Hier in Teil V werden wir mehr Konfiguration unserer SCCM 2012-Umgebung durchführen. Wir holen zurück, wo wir in Teil IV, auf der Registerkarte Verwaltung der SCCM-Konsole links ab.

Bevor wir mit der Konfiguration des Standorts und das Hinzufügen neuer Rollen fortsetzen, müssen wir den Abschnitt Sicherheit zu konfigurieren. Standardmäßig können wie mit System Center Virtual Machine Manager, nur die Installation Benutzer auf die Konsole anmelden und verfügt über Berechtigungen, so müssen wir dies zu ändern. Navigieren Sie zu Sicherheit und der rechten Maustaste auf Administrative Benutzer und wählen Sie Benutzer oder Gruppe hinzufügen. Sie werden mit dem Assistenten dazu aufgefordert werden. Klicken Sie auf Durchsuchen ... Ich werde Domänen-Admins Benutzergruppe auswählen und auf OK klicken. Dann klicken Sie auf Hinzufügen ... dann Full Administrator wählen Sie dann auf OK klicken. Dann wählen Sie die alle Instanzen der Objekte, die auf die zugewiesenen Sicherheitsrollen in Zusammenhang stehen dann auf OK.

Der Assistent wird geschlossen, und Sie wird die Gruppe in die Liste zu sehen. Dadurch wird sichergestellt, dass alle Domain-Administratoren nun vollen Zugriff auf Ihre SCCM Umwelt haben wird. Fügen Sie alle anderen Benutzer / Gruppen mit Berechtigungen wie für Ihre Umgebung erforderlich sein kann, und dann gehen.

Als nächstes klicken Sie auf Sicherheitsrollen. Hier finden Sie alle 14 integrierten Rollen in SCCM zu sehen. Als nächstes klicken Sie auf Sicherheit Scopes. Es gibt zwei Bereiche standardmäßig definiert, das All und Standardbereiche. Sie können auch benutzerdefinierte Sicherheits Bereiche erstellen. Standardmäßig sind die Full-Administratoren im All Umfang, was bedeutet, dass Sie die Berechtigungen ihrer Rolle für jedes Objekt in der Configuration Manager-Umgebung haben. Dies ist eine weitere Möglichkeit, granulare Berechtigungen zuzuweisen, wenn Sie möchten, dass Anwendungen und Pakete zu schützen. An diesem Punkt in der Installation und in den meisten Fällen ist die Standard verlassen hier ok.

Die Konten und Zertifikate Abschnitte werden wir an dieser Stelle nicht Wort ergreifen. Wir werden auf die Site-Konfiguration bewegen, wo das erste, was wir tun, ist eine sicherheitsrelevante Element konfigurieren, Konto des SCCM-Agenten.

Navigieren Sie zu der Website-Konfiguration> Seiten. Rechtsklick auf den Namen Ihrer Website und wählen Sie Client-Installationseinstellungen> Client Push Installation. Auf der Registerkarte Allgemein die Standardeinstellungen belassen.

Ich empfehle, dass Sie die "Aktivieren der automatischen standortweiten Clientpushinstallation" Checkbox nicht aktivieren.

Der Grund dafür ist, dass, wenn Sie bestimmte Eigenschaften auf Ihrem Client-Einstellungen Abschnitt eingestellt, später in diesem Handbuch behandelt, Sie Neustarts aller Ihrer Produktionsserver dazu führen könnten, sobald der Agent (oder gezogen über die Gruppenrichtlinie, je nach Konfiguration) gedrückt wird . In fast jedem Fall, werden Sie SCCM in die bestehende Produktionsumgebung zu integrieren, nicht umgekehrt. Deshalb wollen wir keine unbeabsichtigten Folgen dieser Option zu vermeiden. Wir Systemadministratoren wie unsere Arbeitsplätze und wollen, dass sie zu halten, nicht wahr?

Klicken Sie auf die Registerkarte Konten. Klicken Sie auf die Starburst und wählen Sie Neu-Benutzerkonto. Hier finden Sie in der AD-Benutzerkonto Domäne \ sccm.agent in Teil I eingeben Es sollte eine Domain Admin oder ein Benutzerkonto mit lokalen Administratorberechtigungen auf allen Servern, wo SCCM Agent installiert werden. Es ist eine gute Idee, um die Option Verify Test zu benutzen, um Ihre UN / PW-Kombination und Berechtigungen zu bestätigen. Klicken Sie auf Übernehmen und die Client Push Installation Eigenschaften zu schließen.

Als Erinnerung, empfehle ich Ihnen, dieses Kennwort an einem sicheren Ort dokumentiert haben. Für Unternehmen Geheimnis Management, verwende ich Secret Server von Thycotic. Es ist ein großartiges Produkt lohnt sich, und sie werden einige freie Produktplatzierung für mich genießen nehme ich an!

Für den persönlichen oder in kleinen Unternehmen, können Sie nicht mit Keepass Passwortverwaltung schief gehen. Ich benutze diese jeden Tag:

Als nächstes der rechten Maustaste erneut auf Ihrer Website und klicken Sie auf Eigenschaften.

Wir werden hier nichts werden ändern, aber hier ist eine Aufschlüsselung der Optionen, wie können Sie oder können nicht einige Updates vornehmen müssen hier je nach Konfiguration:

- Registerkarte Allgemein - Die meisten der wichtigen Informationen über Ihre Website. Es umfasst den Typ (primär), die Mutterstadt (wenn Sie ein Multi-Site-Konfiguration ausgeführt werden), Version von SCCM, Build-Nummer, die Site Server Name, das Installationsverzeichnis für SCCM, die SQL Server-Computer und dem SMS-Anbieter Standort .

- Wake-On-Lan Tab- Hier ist, wo Sie die WOL-Funktion für Ihre Website aktivieren.

- Registerkarte Anschlüsse - Hier können Sie benutzerdefinierte Ports für HTTP, HTTPS und WOL Dienste einstellen. Standardmäßig, 80, 443, und 9 sind jeweils definiert.

-Sender Tab - Dies ist eine Funktion von mehreren Standorten.

- Registerkarte Veröffentlichen - Hier ist, wo, wenn Sie mehrere Domänen in der Gesamtstruktur haben, können Sie wählen, welche Domains werden Sie und nicht zu veröffentlichen.

- Client-Computer-Registerkarte Konfiguration - Auf dieser Seite konfigurieren Sie eine SCCM Site IIS Server-Kommunikation mit Kunden, HTTPS nur, oder HTTPS und HTTP. Des Weiteren können Sie die Trusted Root Certification Authority ändern (oder eine andere RootCA hinzufügen) und stellen Sie erweiterte Funktionen auf SCCM-Client-Zertifikate und CRL wechseln und Ausschalten überprüft.

- Registerkarte Warnungen - Sie können eine Warnung erzeugen, wenn der freie Speicherplatz auf dem DB-Server gering ist. Ich habe die Überwachung außerhalb von SCCM, die dies bereits tut. Sie können diese aktiviert werden soll, wenn Sie an Ort und Stelle nicht einen ähnlichen Dienst haben.

- Registerkarte Sicherheit - Hier haben wir eine Liste der Benutzer mit Administratorrechten zu sehen. Standardmäßig ist der einzige Benutzer hinzugefügt SCCM der Benutzer, die die Site-Server installiert und ist der einzige Benutzer, anmelden können. Sie werden auch die Domain-Admin-Konto sehen wir früher hinzugefügt, wenn Sie entlang folgen.

- Signieren und Verschlüsseln tab - Hier konfigurieren Sie Signatur- und Verschlüsselungsanforderungen für die Kunden. Sie können Unterzeichnung erfordern SHA-256 benötigen, und verwenden Sie Verschlüsselung (3DES Bestandsinformationen zu verschlüsseln, um SCCM-Server gesendet). In der Standardeinstellung keine von diesen geprüft werden, und ich werde diese Optionen nicht mehr werden, ermöglicht. Je nach Umgebung, müssen Sie möglicherweise eine oder mehrere dieser Optionen zu ermöglichen. Fragen Sie Ihren IT-Sicherheitsabteilung, wenn diese außerhalb des Umfangs ist.

