand von Nutzungsdaten.

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Bereitstellen von Software und Betriebssystemen in System Center 2012 Configuration Manager:

Clienteinstellungen

Bei der Erstinstallation von System Center 2012 Configuration Manager werden alle Clients in der Hierarchie mit den Clientstandardeinstellungen konfiguriert. Diese Einstellungen können Sie ändern. Die Clienteinstellungen umfassen eine Reihe von Konfigurationsoptionen, z. B. wie häufig die Gerätekommunikation mit dem Standort stattfindet, ob der Client für Softwareupdates und andere Verwaltungsvorgänge aktiviert ist und ob Benutzer ihre mobilen Geräte für die Verwaltung durch Configuration Manager anmelden können. Falls Sie für bestimmte Benutzer- oder Gerätegruppen unterschiedliche Clienteinstellungen benötigen, können Sie benutzerdefinierte Clienteinstellungen erstellen und diese den Sammlungen zuweisen. Benutzer oder Geräte, die sich in der Sammlung befinden, erhalten bei der Konfiguration die benutzerdefinierten Einstellungen. Sie können mehrere benutzerdefinierte Clienteinstellungen erstellen, die in der von Ihnen angegebenen Reihenfolge angewendet werden. Wenn mehrere benutzerdefinierte Clienteinstellungen vorhanden sind, werden diese nach der Reihenfolgennummer angewendet. Bei Konflikten setzt die Einstellung mit der niedrigsten Reihenfolgennummer die anderen Einstellungen außer Kraft.

Die folgende Abbildung enthält ein Beispiel für die Erstellung und Anwendung von benutzerdefinierten Clienteinstellungen.

Clienteinstellungen

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Bereitstellen von Clients für System Center 2012 Configuration Manager:

Eingeschränkte Verwaltung ohne Clients

Die System Center 2012 Configuration Manager-Clientsoftware verfügt über umfassende Verwaltungsfunktionen für Benutzer und Geräte. Es gibt jedoch zwei Fälle, in denen Sie Geräte unabhängig von der Clientsoftware verwalten können: Out-of-Band-Verwaltung, bei der Intel Active Management Technology (AMT) verwendet wird, und mobile Geräte, die mit einem Exchange-Dienst wie einer lokalen Version von Exchange Server oder Exchange Online (Office 365) verbunden sind.

Computer werden von Configuration Manager mithilfe der Clientsoftware bereitgestellt und für AMT konfiguriert. Bei der Ausführung von AMT-Verwaltungsvorgängen wird die Clientsoftware allerdings nicht eingesetzt. Stattdessen wird Configuration Manager direkt mit dem AMT-Verwaltungscontroller verbunden. Dies bedeutet, dass Sie Computer, die nicht gestartet wurden oder bei denen auf Betriebssystemebene keine Reaktion verzeichnet werden kann, weiterhin in gewissem Umfang verwalten können. Beispielsweise können Sie diese Computer neu starten, ein neues Abbild erstellen oder Diagnosedienstprogramme zur Fehlerbehandlung ausführen.

Wenn Sie Configuration Manager-Clientsoftware nicht auf mobilen Geräten installieren können, können Sie diese Geräte dennoch mit dem Exchange Server-Connector verwalten. Mit dem Connector können Sie die Einstellungen in der Exchange ActiveSync-Standardpostfachrichtlinie konfigurieren. Alle in dieser Richtlinie definierten Einstellungen können von Configuration Manager konfiguriert werden. Vom Connector werden auch die Remotezurücksetzung sowie Exchange-Zugriffsregeln für Blockierung und Quarantäne unterstützt. Alle mit dem Exchange Server-Connector verwalteten mobilen Geräte werden in der Sammlung Alle mobilen Geräte angezeigt, obwohl der System Center 2012 Configuration Manager-Client auf diesen Geräten nicht installiert ist. Da der Client nicht installiert ist, können Sie für diese Geräte keine Software bereitstellen.

