LANDesk Security Suite

本文档中包含的信息为 LANDesk Software, Ltd. 及其附属公司所有。本文档属于机密信息,事先 

未经 LANDesk Software Ltd. 及其附属公司(以下简称 “LANDesk”)书面许可,不得擅自泄漏或 

复制本文档中的内容。 

本文档中的任何内容都不具任何明示或暗示的保证、担保或许可。 

对于此类保证、担保和许可,LANDesk 不负担任何责任,包括但不限于:适合特定用途、适销 

性、不侵犯任何第三方或 LANDesk 的知识产权或其他权利、补偿以及其他一切保证。LANDesk 

产品并非专为医疗、挽救或延续生命而设计。忠告读者:第三方拥有与本文档和在此讨论的技术有 

关的知识产权;如果发生侵权行为,需要诉诸法律解决,LANDesk 不负任何责任。 

LANDesk 可以随时更改本文档以及相关的产品规范和说明,恕不另行通知。LANDesk 对本文档 

的使用不作任何担保,对文档中可能出现的错误不负任何责任,也没有义务要更新此处包含的信 

息。 

版权所有 (C) 2005, LANDesk Software Ltd. 或其附属公司。保留所有权利。 

LANDesk 是 LANDesk Software, Ltd. 或其所控附属机构在美国和/或其他国家/地区的注册商标或 

商标。 

* 其他品牌和名称是其各自所有者的财产。

目录 

LANDesk Security Suite 用户指南................................................................................................... 7 

安装 LANDesk Security Suite...................................................................................................... 8 

了解 Security Suite 工具和功能................................................................................................... 9 

从何处获取详细信息.................................................................................................................. 12 

LANDesk Security Suite 简介 ........................................................................................................ 13 

安装 LANDesk Security Suite.................................................................................................... 14 

了解 Security Suite 工具和功能................................................................................................. 15 

从何处获取详细信息.................................................................................................................. 18 

安装 LANDesk Security Suite.................................................................................................... 19 

了解 Security Suite 工具和功能................................................................................................. 20 

从何处获取详细信息.................................................................................................................. 23 

使用 Security and Patch Manager................................................................................................. 25 

Security and Patch Manager 概述............................................................................................. 26 

了解和使用 Security and Patch Manager 窗口 ......................................................................... 30 

安全性和修补程序管理工作流 ................................................................................................... 36 

为安全扫描和修补配置设备 ....................................................................................................... 37 

管理安全内容和修补程序........................................................................................................... 40 

更新安全性内容和修补程序 ....................................................................................................... 41 

查看安全性和修补程序内容 ....................................................................................................... 43 

清理未使用的定义...................................................................................................................... 44 

创建定制定义和检测规则........................................................................................................... 45 

下载修补程序............................................................................................................................. 49 

卸载修补程序............................................................................................................................. 50 

使用 LANDesk 可信访问................................................................................................................ 51 

LANDesk 可信访问概述............................................................................................................. 53 

了解和选择 LANDesk 可信访问解决方案 .................................................................................. 57 

使用 LANDesk DHCP 解决方案 ................................................................................................ 58 

设置 LANDesk DHCP 实现的“快速启动”任务列表 .................................................................... 67 

安装和配置修补服务器 .............................................................................................................. 72 

设置 LANDesk DHCP 服务器.................................................................................................... 75 

使用 LANDesk DHCP Manager 工具配置 LANDesk DHCP 服务器 ......................................... 78 

iii

目录 

iv 

使用 Cisco NAC 解决方案 ......................................................................................................... 86 

设置 Cisco NAC 实现的“快速启动”任务列表 ............................................................................. 94 

安装和配置专用的状态验证服务器 ............................................................................................ 98 

配置遵从性安全条件并发布可信访问设置 ............................................................................... 101 

管理遵从性安全 ....................................................................................................................... 110 

使用 Connection Control Manager .............................................................................................. 117 

使用连接控制配置限制网络访问.............................................................................................. 118 

使用设备控制配置限制 USB 设备访问 .................................................................................... 121 

配置警报 .................................................................................................................................. 127 

部署配置 .................................................................................................................................. 128 

启动控制台................................................................................................................................... 131 

激活核心服务器 ....................................................................................................................... 132 

启动控制台 .............................................................................................................................. 135 

更改核心服务器的连接 ............................................................................................................ 136 

使用控制台................................................................................................................................... 137 

控制台概述 .............................................................................................................................. 138 

了解网络视图........................................................................................................................... 139 

创建组...................................................................................................................................... 142 

设备图标 .................................................................................................................................. 143 

查看“所有设备”组中的受管设备 ............................................................................................... 144 

快捷菜单 .................................................................................................................................. 145 

用列集配置网络视图................................................................................................................ 146 

工具栏选项 .............................................................................................................................. 148 

使用控制台工具 ....................................................................................................................... 149 

可停靠的工具窗口.................................................................................................................... 150 

保存窗口布局........................................................................................................................... 151 

“查找”栏 ................................................................................................................................... 152 

状态栏...................................................................................................................................... 153 

查看设备属性........................................................................................................................... 154 

监视设备的联网情况................................................................................................................ 157 

使用支持 Intel® AMT 的设备 ................................................................................................... 158 

使用基于角色的管理 .................................................................................................................... 163 

基于角色的管理概述: ............................................................................................................ 164 

管理 LANDesk 用户................................................................................................................. 166

管理组...................................................................................................................................... 169 

了解权限 .................................................................................................................................. 171 

创建范围 .................................................................................................................................. 177 

为用户分配权限和范围 ............................................................................................................ 179 

配置服务 ...................................................................................................................................... 181 

利用常规设置选择核心服务器和数据库................................................................................... 182 

配置清单服务........................................................................................................................... 183 

配置调度程序服务.................................................................................................................... 186 

配置自定义作业服务................................................................................................................ 188 

配置多播服务........................................................................................................................... 190 

配置操作系统部署服务 ............................................................................................................ 191 

配置设备代理 ............................................................................................................................... 193 

使用代理配置........................................................................................................................... 194 

代理安全证书和可信证书......................................................................................................... 197 

卸载设备代理........................................................................................................................... 200 

目录 

将 LANDesk Server Manager 和 LANDesk System Manager 与 LANDesk Management Suite 

一起使用 .................................................................................................................................. 201 

安装 Linux 服务器代理............................................................................................................. 202 

使用数据库查询............................................................................................................................ 209 

查询概述 .................................................................................................................................. 210 

查询组...................................................................................................................................... 211 

创建数据库查询 ....................................................................................................................... 212 

运行数据库查询 ....................................................................................................................... 214 

导入和导出查询 ....................................................................................................................... 215 

使用 LDAP 查询........................................................................................................................... 217 

关于“目录管理器”窗口.............................................................................................................. 218 

有关轻型目录访问协议 (LDAP) 的详细信息 ............................................................................ 221 

管理清单 ...................................................................................................................................... 223 

清单扫描概述........................................................................................................................... 224 

查看清单数据........................................................................................................................... 226 

跟踪清单更改........................................................................................................................... 228 

使用报告 ...................................................................................................................................... 229 

报告概述 .................................................................................................................................. 230 

运行和查看报告 ....................................................................................................................... 232 

v

目录 

vi 

发布报告 .................................................................................................................................. 233 

创建自定义报告 ....................................................................................................................... 236 

导入和导出报告 ....................................................................................................................... 240 

创建 .CSV 文件........................................................................................................................ 241 

使用脚本和任务............................................................................................................................ 243 

管理脚本 .................................................................................................................................. 244 

安排任务 .................................................................................................................................. 245 

使用默认脚本........................................................................................................................... 250 

配置本地调度程序脚本 ............................................................................................................ 251 

使用软件分发 ............................................................................................................................... 253 

软件分发概述........................................................................................................................... 254 

设置传送服务器 ....................................................................................................................... 258 

分发程序包 .............................................................................................................................. 261 

将软件分发到 Linux 设备上 ..................................................................................................... 267 

解决分发失败问题.................................................................................................................... 268 

使用基于策略的分发................................................................................................................ 269 

关于基于策略的管理................................................................................................................ 270 

配置策略 .................................................................................................................................. 272 

使用“不受管的设备搜寻” .............................................................................................................. 275 

搜寻不受管的设备.................................................................................................................... 276 

管理本地帐户 ............................................................................................................................... 279 

本地帐户概览........................................................................................................................... 280 

使用警报 ...................................................................................................................................... 285 

警报的工作方式 ....................................................................................................................... 286 

配置 AMS 报警 ........................................................................................................................ 287 

处理配置好的报警.................................................................................................................... 294 

查看 AMS 警报历史记录.......................................................................................................... 296 

附录 D:其他安全性扫描器信息 .................................................................................................. 299

LANDesk Security Suite 用户指南 

LANDesk Security Suite 提供了一些工具,可用于管理和保护 Windows NT*、Windows* 

2000/2003、Macintosh* 和 Linux* 网络上的设备和数据。 

Security Suite 基于 LANDesk Management Suite 的主要功能,可用于配置和管理网络设备,并新 

增了与安全性有关的工具,如 Security and Patch Manager、LANDesk 可信访问和 Connection 

Control Manager。 

增强的 Security and Patch Manager 工具允许在受管设备上扫描多种常见类型的安全风险,包括已 

知的漏洞、间谍软件、配置错误、未授权或阻止的应用程序以及其他潜在的安全风险与隐患。 

LANDesk 可信访问将端点的遵从性安全添加到网络。可信访问可使用 Security and Patch 

Manager 工具配置自定义遵从性安全策略,并通过状态验证过程在试图访问网络的设备上实现这 

些策略。Connection Control Manager 工具允许通过网络连接和 I/O 设备来监控和限制对受管设备 

的访问。 

阅读本章后,您将了解以下内容: 

• 安装 LANDesk Security Suite 

• Security Suite 内容订阅 

• 了解 Security Suite 工具和功能 

• 从何处获取详细信息 

7

用户指南 

安装 LANDesk Security Suite 

LANDesk Security Suite 和 LANDesk Management Suite 都使用相同的安装程序在核心服务器上 

安装必要的组件。与其他 LANDesk 软件产品(例如 Management Suite 和 Inventory Manager) 

一样,当使用您的 LANDesk 帐户信息激活核心服务器后,即可在控制台中使用相应的 Security 

Suite 功能。如果您具有经过许可的 Security Suite 帐户,则登录控制台后可看到本指南中所述的 

工具和功能。 

如《LANDesk Management Suite 安装和部署指南》中所述,在混合网络上安装和部署 LANDesk 

管理软件等系统级的应用程序时需要深思熟虑的方法和周密的计划,之后再运行安装程序。由于网 

络考量比较类似并且产品都使用同一安装程序,因此应参考该指南以了解有关部署策略的详细信息 

和每个部署阶段的逐步说明,包括:设计管理域、准备数据库、安装 LANDesk 核心服务器和配置 

设备代理。 

重要说明:需要注意的是,该指南中所涉及的 Management Suite 的某些组件不适用于 Security 

Suite 实现,例如操作系统部署和汇总核心数据库。 

一旦安装完 LANDesk Security Suite 并使用 Security Suite 许可激活核心服务器后,即可参考该指 

南的相关章节以了解有关启动控制台和使用安全性专用工具、Security and Patch Manager 和 

Connection Control Manager 等可用工具的信息。 

Security Suite 内容订阅 

LANDesk Security Suite 提供了扫描和修复支持,可用于多种不同类型的安全风险,包括支持的设 

备平台上的已知操作系统漏洞和应用程序漏洞、间谍软件、系统配置威胁、未授权的应用程序以及 

更多。所有类型的安全风险都在其自己的由 ID、属性和检测规则详细信息(以及修补程序文件信 

息,如果有)组成的定义文件中有说明。可将这些定义文件作为安全性和修补程序内容从 

LANDesk Security Services 下载获得。 

为下载安全性和修补程序内容,您必须具有适当的 Security Suite 内容订阅。有关 Security Suite 

内容订阅的信息,请联系 LANDesk 销售商,或者访问 LANDesk 网站。 

该指南中的 Security and Patch Manager 一章介绍了如何下载您已订阅的内容。 

8

了解 Security Suite 工具和功能 

LANDESK SECURITY SUITE 用户指南 

Security Suite 的定义工具称为 Security and Patch Manager。有关可用的安全性内容类型和支持 

的设备平台,以及如何使用该工具执行安全性扫描、修补程序维护、修补、查看扫描结果和设置正 

在运行的系统的安全性等方面的详细信息,请参阅使用 Security and Patch Manager。 

Security and Patch Manager 

使用适当的 Security Suite 内容订阅下载最新的已知漏洞(和其它安全性内容类型)定义及相关的 

修补程序。为 LANDesk 软件更新扫描受管设备以及核心服务器和控制台。配置和运行自定义安全 

性评估扫描以扫描已知的特定于平台的漏洞、间谍软件、系统配置安全威胁、防病毒扫描器和阻止 

的应用程序。 

创建自己的自定义安全定义来扫描设备,以发现特定的具有潜在危险性的情况。研究、设置优先 

级、下载以及部署和安装修补程序。 

创建并运行用于修补检测到的安全风险的计划任务和策略。 

配置在扫描和修补过程中安全扫描器是否显示在最终用户设备上,配置设备重新启动选项以及用户 

交互的级别。 

查看所扫描设备的全面的安全性和修补程序信息。 

生成安全报告。 

LANDesk Management Suite 中的 Security and Patch Manager 的限制: 

Security and Patch Manager 工具也是默认的 LANDesk Management Suite 安装的一部分,但是 

只可扫描 LANDesk 软件更新和自己的定制定义。要扫描并修补其他安全性类型,必须具有 

Security Suite 内容订阅。 

其它与安全性相关的工具包括: 

LANDesk 可信访问 

将端点的遵从性安全添加到网络。LANDesk 可信访问可使用 Security and Patch Manager 工具配 

置自定义遵从性安全策略,并通过状态验证过程在试图访问网络的设备上实现这些策略。健全设备 

将授予访问权限,而不健全设备则受到隔离,它们可以在隔离区中得到修补并被授予完全访问权 

限,或者允许它们对网络进行有限访问。 

可信访问需要安装其它硬件和软件以及有关网络路由和 DHCP 服务的丰富实践知识。 

LANDesk 提供两种可信访问解决方案:Cisco NAC 集成解决方案和基于 LANDesk DHCP 服务器 

的解决方案。有关详细信息,请参阅使用 LANDesk 可信访问。 

连接控制管理器 

通过网络连接和 I/O 设备来监控和限制对受管设备的访问。可以对允许设备连接的网络 IP 地址进 

行限制,也可以对那些允许访问设备数据的设备(如端口、调制解调器、驱动器、USB 端口和无 

线连接)的使用进行限制。有关详细信息,请参阅使用 Connection Control Manager。 

9

用户指南 

Security Suite 中包含的其它常用 LANDesk 工具 

其它常用的 LANDesk 工具提供基本的设备配置和管理功能。 

LANDesk Security Suite 中提供以下工具,它们显示在“工具”菜单中。(注意,某些工具在 

Security Suite 许可激活中受到一定限制): 

代理配置 

创建自定义代理配置以部署和安装管理和保护网络设备时所必需的 LANDesk 代理。这些代理是标 

准 LANDesk 代理(包括清单扫描器、本地调度程序、带宽检测以及安全性和修补程序扫描器)、 

软件分发代理和软件授权监视代理(用于阻止应用程序)。 

不适用于 Security Suite 的代理 

以下组件/代理不适用于 Security Suite:自定义数据表单、远程控制以及操作系统部署和配置文件 

迁移。 

列集配置 

自定义清单数据,这些数据在控制台网络视图中显示设备列表和查询结果列表。 

报告 

生成和发布大量专门报告(包括多种预定义的 Security and Patch Manager 报告),这些报告可提 

供有关受管设备的有用信息。 

(以下报告类别不适用于 Security Suite:所有资产报告、所有 SLM 报告和所有远程控制报告。) 

计划任务 

创建与安全性和修补程序管理有关的特定计划任务,如安全性扫描和修补任务。配置任务的目标设 

备和计划时间选项。 

(以下计划任务/脚本类型不适用于 Security Suite:自定义数据表单、自定义脚本、手持设备任务 

和 OSD/配置文件迁移脚本。此外,分发程序包和传送方式任务选项也不能用 Security Suite 配 

置。 

不受管的设备搜寻 

查找网络中未向核心数据库提交清单扫描的设备。 

使用基于角色的管理和本地帐户工具的用户管理 

向 Security Suite 添加用户,并根据他们在网络中的管理角色配置其对工具和受管设备的访问。通 

过基于角色的管理,可根据设备组、查询、LDAP 目录或自定义目录指定范围以确定用户可查看和 

管理的设备,还可以指定权限以确定用户可执行的任务。在 Security Suite 中可用的权限有: 

Security and Patch Manager、Software Distribution、Software Distribution Configuration、Public 

Query Management、Unmanaged Device Discovery 和 Reports。 

10

LANDESK SECURITY SUITE 用户指南 

关于权限的重要说明 

以下权限不适用于 LANDesk Security Suite:操作系统部署、远程控制、资产配置、资产数据条目 

和软件授权监视。 

本地帐户是用于管理网络中本地计算机上的用户和组的管理工具。在控制台中,您可以添加和删除 

用户和组、在组中添加和删除用户、设置和更改密码、编辑用户和组设置、创建为多个设备重置密 

码的任务。 

Security Suite 中包含的其它功能 

除了这些显示在控制台“工具”菜单中的工具外,Security Suite 还提供以下普通 LANDesk 功能: 

• 自定义控制台布局 

• 设备和查询的网络视图 

• 设备和查询的快捷菜单 

• 清单 

• 警报 

• 文件复制实用程序 

• 服务配置 

• 附加控制台 

LANDesk Security Suite 不支持自定义数据表单 

仅 LANDesk Security Suite 许可无法使用自定义数据表单。必须具有 LANDesk Management 

Suite 的完全许可才能使用自定义数据表单功能。 

11

用户指南 

从何处获取详细信息 

该指南其他章节介绍上述的特定工具和功能,以及有关了解和使用控制台和网络视图来管理设备的 

信息。请参见指南的目录以查找并阅读相应章节来深入了解这些功能。 

12

LANDesk Security Suite 简介 











的访问。 





• 从何处获取详细信息 

13

用户指南 


























14


LANDESK SECURITY SUITE 简介 

































15

用户指南 





代理配置 






迁移。 

列集配置 


报告 




计划任务 





置。 









16













• 清单 

• 警报 






Suite 的完全许可才能使用自定义数据表单功能。 

17

用户指南 














的访问。 


18 




• 从何处获取详细信息



























19

用户指南 


































20






代理配置 






迁移。 

列集配置 


报告 




计划任务 





置。 









21

用户指南 









22 




• 清单 

• 警报 






Suite 的完全许可才能使用自定义数据表单功能。





23

使用 Security and Patch Manager 

LANDesk Security and Patch Manager 是完整的、集成的安全解决方案,可帮助您保护所管理的 

设备,从而避免大量的常见安全风险。 

Security and Patch Manager 提供了所需的所有工具,使您可以从 LANDesk Security 服务更新最 

常用的安全类型和修补程序内容(例如漏洞、间谍软件、配置安全性威胁和未授权的应用程序), 

下载所需的修补程序以及在 LANDesk 管理的设备上配置和运行安全性评估和修复扫描。您还可以 

创建自己的定制定义。一旦检测到任何安全风险,即可使用 Security and Patch Manager 修补受影 

响的设备。可以随时查看所扫描设备的详细安全性和修补程序信息,并生成专门的安全性和修补程 

序报告。所有这些安全性管理任务都可以方便地在控制台中进行。 

此外,Security and Patch Manager 允许扫描管理的设备、核心服务器和控制台机器所安装的 

LANDesk 软件版本,并部署适当的 LANDesk 软件更新。 

关于 LANDesk Security Suite 

Security and Patch Manager 工具是 LANDesk Security Suite 产品的主要安全管理组件。Security 

Suite 是基于 LANDesk Management Suite 的许多主要功能,同时补充了专门的安全管理工具,如 

Security and Patch Manager 和连接控制管理器。Security and Patch Manager 工具本身在 

Management Suite 和 Security Suite 中是相同的,本章将详细介绍该工具。有关 Security Suite 产 

品支持的 LANDesk 基本功能的详细信息,请参阅使用 LANDesk Security Suite。 

关于端点遵从安全性和新的 LANDesk 可信访问工具 

端点遵从安全性现在可用于使用新的 LANDesk 可信访问工具的 LANDesk 网络。您可以结合使用 

LANDesk 可信访问和 Security and Patch Manager 的定制策略、扫描和修补功能,通过验证连接 

设备的健全状态、阻止和/或修补受影响的设备以及抵御网络免受恶意侵入,来控制对企业网络的 

访问。LANDesk 可信访问还为 LANDesk 网络添加了另一个强大的安全层。有关如何设置并使用 

LANDesk 可信访问解决方案的详细信息,请参阅使用 LANDesk 可信访问。 


Security and Patch Manager 概述 

• Security and Patch Manager 概述和新功能 

• 安全性内容类型 

• 支持的设备平台 

• 利用 Security and Patch Manager 进行基于角色的管理 

• 了解和使用 Security and Patch Manager 窗口 

• 安全性和修补程序管理工作流 

• 为安全性扫描和修补配置设备 

配置设备以进行安全扫描之后应执行的操作 

理解了 Security and Patch Manager 的概念、工具界面、常规任务和工作流,并且配置了设备以进 

行安全性扫描和修补之后,就可以执行以下的安全管理任务:更新和查看安全内容、下载修补程 

序、创建定制漏洞定义、扫描受管设备的各种安全风险(如操作系统和应用程序漏洞、软件更新、 

间谍软件和系统配置暴露问题等)、修补受影响的设备以及生成安全警报、日志记录和报告。有关 

执行这些任务的详细信息,请参阅管理安全内容和修补程序和扫描和修补设备。 

25

用户指南 

Security and Patch Manager 概述 

Security and Patch Manager 提供在网络上建立高系统安全性所需的所有工具。通过 Security and 

Patch Manager,可以使维护安全性和修补程序内容以及组织和查看该内容所需的重复步骤自动 

化。 

可使用安全性扫描任务和策略访问管理的设备,以了解已知的特定于平台的漏洞。可下载和管理修 

补程序可执行文件。最后,可通过部署和安装必要的修补程序文件来修补检测到的漏洞并验证成功 

的修补。 

此外,您可以创建自定义漏洞定义来扫描受管设备中可能威胁系统的操作和安全的特定的操作系统 

和应用程序条件。可只为检测来配置定制定义,或同时为检测和修补配置定制定义。有关详细信 

息,请参阅创建定制定义和检测规则。 

新的安全性扫描和修补功能 

Security and Patch Manager 已添加了多项扫描和修补功能。例如,现在可以执行以下操作: 

