Informationen zur Clientgenehmigung in Configuration Manager

Artikel
12/19/2014

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – November 2007

Wenn Configuration Manager 2007 im gemischten Modus ausgeführt wird, werden Clients nicht authentifiziert, bevor sie einem Standort beitreten können. Computer, auf denen der System Center Configuration Manager 2007-Client installiert und einem Standort zugewiesen ist, können mit einem Verwaltungspunkt kommunizieren, in der System Center Configuration Manager 2007-Konsole angezeigt werden, Richtlinien vom Standort empfangen und Informationen an den Standort senden. Wenn im gemischten Modus das Kontrollkästchen Dieser Standort verfügt nur über ConfigMgr 2007-Clients nicht aktiviert ist, können Richtlinien mit vertraulichen Daten an alle Clients gesendet werden. Wenn das Kontrollkästchen aber aktiviert ist, können nur genehmigte Clients Richtlinien mit vertraulichen Daten empfangen.

Ein Configuration Manager 2007-Client kann erst genehmigt werden, nachdem er erfolgreich installiert und einem Standort zugewiesen wurde.

Die Genehmigung kann manuell, automatisch für Computer in vertrauenswürdigen Domänen oder automatisch für alle Computer erfolgen. Dies wird für Standorte im gemischten Modus als Standorteigenschaft auf der Registerkarte „Standortmodus“ konfiguriert.

Die sicherste Genehmigungsmethode ist die automatische Genehmigung von Clients, die Mitglieder einer vertrauenswürdigen Domäne sind. In diesem Modus müssen Clients, die nicht Mitglieder einer vertrauenswürdigen Domäne sind, einschließlich Arbeitsgruppenclients, manuell genehmigt werden. Wenn Sie jeden Client manuell genehmigen möchten, bevor dieser Richtlinien mit vertraulichen Daten empfangen kann, legen Sie den Genehmigungsmodus auf „Manuell“ fest. Die automatische Genehmigung aller Clients ist nur dann empfehlenswert, wenn Sie über andere Zugriffssteuerungsmethoden verfügen, mit denen Sie verhindern können, dass nicht vertrauenswürdige Computer auf das Netzwerk zugreifen. Wenn ein Client nicht durch eine automatische Methode genehmigt wird, wird er weiterhin in der Configuration Manager 2007-Konsole angezeigt und kann manuell genehmigt werden, indem er in einer Sammlung ausgewählt und im Menü „Aktion“ die Option „Genehmigen“ verwendet wird. Weitere Informationen finden Sie unter Genehmigen von Configuration Manager-Clients.

Clients für mobile Geräte empfangen keine Richtlinien mit vertraulichen Daten und erfordern daher keine Genehmigung.

Die Genehmigung ist auch dann nicht erforderlich, wenn der Standort für den einheitlichen Modus konfiguriert ist, da durch die PKI-Zertifikate (Public Key-Infrastruktur) Clients am Verwaltungspunkt und auf anderen Standortsystemen authentifiziert werden.

Hinweis

Wenn sich ein Configuration Manager 2007-Standort im einheitlichen Modus befindet, wird die Clientgenehmigung nicht verwendet. Wenn Sie jedoch eine Sammlung in der Configuration Manager-Konsole anzeigen, wird die Spalte für die Genehmigung angezeigt. Für Standorte im einheitlichen Modus sollten die Informationen in dieser Spalte nicht verwendet werden.

In der folgenden Tabelle sind die drei Genehmigungsoptionen aufgeführt, die als Optionen für Standorte im gemischten Modus zur Verfügung stehen.

