Informationen zum Netzwerkzugriffsschutz-Prozess

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden wird erklärt, wie der Configuration Manager 2007-Netzwerkzugriffsschutz (Network Access Protection, NAP) zum Schutz Ihres Netzwerks mit Configuration Manager 2007 und dem Windows-Netzwerkzugriffsschutz interagiert.

Netzwerkzugriffsschutz mithilfe von Softwareupdates

NAP-fähige Configuration Manager 2007-Clients können bewerten, ob sie mit den von Ihnen ausgewählten Softwareupdates kompatibel sind oder nicht.

Configuration Manager 2007-Clients versenden diese Informationen als SoH (Statement of Health), das der Configuration Manager 2007-Systemintegritätsprüfung in der Configuration Manager 2007-Rolle „Systemintegritätsprüfungspunkt“ vorgelegt wird.

Der Systemintegritätsprüfungspunkt ist auf einem Computer installiert, auf dem Windows Server 2008 mit der Rolle „Netzwerkrichtlinienserver“ ausgeführt wird. Er überprüft, ob der Clientcomputer kompatibel oder nicht kompatibel ist, und gibt den Integritätszustand dieses Computers an den Windows-Netzwerkrichtlinienserver weiter.

Erzwingen der Kompatibilität mit Softwareupdates auf dem Netzwerkrichtlinienserver

Der Windows-Netzwerkrichtlinienserver ist mit Richtlinien konfiguriert, die die Aktion für Computer bestimmen, von denen bekannt ist, dass sie kompatibel, nicht kompatibel oder nicht in der Lage sind, NAP zu unterstützen (nicht NAP-fähig).

Wenn der Integritätszustand eines NAP-fähigen Clients nicht bestimmt werden kann, wird dies als Fehlerbedingung angesehen. Standardmäßig sind alle Fehlerbedingungen dem Zustand „nicht kompatibel“ zugeordnet. Sie sind jedoch in fünf Kategorien unterteilt, und jede Kategorie kann so konfiguriert werden, dass sie dem Zustand „kompatibel“ oder dem Zustand „nicht kompatibel“ zugeordnet wird.

Der Netzwerkrichtlinienserver kann auf der Basis des Integritätszustands des Computers folgende Aktionen ausführen:

  • Einschränken des vollen Netzwerkzugriffs für Computer

  • Bereitstellen des vollen Netzwerkzugriffs für einen eingeschränkten Zeitraum

  • Dauerhaftes Bereitstellen des vollen Netzwerkzugriffs

  • Wiederherstellen nicht kompatibler Computer, sodass sie mit Richtlinien kompatibel sind

Wichtig

Die Wiederherstellung wird zwar vom Netzwerkrichtlinienserver unterstützt, wenn sie keine Kompatibilität erzwingt (mitunter als „Berichterstattungsmodus“ bezeichnet), aber nicht vom Netzwerkzugriffsschutz in Configuration Manager 2007. Diese Funktion wird über das Configuration Manager 2007-Standard-Softwareupdatefeature unterstützt.

Beachten Sie, dass der Configuration Manager-Administrator die Aktion nicht steuern kann, die aufgrund des an den Netzwerkrichtlinienserver weitergeleiteten Integritätszustands eines Computers ergriffen wird. Wenn der Netzwerkrichtlinienserver jedoch so konfiguriert ist, dass die Kompatibilität durch Wiederherstellung erzwungen wird, werden die für die Kompatibilität von Clients erforderlichen Softwareupdates mithilfe von Configuration Manager-Diensten geliefert. Nach der erfolgreichen Wiederherstellung bewerten die Clients ihr SoH erneut, wodurch der Zustand von „nicht kompatibel“ in „kompatibel“ geändert und der Integritätszustand auf „kompatibel“ aktualisiert wird.

Konfigurieren von Softwareupdates für Netzwerkzugriffsschutz

Wählen Sie die von Clients für ihre Kompatibilität erforderlichen Softwareupdates aus, indem Sie Configuration Manager-NAP-Richtlinien erstellen. Sie können nur Softwareupdates auswählen, die bereits heruntergeladen wurden und das Feature „Softwareupdates“ enthalten.

Im Unterschied zu Softwareupdatebereitstellungen, die an von Ihnen festgelegte Sammlungen gerichtet sind, sind die Configuration Manager-NAP-Richtlinien automatisch an alle dem Standort zugewiesenen Computer gerichtet. Configuration Manager-NAP-Richtlinien werden ähnlich den Ankündigungen und Paketen in Configuration Manager 2007 auf die nachgeordneten Configuration Manager-Hierarchieebenen übertragen. Standorte, die die Configuration Manager-NAP-Richtlinien erben, richten diese an Clients, die dem Standort zugewiesen sind.

Wichtig

Aufgrund der automatischen Zielzuweisung und Vererbung innerhalb der gesamten Hierarchie ist es wichtig zu berücksichtigen, dass sich eine Configuration Manager-NAP-Richtlinie potenziell auf jeden Client in der Hierarchie auswirken kann.

Im Gegensatz zum Verhalten von Ankündigungen und Paketen in einer Configuration Manager 2007-Hierarchie weisen die Configuration Manager-NAP-Richtlinien jedoch folgendes Verhalten auf:

  • Untergeordnete Standorte können keine eigenen Configuration Manager-NAP-Richtlinien hinzufügen.

  • Untergeordnete Standorte können geerbte Configuration Manager-NAP-Richtlinien nicht ändern.

  • Untergeordnete Standorte können geerbte Configuration Manager-NAP-Richtlinien nicht löschen.

Siehe auch

Konzepte

Informationen zum Netzwerkzugriffsschutz in Configuration Manager-Hierarchien
Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz

Andere Ressourcen

Konfigurieren des Netzwerkrichtlinienservers für Configuration Manager
Übersicht über den Netzwerkzugriffsschutz

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com