Поделиться через

О процессе защиты доступа к сети

  • Статья

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Эта информация позволяет понять принцип взаимодействия защиты доступа к сети Configuration Manager 2007 с самим продуктом Configuration Manager 2007 и с защитой доступа к сети Windows и лучше защитить сеть.

Защита доступа к сети и обновления программного обеспечения

Клиенты Configuration Manager 2007, поддерживающие защиту доступа к сети, могут определить свою совместимость с выбранными обновлениями программного обеспечения.

Клиенты Configuration Manager 2007 отправляют эту информацию в сообщении о состоянии работоспособности, которое передается средству проверки работоспособности системы Configuration Manager 2007, расположенному в роли Configuration Manager 2007 под названием точка средства проверки работоспособности системы.

Точка средства проверки работоспособности системы устанавливается на компьютер с программой Windows Server 2008, который играет роль сервера политики сети. Она проверяет, совместим ли клиентский компьютер с обновлениями, сведения о его работоспособности передаются на сервера политики сети Windows.

Принудительная совместимость с обновлениями программного обеспечения на сервере политики сети

Сервер политики сети Windows настраивается с помощью политик, определяющих действия компьютеров, для которых известно, что они поддерживают защиту доступа к сети, не поддерживают защиту доступа к сети или не способны поддерживать защиту доступа к сети (не подходят для защиты доступа к сети).

Если состояние работоспособности клиента споддержкой защиты доступа к сети, определить не удается, возникает состояние ошибки. По умолчанию всем состояниям ошибки сопоставляются состояния несовместимости, однако они разбиты на пять категорий, и для каждой категории можно настроить сопоставление с состояниями совместимости или несовместимости.

Ниже перечислены действия, которые может выполнить сервер политики сети, исходя из состояния работоспособности компьютера.

  • Ограничение компьютера от доступа ко всей сети.

  • Предоставление доступа к сети в течение ограниченного периода.

  • Предоставление полного доступа к сети без ограничения по времени.

  • Привести компьютеры, которые не соответствуют политикам, в соответствие с этими политиками.

Важно!

Хотя сервер политики сети поддерживает приведение компьютеров в соответствие, если на них не обеспечивается соответствие принудительно (иногда такой режим называется "режимом отчетов"), такое приведение в соответствие не поддерживается функцией защиты доступа к сети в Configuration Manager 2007. Это средство поддерживается с помощью стандартного компонента обновления программного обеспечения Configuration Manager 2007.

Важно понимать, что администратор Configuration Manager не может управлять тем, какое действие будет выполнено в результате передачи данных о состоянии работоспособности компьютера на сервер политики сети. Однако, если на сервере политики сети настроено принудительное приведение компьютеров в соответствие с политиками, с помощью служб Configuration Manager будут доставлены обновления программного обеспечения, необходимые для приведения в соответствие несоответствующих клиентов. После приведения клиентов в соответствие их состояние работоспособности определяется заново, и состояние несовместимости заменяется состоянием совместимости.

Настройка обновлений программного обеспечения для защиты доступа к сети

Обновления программного обеспечения, необходимые клиентам для совместимости, выбираются путем настройки политик защиты доступа к сети Configuration Manager. Можно выбирать только обновления программного обеспечения, загруженные и упакованные с помощью компонента обновления программного обеспечения.

В отличие от развертываний обновления программного обеспечения, нацеленного на выбранные коллекции, политики защиты доступа к сети Configuration Manager автоматически нацеливаются на все компьютеры, приписанные к сайту. Политики защиты доступа к сети Configuration Manager применяются к объектам иерархии Configuration Manager в нисходящем порядке. Такое поведение напоминает поведение объявлений и пакетов в Configuration Manager 2007. Сайты, унаследовавшие политики защиты доступа к сети Configuration Manager, затем автоматически нацеливают эти политики на клиентские компьютеры, приписанные к сайту.

Важно!

Важно помнить, что из-за такого автоматического нацеливания и наследования по всей иерархии политика защиты доступа к сети Configuration Manager может повлиять на все клиентские компьютеры в иерархии.

Однако, в отличие от объявлений и пакетов в иерархии Configuration Manager 2007, политики защиты доступа к сети Configuration Manager ведут себя следующим образом.

  • Дочерние сайты не могут добавлять свои политики защиты доступа к сети Configuration Manager.

  • Дочерние сайты не могут изменять унаследованные политики защиты доступа к сети Configuration Manager.

  • Дочерние сайты не могут удалять унаследованные политики защиты доступа к сети Configuration Manager.

См. также

Основные понятия

О защите доступа к сети в иерархиях Configuration Manager
О состоянии работоспособности в защите доступа к сети
О точках средства проверки работоспособности системы в защите доступа к сети
Определение своей стратегии политики для защиты доступа к сети

Другие ресурсы

Настройка сервера политики сети для Configuration Manager
Обзор защиты доступа к сети

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.