Для правильного взаимодействия System Center Essentials 2010 с другими компонентами, запущенными в операционных системах Windows, требуется внести некоторые изменения на сервере управления Essentials, управляемых компьютерах и любом другом удаленном компьютере, на котором запущен такой компонент Essentials, как удаленная консоль или удаленная база данных. Способ внесения изменений зависит от того, какие учетные данные использовались для регистрации на таких компьютерах: администратора домена или администратора групповой политики.

Групповая политика

Если при конфигурировании Essentials 2010 можно зарегистрироваться с помощью учетных данных администратора домена или администратора групповой политики, то можно выбрать вариант групповой политики домена и все компьютеры, на которых запущены компоненты или агенты Essentials, конфигурируются автоматически.

В случае выбора варианта групповой политики Essentials 2010 выполняет в домене следующие изменения:

  • Создается группа безопасности Active Directory.

  • К этой группе безопасности Active Directory добавляется сервер управления Essentials.

  • Создаются два объекта групповой политики.

    • Один из них предназначен для всех компьютеров в домене и содержит сертификаты протокола SSL и служб обновления Windows Server Update Services, а также исключения брандмауэра Windows.

    • Другой объект групповой политики предназначен для управляемых компьютеров Essentials. Этот объект групповой политики применяется к группе безопасности Active Directory, созданной Essentials 2010, и содержит параметры, имеющие отношение к агенту Центра обновления Windows, безагентному отслеживанию исключений и удаленному помощнику.

  • Создается объект на уровне домена, управляемые компьютеры System Center Essentials (группа безопасности Active Directory).

  • Создается объект на уровне домена, групповая политика управляемых компьютеров System Center Essentials, и добавляется к списку управления доступом этой группы управляемых компьютеров System Center Essentials.

  • Создается объект на уровне домена, политика всех компьютеров System Center Essentials. Эта групповая политика объекта применяется к компьютерам домена.

Кроме того, в случае выбора варианта групповой политики Essentials 2010 вносит изменения, описанные в следующей таблице.

На сервере управления Essentials На управляемых компьютерах
  • Essentials 2010 проверяет, настроен ли SSL-сертификат на веб-сайте служб Windows Server Update Services, и если такой сертификат отсутствует, создает и настраивает новый сертификат.

  • Essentials 2010 проверяет, настроен ли сертификат служб Windows Server Update Services на сервере управления Essentials, а также создает и настраивает новый сертификат в случае, если этот сертификат отсутствует.

  • Для безагентного отслеживания исключений создается общая папка и список управления доступом, чтобы предоставить домену и пользователям домена доступ на запись.

  • Для безагентного отслеживания исключений настраивается порт HttpListener (порт 51906) с помощью того же SSL-сертификата, что используется на веб-сайте служб Windows Server Update Services. Затем для этого порта включается поддержка SSL и WindowsAuth.

  • Сведения о прокси настраиваются на сервере служб Windows Server Update Services и сервере управления Essentials.

  • Нет (управляемые компьютеры получают все необходимые настройки посредством групповой политики).

Примечание
При включении компьютера в группу безопасности Active Directory автоматически выполняется задача, обновляющая сведения о членстве этого компьютера в группах.

Локальная политика

Если во время настройки Essentials 2010 нет возможности войти в систему с помощью учетных данных администратора домена или администратора групповой политики, используется локальная политика. Если на компьютерах среды используется брандмауэр Windows или брандмауэр другого поставщика, то на сервере управления Essentials и управляемых компьютерах необходимо создать исключения брандмауэра. Кроме того, необходимо импортировать два сертификата на любом компьютере с установленной удаленной консолью Essentials, если управление им одновременно с этим не осуществляется с помощью сервера управления Essentials. Дополнительные сведения см. в разделе Использование сертификатов.

В случае выбора варианта локальной политики Essentials 2010 вносит изменения, описанные в следующей таблице.

На сервере управления Essentials На управляемых компьютерах
  • Essentials 2010 проверяет, настроен ли SSL-сертификат на веб-сайте служб Windows Server Update Services, и если такой сертификат отсутствует, создает и настраивает новый сертификат.

  • Essentials 2010 проверяет, настроен ли сертификат служб Windows Server Update Services на сервере управления Essentials, и, если такой сертификат отсутствует, создает и настраивает новый сертификат.

  • Для безагентного отслеживания исключений создается общая папка и список управления доступом, чтобы предоставить домену и пользователям домена доступ на запись.

  • Для безагентного отслеживания исключений настраивается порт HttpListener (порт 51906) с помощью того же SSL-сертификата, что используется на веб-сайте служб Windows Server Update Services. Затем для этого порта включается поддержка SSL и WindowsAuth.

  • Сведения о прокси настраиваются на сервере служб Windows Server Update Services и сервере управления Essentials.

  • Следующие сертификаты экспортируются в папку <EssentialsFolder>\Certificates:

    • WSUSCodeSigning.cer

    • WSUSSSL.cer

  • В пакете управления System Center Essentials активируется правило SCE_ConfigureAgentCertPolicy.

  • Для правила "LocalPolicyConfig" задаются значения свойств имени сервера управления Essentials и общего файлового ресурса безагентного отслеживания исключений.

  • Когда установка агента завершится, будет запущено правило SCE_ConfigureAgentCertPolicy из пакета управления System Center Essentials, которое выполнит настройку компьютера.

См. также