目录
发现联网设备并创建管理组
本节介绍联网设备的搜索和发现,以及为这些设备创建管理组。
Kaspersky Security Center 云控制台允许您按照指定规则查找设备。您可以保存搜索结果到文本文件。
搜索和发现功能可让您查找以下设备:
- Kaspersky Security Center 云控制台管理服务器及其从属管理服务器的管理组中的受管理设备。
- 由 Kaspersky Security Center 云控制台管理服务器及其从属管理服务器管理的未分配设备。
情景:发现网络设备
您必须在初始部署安全应用程序之前执行设备发现。当所有网络设备被发现时,您可以接收它们的信息并通过策略管理。常规网络轮询用于发现是否有新设备以及先前发现的设备是否仍在网络中。
完成该方案后,设备发现已设置完毕,并将根据指定的计划进行。
先决条件
在 Kaspersky Security Center 云控制台中,设备发现由分发点执行。在开始之前,请执行以下操作:
- 决定哪些设备将充当分发点。
- 在您选择的设备上安装网络代理。
- 手动分配设备以作为分发点。
阶段
方案实施分为几个阶段:
- 选择发现类型
决定您要定期使用哪些发现类型。
- 配置轮询
在每个分发点的属性中,启用并配置您选择的网络轮询类型: Windows 网络轮询、域控制器轮询或IP 范围轮询。确保投票时间表满足您组织的需求。
如果域中包含联网设备,建议使用域控制器轮询。
- 设置规则以添加发现的设备到管理组(可选)
如果新设备出现在您的网络中,则它们将在定期轮询期间被发现,并自动包含在“未分配的设备”组中。如果需要,可以设置自动将这些设备移至“受管理设备”组的规则。您也可以建立保留规则。
如果您跳过该规则设置步骤,所有新发现的设备都将转到“未分配的设备”组并保留在那里。如果需要,可以手动将这些设备移动到“受管理设备”组。如果您手动将这些设备移动到“受管理设备”组,您可以分析每台设备的信息并决定您是否要将它移动到管理组以及移动到哪个组。
网络轮询操作完成后,检查新发现的设备是否按照配置的规则排列。如果未配置任何规则,设备将保留在“未分配的设备”组。
网络轮询
Kaspersky Security Center 云控制台通过定期轮询 Windows 网络、IP 范围、Microsoft Active Directory 域控制器和 Samba 域控制器来接收有关网络结构和该网络上的设备的信息。对于 Samba 域控制器, Samba 4 用作 Active Directory 域控制器。网络轮询可以手动启动,也可以根据计划自动启动。
根据此轮询的结果,Kaspersky Security Center 云控制台更新未分配设备的列表。您还可以配置规则,将新发现的设备自动移至管理组。
Kaspersky Security Center 云控制台使用以下网络轮询方法:
- IP 范围轮询。Kaspersky Security Center 云控制台使用互联网控制消息协议 (ICMP) 数据包轮询指定的 IP 范围,并编译这些 IP 范围内的设备上的完整数据集。
- Windows 网络轮询。您可以运行两种 Windows 网络轮询中的任意一种:快速或完整。在快速轮询过程中,Kaspersky Security Center 云控制台只从所有域和工作组中设备的 NetBIOS 名称列表获取信息。在完整轮询中,需要每台客户端设备的以下信息,例如操作系统(OS)名称、IP 地址、DNS 名称和 NetBIOS 名称。
- 域控制器轮询。有关 Active Directory 单元结构以及 Active Directory 组中设备的 DNS 名称的信息将记录到 Kaspersky Security Center 云控制台数据库中。
Windows 网络轮询和域控制器轮询方法的轮询结果分别显示在“发现和部署”→“发现”部分中。
IP 范围轮询方法的轮询结果显示在发现和部署→未分配的设备部分中。
一台设备可以显示在多个检测区域中。如果在 HQ 域中检测到设备且其地址为 192.168.0.1,则该设备将出现在Windows 域部分和未分配的设备部分中。您可以修改每种轮询方法的网络轮询设置。例如,您可能想要修改轮询计划或者设置是否轮询整个活动目录森林还是仅指定域。
Windows 网络轮询
关于 Windows 网络轮询
在快速轮询过程中,管理服务器只从所有网络域和工作组中设备的 NetBIOS 名称列表检索信息。在完整轮询中,以下信息被从每个客户端设备请求:
