Podstawowe kwestie związane z programem Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Jeśli nie masz dużego doświadczenia w obsłudze programu Menedżer konfiguracji, poniżej znajdują się podstawowe informacje o programie Microsoft System Center 2012 Configuration Manager przydatne przed rozpoczęciem instalacji lub przejściem do dokładniejszych instrukcji. Jeśli znasz już program Configuration Manager 2007, patrz Co nowego w programie System Center 2012 Configuration Manager.
Informacje dotyczące obsługiwanych systemów operacyjnych i środowisk, wymagań sprzętowych oraz wydajności znajdują się w dokumencie Obsługiwane konfiguracje programu Configuration Manager.
Lokacje
Po pierwszej instalacji programu System Center 2012 Configuration Manager można utworzyć lokację Menedżer konfiguracji, która stanowi podstawę do zarządzania urządzeniami i użytkownikami w przedsiębiorstwie. Jest to centralna lokacja administracyjna lub lokacja główna. Centralna lokacja administracyjna jest przydatna przy dużych wdrożeniach, bo stanowi scentralizowane miejsce wygodnej administracji do obsługi urządzeń wprowadzonych w globalnej infrastrukturze sieciowej. Lokacja główna jest przydatna przy mniejszych wdrożeniach i ma mniejszą elastyczność w zakresie akomodacji do przyszłego rozwoju firmy.
Przy instalacji centralnej lokacji administracyjnej należy zainstalować także przynajmniej jedną lokację główną do zarządzania użytkownikami i urządzeniami. Pozwala to na zainstalowanie dodatkowych lokacji głównych do zarządzania kolejnymi urządzeniami oraz sterowania przepustowością sieci w przypadku urządzeń znajdujących się w różnych położeniach geograficznych. Istnieje także możliwość zainstalowania innej lokacji — lokacji dodatkowej. Lokacje dodatkowe pozwalają wprowadzić w lokacji głównej obsługę urządzeń z wolnym połączeniem sieciowym.
Przy pominięciu instalacji centralnej lokacji administracyjnej pierwszą instalowaną lokacją jest autonomiczna lokacja główna. Domyślnie nie można zainstalować dodatkowych lokacji głównych, które komunikowałyby się ze sobą. Jest jednak możliwe zainstalowanie przynajmniej jednej lokacji dodatkowej rozszerzającej lokację główną. Funkcja ta jest przydatna przy zarządzaniu urządzeniami o wolnym połączeniu sieciowym z lokacją główną.
Program Menedżer konfiguracji SP1 pozwala na zamianę zainstalowanej autonomicznej lokacji głównej na centralną lokację administracyjną. Program Menedżer konfiguracji bez dodatku Service Pack nie obsługuje takiej zmiana. Najpierw konieczna jest jego uaktualnienie do wersji Menedżer konfiguracji SP1. Przedstawiona zmiana konstrukcji jest nazywana rozszerzeniem lokacji.
Kilka lub więcej lokacji komunikujących się ze sobą nazywane jest hierarchią. Na poniższych diagramach przedstawiono przykładowe schematy lokacji.
.jpeg "Site designs")
Więcej informacji znajduje się w następujących tematach w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Publikowanie informacji o lokacji w usługach domenowych Active Directory
Rozszerzenie schematu usługi Active Directory o program System Center 2012 Configuration Manager pozwala na publikację lokacji System Center 2012 Configuration Manager w usługach domenowych Active Directory. Pozwoli to komputerom z usługą Active Directory na bezpieczne pobieranie informacje o lokacji System Center 2012 Configuration Manager z zaufanego źródła. Choć publikowanie informacji o lokacji w usługach domenowych Active Directory nie jest wymagane w zakresie podstawowych funkcji programu Menedżer konfiguracji, to taka konfiguracja zwiększa bezpieczeństwo hierarchii programu System Center 2012 Configuration Manager i zmniejsza narzuty administracyjne.
Schemat usługi Active Directory można rozszerzyć przed instalacją programu System Center 2012 Configuration Manager lub po niej. Przed opublikowaniem informacji o lokacji w każdej domenie, która zawiera lokację System Center 2012 Configuration Manager, należy także utworzyć kontener usługi Active Directory o nazwie Zarządzanie systemem. Należy także skonfigurować uprawnienia do usługi tak, aby lokacja mogła publikować informacje w kontenerze usługi Active Directory. Tak jak przy wszystkich rozszerzeniach, schemat programu System Center 2012 Configuration Manager można rozszerzyć tylko jeden raz w każdym lesie.