Genehmigungseinstellung	Weitere Informationen
Jeden Computer manuell genehmigen	Die manuelle Genehmigung für jeden Computer, dem Standort beizutreten, bietet das geringste Risiko, ist aber mit dem größten Verwaltungsaufwand verbunden. Clients müssen manuell von dem ihnen zugewiesenen Standort aus in der Configuration Manager-Konsole genehmigt werden.
Computer in vertrauenswürdigen Domänen automatisch genehmigen	Durch die automatische Genehmigung von Computern in vertrauenswürdigen Domänen werden Clientcomputer automatisch genehmigt, die Domänen beigetreten sind, denen die Domäne des Standortservers vertraut. Wenn Sie diese Einstellung verwenden, sollten Sie sicherstellen, dass andere Sicherheitskontrollen implementiert wurden, um zu verhindern, dass nicht vertrauenswürdige Computern einer vertrauenswürdigen Domäne beitreten können. Wichtig Wenn Clients aus einer anderen Domäne als der des Standortservers stammen, müssen Sie den Standardverwaltungspunkt des Standorts (oder den NLB-Verwaltungspunkt) mit einem vollständig qualifizierten Domänennamen (FQDN) so konfigurieren, dass diese Option verwendet wird. Information zum Angeben dieses FQDN finden Sie unter Konfigurieren des Intranet-FQDN der Standortsysteme.
Alle Computer automatisch genehmigen	Die automatische Genehmigung aller Computer, dem Standort beizutreten, ermöglicht allen Computern den Beitritt zum Standort. Diese Einstellung wird nie empfohlen, weil dadurch jeder Computer ein Client werden kann, ohne dass seine Vertrauenswürdigkeit überprüft wird.

Jeden Computer manuell genehmigen

Die manuelle Genehmigung für jeden Computer, dem Standort beizutreten, bietet das geringste Risiko, ist aber mit dem größten Verwaltungsaufwand verbunden. Clients müssen manuell von dem ihnen zugewiesenen Standort aus in der Configuration Manager-Konsole genehmigt werden.

Computer in vertrauenswürdigen Domänen automatisch genehmigen

Durch die automatische Genehmigung von Computern in vertrauenswürdigen Domänen werden Clientcomputer automatisch genehmigt, die Domänen beigetreten sind, denen die Domäne des Standortservers vertraut. Wenn Sie diese Einstellung verwenden, sollten Sie sicherstellen, dass andere Sicherheitskontrollen implementiert wurden, um zu verhindern, dass nicht vertrauenswürdige Computern einer vertrauenswürdigen Domäne beitreten können.

Wichtig

Wenn Clients aus einer anderen Domäne als der des Standortservers stammen, müssen Sie den Standardverwaltungspunkt des Standorts (oder den NLB-Verwaltungspunkt) mit einem vollständig qualifizierten Domänennamen (FQDN) so konfigurieren, dass diese Option verwendet wird.

Information zum Angeben dieses FQDN finden Sie unter Konfigurieren des Intranet-FQDN der Standortsysteme.

Alle Computer automatisch genehmigen

Die automatische Genehmigung aller Computer, dem Standort beizutreten, ermöglicht allen Computern den Beitritt zum Standort. Diese Einstellung wird nie empfohlen, weil dadurch jeder Computer ein Client werden kann, ohne dass seine Vertrauenswürdigkeit überprüft wird.

Zurücksetzen des Genehmigungsstatus eines Clients bei der Standortmigration zum einheitlichen Modus

Wenn ein Configuration Manager 2007-Standort vom gemischten Modus zum einheitlichen Modus migriert wird, behalten die Clients ihren Genehmigungsstatus nicht bei. Der Genehmigungsstatus aller dem Standort zugewiesenen Clients wird dann automatisch auf „Nicht genehmigt“ festgelegt.

Wenn der Standort im einheitlichen Modus betrieben wird, tritt die Clientauthentifizierung mit PKI-Zertifikaten an die Stelle der Genehmigung, und der Genehmigungsstatus wird nicht verwendet. Wenn der Standort jedoch in den gemischten Modus zurückgesetzt wird, müssen die Clients ebenso wie neue Clients neu genehmigt werden.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com

Informationen zur Clientgenehmigung in Configuration Manager

Zurücksetzen des Genehmigungsstatus eines Clients bei der Standortmigration zum einheitlichen Modus

Siehe auch

Tasks

Referenz

Konzepte

Zusätzliche Ressourcen