26 

• 扫描受管设备上是否存在间谍软件。如果在设备上检测到间谍软件,可安排一个修复作业 

从受影响的设备上删除间谍软件。 

• 还可以用阻止的应用程序定义来阻止在最终用户设备上启动未授权或已禁止的应用程序。 

• 启用实时间谍软件监视(检测和删除)和实时应用程序阻止。 

• 可扫描受管设备以发现本地硬盘驱动器上存在的安全威胁(Windows 系统配置错误和暴露 

问题)。一旦发现安全威胁,可在受影响的设备上手动执行必要的修复。 

• 使用一些可用的安全威胁定义检测 Windows 防火墙、将其打开或关闭并且配置防火墙的 

设置。 

• 使用其他安全威胁定义随附的自定义变量,可以自定义系统配置和建立企业级的系统配置 

策略。 

• 扫描第三方的防病毒扫描器,启用实时病毒扫描并确保防病毒的病毒码为最新。 

• 安全扫描在受管设备上检测到指定的漏洞时收到警报。可以根据定义的严重级别配置警 

报。 

• 为关键的、紧迫的安全风险执行频繁的安全性扫描(如病毒扫描)。 

• 使用“遵从性”组和新的 LANDesk 可信访问工具,执行端点安全性和遵从安全性策略。 

• 使用漏洞相关性关系,可以在其他漏洞对受管设备产生负面影响之前或者在修补这些漏洞 

之前,识别需要安装的修补程序。取代信息可通知您已用最新版本替换并且不需要应用的 

修补程序。 

• 通过扫描 LANDesk 软件更新,验证受管设备以及核心服务器和控制台计算机上安装了最 

新的 LANDesk 软件。如果检测到设备上有过期的版本,可安排修复作业并安装最新的 

LANDesk 软件更新。 

其他功能和好处 

通过 Security and Patch Manager,您可以执行以下操作:

使用 SECURITY AND PATCH MANAGER 

• 为网络中不同语言版本的操作系统提供修补程序安全,目前支持以下语言:捷克语、丹麦 

语、荷兰语、英语、芬兰语、法语、德语、意大利语、日语、挪威语、波兰语、葡萄牙 

语、简体中文、西班牙语、瑞典语、繁体中文。 

• 组织并分组安全性定义以执行自定义的安全性评估和修补。 

• 在包括 Windows、Sun Solaris 和 Linux 等大量支持的设备平台上评估漏洞和其他安全 

风险。 

• 为扫描的设备查看安全性和修补程序信息。 

• 计划自动的修补程序管理任务,包括内容更新、设备扫描和修补程序下载。 

• 执行修补,修补工作可作为计划任务或策略执行,也可使用“自动修复”功能自动执行。 

• 下载、部署和安装修补程序,这些修补程序均已经过研究和检验。 

• 跟踪修补程序在扫描设备上的部署和安装情况。 

• 使用 LANDesk 的定向多播、对等下载和检查点重新启动功能快速、高效地部署修补程 

序。 

• 生成和查看检测到的各种安全性和修补程序管理的专用报告。 

安全内容类型和订阅 

安装 LANDesk Management Suite 时,默认情况下已包括 Security and Patch Manager(以前是 

独立的附件)。但是,如果未订阅 Security Suite 内容,则只能扫描 LANDesk 软件更新和定制定 

义。Security Suite 内容订阅可提供对其他安全性和修补程序内容(定义)类型的访问,从而使您 

能够充分利用 Security and Patch Manager 工具的优势。 

LANDesk Security Suite 内容类型包括: 

• 防病毒 

• 阻止的应用程序 

• 定制漏洞定义 

• 驱动程序更新 

• LANDesk 软件更新 

• 安全威胁(系统配置风险和暴露问题;包括防火墙检测和配置) 

• 软件更新 

• 间谍软件 

• 漏洞(已知的平台以及应用程序特定的漏洞) 

有关 Security Suite 内容订阅的信息,请联系 LANDesk 销售商,或访问 LANDesk 网站。 

扫描和修补功能在这些内容类型中是不同的。有关详细信息,请参阅下列相应的主题。 

支持的设备平台 

Security and Patch Manager 支持大多数标准的由 LANDesk 管理的设备平台,包括以下操作系 

统: 

• Windows 98 SE 

• Windows NT(4.0 SP6a 版和更高版本) 

• Windows 2000 SP4 / 2003 / XP SP1 

• Mac OS X 10.2.x 和 10.3.x 

• Red Hat Linux,版本 9(从控制台扫描,手动修补) 

• SUSE Linux(从控制台扫描,手动修补) 

27

用户指南 

28 

• Sun Solaris(从控制台扫描,手动修补) 

有关为安全扫描和修补程序扫描配置受管设备的信息,请参阅本章后面的配置设备以进行安全性扫 

描和修补。 

支持扫描核心服务器和控制台以获得 LANDesk 软件更新 

还可以扫描 LANDesk 核心服务器和控制台以获得 LANDesk 软件更新,但是必须首先在服务器和 

控制台上部署标准 LANDesk 代理,其中包括安全性扫描任务所需的安全性和修补程序扫描器代 

理。 

利用 Security and Patch Manager 进行基于角色的管理 

Security and Patch Manager 使用 LANDesk 的基于角色的管理,使用户可以使用 Security and 

Patch Manager 的功能。基于角色的管理是 LANDesk 的访问和安全框架,使 LANDesk 管理员可 

限制用户访问工具和设备。每个 LANDesk 用户都指定了特定的权限和范围,决定他们可以使用哪 

些功能以及可以管理哪些设备。有关基于角色的管理的详细信息,请参阅使用基于角色的管理。 

LANDesk 管理员可以使用控制台中的“用户”工具来为其他用户分配权限。Security and Patch 

Manager 将新角色和相应的权限引入到基于角色的管理。该权限称为 Security and Patch 

Manager,它出现在“用户属性”对话框。要看见并使用此工具,LANDesk 用户必须拥有必要的 

Security and Patch Manager 权限。 

Security and Patch Manager 权限 

Security and Patch Manager 由两个基于角色的管理权限控制,如下所述: 


• Security and Patch Manager 权限使用户可以执行下列操作: 

• 在“工具”菜单和工具栏中查看和访问 Security and Patch Manager 工具 

• 为安全性评估和修补扫描配置受管设备 

• 为实时间谍软件扫描和对阻止的应用程序的扫描配置设备 

• 为对关键安全风险的高频率扫描配置设备 

• 为订阅了 Security Suite 内容的安全类型下载安全更新(定义和定义规则)以及关联的 

修补程序 

• 创建自动下载定义和/或修补程序更新的计划任务 

• 创建自定义漏洞定义和自定义检测规则 

• 导入、导出和删除自定义定义 

• 按类型查看下载的安全内容和修补程序内容(包括:所有类型、阻止的应用程序、定制定 

义、LANDesk 更新、安全威胁、间谍软件、漏洞、驱动程序更新和软件更新) 

• 使用自定义变量自定义所选的安全威胁 

• 在受管设备上将安全扫描作为计划任务或策略进行配置和运行 

• 将计划任务扫描分为暂存阶段和部署阶段 

• 创建和配置扫描设置和修复设置,以确定扫描选项,例如:要扫描的内容类型、扫描程序 

信息和进度显示、设备重新启动操作和最终用户的交互量。然后将扫描设置和修复设置应 

用于安全扫描任务、修复任务、卸载任务和重新启动任务 

• 请用检测到的组,具体定义,单独装置,或一组选择的装置来查看详细的扫描结果(已检测的安 

全数据) 

• 作为计划任务或策略执行修补


• 使用“自动修复”自动修补下列安全类型(如果检测到):漏洞、间谍软件、LANDesk 软 

件更新和自定义定义(必须是 LANDesk 管理员) 

• 跟踪和验证在所扫描设备上的修补程序部署和安装的状态(修复历史记录) 

• 清除未使用的安全类型定义(必须是 LANDesk 管理员) 

• 从所扫描的设备上卸载修补程序 

• 从核心数据库中删除修补程序 

• 配置漏洞警报 

• 生成各种特定的安全报告(还要求具有报告权限) 

Security and Patch 遵从性 

Security and Patch 遵从性权限使用户可以执行下列操作: 

• 在遵从性组中添加和删除安全定义 

• 更改遵从性组中包含的定义状态 

• 编辑定制定义或安全威胁的自定义变量 

• 不能配置可信访问服务(例如添加状态验证服务器或修补服务器)或配置和发布遵从性规 

则(您必须是 LANDesk 管理员) 

29

用户指南 

了解和使用 Security and Patch Manager 窗口 

与其他所有 LANDesk 工具窗口类似,"Security and Patch Manager" 窗口也可从“工具”菜单或工具 

箱打开,并且也可以停靠、浮动和以选项卡形式嵌入其他打开的工具窗口(请参阅可停靠窗口)。 

请注意,由于 LANDesk 新增了基于角色的管理访问和安全功能,所以 LANDesk 用户必须具备 

LANDesk 管理员权限(即全部权限)或特定的 Security and Patch Manager 权限,才能查看和访 

问 Security and Patch Manager 工具。有关用户权限和范围的详细信息,请参阅“使用基于角色的 

管理”。 

“Security and Patch Manager”窗口包含一个工具栏、两个窗格。左窗格显示安全性类型定义和检 

测规则组的层次结构树视图。您可以根据需要展开或折叠这些对象。右侧窗格显示所选组的定义详 

细信息或检测规则详细信息列表,这取决于在左侧窗格中选择的组。 

“Security and Patch Manager”窗口的工具条包含以下按钮: 

工具栏按钮 

30 

• 下载更新:打开一个对话框,在其中可指定要更新的内容的平台和语言,以及要访问哪台 

LANDesk 安全性内容服务器。还可以配置是否将定义放入“未分配”组、是否同时下载相 

关的修补程序、修补程序的下载位置以及代理服务器设置。 

• 创建任务:包括一个下拉列表,在其中可以选择要创建的任务类型,这些类型包括:安全 

扫描任务、重新启动任务、修复任务、以及收集历史信息任务。 

• 安全扫描任务将打开一个对话框,在其中可输入扫描名称、指定扫描是一个计划 

任务还是一个策略,并选择扫描和修复设置,该设置决定了安全性扫描器的显示、 

重新启动和交互操作以及要扫描的内容类型。 

• 重新启动任务将打开一个对话框,在其中可输入名称、指定重新启动是一个计划 

任务还是一个策略,并选择扫描和修复设置,该设置决定了显示和交互操作。 

• 修复任务将打开一个对话框,在其中可选择将修复配置为一个计划任务还是一个 

策略,或是以上两者;将修复任务分成独立的暂存阶段和修复阶段,选择扫描和修 

复设置以及下载修补程序。 

• 收集历史信息任务将打开一个对话框,在其中可以收集当前扫描和检测的计数 

(指定的天数内),这些计数可以用于报告,或者创建和配置执行同样步骤的计划 

任务。 

• 更改设置任务将打开一个对话框,在其中可以创建和配置任务,该任务通过将指 

定扫描和修复设置 ID 写入本地注册表来更改受管设备上的默认扫描和修复设置。 

您可以使用此任务作为一种只更改设备扫描和修复设置的快速而简便的方法,而无 

需重新部署完整的代理配置。 

• 配置扫描和修复设置: 打开一个对话框,在其中可创建、编辑、应用和删除扫描和修复设 

置。 

• 创建定制定义:打开一个带可编辑字段的空白“定义”属性对话框,在其中可指定定制定义 

为仅检测还是允许修补、输入特定的漏洞信息、创建检测规则以及识别用于修补的适当的 

修补程序文件。 

• 导入定制定义:使您可以导入一个包含定义的 XML 文件。 

• 导出选定的定制定义:使您可以将定制定义导出为 XML 文件。 

• 不具备遵从性的计算机: 扫描并检查设备与预定义的遵从性安全策略之间的遵从性(基于 

“遵从性”组的内容以及“配置可信访问”对话框中找到的健全定义),确定为不健全和未遵 

从的设备将被列出。 

• 刷新: 更新选定组的目录。 

• 删除选定的定制定义: 将选定的定制定义从核心数据库删除。


• 清除安全性和修补程序定义:打开一个对话框,在此对话框中可以指定要从核心数据库删 

除其定义的平台和语言。请注意:只有 LANDesk 管理员用户才能执行此操作。 

• 发布可信访问设置:打开一个对话框,在此可以指定要发布到状态验证服务器和修补服务 

器上的内容。只要更改了可信访问设置,就必须将新设置重新发布到状态验证服务器上。 

(注意:发布“可信访问内容”可向状态验证服务器或 LANDesk DHCP 服务器发送可信访 

问设置和遵从性规则,以及向修补服务器发送任何关联的修补程序;而发布“基础结构”文 

件则可向修补服务器发送设置和支持文件(包括安全客户端扫描器、信任代理和 HTML 模 

板页面)。 

• 帮助:打开联机帮助,转至 Security and Patch Manager 部分。 

类型下拉列表 

使用类型下拉列表来确定在树视图中显示哪些定义。 

类型下拉列表包含以下选项: 

• 所有类型 

• 防病毒 

• 阻止的应用程序 

• 定制定义 

• 驱动程序更新 

• LANDesk 更新 

• 安全威胁 

• 软件更新 

• 间谍软件 

• 漏洞 

“Security and Patch Manager”窗口的左窗格显示以下项: 


Security and Patch Manager 是 Security and Patch Manager 树的根对象,包含所有的安全性类 

型,例如漏洞、间谍软件、安全威胁、阻止的应用程序和定制定义组(在适合的情况下还包含相关 

的检测规则组)。可按需展开和折叠根对象。 

类型名称(或所有类型) 

类型组包含以下子组: 

• 已检测到:为包括在扫描中的所有设备列出安全性扫描检测到的所有定义。此组的内容会 

随着网络上运行的所有安全性扫描而增加。定义只能通过以下方式从此组中删除:成功修 

复定义,定义从“扫描”组中删除并再次运行扫描,或从数据库中实际删除受影响的设备。 

“已检测到”列表中包含最近一次扫描中检测到的的所有安全性定义。“已扫描”列和“己检测 

到”列分别显示扫描了多少设备以及在其中多少台设备上检测到定义。要查看具体在哪些设 

备上检测到定义,请右击相应的项,然后单击受影响的计算机。 

请注意:在网络视图中右击某设备,然后单击安全性和修补程序信息,也可以查看该设备 

的特定信息。 

只能将定义从“已检测到”组中移到“未分配”组或“不扫描”组中。 

31

用户指南 

组 

32 

• 扫描:(对于阻止的应用程序,该组称为阻止)在管理的设备上运行安全性扫描器时列出 

所搜索的所有安全性定义。换言之,如果此组中包含定义,则该定义将成为下一扫描操作 

的一部分;否则,即不是扫描的一部分。 

默认情况下,在内容更新过程中会将收集的定义添加到“扫描”组中。(重要说明:除已阻止 

的应用程序外,默认情况下已将这些应用程序添加到“未分配”组中。) 

“扫描”是安全性定义的三种可能状态之一,另两种状态分别为“不扫描”和“未分配”。就此而 

言,一个定义在一个时间上只能属于这三组之一。定义可以为“扫描”、“不扫描”或“未分 

配”,每个状态都由唯一的图标表示:问号(?)图标表示“未分配”;红色 X 图标表示“不扫 

描”;正常的漏洞图标表示“扫描”。将定义从一个组移动到另一个组将自动更改漏洞的状 

态。 

通过将定义移入“扫描”组中(单击除“己检测到”组之外的其他组中的一个或多个定义,然后 

将其拖入此组),可以控制下次在目标设备上进行的下一次安全性扫描的特定性质和大 

小。 

从“扫描”组中移出定义时的注意事项 

将定义从“扫描”组中移到“不扫描”组中时,核心数据库中有关扫描过的设备检测到的定义的 

当前信息将从此数据库中删除,且不再出现在“属性”对话框或设备的“安全性和修补程序信 

息”对话框中。要恢复该安全性评估信息,必须将定义重新移到“扫描”组中,并再次运行同 

一安全性扫描。 

• 不扫描:(对于阻止的应用程序,该组称为不阻止)下次在设备上运行安全性扫描器时列 

出未搜索的所有安全性定义。如上所述,如果某个定义在该组中,则它不能同时存在于“扫 

描”组或“未分配”组中。可以将定义移动到该组中,以暂时将定义从安全扫描中删除。 

• 未分配:列出所有不属于“扫描”或“不扫描”组中的所有定义。“未分配”组实质上是所收集的 

定义在您决定是否扫描它们之前的存储区域。 

您可以将定义从“未分配”组中移到“扫描”组或“不扫描”组中(单击一个或多个定义后拖动即 

可)。 

通过在下载更新对话框中选择将新定义放入“未分配”组选项,还可在内容更新过程中自动 

将新定义添加到“未分配”组中。 

• 所有项:在普通列表中列出所有选定类型的定义,即使已将定义移动至“未分配”、“扫描”或 

“不扫描”组中。 

• 按产品查看:按特定产品子组列出所有定义。这些子组可以帮助您按产品类别找出定义。 

您可以使用这些产品子组将定义复制到“扫描”组,以便进行特定于产品的扫描,也可以将 

它们复制到自定义组(见下文),以便一次能修补一组产品。 

可将定义从产品组复制到“扫描”、“不扫描”、“未分配”组或任何由用户定义的自定义组。这 

些定义可以同时包含在平台组、产品组和多个自定义组中。 

包含下列子组: 

• 自定义组:列出创建的所有子组及其包含的定义。“我的组”提供了一种组织所需安全性定 

义的方式。使用组的内容将多个定义复制到“扫描”组中以进行自定义扫描,或一次为多个 

定义创建修复作业。


还可以使用自定义组定义安全扫描的内容。将要扫描的定义复制到自定义组中,并在“扫描 

和修复设置”对话框的“扫描范围”选项中选择该组。 

要创建自定义组,请右击自定义组(或子组),然后单击新建组。 

要将定义添加到自定义组中,请从任何其他定义组中单击并拖动一个或多个定义。或者, 

可右键单击一个自定义组,然后单击添加定义。 

• 警报:列出下次运行安全性扫描器和设备时将生成警报消息的所有定义。有关详细信息, 

请参阅“使用漏洞警报”。 

• 遵从性:列出用于确定受管(或移动/来宾)设备是否健全的所有定义。新的 LANDesk 可 

信访问功能使用此组拒绝或允许访问主网络。遵从性组中包含的定义以及关联的修补程序 

文件复制到特殊修补服务器中,该服务器扫描设备,确定是否遵从(根据为状态服务器发 

布的遵从性规则),并且可以修补非遵从性设备,以便为其授予完全访问企业网络的权 

限。 

• SANS Top 20:列出由 Microsoft 标识和发布的 20 大漏洞定义。这些定义通常是 

“Microsoft Windows 漏洞”的子集,漏洞可通过下载更新对话框下载。 

检测规则 

注意: 检测规则定义了特定的操作系统、应用程序、文件或注册表条件,定义检查这些内容是为 

了检测被扫描设备上的安全风险(漏洞、定制定义和安全威胁)。不适用于间谍软件和阻止的应用 

程序。 

“检测规则”组包含以下子组: 

设置 

• 扫描:列出为在设备上进行安全性扫描而启用的所有检测规则。 

默认情况下,在内容更新过程中,与任何安全性内容类型相关联的检测规则都将添加到“检 

测规则扫描”组中。同样,创建定制定义时,与定制定义相关联的定制检测规则也将添加到 

“扫描”组中。 

请注意,除启用定义的检测规则之外,还必须将其相应的修补程序可执行文件下载到网络 

中的本地修补程序资料档案库中(通常为核心服务器),才能进行修补工作。“已下载”属 

性(工具窗口右侧窗格中的一个详细列)可指出与该规则相关的修补程序是否已下载。 

• 不扫描:列出为在设备上进行安全性扫描而禁用所有检测规则。某些定义具有多个检测规 

则。通过禁用检测规则,可确保在设备上存在定义的情况下不使用该规则进行扫描。这可 

以让您在不对定义进行重新定义的情况下简化安全性扫描。 

• 按产品查看:按特定产品子组列出所收集的漏洞的所有检测规则。这些子组可以帮助您按 

相关产品类别找出检测规则。 

可以使用这些产品子组执行组操作。 

“设置”组包含以下子组: 

• 扫描和修复:列出已创建的所有用于确定安全扫描器操作的扫描和修复设置。每个扫描和 

修复设置都有一个唯一的 ID 号。右侧窗格显示了列出的扫描和修复设置的有用信息。 

33

用户指南 

34 

• 可信访问:列出策略服务器日志。此外,您可以右击此对象以访问带多个选项的快捷菜 

单,这些选项用于:配置可信访问设置,如 LANDesk DHCP 服务器或状态验证服务器、 

日志记录级别和仅审核状态验证;配置修补服务器;配置用户凭证;以及发布可信访问设 

置。 

定义详细信息 

“Security and Patch Manager”窗口的右窗格显示定义项和检测规则项的详细信息,这些信息分别 

列在可排序的列中,如下所示: 

• ID:通过一个由供应商定义的唯一字母数字代码来标识定义。 

• 严重性:指示定义的严重级别。可能的严重级别包括:Service Pack、严重、高级、中 

级、低级、不适用和未知。 

• 标题:采用简短的文本字符串描述定义的性质或目标。 

• 语言:指示已受定义影响的操作系统或应用程序的语言。 

• 发布日期:指示供应商发布定义的日期。 

• 可修复的:指示是否可以通过修补程序文件部署和安装修复定义。可能的值为:“可以”、 

“不可以”、“部分”(对于包含多个检测规则的定义以及不是所有检测到的定义都可以修补 

的情况)以及“没有规则”(对于没有包括任何检测规则的定制定义)。 

• 无提示安装:指示定义的相关修补程序在设备上安装时是否是无提示(即不需要用户交 

互)安装,其值为“是”或“否”。某些定义可能有多个修补程序。此时,只要定义的其中任 

何一个修补程序不是无提示安装,“无提示安装”属性就是“否”。要查看单个修补程序的安 

装方式,请右击相应的定义,然后单击属性|修补程序。 

• 已检测到:显示经过扫描检测到有定义的设备数量。 

• 已扫描:显示进行定义扫描的设备数量。 

• 自动修复:指示是为定义启用还是禁用“自动修复”功能。 

使用定义快捷菜单 

右击某项,选择属性选项可查看详细信息。 

可以使用定义的快捷菜单执行以下的任务(取决于安全类型): 

• 查看受感染的计算机 

• 下载相关的修补程序 

• 启用/禁用自动修复 

• 添加定义至“遵从性和警报”组 

• 清除定义的扫描信息和修复状态 

• 创建修复作业。 

“检测规则”详细信息 

• 名称: 显示检测规则的名称(可以为修补程序可执行文件名)。 

• ID:显示与规则相关的定义的 ID。 

• 可修复的: 表示是否可以通过修补程序文件部署和安装修复相关的定义。 

• 无提示安装:表示相关的修补程序是否是在设备上无提示(即不需要用户交互)安装,其 

值为“是”或“否”。 

• 重新启动:表示相关的修补程序文件是否需要系统重新启动,以便完成成功的修补。


• 自动修复:指示是为相关的定义启用还是禁用“自动修复”功能。 

• 已下载:指示是否已将与规则相关的修补程序可执行文件下载到本地资料档案库中。 

右键单击检测规则,选择属性选项可查看更多详细信息。快捷菜单还使您可以启用/禁用规则并下 

载关联的修补程序。 

35

用户指南 

安全性和修补程序管理工作流 

以下步骤提供了在 LANDesk 网络上实现安全性和修补程序管理所涉及的典型过程的简介。 

后面的部分将详细介绍所有的这些过程。 

基本工作流步骤 

36 

1. 配置管理的设备以便执行安全性扫描和修补。 

2. 从行业/供应商数据源收集更新的安全性和修补程序信息。并创建定制定义。 

3. 组织和查看安全性和修补程序信息。 

4. 创建和配置扫描任务和策略。扫描漏洞、间谍软件、安全性威胁、阻止的应用程序等。 

5. 查看设备的扫描结果。 

6. 下载用于修补检测到的漏洞的修补程序 

7. 通过在受影响设备上部署和安装修补程序来修复检测到的漏洞 

8. 修复其他检测到的定义类型。 

9. 查看修补程序安装状态和修复历史信息。

为安全扫描和修补配置设备 


在扫描受管设备的漏洞、间谍软件、安全性威胁和其他安全性类型并接收修补程序部署或软件更新 

前,必须在设备上安装安全性和修补程序扫描器代理(默认情况下,此代理使用标准的 LANDesk 

代理安装)。 

此节包含有关配置 Windows 设备以及 Linux、UNIX 和 Mac 设备的信息。 

支持扫描核心服务器和控制台以获得 LANDesk 软件更新 

还可以扫描 LANDesk 核心服务器和控制台以获得 LANDesk 软件更新,但是必须首先在服务器和 

控制台上部署标准 LANDesk 代理,其中包括安全性扫描任务所需的安全性和修补程序扫描器代 

理。 

配置 Windows 设备以进行安全性扫描 

对于 Windows 设备,如果使用以前的版本,则必须将漏洞扫描器代理作为现有设备代理配置的独 

立附件安装。 

而现在,安全性和修补程序扫描器代理在默认情况下已包括在标准 LANDesk 代理中,并且即使具 

有最基本代理配置的设备上也已安装。换言之,任何通过新的代理配置工具配置的 Windows 设备 

都已准备好,可以对安全性和修补程序进行扫描和修补。 

在配置代理期间为 Windows 设备配置扫描和修复选项 

创建或编辑代理配置时,可指定一些安全性和修补程序扫描器的选项(例如,扫描器在受管设备上 

何时运行及运行频率,扫描器是否显示进度并在终端用户设备上提示)以及用于修补操作的全局设 

置(例如,设备重新启动和自动修复)。有关将安全性和修补程序扫描器代理的操作自定义为创建 

代理配置并将其部署到 Windows 受管设备过程中的部分操作的详细信息,请参阅关于“代理配置” 