Weitere Informationen finden Sie in den folgenden Themen der HandbücherAssets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager) und Bereitstellen von Clients für System Center 2012 Configuration Manager:

Clientverwaltungstasks

Nach der Installation von Configuration Manager-Clients können Sie verschiedene Clientverwaltungstasks ausführen. Dazu gehören unter anderem:

  • Bereitstellen von Anwendungen, Softwareupdates, Wartungsskripts und Betriebssystemen. Diese können so konfiguriert werden, dass sie zu einem bestimmten Termin installiert werden oder dass sie den Benutzern zur Verfügung gestellt und auf Anforderung installiert werden. Anwendungen können zudem deinstalliert werden.

  • Schutz der Computer vor Schadsoftware und Sicherheitsrisiken sowie Ausgeben einer Warnung, wenn Probleme erkannt werden

  • Definieren von Clientkonfigurationseinstellungen, die Sie überwachen und bei fehlender Kompatibilität wiederherstellen möchten

  • Sammeln von Hardware- und Softwareinventurinformationen, darunter die Überwachung und Abstimmung von Lizenzinformationen von Microsoft

  • Problembehandlung auf Computern mithilfe der Remotesteuerung oder mithilfe von AMT-Vorgängen für AMT-basierte Computer, die nicht reagieren

  • Implementieren von Energieverwaltungseinstellungen zum Verwalten und Überwachen des Stromverbrauchs von Computern

Mithilfe von Warnungen und Statusinformationen können Sie diese Vorgänge über die Configuration Manager-Konsole nahezu in Echtzeit überwachen. Zum Erfassen von Daten und Auswerten historischer Trends können Sie die integrierten Berichterstattungsfunktionen von SQL Reporting Services verwenden.

Verwenden Sie die Clientstatusdaten zu Clientintegrität und -aktivitäten, um sicherzustellen, dass Sie die System Center 2012 Configuration Manager-Clients weiterhin verwalten. Mithilfe dieser Daten können Sie Computer identifizieren, die nicht reagieren, und in einigen Fällen Probleme automatisch beheben.

Weitere Informationen finden Sie in den folgenden Themen der HandbücherBereitstellen von Clients für System Center 2012 Configuration Manager und Standortverwaltung für System Center 2012 Configuration Manager:

Configuration Manager (Windows-Systemsteuerung)

Wenn Sie den Configuration Manager-Client installieren, wird die Clientanwendung Configuration Manager in der Systemsteuerung installiert. Im Gegensatz zum Softwarecenter ist diese Anwendung nicht für Endbenutzer bestimmt, sondern für den Helpdesk. Einige Konfigurationsoptionen erfordern lokale Administratorberechtigungen, und für die meisten Optionen sind technische Kenntnisse der Funktionsweise von Configuration Manager erforderlich. Sie können diese Anwendung verwenden, um auf einem Client die folgenden Aufgaben auszuführen:

  • Anzeigen von Eigenschaften des Clients, z. B. Buildnummer, zugewiesener Standort, mit welchem Verwaltungspunkt der Client kommuniziert und ob ein PKI-Zertifikat oder ein selbstsigniertes Zertifikat verwendet wird

  • Bestätigen, dass nach der Erstinstallation des Clients erfolgreich eine Clientrichtlinie heruntergeladen wurde und dass Clienteinstellungen erwartungsgemäß aktiviert oder deaktiviert sind, also gemäß den in der Configuration Manager-Konsole konfigurierten Clienteinstellungen

  • Starten von Clientaktionen, z. B. Herunterladen der Clientrichtlinie, wenn eine Änderung der Konfiguration in der Configuration Manager-Konsole vorgenommen wurde und Sie nicht auf den nächsten geplanten Download warten möchten

  • Manuelles Zuweisen eines Clients zu einem Configuration Manager-Standort oder Suchen nach einem Standort und Angeben des DNS-Suffixes für Verwaltungspunkte, die auf DNS veröffentlichen

