站点:
初次安装 System Center 2012 R2 Configuration Manager时,你将创建一个 Configuration Manager 站点,该站点是从中管理企业中的设备和用户的基础。此站点是管理中心站点或主站点。管理中心站点适合于大规模部署,并能集中管理和灵活地支持分布在全局网络基础架构中的设备。主站点适合于较小的部署,并且其用于适应企业的任何将来增长的选项较少。
在安装管理中心站点时,你还必须至少安装一个主站点来管理用户和设备。利用此设计,你可以安装其他主站点来管理更多设备,以及在设备位于不同地理位置中时控制网络带宽。你还可以安装称为辅助站点的另一种类型的站点。辅助站点对主站点进行扩展,以便管理通过慢速网络连接到主站点的一些设备。
如果未安装管理中心站点,则你安装的第一个站点是独立主站点。默认情况下,你无法安装可相互通信的其他主站点。不过,如果你必须对通过慢速网络连接到主站点的一些设备进行管理,你仍然能够安装一个或多个辅助站点来扩展此主站点。
下图显示System Center 2012 R2 Configuration Manager站点拓扑信息
站点系统服务器和站点系统角色:
为 System Center 2012 R2 Configuration Manager扩展 Active Directory 架构,可以将 System Center 2012 R2 Configuration Manager 站点发布到 ActiveDirectory 域服务,以便 Active Directory 计算机能够安全地从受信任来源检索 System Center 2012 R2 Configuration Manager站点信息。尽管对于基本 Configuration Manager 功能无需将站点信息发布到Active Directory 域服务,但此配置可提高System Center 2012 R2 Configuration Manager 层次结构的安全性并减少管理开销。
可以在安装System Center 2012 R2 Configuration Manager之前或之后扩展 Active Directory 架构。还必须在包含System Center 2012Configuration Manager 站点的每个域中创建一个名为System Management的 Active Directory 容器,然后才能发布站点信息。必须配置Active Directory 权限,以便站点能够将其信息发布到此 Active Directory 容器。如同所有架构扩展一样,你只为每个林扩展 System Center 2012Configuration Manager 架构一次。
将站点信息发布到Active Directory域服务:
Configuration Manager 使用站点系统角色来支持每个站点上的管理操作。在安装 Configuration Manager 站点时,会自动安装某些站点系统角色并将其分配给已成功运行 Configuration Manager 安装程序的服务器。这些站点系统角色之一是站点服务器,你无法将其传输到另一个服务器或在不卸载站点的情况下将其删除。你可以使用其他服务器来运行其他站点系统角色,或通过安装和配置 Configuration Manager 站点系统服务器来从站点服务器中传输某些站点系统角色。
每个站点系统角色支持不同的管理功能。详见:
站点服务器:从中运行Configuration Manager 安装程序并提供站点核心功能的计算机。
站点数据库服务器:承载SQL Server 数据库的服务器,它存储有关 Configuration Manager 资产和站点数据的信息。
组件服务器:运行Configuration Manager 服务的服务器。当你安装除分发点角色之外的所有站点系统角色时,Configuration Manager 将自动安装组件服务器。
管理点:一种站点系统角色,该角色向客户端提供策略和服务位置信息,并从客户端接收配置数据。
分发点:一种站点系统角色,其中包含供客户端下载的源文件,例如应用程序内容、软件包、软件更新、操作系统映像以及启动映像。
Reporting Services 点:与 SQL Server Reporting Services 集成的一种站点系统角色,用于为Configuration Manager 创建和管理报表。
当公司首次在生产环境中部署 Configuration Manager 时,它们通常在站点服务器上运行多个站点系统角色,并为分发点使用额外的站点系统服务器。然后,它们依据其业务要求和网络基础结构安装其他站点系统服务器并添加新的站点系统角色。下面列出了对于特定功能你可能需要的其他站点系统角色。
