在向客户端推送Altiris Agent时,必须满足以下几方面的条件才可正常从控制台推送安装: 1、打开445(文件打印共享)端口:在系统防火墙中将文件和打印机共享进行例外(或者关闭系统防火墙);
2、关闭“简单文件共享”(或者将本地安全策略中的“网络访问:本地帐户的共享和安全模式”设置为“经典-本地用户以自己的身份验证”);
3、打开默认共享(IPC$、C$、ADMIN$)。
当要安装Altiris Agent的所有客户端计算机都是AD域成员时,那么可以通过域组策略方式进行客户的设置,使所有要安装Altiris Agent的客户端计算机达到网络推送Altiris Agent的要求。 具体操作如下:
将所有要进行设置的客户端添加到一新建的OU中,然后在此OU上编辑组策略,不要把该策略应用到DC上,DC必须依赖于SYSVOL共享。 一、 组策略操作步骤: 1、 准备好脚本
注册表文件:通过导入此注册表文件修改注册表相关项来达到相应的目的。
关闭系统防火墙:
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\DomainProfile\\GloballyOpenPorts\\List] \\\\开启默认共享:
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters] \\关闭简单共享:
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa] \
将这些数据编辑成一个注册表文件,然后通过Bat脚本文件来调用注入客户机的系统,从而达到修改的目的。
本例中的注册表文件如下(文件名为LiClient.reg): REGEDIT4
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\DomainProfile\\GloballyOpenPorts\\List] \\\\
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters] \\
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa] \
Bat脚本文件:如下(文件名为LiClient.bat): @echo off
regedit -s LiClient.reg @echo on
2、 添加策略
2.1、打开DC中的“Active Directory 用户和计算机”,在要安装Altiris Agent的计算机所在的容器上新建一条组策略并进行编辑;
2.2、打开“计算机配置”à“Windows设置”à“启动(启动/关机)” à“启动”,在弹出的“启动属性”窗口中点击“添加”按钮添加脚本,点击“浏览”,将第1步建立的两个文件拷贝到此文件夹中(或者点击“启动属性”窗口中的“显示文件”,将这两个文件拷贝到弹出的文件夹中,此目录即点击“浏览”按钮打开的文件夹),并选择“LiClient.bat”作为启动脚本,
当客户端在下次启动系统时就会执行此脚本,从而达到导入注册表文件“LiClient.reg”的目的。 2.3、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Server”服务,在弹出的“Server属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“自动”。 这项设置是为了保证客户端“Server”服务被启动(如果这个服务以及“Workstation”服务未启动,则网络服务无法提供,从而无法跟服务器进行网络连接。)
2.4、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Workstation”服务,在弹出的“Server属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“自动”。
这项设置是为了保证客户端“Workstation”服务被启动(如果这个服务以及“Server”服务未启动,则网络服务无法提供,从而无法跟服务器进行网络连接。)
2.5、打开“计算机配置”à“Windows设置”à“安全设置”à“系统服务”à“Windows Firewall/Internet Connection Sharing (ICS)”服务,在弹出的“Windows Firewall/Internet Connection Sharing (ICS)属性”窗口中勾选“定义这个策略设置”,并选择服务启动模式为“禁用”。
这项设置是为了保证客户端“Windows Firewall/Internet Connection Sharing (ICS)”服务被禁用,即系统防火墙被关闭,防止防火墙阻止网络访问。
注:这项设置在导入了上面的注册表文件“LiClient.reg”中的关于防火墙的设置时也可以不进行设置。
2.6、打开打开“计算机配置”à“Windows设置”à“安全设置”à“本地策略”à“安全选项”à“网络访问:本地帐户的共享和安全模式”,在弹出的“网络访问:本地帐户的共享和安全模式属性”窗口中勾选“定义这个策略设置”,并选择模式为“经典-本地用户以自己的身份验证”。
注:这项设置效果同注册表文件“LiClient.reg”中的“关闭简单共享”功能相同,在导入了此注册表文件的情况下,也可以不进行设置。
2.7、在域控制器上进行域策略的刷新。 命令:gpupdate /force
二、 安装Altiris客户端
1、 打开Altiris NS控制台à“配置”à“解决方案设置”à“Network Discovery”à“扫描组”à“默认扫描组”,配置好扫描设置(例如扫描的地址范围、要排除的地址、扫描计划等),应用设置后点击“立即扫描”进行设备的扫描。
2、 打开Altiris NS控制台à“配置”à“解决方案设置”à“Network Discovery”à “搜索到的设备”,即可看搜索进度,在搜索完成后,会显示所有搜索到的设备(如计算机、网络打印机、交换机等),点击下面的“启用”按钮,即可对这些设备进行后继的操作(例如,安装Altiris Agent等)。
