Поделиться через


Основные понятия, связанные с Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Если вы еще не знакомы с Configuration Manager, воспользуйтесь приведенной ниже информацией, чтобы составить представление об основных понятиях и принципах работы Microsoft System Center 2012 Configuration Manager, прежде чем запускать установку или изучать более подробные материалы. Если вы знакомы с Configuration Manager 2007, см. раздел Новые возможности в System Center 2012 Configuration Manager.

Для получения сведений о поддерживаемых операционных системах и средах, требованиях к аппаратному обеспечению и возможностях см. раздел Поддерживаемые конфигурации в Configuration Manager.

Сайты

При первой установке System Center 2012 Configuration Manager создается сайт Configuration Manager как основное место, из которого будет производиться управление устройствами и пользователями на предприятии. Это может быть либо сайт центра администрирования, либо первичный сайт. Сайт центра администрирования подходит для крупномасштабного развертывания. Он является центральным узлом администрирования и характеризуется гибкостью, поддерживая устройства, разбросанные по глобальной сетевой инфраструктуре. Первичный сайт подходит для более ограниченного развертывания и предоставляет меньше возможностей для адаптации к дальнейшему росту предприятия.

Когда устанавливается сайт центра администрирования, необходимо также установить хотя бы один первичный сайт для управления пользователями и устройствами. При такой структуре можно устанавливать дополнительные первичные сайты для управления большим количеством устройств и регулирования пропускной способности сети в условиях, когда устройства находятся в разных географических точках. Можно также установить сайт другого типа, который носит название вторичного сайта. Вторичные сайты расширяют возможности первичного сайта, позволяя управлять небольшим количеством устройств, имеющих медленное сетевое подключение к первичному сайту.

Если не установить сайт центра администрирования, первый устанавливаемый сайт— это автономный первичный сайт. По умолчанию нельзя установить дополнительные первичные сайты, которые могут взаимодействовать друг с другом. При этом, однако, можно установить один или несколько вторичных сайтов в дополнение к первичному, если требуется управлять несколькими устройствами, подключенными к первичному сайту по медленному каналу.

Если вы установили автономный первичный сайт, а позднее решили использовать структуру с сайтом центра администрирования, Configuration Manager с пакетом обновления 1 (SP1) позволит это сделать.Configuration Manager без пакета обновления не поддерживает это изменение, если не будет выполнено обновление сайта до Configuration Manager с пакетом обновления 1 (SP1). Это изменение носит название расширения сайта.

Если же имеется несколько сайтов, обменивающихся данными друг с другом, такая организация сайтов называется иерархией. Ниже приведены некоторые примеры устройств сайтов.

Проекты сайтов

Дополнительные сведения см. в следующих разделах руководства Администрирование сайтов для System Center 2012 Configuration Manager:

Публикация сведений о сайтах в доменных службах Active Directory

Если расширить схему Active Directory для использования System Center 2012 Configuration Manager, можно будет публиковать сайты System Center 2012 Configuration Manager в доменных службах Active Directory, чтобы компьютеры Active Directory могли безопасно получать сведения о сайтах System Center 2012 Configuration Manager от доверенного источника. Хотя публикация сведений о сайтах в доменных службах Active Directory не обязательна для работы с базовой функциональностью Configuration Manager, такая конфигурация повышает защищенность иерархии System Center 2012 Configuration Manager и снижает административную нагрузку.

Расширить схему Active Directory можно до или после установки System Center 2012 Configuration Manager. Чтобы публикация сведений о сайтах стала возможной, необходимо прежде создать контейнер Active Directory с именем System Management в каждом домене, содержащем сайт System Center 2012 Configuration Manager. Кроме того, необходимо настроить разрешения Active Directory так, чтобы сайт мог публиковать сведения о себе в этом контейнере Active Directory. Как и со всеми расширениями схемы, схема System Center 2012 Configuration Manager расширяется только один раз на лес.