Więcej informacji znajduje się w następujących tematach w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Role serwerów systemu lokacji oraz systemu lokacji
Program Configuration Manager używa ról systemu lokacji do obsługi zarządzania operacjami w każdej lokacji. Po instalacji programu Menedżer konfiguracji niektóre role systemu lokacji są automatycznie instalowane i przypisywane do serwera, na którym pomyślnie zainstalowano program Menedżer konfiguracji. Jedną z tych ról systemu lokacji jest serwer lokacji, którego nie można przenieść do innego serwera lub usunąć bez dezinstalacji lokacji. Istnieje możliwość użycia innych serwerów do uruchomienia dodatkowych ról systemowych lub przetransferowania niektórych ról systemowych z serwera lokacji. Wystarczy do tego zainstalować i skonfigurować serwery systemu lokacji programu Menedżer konfiguracji.
Każda rola systemu lokacji obsługuje inne funkcje zarządzania. Role systemu lokacji zapewniające podstawowe funkcje zarządzania zostały przedstawione w poniższej tabeli.
Rola systemu lokacji |
Opis |
|---|---|
Serwer lokacji |
Komputer, z którego jest przeprowadzana instalacja programu Menedżer konfiguracji i który zapewnia podstawową funkcjonalność lokacji. |
Serwer bazy danych lokacji |
Serwer hostujący bazę danych SQL Server z informacjami o zasobach programu Menedżer konfiguracji i z danymi lokacji. |
Serwer składnika |
Serwer, na którym są uruchomione usługi programu Menedżer konfiguracji. Po zainstalowaniu wszystkich ról systemu lokacji dla roli punktu dystrybucji program Menedżer konfiguracji automatycznie zainstaluje serwer składnika. |
Punkt zarządzania |
Rola systemu lokacji, która dostarcza klientom zasady i informacje o lokalizacji usługi oraz odbiera od klientów dane konfiguracji. |
Punkt dystrybucji |
Rola systemu lokacji zawierająca pliki źródłowe do pobrania przez klientów, takie jak zawartość aplikacji, pakiety oprogramowania, aktualizacje oprogramowania, obrazy systemu operacyjnego i obrazy rozruchowe. |
Punkt usług raportowania |
Rola systemu lokacji zintegrowana z usługami Reporting Services programu SQL Server w celu utworzenia raportów dla programu Menedżer konfiguracji i zarządzania nimi. |
Organizacje, które pierwsze raz wdrożyły program Menedżer konfiguracji w środowisku produkcyjnym, mają przeważnie uruchomione wiele ról systemu lokacji na serwerze lokacji oraz mają dodatkowe serwery systemu lokacji w punktach dystrybucji. Następnie instalowane są dodatkowe serwery systemu lokacji i dodawane nowe role systemu lokacji zgodnie z wymaganiami biznesowymi oraz infrastrukturą sieciową.
Dodatkowe role systemu lokacji zapewniające konkretne funkcje zostały przedstawione w poniższej tabeli.