- 操作系统名称
- IP 地址
- DNS 名称
- NetBIOS 名称
快速轮询和完整轮询都需要以下:
- 端口 UDP 137/138、TCP 139 必须在网络中可用。
- 必须使用 Microsoft Computer Browser 服务,且主浏览器计算机必须在分发点上启用。
- 必须使用 Microsoft Computer Browser 服务,且主浏览器计算机必须在客户端设备上启用:
- 至少一台设备上,如果网络设备数量不超过 32。
- 对每 32 台网络设备至少一台设备上。
完整轮询仅在快速轮询至少运行了一次时可以运行。
查看和修改 Windows 网络轮询设置
要修改 Windows 网络轮询属性:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
)。管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 单击要用于轮询网络的分发点的名称。
分发点属性窗口将打开。
- 选择Windows 域轮询部分。
- 通过使用“启用网络轮询”切换按钮启用或禁用 Windows 网络轮询。
- 配置快速轮询和完整轮询的计划。
- 单击“确定”按钮。
属性被保存并应用到所有发现的 Windows 域和工作组。
域控制器轮询
Kaspersky Security Center 云控制台仅支持通过使用分发点来轮询 Microsoft Active Directory 域控制器和 Samba 域控制器。
Kaspersky Security Center 云控制台仅允许您使用 Linux 分发点轮询 Samba 域控制器。对于 Samba 域控制器, Samba 4 用作 Active Directory 域控制器。
当您轮询域控制器时,分发点会检索有关域中包含的设备的域结构、用户账户、安全组和 DNS 名称的信息。域控制器轮询是根据您设置的计划执行的。
先决条件
在轮询域控制器之前,请确保启用以下协议:
- 简单身份验证和安全层 (SASL)
- 轻量级目录访问协议 (LDAP)
确保域控制器设备上的以下端口可用:
- 389 用于 SASL
- 636 用于 TLS
使用分发点进行域控制器轮询
您还可以使用分发点轮询域控制器。基于 Windows 或 Linux 的受管理设备可以充当分发点。
对于 Linux 分发点,支持对 Microsoft Active Directory 域控制器和 Samba 域控制器进行轮询。
对于 Windows 分发点,仅支持 Microsoft Active Directory 域控制器的轮询。
使用 Mac 分发点进行轮询不受支持。
要使用分发点配置域控制器轮询:
- 打开分发点属性。
- 选择域控制器轮询部分。
- 选择启用域控制器轮询选项。
- 选择要轮询的域控制器。
如果您使用 Linux 分发点,请在轮询指定域部分中单击添加 ,然后指定域控制器的地址和用户凭据。
如果您使用 Windows 分发点,则可以选择以下选项之一:
- 轮询当前域
- 轮询整个域森林
- 轮询指定域
- 如果需要,单击设置轮询计划按钮以指定轮询计划选项。
轮询仅根据指定的时间表开始。无法手动启动轮询。
轮询完成后,域结构将显示在域控制器部分。
如果设置并启用了设备移动规则,则新发现的设备将自动包含在“受管理设备”组中。如果未启用移动规则,新发现的设备将自动包含在“未分配的设备”组。
发现的用户账户可用于Kaspersky Security Center 云控制台中的域身份验证。
查看域控制器轮询结果
要查看域控制器轮询结果:
- 在主菜单中,转到“发现和部署”→“发现”→“域控制器”。
发现的组织单元列表被显示。
- 选择组织单元,然后单击“设备”按钮。
组织单元中的设备列表被显示。
您可以搜索列表和过滤结果。
IP 范围轮询
Kaspersky Security Center 云控制台尝试使用标准 DNS 请求为指定范围的每个地址执行反向名称解析到 DNS 名称。如果该操作成功,服务器发送 ICMP ECHO REQUEST(和 ping 命令相同)到所接收名称。如果设备响应,其信息被添加到 Kaspersky Security Center 云控制台数据库。反向名称解析对于排除具有 IP 地址但不是计算机的网络设备是必要的,例如网络打印机或路由器。