  • Konfigurieren des Clientcaches, in dem Dateien vorübergehend gespeichert werden, und Löschen von Dateien im Cache, wenn zusätzlicher Speicherplatz zum Installieren von Software erforderlich ist

  • Konfigurieren von Einstellungen für die internetbasierte Clientverwaltung

  • Anzeigen von Konfigurationsbasislinien, die auf dem Client bereitgestellt wurden, Initiieren der Kompatibilitätsauswertung und Anzeigen von Kompatibilitätsberichten

Sicherheit

Das Sicherheitskonzept für System Center 2012 Configuration Manager besteht aus mehreren Ebenen. Auf der ersten Ebene werden zahlreiche Sicherheitsfunktionen von Windows für Betriebssystem und Netzwerk bereitgestellt, wie z. B. folgende:

  • Dateifreigabe zur Übertragung von Dateien zwischen System Center 2012 Configuration Manager-Komponenten

  • Zugriffssteuerungslisten (Access Control Lists, ACLs) zum Schutz von Dateien und Registrierungsschlüsseln

  • IPsec zum Schutz der Kommunikation

  • Gruppenrichtlinien zum Festlegen von Sicherheitsrichtlinien

  • DCOM-Berechtigungen für verteilte Anwendungen, wie z. B. die Configuration Manager-Konsole

  • Active Directory-Domänendienste zum Speichern von Sicherheitsprinzipalen

  • Windows-Kontosicherheit einschließlich einiger Gruppen, die beim System Center 2012 Configuration Manager-Setup erstellt werden

Zusätzliche Sicherheitskomponenten wie Firewalls und Angriffserkennung ermöglichen einen umfassenden Schutz der gesamten Umgebung. Zertifikate, die über Industriestandard-PKI-Implementierungen ausgestellt werden, ermöglichen Authentifizierung, Signatur und Verschlüsselung.

System Center 2012 Configuration Manager steuert den Zugriff auf die Configuration Manager-Konsole auf mehrere Weisen. Standardmäßig haben nur lokale Administratoren Zugriffsrechte für die Dateien und Registrierungsschlüssel, die zum Ausführen der Configuration Manager-Konsole auf den Computern erforderlich sind, auf denen sie installiert ist.

Die nächste Sicherheitsebene basiert auf dem Zugriff über die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI), speziell über den SMS-Anbieter. Der Zugriff auf den SMS-Anbieter ist standardmäßig auf Mitglieder der lokalen Gruppe „SMS-Administratoren“ beschränkt. Diese Gruppe enthält zunächst nur den Benutzer, der System Center 2012 Configuration Manager installiert hat. Um anderen Konten die Berechtigung für den Zugriff auf das CIM-Repository (Common Information Model) und den SMS-Anbieter zu erteilen, fügen Sie die anderen Konten der Gruppe „SMS-Administratoren“ hinzu.

Die letzte Sicherheitsebene basiert auf Berechtigungen für Objekte in der Standortdatenbank. Standardmäßig können mit dem lokalen Systemkonto und dem Benutzerkonto, das Sie für die Installation von System Center 2012 Configuration Manager verwendet haben, alle Objekte in der Standortdatenbank verwaltet werden. Mithilfe von rollenbasierter Verwaltung können Sie weiteren Administratoren in der Configuration Manager-Konsole Berechtigungen erteilen und verwehren.

Weitere Informationen finden Sie im Handbuch Sicherheit und Datenschutz für System Center 2012 Configuration Manager.