Rola systemu lokacji |
Opis |
|---|---|
Punkt usługi sieci Web Wykaz aplikacji |
Rola systemu lokacji, która dostarcza do witryny sieci Web katalogu aplikacji informacje o oprogramowaniu z biblioteki oprogramowania. |
Punkt witryny sieci Web katalogu aplikacji |
Rola systemu lokacji, która dostarcza użytkownikom listę dostępnego oprogramowania z katalogu aplikacji. |
Punkt synchronizacji analizy zasobów |
Rola systemu lokacji, która nawiązuje połączenie z firmą Microsoft w celu pobrania informacji o katalogu analizy zasobów oraz przekazania tytułów bez kategorii, aby można było je uwzględnić w katalogu w przyszłości. |
Punkt rejestracji certyfikatu |
Rola systemu lokacji, która komunikuje się z serwerem z uruchomioną usługą rejestracji urządzeń sieciowych w celu zarządzania żądaniami certyfikatów urządzeń używających prostego protokołu rejestracji certyfikatu (SCEP). |
Punkt ochrony punktu końcowego |
Rola systemu lokacji używana przez program Menedżer konfiguracji do akceptowania postanowień licencyjnych programu Endpoint Protection i konfigurowania domyślnego członkostwa w usłudze Microsoft Active Protection. |
Punkt rejestracji |
Rola systemu lokacji korzystająca z certyfikatów PKI programu Menedżer konfiguracji, aby rejestrować urządzenia przenośne i komputery Mac oraz udostępniać komputery Intel AMT. |
Punkt proxy rejestracji |
Rola systemu lokacji, która zarządza żądaniami rejestrowania programu Menedżer konfiguracji z urządzeń przenośnych i komputerów Mac. |
Rezerwowy punkt stanu |
Rola systemu lokacji, która pomaga monitorować instalacje klienta i identyfikować niezarządzanych klientów, którzy nie mogą komunikować się ze swoim punktem zarządzania. |
Punkt obsługi poza pasmem |
Rola systemu lokacji, która inicjuje obsługę i konfiguruje komputery oparte na technologii Intel AMT do zarządzania poza pasmem. |
Punkt aktualizacji oprogramowania |
Rola systemu lokacji zintegrowana z programem Windows Server Update Services (WSUS) w celu udostępnienia aktualizacji oprogramowania klientom programu Menedżer konfiguracji. |
Punkt migracji stanu |
Rola systemu lokacji, która przechowuje dane o stanie użytkownika podczas migrowania komputera do nowego systemu operacyjnego. |
Punkt modułu sprawdzania kondycji systemu |
Rola systemu lokacji która sprawdza poprawność zasad funkcji Ochrona dostępu do sieci (NAP) w programie Menedżer konfiguracji. Należy zainstalować na serwerze zasad dotyczących kondycji ochrony dostępu do sieci. |
Łącznik programu Microsoft Intune |
Rola systemu lokacji w programie Menedżer konfiguracji SP1 używająca funkcji Microsoft Intune do zarządzania urządzeniami przenośnymi w konsoli programu Menedżer konfiguracji. |
Poniższy diagram przedstawia podstawowe i dodatkowe role systemu lokacji, które można dodać do komputera serwera lokacji lub rozpowszechnić przez instalację dodatkowych serwerów systemu lokacji.
.jpeg "Site roles")
Więcej informacji znajduje się w następujących tematach w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Klienci
Klienci programu System Center 2012 Configuration Manager to m.in. stacje robocze, laptopy, serwery i urządzenie przenośne, na których jest zainstalowane oprogramowanie klienckie Menedżer konfiguracji, co pozwoli na zarządzanie nimi. Obejmuje to raportowanie informacji o zapasach urządzeń i oprogramowania, instalowanie oprogramowania oraz konfigurowanie ustawień potrzebnych do zachowania zgodności. Program Configuration Manager wykorzystuje metody odnajdowania pozwalające na znalezienie urządzeń w sieci i instalację oprogramowania klienckiego na nich.
W programie Configuration Manager dostępne są różne metody instalacji oprogramowania klienckiego na urządzeniach. Jest to instalacja klienta w trybie push, instalacja na bazie aktualizacji oprogramowania, zasady grupy oraz instalacja ręczna. Klienta można także wdrożyć razem z obrazem systemu operacyjnego.
Program Configuration Manager używa kolekcji do grupowania różnych urządzeń o wspólnych kryteriach i zarządzania nimi. Przykładowo możesz zainstalować aplikację dla urządzeń przenośnych na wszystkich urządzeniach przenośnych zarejestrowanych przez program Menedżer konfiguracji. W takiej sytuacji należy użyć kolekcji Wszystkie urządzenia przenośne pozwalającej na wykluczenie komputerów. Istnieje możliwość utworzenia własnych kolekcji do logicznego pogrupowania zarządzanych urządzeń zgodnie z konkretnymi potrzebami biznesowymi.
