透過卡巴斯基安全管理中心遠端安裝工作的強制佈署

若要執行網路代理或其他應用程式的初始部署，您可以使用卡巴斯基安全管理中心的遠端安裝工作強制安裝選定的安裝套件，前提是每個裝置都有一個具有本機管理員權限的使用者帳戶。

強制安裝也可以在裝置無法被管理伺服器直接存取時套用：例如，裝置在隔離網路中，或者裝置在本機網路但管理伺服器在 DMZ。

在初始部署的情況下，不會安裝網路代理。因此，在遠端安裝工作的設定中，您無法選擇使用網路代理進行應用程式安裝所需的檔案分發。您只能透過管理伺服器或發佈點選擇使用作業系統資源來分發檔案。

管理伺服器服務必須在對目標裝置具有管理權限的帳戶下執行。或者，您可以在遠端安裝工作的設定中指定有權存取 admin$ share 的帳戶。

預設情況下，遠端安裝工作使用執行管理伺服器的帳戶的憑證連線到裝置。需要澄清的是，這是用於存取 admin$ share 的帳戶，而不是執行遠端安裝工作的帳戶。安裝在 LocalSystem 帳戶下進行。

您可以明確指定目的裝置（使用清單），透過選取它們所屬的卡巴斯基安全管理中心管理群組，或透過基於指定標準建立裝置分類。安裝開始時間定義在工作排程中。如果工作內容中啟用了執行錯過的工作，工作可以在裝置開啟時立即執行，或裝置被移動到目的管理群組時立即執行。

強制安裝套件包括傳送安裝套件到目的裝置、隨後複製檔案到每個目的裝置的 admin$ 資源，和在這些裝置上遠端註冊支援服務。傳送安裝套件到目的裝置透過卡巴斯基安全管理中心的網路互動功能執行。以下條件必須在此種情況下被滿足：

• 目的裝置可從管理伺服器端或分發點端存取。
• 目的裝置的名稱解析在網路中正常運作。
• 裝置上的管理分享 (admin$) 保持啟用。
• 目標裝置上正在執行以下系統服務：
  • 伺服器 (LanmanServer)

    預設情況下，該服務正在執行。

  • DCOM 伺服器處理程序啟動器 (DcomLaunch)
  • RPC Endpoint Mapper (RpcEptMapper)
  • 遠端過程呼叫 (RpcS)
• 目標裝置上開啟了連接埠 TCP 445，以便透過 Windows 工具啟用遠端存取。

  TCP 139、UDP 137 和 UDP 138 由舊協定使用，目前應用程式不再需要。

  防火牆上必須允許動態出站存取連接埠，以便實現從管理伺服器和發佈點到目標裝置的連線。

• 在部署網路代理期間，Active Directory 網域政策安全性設定被允許提供 NTLM 協定的操作。
• 在執行 Microsoft Windows XP 的目的裝置上，簡單檔案共用模式被停用。
• 在目標裝置上，存取共用和安全模型被設定為經典 - 本機使用者以自己的身分進行身分驗證。它絕不可能是僅限訪客 - 本機使用者以訪客身分進行身分驗證。
• 目的裝置是網域成員，或帶有管理員權限的統一帳戶提前在目的裝置上被建立。

若要將網路代理或其他應用程式成功部署到未加入 Windows Server 2003 或更高版本 Active Directory 網域的裝置，必須在該裝置上停用遠端 UAC。遠端 UAC 是阻止本機管理帳戶存取 admin$ 的原因之一，這對於強制部署網路代理或其他應用程式必不可少。停用遠端 UAC 不會影響本機 UAC。

在未配置到任何卡巴斯基安全管理中心管理群組的新裝置上進行安裝時，您可以開啟遠端安裝工作內容並指定網路代理安裝後裝置要移動到的管理群組。

當建立群組工作時，記住每個群組工作都影響所選群組的潛逃群組中的所有裝置。因此，您必須避免在子群組中的重複安裝工作。

建立強制安裝應用程式工作的一種簡化方法是自動安裝。為此，您必須開啟管理群組內容，開啟安裝套件清單，然後選取必須在該群組中的裝置上安裝的套件。結果，所選安裝套件將被自動安裝在該群組和其所有子群組中的所有裝置上。套件被安裝的時間間隔取決於網路吞吐量和網路裝置總數。

為了減少傳送安裝套件到目的裝置期間管理伺服器的負載，您可以在安裝工作中選擇透過發佈點安裝。注意，該安裝方法給作為發佈點的裝置增加了大量負載。因此，建議您選擇符合發佈點要求的裝置。如果您使用發佈點，必須確保它們存在於託管目的裝置的每個隔離子網路中。

使用發佈點作為本機安裝中心也可以用在與管理伺服器具有窄通道通訊的子網路裝置上的安裝，此時子網路中的通道頻寬很高。

資料夾 %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit 所在分區的磁碟剩餘空間必須超過所安裝應用程式的分發套件的總大小的好幾倍。

頁頂