该轮询方法依赖正确配置的本地 DNS 服务。它必须具有反向查询域。如果该域未被配置,IP 子网轮询将没有结果。在使用活动目录的网络中,此类域被自动维护。但是在这些网络中,IP 子网轮询不比活动目录轮询提供更多信息。而且,小网络的管理员经常不配置反向查询区,因为它对许多网络服务来说是不必要的。由于所有这些原因,IP 子网轮询默认被禁用。
最初,Kaspersky Security Center 云控制台从用于网络轮询的分发点设备的网络设置获取用于轮询的 IP 范围。如果设备地址是 192.168.0.1 且子网掩码是 255.255.255.0,Kaspersky Security Center 云控制台自动包含网络 192.168.0.0/24 到轮询地址。Kaspersky Security Center 云控制台从 192.168.0.1 到 192.168.0.254 之间轮询所有地址。
如果您使用 Windows 网络轮询和/或 Active Directory 轮询,不建议使用 IP 范围轮询。
浏览和修改 IP 范围轮询设置
要浏览和修改 IP 范围轮询设置:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 单击要用于轮询网络的分发点的名称。
分发点属性窗口将打开。
- 选择IP 范围轮询部分。
- 通过使用“启用范围轮询”切换按钮启用或禁用 IP 轮询。
- 配置轮询计划。默认下,IP 轮询每 420 分钟(七小时)运行一次。
- 如有必要,添加或修改要轮询的 IP 范围。
当指定轮询间隔时,确保该设置不超过 IP 地址生命周期参数值。如果 IP 地址在 IP 地址生命周期中不被轮询所验证,该 IP 地址被从轮询结果中自动删除。默认下,轮询结果的生命期是 24 小时,因为动态 IP 地址(使用 Dynamic Host Configuration Protocol (DHCP))分配每 24 小时更改一次。
- 单击“确定”按钮。
属性包保存并应用到所有 IP 范围。
配置 Samba 域控制器
Kaspersky Security Center 云控制台支持仅在 Samba 4 上运行的 Linux 域控制器。
Samba 域控制器支持与 Microsoft Active Directory 域控制器相同的架构扩展。您可以使用 Samba 4 架构扩展启用 Samba 域控制器与 Microsoft Active Directory 域控制器完全兼容。这是一个可选操作。
我们建议启用 Samba 域控制器与 Microsoft Active Directory 域控制器完全兼容。这将确保Kaspersky Security Center 云控制台和 Samba 域控制器之间的正确交互。
要启用 Samba 域控制器与 Microsoft Active Directory 域控制器完全兼容:
- 执行以下命令以使用 RFC2307 架构扩展:
samba-tool domain provision --use-rfc2307 --interactive - 在 Samba 域控制器中启用架构更新。为此,请将以下行添加到 /etc/samba/smb.conf 文件中:
dsdb:schema update allowed = true如果架构更新完成时出现错误,则需要对充当架构主机的域控制器执行完整还原。
如果要正确轮询 Samba 域控制器,您必须在 /etc/samba/smb.conf 文件中指定netbios name和workgroup参数。
添加和修改 IP 范围
最初,Kaspersky Security Center 云控制台从用于网络轮询的分发点设备的网络设置获取用于轮询的 IP 范围。如果设备地址是 192.168.0.1 且子网掩码是 255.255.255.0,Kaspersky Security Center 云控制台自动包含网络 192.168.0.0/24 到轮询地址。Kaspersky Security Center 云控制台从 192.168.0.1 到 192.168.0.254 之间轮询所有地址。您可以修改自动定义的 IP 范围或添加自定义 IP 范围。
要添加新 IP 范围:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 单击要用于轮询网络的分发点的名称。
分发点属性窗口将打开。
- 选择IP 范围轮询部分。
