通过

为网络访问保护确定管理员角色和流程

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

在生产环境中,实施网络访问保护 (NAP) 将需要与整个企业内许多不同的组交互与协作。例如,这些组包括:

  • Active Directory 域服务架构师,负责指定哪个林将用于发布 NAP 健康状况引用,以及使用 Configuration Manager 2007 架构扩展来扩展架构。

  • Active Directory 域服务服务管理员,负责扩展架构并为系统管理容器配置所需的安全权限。同一管理员还可能负责创建或识别在配置系统健康验证程序点和 NAP 策略时要使用的 Windows 安全帐户或组。

  • 基础结构架构师,负责设计支持网络访问保护所需的网络和服务器体系结构,包括决定将使用哪种强制技术。

  • 公钥基础结构 (PKI) 专家,负责提供证书服务(如果将 IPSec 强制解决方案与网络访问保护配合使用)。

  • Windows Server 管理员,负责构建和配置网络策略服务器以及支持 Windows 服务。

  • 防火墙管理员,负责在支持网络访问保护所需的防火墙和网络设备上进行配置更改。

  • 安全顾问,帮助确定为 NAP 强制选择软件更新所依据的条件、将强制它们的日期以及是否限制不符合的计算机直至它们符合为止。

  • 内部 Web 设计员,负责为受限网络上修正失败的计算机构建全面的疑难解答网站。

  • 咨询台工程师,负责接听由于其计算机访问受到限制或者修正失败而无法访问网络的用户的呼叫。

  • Configuration Manager 软件分发管理员,负责将运行 Windows XP 的受支持版本的客户端升级到 Windows XP Service Pack 3,以便这些客户端可以支持网络访问保护。

  • Configuration Manager 软件更新管理员,负责配置软件更新点和在分发点上创建软件更新包。

  • Configuration Manager 管理员,负责配置系统健康验证程序点、配置网络访问保护客户端代理,然后配置和监视 Configuration Manager NAP 策略。

  • 需要就网络访问保护过程以及如果遇到问题时执行什么操作接受培训和接收通知的最终用户。

由于网络访问保护解决方案涉及很多角色,成功实施将依赖于确定谁负责各种角色并确保必要时组之间的协作。持续成功实施依赖于识别和遵循协调角色之间的各种功能的过程。

在生产环境中实施网络访问保护时没有或不遵循定义的过程的某些后果如下:

  • 咨询台忙于处理收到网络访问保护消息和错误的用户的呼叫。

  • 生产效率下降以及缺少截止时间,因为用户不能访问所需的网络资源。

  • IT 服务的满意程度下降并且不符合服务级别协议 (SLA)。

  • 不正确地为不符合计算机授予完全网络访问权限,并使企业资源面临风险。

使用 ITIL 或 Microsoft Operations Framework (https://go.microsoft.com/fwlink/?LinkId=88047)(页面可能为英文)之类的方法来帮助您在定义的过程框架中实施网络访问保护。请确保记录您的设计、测试过程、职责范围以及配置策略、进行修正和疑难解答要遵循的过程,然后传播此信息,以确保集中提供并更新此信息。

备注

检查现有的公司安全策略,如有必要,修改它们以包括网络访问保护实施。公司安全策略通常采用下游过程来强制策略符合性。

Configuration Manager 中的角色分离

当您确定 Configuration Manager 中网络访问保护所需的角色时,软件更新与网络访问保护之间存在潜在的重叠。这两个角色可以组合也可以分离,具体取决于您的业务要求。通常,较小的组织组合这两个角色,但某些组织希望分离这两个角色。Configuration Manager 中的网络访问保护角色甚至可以与产品外部的其他角色组合,例如网络策略服务器管理员或安全管理员。

Configuration Manager 2007 中软件更新和网络访问保护的角色分离通过在 Configuration Manager 控制台中具有网络访问保护的独立节点而受支持。使用“网络访问保护”节点的属性上的“安全”选项卡来指定特定用户或组对 Configuration Manager 中与网络访问保护相关的任务具有的权限。然后使用“软件更新”节点的属性上的“安全”选项卡来使得网络访问保护管理员无权访问软件更新。此配置结果如下:

  • 网络访问保护管理员可以在“网络访问保护”节点中查看结果网络访问保护统计信息。

  • 网络访问保护管理员可以创建、查看、修改和删除 NAP 策略。

  • 网络访问保护管理员不能创建、查看、修改或删除软件更新部署、包或模板。

由于“策略”节点也有自己的“安全”选项卡,因此您可以进一步改进权限以控制哪些网络访问保护管理员可以查看、创建、修改和删除 NAP 策略。

但是,由于您可以在部署软件更新向导中配置为 NAP 评估启用的软件更新,并配置为打包更新的属性,您不能阻止软件更新管理员也从“软件更新”节点配置 Configuration Manager NAP 策略。

如果您正在 Configuration Manager 中使用角色分离,则也可能需要配置安全性,以便网络访问管理员可以访问“报表节点”,从而运行类别为“网络访问保护”的报表。

仅在 Configuration Manager 2007 中管理网络访问保护的管理员不需要访问集合,因为 Configuration Manager NAP 策略自动将目标确定为分配到站点的所有客户端。

有关 Configuration Manager 中网络访问保护的安全权限的详细信息,请参阅网络访问保护安全权限

另请参阅

概念

管理员工作流:为 Configuration Manager 配置网络访问保护
关于网络访问保护中的 NAP 健康状况引用
关于网络访问保护中的系统健康验证程序点
关于网络访问保护过程

其他资源

管理员清单:为 Configuration Manager 配置网络访问保护
规划网络访问保护

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。