De grondbeginselen van Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Als u niet bekend bent met Configuration Manager, kunt u met behulp van de volgende informatie meer te weten komen over de basisconcepten van Microsoft System Center 2012 Configuration Manager voordat u het installatieprogramma uitvoert of meer gedetailleerde informatie leest. Als u bekend bent met Configuration Manager 2007, raadpleegt u Nieuw in System Center 2012 Configuration Manager.

Zie Ondersteunde configuraties voor Configuration Manager voor informatie over ondersteunde besturingssystemen en omgevingen, hardwarevereisten en capaciteitsgegevens.

Sites

Wanneer u System Center 2012 Configuration Manager voor de eerste keer installeert, maakt u een Configuration Manager-site dat het fundament vormt waarvanuit apparaten en gebruikers in uw onderneming kunnen worden beheerd. Deze site is een centrale beheersite of een primaire site. Een centrale beheersite is geschikt voor grootschalige implementaties en biedt een centraal punt voor het beheer en de flexibiliteit om apparaten te ondersteunen die over de algehele infrastructuur van het netwerk worden gedistribueerd. Een primaire site is geschikt voor kleinere implementaties en biedt minder opties om ruimte te bieden aan een eventuele toekomstige groei van uw onderneming.

Wanneer u een centrale beheersite installeert, moet u tevens minstens één primaire site installeren om gebruikers en apparaten te beheren. Bij dit ontwerp kunt u extra primaire sites installeren om meer apparaten en de bandbreedte van het netwerk te beheren wanneer apparaten zich op verschillende geografische locaties bevinden. U kunt tevens een ander type site installeren, die een secundaire site wordt genoemd Secundaire sites zijn een uitbreiding van een primaire site voor het beheer van enkele apparaten die een trage netwerkverbinding hebben met de primaire site.

Als u geen centrale beheersite installeert, is de eerste site die u installeert een zelfstandige primaire site. U kunt standaard geen extra primaire sites installeren die met elkaar kunnen communiceren. U kunt echter wel een of meer secundaire sites installeren om deze primaire site uit te breiden als u enkele apparaten moet beheren die een trage netwerkverbinding hebben met de primaire site.

Als u een zelfstandige primaire site hebt geïnstalleerd en u later besluit om het ontwerp van een centrale beheersite te gebruiken, kunt u dat in Configuration Manager SP1 doen.Configuration Manager zonder servicepack ondersteunt deze ontwerpwijziging niet. U moet de site hiervoor bijwerken naar Configuration Manager SP1. Deze ontwerpwijziging staat bekend als site-uitbreiding.

Wanneer u meerdere sites hebt die met elkaar communiceren, hebt u een rangschikking van sites die bekend staat als een hiërarchie. De volgende diagrammen geven voorbeelden van siteontwerpen weer.

Zie de volgende onderwerpen in de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Inleiding tot sitebeheer in Configuration Manager

• Sites en hiërarchieën plannen in Configuration Manager

• Sites installeren en een hiërarchie maken voor Configuration Manager

Sitegegevens publiceren naar Active Directory Domain Services

Als u het Active Directory-schema voor System Center 2012 Configuration Manager uitbreidt, kunt u System Center 2012 Configuration Manager-sites naar Active Directory Domain Services publiceren, zodat Active Directory-computers veilig System Center 2012 Configuration Manager-sitegegevens kunnen ophalen van een vertrouwde bron. Hoewel het niet vereist is om sitegegevens naar Active Directory Domain Services te publiceren voor de basisfunctionaliteit van Configuration Manager, wordt door deze configuratie de beveiliging van uw System Center 2012 Configuration Manager-hiërarchie verbeterd en de administratieve overhead verminderd.

U kunt het Active Directory-schema uitbreiden vóór of na de installatie van System Center 2012 Configuration Manager. Voordat u sitegegevens kunt publiceren, moet u tevens in elk domein met een System Management-site een Active Directory-container met de naam System Center 2012 Configuration Manager maken. U moet tevens de Active Directory-machtigingen configureren, zodat de site haar gegevens naar deze Active Directory-container kan publiceren. Net als met alle schema-uitbreidingen breidt u het schema voor System Center 2012 Configuration Manager slechts eenmaal per forest uit.