对话框的“安全性和修补程序扫描”页。 

注意:Windows 9x 设备上必须有 WinSock2 才能运行漏洞扫描器代理。 

代理配置发生后,安全性和修补程序扫描器的程序图标就添加到设备的 LANDesk Management 程 

序组中,使用该图标可从设备上直接运行扫描器(不同于任何运行键启动、重复的本地调度程序运 

行或使用控制台的计划任务)。 

代理配置中的附加安全性设置 

在为 Windows 设备定义设备代理配置时,还可以启用并配置以下的安全性扫描器设置: 

• 对关键的安全风险频繁执行安全性扫描 

• 实时应用程序阻止功能和间谍软件监视 

有关详细信息,请参阅下面各节。 

37

用户指南 

关于“代理配置”对话框的“频繁安全性扫描”页 

使用此页为关键的、紧迫的安全风险启用和配置高频率扫描,例如最近发现的恶性病毒以及防火墙 

配置风险。 

38 

• 使用频繁运行的安全性扫描器:启用基于下面指定的时间和组内容,使用安全性和修补程 

序扫描器进行高频率扫描。如果未选中此选项,使用此代理配置配置的受管设备仍可以根 

据“安全性和修补程序扫描”页上指定的设置,使用安全性和修补程序扫描器进行扫描(因 

为安全性和修补程序代理是标准 LANDesk 代理的一部分)。 

• 只在用户登录时扫描,频率:指定用户登录到受管设备时,频繁安全性扫描运行的频率。 

最小频率为 30 分钟。 

• 选择一种扫描和修复设置:根据此处选择的自定义组的内容,确定通过高频率扫描扫描的 

安全类型定义。高频率扫描只能通过自定义组的内容定义,而不能通过扫描、警报或遵从 

性组的内容定义。(任何类型的安全内容都可以添加到自定义组中,例如间谍软件、漏 

洞、自定义定义、安全威胁等。)自定义组在“扫描和修复设置”对话框上选择。从下拉列 

表中选择扫描和修复设置。此列表中只显示为扫描自定义组配置的扫描和修复设置(与特 

定类型相反)。 

• 配置:打开“扫描和修复设置”对话框,在该对话框中可以选择指定了自定义组扫描的扫描 

和修复设置。 

关于“代理配置”对话框的“间谍软件/应用程序阻止功能”页 

使用此页在通过此代理配置配置的受管设备上启用和配置实时应用程序阻止以及间谍软件检测和删 

除。 

• 允许应用程序阻止监视:启用根据扫描组(或自定义组)中包含的未经授权的应用程序 

(定义)列表实时阻止应用程序。 

• 应用程序被阻止时通知用户:在最终用户设备上显示消息,通知用户尝试启动的 

应用程序已被拒绝或阻止。 

• 允许实时间谍软件监视:根据扫描组(或自定义组)中包含的间谍软件定义列表,启用实 

时检测和删除间谍软件。 

重要说明:必须手动启用针对已下载间谍软件定义(希望包括在安全扫描中)的自动修复 

功能,才能运行实时间谍软件扫描和检测。默认情况下,已下载的间谍软件定义不开启自 

动修复功能。 

• 间谍软件被阻止时通知用户:在最终用户设备上显示消息,通知用户检测到已知 

的间谍软件并将其从系统中删除。 

• 安装未知应用程序时提示用户:在最终用户设备上显示消息,通知用户系统上安 

装了未知的应用程序。 

配置 Linux 和 UNIX 设备以进行安全性扫描 

Security and Patch Manager 还支持在以下系统上扫描漏洞: 

• Red Hat Linux 

• SUSE Linux 

• Sun Sparc (Solaris 8)


可以像使用 Windows 漏洞下载一样,使用 Security and Patch Manager 下载所有这些平台的安全 

性的修补程序内容。 

不能使用安全性和修补程序扫描器代理通过控制台的代理配置工具来配置 Linux 和 UNIX 设备。 

Linux 和 UNIX 设备配置是一个手动过程。有关设置 Linux 和 UNIX 设备的详细信息,请参阅《安 

装和部署指南》以及各个平台的 tar 文件(位于核心服务器的 ManagementSuite\LDLogon 下的平 

台文件夹中)所包含的 README 文件。 

配置完成后,即可从控制台中通过计划任务扫描这些 Linux 和 UNIX 平台的漏洞。如果检测到漏 

洞,必须在受影响设备上手动执行修补。 

配置 Mac OS X 设备以进行安全性扫描 

在 Macintosh OS X 设备上,Security and Patch Manager 现在可同时支持安全性扫描和修补。可 

通过 Security and Patch Manager 下载 Macintosh 安全性和修补程序内容。 

此外,还可以通过代理配置工具为 Macintosh 设备创建和配置代理配置。对于 Windows 代理配 

置,安全性和修补程序扫描器代理是 Macintosh 的默认标准 LANDesk 代理的一部分。要创建和部 

署带有安全性和修补程序扫描器支持的 Macintosh 代理配置,请参阅《用户指南》中的“使用 

Macintosh 设备”。 

配置完成后,即可从控制台中通过计划任务扫描这些 Macintosh 设备的漏洞。如果检测到漏洞,必 

须在受影响设备上执行修补。 

在 Mac 设备上手动启动安全性扫描器 

1. 打开 Mac OS X 系统预置,然后选择 LANDesk 客户端面板。 

2. 在概述选项卡上,单击 Security and Patch Manager 部分的立即检查。 

对阻止的应用程序类型的免责声明 

作为对终端用户提供的便利,LANDesk 为用户提供了对一个数据库的访问权限,该数据库包含了 

有关可执行文件的特定信息。终端用户在使用 LANDesk® Security Suite 的应用程序阻止功能时可 

能会用到这些相关的可执行文件。此信息“按现状”提供,不附有任何明示的、默示的或其他任何形 

式的担保,包括但不限于暗含的适销性和/或用于特定用途的担保。同样,LANDesk 不保证此信息 

的准确性、完整性或实时性,最终用户在使用前应阅读并确认此信息。最终用户应自行承担使用此 

信息的风险。 

39

用户指南 

管理安全内容和修补程序 

本章将介绍更新和查看安全性内容、创建和使用定制定义以及下载和使用修补程序的相关内容。 

有关在实际中扫描受管设备的各种安全风险(如操作系统和应用程序漏洞、软件更新、间谍软件和 

系统配置暴露问题等)、修补受影响的设备以及生成安全警报、日志记录和报告等的信息,请参阅 

扫描和修补设备。 


管理安全内容和修补程序 

40 

• 更新安全性内容定义和修补程序 

• 查看安全性和修补程序内容 

• 使用过滤器定制项列表 

• 清理未使用的定义 

使用定制定义 

• 创建定制定义和检测规则 

• 导入和导出定制定义 

• 删除定制定义 

使用修补程序 

• 下载修补程序 

• 卸载修补程序 

• 从核心数据库删除修补程序

更新安全性内容和修补程序 


您的网络会不断面临蠕虫、病毒、间谍软件以及软件更新和错误修复等日常维护问题带来的安全风 

险。修补程序会定期发布,以修补不可避免的操作系统和应用程序漏洞。Security and Patch 

Manager 通过 LANDesk 托管的数据库下载内容,使收集最新的安全性类型定义和修补程序信息的 

过程更便捷。该 LANDesk Security 服务将来自可信的行业/供应商来源的已知定义合并在一起,并 

将可靠的信息直接发送给您。 

Security and Patch Manager 还支持定制漏洞定义 

除已知漏洞外,还可创建自己的定制漏洞定义和相关的检测规则。有关详细信息,请参阅本章后面 

的创建定制定义和检测规则。 

通过建立和维护最新的安全性和修补程序内容,您能够更好地了解支持的每个平台和应用程序所面 

临的安全风险的性质与程度,确定哪些漏洞和其他类型风险与您的环境相关,从而自定义安全性扫 

描和修补任务。此安全性管理策略的第一步是下载当前最新的安全性和修补程序内容。 

使用 Security and Patch Manager,您可以同时配置和执行安全性和修补程序内容更新,或者创建 

一个计划更新任务使其在规定的时间执行或重复执行(请参阅本章后面的计划自动安全性和修补程 

序内容更新)。 

在特定核心服务器(包括附加控制台)上,每次只允许一个 LANDesk 用户更新安全性和修补程序 

内容。当更新过程已在运行时,如果用户试图更新内容,则会出现一则提示消息,指出存在冲突。 

更新安全性和修补程序内容 

1. 单击工具|安全|Security and Patch Manager。 

2. 单击下载更新工具栏按钮。 

3. 从可用内容服务器列表中选择更新源站点。 

4. 选择要更新其安全性和修补程序内容的定义类型。可在列表中选择一个或多个类型(取决 

于您的 LANDesk Security Suite 内容订阅)。选择的类型越多,更新所需的时间就越长。 

5. 为指定的类型选择要更新其内容的语言。 

某些漏洞和其它定义类型,以及任何相关的修补程序与语言无关,这意味着它们能与任何 

语言版本存在该漏洞的操作系统或应用程序兼容。换言之,您无须用一个某语言专用的、 

唯一的修补程序来修补这些漏洞,因为该修补程序就适用于所有支持的语言。例如,Linux 

和 UNIX 平台只使用与语言无关的定义和修补程序。而 Microsoft Windows 和 Apple 

Macintosh 平台漏洞定义和修补程序通常有特定的语言。 

对任何平台下载内容时(具有相应的订阅),默认情况下会自动更新选定的所有平台的与 

语言无关的漏洞定义。如果选择了 Windows 或 Mac 内容类型,则还必须选择要更新其定 

义的特定语言。如果选择的是 Sun Solaris 或 Linux 平台,则没有必要选择一种特定的语 

言,因为它们的内容与语言无关,将会自动更新。 

6. 如果希望自动将新内容(Security and Patch Manager 树的任何组中还没有的内容)放入 

“未分配”组而非默认的“扫描”组中,请选中将新定义放入“未分配”组复选框。 

7. 如果要自动下载相关的修补程序可执行文件,请单击下载修补程序复选框,然后单击其中 

一个下载选项: 

• 只针对已检测到的定义: 只下载与上次安全性扫描检测到的漏洞、安全威胁或 

LANDesk 更新(即当前存在于“已检测到”组中的定义)相关的修补程序。 

41

用户指南 

42 

• 对于所有下载的定义: 下载与漏洞、安全威胁以及“扫描”组中当前存在的 

LANDesk 更新相关的所有修补程序。 

修补程序将下载到在“下载更新”对话框的修补程序位置选项卡中指定的位置。 

8. 如果网络中有用于外部 Internet 传输(这是更新安全性和修补程序内容并下载修补程序的 

必需途径)的代理服务器,则在访问该代理服务器必须登录时,单击代理设置选项卡,指 

定该服务器的地址、端口号和身份验证凭证。 

9. 单击任一选项卡中的应用,随时保存设置。 

10. 单击立即更新运行安全性和修补程序内容更新。正在更新定义对话框会显示当前的操作和 

状态。 

11. 更新完毕后,单击关闭。请注意,如果在更新完成前单击取消,则只有此刻前已被处理的 

安全性和修补程序安全性内容才会下载到核心数据库中。需要再次运行更新,以获取所有 

剩余的安全性和修补程序内容。 

注意:当更新安全性和修补程序进程正在运行时不要关闭制台,否则该进程将终止。但是,此规则 

不适用于“下载安全性和修补程序内容”计划任务,该任务在运行时,即使关闭控制台,它也将完成 

处理。 

配置修补程序下载位置 

1. 在下载更新对话框中,单击修补程序位置选项卡。 

2. 输入要将修补程序文件复制到的 UNC 路径。默认位置为核心服务器的 \LDLogon\Patch 目 

录。 

3. 如果前面输入的 UNC 路径是核心服务器以外的位置,则输入访问该位置时用于验明身份 

的有效用户名和密码。 

4. 输入设备能访问要部署的已下载修补程序的 Web URL。该 Web URL 应与上面的 UNC 路 

径相符。 

5. 您可以单击测试设置来检查能否连接到前面指定的 Web 地址。 

6. 如果要将 UNC 路径和 Web URL 恢复为其默认位置,请单击恢复默认值。默认存储位置 

仍然是核心服务器的 \LDLogon\Patch 目录。 

计划自动安全性和修补程序内容更新 

您也可以将安全性和修补程序内容更新配置为计划任务,以便在以后的规定时间执行或重复执行。 

要实现此目的,只要单击计划下载工具栏按钮,在“计划任务”窗口中创建“下载安全性和修补程序内 

容”任务,然后设置计划选项。 

所有安排的“下载安全性和修补程序内容”任务都将使用“下载更新”对话框中的当前设置。因此,如 

果要更改某一特定的更新作业的内容类型、平台、语言、修补程序下载位置或代理服务器设置,则 

必须在计划任务运行之前首先更改“下载更新”对话框中的这些设置。

查看安全性和修补程序内容 


使用 LANDesk Security 服务更新安全性和修补程序内容后,可在“Security and Patch Manager”窗 

口中其各自的组中查看定义和检测规则(仅漏洞和定制定义)。 

使用类型下拉列表查看特定类型或所有类型的内容。还可使用过滤器控件进一步定制要显示的内 

容。 

一旦下载了安全性和修补程序内容,即可将项移至不同的状态组中,或将其复制到自己的自定义组 

中。有关在 "Security and Patch Manager" 视图中如何使用不同组的信息,请参阅本章前面的了解 

"Security and Patch Manager" 窗口。 

还可以通过右击一个选项并选择属性选项来查看已更新的每个定义和检测规则的详细属性。该信息 

可帮助您确定哪些定义与您的网络支持的平台和应用程序相关、检测规则如何检查定义的存在、哪 

些修补程序可以使用以及如何为受影响的设备配置和执行修补任务。 

可以修改定制定义 

如果选择已下载的行业定义,它的属性对话框主要只用于查看信息。但是,如果选择定制定义或者 

正在创建新的定制定义,那么属性对话框中的页和字段是可以编辑的,您可以对定义及其检测规则 

进行定义。 

通过右击一个或多个选定的设备,然后单击安全性和修补程序信息,还可以直接从网络视图中查看 

特定于某些扫描的设备的信息。此对话框允许查看检测、安装和修复历史以及执行修补程序管理任 

务。 

使用过滤器定制项列表 

过滤器下拉列表允许创建并应用定制显示过滤器以控制显示在“Security and Patch Manager”窗口 

右侧框架中的项。过滤器有助于简化大量的安全性和修补程序内容。可按操作系统和严重性过滤内 

容。 

过滤器控件可与类型控件结合使用,以准确显示所需的安全性和修补程序内容。 

创建新的显示过滤器 

1. 在“Security and Patch Security Manager”中,单击过滤器下拉列表,然后单击管理过滤 

器。 

2. 单击新建。 

3. 输入新过滤器的名称。 

4. 如果要按操作系统过滤内容,请单击复选框,然后选择要显示的操作系统。 

5. 如果要按定义的严重性过滤内容,请单击复选框,然后选择要显示的严重性。 

6. 单击确定。 

将过滤器应用于内容组的显示 

1. 单击“Security and Patch Manager”窗口左侧窗格中的内容组。 

2. 单击过滤器下拉列表,然后从列表中选择过滤器。 

43

用户指南 

清理未使用的定义 

如果确定定义与您的操作环境无关,或者因成功修补而使该信息过时,那么可以从“Security and 

Patch Manager”窗口(和核心数据库)中清除未使用的定义。 

清除定义时,相关联的检测规则信息也会从树视图的“检测规则”组中删除。不过,该过程并不删除 

实际的相关修补程序文件。必须从通常位于核心服务器上的本地资料档案库中手动删除修补程序文 

件。 

清理未使用的定义 

44 


2. 单击清除未使用的定义工具栏按钮。 

3. 选择要删除其定义的平台。可以从列表中选择一个或多个平台。 

如果某个定义与多个平台相关联,则必须选择与其关联的所有平台,才能删除该定义。 

4. 选择要删除其定义的语言(与上面选定的平台相关联)。 

如果在上述过程中选择了 Windows 或 Macintosh 平台,则应指定要删除其定义的语言。 

如果选择的是 UNIX 或 Linux 平台,则必须指定“中性语言”选项,以便删除其与语言无关的 

定义。 

5. 单击删除。

创建定制定义和检测规则 


除了已知的通过 LANDesk Security and Patch Manager 服务进行更新的漏洞外,还可以创建自己 

的定制(用户定义的)定义—用自定义的检测规则、关联的修补程序文件以及特殊的其它命令完成 

以确保修补成功。 

漏洞定义由以下部分组成:唯一的 ID、标题、发布日期、语言和其它标识信息,以及用来告诉安 

全性扫描器在目标设备进行扫描的内容的检测规则。检测规则定义特定的平台、应用程序、文件或 

注册表条件,安全性扫描器检查这些内容来检测被扫描的设备上的漏洞(或者实际上检测任何系统 

条件或状态)。 

Security and Patch Manager 的定制漏洞定义具有强大而灵活的功能,它使您可以在您的系统上实 

施另一个、专有级别的修补程序安全性。除了增强修补程序安全性,自定义漏洞还可以用于评估系 

统配置、检查特定的文件和注册表设置以及部署应用程序更新,以及其它利用漏洞扫描器的扫描功 

能的创新使用方法。 

创建阻止的应用程序定制定义 

还可以为阻止的应用程序类型创建自己的定制定义。从类型下拉列表中,选择阻止的应用程序, 

为该定义输入可执行文件名和描述标题,然后单击确定。 

定制定义不必执行修补操作(部署和安装修补程序文件)。如果定制定义是由“仅检测”检测规则或 

只能由 Security and Patch Manager 检测的规则定义的,则安全性扫描器将查找目标设备并且仅返 

回发现规则指定条件(如漏洞)的设备的报告。例如,您可以对安全性扫描器写一个自定义的“仅 

检测”规则,来检查受管设备的以下方面的信息: 

• 应用程序的存在 

• 文件的存在 

• 文件的版本 

• 文件的位置 

• 文件的日期 

• 注册表设置 

• 以及更多…… 

如果需要,您可以创建尽可能多的定制漏洞定义为您的环境建立和维护最优的修补程序安全性。 

创建自定义漏洞 

创建定制定义 


2. 从类型下拉列表中,选择所有类型或定制定义。(如果要创建阻止的应用程序定制定义, 

则只有在选中其中一个类型,或选中阻止的应用程序类型时,创建定制定义工具栏按钮才 

可用。) 

3. 单击创建定制定义工具栏按钮。打开“属性”的可编辑版本,使您可以配置漏洞设置。 

4. 为漏洞输入一个唯一的 ID。(系统生成的 ID 代码可以编辑。) 

5. 该类型为“定制定义”,且不能修改。 

6. 出版日期是当天日期,不能作出修改。 

7. 为漏洞输入一个描述性的标题。该标题显示在漏洞列表。 

45

用户指南 

46 

8. 指定严重级别。可用选项包括:未知、Service Pack、严重、高级、中级、低级和不适 

用。 

9. 指定漏洞的状态。可用选项包括:“不扫描”、“扫描”和“未分配”。指定状态时,漏洞放置到 

Security and Patch Manager 树视图中相应的组里面(请参阅本章前面的 "Security and 

Patch Manager" 视图)。 

10. 用户定义漏洞的语言设置自动设置为 INTL(国际或中性语言),即漏洞可以应用到操作系 

统和/或应用程序的任何语言版本。 

11. “检测规则”列表显示该漏洞使用的所有规则。如果您创建的是新的定制漏洞,您应该至少 

配置一个由安全性扫描器用来扫描设备漏洞的检测规则。要添加检测规则,请单击添加。 

(每一步的指示说明请参阅下列步骤。) 

12. 如果要提供该漏洞的其它信息,请单击描述选项卡,将您的注解输入文本框并/或输入写 

着更多信息的有效的 Web 地址。 

与已知供应商的漏洞一样,自定义漏洞也应该包括一个或多个检测规则,告诉安全性扫描器在扫描 

受管设备时查找什么条件。按照以下步骤,为自定义漏洞创建检测规则。 

创建定制检测规则 

创建自定义检测规则 

1. 右键单击定制定义,然后单击属性。(或者双击漏洞定义。) 