Więcej informacji znajduje się w następujących tematach w przewodnikach Wdrażanie klientów dla programu System Center 2012 Configuration Manager i Zasoby i zgodność w programie System Center 2012 Configuration Manager:
Zarządzanie skoncentrowane na użytkowniku
Poza kolekcjami urządzeń do dyspozycji są także kolekcje zawierające użytkowników z usług domenowych Active Directory. Kolekcje użytkowników pozwalają na instalowanie oprogramowania na komputerach, do których logują się użytkownicy. Za pomocą funkcji koligacji urządzeń użytkownika można także skonfigurować instalację oprogramowania tylko na głównych urządzeniach wykorzystywanych przez użytkownika. Urządzenia główne są nazywane urządzeniami podstawowymi. Każdy użytkownik może mieć przynajmniej jedno urządzenie podstawowe.
Jednym ze sposobów na sterowanie wdrażaniem oprogramowania jest użycie nowego interfejsu klienckiego komputerów, jakim jest program Software Center. Program Software Center jest automatycznie instalowany na klientach i dostępny z menu Start użytkownika. Interfejs kliencki pozwala użytkownikom na zarządzanie oprogramowaniem i wykonanie następujących czynności:
Zainstalowanie oprogramowania
Zaplanowanie automatycznej instalacji oprogramowania poza godzinami pracy
Ustalenie, kiedy program Menedżer konfiguracji może instalować oprogramowanie na urządzeniach
Konfigurowanie ustawień dostępu do zdalnego sterowania (pod warunkiem jego włączenia w programie Menedżer konfiguracji)
Ustawienie opcji zarządzania energią, jeśli zostały włączone przez administratora
Odnośnik w programie Software Center pozwala na połączenie się z Katalogiem aplikacji, w którym użytkownicy mogą wyszukiwać i instalować oprogramowanie oraz za pomocą którego mogą przesyłać wnioski o programy niedostępne w Katalogu. Dodatkowo Katalog aplikacji pozwala na wprowadzenie niektórych ustawień i wymazywanie urządzeń przenośnych. Ponieważ Katalog aplikacji to strona hostowana na serwerze IIS użytkownicy mają do niej dostęp z przeglądarki, intranetu i Internetu.
Użytkownicy mogą także z Katalogu aplikacji ustalić główne urządzenie (jeśli zostanie to dopuszczone w konfiguracji). Inne metody konfiguracji koligacji urządzenia użytkownika to zaimportowanie odpowiednich informacji z pliku oraz ich automatyczne wygenerowanie z danych użycia.
Więcej informacji znajduje się w następujących tematach w przewodniku Wdrażanie oprogramowania i systemów operacyjnych w programie System Center 2012 Configuration Manager:
Ustawienia klienta
Po pierwszej instalacji programu System Center 2012 Configuration Manager wszyscy klienci w hierarchii używają domyślnych ustawień. Domyślne ustawienia można zmienić. Jest to m.in. częstotliwość komunikacji urządzeń z lokacją, włączenie aktualizacji oprogramowania i innych operacji zarządzania i możliwość rejestracji urządzeń przenośnych przez użytkowników do zarządzania przez program Menedżer konfiguracji. Jeśli potrzebne są inne ustawienia klienta dla grup użytkowników lub urządzeń, należy skonfigurować niestandardowe ustawienia klienta i przypisać je do kolekcji. Użytkownicy lub urządzenia należący do kolekcji będą mieli wprowadzone niestandardowe ustawienia. Istnieje możliwość skonfigurowania wielu ustawień klienta i zastosowania ich w określonej kolejności. W przypadku wielu niestandardowych ustawień klienta są one stosowanie zgodnie z ich liczbą porządkową. Jeżeli występują konflikty, ustawienie o najniższej liczbie porządkowej zastępuje pozostałe ustawienia.
Poniższy schemat przedstawia sposób tworzenia i stosowania niestandardowych ustawień klienta.
.jpeg "Client settings")
Więcej informacji znajduje się w następujących tematach w przewodniku Wdrażanie klientów dla programu System Center 2012 Configuration Manager:
Ograniczone zarządzanie bez klientów
Oprogramowanie klienta programu System Center 2012 Configuration Manager zapewnia pełne możliwości zarządzania użytkownikami i urządzeniami. Istnieją jednak jeszcze dwa scenariusze, w których urządzeniami można zarządzać niezależnie od oprogramowania klienta: zarządzanie poza pasmem, które wykorzystuje technologię zarządzania aktywnego firmy Intel (AMT), oraz urządzenia przenośne, które są podłączone do usługi Exchange, takiej jak lokalny program Exchange Server lub usługa Exchange Online (Office 365).