Дополнительные сведения см. в следующих разделах руководства Администрирование сайтов для System Center 2012 Configuration Manager:

Серверы системы сайта и роли системы сайта

Configuration Manager обеспечивает поддержку операций управления на каждом сайте с помощью ролей системы сайта. Когда устанавливается сайт Configuration Manager, некоторые роли системы сайта устанавливаются с ним автоматически и назначаются серверу, на котором была успешно выполнена установка Configuration Manager. Одной из таких ролей является роль сервера сайта, которую нельзя передать другому серверу или удалить, не удалив сам сайт. Можно организовать выполнение дополнительных ролей системы сайта на других серверах или передать этим серверам часть имеющихся у сервера сайта ролей, установив и настроив серверы системы сайта Configuration Manager.

Каждая роль системы сайта поддерживает свой набор функций управления. Роли системы сайта, предоставляющие базовую функциональность управления, описаны в следующей таблице.

Роль системы сайта

Описание

Сервер сайтов

Компьютер, на котором пользователь запускает программу установки Configuration Manager и который обеспечивает базовую функциональность сайта.

Сервер базы данных сайтов

Сервер, на котором располагается база данных SQL Server, содержащая информацию об активах Configuration Manager и данные сайтов.

Сервер компонентов

Сервер, на котором работают службы Configuration Manager. Если пользователь устанавливает все роли системы сайта, кроме роли точки распространения, Configuration Manager автоматически устанавливает сервер компонентов.

Точка управления.

Роль системы сайта, которая предоставляет клиентам политики и сведения о расположении служб, а также принимает данные конфигурации от клиентов.

Точка распространения.

Роль системы сайта, которая содержит исходные файлы для загрузки клиентами, такие как содержимое приложений, пакеты программного обеспечения, обновления программного обеспечения, образы операционных систем и загрузочные образы.

Точка служб отчетов

Роль системы сайта, которая интегрируется со службами SQL Server Reporting Services для создания отчетов для Configuration Manager и управления ими.

Когда компании впервые развертывают Configuration Manager в производственной среде, часто у них на сервере сайта выполняется множество ролей системы сайта, а также имеются дополнительные серверы сайта, служащие точками распространения. Далее они устанавливают дополнительные серверы системы сайта и добавляют новые роли системы сайта в соответствии со своими бизнес-требованиями и сетевой инфраструктурой.

Дополнительные роли системы сайта, которые могут понадобиться для использования конкретной функциональности, перечислены в следующей таблице.

Роль системы сайта

Описание

Точка веб-службы каталога приложений

Роль системы сайта, которая предоставляет сведения о программном обеспечении из библиотеки программного обеспечения на веб-сайт каталога приложений.

Точка веб-сайта каталога приложений.

Роль системы сайта, которая предоставляет пользователям список программного обеспечения, доступного в каталоге приложений.

точка синхронизации каталога аналитики активов;

Роль системы сайта, которая подключается к службам Майкрософт для загрузки сведений о каталоге аналитики активов и отправки названий некатегоризированных продуктов для их последующего включения в каталог.

Точка регистрации сертификатов

Роль системы сайта, взаимодействующая с сервером, на котором выполняется служба регистрации сетевых устройств, для управления запросами сертификатов устройств, которые используют протокол Simple Certificate Enrollment Protocol (SCEP).

Точка Endpoint Protection

Роль системы сайта, используемая Configuration Manager для принятия условий лицензионного соглашения Endpoint Protection и настройки членства в Microsoft Active Protection Service по умолчанию.

Точка регистрации

Роль системы сайта, которая использует PKI-сертификаты Configuration Manager для регистрации мобильных устройств и компьютеров Mac, а также для подготовки компьютеров с поддержкой Intel AMT.

Прокси-точка регистрации.

Роль системы сайта, которая управляет запросами на регистрацию Configuration Manager от мобильных устройств и компьютеров Mac.

Резервная точка состояния.

Роль системы сайта, которая позволяет выполнять мониторинг установки клиентов и выявлять клиенты, управление которыми невозможно, поскольку они не могут подключиться к своей точке управления.

Точка обслуживания аппаратного контроллера управления

Роль системы сайта, которая выполняет подготовку и настройку компьютеров с поддержкой технологии Intel AMT для управления с использованием аппаратного контроллера управления.

Точка обновления программного обеспечения

Роль системы сайта, которая интегрируется со службами Windows Server Update Services (WSUS) для предоставления обновлений программного обеспечения клиентам Configuration Manager.