- 要添加新 IP 范围,请单击“添加”按钮。
- 在打开的窗口,指定以下设置:
- 单击“确定”按钮。
新 IP 范围被添加到 IP 范围列表。
轮询完成后,可以使用“设备”按钮查看发现的设备列表。默认下,轮询结果的寿命是 24 小时,且等于 IP 地址生命周期设置。
分发点和连接网关的调整
Kaspersky Security Center 云控制台中的管理组结构执行以下功能:
- 设置策略范围
将相关设置应用到设备还有一种方式:使用策略配置文件。此种情况下,策略范围使用标签、Active Directory 组织单元中的设备位置、Active Directory 安全组中的成员关系等进行设置。
- 设置组任务范围
还有一个不基于管理组层级定义组任务范围的方法:使用设备分类的任务和特定设备的任务。
- 设置设备和从属管理服务器的访问权限
- 分配分发点
当建立管理组结构时,您必须考虑到组织网络的拓扑以便最优分配分发点。分发点的最优分发可让您在企业网络中节省流量。
根据组织图表和网络拓扑,以下标准配置可以被应用到管理组结构:
- 单一办公室
- 多个小远程分办公室
作为分发点的设备必须被保护,包括物理保护,以防范非授权的访问。
计算分发点的数量和配置
网络包含越多的客户端设备,就需要越多的分发点。使用下表计算您的网络所需的分发点数量。
确保您要用作分发点的设备具有足够的剩余磁盘空间卷,不定期关闭,且禁用了睡眠模式。
网络中基于网络设备数量被专门分配的包含单一网段的分发点的数量
网段中的客户端设备的数量 |
分发点数量 |
|---|---|
少于 300 |
0(不分配分发点) |
大于 300 |
可接受:(N/10,000 + 1),建议:(N/5,000 + 2),N 是网络设备数量 |
网络中基于网络设备数量被专门分配的包含多个网段的分发点的数量
每个网段中的客户端设备的数量 |
分发点数量 |
|---|---|
少于 10 |
0(不分配分发点) |
10... 100 |
1 |
大于 100 |
可接受:(N/10,000 + 1),建议:(N/5,000 + 2),N 是网络设备数量 |
使用标准客户端设备(工作站)作为分发点
如果您计划使用标准客户端设备(就是,工作站)作为分发点,我们建议您按照所示分配分发点(参见下表),以便避免通信渠道和管理服务器过载。
网络中基于网络设备数量作为分发点工作的包含单一网段的工作站的数量
网段中的客户端设备的数量 |
分发点数量 |
|---|---|
少于 300 |
0(不分配分发点) |
大于 300 |
(N/300 + 1),N 是网络设备数量;至少有三台分发点 |
网络中基于网络设备数量作为分发点工作的包含多个网段的工作站的数量
每个网段中的客户端设备的数量 |
分发点数量 |
|---|---|
少于 10 |
0(不分配分发点) |
10... 30 |
1 |
31... 300 |
2 |
大于 300 |
(N/300 + 1),N 是网络设备数量;至少有三台分发点 |
如果分发点不可用,请手动或直接从卡巴斯基更新服务器更新卡巴斯基数据库、软件模块和应用程序。
分发点的标准配置:单一办公室
在标准“单一办公室”配置中,所有设备都在组织网络中,因此它们能看见彼此。组织网络可能包含几部分(网络或网段),由窄通道连接。
有以下构建管理组结构的方法:
- 构建管理组结构涉及到网络拓扑。管理组结构可能不精确反映网络拓扑。网络各部分之间以及特定管理组相互匹配。
- 不考虑网络拓扑而构建管理组结构。此种情况下,您必须为网络中每个部分的根管理组分配一个或几个设备作为分发点,例如为受管理设备组。所有分发点将处于相同级别,并将掌控组织网络中所有设备的相同范围。此种情况下,每个网络代理都将连接到具有最短路由的分发点。分发点的路由可以使用 tracert 使用工具跟踪。
分发点的标准配置:多个小远程办公室
该标准配置可用于多个小型远程办公室,它们可能通过互联网与总部联络。每个远程办公室都位于 NAT 之外,就是说,从一个远程办公室到另一个远程办公室的连接是不可能的,因为办公室是彼此隔离的。
配置必须在管理组中体现:必须为每个远程办公室创建各自的管理组(下图中的组办公室 1 和办公室 2)。
远程办公室包含在管理组结构
必须指定一个或多个分发点给每个办公室的对应管理组。分发点必须是远程办公室中具有足够剩余磁盘空间的设备。部署在办公室 1 组的设备,例如,将访问分配到办公室 1 管理组的分发点。