Program Configuration Manager wykorzystuje oprogramowanie klienta do udostępniania i konfigurowania komputerów z technologią AMT, jednak podczas wykonywania operacji zarządzania AMT oprogramowanie klienta nie jest używane. Zamiast tego, program Configuration Manager łączy się bezpośrednio z kontrolerem zarządzania AMT. Oznacza to, że użytkownik nadal ma pewną kontrolę nad komputerami, które nie zostały uruchomione i nie odpowiadają na poziomie systemu operacyjnego. Można na przykład ponownie uruchomić te komputery, ponownie zainstalować obrazy lub uruchomić narzędzia diagnostyczne w celu rozwiązania ich problemów.
Jeśli nie można zainstalować oprogramowania klienta programu Menedżer konfiguracji na urządzeniu przenośnym, tym urządzeniem można zarządzać za pomocą łącznika serwera Exchange. Łącznik umożliwia konfigurowanie ustawień domyślnej zasady skrzynek pocztowych programu Exchange ActiveSync. Wszystkie ustawienia zdefiniowane w tej zasadzie można skonfigurować w programie Configuration Manager, a ten łącznik obsługuje dodatkowo funkcje zdalnego czyszczenia oraz zasady dostępu do programu Exchange dotyczące blokowania i kwarantanny. Wszystkie urządzenia przenośne zarządzane za pomocą łącznika serwera Exchange są widoczne w kolekcji Wszystkie urządzenia przenośne, mimo że nie są na nich zainstalowani klienci programu System Center 2012 Configuration Manager. Ponieważ klienci nie są zainstalowani, na tych urządzeniach nie można wdrażać oprogramowania.
Więcej informacji znajduje się w następujących tematach w przewodnikach Zasoby i zgodność w programie System Center 2012 Configuration Manager i Wdrażanie klientów dla programu System Center 2012 Configuration Manager:
Zadania zarządzania klientem
Po zainstalowaniu klientów programu Menedżer konfiguracji można wykonywać różne zadania zarządzania klientami, takie jak:
Wdrażanie aplikacji, aktualizacji oprogramowania, skryptów konserwacji i systemów operacyjnych. Można konfigurować konkretne daty i godziny instalacji tych wdrożeń oraz udostępniać wdrożenia użytkownikom do instalowania na żądanie. Można również konfigurować aplikacje przeznaczone do odinstalowania.
Poprawa ochrony komputerów przed złośliwym oprogramowaniem i zagrożeniami bezpieczeństwa oraz powiadamianie o wykryciu problemów.
Definiowanie ustawień konfiguracji klienta, które mają być monitorowane, oraz rozwiązywanie problemów w przypadku niezgodności.
Zbieranie informacji o spisie sprzętu i oprogramowania, w tym informacji o monitorowaniu i uzgadnianiu licencji firmy Microsoft.
Rozwiązywanie problemów z komputerami za pomocą kontroli zdalnej lub operacji AMT w przypadku komputerów AMT, które nie odpowiadają.
Implementowanie ustawień zarządzania energią w celu zarządzania i monitorowania zużycia energii przez komputery.
Konsola programu Menedżer konfiguracji umożliwia monitorowanie tych operacji prawie w czasie rzeczywistym za pomocą alertów i informacji o stanie. Do przechwytywania danych i historycznej analizy trendów można używać zintegrowanych funkcji raportowania dostępnych w usługach raportowania SQL.
Aby zagwarantować stałe zarządzanie klientami programu System Center 2012 Configuration Manager, należy sprawdzać informacje o stanie klienta, które zawierają dane o kondycji i aktywności klienta. Te dane ułatwiają identyfikację komputerów, które nie odpowiadają. W pewnych przypadkach problemy mogą zostać rozwiązane automatycznie.
