我需要在 ConfigMgr 2012r2 中管理什么来管理远程笔记本电脑?

我需要在 ConfigMgr 2012r2 中管理什么来管理远程笔记本电脑?

我正在规划我们的 System Center Configuration Manager 2012R2 部署。

有一件事我很难搞清楚,那就是我需要什么来支持远程笔记本电脑。我们有不少用户有时在家/在路上工作(因此他们的笔记本电脑在域中,但通常一次数周不连接到我们的网络)。我们还有许多用于演示等的笔记本电脑,它们根本不在域中,而且很少甚至从未连接到我们的内部网络。

到目前为止,我知道我需要 PKI 设置并正常工作,这应该不是什么大问题。

但是我是否需要在 DMZ 中为互联网客户端设置单独的服务器?如果需要,那么由哪些角色来设置?其中一篇技术文章说要设置一个完全独立的林。这真的有必要吗?

我可以简单地向内网站点服务器开放 HTTPS 吗?或者这会引入一些巨大的攻击媒介?

我确信有几种方法可以实现这一点,每种方法都有优点、缺点和安全隐患,但到目前为止,我甚至还没有列举出我的选择有哪些。

对于 MDMarra 的问题:

为了管理连接互联网的笔记本电脑,我希望(如果可能的话):

  • 保持硬件和软件清单最新
  • 确保他们安装了 Windows 更新(希望从 MS 下载,而不是我的本地服务器)
  • 检查端点防病毒状态
  • 推出软件和第三方更新

当然,有些事情,比如操作系统部署和带外管理,根本无法远程实现。远程控制似乎也不支持远程控制,这很不幸,但我没有它也可以。

我们正在考虑为域连接的笔记本电脑设置 VPN,这可能会让事情变得更容易,但这仍然遥不可及。而且这对非域笔记本电脑没有帮助。

答案1

  • 您不需要单独的 DMZ 系统,但强烈建议使用。
  • 不需要单独的森林。
  • 您可以将内部服务器开放到互联网并将其设置为处理互联网客户端......但这将是一个巨大的安全漏洞。

规划/实施这件事有很多细节。我提供了几个链接来帮助您入门。

以下文章介绍了所有先决条件:http://blogs.technet.com/b/jchalfant/archive/2015/04/15/prerequisites-for-ibcm-in-configuration-manager.aspx

这是有关该过程的非常详细的教程:http://www.systemcenterdudes.com/internet-based-client-management/

相关内容