Zie de volgende onderwerpen in de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Bepalen of het Active Directory-schema voor Configuration Manager moet worden uitgebreid

• Publicatie van sitegegevens naar Active Directory-domeinservices plannen

• Sites configureren voor publicatie naar Active Directory Domain Services

Sitesysteemservers en sitesysteemrollen

Configuration Manager maakt gebruik van sitesysteemrollen voor de ondersteuning van beheerbewerkingen op elke site. Wanneer u een Configuration Manager-site installeert, worden bepaalde sitesysteemrollen automatisch geïnstalleerd en aan de server toegewezen waarop het installatieprogramma van Configuration Manager met succes is uitgevoerd. Een van deze sitesysteemrollen is de siteserver, die u niet kunt overdragen op een andere server zonder de installatie van de site ongedaan te maken. U kunt andere servers gebruiken om extra sitesysteemrollen uit te voeren of om bepaalde sitesysteemrollen van de siteserver over te brengen, door Configuration Manager-sitesysteemservers te installeren en te configureren.

Elke sitesysteemrol ondersteunt verschillende beheerfuncties. De sitesysteemrollen die voorzien in elementaire beheerfunctionaliteit worden in de volgende tabel beschreven.

Sitesysteemrol	Beschrijving
Siteserver	Een computer vanwaar u het installatieprogramma van Configuration Manager uitvoert en die voorziet in de kernfunctionaliteit van de site.
Sitedatabaseserver	Een server die de SQL Server-database host, die informatie over activa- en sitegegevens van Configuration Manager opslaat.
Onderdeelserver	Een server die Configuration Manager-services uitvoert. Wanneer u alle sitesysteemrollen installeert behalve de distributiepuntrol, wordt de onderdeelserver automatisch door Configuration Manager geïnstalleerd.
Beheerpunt	Een sitesysteemrol die beleid en servicelocatie-informatie biedt aan clients en die configuratiegegevens ontvangt van clients.
Distributiepunt	Een sitesysteemrol die bronbestanden bevat die clients kunnen downloaden, zoals toepassingsinhoud, softwarepakketten, software-updates, installatiekopieën van besturingssystemen en opstartinstallatiekopieën.
Reporting Services-punt	Een sitesysteemrol die integreert met SQL Server Reporting Services voor het maken en beheren van rapporten voor Configuration Manager.

Wanneer bedrijven eerst Configuration Manager implementeren in een productie-omgeving, voeren deze doorgaans meerdere sitesysteemrollen uit op de siteserver en gebruiken extra sitesysteemservers voor distributiepunten. Daarna installeren zij extra sitesysteemservers en voegen nieuwe sitesysteemrollen toe, al naar gelang de vereisten voor hun bedrijf en de infrastructuur van het netwerk.

De extra sitesysteemrollen die u misschien nodig hebt voor specifieke functionaliteit staan in de volgende tabel vermeld.