Więcej informacji znajduje się w następujących tematach w przewodnikach Wdrażanie klientów dla programu System Center 2012 Configuration Manager i Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Configuration Manager (Panel sterowania systemu Windows)
Podczas instalacji klienta programu Menedżer konfiguracji w Panelu sterowania systemu Windows jest instalowana aplikacja kliencka Configuration Manager. W przeciwieństwie do programu Software Center ta aplikacja jest raczej przeznaczona dla pracowników pomocy technicznej, a nie dla użytkowników końcowych. Niektóre opcje konfiguracji wymagają posiadania lokalnych uprawnień administracyjnych, a inne wymagają technicznej wiedzy o sposobie działania programu Menedżer konfiguracji. Za pomocą tej aplikacji można wykonywać na kliencie następujące zadania:
Wyświetlanie właściwości klienta, takich jak numer kompilacji, przypisana lokacja, punkt zarządzania, z którym komunikuje się klient, oraz informacji o tym, czy klient używa certyfikatu PKI, czy certyfikatu z podpisem własnym
Sprawdzanie, czy klient pomyślnie pobrał zasadę klienta po pierwszej instalacji oraz czy ustawienia klienta są skonfigurowane zgodnie z oczekiwaniami, tj. zgodnie z ustawieniami klienta skonfigurowanymi w konsoli programu Menedżer konfiguracji
Uruchamianie akcji klienta, takich jak pobieranie zasady klienta w przypadku zmiany konfiguracji w konsoli programu Menedżer konfiguracji, gdy użytkownik nie chce czekać na następny zaplanowany termin
Ręczne przypisywanie klienta do lokacji programu Menedżer konfiguracji lub próbowanie znalezienia lokacji, a następnie określenie sufiksu DNS dla punktów zarządzania, które publikują w systemie DNS
Konfigurowanie pamięci podręcznej klienta do tymczasowego przechowywania plików oraz usuwanie plików z tej pamięci w sytuacji, gdy instalacja oprogramowania wymaga większej ilości wolnego miejsca na dysku
Konfigurowanie ustawień dla internetowego zarządzania klientami
Wyświetlanie linii bazowych konfiguracji, które zostały wdrożone na klientach, inicjowanie oceny zgodności i wyświetlanie raportów zgodności
Zabezpieczenia
Zabezpieczenia w programie System Center 2012 Configuration Manager mają model wielowarstwowy. Przede wszystkim system Windows zapewnia wiele funkcji zabezpieczeń zarówno systemu operacyjnego, jak i sieci:
Udostępnianie plików do transferu między składnikami programu System Center 2012 Configuration Manager
Listy kontroli dostępu (ACL) ułatwiające zabezpieczanie plików oraz kluczy rejestru
Protokół IPsec do bezpiecznej komunikacji
Zasady grupy do ustawiania zasad zabezpieczeń
Uprawnienia DCOM dla aplikacji rozproszonych, takich jak konsola programu Configuration Manager
Usługi domenowe Active Directory do przechowywania podmiotów zabezpieczeń
Zabezpieczenia konta Windows, w tym niektórych grup utworzonych podczas instalacji programu System Center 2012 Configuration Manager
Kolejne dodatkowe składniki zabezpieczeń, takie jak zapory i funkcje wykrywania nieautoryzowanego dostępu, zapewniają bardziej szczegółową ochronę w całym środowisku. Certyfikaty wydawane przez zgodne z normami branżowymi implementacje infrastruktury PKI ułatwiają uwierzytelnianie, podpisywanie i szyfrowanie.
Program System Center 2012 Configuration Manager kontroluje dostęp do konsoli Menedżer konfiguracji na różne sposoby. Domyślnie tylko lokalni administratorzy mają dostęp do plików i kluczy rejestru wymaganych do uruchomienia konsoli programu Menedżer konfiguracji na komputerach, na których jest zainstalowana.
Kolejna warstwa zabezpieczeń bazuje na dostępie przy użyciu Instrumentacji zarządzania Windows (WMI), konkretnie na dostawcy programu SMS. Dostawca programu SMS jest domyślnie ograniczony do członków lokalnej grupy administratorów programu SMS. Ta grupa początkowo zawiera tylko użytkownika, który zainstalował program System Center 2012 Configuration Manager. Aby przydzielić innym kontom uprawnienie do repozytorium modelu wspólnych informacji (CIM) i dostawcy programu SMS, należy dodać te konta do grupy administratorów programu SMS.
Ostatnia warstwa zabezpieczeń bazuje na uprawnieniach do obiektów w bazie danych lokacji. Domyślnie lokalne konto systemowe i konto użytkownika użyte do zainstalowania programu System Center 2012 Configuration Manager umożliwia administrowanie wszystkimi obiektami w bazie danych lokacji. Uprawnienia można przydzielić lub odebrać dodatkowym użytkownikom administracyjnym w konsoli programu Menedżer konfiguracji za pomocą funkcji administracji opartej na rolach.