2. 单击“检测规则”列表下的添加按钮。“规则属性”对话框的可编辑版本将在对话框的“常规信 

息”页中打开,已让您配置检测规则。 

3. 在“常规信息”页中为规则输入唯一的名称。这里不能修改规则的状态。要更改检测规则的 

状态,请右键单击任何列表视图中的规则,然后根据当前的状态单击启用或禁用。这里也 

不能修改规则的定义信息。但是,可以在“注释”框中输入您希望输入的任何信息。 

4. 使用“规则属性”对话框的各页定义检测规则,如本过程的剩余部分所述。 

5. 打开“检测逻辑”页。 

6. 在“受影响的平台”页中,选择要运行安全扫描器的平台,以检查该检测规则的定义。可用 

平台的列表由您通过 LANDesk Security and Patch Manager 服务更新的漏洞确定。单击 

加载默认平台列表将可用的平台添加至列表。您必须至少选择一个平台。 

7. 在“受影响的产品”页,将规则与一个或多个特定的软件应用程序相关联。首先,单击编辑 

打开“选定的受影响的产品”对话框,在该对话框中可向“受影响的产品”列表添加或删除产品 

(如果需要,可单击对话框底部的复选框来缩短该列表)。可用产品的列表由您通过 

LANDesk Security and Patch Manager 服务更新的内容确定。您不一定需要有与检测规则 

相关联的产品。关联产品在安全扫描过程中起过滤器的作用。如果在设备上发现了指定的 

关联产品,扫描就退出。但是,如果发现了产品,或者没有指定产品,扫描就继续检查文 

件。 

8. 在“文件”页中,配置规则要扫描的特定文件条件。单击添加使该页的字段处于可编辑状 

态。配置文件条件的第一步是指定验证方法。该选项卡上的字段视您选择的验证方法而 

异。要保存文件条件,请单击更新。您可以添加任意数量的文件条件。有关该选项的详细 

描述,请参阅本章后面的检测规则:文件页。 

9. 在“注册表设置”页中,配置规则要扫描的特定注册表条件。单击添加使字段处于可编辑状 

态。要保存注册表条件,请单击更新。您可以添加任意数量的注册表条件。有关该选项的 

详细描述,请参阅本章后面的检测规则:注册表选项卡。


10. 在“自定义脚本”页中,可创建自定义的 VB 脚本来协助此检测规则的检测。安全扫描器代理 

的运行时间属性(可使用自定义脚本访问这些属性并报告结果)包括:“已检测到”、“原 

因”、“所需的”和“找到的”。 

注意:您可以单击使用编辑器按钮打开与此文件类型关联的默认脚本编辑工具。关闭工具 

时,系统会提示您保存“自定义脚本”页面中所做的更改。如果希望使用其它工具,必须更 

改文件类型关联。 

11. 在“修补程序信息”页中,指定是可以修复与此检测规则相关联的漏洞还是只能在受管设备 

上检测到该漏洞。如果选择修复选项,则“修补程序下载信息”和“修复信息”字段将变为可编 

辑。 

12. 如果可通过部署修补程序来修复,请输入该修补程序的 URL 并指定是否可自动下载该程 

序。 

您可以尝试在此时单击下载下载关联的修补程序文件,或者可以在其它时间下载。 

13. 而且,如果可通过部署修补程序来修复,请输入修补程序的唯一文件名,并在完成修补和 

在修复过程中修补程序需要用户输入时指定修补程序是否需要重新启动。 

对于包括修补的检测规则,我们强烈推荐您通过单击生成 MD5 哈希值为修补程序文件创 

建哈希值。必须先下载实际的修补程序文件才可以创建哈希值。有关哈希值的详细信息, 

请参阅本章后面的检测规则:修补程序信息页。 

14. 对于允许修复相关漏洞的规则,可以配置附加命令,在受影响的设备上执行修复过程时可 

以运行这些命令。要配置其它修补命令,请单击“修补程序安装命令”页,然后单击添加, 

选择命令类型并使命令的参数可以编辑。无需其他修补程序安装命令。如果不配置特殊命 

令,修补程序文件就按照其正常方式执行。有关该选项的详细描述,请参阅本章后面的检 

测规则:修补程序安装命令页。 

到此为止定制漏洞定义已经创建完毕,您就可以对该漏洞进行与来自行业源的已知漏洞一样的操 

作。您可以将漏洞的状态设置为“扫描”或者将其放置于下一次安全性扫描要包括的“扫描”组、将其 

放置于“不扫描”或“未分配”组、查看受影响的计算机、启用“自动修复”、创建修复作业或者清除扫描 

/修复状态。要选择选项,请右键单击定制漏洞定义来访问其快捷菜单。 

用户定义的定义所特有的两个操作是导入和导出以及删除。 

导入和导出定制定义 

Security and Patch Manager 向您提供了导入和导出定制定义及其检测规则的方法。您无法导入和 

导出已知的行业漏洞定义。 

定制定义以 XML 格式的文件进行导出和导入。 

如果您要与其它核心服务器共享定制定义,那么导入和导出就很有用。导出使您可以为暂时要从核 

心服务器上删除的定义保存一个备份副本。 

还可以使用导出/导入功能来导出定义,手动将导出文件作为模板编辑并保存定义的多种变体,然 

后导入新的定义。如果定义很复杂,该程序比在控制台创建多个定义更快捷、更容易。 

导出定制定义 

1. 从“定制定义”列表中选择一个或多个定制定义。 

2. 单击导出工具栏按钮。(或者右键单击选择的定义,然后单击导出。) 

47

用户指南 

48 

3. 输入您要将定义导出为单个 XML 文件的文件夹的路径。 

4. 如果您以前已经将定义导出到指定的位置,现在想要替换它,请单击覆盖现有的定义。 

5. 单击导出。检查“导出状态”窗口,查看定义是否已成功导出。 

导出的定义继续存在于核心数据库中,因此仍显示在与其状态(“未分配”、“扫描”和“不扫 

描”)对应的“定制定义”组中。 

6. 单击关闭。 

导入定制定义 

1. 在“Security and Patch Manager”窗口中,单击导入定制定义工具栏按钮。 

2. 查找并选择要导入的一个或多个定义(XML 文件),然后单击打开。如果定义已经在核心 

数据库中,就会弹出窗口问您是否要覆盖它。检查状态窗口,查看定义是否已成功导入。 

3. 单击关闭。导入的定义(新的和更新的)将放置于定制定义的“未分配”组中。 

删除定制定义 

如果不再需要定制定义,则可以将其删除。删除定制定义时将从核心数据库和“Security and Patch 

Manager”窗口中删除其信息及其相关的检测规则。(导出不删除定义信息。) 

与删除已知的漏洞信息一样,删除定制定义将不会删除任何已下载的关联的修补程序文件。必须从 

修补程序储存库中手动删除修补程序文件。 

要删除定制定义,请选择一个或多个定制定义,然后单击工具栏里的删除选定的定制定义按钮。 

恢复已导出的定制定义 

如果删除了一个先前已导出为 XML 文件的定制定义,您可以将该定义导入回 Security and Patch 

Manager 来恢复该漏洞。

下载修补程序 


要在受影响的设备上部署安全修补程序,必须先将修补程序的可执行文件下载到网络中的本地修补 

程序资料档案库中。下载修补程序文件的默认位置是核心服务器上的 /LDLogon/Patches 目录。可 

在“下载更新”对话框的“修补程序位置”选项卡中更改此位置。 

修补程序下载位置和代理服务器设置 

下载修补程序时始终使用“下载更新”对话框的“修补程序位置”选项卡上的当前下载位置设置。另请 

注意,如果您的网络使用代理服务器访问 Internet,则必须先在“代理设置”选项卡上配置代理服务 

器的设置,然后才能下载修补程序文件。 

Security and Patch Manager 首先尝试从 URL(显示在“修补程序属性”对话框中)下载修补程序文 

件。如果无法建立连接,或者该修补程序由于某些原因不可用,则将从 LANDesk 安全服务(即 

LANDesk 提供的包含来自可信行业源的修补程序的数据库)下载修补程序。 

可以一次下载一个修补程序,也可以一次同时下载一组修补程序。 

下载修补程序 

1. 在任意“检测规则”组中,右键单击某个检测规则,然后单击下载修补程序。您也可以在创 

建或编辑定制定义时从检测规则对话框为定义下载修补程序。 

2. 或者,如果要下载一组修补程序,请在任意“检测规则”组中选择任意数量的规则,右击该 

规则,然后单击下载修补程序。 

3. “正在下载修补程序”对话框中将显示下载操作和状态。可以随时单击取消来停止整个下载 

过程。 

4. 下载完成后,单击关闭按钮。 

下载相关修补程序 

还可以下载与特定的漏洞相关(或者需要修补程序进行修补的其他安全性内容类型定义)或者与一 

组选定的漏洞相关的修补程序。要执行此操作,请右击定义,单击下载相关修补程序,选择是针对 

所有关联的修补程序还是仅对当前的修补程序,然后单击下载。 

有关修补程序文件下载状态的详细信息,请参阅本章前面的了解 "Security and Patch Manager" 窗 

口。 

49

用户指南 

卸载修补程序 

可卸载已部署到所管理设备的修补程序。 

例如,如果某个修补程序与现有的配置发生意外冲突,则可能希望卸载该修补程序。通过卸载修补 

程序,可将设备恢复到其原始状态。 

卸载修补程序 

50 

1. 在任意检测规则列表中,右键单击一个或多个规则,然后单击卸载修补程序。 

2. 输入卸载任务的名称。 

3. 指定卸载为计划任务、基于策略的扫描或二者皆是。 

4. 如果已选定计划任务,请指定从哪台设备上卸载修补程序。 

5. 如果在不访问修补程序的原始可执行文件的情况下无法卸载它(例如,使用命令行参 

数),并且希望使用定向多播来部署可执行文件,则请选中使用多播复选框。要配置多播 

选项,请单击多播选项按钮。有关详细信息,请参阅下文的关于“多播选项”对话框。 

6. 如果已选择策略并希望根据此卸载任务上创建新的查询以备后用,请单击添加查询。 

7. 从可用的列表中选择扫描和修复设置(或为此扫描创建定制设置)以确定扫描器如何在最 

终用户设备上操作。 

8. 单击确定。对于计划任务,现在可在“计划任务”工具中添加目标设备和配置计划选项。对 

于策略,新策略随同上面指定的任务名一起显示在“应用程序策略管理”窗口中。在此可以 

添加静态目标(用户或设备)和动态目标(查询结果),还可以配置策略的类型和频率。 

从核心数据库删除修补程序 

要永久删除修补程序文件,必须从通常位于核心服务器上的修补程序资料档案库中删除它们。

使用 LANDesk 可信访问 

LANDesk 可信访问是 LANDesk Security Suite 的全面安全性管理解决方案中的最新服务。通过 

LANDesk 可信访问,可以帮助您的网络抵御未经授权的访问和外部安全威胁(例如易受攻击的设 

备或恶意侵入),而这些情况可能会感染和损害您的网络。 

通过可信访问可以定义自定义安全策略、扫描受管和不受管设备的策略遵从性、验证连接设备的健 

全性状态以及根据设备的安全策略遵从性拒绝或允许访问您的重要网络资源。健全(或可信)设备 

将获得完全网络访问权限。但是,如果确定设备不健全,可能会阻止设备访问网络并保留在虚拟的 

隔离区中,在隔离区中可以使用 LANDesk Security and Patch Manager 修补功能进行修复或允许 

对网络进行有限的访问。 

LANDesk 的两种可信访问解决方案 

LANDesk 可信访问使用行业标准的安全技术和系统实现端点周界安全性。LANDesk 提供两种解决 

方案来实现可信访问服务: 

• 专有 LANDesk DHCP 解决方案 

• 集成 Cisco NAC 解决方案 

本指南提供如何设置、配置、启用和使用两种解决方案的详细信息。 

本简介章节提供可信访问技术和服务的基本概述;介绍相关的 Security Suite 前提条件和工具;比 

较两种 LANDesk 可信访问解决方案;包括与设置和使用每种解决方案有关的章节的链接。 

重要说明:设置 LANDesk 可信访问所需的技术知识和经验 

本指南详细介绍在 LANDesk DHCP 和 Cisco NAC 解决方案中安装、配置和使用 LANDesk 可信访 

问服务时所需的所有概念和过程。 

注意,除了基本的 LANDesk 核心服务器安装之外,LANDesk 可信访问还需要其他硬件和软件配 

置。由于这些其它设置任务的技术特性,本指南假定您熟悉 Cisco Network Access Control (NAC) 

与 Cisco 安全访问控制服务器 (ACS) 的配置和操作、和/或 DHCP 服务器管理与 DHCP 协议,并 

且熟悉高级网络基础结构的设计原则和管理。 

您应认识到,要设置 LANDesk 可信访问,可能需要向 LANDesk 技术支持代表和/或相关的 

LANDesk 系统工程师咨询。但是,您可以放心,在正确地配置并实现了 LANDesk 可信访问之 

后,将大大增强企业网络的整体安全性和保护。 


LANDesk 可信访问概述 

• LANDesk 可信访问服务概述 

• 遵从性安全策略 

• 了解基本的可信访问组件 

• Security Suite 前提条件 

• 遵从性扫描支持的设备平台 

• 使用 LANDesk 可信访问进行基于角色的管理 

51

用户指南 

52 

• 了解和选择 LANDesk 可信访问解决方案 

• 使用 LANDesk DHCP 解决方案(单独章节的链接) 

• 设置 LANDesk DHCP 实现的“快速启动”任务列表 

• 使用 Cisco NAC 解决方案(单独章节的链接) 

• 设置 Cisco NAC 实现的“快速启动”任务列表

LANDesk 可信访问概述 

使用 LANDESK 可信访问 

LANDesk 可信访问通过阻止易受攻击或已损坏的设备获得网络访问权限,为网络增加了一层保 

护,并防止连接的系统中的重要网络资源损坏。 

LANDesk 可信访问通过支持常见的行业标准和方法(例如 Cisco NAC 规范)并提供基于自身的 

DHCP 标准的解决方案,可以在网络上灵活地实现网络访问控制功能。使用网络访问控制,可以在 

任意设备尝试连接网络时立即评估设备的安全凭证(通过将其与自定义安全策略比较),监视已连 

接的设备的安全状态,允许或拒绝网络访问,隔离无法符合安全策略要求的设备,修补易受攻击的 

设备,以便可以重新扫描安全策略遵从性并在确定健全后允许访问网络。 

遵从性安全策略 

遵从性安全策略由验证设备健全性状态的规则组成,这些规则检查:漏洞(以操作系统和应用程序 

修补程序缺少或过期的形式)、软件更新、防病毒引擎和签名文件、防火墙存在情况以及间谍软 

件。有关在控制台中使用 Security and Patch Manager 工具定义遵从性安全策略的详细信息,请参 

阅配置遵从性安全条件并发布可信访问设置。 

下面各节介绍 LANDesk 可信访问实现的基本组件以及每个组件的角色和交互方式。更详细的图示 

和进程流分别在介绍每个特定解决方案的主题中显示。有关详细信息,请参阅: 

• 使用 LANDesk DHCP 解决方案 

• 使用 Cisco NAC 解决方案 

LANDesk 可信访问的优势和功能总结 

使用 LANDesk 可信访问可执行下列操作: 

• 创建和实现自定义遵从性安全策略 

• 实现更强大的全天候企业安全性 

• 评估连接设备的安全凭证(健全性状态) 

• 禁止受感染或被破坏的系统访问网络 

• 将不符合策略的设备隔离在安全区域中 

• 修补受感染的设备,使其符合策略 

• 缩短因恶意侵入的感染造成的停机时间 

• 帮助网络、系统、应用程序和数据抵御外部威胁 

• 扩展现有的安全技术和标准 

53

用户指南 

了解基本的可信访问组件 

本节介绍 LANDesk 可信访问实现中的基本组件以及每个组件的角色和交互。 

组件说明 

尝试访问网络的 

设备 

网络访问控制设 

备 

54 

包括尝试访问企业网络的偶尔连接或移动的笔记本电脑、来访承包商和来 

宾用户以及常规网络用户。 

安装了信任代理(对于 LANDesk DHCP 可信访问,为 LANDesk 信任代理 

或 LTA;对于 Cisco NAC 可信访问,为 Cisco 信任代理或 CTA)的设备 

可以与策略服务器或状态验证服务器进行通信,以便发送和接收健全性凭 

证信息,如果在安全性扫描期间检测到漏洞,可以通过修补服务器进行修 

复。 

没有信任代理,设备就无法与状态验证服务器进行通信,并且无法进行修 

补。在初次扫描没有信任代理的设备时,设备应定向到包含安装相应信任 

代理的链接的网页。有关详细信息,请参阅“使用 HTML 模板页”。(注意: 

Cisco NAC 解决方案不会重新定向至网页,但设备会显示网络管理员配置 

的消息框(如果管理员以此方法设置,则消息框可能会指定网页)。 

Cisco NAC 环境中的 Cisco 路由器(与 Cisco Secure ACS 组合使用)。 

LANDesk DHCP 环境中的 LANDesk DHCP 服务器(配置了“范围”,代表 

包含隔离子网和主子网的虚拟路由器)。 

从设备的角度,网络访问设备作为“第一跳”网络设备,开始状态验证和身份 

验证过程。 

策略服务器专用的后端服务器也称为状态验证服务器,基于从 LANDesk 核心服务器 

发布到设备上的遵从性规则(安全策略)评估请求访问的设备的状态凭证 

(状态)。通过网络访问控制设备发送验证响应(健全、不健全等)。 

注意:只有 Cisco NAC 可信访问实现需要专用的状态验证服务器。对于 

LANDesk DHCP 实现,状态验证功能已内置到 LANDesk DHCP 服务器 

中。 

企业网络 LANDesk 可信访问在不健全、受感染或容易通过其他方式受到攻击的设备 

中保护的重要网络区域和资源。 

隔离 VLAN 虚拟的安全网络区域,在该区域可以保护、修补、重新扫描不符合策略的 

设备,并为该设备授予对企业网络的完全访问权限,或允许对网络资源 

(例如 Internet)进行有限的访问。

可信访问基本组件和进程流 

尝试访问网络的 

设备: 

(受管与不受管 

的网络用户设备 

和/或访问者设 

备) 

网络访问控制设 

备: 

隔离 VLAN: 

(用于保护和/或 

修补未遵从和 

不健全的设备的安全区域) 

Security Suite 前提条件 

访问决策 

点: 

(网络路由器) (评估和执行遵从性 

安全策略的状态验证 

服务) 

企业 

网络: 


(授予给遵从和健全的设备的 

网络访问权限) 

要使用 LANDesk 可信访问功能,必须拥有有效的 Security Suite 许可证(核心服务器激活)。可 

信访问不仅需要 Security and Patch Manager 工具的扫描和修补功能,而且需要订阅 Security 

Suite 内容,这样才能下载漏洞、间谍软件、系统配置威胁和病毒定义,用于创建自定义遵从性条 

件和规则或安全策略。 

Security and Patch Manager 的目录树视图中增加了一个名为“遵从性”的新组。具有 Security and 

Patch Compliance 权限的用户可以在“遵从性”组中添加和删除安全类型定义。“遵从性”组中包含的 

安全定义构成遵从性安全策略,在连接设备上进行扫描,以确定设备的健全性状态。 

有关订阅 Security Suite 内容的详细信息,请参阅使用 Security and Patch Manager。 

遵从性扫描支持的设备平台 

与其基础 Security and Patch Manager 工具一样,LANDesk 可信访问服务支持大多数标准的 

LANDesk Management Suite 设备平台,包括以下操作系统: 


• Windows 2000 SP4 / 2003 / XP SP1 

• Macintosh(10.2 和更高版本) 

55

用户指南 

有关配置受管设备的遵从性扫描的信息(安装相应的信任代理,以便可以与路由设备和状态验证服 

务器进行通信),请参阅 LANDesk DHCP 和 Cisco NAC 的相应章节: 

56 

• 在设备上安装 LANDesk 信任代理以启用遵从性扫描 

• 在设备上安装 Cisco 信任代理以启用遵从性扫描 

使用 LANDesk 可信访问进行基于角色的管理 

LANDesk 可信访问依赖以下两个权限:Security and Patch Manager 权限和 LANDesk 

Administrator 权限。 

Security and Patch Manager 权限 

如果要查看和访问 Security and Patch Manager 工具,以及要下载需要定义遵从性规则的安全性内 

容更新,需要具有该权限。 

Security and Patch Compliance 权限 

要从“遵从性”组中添加或删除安全性定义,需要该权限。 

LANDesk Administrator 权限 

如果要使用信任代理配置设备,以进行遵从性扫描,以及要在控制台中配置可信访问服务,需要该 

权限。 

注意:LANDesk Administrator 权限意味着具有所有其他权限,包括上面提到的两个与安全性有关 

的权限。

了解和选择 LANDesk 可信访问解决方案 


下节介绍了在 LANDesk 可信访问中使用的 LANDesk DHCP 解决方案和 Cisco NAC 解决方案的优 

缺点。 

评估 LANDesk DHCP 解决方案 

优点: 

缺点: 

• 使用标准 DHCP 筛选 

• 没有专有的硬件要求 

• 不需要专用的状态验证服务器 

• 不太贵 

• 安全性比 Cisco NAC 稍差 

• LANDesk DHCP 服务器需要专用的计算机 

• 需要更改某些网络基础结构 

评估 Cisco NAC 解决方案 

优点: 

缺点: 

• 安全性强 

• 支持 Cisco 

• 比较昂贵(尤其如果已有 Cisco 硬件) 

• 特定供应商的硬件 

• 只支持 Windows 信任代理 

• 可能需要对网络配置进行大量改动 

• 可能不适合小企业 

选择 LANDesk 可信访问解决方案 

单击以下链接可以了解如何设置、配置和使用每种 LANDesk 可信访问解决方案: 

• 使用 LANDesk DHCP 解决方案 


• 使用 Cisco NAC 解决方案 

• 设置 Cisco NAC 实现的“快速启动”任务列表 

57

用户指南 

使用 LANDesk DHCP 解决方案 

本节描述如何计划、设置、配置和启用通过 LANDesk DHCP 实现的 LANDesk 可信访问。 

使用 LANDesk DHCP 解决方案,DHCP 服务器可以进行 IP 地址筛选和路由。LANDesk DHCP 服 

务器与主 DHCP 服务器组合使用,为尝试访问网络的设备分配 IP 地址,并与服务器的内置状态验 

证服务进行通信,验证尝试访问网络的设备的健全情况(或状态)。下图显示 LANDesk DHCP 可 

信访问实现的组件和进程工作流。实际上,在 LANDesk DHCP 实现中,LANDesk DHCP 服务器 

作为网络访问设备,根据设备运行情况凭证允许或拒绝对网络的访问。 

此外,如果希望指定的设备一起忽略状态验证过程,并获得立即访问企业网络的权限,可以使用 

LANDesk DHCP 解决方案将这些设备添加到排除列表(通过计算机或 MAC 地址标识)。 

除了特定的 LANDesk DHCP 服务器组件外,还必须设置修补服务器,才能实现 LANDesk 可信访 

问。 



置。因为额外的设置任务的技术特性,本指南假定您熟悉 Cisco 网络访问控制 (NAC) 和 Cisco 安 

全访问控制服务器 (ACS) 的配置和操作和/或 DHCP 服务器管理和 DHCP 协议,并且熟悉高级网 

络基础结构的设计原则和管理。 


设置通过 LANDesk DHCP 实现的可信访问 

58 


• 了解 LANDesk DHCP 组件和进程工作流 

• LANDesk DHCP 实现的网络拓扑和设计注意事项 

• 在设备上安装 LANDesk 信任代理以启用遵从性扫描 

• 安装和配置修补服务器 

• 设置 LANDesk DHCP 服务器 

设置 LANDesk DHCP 实现之后应执行的操作 

完成了上列设置任务之后,实现 LANDesk 可信访问的下一步骤是:定义遵从性安全策略,并将可 

信访问设置发布到相应的服务器。这些任务相同,同时适用于 LANDesk DHCP 和 Cisco NAC 解 

决方案。有关执行这些任务的信息,请参阅配置遵从性安全条件并发布可信访问设置。 

此外,要了解其他正在执行的可信访问管理任务的详细信息,例如:确保可信访问服务已启用(开 

启),使用“允许/限制任何用户访问”选项,了解连接设备状态验证时要执行的操作,更新遵从性安 

全规则和策略并重新发布可信访问设置,将不受管设备添加至“不受管设备搜寻”工具,查看受影响 

的设备,配置日志记录,以及生成报告,请参阅管理遵从性安全。 

设置 LANDesk DHCP 实现的“快速启动”任务列表 

使用此任务核查清单来帮助跟踪设置 LANDesk DHCP 解决方案所需的步骤。使用此设置 

LANDesk DHCP 实现的“快速启动”任务列表。

了解 LANDesk DHCP 组件和进程工作流 


本节介绍组成 LANDesk DHCP 解决方案的组件。此外,本节还介绍在启用 LANDesk 可信访问 

时,设备尝试访问或连接企业网络时出现的情况。在设备上安装和未安装 LANDesk 信任代理 

(LTA) 的方案在下面的图示和进程工作流中介绍。 

基于 LANDesk DHCP 的可信访问服务必须具有下列组件。 

必要的组件 

组件说明 

LANDesk 核心服务器提供 Security and Patch Manager 工具,用于:下载安全性内容 

(例如操作系统和应用程序漏洞定义、间谍软件定义、系统配置安全 

威胁、防病毒和防火墙配置定义等)、定义遵从性条件、配置状态验 

证服务器和修补服务器以及配置和发布可信访问设置(包括用于扫描 

和修复设备的遵从性安全规则或策略和修补资源)。 

企业 DHCP 服务器为经过验证且状态为正常的设备提供永久性 IP 地址。 

LANDesk DHCP 服务 

器 

作为实现遵从性安全策略网络访问设备。与连接设备通信,以便评估 

此端点设备的状态凭证。为寻求网络访问权限的设备分配临时的 IP 

地址,直到设备符合遵从性安全条件并且可以从企业的主 DHCP 服 

务器获取永久的 IP 地址。也就是说,在 LANDesk DHCP 环境中, 

DHCP 服务器是网络上实现策略的位置,授予或拒绝访问权限。 

LANDesk DHCP 服务器已内置了状态验证功能,因此不需要专用的 

状态验证服务器。此服务是基于两个因素来确定连接设备是否处于健 

全状态:遵从性安全策略(Security and Patch Manager 工具中遵 

从性组的内容)和根据配置可信访问对话框中的健全的定义设置中的 

指定进行健全性扫描以来的小时数。 

修补服务器包含所需的设置和支持文件(安全客户端、安全类型定义和所需的修 

补程序以及 HTML 模板页),用于扫描设备上通过安全策略标识的 

漏洞,并修补(修复)任何检测到的漏洞,使设备可以扫描为健全或 

符合安全策略并访问网络。 

路由器作为实现遵从性安全策略网络访问设备。与尝试访问的连接设备以及 

评估端点设备状态凭证的 LANDesk DHCP 服务器进行通信。而在 

LANDesk DHCP 服务器环境中,需要配置路由器/交换机以支持 

BOOTP/DHCP 转发。 

设备尝试访问企业网络的移动用户设备或来宾用户设备以及常规的网络用 

户设备。典型的端点设备包括台式机和笔记本电脑,但是也可以是打 

印机等“无客户端”设备。通过 LANDesk 可信访问可以评估这些连接 

设备的健全性状态并根据状态凭证控制网络访问。 

59

用户指南 

下列图示显示上述组件的典型配置以及这些组件之间的状态验证过程或工作流。 

LANDesk DHCP 组件 

下图显示具体的 LANDesk DHCP 组件: 