应用程序目录 Web 服务点:一种站点系统角色,该角色从软件库中向应用程序目录网站提供软件信息。
应用程序目录网站点:一种站点系统角色,该角色从应用程序目录中向用户提供可用软件的列表。
资产智能同步点:一种站点系统角色,用于连接到 Microsoft 以下载资产智能目录信息并上载未分类的标题,以便将来可考虑将它们包括在目录中。
Endpoint Protection 点:一种站点系统角色,Configuration Manager 使用该角色来接受 Endpoint Protection 许可条款并为 Microsoft Active Protection Service 配置默认成员身份。
证书注册点:一种站点系统角色,该角色与运行网络设备注册服务的服务器通信以管理使用简单证书注册协议 (SCEP) 的设备证书请求。
注册点:一种站点系统角色,该角色使用 Configuration Manager 的 PKI 证书来注册移动设备和Mac 计算机,并设置基于 Intel AMT 的计算机。
注册代理点:一种站点系统角色,用于管理来自移动设备和 Mac 计算机的 Configuration Manager 注册请求。
回退状态点:一种站点系统角色,该角色可帮助你监视客户端安装并确定因无法与其管理点通信而不受管理的客户端。
带外服务点:一种站点系统角色,用于针对带外管理设置和配置基于 Intel AMT 的计算机。
软件更新点:一种站点系统角色,该角色与 Windows Server Update Services (WSUS) 集成以向Configuration Manager 客户端提供软件更新。
状态迁移点:在计算机迁移到新操作系统时存储用户状态数据的站点系统角色。
系统健康验证程序点:一种用于验证 Configuration Manager 网络访问保护 (NAP) 策略的站点系统角色。 它必须安装在 NAP 健康策略服务器上。
Windows Intune 连接器:Configuration Manager SP1 中的一种站点系统角色,该角色使用Windows Intune 在 Configuration Manager 控制台中管理移动设备。
下图显示了你可添加到站点服务器计算机或通过安装其他站点系统服务器进行分发的这些基本站点系统角
客户端:
System Center 2012 R2 Configuration Manager客户端是安装了 Configuration Manager 客户端软件以便你能够对其进行管理的一些设备,例如工作站、便携式计算机、服务器和移动设备。管理包括诸如报告硬件和软件清单信息、安装软件以及配置符合性所需的设置等操作。 Configuration Manager 提供了一些发现方法,你可以使用这些方法在网络上找到设备,以帮助你在这些设备上安装客户端软件。
Configuration Manager 提供了若干用于在设备上安装客户端软件的选项。这些选项包括客户端请求安装、基于软件更新的安装、组策略以及手动安装。你还可以在部署操作系统映像时包括客户端。
Configuration Manager 使用集合对设备进行分组,以便你能够对共享一组公用条件的多个设备执行管理任务。例如,你可能希望在通过 Configuration Manager 注册的所有移动设备上安装移动设备应用程序。如果是这种情况,你可以使用“所有移动设备”集合,该集合会自动排除计算机。你可以依据业务需求创建自己的集合,以对你管理的设备进行逻辑分组。
以用户为中心的管理:
除了设备集合外,还有一些用户集合,其中包含 Active Directory 域服务中的用户。利用用户集合,你可以在用户登录到的所有计算机上安装软件,或者可以配置用户设备相关性,以便软件仅安装在用户使用的主要设备上。这些主要设备称为主设备。用户可以有一个或多个主设备。用户可对其软件部署体验进行控制的方式之一是使用新的计算机客户端接口:软件中心。软件中心自动安装在客户端计算机上,通过用户的“开始”菜单访问。此客户端接口使用户能管理自己的软件,以及执行下列操作:
安装软件
将软件安排为在工作时间之外自动安装
配置 ConfigurationManager 可在其设备上安装软件的时间
配置远程控制的访问权限设置(如果在Configuration Manager 中启用了远程控制)
配置电源管理的选项(如果管理用户启用了此项)
利用软件中心中的链接,用户可以连接到应用程序目录,在该目录中,用户可以浏览、安装和请求软件。此外,应用程序目录使用户能够配置某些首选项设置和擦除其移动设备。由于应用程序目录是 IIS 中承载的一个网站,因此用户还可以通过浏览器从 Intranet 或 Internet 中直接访问应用程序目录。用户还可以从应用程序目录中指定其主设备(如果你允许此配置)。配置用户设备相关性信息的其他方法包括从文件中导入信息,以及依据使用情况数据自动生成。