Rollenbasierte Verwaltung

In System Center 2012 Configuration Manager wird die rollenbasierte Verwaltung verwendet, um Objekte wie Sammlungen, Bereitstellungen und Standorte zu sichern. Über dieses Verwaltungsmodell werden Sicherheitszugriffseinstellungen für alle Standorte und Standorteinstellungen hierarchieweit zentral definiert und verwaltet. Sicherheitsrollen werden Administratoren zugewiesen. Sie dienen dazu, Berechtigungen für verschiedene Configuration Manager-Objekttypen zu gruppieren, z. B. die Berechtigungen zum Erstellen oder Ändern von Clienteinstellungen. Mithilfe von Sicherheitsbereichen werden bestimmte Instanzen von Objekten gruppiert, für deren Verwaltung ein Administrator verantwortlich ist, z. B. eine Anwendung zum Installieren von Microsoft Office 2010. Durch die Kombination von Sicherheitsrollen, Sicherheitsbereichen und Sammlungen wird definiert, welche Objekte ein Administrator anzeigen und verwalten kann. Von System Center 2012 Configuration Manager werden einige Standardsicherheitsrollen für häufige Verwaltungsaufgaben installiert. Sie können jedoch auch eigene Sicherheitsrollen für ihre speziellen Geschäftsanforderungen erstellen.

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Standortverwaltung für System Center 2012 Configuration Manager:

Sichern von Clientendpunkten

Die Kommunikation zwischen Clients und Standortsystemrollen wird entweder mithilfe von selbstsignierten Zertifikaten oder mithilfe von PKI-Zertifikaten (Public Key-Infrastruktur) gesichert. Für Computerclients, die von Configuration Manager im Internet erkannt werden, sowie für Clients für mobile Geräte müssen PKI-Zertifikate verwendet werden, damit die Clientendpunkte mithilfe von HTTPS gesichert werden können. Die Standortsystemrollen, mit denen von Clients eine Verbindung hergestellt wird, können für Clientverbindungen über HTTPS oder HTTP konfiguriert werden. Die Kommunikation von Clientcomputern erfolgt immer über die sicherste verfügbare Methode. Dabei wird nur dann im Intranet auf die weniger sichere HTTP-Kommunikation zurückgegriffen, wenn Sie über Standortsystemrollen verfügen, die eine HTTP-Kommunikation zulassen.

Weitere Informationen finden Sie in den folgenden Themen des Handbuchs Standortverwaltung für System Center 2012 Configuration Manager:

Konten und Gruppen im Configuration Manager

In System Center 2012 Configuration Manager wird das lokale Systemkonto für den Großteil der Standortvorgänge verwendet. Für einige Verwaltungstasks kann es jedoch erforderlich sein, zusätzliche Konten zu erstellen und zu warten. Beim Setup werden mehrere Standardgruppen und SQL Server-Rollen erstellt. Es kann erforderlich sein, diesen Standardgruppen und Rollen manuell Computer- oder Benutzerkonten hinzuzufügen.

Weitere Informationen finden Sie unter Technische Referenz für Konten in Configuration Manager im Handbuch Standortverwaltung für System Center 2012 Configuration Manager.

Datenschutz

Zwar bieten Verwaltungsprodukte für Unternehmen zahlreiche Vorteile, da sie viele Clients effektiv verwalten können. Sie müssen sich jedoch der möglichen Auswirkungen dieser Software auf den Datenschutz der Benutzer in Ihrer Organisation bewusst sein.System Center 2012 Configuration Manager enthält viele Tools zum Sammeln von Daten und Überwachen von Geräten, von denen einige Bedenken hinsichtlich des Datenschutzes auslösen könnten.

Beim Installieren des System Center 2012 Configuration Manager-Clients werden z. B. viele Verwaltungseinstellungen standardmäßig aktiviert. Dies führt dazu, dass von der Clientsoftware Informationen an den Configuration Manager-Standort gesendet werden. Clientinformationen werden in der Configuration Manager-Datenbank gespeichert, und die Informationen werden nicht an Microsoft gesendet. Berücksichtigen Sie vor der Implementierung von System Center 2012 Configuration Manager Ihre Datenschutzanforderungen.

Weitere Informationen finden Sie im Handbuch Sicherheit und Datenschutz für System Center 2012 Configuration Manager.