60

未安装 LTA 的设备的状态验证过程 


下图显示当尝试访问网络的设备上没有安装 LANDesk 信任代理 (LTA) 时,LANDesk DHCP 环境 

中的各个组件之间的工作流或通信流。插图编号代表过程的每个阶段,如下面的步骤列表中所述。 

进程工作流: 

1. 未配置 LANDesk 信任代理 (LTA) 的设备将首次尝试通过 LANDesk DHCP 服务器访问该 

企业网络并请求 IP 地址。 

2. LANDesk DHCP 服务器通过查看选项 55 和选项 60 来确定该平台是否应扫描。如果要扫 

描该平台,LANDesk DHCP 服务器将确定设备的健全性状态是否已知或已高速缓存,或 

设备是否包含在例外列表中。 

3. LANDesk DHCP 服务器向设备返回隔离 VLAN IP 地址(从 IP 地址池)。如果要允许该设 

备,或设备包含在例外列表中,则该请求将转发到企业的主 DHCP 服务器。 

4. 此时,设备可安装 LANDesk 信任代理并运行安全客户端(从 Visitor.html 页面),以便扫 

描现有漏洞并予以修补,进入健全状态或遵从公司的安全策略,并获得对网络的访问权。 

或者,设备仅能留在具有有限网络访问权限的隔离 VLAN 内,这取决于网络管理员在路由 

器上定义的访问控制列表规则(ACL)。 

61

用户指南 

安装了 LTA 的设备的状态验证过程 

下列图示显示当尝试访问网络的设备上安装了 LANDesk 信任代理 (LTA) 时,LANDesk DHCP 环 

境中各个组件之间的工作流或通信流。插图编号代表过程的每个阶段,说明如下。 

LANDesk DHCP 状态验证过程分为三个阶段。 

第 1 阶段:首次访问尝试(分配临时/隔离 IP 地址;提供修补) 

首次访问尝试的进程工作流: 

62 

1. 已配置 LANDesk 信任代理 (LTA) 的设备将首次尝试通过 LANDesk DHCP 服务器访问企 

业网络并请求 IP 地址。 

2. LANDesk DHCP 服务器通过查看选项 55 和选项 60 来确定该平台是否应扫描。如果要扫 

描该平台,LANDesk DHCP 服务器将确定设备的健全性状态是否已知或已高速缓存,或 

设备是否包含在例外列表中。 

3. LANDesk DHCP 服务器向设备返回隔离 VLAN IP 地址(从 IP 地址池)。如果要允许该设 

备,或设备包含在例外列表中,则该请求将转发到企业的主 DHCP 服务器。 

4. 由于设备上已安装信任代理,因此其浏览器能够启动及重新定向到修补服务器上的“安装” 

页面,而本来是应该从核心服务器发布的。此页面包含链接,可使您安装代理,运行安全 

扫描器以扫描遵从性并进行必要的修补。 

5. 运行安全客户机(扫描器),以便扫描并修补所有存在的漏洞以及在遵从性安全策略中定 

义的其它安全风险。修补成功可使设备遵从或者健全,以便继续进行 LANDesk DHCP 状 

态验证过程中的以后步骤。

第 2 阶段:已修补设备访问尝试(重新分配 IP 地址;要求状态声明) 

第二次访问尝试的进程工作流: 


6. 经过修补的设备尝试通过 LANDesk DHCP 服务器再次访问网络并请求 IP 地址。 

7. LANDesk DHCP 服务器认为设备仍处于隔离状态,并且... 

8. LANDesk DHCP 服务器向设备返回相同的隔离 VLAN IP 地址。 

63

用户指南 

第 3 阶段:设备状态验证(给健全设备重新分配永久性 IP 地址;授予网络访问权限) 

状态验证和网络访问的进程工作流: 

64 

9. 设备将其状态声明(健全状态)发送回 LANDesk DHCP 服务器。 

10. LANDesk DHCP 服务器评估设备状态声明。(请注意, LANDesk DHCP 服务器作为网络 

访问权限控制过程中的决策点,这意味着它将确定正在寻求网络访问权限的设备的健全状 

态。) 

11. LANDesk DHCP 服务器将状态回复发送到设备。 

12. 如果设备被视为不健全(或未遵从),则仍将保留在隔离 VLAN 中。如果设备被视为健全 

(或遵从),则设备将再次向 LANDesk DHCP 服务器请求 IP 地址。 

13. 现在,LANDesk DHCP 服务器确认设备健全,并将 IP 地址请求传递到企业的主 DHCP 服 

务器。 

14. 公司主 DHCP 服务器通知 LANDesk DHCP 服务器,正在向设备分配永久 IP 地址,并且... 

15. 主 DHCP 服务器将永久 IP 地址返回到健全设备,该设备即获得对公司网络的访问权限。 

通过 LANDesk DHCP 实现的可信访问的网络拓扑和设计注意事项 

在设计 LANDesk DHCP 可信访问实现时,应注意下列问题: 

• LANDesk 核心服务器对于隔离网络应该是不可见的。 

• LANDesk DHCP 服务器与客户端应位于路由器/交换机的两侧。 

• 路由器需要支持路由器的客户端的主子网和辅助子网。 

• 路由器需要配置为将广播的 BOOTP/DHCP 请求转发给 LANDesk DHCP 服务器(中继 

代理或 IP Helper)。 

• 主 DHCP 服务器与 LANDesk DHCP 服务器应位于路由器的同一侧。


• LANDesk DHCP 服务器可以为许多隔离的子网提供服务,所以,可能只需要一个 

LANDesk DHCP 服务器。 

• 不要将 LANDesk DHCP 服务器与主 DHCP 服务器安装在同一台计算机上;他们不能共 

享相同的端口。 

• 修补服务器可以与 LANDesk DHCP 服务器安装在同一台计算机上,但是如果出现性能或 

可伸缩性问题,可以将其移至自己的服务器计算机上。 

• 路由器必须将真实的子网配置为主子网,将隔离子网配置为辅助子网。 

• 辅助子网应限制为只能看到修补服务器。 

在设备上安装 LANDesk 信任代理以启用遵从性扫描 

要与 LANDesk DHCP 服务器通信,并评估其健全性状态,设备必须安装 LANDesk 信任代理 

(LTA)。 

请记住,为提供附加的设备管理功能,即便使用 Cisco NAC 解决方案,您也可以在受管设备上安 

装 LTA (包括清单扫描器和本地调度程序)。也就是说,您可以在设备上同时安装这两种信任代 

理。然而,如果您使用的是 LANDesk DHCP 解决方案,则不应在受管设备上安装 CTA。 

在受管员工设备上安装 LANDesk 信任代理 

• 如果它们已安装标准 LANDesk 代理,则使用新的设备代理配置安装 LTA。 

• 或者,如果它们未安装标准 LANDesk 代理,则使用初始代理配置安装 LTA。 

• 或者,使用 UDD 中设备的代理配置安装 LTA。 

在不受管员工设备上安装 LANDesk 信任代理 

• 通过以标准 LANDesk 代理 (wscfg32.exe)“拉”安装 LTA。 

• 或者,通过使用自包含的代理配置安装 

在新的最终用户设备(员工或访问者)上安装 LANDesk 信任代理 

• 使用 UNC 或 URL 路径手动安装 LTA(Visitor.html 页面位于修补 Web 共享目录) 

设置和配置修补服务器 

这是 LANDesk DHCP 和 Cisco NAC 可信访问解决方案的一个通用组件,因此也是一项通用任 

务。 

有关详细信息以及具体步骤的说明,请参阅设置修补服务器。 

设置 LANDesk DHCP 服务器 

这是 LANDesk DHCP 解决方案特有的过程。有关详细信息(包括为 LANDesk DHCP 解决方案配 

置路由器/交换机),请参阅设置 LANDesk DHCP 服务器。 

65

用户指南 

设置 LANDesk DHCP 实现之后应执行的操作 


信访问设置发布到相应的服务器。这些任务相同,同时适用于 LANDesk DHCP 和 Cisco NAC 解 

决方案。有关执行这些任务的信息,请参阅配置遵从性安全条件并发布可信访问设置。 



全规则和策略并重新发布可信访问设置,将不受管设备添加至“不受管设备搜寻”工具,查看受影响 

的设备,配置日志记录,以及生成报告,请参阅管理遵从性安全。 

66



使用此“快速启动”任务列表可以完成所需的计划、设置和配置任务,从而通过 LANDesk DHCP 实 

现 LANDesk 可信访问并在网络上运行。 

可以打印此任务列表,在实现过程中通过此任务列表跟踪每个步骤。如果联机查看此任务列表,可 

以单击有关详细信息链接查看有关特定任务的详细信息和说明。 

安装单个可信访问服务器 

针对此快速启动任务列表,修补服务器和 LANDesk DHCP 服务器(包括状态验证功能)均安装和 

配置在同一台此处称为可信访问服务器的计算机上。此配置在技术上可行并且将创建一个实用的 

LANDesk DHCP 可信访问环境时,请记住它并非是最适合您的企业网络的方案。 

67

用户指南 


完成任务有关详细信息,请参阅 

前提条件:网络上必须安装并运行 LANDesk 

Management Suite 8.6 核心服务器,并使用 

LANDesk Security Suite 许可证和安全内容订阅激 

活: 

• 安装核心服务器 

• 使用 Security Suite 许可证激活核心服务器 

• 以“管理员”用户或者具备“安全性和修补程序 

管理”权限和“安全性和修补程序遵从性”权限 

的用户登录(允许下载安全和修补程序内容 

并将其复制到“遵从性”组中) 

在设备上安装 LANDesk 信任代理 (LTA) 以启用遵从 

性扫描: 

• 对于受管员工设备: 

如果他们已经有标准的 LANDesk 代理,则 

采用新的设备代理配置安装 LTA 

或者,如果他们没有标准的 LANDesk 代 

理,则采用初始代理配置安装 LTA 

或者,使用代理配置将 LTA 安装到 UDD 中 

的设备上。 

• 对于不受管员工设备: 

通过使用标准的 LANDesk 代理 

(wscfg32.exe)“拉” 

或者使用自包含的代理配置来安装 LTA 

• 对于新的最终用户设备(访问者): 

使用 UNC 或 URL 路径手动安装 LTA 

(Visitor.html 页面位于修补 Web 共享目 

录) 

标识和配置单个符合以下系统要求的可信访问服务 

器: 

• Windows 2000 或更高版本,具有.NET 

Framework 1.1 

• 已安装并运行 Web 服务器 (IIS) 

• 静态 IP 地址 

• 服务器必须与连接设备位于路由器/交换机的 

两侧 

• 不能作为当前的 DHCP 服务器 

• 不能作为 PXE 代表计算机 

• 不能为核心服务器 

68 


有关 LANDesk DHCP 组件和进程工 

作流的信息(包括图示),请参阅了 

解 LANDesk DHCP 组件和进程工作 

流。 

有关通过 LANDesk DHCP 实现的可 

信访问的网络拓扑和设计注意事项, 

请参阅 LANDesk DHCP 实现的网络 

拓扑和设计注意事项。 

在设备上安装 LANDesk 信任代理以 

启用遵从性扫描

安装修补服务器: 

安装和配置修补服务器 

• 安装在可信访问服务器上, 

• 运行 

CONFIGURE.REMEDIATION.SERVER.V 

BS 安装脚本,该脚本位于: 

\LDMain\Install\TrustedAccess\Remediati 

onServer 

• 注意: 此脚本将通过以下方式自动配置执行 

修补的服务器: 

- 创建名为 LDLogon 的 Web 共享(通常位 

于:c:\inetpub\wwwroot\LDLogon) 

- 启用具有读和浏览权限的对 LDLogon 共享 

的匿名访问 

- 为 .lrd 文件添加新的 MIME 类型并将其设 

置为 application/octet-stream 


安装和配置 LANDesk DHCP 服务器: 


• 安装在可信访问服务器上, 

• 运行位于以下位置的 LDDHCP.EXE 安装程 

序: 

\LDMain\Install\TrustedAccess\LDDHCP 

(如果核心服务器无法访问则将安装程序复 

制到磁盘上) 

• 从核心服务器的 Program 

Files\LANDesk\Shared Files\Keys 文件夹中 

将私钥和证书文件(*.key 和 *.crt)复制到 

LANDesk DHCP 服务器上的相同路径中 

• 使用 LDDHCP 配置工具(可以通过桌面上 

的快捷图标进行访问)配置 LANDesk 

DHCP 服务器设置 

• 指定修补服务器属性 

• 为每个子网创建 VLAN 地址池范围(确保至 

少为路由器网关定义范围选项 003) 

• (可选)配置操作系统过滤器选项、排除列 

表和 LANDesk DHCP Watcher 

• 退出“配置”工具以启动 LANDesk DHCP 服 

务 

• 注意:LANDesk DHCP 可信访问解决方案 

不需要专用的状态验证服务器,因为此功能 

已包含在 LANDesk DHCP 服务器中 

使用 Security and Patch Manager 工具定义遵从性 

安全: 

• 在控制台的 Security and Patch Manager 

工具中, 

在 Security and Patch Manager 工 

具中定义遵从性安全条件 

69

用户指南 

70 

• 下载安全性内容定义和修补程序 

• 将安全定义添加到“遵从性”组以便定义遵从 

性安全策略 

• 确保下载了关联的修补程序 

在控制台中配置(添加)服务器: 

• 在 Security and Patch Manager 中,右击 

可信访问对象(在设置下),然后单击配置 

可信访问 

• 在 LANDesk DHCP 或状态验证服务器名称 

字段中输入可信访问服务器名称,单击添加 

将其添加到列表中,然后单击确定 

• 此外,在 Security and Patch Manager 

中,右击可信访问对象,单击配置修补服务 

器,然后单击添加 

• 输入修补服务器的 IP 地址、LDLogon Web 

共享的 UNC 路径和用户访问凭证,然后单 

击确定 

将所有的可信访问设置发布到相应的服务器: 

• 在 Security and Patch Manager 中,右击 

可信访问对象,单击发布可信访问设置,选 

择全部,然后单击确定 

• 注意:初始发布过程必须包括所有的可信访 

问设置;后续的发布过程可以只包括遵从性 

内容。 

为 LANDesk DHCP 可信访问配置网络路由器: 

• 网络路由器必须位于 LANDesk DHCP 服务 

器和连接设备之间 

• 路由器必须打开 DHCP 转发 

• 将 VLAN 子网添加到路由器上的客户端接口 

(隔离子网) 

• 更改客户端接口上的 IP 地址关联程序(中 

继代理)使其指向 LANDesk DHCP 服务器 

• 通过在路由器上添加 ACL(访问控制列表) 

规则来限制来自 VLAN 的通信,使设备只能 

连接修补服务器。例如,访问控制列表可能 

包括以下内容: 

access-list 101 permit ip 

10.1.1.0 0.0.0.255 any 

access-list 101 permit ip any 

host 192.168.1.10 

access-list 101 permit udp any 

eq bootpc any eq bootps 

(其中,10.1.1.0 为主子网网关; 

设置 LANDesk DHCP 服务器以及设 

置和配置修补服务器 

发布可信访问设置 

LANDesk DHCP 服务器前提条件: 

网络和路由器配置要求

192.168.1.10 是 LANDesk DHCP/修补可信 

访问服务器。) 

确保状态验证过程运行正常: 

• 使用刚设置的 LANDesk DHCP 可信访问网 

络,通过释放和更新某一受管设备的 IP 地 

址来进行简单的测试。 

执行实时遵从安全性管理任务: 

• 确保可信访问服务已启用(打开) 

• 使用“允许/限制任何用户访问”选项 

• 了解连接设备在进行状态验证时发生的事件 

• 查看受影响(不符合条件)的设备 

• 修改和更新遵从性安全策略 

• 添加不受管设备 

• 配置和查看遵从性日志记录 

• 生成遵从性报告 

管理遵从安全性 


要返回 LANDesk DHCP 可信访问的主帮助主题,请参阅使用 LANDesk DHCP 解决方案。 

71

用户指南 


两个 LANDesk 可信访问解决方案(LANDesk DHCP 和 Cisco NAC)都需要修补服务器来修复易 

受攻击或受感染的设备。确定属于不健全状态的设备发送到修补服务器上进行修补(修复),以便 

满足为健全状态设置的遵从性规则。 

修补服务器是发布修补资源的位置,这些资源包括安全性客户端(扫描设备上的漏洞及其他安全风 

险)、修补程序文件,以及显示在设备上的为修补或受限网络访问权限提供选项的 HTML 页。要 

了解修补服务器如何与其他可信访问组件和连接设备进行交互,请参阅使用 LANDesk DHCP 解决 

方案和使用 Cisco NAC 解决方案中的相关组件和进程图示。 



72 

• 修补服务器前提条件 

• 确定服务器在网络上的位置 

• 在修补服务器上创建 Web 共享 

• 在控制台中配置(添加)修补服务器 

• 后续步骤:发布基础结构文件至修补服务器 

修补服务器前提条件 

要设置为修补服务器的计算机必须符合下列系统要求: 

• 修补服务器可以是任意类型的 Web 服务器。例如:Windows 上的 IIS 或 Linux 上的 

Apache。 

• 必须在修补服务器上创建一个 Web 共享,该 Web 共享具有匿名访问权限并且启用了读 

取权限和浏览权限。有关说明请参阅以下的在修补服务器上创建 Web 共享。 

• 注意:如果正在 Linux 上使用 Apache Web 服务器,则创建的共享必须为 Samba 共 

享。 

确定服务器在网络上的位置 

在确定网络上的修补服务器的位置时,应遵从以下原则。 

• 修补服务器可以放在路由器的任意一侧。 

• 如果选择将修补服务器放在路由器的客户端一侧,则会更加安全,因为这样不必在路由器 

规则中创建任何例外,但是在每次更改修补文件时,将必须手动将所有修补文件传递到计 

算机上。 

• 如果将修补服务器放在路由器的另一侧,因为隔离计算机将访问网络上的计算机,所以可 

能存在安全风险,但是可以将修补文件推送到计算机上,而不必传递到计算机上。 

• 从修补 VLAN 上必须可以看见修补服务器。 

• 网络上可以包含多个修补服务器。 

您可以在 LANDesk 可信访问解决方案的各个概述章节中,查看组件位置和进程工作流的图示。请 

参阅使用 LANDesk DHCP 解决方案和使用 Cisco NAC 解决方案。

在修补服务器上创建和配置 Web 共享 


此步骤可使用脚本自动执行,脚本位于核心服务器上,您可以从希望设置为修补服务器的计算机上 

运行该脚本。 

在修补服务器上创建的 Web 共享充当修补程序可执行文件(用于修补受影响设备上的漏洞)的存 

储区域。从核心服务器发布基础结构文件或修补资源(即安全性客户端、修补程序文件和 HTML 

文件)时,这些文件将复制到此 Web 共享中。 

注意:此 Web 共享的名称必须为 LDLogon。可以在 Web 服务器的任意位置创建该共享。常用路 

径为:C:\Inetpub\wwwroot\LDLogon。只要 URL 重定向配置为转至以下位置,就可以在任何路径 

上创建此共享:http://servername/LDLogon。 

在运行脚本以创建和配置 Web 共享之后,必须在控制台中添加修补服务器并指定共享路径(请参 

阅下面的在控制台中添加修补服务器)。这就可确保核心服务器将修补资源发布至修补服务器上的 

正确位置。 

运行修补服务器配置脚本 

1. 从希望设置为修补服务器的计算机上,将某个驱动器映射到核心服务器的 

LDMain\Install\TrustedAccess\RemediationServer 文件夹。 

2. 双击 CONFIGURE.REMEDIATION.SERVER.VBS 安装脚本。 

修补服务器配置脚本将通过以下方式自动配置执行修补的服务器: 

• 创建名为 LDLogon 的 Web 共享(通常位于:c:\inetpub\wwwroot\LDLogon)。 

• 启用具有读、写和浏览权限的 LDLogon 共享匿名访问。 

• 为 .lrd 文件添加新的 MIME 类型,然后将其设置为 application/octet-stream 

(application/binary)。 

注意:您也可以使用 Microsoft IIS 工具手动配置 LDLogon 共享的访问权限和 MIME 类型。 

此时就可以在控制台中添加修补服务器。 

在控制台中配置(添加)修补服务器 

设置了修补服务器之后,必须在控制台中使用配置修补服务器对话框配置修补服务器并将其添加到 

有效修补服务器列表中。这样,可以在网络上识别该修补服务器,并且可以正确地与其他可信访问 

组件进行通信。 

在控制台中配置和添加修补服务器 

1. 在控制台的 Security and Patch Manager 工具中(工具|安全|Security and Patch 

Manager),右击可信访问组,单击配置修补服务器,然后单击添加。此时将显示修补服 

务器名称和凭证对话框。 

2. 输入修补服务器的 IP 地址。 

73

用户指南 

74 

3. 输入要将遵从性文件发布到的 Web 共享的路径(在设置为修补服务器的 Web 服务器 

上)。Web 共享的名称必须为 LDLogon。遵从性文件是一些安全定义文件,定义遵从性 

安全策略(即 Security and Patch Manager 中遵从性组的内容)和修补检测到的漏洞所需 

的修补程序文件。 

可以输入一个 UNC 路径或映射的驱动器路径。使用 UNC 路径是最可靠的方法,因为驱动 

器映射可能会更改(请参阅以下说明)。可以单击“浏览”按钮浏览到修补服务器上要将遵 

从性文件发布到的共享。 

重要说明:如果在“复制遵从性文件的位置”字段中输入本地路径或映射驱动器,文件将发 

布到本地计算机上或启动发布操作的计算机的指定映射驱动器上。为了确保遵从性文件发 

布到网络上每个修补服务器的相同位置,我们建议使用网络共享的 UNC 路径。 

4. 输入有效的用户名和密码以访问修补服务器。 

5. 单击确定,将此修补服务器添加到列表中。 

只要已配置了状态验证服务器和用户凭证,此时就可以将修补基础结构文件发布到服务器上。 

关于“修补服务器名称和凭证”对话框 

使用此对话框可以确定修补服务器,以及修补服务器上用于发布修补资源(安全性客户端、修补程 

序文件和 HTML 页)的 Web 共享的路径。 

• 修补服务器名称:通过其 IP 地址或主机名来标识修补服务器。 

• 复制遵从性文件的位置:指定修补服务器上 Web 共享的完整路径,遵从性文件将从核心 

发布到该路径。Web 共享的名称应为 LDLogon。此路径可以是 UNC 路径或映射的驱动 

器路径(或本地路径)。建议使用 UNC 路径(请参阅上文的重要说明)。 

• 浏览:打开本地 Windows 资源管理器窗口,浏览到修补服务器的 LDLogon 共享。 

• 用户名:标识对修补服务器上的 Web 共享拥有访问凭证的有效用户名。 

• 密码:标识用户密码。 

• 确认密码:验证用户密码。 

• 确定:保存修补服务器设置,然后将该服务器添加到“配置修补服务器”对话框的列表中。 

• 取消:关闭对话框但不保存此设置,并且不将该服务器添加到修补服务器的列表中。 

后续步骤:发布修补基础结构文件至修补服务器 

安装和配置修补服务器的下一步是向修补服务器发布来自核心服务器的修补基础结构的重要资源。 

这些修补基础结构资源包括: 