Sitesysteemrol	Beschrijving
Application Catalog-webservicepunt	Een sitesysteemrol die software-informatie biedt aan de Application Catalog-website van de softwarebibliotheek.
Application Catalog-websitepunt	Een sitesysteemrol die gebruikers een lijst biedt met beschikbare software uit Application Catalog.
Asset Intelligence-synchronisatiepunt	Een sitesysteemrol die verbinding maakt met Microsoft voor het downloaden van Asset Intelligence-catalogusinformatie en het uploaden van ongecategoriseerde titels, zodat deze in overweging kunnen worden genomen voor toekomstige opname in de catalogus.
Certificaatregistratiepunt	Een sitesysteemrol die communiceert met een server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd voor het beheren van apparaatcertificaataanvragen die SCEP (Simple Certificate Enrollment Protocol) gebruiken.
Endpoint Protection-punt	Een sitesysteemrol waarmee Configuration Manager de licentievoorwaarden voor Endpoint Protection accepteert en het standaardlidmaatschap van Microsoft Active Protection Service configureert.
Inschrijvingspunt	Een sitesysteemrol die met behulp van PKI-certificaten van Configuration Manager mobiele apparaten en Mac-computers inschrijft en Intel AMT-computers inricht.
Proxypunt voor inschrijving	Een sitesysteemrol die aanvragen voor Configuration Manager-inschrijvingen van mobiele apparaten en Mac-computers beheert.
Terugvalstatuspunt	Een sitesysteemrol die u clientinstallaties helpt bewaken om clients te identificeren die niet-beheerd zijn omdat ze niet kunnen communiceren met hun beheerpunt.
Buiten-bandservicepunt	Een sitesysteemrol die op Intel AMT gebaseerde computers inricht en configureert voor buiten-bandbeheer.
Software-updatepunt	Een sitesysteemrol die in combinatie met WSUS (Windows Server Update Services) software-updates biedt aan Configuration Manager-clients.
Statusmigratiepunt	Een sitesysteemrol die gebruikersstatusgegevens opslaat wanneer een computer naar een nieuw besturingssysteem wordt gemigreerd.
Systeemstatuscontrolepunt	Een sitesysteemrol die NAP-beleidsregels (Network Access Protection) van Configuration Manager valideert. Dit moet worden geïnstalleerd op een NAP-statusbeleidsserver.
Microsoft Intune-connector	Een sitesysteemrol in Configuration Manager SP1 die met behulp van Microsoft Intune mobiele apparaten beheert in de Configuration Manager-console.

Het volgende diagram toont deze elementaire en extra sitesysteemrollen die u aan de siteservercomputer kunt toevoegen of distribueren door extra sitesysteemservers te installeren.

Zie de volgende onderwerpen in de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Sitesystemen plannen in Configuration Manager

• Sitesysteemrollen installeren en configureren voor Configuration Manager

Clients

System Center 2012 Configuration Manager-clients zijn apparaten als werkstations, laptops, servers en mobiele apparaten waarop de Configuration Manager-clientsoftware is geïnstalleerd, zodat u deze kunt beheren. Beheer omvat bewerkingen als het rapporteren van inventarisgegevens voor hardware en software, het installeren van software en het configureren van instellingen die nodig zijn voor conformiteit. Configuration Manager beschikt over detectiemethoden waarmee u apparaten op het netwerk kunt vinden die u hulp bieden bij de installatie van clientsoftware op die apparaten.

Configuration Manager beschikt over verschillende opties om clientsoftware op apparaten te installeren. Deze opties zijn onder meer push-clientinstallatie, installatie van software-updates, groepsbeleid en handmatige installatie. U kunt tevens de client opnemen wanneer u een installatiekopie van een besturingssysteem implementeert.

Configuration Manager maakt gebruik van verzamelingen om apparaten te groeperen, zodat u beheertaken op meerdere apparaten kunt uitvoeren die een gemeenschappelijke serie criteria delen. Zo wilt u misschien een toepassing voor mobiele apparaten installeren op alle mobiele apparaten die bij Configuration Manager zijn ingeschreven. Als dit het geval is, kunt u de verzameling Alle mobiele apparaten gebruiken die automatisch computers uitsluit. U kunt uw eigen verzamelingen zodanig maken, dat de door u beheerde apparaten logisch zijn gegroepeerd volgens de vereisten van uw bedrijf.

Zie de volgende onderwerpen in de Deploying Clients for System Center 2012 Configuration Manager (Clients implementeren voor System Center 2012 Configuration Manager)-gids en de Activa en naleving in System Center 2012 Configuration Manager-gids voor meer informatie:

• Inleiding tot clientimplementatie in Configuration Manager

• De installatiemethode voor clients bepalen die voor Windows-computers moet worden gebruikt in Configuration Manager

• Bepalen hoe u mobiele apparaten wilt beheren in Configuration Manager

• Inleiding in verzamelingen in Configuration Manager

Op de gebruiker gericht beheer

Behalve de verzamelingen voor apparaten zijn er tevens verzamelingen van gebruikers die gebruikers van Active Directory Domain Services bevatten. Met verzamelingen van gebruikers kunt u software installeren op alle computers waarop de gebruiker zich aanmeldt, of kunt u apparaataffiniteit van gebruikers configureren, zodat de software uitsluitend op de belangrijkste apparaten wordt geïnstalleerd die de gebruiker gebruikt. Deze belangrijkste apparaten worden primaire apparaten genoemd. Een gebruiker kan één of meer primaire apparaten hebben.

