AD域中Altiris客户端安装方法

在向客户端推送Altiris Agent时,必须满足以下几方面的条件才可正常从控制台推送安装:

1、打开445(文件打印共享)端口:在系统防火墙中将文件和打印机共享进行例外(或者关闭系统防火墙);

wps_clip_image-27519

2、关闭“简单文件共享”(或者将本地安全策略中的“网络访问:本地帐户的共享和安全模式”设置为“经典-本地用户以自己的身份验证”);

wps_clip_image-2649

3、打开默认共享(IPC$、C$、ADMIN$)。

wps_clip_image-31625

当要安装Altiris Agent的所有客户端计算机都是AD域成员时,那么可以通过域组策略方式进行客户的设置,使所有要安装Altiris Agent的客户端计算机达到网络推送Altiris Agent的要求。

具体操作如下:

将所有要进行设置的客户端添加到一新建的OU中,然后在此OU上编辑组策略,不要把该策略应用到DC上,DC必须依赖于SYSVOL共享。

一、 组策略操作步骤:

1、 准备好脚本

注册表文件:通过导入此注册表文件修改注册表相关项来达到相应的目的。

关闭系统防火墙:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"

开启默认共享:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword: 00000001

"AutoShareServer"=dword:00000001

关闭简单共享:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

将这些数据编辑成一个注册表文件,然后通过Bat脚本文件来调用注入客户机的系统,从而达到修改的目的。

本例中的注册表文件如下(文件名为LiClient.reg):

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword: 00000001

"AutoShareServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

Bat脚本文件:如下(文件名为LiClient.bat):

@echo off

regedit  -s  LiClient.reg

@echo on

wps_clip_image-24746

2、 添加策略

2.1、打开DC中的“Active Directory 用户和计算机”,在要安装Altiris Agent的计算机所在的容器上新建一条组策略并进行编辑;

wps_clip_image-24933

2.2、打开“计算机配置”à“Windows设置”à“启动(启动/关机)” à“启动”,在弹出的“启动属性”窗口中点击“添加”按钮添加脚本,点击“浏览”,将第1步建立的两个文件拷贝到此文件夹中(或者点击“启动属性”窗口中的“显示文件”,将这两个文件拷贝到弹出的文件夹中,此目录即点击“浏览”按钮打开的文件夹),并选择“LiClient.bat”作为启动脚本,

wps_clip_image-75

当客户端在下次启动系统时就会执行此脚本,从而达到导入注册表文件“LiClient.reg”的目的。

2.3、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Server”服务,在弹出的“Server属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“自动”。

这项设置是为了保证客户端“Server”服务被启动(如果这个服务以及“Workstation”服务未启动,则网络服务无法提供,从而无法跟服务器进行网络连接。)

wps_clip_image-27652

2.4、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Workstation”服务,在弹出的“Server属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“自动”。

这项设置是为了保证客户端“Workstation”服务被启动(如果这个服务以及“Server”服务未启动,则网络服务无法提供,从而无法跟服务器进行网络连接。)

wps_clip_image-3209

2.5、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Windows Firewall/Internet Connection Sharing (ICS)”服务,在弹出的“Windows Firewall/Internet Connection Sharing (ICS)属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“禁用”。

这项设置是为了保证客户端“Windows Firewall/Internet Connection Sharing (ICS)”服务被禁用,即系统防火墙被关闭,防止防火墙阻止网络访问。

注:这项设置在导入了上面的注册表文件“LiClient.reg”中的关于防火墙的设置时也可以不进行设置。

wps_clip_image-2329

2.6、打开打开“计算机配置”à“Windows设置”à“安全设置”à“本地策略”à“安全选项”à“网络访问:本地帐户的共享和安全模式”,在弹出的“网络访问:本地帐户的共享和安全模式属性”窗口中勾选“定义这个策略设置”,并选择模式为“经典-本地用户以自己的身份验证”。

注:这项设置效果同注册表文件“LiClient.reg”中的“关闭简单共享”功能相同,在导入了此注册表文件的情况下,也可以不进行设置。

wps_clip_image-7551

2.7、在域控制器上进行域策略的刷新。

命令:gpupdate /force

wps_clip_image-5311

二、 安装Altiris客户端

1、 打开Altiris NS控制台à“配置”à“解决方案设置”à“Network Discovery”à“扫描组”à“默认扫描组”,配置好扫描设置(例如扫描的地址范围、要排除的地址、扫描计划等),应用设置后点击“立即扫描”进行设备的扫描。

wps_clip_image-22938

2、 打开Altiris NS控制台à“配置”à“解决方案设置”à“Network Discovery”à “搜索到的设备”,即可看搜索进度,在搜索完成后,会显示所有搜索到的设备(如计算机、网络打印机、交换机等),点击下面的“启用”按钮,即可对这些设备进行后继的操作(例如,安装Altiris Agent等)。

wps_clip_image-29541

3、 打开Altiris NS控制台à“配置”à“Altiris Agent”à“Altiris Agent转出”à“所有未安装Altiris Agent的Windows NT/2000/XP/2003/Vista/2008计算机”,即可查看刚才搜索到的所有未安装Altiris Agent的计算机。

wps_clip_image-29795

4、 打开Altiris NS控制台à“配置”à“Altiris Agent”à“Altiris Agent转出”à“Altiris Agent安装”,在此对搜索到的计算机进行“Altiris Agent”的推送安装。

wps_clip_image-12284

5、 打开Altiris NS控制台à“配置”à“Altiris Agent”à“Altiris Agent转出”à“所有装有Altiris Agent的Windows计算机”,可以查看安装情况。

wps_clip_image-1124

至此,Altiris Agent就已经安装好了。

注意:如果客户端禁用了“Server”及“Workstation”服务,则在登陆应用了此组策略后,这两个服务会修改为“自动”模式,但服务现在并没有启动,因此必须再次重新启动计算机来启动这两个服务(或手动进行服务的启动)。

附: 要在客户端不显示任何图标、无任何提示以及不在“添加/删除程序”列表中列出Altiris Agent”时,对于Altiris Agent的设置要注意以下几个地方。

1、 打开Altiris NS控制台à“配置”à“Altiris Agent”à“Altiris Agent转出”à“Altiris Agent安装”,在右侧窗口中的“安装设置”,设置针对上面显示框中搜索到的计算机的“Altiris Agent”安装选项。

wps_clip_image-26816

2、 打开Altiris NS控制台à“配置”à“Altiris Agent”à“Altiris Agent配置”à“所有Windows服务器(不包括Package Server)”(以及“所有Windows移动计算机”、“所有台式机(不包括Package Server)”),将“交互”设置页中的“在Altiris Agent计算机上显示系统托盘图标”、“当已计划的Software Delivery任务到达时通知用户(仅限5.x代理)”以及“当手动Software Delivery任务到达时通知用户(仅限5.x代理)”设置为不选择;将“运行Software Delivery任务前先通知”设置为“不要通知”。

wps_clip_image-29026

李政

2009-6-8

你可能感兴趣的:(防火墙,客户端,打印机,AD域,Altiris客户端)