Точка миграции среды

Роль системы сайта, которая хранит данные о состоянии пользователей при миграции компьютера на новую операционную систему.

Точка проверки работоспособности систем

Роль системы сайта, которая проверяет политики защиты доступа к сети (NAP) Configuration Manager. Эта роль должна быть установлена на сервере политики работоспособности NAP.

Соединитель Microsoft Intune.

Роль системы сайта в Configuration Manager с пакетом обновления 1 (SP1), использующая Microsoft Intune для управления мобильными устройствами в консоли Configuration Manager.

На следующем рисунке показаны эти базовые и дополнительные роли системы сайта, которые можно добавить на сервер сайта или распределить, установив дополнительные серверы системы сайта.

Роли сайта

Дополнительные сведения см. в следующих разделах руководства Администрирование сайтов для System Center 2012 Configuration Manager:

Клиенты

Клиенты System Center 2012 Configuration Manager — это устройства (рабочие станции, ноутбуки, серверы и мобильные устройства), на которых установлено клиентское программное обеспечение Configuration Manager, позволяющее управлять этими устройствами. В понятие управления входят такие операции, как генерация отчетов о имеющемся оборудовании и программном обеспечении, установка программного обеспечения и настройка параметров для обеспечения соответствия. В Configuration Manager предусмотрены методы обнаружения, которые можно использовать для поиска устройств в сети с целью установки на них клиентского программного обеспечения.

Configuration Manager предлагает ряд вариантов установки клиентского ПО на устройствах. Это принудительная установка на клиенты, установка на основе обновлений ПО, групповая политика и ручная установка. Можно также устанавливать клиентское ПО в процессе развертывания образа операционной системы.

Configuration Manager использует коллекции для группировки устройств, позволяя пользователю выполнять задачи управления на множестве устройств, объединенных определенным набором критериев. Например, можно установить приложение для мобильного устройства на всех мобильных устройствах, которые зарегистрированы в Configuration Manager. Это делается с помощью коллекции Все мобильные устройства, что автоматически исключает компьютеры. Можно создавать собственные коллекции для логической группировки управляемых устройств в соответствии со своими бизнес-требованиями.

Дополнительные сведения см. в следующих разделах руководств Развертывание клиентов для System Center 2012 Configuration Manager и Активы и соответствие в System Center 2012 Configuration Manager:

Ориентированное на пользователей управление

Помимо коллекций устройств, есть еще коллекции пользователей, которые содержат пользователей из доменных служб Active Directory. Коллекции пользователей позволяют устанавливать программное обеспечение на всех компьютерах, на которые входит конкретный пользователь, или настраивать сопоставление пользователей и устройств, чтобы программное обеспечение устанавливалось только на основных устройствах, с которыми работает пользователь. Эти устройства называются основными или первичными. Пользователь может иметь одно или несколько основных устройств.

Один из способов, с помощью которых пользователи могут управлять своим взаимодействием с системой при развертывании программного обеспечения, является использование нового клиентского интерфейса — центра программного обеспечения. Центр программного обеспечения автоматически устанавливается на клиентских компьютерах и доступен пользователям через меню "Пуск". Этот клиент позволяет пользователям управлять своим ПО, а также делать следующее:

  • Установка программного обеспечения.

  • Планирование автоматической установки программного обеспечения в нерабочие часы.

  • Настройка того, когда именно Configuration Manager может устанавливать программное обеспечение на устройстве.

  • Настройка параметров доступа для удаленного управления, если удаленное управление включено в Configuration Manager.

  • Настройка параметров управления питанием, если пользователь с правами администратора разрешил это действие.

Ссылка в центре программного обеспечения позволяет пользователям подключиться к каталогу приложений для обзора, установки и запроса программного обеспечения. Кроме того, с помощью каталога приложений пользователи могут настраивать некоторые параметры и очищать свои мобильные устройства. Поскольку каталог приложений представляет собой веб-сайт, размещенный в IIS, пользователи могут также обращаться к нему напрямую через браузер, из интрасети или Интернета.