Een van de manieren waarop gebruikers hun ervaring met software-implementatie kunnen beheren is door de nieuwe interface voor computerclients, Software Center. Software Center wordt automatisch op clientcomputers geïnstalleerd en is toegankelijk vanuit het startmenu voor gebruikers. Met de clientinterface kunnen gebruikers hun eigen software beheren, maar ook volgende acties uitvoeren:

• Software installeren

• Een planning maken om automatisch software te installeren buiten kantooruren

• Configureren wanneer Configuration Manager software op hun apparaten installeert

• Toegangsinstellingen configureren voor extern beheer, als dit is ingeschakeld in Configuration Manager

• Opties configureren voor energiebeheer als een gebruiker met beheerdersrechten deze heeft ingeschakeld.

Via een koppeling in Software Center kunnen gebruikers verbinding maken met de toepassingscatalogus, waar zij naar software kunnen zoeken en software kunnen aanvragen. Bovendien kunnen gebruikers met de toepassingscatalogus bepaalde voorkeursinstellingen configureren en hun mobiele apparaten wissen. Omdat de toepassingscatalogus een website is die in IIS wordt gehost, hebben gebruikers tevens rechtstreeks toegang tot de toepassingscatalogus vanuit een browser, het intranet of het internet.

Gebruikers kunnen ook hun primaire apparaten in de toepassingscatalogus opgeven, als u deze configuratie toestaat. Andere methoden voor het configureren van gegevens voor apparaataffiniteit van gebruikers zijn onder meer het importeren van de informatie vanuit een bestand en het automatisch genereren van gebruiksgegevens.

Zie de volgende onderwerpen in de Software en besturingssystemen implementeren in System Center 2012 Configuration Manager-gids voor meer informatie:

• Inleiding op toepassingsbeheer in Configuration Manager

• De catalogus met toepassingen en Software Center configureren in Configuration Manager

Clientinstellingen

Wanneer u eerst System Center 2012 Configuration Manager installeert, worden alle clients in de hiërarchie geconfigureerd door middel van standaardclientinstellingen die u kunt wijzigen. Deze clientinstellingen zijn onder meer configuratie-opties, zoals de frequentie waarmee apparaten met de site communiceren, of voor de client de optie software-updates is ingeschakeld en andere beheerbewerkingen, en of gebruikers hun mobiele apparaten kunnen inschrijven, zodat deze worden beheerd door Configuration Manager. Als andere clientinstellingen nodig zijn voor groepen gebruikers of apparaten, kunt u aangepaste clientinstellingen maken en deze vervolgens toewijzen aan verzamelingen. Gebruikers of apparaten die tot de verzameling behoren, beschikken door deze configuratie over de aangepaste instellingen. U kunt meerdere aangepaste clientinstellingen maken die in de door u opgegeven volgorde worden toegepast. Wanneer u meerdere aangepaste clientinstellingen hebt, worden deze toegepast volgens hun volgordenummer. Als er conflicten zijn, heft de instelling met het laagste volgordenummer de andere stellingen op.

Het volgende diagram toont een voorbeeld van de wijze waarop u aangepaste clientinstellingen kunt maken en toepassen.

Zie de volgende onderwerpen in de Deploying Clients for System Center 2012 Configuration Manager (Clients implementeren voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Clientinstellingen configureren in Configuration Manager

• Clientinstellingen in Configuration Manager

Beperkt beheer zonder clients

De System Center 2012 Configuration Manager-clientsoftware biedt alle mogelijkheden voor het beheer van gebruikers en apparaten. Er zijn echter twee situaties waarin u apparaten onafhankelijk van de clientsoftware kunt beheren: buiten-bandbeheer dat gebruik maakt van Intel Active Management Technology (AMT) en mobiele apparaten die een verbinding hebben met een Exchange-service, zoals een on-premises Exchange Server of Exchange Online (Office 365).