如果一些用户在办公室之间移动他们的便携电脑,您必须在远程办公室选择两个或更多设备(除了现有的分发点)并分配它们作为等级管理组的分发点(上图中办公室根组)。
例如:便携式电脑部署在办公室 1 管理组,然后被移动到对应于办公室 2 管理组的办公室。在移动便携式电脑后,网络代理试图访问分配到办公室 1 组的分发点,但是那些分发点不可用。然后,网络代理开始尝试访问分配到办公室根组的分发点。因为远程办公室是彼此隔离的,尝试访问分配到办公室根组管理组的分发点仅在网络代理尝试访问办公室 2 组中的分发点时才会成功。就是说,便携式电脑将保持在原始办公室对应的管理组,但是将使用它当时所在办公室的分发点。
手动分配分发点
Kaspersky Security Center 云控制台允许您手动指定设备做为分发点。我们建议您计算数字并配置您网络所需的分发点。
运行 MacOS 的分发点设备无法从 Kaspersky 更新服务器下载更新。
如果一个或多个运行 macOS 的设备在“将更新下载至分发点存储库”任务范围内,则该任务将以“失败”状态完成,即使该任务在所有 Windows 设备上均已成功完成。
作为分发点的设备必须被保护,包括物理保护,以防范非授权的访问。
要手动指派设备做为分发点:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 单击“分配”按钮。
- 选择您要制作分发点的设备。
选择设备时,请牢记分发点的操作功能以及设备做为分发点的需求。
- 选择您要包含在所选分发点范围的管理组。
- 单击“添加”按钮。
您添加的分发点将显示在“分发点”区域的分发点列表中。
- 在列表中选择新添加的分发点以打开其属性窗口。
- 在属性窗口中配置分发点:
- “常规”区域中包含用于设定分发点与客户端设备进行交互的设置:
- 在“范围”区域,指定分发点发布更新的范围(管理组和/或网络定位)。
仅运行 Windows 操作系统的设备可以定义网络位置。网络位置无法定义在运行其他操作系统的设备上。
- 在“KSN 代理”区域,您可以配置应用程序使用分发点从受管理设备转发 KSN 请求:
- 按分发点配置 Windows 域、域控制器和 IP 范围的轮询:
- 在高级区域,指定分发点必须使用以存储发布数据的文件夹:
- 单击“确定”按钮。
所选设备作为分发点运行。
修改管理组的分发点列表
您可以查看为特定管理组分配的分发点列表并通过添加或删除分发点来修改列表。
要查看和修改分配给管理组的分发点列表:
- 在主菜单中,转到“资产(设备)”→“组”。
- 在管理组结构中,选择您要查看其分配的分发点的管理组。
- 单击“分发点”选项卡。
- 通过使用“分配”按钮为管理组添加新分发点,或使用“取消分配”按钮删除已分配的分发点。
根据于您的修改,新分发点被添加到列表或现有分发点被从列表删除。
将分发点用作推送服务器
在 Kaspersky Security Center 云控制台中,分发点可以充当由网络代理管理的基于 Windows 和 Linux 的设备的推送服务器。推送服务器与启用该推送服务器的分发点具有相同的受管理设备范围。如果为同一个管理组分配了多个分发点,则可以在每个分发点上都启用推送服务器。在这种情况下,管理服务器会平衡分发点之间的负载。
您可以将分发点用作推送服务器,以确保受管理设备和管理服务器之间存在持续连接。某些操作需要持续连接,例如运行和停止本地任务、接收受管理应用程序的统计信息或创建隧道。如果使用分发点作为推送服务器,则不必将数据包发送到网络代理的 UDP 端口。
要将分发点用作推送服务器:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 单击要用作推送服务器的分发点。
- 在所选分发点的属性列表中,转到常规部分,然后启用运行推送服务器选项。
推送服务器端口输入字段变为可用。
- 在推送服务器端口输入字段中,指定推送服务器端口号,即客户端设备将用于连接的分发点上的端口。默认情况下使用端口 13295。
要在充当推送服务器的分发点和受管理设备之间建立连接,必须手动将指定的推送服务器端口添加到 Microsoft Windows 防火墙排除列表。
- 单击“确定”退出分发点属性窗口,然后单击“保存”应用更改。
启用运行推送服务器选项后,将在充当推送服务器的分发点上自动启用不断开与管理服务器的连接选项。此选项提供网络代理和管理服务器之间的早期连接。
- 打开网络代理策略设置窗口。