Кроме того, пользователи могут указывать свои первичные устройства в каталоге приложений, если пользователь с правами администратора разрешит это. К другим методам настройки параметров сопоставления пользователей и устройств относятся импорт этих параметров из файла и автоматическая их установка по данным об использовании.

Дополнительные сведения см. в следующих разделах руководства Развертывание программного обеспечения и операционных систем в System Center 2012 Configuration Manager:

Параметры клиента

При первой установке System Center 2012 Configuration Manager на всех клиентах в иерархии устанавливаются параметры по умолчанию, которые можно изменить. Они включают в себя параметры конфигурации, определяющие, как часто устройства связываются с сайтом, разрешено ли обновлять программное обеспечение на клиенте и выполнять другие операции управления, а также могут ли пользователи регистрировать свои мобильные устройства для управления с помощью Configuration Manager. Если требуется задать другие параметры клиента для группы пользователей или устройств, можно создать пользовательские параметры клиента и назначить их соответствующим коллекциям. Эти пользовательские параметры будут установлены для пользователей или устройств, входящих в данные коллекции. Можно создать несколько наборов пользовательских параметров клиента, которые будут применяться в заданном порядке. Если имеется несколько наборов пользовательских параметров клиента, они применяются в соответствии с порядковым номером. При возникновении конфликтов параметр с меньшим порядковым номером переопределяют остальные параметры.

На следующей диаграмме показан пример того, как можно создать и применить настраиваемые параметры клиента.

Параметры клиента

Дополнительные сведения см. в следующих разделах руководства Развертывание клиентов для System Center 2012 Configuration Manager:

Ограниченное управление без клиентов

В System Center 2012 Configuration Manager клиентское программное обеспечение комплексное управление для пользователей и устройств. Однако существуют два способа управления устройствами независимо от клиентского ПО: использование аппаратного контроллера управления с применением технологии Intel AMT и использование мобильных устройств, подключенных к службам Exchange, таким как локальный сервер Exchange Server или Exchange Online (Office 365).

Configuration Manager использует клиентское программное обеспечение для подготовки и настройки компьютеров для AMT, но при выполнении операций управления AMT клиентское ПО не используется. Configuration Manager подключается непосредственно к контроллеру управления AMT. Это означает, что у пользователя сохраняется некоторый контроль над управлением компьютерами, которые не загружены или не отвечают на запросы на уровне операционной системы. Например, можно перезагрузить эти компьютеры, переустановить на них ОС из образа или запустить на них диагностические служебные программы для устранения неполадок.

Когда нет возможности установить клиентское программное обеспечение Configuration Manager на мобильных устройствах, ими можно управлять через соединитель Exchange Server. Этот соединитель позволяет настраивать параметры политики почтовых ящиков ActiveSync по умолчанию в Exchange. Все параметры, заданные в этой политике, могут настраиваться Configuration Manager. Данный соединитель также поддерживает удаленную очистку и правила доступа Exchange для блокировки мобильного устройства или помещения его в карантин. Любое мобильное устройство, управление которым производится через соединитель Exchange Server, отображается в коллекции Все мобильные устройства, даже хотя на нем не установлен клиент System Center 2012 Configuration Manager. Поскольку клиент не установлен, развертывание программного обеспечения на этих устройствах невозможно.

Дополнительные сведения см. в следующих разделах руководств Активы и соответствие в System Center 2012 Configuration Manager и Развертывание клиентов для System Center 2012 Configuration Manager:

Задачи управления клиентом

После установки клиентов Configuration Manager можно выполнять различные задачи управления клиентом, которые включают в себя следующее.

  • Развертывание приложений, обновлений программного обеспечения, сценариев обслуживания и операционных систем. Можно запланировать их установку на заданные дату и время или предоставить пользователям возможность установки по запросу, а также настроить приложения для удаления.

  • Защита компьютеров от вредоносного ПО и угроз безопасности, а также оповещение пользователя при обнаружении проблем.

  • Задание параметров конфигурации клиента, которые требуется отслеживать и исправлять в случае несоответствия.

  • Выполните сбор данных инвентаризации оборудования и программного обеспечения, включая мониторинг и согласование сведений о лицензировании от Майкрософт.