Configuration Manager gebruikt de clientsoftware om computers voor AMT in te richten en te configureren, maar wanneer u bewerkingen uitvoert voor AMT-beheer, wordt de clientsoftware niet gebruikt. In plaats daarvan maakt Configuration Manager rechtstreeks verbinding met de AMT-beheercontroller. Dit wil zeggen dat u enige beheermogelijkheden hebt over computers die niet zijn opgestart of niet reageren op besturingssysteemniveau. U kunt bijvoorbeeld deze computers opnieuw opstarten, opnieuw een installatiekopie ervoor maken of diagnostische hulpprogramma's uitvoeren voor foutopsporing.

Wanneer u de Configuration Manager-clientsoftware niet op mobiele apparaten kunt installeren, kunt u deze alsnog beheren door middel van de Exchange Server-connector. Via de connector kunt u de instellingen configureren in het Exchange standaard-ActiveSync-postvakbeleid In dit beleid gedefinieerde instellingen kunnen door Configuration Manager worden geconfigureerd; deze connector biedt ook ondersteuning voor extern wissen en Exchange-toegangsregels voor blokkeren en in quarantaine plaatsen. Mobiele apparaten die u met behulp van de Exchange Server-connector beheert, worden in de verzameling Alle mobiele apparaten weergegeven, zelfs als op het apparaat geen System Center 2012 Configuration Manager-client is geïnstalleerd. Omdat de client niet is geïnstalleerd, kunt u geen software implementeren op deze apparaten.

Zie de volgende onderwerpen in de Activa en naleving in System Center 2012 Configuration Manager-gids en de Deploying Clients for System Center 2012 Configuration Manager (Clients implementeren voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Inleiding tot out-of Bandbeheer in Configuration Manager

• Controlelijst voor beheerder: Out-of Bandbeheer in Configuration Manager

• Mobiele apparaten beheren met Configuration Manager en Exchange

Clientbeheertaken

Wanneer u Configuration Manager-clients hebt geïnstalleerd, kunt u diverse clientbeheertaken uitvoeren, waaronder de volgende:

• Toepassingen, software-updates, onderhoudsscripts en besturingssystemen implementeren. U kunt deze zo configureren, dat deze op een opgegeven datum en tijd worden geïnstalleerd, of beschikbaar worden gemaakt voor installatie wanneer deze zijn aangevraagd; ook kunt u toepassingen zo configureren, dat de installatie ongedaan wordt gemaakt.

• Computers beter beschermen tegen malware en beveiligingsrisico's en u melden wanneer er problemen zijn gedetecteerd.

• Configuratie-instellingen van clients definiëren die u wilt controleren en herstellen als deze niet meer conform zijn.

• Inventarisgegevens van hardware en software verzamelen waaronder het controleren en afstemmen van licentiegegevens van Microsoft.

• Fouten opsporen in computers door middel van extern beheer of AMT-bewerkingen voor AMT-computers die niet reageren.

• Instellingen voor energiebeheer implementeren om het energieverbruik van computers te beheren en controleren.

U kunt met behulp van de Configuration Manager-console deze bewerkingen in near-realtime controleren door gebruikmaking van waarschuwingen en statusinformatie. U kunt voor het vastleggen van gegevens en historische trends de geïntegreerde rapportagecapaciteiten van SQL Reporting Services gebruiken.

Ervoor zorgen dat u in beheer blijft van de System Center 2012 Configuration Manager-clients en de clientstatusgegevens gebruikt die gegevens verstrekken over de staat en de activiteit van de client. Met behulp van deze gegevens kunnen computers worden vastgesteld die niet reageren en kunnen in bepaalde gevallen problemen automatisch worden hersteld.

Zie de volgende onderwerpen in de Deploying Clients for System Center 2012 Configuration Manager (Clients implementeren voor System Center 2012 Configuration Manager)-gids en de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Clients beheren in Configuration Manager

• Inleiding tot rapportage in Configuration Manager

Configuratiebeheer (Windows-configuratiescherm)

Wanneer u de Configuration Manager-client installeert, wordt hierdoor ook de clienttoepassing Configuratiebeheer in het configuratiescherm geïnstalleerd. In tegenstelling tot Software Center is deze toepassing meer voor de helpdesk dan voor eindgebruikers ontworpen. Bepaalde configuratie-opties vereisen lokale beheermachtigingen en de meeste opties vereisen technische kennis over de werking van Configuration Manager. U kunt met behulp van deze toepassing de volgende taken op een client uitvoeren:

• Eigenschappen van de client weergeven, zoals het buildnummer, de toegewezen site, het beheerpunt waarmee deze communiceert en of de client een PKI-certificaat of een zelf-ondertekend certificaat gebruikt.

