Kaspersky Security Center 云控制台

通过 Kaspersky Security Center 云控制台远程安装任务的强制部署

要执行网络代理或其他应用程序的初始部署，您可以使用 Kaspersky Security Center 云控制台的远程安装任务强制安装选定的安装包，前提是每台设备都有具有本地管理员权限的用户账户。

初始部署时，不会安装网络代理。因此，在远程安装任务的设置中，无法选择使用网络代理安装应用程序所需的文件分发。您只能选择通过分发点使用操作系统资源来分发文件。

您必须在远程安装任务的设置中指定有权访问 admin$ share 的账户。

您可以明确指定目标设备(使用列表)、通过选择它们所属的 Kaspersky Security Center 云控制台管理组或通过基于指定标准创建设备分类。安装开始时间定义在任务计划中。如果任务属性中启用了运行错过的任务设置，任务可以在设备开启时立即运行，或设备被移动到目标管理组时立即运行。

强制安装包括传送安装包到目标设备、随后复制文件到每个目标设备的 admin$ 资源，和在这些设备上远程注册支持服务。传送安装包到目标设备通过 Kaspersky Security Center 云控制台的网络交互功能运行。以下条件必须在此种情况下被满足：

• 目标设备可以从分发点端访问。
• 目标设备的名称解析在网络中运行正常。
• 设备上的管理共享(admin$)保持启用。
• 以下系统服务正在目标设备上运行：
  • 服务器（LanmanServer）

    默认情况下，该服务正在运行。

  • DCOM 服务器进程启动器 (DcomLaunch)
  • RPC 端点映射器 (RpcEptMapper)
  • 远程过程调用 (RpcSs)
• TCP 445 端口在目标设备上打开，以便通过 Windows 管理工具实现远程访问。

  TCP 139、UDP 137 和 UDP 138 由较旧的协议使用，对于当前应用程序来说不再是必需的。

  防火墙必须允许动态出站访问端口，以便从分发点连接到目标设备。

• 在网络代理部署期间，允许 Active Directory 域策略安全设置提供 NTLM 协议的操作。
• 在运行 Microsoft Windows XP 的目标设备上，简单文件共享模式被禁用。
• 在目标设备上，访问共享和安全模型被设置为经典 - 本地用户以自身进行身份验证。它绝不可以是仅限访客 — 本地用户需要以访客身份进行身份验证。
• 目标设备是域成员，或带有管理员权限的统一账户提前在目标设备上被创建。

要成功部署网络代理或其他应用程序到未加入 Windows Server 2003 或更高版本的 Active Directory 域的设备，您必须在该设备上禁用远程 UAC。远程 UAC 是阻止本地管理账户访问 admin$ 的原因之一，这对于强制部署网络代理或其他应用程序必不可少。禁用远程 UAC 不会影响本地 UAC。

在未分配到任何 Kaspersky Security Center 云控制台管理组的新设备上进行安装时，您可以打开远程安装任务属性并指定网络代理安装后设备要移动到的管理组。

当创建组任务时，记住每个组任务都影响所选组的潜逃组中的所有设备。因此，您必须避免在子组中的重复安装任务。

创建强制安装应用程序的任务的一个简化方法是自动安装。为此，您必须打开管理组属性，打开安装包列表，然后选择必须在该组中设备上安装的包。结果，所选安装包将被自动安装在该组和其所有子组中的所有设备上。包被安装的时间间隔取决于网络吞吐量和网络设备总数。

充当分发点的设备必须满足分发点的要求。您必须确保分发点存在于目标设备的每个独立子网。

文件夹 %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit 所在分区的磁盘剩余空间必须超过所安装应用程序的分发包的总大小的好几倍。