- 转至连接→网络,然后启用使用分发点强制连接到管理服务器选项。关闭此选项的锁。
- 另外,在网络部分中,您可以禁用使用 UDP 端口选项。配置的推送服务器将在受管理设备和管理服务器之间提供连续的连接,而不是通过 UDP 端口发送数据包。
- 单击“确定”退出窗口。
该分发点将开始用作推送服务器。它现在可以向客户端设备发送推送通知。
使用“不要断开与管理服务器的连接”选项提供受管理设备和管理服务器之间的持续连接
如果你不使用推送服务器,则 Kaspersky Security Center 云控制台不提供受管理设备和管理服务器之间的持续连接。受管理设备上的网络代理定期建立连接并与管理服务器同步。同步会话之间的时间间隔定义在网络代理策略中。如果需要提前同步,管理服务器(或分发点,如果正在使用)会通过 IPv4 或 IPv6 网络将签名的网络数据包发送到网络代理的 UDP 端口。默认情况下,端口号指定为 15000。如果在管理服务器和受管理设备之间无法通过 UDP 建立连接,则在同步间隔内的下次网络代理和管理服务器常规连接时将运行同步。
如果没有网络代理和管理服务器之间的早期连接,某些操作将无法执行,例如运行和停止本地任务、接收受管理应用程序的统计信息或创建隧道。要解决此问题,如果您不使用推送服务器,则可以使用“不断开与管理服务器的连接”选项来确保受管理设备与管理服务器之间存在持续连接。
要提供客户端设备与管理服务器之间的持续连接:
- 执行以下操作之一:
- 如果受管理设备直接(即不通过分发点)访问管理服务器:
- 在主菜单中,转到“设备”→“受管理设备”。
- 单击您想要提供连续连接的设备的名称。
受管理设备的属性窗口打开。
- 如果受管理设备通过在网关模式下运行的分发点访问管理服务器,而不是直接访问:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“分发点”区域。
- 在分发点列表中,单击所需分发点的名称。
将打开所选分发点的属性窗口。
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
- 如果受管理设备直接(即不通过分发点)访问管理服务器:
- 在打开的属性窗口的“常规”区域中,选择“不断开与管理服务器的连接”选项。
持续连接在受管理设备和管理服务器之间被建立。
选中“不断开与管理服务器的连接”选项时的最大设备总数为 300。
创建管理组
最初,管理组的层次结构包含唯一名为受管理设备的管理组。当创建管理组层次结构时,您可以将设备和虚拟机添加到“受管理设备”组中,也可以添加子组。对于每个管理组,属性窗口包含有关与该组相关的策略、任务和设备的信息。
要创建管理组,请执行以下操作:
- 在主菜单中,转到“资产(设备)” → “组层级”。
- 选择您要创建新子组的管理组旁边的复选框。
- 单击“添加”按钮。
- 输入新管理组的名称。
- 单击“添加”按钮。
一个具有指定名称的新管理组将出现在管理组层次结构中。
应用程序允许基于 Active Directory 的结构或域网络构创建管理组层次结构。您也可以从文本文件创建组架构。
要创建管理组结构:
- 在主菜单中,转到“资产(设备)” → “组层级”。
- 单击“导入”按钮。
新管理组结构向导启动。遵照向导的说明操作。
创建设备移动规则
您可以设置设备移动规则,即自动分配设备到管理组的规则。
要创建移动规则:
- 在主菜单中,转到“资产(设备)”→“移动规则”。
- 单击添加。
- 在打开的窗口中,在“常规”选项卡上指定以下信息:
- 在“规则条件”选项卡上,指定至少一个标准,设备将依据该标准移至管理组。
- 单击“保存”。
移动规则被创建。它显示在移动规则列表。
列表上的位置越高,规则的优先级越高。要提高或降低移动规则的优先级,请使用鼠标在列表中分别向上或向下移动规则。
如果选择了“持续应用规则”选项,则移动规则的应用与优先级设置无关。这些规则会根据管理服务器自动设置的时间表来应用。
如果设备属性满足多个规则的条件,设备被移动到具有高优先级的规则的目标组。
复制设备移动规则
您可以复制移动规则,例如,如果您要对不同目标管理组拥有几个相同规则。
要复制现有移动规则:
- 执行以下操作之一:
- 在主菜单中,转到“资产(设备)”→“移动规则”。
- 在主菜单中,转到“发现和部署”→“部署和分配”→“移动规则”。
移动规则列表被显示。
- 选择您要复制的规则旁边的复选框。
- 单击复制。