• Bevestigen dat de client clientbeleid heeft gedownload nadat de client voor de eerste keer is geïnstalleerd en dat clientinstellingen als verwacht zijn in- of uitgeschakeld volgens de clientinstellingen die in de Configuration Manager-console zijn geconfigureerd.

• Clientacties starten, zoals het clientbeleid downloaden als recentelijk de configuratie in de Configuration Managerconsole is gewijzigd en u niet wilt wachten tot het volgende geplande tijdstip.

• Handmatig een client toewijzen aan een Configuration Manager-site of een site proberen te vinden en het DNS-achtervoegsel opgeven voor beheerpunten die naar DNS publiceren.

• De clientcache configureren waarop tijdelijk bestanden worden opgeslagen, en bestanden uit de cache verwijderen als u meer schijfruimte nodig hebt om software te installeren.

• Instellingen configureren voor clientbeheer via internet.

• Configuratiebasislijnen weergeven die op de client zijn geïmplementeerd, een conformiteitsevaluatie starten en conformiteitsrapporten weergeven.

Beveiliging

Beveiliging voor System Center 2012 Configuration Manager bestaat uit meerdere lagen. Ten eerste voorziet Windows in veel beveiligingsfuncties voor zowel het besturingssysteem als het netwerk, als volgt:

• Bestanden delen voor bestandsoverdracht tussen System Center 2012 Configuration Manager-componenten

• Toegangsbeheerlijsten (ACLs) om bestanden en registersleutels veilig te stellen

• IPsec voor het veilig stellen van communicatie

• Groepsbeleid voor het instellen van beveiligingsbeleid

• DCOM-machtigingen voor gedistribueerde toepassingen, zoals de Configuration Manager-console

• Active Directory Domain Services voor het opslaan van beveiligings-principals

• Windows-accountbeveiliging, inclusief bepaalde groepen die zijn gemaakt tijdens de installatie van System Center 2012 Configuration Manager

Vervolgens wordt met extra beveiligingsonderdelen, zoals firewalls en inbraakdetectie, voorzien in een grondige bescherming van de gehele omgeving. Certificaten die zijn verstrekt via PKI-implementaties volgens industrienorm voorzien in verificatie, ondertekening en versleuteling.

System Center 2012 Configuration Manager beheert de toegang to de Configuration Manager-console op verschillende manieren. Standaard beschikken alleen lokale beheerders over rechten op de bestanden en registersleutels die nodig zijn om de Configuration Manager-console op computers uit te voeren waarop deze is geïnstalleerd.

De volgende beveiligingslaag is gebaseerd op toegang via WMI (Windows Management Instrumentation), in het bijzonder de SMS-provider. De SMS-provider is standaard beperkt tot leden van de lokale groep SMS Admins. Deze groep bevat eerst alleen de gebruiker die System Center 2012 Configuration Manager heeft geïnstalleerd. Als u andere account wilt machtigen voor de CIM-opslagplaats (CIM: Common Information Model) en de SMS-provider, voegt u de andere accounts toe aan de groep SMS Admins.

De laatste beveiligingslaag is gebaseerd op machtigingen voor objecten in de sitedatabase. Standaard kan de lokale systeemaccount en de gebruikersaccount waarmee u System Center 2012 Configuration Manager hebt geïnstalleerd alle objecten in de database beheren. U kunt machtigingen aan extra gebruikers met beheerdersrechten verlenen en inperken in de Configuration Manager-console door op rollen gebaseerd beheer te gebruiken.

Zie de Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager)-gids voor meer informatie.