Więcej informacji znajduje się w przewodniku Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.
Administracja oparta na rolach
Program System Center 2012 Configuration Manager korzysta z administracji opartej na rolach, aby zabezpieczać takie obiekty, jak kolekcje, wdrożenia i lokacje. Ten model administrowania definiuje w sposób centralny ustawienia bezpiecznego dostępu w całej hierarchii do wszystkich witryn i ustawień lokacji oraz pozwala nimi zarządzać. Role zabezpieczeń są przypisywane do użytkowników administracyjnych, a uprawnienia grupy do różnych typów obiektów programu Menedżer konfiguracji, na przykład uprawnienia tworzenia lub zmiany ustawień klienta. Zakresy zabezpieczeń grupują określone wystąpienia obiektów, którymi zarządza administrator, takie jak aplikacja instalująca program Microsoft Office 2010. Kombinacja ról zabezpieczeń, zakresów zabezpieczeń i kolekcji definiuje, które obiekty może wyświetlić i którymi obiektami może zarządzać administrator. Program System Center 2012 Configuration Manager instaluje niektóre domyślne role zabezpieczeń dla typowych zadań zarządzania. Można jednak tworzyć własne role zabezpieczeń zgodnie z konkretnymi wymogami biznesowymi.
Więcej informacji znajduje się w następujących tematach w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Zabezpieczanie punktów końcowych klienta
Komunikacja klienta z rolami systemu lokacji jest zabezpieczana za pomocą certyfikatów z podpisem własnym lub za pomocą certyfikatów infrastruktury kluczy publicznych (PKI). Komputery klienckie wykrywane przez program Menedżer konfiguracji jako znajdujące się w Internecie oraz klienckie urządzenia przenośne muszą używać certyfikatów PKI, tak aby punkty końcowe klienta mogły być chronione protokołem HTTPS. Role systemu lokacji, z którymi łączą się klienci, można skonfigurować do komunikacji HTTPS lub HTTP. Komputery klienckie zawsze komunikują się z wykorzystaniem najbardziej bezpiecznej metody, która jest dostępna. Ze słabszej metody zabezpieczania komunikacji HTTP w intranecie korzystają tylko wtedy, gdy rola systemu lokacji zezwala na komunikację HTTP.
Więcej informacji znajduje się w następujących tematach w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager:
Konta i grupy programu Configuration Manager
W przypadku większości operacji lokacji program System Center 2012 Configuration Manager korzysta z lokalnego konta systemowego. Jednak niektóre zadania zarządzania mogą wymagać utworzenia i utrzymywania dodatkowych kont. Podczas instalacji są tworzone różne domyślne grupy i role programu SQL Server. Może jednak być konieczne ręczne dodanie konta użytkownika lub komputera do tych domyślnych grup i ról.
Więcej informacji znajduje się w temacie Informacje techniczne dotyczące kont używanych w programie Configuration Manager w przewodniku Administrowanie witryną dla programu System Center 2012 Configuration Manager.
Ochrona prywatności
Mimo że produkty przeznaczone do zarządzania przedsiębiorstwem oferują wiele zalet, ponieważ umożliwiają wydajne zarządzanie wieloma klientami, należy wziąć pod uwagę ich wpływ na prywatność użytkowników w organizacji. Program System Center 2012 Configuration Manager udostępnia wiele narzędzi do zbierania danych i monitorowania urządzeń, a niektóre z nich mogą budzić zastrzeżenia co do zachowania prywatności.
Na przykład podczas instalacji klienta programu System Center 2012 Configuration Manager wiele ustawień zarządzania jest domyślnie włączonych. W wyniku tego oprogramowanie klienta wysyła informacje do lokacji programu Menedżer konfiguracji. Informacje o kliencie są przechowywane w bazie danych programu Menedżer konfiguracji, ale nie są wysyłane do firmy Microsoft. Przed zaimplementowaniem programu System Center 2012 Configuration Manager należy uwzględnić wymagania dotyczące ochrony prywatności.
Więcej informacji znajduje się w przewodniku Bezpieczeństwo i ochrona prywatności w programie System Center 2012 Configuration Manager.