- 在打开的窗口中的“常规”选项卡上更改以下信息或不进行任何更改(如果您仅想复制规则而不更改其设置):
- 在“规则条件”选项卡上,为您希望自动移动的设备指定至少一个标准。
- 单击“保存”。
新移动规则被创建。它显示在移动规则列表。
手动将设备添加到管理组
您可以通过创建设备移动规则来自动将设备移动到管理组,或通过将设备从一个管理组移动到另一管理组或将设备添加到选定的管理组来手动移动设备。本节介绍如何手动将设备添加到管理组。
要手动将一台或多台设备添加到选定的管理组:
- 在主菜单中,转到资产(设备) → 受管理设备。
- 选择您要向其添加设备的管理组:
- 对于根组:
在这种情况下,您可以继续下一步。
- 对于子组:
单击页面顶部的更改范围按钮,然后在打开的窗口中单击子组的名称。
所选组的路径显示在页面顶部。如果需要,您可以单击带有管理组名称的链接前往该组。默认情况下,路径中的最后一个链接不活动。
- 对于根组:
- 单击“添加设备”按钮。
移动设备向导启动。
- 生成要添加到管理组的设备列表。
您只能添加在连接设备时或设备发现后其信息已经添加至管理服务器数据库的设备。
选择要将设备添加到列表的方式:
- 单击“添加设备”按钮,然后通过以下方式之一指定设备:
- 从管理服务器检测到的设备列表中选择设备。
- 指定设备 IP 地址或 IP 范围。
- 指定设备的 NetBIOS 名称或 DNS 名称。
设备名称字段不得包含空格、退格或以下禁止的字符:, \ / * ‘ “ ; : & ` ~ ! @ # $ ^ ( ) = + [ ] { } | < > %
- 单击“从文件导入设备”按钮以从 .txt 文件导入设备列表。每个设备地址或名称都必须在单独一行中指定。
该文件不得包含空格、退格或以下禁止的字符:, \ / * ‘ “ ; : & ` ~ ! @ # $ ^ ( ) = + [ ] { } | < > %
- 单击“添加设备”按钮,然后通过以下方式之一指定设备:
- 查看要添加到管理组的设备列表。您可以通过添加或删除设备来编辑列表。
- 确保列表正确后,单击“下一步”按钮。
向导将处理设备列表并显示结果。处理成功的设备将添加到管理组并以管理服务器生成的名称显示在设备列表中。
手动将设备或者集群移动至管理组
您可以将设备从一个管理组移动到另一个管理组,或从未分配的设备组移动到管理组。
您还可以将集群或服务器阵列从一个管理组移动到另一个管理组。当您将集群或服务器阵列移动到另一个组时,其所有节点都会随之移动,因为集群及其任何节点始终属于同一管理组。当您在设备选项卡上选择单个集群节点时, 移动到组按钮将变得不可用。
要将一台或多台设备或者集群移动到选定的管理组:
- 打开要从中移动设备的管理组。为此,请执行以下操作之一:
- 要打开管理组,请在主菜单中,转到“资产(设备)”→“组”→“<组名称>”→“受管理设备”。
- 要打开“未分配的设备”组,请转到“发现和部署”→“未分配的设备”。
- 如果管理组包含集群或服务器阵列,则受管理设备区域将被分为两个选项卡:设备选项卡和集群和服务器阵列选项卡。打开要移动的对象的选项卡。
- 选中要移动到其他组的设备或者集群旁边的复选框。
- 单击移动到组按钮。
- 在管理组的层级中,选中要将选定设备或者集群移动到的管理组旁边的复选框。
- 单击“移动”按钮。
选定设备或者集群将被移动到选定管理组。
为未分配的设备配置保留规则
Windows 网络轮询完成后,发现的设备被放置到“未分配的设备”管理组的子组。该管理组可以在“发现和部署”→“发现”→“Windows 域”中找到。“Windows 域”文件夹是父组。它包含以对应域为名称的子组和在轮询过程中发现的工作组。父组可能也包含移动设备管理组。您可以为父组和每个子组配置未分配的设备的保留规则。保留规则不取决于设备发现设置并在设备发现被禁用时也工作。
设备保留规则不会影响具有一个或多个使用完整磁盘加密进行加密的驱动器的设备。此类设备不会被自动删除——您只能手动删除它们。如果您需要删除带有加密驱动器的设备,请先解密驱动器,然后再删除该设备。
要为未分配的设备配置保留规则:
- 在主菜单中,转到“发现和部署” →“发现”→“Windows 域”。
- 执行以下操作之一:
- 要配置父组的设置,请单击“属性”按钮。
Windows 域属性窗口将开启。
- 要配置子组设置,点击其名称。
子组属性窗口将开启。
- 要配置父组的设置,请单击“属性”按钮。
- 定义下列设置:
- 单击“接受”按钮。
您的更改已保存并应用。
页顶