  • Устраните неполадки на компьютерах, используя удаленное управление или с помощью операций AMT на компьютерах с технологией AMT, не отвечающих на запросы.

  • Примените параметры управления питанием и осуществляйте мониторинг энергопотребления компьютеров.

Вы можете использовать консоль Configuration Manager для мониторинга этих операций в режиме, приближенном к реальному времени, используя оповещения и сведения о состоянии. Для захвата данных и формирования трендов можно использовать встроенные функции составления отчетов, имеющиеся в службах SQL Reporting Services.

Чтобы обеспечить непрерывность управления клиентами System Center 2012 Configuration Manager, следует использовать сведения о состоянии клиентов, содержащие данные о работоспособности клиента и его активности. Эти данные помогают определить, какие компьютеры не отвечают на запросы, и в некоторых случаях автоматически устранить неполадки.

Дополнительные сведения см. в следующих разделах руководств Развертывание клиентов для System Center 2012 Configuration Manager и Администрирование сайтов для System Center 2012 Configuration Manager:

Configuration Manager (панель управления Windows)

При установке клиента Configuration Manager происходит установка приложения клиента Configuration Manager в панели управления. В отличие от центра программного обеспечения это приложение разработано для службы поддержки, а не для конечных пользователей. Для некоторых параметров конфигурации требуются локальные административные разрешения, а большая часть параметров требует технических знаний о том, как работает Configuration Manager. Это приложение может использоваться для выполнения следующих задач в отношении отдельного клиента:

  • Просмотрите свойства клиента, например, номер сборки, назначенный сайт, точка управления, с которой он связывается, а также сведения о том, какой сертификат используется – PKI-сертификат или самоподписанный сертификат.

  • Убедитесь, что клиент успешно загрузил политику клиента после ее первой установки, и что параметры клиента включены или отключены по умолчанию, в соответствии с параметрами клиента, настроенными в консоли Configuration Manager.

  • Инициируйте действия клиента, например загрузку политики клиента, если недавно произошло изменение конфигурации в консоли Configuration Manager, и вы не намерены дожидаться следующего запланированного в расписании действия.

  • Вручную назначьте клиента сайту Configuration Manager или попытайтесь найти сайт и укажите DNS-суффикс точек управления, публикующих данные в DNS.

  • Настройте кэш клиента, в котором периодически сохраняются файлы, и удалите файлы из кэша, если требуется дополнительное пространство для установки программного обеспечения.

  • Настройте параметры управления интернет-клиентами.

  • Просмотрите основные параметры конфигурации, развернутые на клиенте, инициируйте оценку соответствия и просмотрите отчеты о соответствии.

Безопасность

Система безопасности System Center 2012 Configuration Manager состоит из нескольких уровней. Прежде всего, Windows предоставляет множество функций по обеспечению безопасности как для операционной системы, так и для сети (см. список ниже).

  • Общий доступ к файлам для передачи файлов между компонентами System Center 2012 Configuration Manager

  • Списки управления доступом (ACL) для защиты файлов и разделов реестра

  • IPsec для защиты обмена данными

  • Групповая политика для настройки политики безопасности

  • Разрешения DCOM для распределенных приложений, таких как консоль Configuration Manager.

  • Доменные службы Active Directory для хранения участников безопасности

  • Безопасность учетной записи Windows, включая некоторые группы, создаваемые в процессе установки System Center 2012 Configuration Manager.

Дополнительные компоненты безопасности, например брандмауэры и системы обнаружения вторжений, помогают обеспечить всестороннюю защиты среды. Сертификаты, изданные в реализациях инфраструктуры открытых ключей, обеспечивают проверку подлинности, подписание и шифрование.

System Center 2012 Configuration Manager управляет доступом к консоли Configuration Manager несколькими способами. По умолчанию только локальные администраторы имеют права в отношении файлов и ключей реестра, необходимых для запуска консоли Configuration Manager на компьютерах, где она установлена.

Следующий уровень безопасности основан на доступе через инструментарий управления Windows (WMI), в частности, это относится к поставщику SMS. К поставщику SMS по умолчанию имеют доступ только члены локальной группы "Администраторы SMS". Эта группа изначально содержит только пользователя, установившего System Center 2012 Configuration Manager. Чтобы предоставить другим учетным записям разрешение на доступ к репозиторию CIM и поставщику SMS, следует добавить в группу "Администраторы SMS" другие учетные записи.