• 安全性客户端(漏洞扫描器实用程序) 

• 与“遵从性”组中包含的漏洞关联的修补程序 

• 提供链接的 HTML 页,这些链接允许最终用户:安装信任代理、执行遵从性安全性扫描并 

修补检测到的漏洞和其他安全问题。 

必须先在 Security and Patch Manager 工具中定义遵从性安全条件,然后才能将其发布至服务器。 

有关这些任务的信息,请参阅配置遵从性安全条件并发布可信访问设置。



LANDesk DHCP 解决方案需要 LANDesk DHCP 服务器;但是基于 Cisco 的 NAC 实现中不需 

要。 

LANDesk DHCP 可信访问解决方案不需要专用的状态验证服务器,因为此功能已包含在 LANDesk 

DHCP 服务器中。也就是说,LANDesk DHCP 服务器中已内置了评估设备健全性的状态验证服 

务。 

LANDesk DHCP 服务器为发出请求的设备提供一个临时的 IP 地址(隔离的 IP 地址)。设备可以 

使用临时的 IP 地址与修补服务器进行通信,该服务器运行安全客户端(安全性扫描器的一个特殊 

版本,也称为漏洞扫描器)。安全性扫描器检查“遵从性”组中包含的安全性定义,如果检测到漏 

洞,修补服务器将通过部署必要的修补程序文件或删除检测到的间谍软件等方式进行修补。修补之 

后,设备会再次向 LANDesk DHCP 服务器请求一个 IP 地址。如果根据遵从性规则得出设备是健 

全的,LANDesk DHCP 服务器会将该设备转发给企业的主 DHCP 服务器,以便获得一个有效的网 

络 IP 地址。 



置。因为额外的设置任务的技术特性,本指南假定您熟悉 Cisco 网络访问控制 (NAC) 和 Cisco 安 

全访问控制服务器 (ACS) 的配置和操作和/或 DHCP 服务器管理和 DHCP 协议,并且熟悉高级网 

络基础结构的设计原则和管理。 



• LANDesk DHCP 服务器前提条件 


• 安装 LANDesk DHCP 服务器软件 

• 将 LANDesk 证书文件复制到 LANDesk DHCP 服务器上 

• 使用 LANDesk DHCP Manager 工具配置 LANDesk DHCP 服务器 

• 配置 DHCP 服务器设置 

• 创建和管理范围 

• 在控制台中配置(添加)LANDesk DHCP 服务器 

• 配置修补服务器属性 

• 使用操作系统过滤器 

• 添加设备至状态排除列表 

• 配置 LANDesk DHCP Watcher 

• 重新启动 LANDesk DHCP 服务器 

75

用户指南 

LANDesk DHCP 服务器前提条件 

必须确保您的网络和路由器配置符合以下条件,这样 LANDesk DHCP 可信访问才能正常进行: 

网络和路由器配置要求 

76 

• LANDesk 核心服务器对隔离网络应该为不可见。 

• 路由器必须位于 LANDesk DHCP 服务器和连接设备之间 

• 路由器必须打开 DHCP 转发 

• 将 VLAN 子网添加到路由器上的客户端接口 

• 更改客户端接口上的 IP 地址关联程序(中继代理),使其指向 LANDesk DHCP 服务器而 

非主 DHCP 服务器 

• 通过在路由器上添加 ACL 规则来限制来自 VLAN 的通信,使设备只能连接修补服务器和 

子网代表。例如,访问控制列表可能包括以下内容: 

access-list 101 permit ip 10.1.1.0 0.0.0.255 any 

access-list 101 permit ip any host 192.168.1.10 

access-list 101 permit udp any eq bootpc any eq bootps 

(其中,10.1.1.0 为主子网网关;192.168.1.10 是 LANDesk DHCP/修补可信访问服务 

器。) 

您还应确保要设置为 LANDesk DHCP 服务器的服务器计算机满足以下要求: 

LANDesk DHCP 服务器的特殊注意事项和要求 

• 必须为 Windows 2000 或更高版本,具有.NET Framework 1.1 

• 必须与连接设备位于路由器的两侧 

• 必须拥有静态 IP 地址(通过 Windows 网络配置进行配置) 

• 不能作为当前的 DHCP 服务器 

• 不能作为 PXE 代表计算机 

• 不能安装在核心服务器上 


如上所述,LANDesk DHCP 服务器与连接设备必须位于路由器的两侧,与主 DHCP 服务器位于路 

由器的同一侧。 


参阅使用 LANDesk DHCP 解决方案和使用 Cisco NAC 解决方案。 

安装 LANDesk DHCP 服务器软件 

安装和设置 LANDesk DHCP 服务器 

1. 从要设置为 LANDesk DHCP 服务器的计算机上,将某个驱动器映射到核心服务器的 

LDMain\Install\TrustedAccess\LDDHCP 文件夹中。 

2. 启动 LDDHCP.EXE 安装程序。

3. 选择要安装的语言版本,然后单击确定。 

4. 在“欢迎使用”屏幕上,单击下一步。 

5. 接受许可证协议,然后单击下一步。 

6. 要复制必要的文件,请单击安装。 

7. 文件复制过程完成后,单击完成。 

LANDesk DHCP 服务器尚未运行。您必须首先: 

• 复制证书文件 

• 使用 LANDesk DHCP Manager 工具配置 LANDesk DHCP 服务器 

• 启动 DHCP 服务 

复制 LANDesk 证书文件至 LANDesk DHCP 服务器 


为了使 LANDesk DHCP 服务器可以与受管设备进行通信,必须将 LANDesk 证书文件复制到 

LANDesk DHCP 服务器计算机上。 

复制 LANDesk 证书文件 

1. 从 LANDesk DHCP 服务器计算机上,映射某个网络驱动器以访问核心服务器的管理共 

享。使用以下的命令语法: 

\\computername\c$ 

(注意:必须有同等的管理员凭证才能访问核心服务器上的这个共享。) 

2. 将 *.CRT 和 *.KEY 文件从核心服务器的 C:\Program Files\LANDesk\Shared Files\keys 文 

件夹复制到 LANDesk DHCP 服务器的相同文件夹中(此文件夹由安装程序自动创建)。 

77

用户指南 

使用 LANDesk DHCP Manager 工具配置 

LANDesk DHCP 服务器 

您已成功安装了 LANDesk DHCP 服务器软件。但是,LANDesk DHCP 服务尚未运行。设置 

LANDesk DHCP 服务器和启动服务的下一步是运行安装程序安装在此计算机上的 LANDesk 

DHCP Manager 工具,这样才能配置 DHCP 服务器设置、配置状态验证服务器设置、创建和管理 

范围以及将设备添加到状态排除列表中。 

打开防火墙端口的重要说明 

在继续设置 LANDesk DHCP 服务器之前,应禁用 Windows 防火墙(如果启用)。如果希望继续 

启用 Windows 防火墙,必须确保下列 UDP 端口完全打开:67、68、12576 和 12577。 

LANDesk DHCP 服务器配置工具的名称为 LANDesk DHCP Manager。可以使用“开始”菜单(开始 

|程序|LANDesk|LANDesk DHCP 服务器|LDDHCP 配置),或者双击此时已显示在服务器桌面上 

的 LDDHCP 配置图标来启动此工具。 

LANDesk DHCP Manager 工具可执行以下操作: 

78 

• 配置 LANDesk DHCP 服务器设置 

• 创建并管理范围(名称、持续时间、地址范围、中继地址、排除范围和范围选项) 

• 在控制台中配置(添加)LANDesk DHCP 服务器 

• 配置修补服务器属性 

• 查看和修改操作系统过滤器选项,并创建新的操作系统过滤器 

• 将设备添加到状态排除列表 

• 查看状态设备的健全性状态 

• 查看 LANDesk DHCP 服务器日志文件 

• 配置 LANDesk DHCP Watcher 

• 停止并重新启动 LANDesk DHCP 服务 

配置 DHCP 服务器设置 

配置 LANDesk DHCP 服务器设置 

1. 在已安装的 LANDesk DHCP 服务器中,单击桌面上的“LANDesk DHCP 配置”程序图标。 

(或者单击开始|程序|LANDesk|LANDesk DHCP 服务器|LDDHCP 配置) 

2. 右击 LANDesk DHCP 服务器对象,然后单击属性。随即显示配置 LANDesk DHCP 设置 

对话框。 

3. 输入 LANDesk DHCP 服务器的 IP 地址默认情况下,该字段为服务器中主 NIC 的 IP 地 

址。 

4. 输入网络上的主 DHCP 服务器的 IP 地址。 

5. 指定地址池备份的频率(分钟)。此设置可控制 LANDesk DHCP 服务器保存 IP 地址池信 

息的频率。这些信息在 DHCP 服务器上保存为 XML 文件。 

6. 单击确定保存设置并退出“配置 LANDesk DHCP 设置”对话框。 

关于“配置 LANDesk DHCP 设置”对话框 

使用此对话框可配置 LANDesk DHCP 服务器的基本设置:


• LANDesk DHCP 服务器:标识正在配置的 LANDesk DHCP 服务器的 IP 地址。默认 

情况下,该字段为服务器中主 NIC 的 IP 地址。 

• 主 DHCP 服务器:标识网络上的企业主 DHCP 服务器的 IP 地址。LANDesk DHCP 服 

务器与主 DHCP 服务器进行通信,以便在状态验证过程中将一个永久性 IP 地址分配给健 

全的连接设备。 

• 地址池备份的频率(分钟): 指定 LANDesk DHCP 服务器保存 IP 地址池信息的频率。 

这些信息在 DHCP 服务器上保存为 XML 文件。 

创建和管理范围 

您必须先常见并激活范围,然后 LANDesk DHCP 服务器才能将临时(或隔离)IP 地址租给连接设 

备。范围是指网络或子网可能使用的 IP 地址的范围。 

在 LANDesk DHCP 服务器上创建范围的指南 

• 应该为网络上的每个子网(路由器)创建一个范围。 

• 每个范围都应配置有两个网关:一个用于主子网,另一个用于隔离子网 

• 两个路由器不能有相同的隔离子网 IP 范围 

• 创建范围后,必须对范围选项进行配置(重要说明:选项 001 和 003 为必选) 

• 建议您在使用 LANDesk DHCP manager 工具创建范围后不要将其重命名。 

创建和配置范围 

1. 右击 LANDesk DHCP Manager 工具的 LANDesk DHCP 服务器对象,然后单击新建范 

围。随即显示范围属性对话框。如果要编辑现有的范围,则右击 LANDesk DHCP 服务器 

树中的范围对象,然后单击属性。 

2. 在名称选项卡中,输入该范围的名称和说明。每个范围都必须有一个唯一的名称。 

3. 在持续时间选项卡中,输入 LANDesk DHCP 服务器将 IP 地址分配给连接设备的时间长 

度。该时间长度应该等于设备连接到网络上的时间长度。 

4. 在地址范围选项卡中,输入 IP 地址的范围(开始 IP 地址和结束 IP 地址),该范围可以分 

发给连接设备。请确保指定的范围可为网络上的设备提供足够的 IP 地址。 

(注意:您所输入的 IP 地址不能是与主 DHCP 服务器的范围相同的子网的一部分。 

5. 同样在地址范围选项卡中,输入子网掩码。您可以输入一个 IP 地址或一个长度。子网掩码 

确定了 IP 地址中用于网络/子网 ID 的位数,用于主机 IP 的位数。 

6. 单击完成。 

现在可以配置范围的选项。 

配置范围选项 

1. 在要配置的范围下,右击范围选项对象,然后单击属性。 

2. 要使范围正常工作,必须至少配置以下的范围选项: 

选项 003(路由器网关) 

3. 要配置一个选项,请在可用选项列表中将其选中,在下面的数据条目部分填入必填字段, 

然后选中该选项的复选框将其启用,最后单击确定。 

79

用户指南 

关于“范围属性”对话框 

使用此对话框可在 LANDesk DHCP 服务器上创建、配置和修改范围。 

范围属性对话框包括以下选项卡: 

关于“名称”选项卡 

80 

• 名称:使用唯一的说明性名称标识 DHCP 服务器上的范围(用于租用的 IP 地址范围)。 

• 说明:帮助记忆此范围的目的。 

关于“持续时间”选项卡 

• 持续时间长度限制:指定 LANDesk DHCP 服务器将 IP 地址分配给连接设备的时间长 

度。该时间长度应该等于设备连接到网络上的时间长度。 

关于“地址范围”选项卡 

• 起始 IP 地址:标识此范围的地址范围中第一个可能的 IP 地址。 

• 结束 IP 地址:标识此范围的地址范围中最后一个可能的 IP 地址。请确保指定的范围可 

为网络上的设备提供足够的 IP 地址。 

• 子网掩码:标识 IP 地址所属的子网。 

关于“子网(地址池属性)”对话框 

使用此对话框可以修改某一范围的 IP 地址范围或 IP 地址池。要访问此对话框,可以右击要修改范 

围下的地址池对象,然后单击属性。 

• 起始 IP 地址:标识此范围的地址范围中第一个可能的 IP 地址。 

• 结束 IP 地址:标识此范围的地址范围中最后一个可能的 IP 地址。请确保指定的范围可 

为网络上的设备提供足够的 IP 地址。 

• 子网掩码:标识 IP 地址所属的子网。 

关于“排除范围”对话框 

使用此对话框可以配置和排除范围。排除范围是 DHCP 服务器不会租给设备的一组 IP 地址。创建 

某个范围时,应该确定网络上的任意设备(如 DNS 服务器)是否需要使用静态 IP 地址。如果存在 

需要静态 IP 地址的设备,则请创建一个排除范围,这样就可以将排除范围内的 IP 地址分配给所有 

静态配置的设备。 

要创建排除在此范围租用池之外的单个 IP 地址,请输入开始 IP 地址并留空结束 IP 地址字段。 

• 起始 IP 地址:标识此排除范围中第一个可能的 IP 地址。 

• 结束 IP 地址:标识此排除范围中最后一个可能的 IP 地址。

关于“配置范围选项”对话框 


使用此对话框可以配置各种范围选项。切勿在指定希望的选项之前激活范围。对于适用范围内的所 

有设备,“范围”选项继承为默认值。 

• 可用选项:列出可以配置的范围选项。选择要配置的选项以显示以下的数据字段。 

• 说明:标识所选范围选项的功能。 

• 数据条目:指定在配置某一范围选项时必须填入的信息。当从上述的可用范围选项列表中 

选择一个选项时将显示该区域。填写字段,然后单击确定。 

在控制台中配置(添加)LANDesk DHCP 服务器 

设置了 LANDesk DHCP 服务器后,必须在控制台的“配置可信访问”对话框中将其添加到有效 

LANDesk DHCP 服务器列表中。这就使核心服务器能够与 LANDesk DHCP 服务器通信(向 

LANDesk DHCP 服务器发布遵从性规则)。 

在控制台中添加 LANDesk DHCP 服务器 

1. 在 Security and Patch Manager 工具窗口中,右击可信访问组,然后单击配置可信访问。 

2. 要向网络中添加状态验证服务器,请在提供的字段中输入状态验证服务器的 IP 地址,然后 

单击添加。 


只要已经配置了修补服务器和用户凭证,您此时就可以向服务器发布可信访问内容。 

配置修补服务器属性 

配置完 LANDesk DHCP 服务器的基本设置后,就可以利用 LANDesk DHCP Manager 工具来配置 

修补服务器属性并创建范围。 

配置修补服务器属性 

1. 在 LANDesk DHCP Manager 工具中右击修补服务器对象,然后单击属性。随即显示修补 

服务器属性对话框。 

2. 输入修补服务器的 IP 地址。(注意:每个 LANDesk DHCP 服务器只应有一个修补服务 

器。) 

3. 输入健全状态页面的 URL。此 HTML 文件的名称为:Healthy.html。 

此页面会通知连接设备的最终用户,他们的设备已扫描,满足遵从性安全条件,设备被认 

为是健全的,并将获得对企业网络的完全访问权限。 

注意:对于所有 HTML 页面,请输入 HTML 文件的完整路径,包括 http:// 协议标识符。 

HTML 页面应当已经从核心服务器发布到了修补服务器,因此常用的完整路径为: 

http://remediation_server_name/LDLogon/Healthy.html。 

81

用户指南 

82 

4. 输入首次访问者状态页面的 URL。此 HTML 文件的名称为:Visitor.html。 

此页面会通知企业网络访问者,已在网络上实施了遵从性或可信访问安全,访问者在被允 

许访问企业网络之前可以选择浏览 Web(仅 Internet 访问)或对其计算机进行漏洞或其它 

安全风险扫描并在必要时进行修补。此 HTML 页提供了链接,仅允许 Internet 访问,或允 

许访问者下载和安装必要的软件以进行遵从性扫描和修补,从而使其设备可具有网络的完 

全访问权限。 

5. 输入员工不健全状态页面的 URL。此 HTML 文件的名称为:FailedEmployee.html。 

此页面会通知连接设备的最终用户,他们的设备已扫描但不满足一个或多个遵从性安全凭 

证,设备被认为是不健全的,并且已被拒绝访问网络。网络管理员应自定义此 HTML 页, 

以便页面可以显示设备上检测到的漏洞或其它安全隐患,并提供如何进行修补的详细说 

明。一旦设备经过修复,最终用户必须再次登录到网络才能被允许访问。 

6. 输入访问者不健全状态页面的 URL。此 HTML 文件的名称为:FailedVisitor.html。 

此页面会通知企业网络访问者,他们的设备已扫描但不满足一个或多个遵从性安全凭证, 

且已被拒绝访问网络。和员工不健全状态页一样,网络管理员可以自定义此 HTML 页,以 

便页面可以显示设备上检测到的漏洞或其它安全隐患,并提供如何进行修补的详细说明。 

一旦设备经过修复,访问者应单击现在其桌面上显示的网络访问安全扫描图标。 

7. 单击确定保存设置并退出状态验证服务器对话框。 

此 HTML 页面只是模板,可以对其进行编辑和定制以满足特定的可信访问安全需求。 

关于“修补服务器属性”对话框 

使用此对话框可以配置修补服务器,使其能与 LANDesk DHCP 服务器进行通信,这样 LANDesk 

DHCP 服务器就可以知道 HTML 页面托管在修补 Web 共享中的位置以便服务于连接设备。 

• IP 地址:标识修补服务器的 IP 地址。(注意:每个 LANDesk DHCP 服务器只应有一 

个修补服务器。) 

• 健全 URL:指定不健全的 HTML 页面的完整路径。此页面会通知连接设备的最终用户, 

他们的设备已扫描,满足遵从性安全条件,设备被认为是健全的并且将获得对企业网络的 

完全访问权限。 

• 首次访问者的 URL:此页面会通知企业网络访问者,已在网络上实施了遵从性或可信访 

问安全,访问者在被允许访问企业网络之前可以选择浏览 Web(仅 Internet 访问)或对 

其计算机进行漏洞或其它安全风险扫描并在必要时进行修补。此 HTML 页提供了链接,仅 

允许 Internet 访问,或允许访问者下载和安装必要的软件以进行遵从性扫描和修补,从 

而使其设备可具有网络的完全访问权限。 

• 员工的连接失败 URL:此页面会通知连接设备的最终用户,他们的设备已扫描但不满足 

一个或多个遵从性安全凭证,设备被认为是不健全的,并且已被拒绝访问网络。网络管理 

员应自定义此 HTML 页,以便页面可以显示设备上检测到的漏洞或其它安全隐患,并提供 

如何进行修补的详细说明。一旦设备经过修复,最终用户必须再次登录到网络才能被允许 

访问。 

• 访问者的连接失败 URL:此页面会通知企业网络访问者,他们的设备已扫描但不满足一 

个或多个遵从性安全凭证,且已被拒绝访问网络。和员工不健全状态页一样,网络管理员 

可以自定义此 HTML 页,以便页面可以显示设备上检测到的漏洞或其它安全隐患,并提供 

如何进行修补的详细说明。一旦设备经过修复,访问者应单击现在其桌面上显示的网络访 

问安全扫描图标。

使用操作系统过滤器 


操作系统过滤器向您提供了一种方法,使您可以轻松地控制是自动允许或拒绝设备访问网络,还是 

必须首先扫描设备以确定其是否符合遵从性安全条件。您可以在平台级别上配置此项设置以简化网 

络上的可信访问安全性。 

LANDesk DHCP 服务器包括若干个预定义的操作系统过滤器,可用于支持的各种平台。您不能删 

除预定义的过滤器。但是,您可以分别配置每个过滤器的可信访问控制功能。 

查看和修改预定义的操作系统过滤器选项 

1. 在 LANDesk DHCP Manager 工具中单击操作系统过滤器选项对象。随即显示一个预定义 

的操作系统过滤器列表。(每个操作系统过滤器都有一个默认的“访问类型”设置,用来确 

定是对该平台进行扫描、还是拒绝或允许在该平台上访问网络。) 

2. 要修改过滤器的访问控制,请单击其访问类型下拉列表并选择其中一个选项。这些选项包 

括:允许(始终自动授予网络访问权限并分配企业的 IP 地址),拒绝(始终自动拒绝网络 

访问并分配隔离的 IP 地址),以及扫描(始终运行遵从性安全扫描以检查漏洞和其它安全 

风险,进而确定设备的状态或健全性并向连接设备提供相应的 HTML 页面)。您可以随时 

更改这些设置。 

注意:如果将操作系统过滤器设置为“扫描”,但 LANDesk 没有该操作系统(例如,Windows 95) 