Op rollen gebaseerd beheer

System Center 2012 Configuration Manager gebruikt op rollen gebaseerd beheer om objecten als verzamelingen, implementatie en sites te beveiligen. Dit beheermodel definieert en beheert centraal instellingen voor beveiligingstoegang van alle sites in de hiërarchie en site-instellingen. Beveiligingsrollen worden aan gebruikers met beheerdersrechten toegewezen en groepsmachtigingen aan verschillende Configuration Manager-objecttypen, zoals de machtigingen om clientinstellingen te maken of te wijzigen. Met beveiligingsbereiken worden specifieke exemplaren van objecten gegroepeerd die door een gebruiker met beheerdersrechten moeten worden beheerd, zoals een toepassing die Microsoft Office 2010 installeert. Met de combinatie van beveiligingsrollen, beveiligingsbereiken en verzamelingen wordt gedefinieerd welke objecten een gebruiker met beheerdersrechten kan weergeven en beheren.System Center 2012 Configuration Manager installeert sommige standaardbeveiligingsrollen voor veelvoorkomende beheertaken. U kunt echter uw eigen beveiligingsrollen maken ter ondersteuning van de specifieke vereisten van uw bedrijf.

Zie de volgende onderwerpen in de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Beveiliging plannen in Configuration Manager

• Beveiliging configureren voor Configuration Manager

Clienteindpunten beveiligen

De communicatie van clients met sitesysteemrollen wordt beveiligd door het gebruik van zelf-ondertekende certificaten of PKI-certificaten (PKI: Public Key Infrastructure, openbare-sleutelinfrastructuur). Computerclients die door Configuration Manager worden gedetecteerd op het internet en mobiele apparaatclients moeten PKI-certificaten gebruiken, zodat de clienteindpunten via HTTPS beveiligd kunnen worden. De sitesysteemrollen waarmee clients zijn verbonden, kunnen voor HTTPS- of HTTP-clientcommunicatie worden geconfigureerd. Clientcomputers communiceren altijd op de veiligste manier die beschikbaar is en vallen alleen terug op het gebruik van het minder veilige communicatiemiddel HTTP op het internet als u over sitesystemen beschikt die HTTP-communicatie toestaan.

Zie de volgende onderwerpen in de Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager)-gids voor meer informatie:

• Beveiliging plannen in Configuration Manager

• Beveiliging configureren voor Configuration Manager

• Technische naslaginformatie voor gebruikte cryptografische besturingselementen in Configuration Manager

Configuration Manager-accounts en -groepen

System Center 2012 Configuration Manager maakt gebruik van het lokale systeemaccount voor de meeste sitebewerkingen. Voor bepaalde beheertaken kan het echter nodig zijn om extra accounts te maken en bij te houden. Verschillende standaardgroepen en SQL Server-rollen worden tijdens de installatie gemaakt. U moet misschien echter handmatig computer- en gebruikersaccounts aan deze standaardgroepen en -gebruikers toevoegen.

Zie Technische naslaginformatie voor gebruikte accounts in Configuration Manager in de gids Site Administration for System Center 2012 Configuration Manager (Sitebeheer voor System Center 2012 Configuration Manager) voor meer informatie.

Privacy

Bedrijfsbeheerproducten bieden veel voordelen omdat ze u in staat stellen tal van clients effectief te beheren. Houd er echter wel rekening mee dat deze software van invloed kan zijn op de privacy van gebruikers in uw organisatie. System Center 2012 Configuration Manager bevat veel hulpprogramma's om gegevens te verzamelen en apparaten te controleren, maar dit kan in sommige gevallen vragen oproepen over het waarborgen van de privacy.

Wanneer u bijvoorbeeld de System Center 2012 Configuration Manager-client installeert, worden er standaard veel beheerinstellingen ingeschakeld. Dit heeft tot gevolg dat de clientsoftware informatie verstuurt naar de Configuration Manager-site. Clientinformatie wordt in de Configuration Manager-database opgeslagen en deze informatie wordt niet naar Microsoft verzonden. Bedenk wat uw privacyvereisten zijn voordat u System Center 2012 Configuration Manager implementeert.

Zie de Security and Privacy for System Center 2012 Configuration Manager (Beveiliging en privacy voor System Center 2012 Configuration Manager)-gids voor meer informatie.

Zie ook

Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager)