在向客戶端推送Altiris Agent時,必須滿足以下幾方面的條件纔可正常從控制檯推送安裝:
1、打開445(文件打印共享)端口:在系統防火牆中將文件和打印機共享進行例外(或者關閉系統防火牆);
2、關閉“簡單文件共享”(或者將本地安全策略中的“網絡訪問:本地帳戶的共享和安全模式”設置爲“經典-本地用戶以自己的身份驗證”);
3、打開默認共享(IPC$、C$、ADMIN$)。
當要安裝Altiris Agent的所有客戶端計算機都是AD域成員時,那麼可以通過域組策略方式進行客戶的設置,使所有要安裝Altiris Agent的客戶端計算機達到網絡推送Altiris Agent的要求。
具體操作如下:
將所有要進行設置的客戶端添加到一新建的OU中,然後在此OU上編輯組策略,不要把該策略應用到DC上,DC必須依賴於SYSVOL共享。
一、 組策略操作步驟:
1、 準備好腳本
註冊表文件:通過導入此註冊表文件修改註冊表相關項來達到相應的目的。
關閉系統防火牆:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
開啓默認共享:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword: 00000001
"AutoShareServer"=dword:00000001
關閉簡單共享:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000
將這些數據編輯成一個註冊表文件,然後通過Bat腳本文件來調用注入客戶機的系統,從而達到修改的目的。
本例中的註冊表文件如下(文件名爲LiClient.reg):
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword: 00000001
"AutoShareServer"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000
Bat腳本文件:如下(文件名爲LiClient.bat):
@echo off
regedit -s LiClient.reg
@echo on
2、 添加策略
2.1、打開DC中的“Active Directory 用戶和計算機”,在要安裝Altiris Agent的計算機所在的容器上新建一條組策略並進行編輯;
2.2、打開“計算機配置”à“Windows設置”à“啓動(啓動/關機)” à“啓動”,在彈出的“啓動屬性”窗口中點擊“添加”按鈕添加腳本,點擊“瀏覽”,將第1步建立的兩個文件拷貝到此文件夾中(或者點擊“啓動屬性”窗口中的“顯示文件”,將這兩個文件拷貝到彈出的文件夾中,此目錄即點擊“瀏覽”按鈕打開的文件夾),並選擇“LiClient.bat”作爲啓動腳本,
當客戶端在下次啓動系統時就會執行此腳本,從而達到導入註冊表文件“LiClient.reg”的目的。
2.3、打開“計算機配置”à“Windows設置”à“安全設置”à“系統服務”à“Server”服務,在彈出的“Server屬性”窗口中勾選“定義這個策略設置”,並選擇服務啓動模式爲“自動”。
這項設置是爲了保證客戶端“Server”服務被啓動(如果這個服務以及“Workstation”服務未啓動,則網絡服務無法提供,從而無法跟服務器進行網絡連接。)
2.4、打開“計算機配置”à“Windows設置”à“安全設置”à“系統服務”à“Workstation”服務,在彈出的“Server屬性”窗口中勾選“定義這個策略設置”,並選擇服務啓動模式爲“自動”。
這項設置是爲了保證客戶端“Workstation”服務被啓動(如果這個服務以及“Server”服務未啓動,則網絡服務無法提供,從而無法跟服務器進行網絡連接。)
2.5、打開“計算機配置”à“Windows設置”à“安全設置”à“系統服務”à“Windows Firewall/Internet Connection Sharing (ICS)”服務,在彈出的“Windows Firewall/Internet Connection Sharing (ICS)屬性”窗口中勾選“定義這個策略設置”,並選擇服務啓動模式爲“禁用”。
這項設置是爲了保證客戶端“Windows Firewall/Internet Connection Sharing (ICS)”服務被禁用,即系統防火牆被關閉,防止防火牆阻止網絡訪問。
注:這項設置在導入了上面的註冊表文件“LiClient.reg”中的關於防火牆的設置時也可以不進行設置。
2.6、打開打開“計算機配置”à“Windows設置”à“安全設置”à“本地策略”à“安全選項”à“網絡訪問:本地帳戶的共享和安全模式”,在彈出的“網絡訪問:本地帳戶的共享和安全模式屬性”窗口中勾選“定義這個策略設置”,並選擇模式爲“經典-本地用戶以自己的身份驗證”。
注:這項設置效果同註冊表文件“LiClient.reg”中的“關閉簡單共享”功能相同,在導入了此註冊表文件的情況下,也可以不進行設置。
2.7、在域控制器上進行域策略的刷新。
命令:gpupdate /force
二、 安裝Altiris客戶端
1、 打開Altiris NS控制檯à“配置”à“解決方案設置”à“Network Discovery”à“掃描組”à“默認掃描組”,配置好掃描設置(例如掃描的地址範圍、要排除的地址、掃描計劃等),應用設置後點擊“立即掃描”進行設備的掃描。
2、 打開Altiris NS控制檯à“配置”à“解決方案設置”à“Network Discovery”à “搜索到的設備”,即可看搜索進度,在搜索完成後,會顯示所有搜索到的設備(如計算機、網絡打印機、交換機等),點擊下面的“啓用”按鈕,即可對這些設備進行後繼的操作(例如,安裝Altiris Agent等)。
3、 打開Altiris NS控制檯à“配置”à“Altiris Agent”à“Altiris Agent轉出”à“所有未安裝Altiris Agent的Windows NT/2000/XP/2003/Vista/2008計算機”,即可查看剛纔搜索到的所有未安裝Altiris Agent的計算機。
4、 打開Altiris NS控制檯à“配置”à“Altiris Agent”à“Altiris Agent轉出”à“Altiris Agent安裝”,在此對搜索到的計算機進行“Altiris Agent”的推送安裝。
5、 打開Altiris NS控制檯à“配置”à“Altiris Agent”à“Altiris Agent轉出”à“所有裝有Altiris Agent的Windows計算機”,可以查看安裝情況。
至此,Altiris Agent就已經安裝好了。
注意:如果客戶端禁用了“Server”及“Workstation”服務,則在登陸應用了此組策略後,這兩個服務會修改爲“自動”模式,但服務現在並沒有啓動,因此必須再次重新啓動計算機來啓動這兩個服務(或手動進行服務的啓動)。
附: 要在客戶端不顯示任何圖標、無任何提示以及不在“添加/刪除程序”列表中列出Altiris Agent”時,對於Altiris Agent的設置要注意以下幾個地方。
1、 打開Altiris NS控制檯à“配置”à“Altiris Agent”à“Altiris Agent轉出”à“Altiris Agent安裝”,在右側窗口中的“安裝設置”,設置針對上面顯示框中搜索到的計算機的“Altiris Agent”安裝選項。
2、 打開Altiris NS控制檯à“配置”à“Altiris Agent”à“Altiris Agent配置”à“所有Windows服務器(不包括Package Server)”(以及“所有Windows移動計算機”、“所有臺式機(不包括Package Server)”),將“交互”設置頁中的“在Altiris Agent計算機上顯示系統托盤圖標”、“當已計劃的Software Delivery任務到達時通知用戶(僅限5.x代理)”以及“當手動Software Delivery任務到達時通知用戶(僅限5.x代理)”設置爲不選擇;將“運行Software Delivery任務前先通知”設置爲“不要通知”。
李政
2009-6-8