的设备代理,则将禁止这些设备访问网络。 

如果需要,您也可以创建自己的操作系统过滤器。 

添加新的操作系统过滤器 

1. 在 LANDesk DHCP Manager 工具中右击操作系统过滤器选项对象,然后单击添加。 

2. 为要添加的操作系统过滤器输入唯一的名称。 

3. 输入该操作系统的十六进制代码。您可以通过在装有该操作系统的计算机上运行数据包嗅 

探器实用程序并读取操作系统的十六进制标识符来获取平台的十六进制代码。 

4. 单击确定创建过滤器。 

5. 要指定过滤器的访问控制,请单击其访问类型下拉列表并选择其中一个选项。 

关于“添加操作系统过滤器”对话框 

使用此对话框,可为预定义的操作系统过滤器列表中未包括的其它操作系统创建网络访问过滤器。 

• 名称:标识要为其创建访问过滤器的操作系统的名称。 

• 十六进制标识符:标识该操作系统的十六进制代码。您可以通过在装有要过滤的操作系统 

的计算机上运行数据包嗅探器实用程序来获取十六进制代码。 

将设备添加到状态排除列表 

添加设备到状态排除列表 

1. 右击 MAC 排除对象,然后单击属性。 

2. 输入要完全忽略状态验证过程的设备的 MAC (机器)地址,然后单击添加。 

83

用户指南 

您可以根据需要输入任意数量的设备 MAC 地址。 

关于“MAC 地址排除”对话框 

使用此对话框可以添加要忽略状态验证过程的设备。 

84 

• MAC 地址:标识要忽略状态过程的设备的机器地址。 

• 添加:将设备添加到列表中。 

• 删除:将设备从列表中删除。 

导入和导出 MAC 地址排除 

要导入地址排除项,右键单击 MAC 排除对象,单击导入,再单击“浏览”,选择包含要忽略状态验 

证过程的设备的 MAC 地址的 CSV 文件。 

要导出列表中的地址排除项,右键单击 MAC 排除对象,单击导出,然后保存 CSV 文件。 

查看状态设备的健全性状态 

您可以快速查看所有已扫描设备的状态,以便根据遵从性安全策略判断哪些设备是健全的,哪些设 

备是不健全的。 

要查看已扫描设备及其健全性状态的完整列表,请在 LANDesk DHCP 服务器树视图中单击客户端 

健全性对象。 

查看 LANDesk DHCP 服务器日志文件 

要在 LANDesk DHCP Manager 工具窗口中查看 LANDesk DHCP 服务器日志文件,只需在树视图 

中单击 LANDesk DHCP 服务器日志对象。 

配置 LANDesk DHCP Watcher 

LANDesk DHCP Watcher 是一个实用程序,它通过发送测试数据包进行定期检查,以确保 

LANDesk DHCP 服务在服务器上运行,并可用于在该服务停止运行且无法重新启动时通知您。 

配置 LANDesk DHCP Watcher 

1. 在 LANDesk DHCP Manager 工具中,单击 LDDHCP Watcher 对象。当前设置随即显示 

在右侧框架中。 

2. 要修改设置,请右击 LDDHCP Watcher,然后单击属性。 

3. 在频率选项卡上,指定验证 DHCP 服务是否正在运行的频率、等待 DHCP 服务响应的持 

续时间、通过向该服务重新发送测试数据包而进行尝试的次数以及接收测试通信的端口 

号。(LANDesk DHCP 服务器上的默认端口是 12579。) 

4. 如果希望在 DHCP 服务停止且无法重新启动时得到通知,请单击通知选项卡,然后选中发 

送电子邮件通知复选框。输入接收通知消息的电子邮件地址,然后填写 SMTP 邮件服务器 

信息。 

5. 要确保通知正常工作,请单击发送测试电子邮件。

关于“配置 LANDesk DHCP Watcher”对话框 


使用此对话框可指定 LANDesk DHCP Watcher 验证 DHCP 服务是否正在服务器上运行的频率, 

以及在该服务停止且无法重新启动时的通知信息。 

该对话框包含以下两个选项卡: 

关于“频率”选项卡 

• 检查的时间间隔(分钟):指定 LANDesk DHCP Watcher 检查 DHCP 服务是否正在运 

行的频率。 

• 等待响应的时间(秒):指定 LANDesk DHCP Watcher 将等待接收响应的时间,该响 

应是来自 DHCP 服务的对测试数据包的响应。 

• 重试次数:指定在发出通知前发送测试数据包的次数。每次尝试时,如果未能得到响应, 

LANDesk DHCP Watcher 就会尝试重新启动 DHCP 服务。如果最后一次重试也失败, 

则 LANDesk DHCP 服务器会切换到传递模式,将所有 DHCP 请求传递给企业的主 

DHCP 服务器。 

• 要发送测试通信的端口:标识 LANDesk DHCP Watcher 要将测试数据包发送至的端 

口。默认端口号为 12579。 

关于“通知”选项卡 

• 发送电子邮件通知:指示是否启用电子邮件通知。 

• 要通知的电子邮件地址:指定接收通知的电子邮件地址。多个地址必须用分号字符分隔。 

• SMTP 服务器:标识接收通知的 SMTP 邮件服务器。 

• SMTP 端口:标识邮件消息的 SMTP 端口。 

• SMTP 服务器所需的身份验证:指示是否需要身份验证才能向指定的 SMTP 服务器发送 

消息。 

• SMTP 用户名:标识有效的 SMTP 服务器用户名。 

• SMTP 密码:标识用户的密码。 

• 确认 SMTP 密码:验证用户的密码。 

• 发送测试电子邮件:尝试向上面指定的电子邮件地址发送通知。使用该功能以确保通知正 

常工作。 

重新启动 LANDesk DHCP 服务器 

无论何时更改了 LANDesk DHCP 服务器设置或者范围设置,您都必须重新启动 LANDesk DHCP 

服务器才能使这些更改生效。 

可以从文件菜单,或者右击 LANDesk DHCP 服务器对象,然后单击重新启动来重新启动 


85

用户指南 

使用 Cisco NAC 解决方案 

本部分介绍如何计划、设置、配置和启用在 LANDesk 可信访问中使用的 Cisco NAC 实现。 

使用 Cisco NAC 解决方案,可以利用现有的 Cisco 硬件、软件、代理、协议和状态的评估进程, 

这些进程可能已是网络基础结构的一部分。有关 Cisco 路由器、服务器和 NAC 技术的详细信息, 

请参阅官方 Cisco 文档。 

读者的责任免除及假定能力 

“为设置 Cisco NAC 所要求的读者范围包括负责 CIsco NAC 实现的系统工程师和网络管理员。本 

文档假定您熟悉 Microsoft Windows 操作系统和客户机,并熟悉 Cisco Secure ACS 的配置和操 

作。同时假定您知道如何配置 Cisco IOS 设备,并且熟悉证书授权和数字证书提供的信任模式。” 

上述内容摘自 Cisco 的正式文档,标题为“实现网络许可控制第一阶段的配置和部署”。 

除了特定的 Cisco 组件之外,还必须设置状态验证服务器和修补服务器,才能实现 LANDesk 可信 

访问。 


设置通过 Cisco NAC 实现的可信访问 

86 

• 设置 Cisco NAC 实现的“快速启动”任务列表 

• 了解 Cisco NAC 组件和进程工作流 

• Cisco NAC 实现的网络拓扑和设计注意事项 

• 设置 Cisco 路由器 

• 设置 Cisco 安全访问控制服务器 (ACS) 

• 在设备上安装 Cisco 信任代理以启用遵从性扫描 

• 安装和配置状态验证服务器 

• 配置状态验证服务器和 Cisco ACS 之间的连接 

• 安装和配置修补服务器 

设置 Cisco NAC 实现之后应执行的操作 


信访问设置发布到状态验证服务器和修补服务器。这些任务相同,同时适用于 LANDesk DHCP 和 

Cisco NAC 解决方案。有关执行这些任务的信息,请参阅配置遵从性安全条件并发布可信访问设 

置。 



全规则和策略并重新发布到状态验证服务器和修补服务器,将不受管设备添加至“不受管设备搜寻” 

工具,查看受影响的设备,配置日志记录,以及生成报告,请参阅管理遵从性安全。 

设置 Cisco NAC 实现的“快速启动”任务列表 

使用此任务核查清单来帮助跟踪设置 Cisco NAC 解决方案所需的步骤:设置 Cisco NAC 实现的 

“快速启动”任务列表。

了解 Cisco NAC 组件和进程工作流 


本节介绍组成 Cisco NAC 解决方案的组件。此外,本节还介绍在启用 LANDesk 可信访问时,设 

备尝试访问或连接企业网络时出现的情况。以下的图示和进程工作流将介绍在设备上安装和不安装 

Cisto 信任代理 (CTA) 的方案。 

基于 Cisco NAC 的 LANDesk 可信访问服务必须具有下列组件。 

必要的组件 

组件说明 

LANDesk 核心服务器提供 Security and Patch Manager 工具,用于:下载安全性内容 

(例如操作系统和应用程序漏洞定义、间谍软件定义、系统配置安全 

威胁、防病毒和防火墙配置定义等)、定义遵从性条件、配置状态验 

证服务器和修补服务器以及配置和发布可信访问设置(包括用于扫描 

和修复设备的遵从性安全规则或策略和修补资源)。 

企业 DHCP 服务器为设备提供永久 IP 地址。 

状态验证服务器基于两个因素确定连接设备是否处于健全状态:遵从性安全策略 

(Security and Patch Manager 工具中遵从性组的内容)和根据配 

置可信访问对话框中的健全的定义设置中的指定进行健全性扫描以来 

的小时数。专用的状态验证服务器是验证过程中决定策略的位置。 

注意:Cisco NAC 需要使用专用的状态验证服务器,但 LANDesk 

DHCP 可信访问不需要使用。 

修补服务器包含所需的设置和支持文件(安全客户端、安全类型定义和所需的修 

补程序以及 HTML 模板页),用于扫描设备上通过安全策略标识的 

漏洞,并修补(修复)任何检测到的漏洞,使设备可以扫描为健全或 

符合安全策略并访问网络。 

Cisco 路由器作为实现遵从性安全策略网络访问设备。与尝试访问的连接设备以及 

评估端点设备的状态凭证的 Cisco Secure ACS 进行通信。也就是 

说,在 Cisco NAC 环境中,路由器是网络上实现策略的位置,授予 

或拒绝访问权限。 

Cisco Secure ACS Cisco 特定的硬件设备,作为 Cisco NAC 环境中的主状态验证服务 

器。包含定义状态实现规则的 ACL(访问控制列表)。通过 

LANDesk 可信访问,Cisco Secure ACS 配置为将状态决策委托给在 

网络上设置并配置的一个或多个状态验证服务器。 

设备尝试访问企业网络的移动用户设备或来宾用户设备以及常规的网络用 

户设备。典型的端点设备包括台式机和笔记本电脑,但是也可以是打 

印机等“无客户端”设备。通过 LANDesk 可信访问可以评估这些连接 

设备的健全性状态并根据状态凭证控制网络访问。 

87

用户指南 

下列图示显示上述组件的典型配置以及这些组件之间的状态验证过程或工作流。 

Cisco NAC 组件 

下图显示具体的 Cisco NAC 组件。 

88

未安装 CTA 的设备的状态验证过程 


下图显示当试图访问网络的设备未安装 Cisco 信任代理时,Cisco NAC 环境中各个组件间的工作 

流或通信流。插图编号代表过程的每个阶段,如下面的步骤列表中所述。 


1. 未配置 Cisco 信任代理 (CTA) 的设备首次将尝试通过 Cisco 路由器登录到该企业网络。 

2. 路由器将设备访问请求转发到包含访问控制列表 (ACL) 的 Cisco 安全访问控制服务器 

(ACS),访问控制列表 (ACL) 是由为每个状态或健全状态确定访问权限的管理员定义的。 

3. 由于未在设备上安装信任代理 (CTA),Cisco ACS 不能确定其状态或健全状态,因此不会 

将设备访问请求转发到状态验证服务器。 

4. Cisco ACS 自动拒绝“无客户端”的访问企图,然后将相应的 ACL 转发到路由器。 

5. 根据 ACL(由管理员定义),在这种情况下,此时设备通常会被限制在隔离 VLAN 中,并 

且不能访问企业网络。用户可以选择是保留在隔离 VLAN 中,还是采取必需步骤来证明自 

己符合网络的安全策略,从而获得访问网络的完全权限。要获得访问网络的权限,首先必 

须手动安装 CTA(通过指向 CTA 安装程序的 UNC 路径或 URL 路径),然后设备必须访 

问修补服务器,以安装执行漏洞评估扫描和修补的 LANDesk Security Client。修复设备 

后,将重复网络访问权限过程,并授予健全(即符合安全策略)的设备访问企业网络的权 

限。 

89

用户指南 

安装了 CTA 的设备的状态验证过程 

下图显示当试图访问网络的设备安装了 Cisco 信任代理后,Cisco NAC 环境中各个组件间的工作 

流和通信流。插图编号代表过程的每个阶段,说明如下。 


90 

1. 配置了 Cisco 信任代理 (CTA) 的设备首次将尝试通过 Cisco 路由器登录到该企业网络。 

2. 路由器将设备访问请求转发到包含访问控制列表 (ACL) 的 Cisco 安全访问控制服务器 

(ACS),访问控制列表 (ACL) 是由为每个状态或健全状态确定访问权限的管理员定义的。 

3. 由于设备上安装了信任代理(并且在状态验证服务器和 Cisco ACS 之间配置了连接),因 

此 Cisco ACS 可以将设备访问请求转发到状态验证服务器。 

4. 状态验证服务器将根据安全策略(由遵从性规则或凭证组成)来确定设备的健全状况或“状 

态”,遵从性规则或凭证是由 LANDesk 管理员使用 Security and Patch Manager 工具的遵 

从性功能预定义的。这些遵从性规则从核心服务器发布到状态验证服务器。(请注意,状 

态验证服务器作为网络访问权限控制过程中的决策点,这意味着它将确定正在寻求网络访 

问权限的设备的健全状态。) 

5. 状态验证服务器向 Cisco ACS 发回该特定设备的状态声明(或标记)。 

6. Cisco ACS 将相应的 ACL(取决于状态声明)转发到路由器。 

7. 状态声明将传回到处在隔离区中的设备上的信任代理。如果设备是健全设备(或符合安全 

策略),则授予它访问企业网络的权限。 

8. 不过,如果该设备是不健全设备(或不符合安全策略),则仍将保留在隔离 VLAN 中。要 

安装执行漏洞评估扫描和修补的 LANDesk Security Client,信息框将显示通知用户与修补 

服务器联系的方式。用户可以选择是保留在隔离 VLAN 中,还是采取必需步骤来证明自己 

符合网络的安全策略,从而获得访问网络的完全权限。


9. 修补服务器将通过扫描漏洞及其他安全风险(上述的遵从性规则),并安装所有必需的修 

补程序来进行修补。修复设备后,将重复网络访问权限过程,并授予健全(即符合安全策 

略)的设备访问企业网络的权限。 

Cisco NAC 实现的网络拓扑和设计注意事项 

在设计 Cisco NAC 可信访问实现时,应注意下列问题: 

• LANDesk 核心服务器对于隔离网络应该是不可见的。 

• 修补服务器和状态验证服务器(以及与此事项有关的 Cisco ACS)可以安装在同一台计算 

机上,但是如果出现性能或可伸缩性问题,可以将其移至自己的服务器计算机上。 

• 路由器需要支持路由器的客户端的主子网和辅助子网。 

• 路由器必须将真实的子网配置为主子网,将隔离子网配置为辅助子网。 

• 辅助子网应限制为只能看到修补服务器。 

设置 Cisco 路由器 

Cisco NAC 可信访问解决方案在网络上采用 Cisco 路由器。 

如果您在网络上未安装路由器,但要使用 Cisco NAC 解决方案,则 LANDesk 在其支持网站上提 

供了某些路由器的安装信息。 

关于详细的 Cisco 路由器安装信息 

您可在 LANDesk 软件支持网站中查看要在 Cisco NAC 可信访问环境中使用的典型的 Cisco 路由 

器的详细安装指示。 

我们还强烈建议您参阅 Cisco 路由器的文档以获取安装路由器的详细指示。 

设置 Cisco 安全访问控制服务器 

Cisco NAC 可信访问解决方案还在网络上采用 Cisco 安全访问控制服务器 (ACS)。Cisco ACS 是 

您在状态验证过程时定义状态凭证和配置外部数据库(例如状态验证服务器),以发送和解析设备 

的状态验证身份的场所。 

如果您在网络上未安装 Cisco Secure ACS,但要使用 Cisco NAC 解决方案,则 LANDesk 在其支 

持网站上提供了某些 Cisco Secure ACS 的安装信息。 

关于详细的 Cisco 安全访问控制服务器 (ACS) 的安装信息 

您可在 LANDesk 软件支持网站中查看要在 Cisco NAC 可信访问环境中使用的典型的 Cisco 

Secure ACS 路由器的详细安装指示。 

我们还强烈建议您参阅 Cisco 路由器的文档以获取安装路由器的详细指示。 

在设备上安装 Cisco 信任代理以启用遵从性扫描 

要与 Cisco Secure ACS 通信并评估其健全性状态,设备必须安装 Cisco 信任代理 (CTA)。 

91

用户指南 

手动安装 Cisco 信任代理 (CTA) 

对于 Cisco NAC,必须使用 UNC 或 URL 路径,从核心服务器手动在受管和不受管设备上同时安 

装信任代理 (CTA)。可以使用修补 Web 共享目录上的 UnhealthyCisco.html 文件安装 CTA。 

请记住,为提供附加的设备管理功能,即便使用 Cisco NAC 解决方案,您也可以在受管设备上安 

装 LTA (包括清单扫描器和本地调度程序)。也就是说,您可以在设备上同时安装这两种信任代 

理。然而,如果您使用的是 LANDesk DHCP 解决方案,则不应在受管设备上安装 CTA。 

关于安装完整的标准 LANDesk 代理的重要注意事项: 必须在设备上安装完整的标准 LANDesk 代 

理,这样就可避免以下情况:离开网络的健全设备在下次连接到网络时,会自动获得网络的访问权 

限而无需扫描安全遵从性(因而避免状态验证过程)。 

如果设备仅安装适用的信任代理(CTA 或 LTA),则它们将被视为健全并返回至网络,而不必验 

证其状态。 

为防止此类情况发生,请尽快在设备上安装完整的标准 LANDesk 代理。 

在受管和不受管设备上安装 Cisco 信任代理 

92 

1. 从设备上创建对应 unhealthyCisco.html 文件位置的 UNC 映射。此 HTML 页应已经复制到 

修补服务器的 Web 共享上。(在复制遵从性文件的位置字段中配置修补服务器时指定此 

位置。) 

2. 或打开设备的浏览器并输入修补服务器上的 unhealthyCisco.html 文件的 URL。 

3. 按照所显示页上的说明操作。 

4. 安装了 CTA 后,可以单击扫描计算机遵从性的链接,然后按照说明仅获取 Internet 访问权 

限或获取对企业网络的完全访问权限(通过安装所需的安全性客户端)。 

设置和配置状态验证服务器 

这只是 Cisco NAC 可信访问解决方案的必需组件。LANDesk DHCP 解决方案不需要使用专用的状 

态验证服务器。 

有关详细信息以及渐进说明,请参阅设置和配置状态验证服务器。 

配置状态验证服务器和 Cisco Secure ACS 之间的连接 

这是 Cisco NAC 解决方案特有的过程。 

有关详细信息以及具体步骤的说明,请参阅“在状态验证服务器和 Cisco Secure ACS 之间设置通 

信”。 

设置和配置修补服务器 

这是 LANDesk DHCP 和 Cisco NAC 可信访问解决方案的一个通用组件,因此也是一项通用任 

务。 

有关详细信息以及具体步骤的说明,请参阅设置和配置修补服务器。

设置 Cisco NAC 实现之后应执行的操作 



信访问设置发布到状态验证服务器和修补服务器。这些任务相同,同时适用于 LANDesk DHCP 和 

Cisco NAC 解决方案。有关执行这些任务的信息,请参阅配置遵从性安全条件并发布可信访问设 

置。 



全规则和策略并重新发布到状态验证服务器和修补服务器,将不受管设备添加至“不受管设备搜寻” 

工具,查看受影响的设备,配置日志记录,以及生成报告,请参阅管理遵从性安全。 

93

用户指南 


使用此任务列表可以完成所需的计划、设置和配置任务,从而在 LANDesk 网络上实现 Cisco NAC 

可信访问解决方案。 

可以打印此任务列表,在实现过程中通过此任务列表跟踪每个步骤。如果联机查看此任务列表,可 

以单击有关详细信息链接查看有关特定任务的详细信息。 

94


完成任务有关详细信息,请参阅 

前提条件:网络上必须安装并运行 LANDesk 

Management Suite 8.6 核心服务器,并使用 

LANDesk Security Suite 许可证和安全内容订阅激 

活: 

• 安装核心服务器 

• 使用 Security Suite 许可证激活核心服务 

器 

• 以“管理员”用户或者具备“安全性和修补程 

序管理”权限和“安全性和修补程序遵从性” 

权限的用户登录(允许下载安全和修补程 

序内容并将其复制到“遵从性”组中) 

设置 Cisco 路由器: 

• 如果路由器尚未设置,建议访问 LANDesk 

支持网站以获得基本的说明,或者参考 

Cisco 文档。 

设置 Cisco 安全访问控制服务器 (ACS): 

• 如果 Cisco Secure ACS 尚未设置,建议 

访问 LANDesk 支持网站以获得基本的说 

明并参考 Cisco 文档。 

在设备上安装 Cisco 信任代理 (CTA) 以启用遵从 

性扫描: 

• 对于包括受管设备、不受管设备和新设备 

在内的所有设备:使用 UNC 或 URL 路径 

手动安装 CTA(使 unhealthyCisco.html 

页面位于修补 Web 共享中) 



有关 Cisco NAC 组件和进程工作流 

的信息(包括图示),请参阅了解 

Cisco NAC 组件和进程工作流。 

有关通过 Cisco NAC 实现的可信访 

问的网络拓扑和设计注意事项,请参 

阅 Cisco NAC 实现的网络拓扑和设 

计注意事项。 

设置 Cisco 路由器 

设置 Cisco 安全访问控制服务器 

(ACS) 

在设备上安装 Cisco 信任代理以启用 

遵从性扫描 

安装专用的状态验证服务器: 

安装和配置状态验证服务器 

• 注意:此步骤仅适用于 Cisco NAC 解决方 

案 

• 在一台独立的服务器计算机上, 

• Windows 2000 或更高版本,具有.NET 

Framework 1.1 

• 静态 IP 地址 

95

用户指南 

96 

• 运行位于以下位置的安装程序:\LDMain\Install\TrustedAccess\PostureS 

erver 

配置状态验证服务器和 Cisco Secure ACS 之间的 

连接: 

• 注意:此步骤仅适用于 Cisco NAC 解决方 

案,右侧的参考主题中可提供逐步的说 

明。 

配置状态验证服务器和 Cisco Secure 

ACS 之间的连接 

安装修补服务器: 


• 在一台独立的服务器计算机上, 

• 运行 

CONFIGURE.REMEDIATION.SERVER. 