客户端设置
在初次安装 System Center 2012 R2Configuration Manager 时,将通过使用你可更改的默认客户端设置配置层次结构中的所有客户端。这些客户端设置包括诸如以下配置选项:设备与站点通信的频率、是否为软件更新和其他管理操作启用了客户端,以及用户是否能注册其移动设备以通过 Configuration Manager 进行管理。如果对于用户或设备组你需要不同的客户端设置,你可以创建自定义客户端设置,然后将这些设置分配给集合。集合中的用户或设备将配置为具有自定义设置。你可以创建多个自定义客户端设置,并且这些设置按你指定的顺序应用。如果有多个自定义客户端设置,则会依据其序号应用这些设置。如果存在任何冲突,则具有最低序号的设置优先于其他设置。下图显示了你如何能创建和应用自定义客户端设置的示例。
不含客户端的有限管理
System Center 2012 R2 Configuration Manager客户端软件为用户和设备提供完整的管理功能。但是,在下列两种情况下,你可以独立于客户端软件来管理设备:使用 Intel 主动管理技术 (AMT) 的带外管理,以及连接到 Exchange 服务(例如本地 Exchange Server 或 Exchange Online(Office 365))的移动设备。
Configuration Manager 使用客户端软件为 AMT 设置和配置计算机,但是,在你执行 AMT 管理操作时,不会使用客户端软件。此时 Configuration Manager 会直接连接到 AMT 管理控制器。这就意味着,你将在一定程度上继续控制着未启动的或者在操作系统级别上未响应的计算机的管理。例如,可以重新启动这些计算机,将它们重新映像化,或者运行诊断实用程序以帮助解决它们的问题。
如果无法在移动设备上安装 Configuration Manager 客户端软件,则仍然可以使用Exchange Server 连接器来管理这些设备。此连接器可让你配置默认的 Exchange ActiveSync 邮箱策略中的设置。Configuration Manager 可以配置在此策略中定义的任何设置,而且,此连接器还支持远程擦除以及有关阻止和隔离的 Exchange 访问规则。你使用 Exchange Server 连接器管理的任何移动设备均显示在“所有移动设备”集合中,即使设备没有安装 System Center 2012 R2 Configuration Manager客户端也是如此。由于没有安装客户端,因此,无法将软件部署到这些设备。
客户端管理任务
安装了 Configuration Manager 客户端之后,你可以执行不同的客户端管理任务,包括:
部署应用程序、软件更新、维护脚本和操作系统。可以将它们配置为在指定的日期和时间安装,或者在用户请求时将它们提供给用户安装。还可以配置要卸载的应用程序。
帮助计算机抵御恶意软件和安全威胁,并在检测到问题时通知你。
定义要监视并在违反符合性时修正的客户端配置的设置。
收集硬件和软件清单信息,包括来自Microsoft 的监视和协调许可证信息。
通过使用远程控制或对未响应的基于AMT 的计算机执行 AMT 操作,解决计算机的问题。
实施电源管理设置,以管理和监视计算机的功耗。
通过利用警报和状态信息,可以使用 Configuration Manager 控制台近似实时地监视这些操作。可以使用集成的 SQLReporting Services 报表功能来捕获数据和分析历史趋势。
Configuration Manager(Windows控制面板)
在安装 Configuration Manager 客户端时,会在“控制面板”中安装“ConfigurationManager”客户端应用程序。与软件中心不同的是,此应用程序是为技术支持工程师而不是最终用户设计的。某些配置选项需要本地管理权限,而且大部分选项都要求掌握有关 Configuration Manager 如何工作的技术知识。可以使用此应用程序在客户端上执行下列任务:
查看有关客户端的属性,例如内部版本号、为它分配的站点、它与之通信的管理点以及客户端使用的是 PKI 证书还是自签名证书。
确认在初次安装客户端后客户端已成功下载客户端策略,以及根据在 Configuration Manager 控制台中配置的客户端设置确认如期启用或禁用了客户端设置。
启动客户端操作。例如,如果最近在Configuration Manager 控制台中更改了配置,而你又不想等到下次计划时间,则可以启动下载客户端策略的操作。
