Об утверждении клиентов в Configuration Manager
Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Последнее обновление раздела ─ ноябрь 2007 г.
В смешанном режиме Configuration Manager 2007 не проверяет подлинность клиентов до того, как им будет разрешено присоединиться к сайту. Любой компьютер с установленным и назначенным сайту клиентом System Center Configuration Manager 2007, и имеющий самозаверяющий сертификат, может подключаться к точке управления, отображаться в консоли System Center Configuration Manager 2007, получать с сайта политику и передавать данные на сайт. В смешанном режиме, если не установлен флажок Этот сайт содержит только клиенты Configuration Manager 2007, политики, содержащие конфиденциальные данные, могут быть отправлены любому клиенту. Однако если этот флажок установлен, только утвержденные клиенты могут получать политики, содержащие конфиденциальные данные.
Клиент Configuration Manager 2007 не может быть утвержден до тех пор, пока не будет успешно установлен и назначен сайту.
Утверждение может быть выполняемым вручную, автоматическим для компьютеров в доверенных доменах или автоматическим для всех компьютеров и настраивается как свойство сайта на вкладке режима сайта для сайтов в смешанном режиме.
Наиболее безопасный метод утверждения ─ это автоматическое утверждение клиентов, являющихся членами доверенных доменов. В этом режиме клиенты, не являющиеся членами доверенных доменов, в том числе клиенты рабочих групп, должны утверждаться вручную. Если требуется вручную проверять каждого клиента прежде, чем ему будет разрешено получать политики, содержащие конфиденциальные данные, переключите режим утверждения на ручной. Автоматическое утверждение всех клиентов не рекомендуется, если нет других средств управления доступом для предотвращения доступа к сети ненадежных компьютеров. Если клиент не утвержден автоматическим методом, он все равно отображается в консоли Configuration Manager 2007 и может быть утвержден вручную, для чего нужно найти его в коллекции и выбрать в меню "Действие" команду "Утвердить". Дополнительные сведения см. в разделе Утверждение клиентов Configuration Manager.
Клиенты мобильных устройств не получают никаких политик, содержащих конфиденциальные данные, и поэтому не требуют утверждения.
Утверждение не требуется также в тех случаях, когда сайт настроен для работы в основном режиме, поскольку сертификаты с инфраструктурой открытого ключа (PKI) удостоверяют подлинность клиентов для точки управления и других систем сайта.
Примечание
Когда сайт Configuration Manager 2007 находится в основном режиме, утверждение клиента не используется. Однако, в окне просмотра коллекции в консоли Configuration Manager столбец утверждения отображается. Для сайтов, работающих в основном режиме, сведения из этого столбца не должны использоваться.
В следующей таблице приведены три параметра утверждения, доступных в качестве параметров сайта, работающего в основном режиме.
| Параметр утверждения | Дополнительные сведения |
|---|---|
Вручную утвердить каждый компьютер |
Утверждение каждого компьютера для присоединения к сайту вручную создает минимальный риск, но приводит к большим затратам на администрирование. Клиенты должны вручную утверждаться со своего назначенного сайта через консоль Configuration Manager. |
Автоматически утвердить компьютеры в доверенных доменах |
При автоматическом утверждении компьютеров в доверенных доменах происходит утверждение клиентских компьютеров, присоединенных к доменам, проверенным доменом сервера сайта. Используя этот параметр, необходимо убедиться, что имеется другое средство управления безопасностью, которое сможет предотвратить присоединение ненадежных компьютеров к доверенному домену. Важно! Если клиенты находятся в другом домене по отношению к домену сервера сайта, то, чтобы использовать этот параметр, необходимо настроить точку управления сайта, используемую по умолчанию, (или точку управления NLB) с полным доменным именем. Сведения о том, как ввести полное доменное имя, см. в разделе Настройка полного доменного имени в интрасети для систем сайтов. |
Автоматически утвердить все компьютеры |
При автоматическом утверждении на присоединение к сайту всех компьютеров любому компьютеру будет разрешено присоединиться к сайту. Этот параметр не рекомендуется использовать, так как при этом любому компьютеру будет разрешено стать клиентом без проверки надежности. |
Сброс статуса утверждения клиентов при миграции сайта в основной режим
При миграции сайта Configuration Manager 2007 из смешанного режима в основной клиенты не сохраняют свой статус утверждения. Статус утверждения всех клиентов, назначенных сайту, автоматически устанавливается в "unapproved".
Когда сайт работает в основном режиме, вместо утверждения используется проверка подлинности клиентов с использованием сертификатов PKI, и статус утверждения не используется. Однако, при возвращении сайта в смешанный режим клиенты должны быть заново утверждены, как это делается с новыми клиентами.
См. также
Задачи
Утверждение клиентов Configuration Manager
Блокировка клиентов Configuration Manager
Ссылки
Свойства сайта: вкладка "Режим сайта"
Основные понятия
Выбор между смешанным и основным режимами
Определение необходимости использования полных доменных имен серверов
Обзор развертывания клиентов Configuration Manager
Рекомендации по защите клиентов
Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.