Последний уровень безопасности – это разрешения для объектов в базе данных сайта. По умолчанию локальная системная учетная запись и учетная запись, использованная для установки System Center 2012 Configuration Manager, имеют доступ к администрированию всех объектов в базе данных сайта. Можно предоставлять и отменять разрешения для дополнительных административных пользователей в консоли Configuration Manager, используя администрирование на основе ролей.

Дополнительные сведения см. в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.

Администрирование на основе ролей

В System Center 2012 Configuration Manager используется администрирование на основе ролей, позволяющее обеспечить безопасность таких объектов как коллекции, развертывания и сайты. Эта модель администрирования централизованно определяет и управляет параметрами безопасности в масштабе иерархии для всех сайтов и параметров сайтов. Роли безопасности назначаются административным пользователям и объединяют разрешения в отношении различных типов объектов Configuration Manager, например разрешения на создание и изменение параметров клиентов. Области безопасности группируют конкретные экземпляры объектов, которыми должен управлять пользователь с правами администратора, например, приложение, устанавливающее Microsoft Office 2010. Сочетание ролей безопасности, областей безопасности и коллекций определяет объекты, которые пользователь с правами администратора может просматривать и которыми он может управлять.System Center 2012 Configuration Manager устанавливает некоторые роли безопасности по умолчанию для типичных задач управления. Однако можно также создавать свои собственные роли безопасности, соответствующие определенным бизнес-требованиям.

Дополнительные сведения см. в следующих разделах руководства Администрирование сайтов для System Center 2012 Configuration Manager:

Обеспечение безопасности клиентских конечных точек

Подключения клиентов к ролям систем сайта защищаются с помощью самозаверяющих сертификатов, либо посредством сертификатов инфраструктуры открытых ключей (PKI). Клиентские компьютеры, обнаруженные Configuration Manager в Интернете, и клиенты мобильных устройств должны использовать PKI-сертификаты, чтобы обеспечить защиту клиентских конечных точек с помощью протокола HTTPS. Роли систем сайта, к которым подключаются клиенты, могут быть настроены на соединение с клиентами по протоколам HTTPS или HTTP. Клиентские компьютеры всегда соединяются с использованием наиболее защищенного доступного метода, и менее защищенный метод с использованием протокола HTTP применяется в интрасети только в том случае, если имеются роли систем сайта, разрешающие соединения по протоколу HTTP.

Дополнительные сведения см. в следующих разделах руководства Администрирование сайтов для System Center 2012 Configuration Manager:

Учетные записи и группы Configuration Manager

System Center 2012 Configuration Manager использует локальная системную учетную запись для большей части операций сайта. Однако некоторые задачи управления могут потребовать создания и обслуживания дополнительных учетных записей. Несколько групп по умолчанию, а также роли SQL Server создаются при установке. Однако, возможно, понадобится вручную добавить учетные записи компьютеров или пользователей в эти группы и роли по умолчанию.

Дополнительные сведения см. в подразделе Техническая справка по учетным записям, используемым в Configuration Manager руководства Администрирование сайтов для System Center 2012 Configuration Manager.

Конфиденциальность

Продукты для управления предприятием дают много преимуществ, позволяя эффективно управлять большим числом клиентов. Однако следует также иметь в виду, что это программное обеспечение может повлиять на конфиденциальность пользователей в организации. В System Center 2012 Configuration Manager имеется много средств для сбора данных и наблюдения за устройствами, и по некоторым из них могут возникнуть вопросы, касающиеся соблюдения конфиденциальности.

Например, при установке клиента System Center 2012 Configuration Manager многие параметры управления включены по умолчанию. В результате клиентское ПО отправляет данные на сайт Configuration Manager. Сведения о клиентах сохраняются в базе данных Configuration Manager и не отправляются в Майкрософт. Перед установкой System Center 2012 Configuration Manager следует проанализировать требования к конфиденциальности.

Дополнительные сведения см. в руководстве Безопасность и конфиденциальность System Center 2012 Configuration Manager.