手动将客户端分配到Configuration Manager 站点,或者尝试查找站点,然后为发布到 DNS 的管理点指定 DNS 后缀。
配置用于临时存储文件的客户端缓存,并且在需要更多磁盘空间来安装软件时删除缓存中的文件。
配置用于执行基于 Internet 的客户端管理的设置。
查看已部署到客户端的配置基线,启动符合性评估,以及查看符合性报告。
安全性
System Center 2012 R2 Configuration Manager的安全性由多个层次构成。首先,Windows 为操作系统和网络提供了许多安全功能,例如:
用于在System Center 2012 R2 Configuration Manager 组件之间传输文件的文件共享
帮助保护文件和注册表项的访问控制列表(ACL)
用于保护通信的 IPsec
用于设置安全策略的组策略
用于分布式应用程序的 DCOM 权限,例如 ConfigurationManager 控制台
用于存储安全主体的 ActiveDirectory 域服务
Windows 帐户安全,包括在 System Center 2012Configuration Manager 安装过程中创建的一些组
而附加的安全组件(例如防火墙和***检测)帮助为整个环境提供深层防御。由行业标准的 PKI 实现所颁发的证书帮助提供身份验证、签名和加密。
System Center 2012 R2 Configuration Manager通过多种方式控制对 Configuration Manager 控制台的访问。默认情况下,只有本地管理员才有权访问在安装了 Configuration Manager 控制台的计算机上运行此控制台所需的文件和注册表项。
下一个安全层建立在通过 Windows Management Instrumentation(WMI)(具体指 SMS 提供程序)进行的访问的基础上。默认情况下,只有本地 SMS 管理员组的成员才能访问 SMS 提供程序。此组最初仅包含安装了 System Center 2012 R2 Configuration Manager 的用户。若要向其他帐户授予对通用信息模型(CIM) 存储库和 SMS 提供程序的权限,请将这些帐户添加到 SMS 管理员组中。
最后一个安全层基于与站点数据库中的对象有关的权限。默认情况下,本地系统帐户和你用于安装 System Center 2012Configuration Manager 的用户帐户可以管理站点数据库中的所有对象。可以在 Configuration Manager 控制台中使用基于角色的管理向其他管理用户授予权限和限制其权限。
基于角色的管理
System Center 2012 R2 Configuration Manager使用基于角色的管理来帮助保护对象(例如集合、部署和站点)。此管理模式为所有站点和站点设置集中定义及管理层次结构范围的安全访问设置。会向管理用户分配安全角色,并向不同的 Configuration Manager 对象类型分配组权限,例如创建或更改客户端设置的权限。安全作用域将管理用户负责管理的特定对象实例(例如安装 Microsoft Office 2010 的应用程序)组合在一起。安全角色、安全作用域和集合的组合定义了管理用户可以查看和管理的对象。System Center 2012 R2 Configuration Manager会安装一些默认的安全角色,以执行常见的管理任务。但是,可以创建自己的安全角色,以满足你的特定业务需求。
保护客户端与站点系统角色的通信
通过使用自签名证书或者公钥基础结构 (PKI) 证书,可以保护客户端与站点系统角色的通信。Configuration Manager 检测到位于 Internet 上的计算机客户端和移动设备客户端必须使用 PKI 证书,以便可以使用 HTTPS 来保护客户端终结点。可以将客户端连接到的站点系统角色配置为进行 HTTPS 或 HTTP 客户端通信。客户端计算机始终会使用可用的最安全方法进行通信,而且仅在具有允许 HTTP 通信的站点系统角色时才会回退到在 Intranet 上使用最不安全的 HTTP 通信方法。
Configuration Manager账户和组
System Center 2012Configuration Manager 使用本地系统帐户来执行大部分站点操作。但是,某些管理任务可能需要创建和维护其他帐户。在安装过程中,会创建几个默认的组和 SQL Server 角色。但是,你可能要手动将计算机或用户帐户添加到这些默认的组和角色中。
本章节在编写的同时有参考微软Technet官网信息,详细请见:
http://technet.microsoft.com/en-us/library/gg682129.aspx