Bevor wir die Rollen konfigurieren, gibt es ein anderes Element wir angehen müssen. Navigieren Sie zu dem Verteilungspunkte Objekt. Rechtsklicken Sie auf Ihrem SCCM-Server in der Liste aus und klicken Sie auf Eigenschaften. Sie müssen das Zertifikat importieren Optionsfeld auszuwählen. Wir exportierten dieses Zertifikat in Teil II. Wechseln Sie zu dem cert und wählen Sie sie aus und geben das Passwort ein und klicken Sie auf Übernehmen. Jetzt ist unsere Distribution Point hat das richtige Zertifikat innerhalb SCCM verbunden.

Als nächstes werden wir auf Server und Standortsystemrollen bewegen. Hier finden Sie sowohl Ihre SCCM und SQL-Server zu sehen. Bevor wir diesen Abschnitt beginnen, würde Ich mag die TechNet-Dokumentation auf SCCM 2012 Rollen zu verweisen. Sie können feststellen, welche Rollen in jedem Szenario sind erlaubt:

An dieser Stelle standardmäßig Ihre SCCM Primary Standalone-Server konfiguriert werden die folgenden Rollen haben:

- Component Server - Distribution Point - Management Point - Site Server - Standortsystem

Ihr SQL-Server haben die folgenden Rollen:

- Component Server - Site-Datenbank-Server - Standortsystem

Wir werden mehrere Rollen Hinzufügen zu jedem dieser Server.

Zum SCCM-Server werden wir das Hinzufügen der folgenden Rollen werden für insgesamt 11 Rollen:

- Application Catalog Web Service Point - Anwendungskatalog-Websitepunkt - Asset Intelligence-Synchronisierungspunkt - Endpoint Protection Point - Fallbackstatuspunkt - Softwareupdatepunkt

Um den SQL-Server werden wir nur das Reporting Services Point, für insgesamt vier Rollen hinzufügen.

Lassen Sie uns mit dem Hinzufügen der Rollen an den SCCM-Server zu starten. Zuerst müssen wir Configuration Manager aus den Anti-Malware-Richtlinien Quellen zu entfernen (sonst wird dies während der Endpoint Protection Rollen Installation markiert werden). Navigieren Sie zu den Assets und Compliance-Registerreiter und dann auf Endpoint Protection Navigieren> Anti-Malware-Policies. Rechtsklick auf den Standard-Client-Anti-Malware-Richtlinie, und klicken Sie auf Eigenschaften. Wählen Sie Definition Update-Bereich und klicken Sie dann auf die Schaltfläche Source-Taste und dann deaktivieren Sie die Updates verteilt von Configuration Manager-Option. Wir werden dies später ändern, aber jetzt wollen wir nur Endpoint Protection Updates von WSUS, MS Update und MS MPC zu ziehen.

Gehen Sie zurück zu Verwaltung> Site Configuration> Server und Standortsystemrollen. Rechtsklick auf den SCCM-Server unter dem Server und Standortsystemrollen Abschnitt und klicken Sie auf Standortsystemrollen hinzufügen. Sie werden mit dem Assistenten zum Hinzufügen von Rollen aufgefordert:

Wählen Sie die Rollen, die wir oben für die Installation diskutiert.

Lassen Sie Standard hier.

Klicken Sie auf das Kontrollkästchen hier, da dies der aktive Softwareupdatepunkt sein. Wählen Sie auch die zweite Optionsfeld, als WSUS auf einer benutzerdefinierten Website ist.

Synchronisieren von Microsoft, default.

Aktivieren Sie die Synchronisierung, jeden Tag.

Vielen Dank für das Lesen, hoffentlich finden Sie diese Informationen hilfreich, wie Sie Ihre Manager-Umgebung Konfiguration bereitstellen.