VBS 安装脚本,该脚本位于: 

• \LDMain\Install\TrustedAccess\Remedia 

tionServer 

• 注意: 此脚本将通过以下方式自动配置执 

行修补的服务器: 

- 创建名为 LDLogon 的 Web 共享(通常 

位于:c:\inetpub\wwwroot\LDLogon) 

- 启用具有读取和浏览权限的 LDLogon 共 

享匿名访问 

- 为 .lrd 文件添加新的 MIME 类型并将其 

设置为 application/octet-stream 

使用 Security and Patch Manager 工具定义遵从 

性安全: 

• 在控制台的 Security and Patch 

Manager 工具中, 

• 下载安全性内容定义和修补程序 

• 将安全定义添加到遵从性组以便定义遵从 

性安全策略 

• 确保下载了关联的修补程序 

• 在控制台的“可信访问”对话框中定义健全 

和不健全状态 

在 Security and Patch Manager 工具 

中定义遵从性安全条件

在控制台中配置状态验证服务器: 

• 在 Security and Patch Manager 中,右 

击可信访问组,然后单击配置可信访问 

• 输入状态验证服务器名称,单击添加将其 

添加到列表中,然后单击确定 

在控制台中配置修补服务器: 


击可信访问组并单击配置修补服务器,然 

后单击添加 

• 输入修补服务器的 IP 地址、LDLogon 

Web 共享的 UNC 路径(修补服务器上所 

创建的文件发布位置)和用户访问凭证, 

然后单击确定 

将所有的可信访问设置发布到相应的服务器: 


击可信访问对象,单击发布可信访问设 

置,选择全部,然后单击确定 

• 注意:初始发布过程必须包括所有的可信 

访问设置;后续的发布过程可以只包括遵 

从性内容。 

确保状态验证过程运行正常: 

• 使用刚设置的 Cisco NAC 可信访问网络, 

通过将某一设备连接到网络上来进行简单 

的测试。 

执行实时遵从安全性管理任务: 

• 确保可信访问服务已启用(打开) 


• 了解连接设备在进行状态验证时发生的事 

件 



• 添加不受管设备 







管理遵从安全性 

要返回 Cisco NAC 可信访问的主帮助主题,请参阅使用 Cisco NAC 解决方案。 

97

用户指南 

安装和配置专用的状态验证服务器 

只有 Cisco NAC 可信访问解决方案需要专用的状态验证服务器。LANDesk DHCP 服务器已内置了 

状态验证功能,因此不需要一台单独的计算机。 

重要说明:因此,本主题仅适用于实施 Cisco NAC 的情况。 

状态验证服务器根据控制台的 Security and Patch Manager 工具中定义的遵从性安全规则来评估设 

备的健全性状态声明,然后通过路由器将健全性状态返回给设备。 

在 Cisco NAC 可信访问环境中,状态验证服务器通过 Cisco 安全访问控制服务器 (ACS) 传送设备 

的状态声明(或健全性状态)。请参阅使用 Cisco NAC 解决方案中的相关组件和进程图示。 

网络上可以包含多个状态验证服务器。 



98 

• 状态验证服务器前提条件 


• 运行服务器设置程序 

• 在控制台中配置(添加)状态验证服务器 

• 后续步骤:将遵从性规则发布至状态验证服务器 

• 配置状态验证服务器和 Cisco ACS 之间的连接(仅限 Cisco NAC) 

状态验证服务器前提条件 

设置为状态验证服务器的计算机必须符合下列系统要求: 

• Windows 2000 Server、Windows 2003 Server、Windows XP 

• 安装 .NET Framework(版本 1.1) 

• 状态验证服务器可以组合到另一台计算机上,例如 LDMS 核心服务器。 


在确定 Cisco 网络上的状态验证服务器的位置时,应遵从以下原则。 

• 状态验证服务器可以安装在 LDMS 核心服务器或主 DHCP 服务器上。如果遇到性能或可 

伸缩性问题,则应安装在单独的服务器计算机上。 

• 建议使用 IP 地址标识状态验证服务器 

• 如果安装在专用的计算机上,则 LANDesk 核心服务器和 Cisco Secure ACS 服务器必 

须可以访问状态验证服务器。 


参阅使用 Cisco NAC 解决方案。

运行服务器设置程序 


在主安装过程中,状态验证服务器的设置文件复制到 LANDesk 核心服务器上。使用这些设置文件 

设置状态验证服务器。 

设置状态验证服务器 

1. 将驱动器从要设置为状态验证服务器的计算机映射到核心服务器上的 LDMain 文件夹。浏 

览至 \Install\TrustedAccess\PostureServer 文件夹。 

2. 运行 postureserversetup.exe 程序。 

3. 在欢迎使用屏幕上,单击下一步。 

4. 接受许可证协议,然后单击下一步。 

5. 要复制必要的文件,请单击安装。 

6. 文件复制过程完成后,单击完成。 

状态服务器安装程序复制文件,启动状态服务器服务,并侦听 TCP 端口 12578 和 12576(默认端 

口)上的传入请求。您应确保防火墙已打开。 

状态验证服务器现在可以在控制台中进行配置。 

重要的其它任务(针对 Cisco NAC 环境中专用的状态验证服务器) 

对于 Cisco NAC 实现,还必须配置状态验证服务器与 Cisco Secure ACS 之间的连接。对于尝试 

根据安全遵从性条件访问网络的设备,此连接允许使用状态验证服务器将状态声明发送到该设备的 

ACS 上。有关详细信息,请参阅下面的配置状态验证服务器和 Cisco ACS 之间的连接(仅 Cisco 

NAC)。 

在控制台中配置(添加)状态验证服务器 

设置了状态验证服务器后,必须在控制台的配置可信访问对话框中将其添加到有效状态验证服务器 

列表中。这就使核心服务器可以配置状态验证服务器并与其通信(向状态验证服务器发布遵从性规 

则)。 

在控制台中添加状态验证服务器 

1. 在 Security and Patch Manager 工具窗口中,右击可信访问组,然后单击配置可信访问。 

2. 要向网络中添加状态验证服务器,请在提供的字段中输入状态验证服务器的 IP 地址,然后 

单击添加。 


只要已经配置了修补服务器和用户凭证,您此时就可以向服务器发布可信访问内容。 

后续步骤:将遵从性规则发布至状态验证服务器 

安装和配置状态验证服务器的下一步是将遵从性规则(可信访问设置)发布至状态验证服务器。必 

须先在 Security and Patch Manager 工具中定义遵从性安全条件,然后才能将其发布至服务器。 

有关这些任务的详细信息,请参阅配置遵从安全性并发布可信访问设置。 

99

用户指南 

配置状态验证服务器和 Cisco ACS 之间的连接 

此任务仅适用于通过 Cisco NAC 的可信访问实现 LANDesk。 

对于 Cisco NAC,必须配置状态验证服务器和 Cisco ACS 之间的连接,以便它们在状态验证的过 

程中进行通信,这个过程将确定尝试连接到网络的设备的状态或健全状态。如上所述,如果正在使 

用 LANDesk DHCP 解决方案,则该过程是不相关的。 

配置状态验证服务器和 Cisco Secure ACS 之间的连接 

100 

1. 将名称为 landeskattributes.txt(位于核心服务器上的 

C:\ProgramFiles\LANDesk\ManagementSuite\Install\TrustedAccess\Cisco 文件夹)的文 

件复制到 Cisco Secure ACS 的 C:\ 驱动器。 

2. 在 Cisco Secure ACS 上,打开 "CMD.exe" 窗口,然后运行以下命令: 

C:\ProgramFiles\CiscoSecure ACS v3.3\Utils\csutil -addAVP c:\landeskattributes.txt 

3. 在 Cisco ACS 上停止和重新启动以下的服务: 

- csauth 

- csadmin 

- csutil 

4. 随即 LANDesk 属性将显示在“可用凭证”列表中。 

5. 启动 Cisco Secure ACS 控制台。 

6. 单击外部用户数据库|数据库配置|网络许可控制|创建新配置。 

7. 输入新配置的名称,然后单击提交。 

8. 在“外部用户数据库配置”框中,单击配置。 

9. 在“必选凭证类型”框中,单击编辑列表。 

10. 如果运行了上述的批处理文件,“可用凭证”列表应显示 Landesk.LDSS 凭证。将此对象移 

至“选定的凭证”列表中,然后单击提交。 

11. 在“凭证验证策略”框中,单击外部策略|新建外部策略。 

12. 输入名称:PVS1 

13. 输入说明。 

14. 输入 URL:http://

配置遵从性安全条件并发布可信访问设置 


在设置了 LANDesk DHCP 或 Cisco NAC 可信访问环境之后,以下所述的遵从安全性管理任务同 

时适用于两种解决方案。 

注意:对于这两种可信访问解决方案,应预先设置修补服务器并在控制台上进行配置(或添加)。 

对于 LANDesk DHCP 解决方案,应有 LANDesk DHCP 服务器;对于 Cisco NAC 解决方案,应 

有专用的状态验证服务器。有关详细信息,请参阅设置和配置修补服务器、设置 LANDesk DHCP 

服务器以及设置和配置状态验证服务器。 


配置遵从安全性并发布可信访问设置 

• 在 Security and Patch Manager 工具中定义遵从性安全条件 

• 定义健全状态和不健全状态 

• 配置备用用户凭证 

• 发布可信访问设置 

• 了解和使用 HTML 页 

• 自定义 HTML 页 

其他遵从安全性管理任务 

要了解遵从性扫描和其他可信访问管理任务的详细信息,例如:更新状态验证服务器上的遵从性安 

全规则和策略,更新修补服务器上的修补资源,将不受管设备添加到不受管设备搜寻工具,查看受 

影响的设备,配置日志记录,以及生成报告,请参阅管理遵从安全性。 

在 Security and Patch Manager 工具中定义遵从性安全条件 

遵从性安全条件通过下列两个因素定义: 

• 在控制台添加至 Security and Patch Manager 工具的遵从性组中的漏洞定义及其他安全类 

型定义 

• 如何在控制台的配置可信访问设置对话框中定义健全和不健全设备状态。 

对于上述各任务,可参阅以下相应的步骤列表。 

关于 Security Suite 的订阅 

必须订阅 LANDesk Security Suite 内容,以便下载各种安全性内容,如操作系统和应用程序漏洞 

定义(以及所需的修补程序)、间谍软件定义、阻止的应用程序定义、病毒定义和系统配置安全威 

胁定义等等。 

如果没有 Security Suite 许可证(或不具备使用 Security Suite 许可证激活的核心服务器),则不 

能访问 LANDesk Security Suite 服务,也不能使用那些安全性定义来定义遵从性安全策略。 

101

用户指南 

下载安全类型定义 

使用 Security and Patch Manager 工具下载不同的安全类型定义,如漏洞定义、间谍定义、防病毒 

定义和安全威胁定义。此任务在 Security and Patch Manager 一章详细介绍。有关如何使用 

Security and Patch Manager 下载功能的详细信息,请参阅更新安全性和修补程序内容。 

使用“遵从性”组定义遵从性安全策略 

如上面所述,“遵从性”组的内容决定遵从性安全策略。您可以拥有只包含一些漏洞和安全威胁定义 

的最低遵从性安全策略,也可以创建由多个安全性定义组成的复杂、严格的安全策略。还可以随时 

通过在“遵从性”组中添加和删除定义来随时修改遵从性安全策略。 

使用“遵从性”组需要拥有基于角色的管理权限 

只有拥有 Security and Patch Compliance 权限的 LANDesk 管理员或用户可以将定义添加到“遵从 

性”组或从中删除定义。 

下列安全内容类型可以添加到“遵从性”组,以定义遵从性安全策略: 

102 

• 防病毒定义 

• 定制定义 

• 驱动程序更新定义 

• LANDesk 软件更新定义 

• 安全威胁定义(包括防火墙定义) 

• 软件更新定义 

• 间谍软件定义 

• 漏洞(操作系统和应用程序)定义 

注意:不能将受阻应用程序的定义添加到“遵从性”组,以定义遵从性安全策略。 

添加安全性定义到“遵从性”组 

1. 在 Security and Patch Manager 中,从类型下拉列表选择要添加至遵从性安全策略的安全 

内容类型,然后将项列表中的定义拖放至遵从性组。 

2. 或者,可右击单个定义或选定的定义组,然后单击添加到遵从性组。 

3. 确保在所有必需的相关修补程序下载之后,再向状态验证服务器和修补服务器发布可信访 

问内容。可右击一个定义、选定的定义组或遵从性组本身,然后单击下载相关修补程序, 

以下载必要的修补程序以修补受影响的设备。 

定义健全状态和不健全状态 

遵从性安全策略还包括在控制台上配置的健全状态和不健全状态的定义。 

定义健全状态和不健全状态 

1. 前提条件:对于 LANDesk DHCP 解决方案,确保已设置至少一台状态验证服务器、修补 

服务器和 LANDesk DHCP 服务器。对于 Cisco NAC 解决方案,确保已设置 Cisco 路由 

器、Cisco Secure ACS、状态验证服务器(连接到 Cisco Secure ACS)和修补服务器。


2. 确保已使用 Security and Patch Manager 工具下载了要加入安全遵从性策略的安全性定义 

(间谍软件、漏洞、安全威胁等)和修补程序,并且确保已将这些定义添加到遵从性组 

中。 

3. 在 Security and Patch Manager 中,右击可信访问组,然后单击配置可信访问。 

4. 要定义试图访问企业网络的设备的健全状况(或状态),从下拉列表中选择自上次执行遵 

从性安全扫描以来的小时数。默认值为 96 小时。 

(注意:此设置既适用于 LANDesk DHCP 和 Cisco NAC 环境,也适用于状态验证过 

程。) 

5. 要定义不健全状况(或状态),可从下拉列表中选择不健全状态(可能的不健全值包括: 

隔离、审查和受感染)。应在 Cisco Secure ACS 的访问控制列表 (ACL) 中预定义这些默 

认状态。 

(注意:此设置实际上仅适用于 Cisco NAC 可信访问。对于 LANDesk DHCP 可信访问, 

应根据健全状态的定义及“遵从性”组中的安全性定义确定设备是否健全。如果设备不满足 

这些条件,即为不健全)。 

6. (可选)从下拉列表中选择一个选项来指定最小的日志记录级别。可用的日志记录级别包 

括:信息、警告、错误、严重错误和调试。不同的日志记录级别将决定写入日志文件的信 

息详细程度。 

关于“配置可信访问”对话框 

使用此对话框可以定义健全和不健全状态,配置日志记录,添加 LANDesk DHCP 服务器或状态验 

证服务器,以及将可信访问设置发布到网络上的相应服务器。 

注意:必须首先安装和设置 LANDesk DHCP 服务器或状态验证服务器,然后才能使用此对话框将 

其添加到网络。 

• 健全的定义:指明在扫描的设备上,自上次未检测到任何漏洞的遵从性安全扫描以来的小 

时数(由 Security and Patch Manager 的“遵从性”组中的内容定义)。 

• 不健全的定义:指明确定所扫描设备是否不健全的默认不健全状态。默认状态由 Cisco 

NAC 实现中的访问控制列表定义。 

• 最小日志记录级别:指明状态验证服务器日志文件的日志记录级别。 

• LANDesk DHCP 或状态验证服务器名称:在该字段中输入服务器的名称(如果使用的 

是 LANDesk DHCP 可信访问解决方案,则为 LANDesk DHCP 服务器;如果使用的是 

Cisco NAC 解决方案,则为专用的状态验证服务器),然后单击添加,将该服务器添加到 

网络。发布可信访问设置时,这些设置将被发布到本列表中包括的所有服务器。 

• 仅审核报告:允许任何用户访问网络,而不管它们的状态是否确定为健全状态。默认情况 

下,此选项未选中。对于通过 LANDesk DHCP 或 Cisco NAC 实现的可信访问,如果希 

望允许任何人访问网络,请使用此选项。 

注意:您可使用此选项获得时间以完成可信访问网络和遵从性安全策略的配置,定期进行 

Security and Patch Management 过程促使多数受管设备符合策略,观察各种可信访 

问的日志和报告,并选择适当的时间开始执行遵从性安全策略并限制网络访问。一旦大多 

数受管设备符合遵从性,或您作为网络管理员感到时机已成熟时,则取消选中此选项即可 

启用网络上的可信访问,并阻止不符合遵从性的设备访问网络。 

103

用户指南 

104 

• 发布:打开发布可信访问设置对话框,在此可以指定要发布到状态验证服务器、LANDesk 

DHCP 服务器和修补服务器上的内容。只要更改了可信访问设置,就必须重新发布新设 

置。 

注意:发布可信访问内容是向状态验证服务器或 LANDesk DHCP 服务器发送可信访问设 

置和遵从性规则;以及向修补服务器发送任何相关的修补程序。而发布基础结构文件则是 

向修补服务器发送设置和支持文件,包括安全客户端扫描器、信任代理和 HTML 模板页 

面。 

配置备用用户凭证 

如果连接设备(尝试访问网络)不是以本地管理员权限登录,则 LANDesk 可信访问将使用此备用 

用户凭证的列表尝试获得对设备的管理权限。否则,安全性客户端扫描器无法运行,而用户则需要 

注销,然后再次以管理权限登录并重试(例如供应商或访问者)。LANDesk 可信访问将使用这些 

凭证尝试访问设备,以便扫描漏洞,部署和安装修补程序以进行修补。 

配置备用用户凭证 

1. 在 Security and Patch Manager 中,右击可信访问组,然后单击配置凭证。 

2. 输入具有管理权限的用户的用户名。 

3. 输入两次用户密码。 

4. 单击添加,将用户凭证添加至右边的列表。 

5. 如果此连接设备的最终用户未以管理权限登录,则这些用户凭证将按所列顺序使用。 

关于“配置凭证”对话框 

如果登录的最终用户不具有管理访问权限,则使用此对话框可以确定用于访问最终用户设备的备用 

用户凭证,以便进行安全性扫描和修补。 

• 用户名:输入通常用于网络上的 LANDesk 管理员用户的用户名。 

• 密码:输入该用户的密码。 

• 确认密码:再次输入密码。 

• 添加:在右边的列表中添加用户凭证。 

• 删除:从“用户名”列表中删除选定用户。 

• 确定:保存更改并退出对话框。 

• 取消:退出对话框而不保存更改。 


发布可信访问设置,可将为实施状态验证过程和遵从性安全所必需的信息和资源发送给状态验证服 

务器和修补服务器。 

发布可信访问设置的过程既适用于 LANDesk DHCP 解决方案,也适用于 Cisco NAC 解决方案。 

为从控制台发布可信访问设置,至少必须配置一台状态验证服务器、一台修补服务器和已配置的用 

户凭证。


初始发布必须包括所有设置 

首次将可信访问设置发布到状态验证服务器和修补服务器时,必须包括所有可信访问设置,包含: 

可信访问内容和基础结构的文件(有关这些文件的详细信息,请参阅下列内容)。后续发布可以仅 

包括可信访问内容或遵从性规则。(通常,只需将基础结构文件向修补服务器发布一次。) 


1. 可以从 Security and Patch Manager 工具的多个位置访问发布可信访问设置对话框(并发 

布设置)。例如,可右击“可信访问”对象或“遵从性”组,然后单击发布。也可在配置可信访 

问和配置修补服务器对话框中找到发布按钮。此外,可单击 Security and Patch Manager 

窗口中的发布可信访问设置工具栏按钮。 

2. 要一次将所有可信访问设置(包括可信访问内容和基础结构文件)发布到所有状态验证服 

务器和修补服务器,可选中全部复选框,然后单击确定。 

3. 如果只将可信访问内容(安全定义、可信访问设置或遵从性规则、以及相关修补程序)发 

布到状态验证服务器和修补服务器,可选中可信访问内容复选框,然后单击确定。 

4. 如果只将基础结构文件(安全性客户端扫描器、信任代理安装程序和 HTML 页面)发布到 

修补服务器,可选中基础结构复选框,然后单击确定。(通常,只需将基础结构文件发布 

到修补服务器一次。) 

关于“发布可信访问设置”对话框 

使用此对话框可将可信访问设置发布到状态验证服务器,并将修补设置(资源)发布到可信访问网 

络上的修补服务器。 

• 全部:将可信访问内容和基础结构文件发布到相应的服务器。 

• 可信访问内容: 将在 Security and Patch Manager 工具中定义的可信访问内容和设置 

发布到已添加至网络上的所有状态验证服务器和修补服务器。 

重要说明: 要发布可信访问内容,网络中必须至少具有一台状态验证服务器。 

• 可信访问内容包含当前驻留在 Security and Patch Manager 工具中遵从性组中 

的漏洞和其它安全内容类型定义、以及健全状态和不健全状态设置、日志记录级别 

等可信访问设置,这些设置在配置可信访问设置对话框中定义。安全性定义、健 

全状态和不健全状态的设置以及日志记录级别发布到状态验证服务器,而相关的修 

补程序文件则发布到修补服务器(视发布时“遵从性”组中的内容而定)。 

(注意:如果更改了遵从性组中的内容或配置可信访问对话框中的可信访问设置, 

则必须将数据重新发布到服务器。) 

• 基础结构:将下列修补资源发布到所有添加到网络的修补服务器。 

• 设置和支持文件: 设置和支持文件说明安全性客户端扫描器和信任代理安装。安 

全性客户端扫描器对设备进行安全扫描和修补。当前有四个版本的安全性客户端: 

NAC、NAC for NT4 客户端、DHCP、DHCP for NT4 客户端。安全性客户端扫 

描器还包括最小的 LANDesk 标准代理。信任代理安装让最终用户从 Web URL 

将 LTA 和 CTA 安装到其设备上。 

• HTML 页:表示由修补服务器提供给设备的模板 HTML 页,这些设备安装了可信 

代理并试图访问企业网络。这些页面告知最终用户要获得网络的有限访问权限所需 

执行的操作,或者通知最终用户修补计算机以符合安全策略,从而获得完全的网络 

访问权限。这些 HTML 页是可以修改的模板。 

(注意:通常,只需将基础结构文件向修补服务器发布一次。与可信访问内容(遵 

从性标准)不同,您不必每次更改遵从性安全策略后都重新发布这些文件。 

105

用户指南 

了解和使用 HTML 页 

使用控制台上的发布可信访问设置工具可将 HTML 页发布到修补服务器。HTML 页是修补基础结 

构文件的一部分。通常,只需将这些文件向修补服务器发布一次。 

安装 LANDesk Management Suite 之后,这些文件位于核心服务器上的以下文件夹中: 

ManagementSuite\Install\TrustedAccess\RemediationServer 

此 HTML 页只是模板,应对其进行修改以满足您自己的遵从性安全需求。有关如何自定义 HTML 

页的信息,请参阅下面的自定义 HTML 页。 

以下部分介绍每个 HTML 页的作用。 

健全状态页(适用于 LANDesk DHCP 可信访问) 

此 HTML 页用于通知连接设备的企业最终用户已经对设备状态进行评估,根据遵从性安全凭证, 

确定设备处于健全状态,并且已获得对企业网络的完全访问权限。 

此 HTML 页的名称是:Healthy.html 

健全状态页只有在设备从不健全状态转换到健全状态时才能看见。它不会每次都将设备显示为健全 

状态。 

修补服务器上此页的 URL 应在利用 LANDesk DHCP Manager 工具配置修补服务器属性时输入健 

全 URL 字段中。 

首次访问者状态页(适用于 LANDesk DHCP 可信访问) 

此 HTML 页用于通知企业网络访问者,已在网络上实施了遵从性或可信访问安全,访问者在被允 

许访问企业网络之前可以选择浏览 Web(仅 Internet 访问)或对其计算机进行漏洞或其它安全风 

险扫描并在必要时进行修补。此 HTML 页提供了链接,仅允许 Internet 访问,或允许访问者下载 

和安装必要的软件以进行遵从性扫描和修补,从而使其设备可具有网络的完全访问权限。 

此页的名称为:Visitor.html 

该页提供的链接可使用户仅获得 Internet 访问权限,也可允许用户下载并安装信任代理及修补所需 

的软件,以便修复、重新扫描设备及允许设备对网络进行完全访问。 

修补服务器上此页的 URL 应在利用 LANDesk DHCP Manager 工具配置修补服务器属性时输入首 

次访问者的 URL 字段中。 

员工不健全状态页(适用于 LANDesk DHCP 可信访问) 

此 HTML 页用于通知连接设备的最终用户,他们的设备已扫描但不满足一个或多个遵从性安全凭 

证,设备被认为是不健全的并且已被拒绝访问网络。网络管理员应自定义此 HTML 页,以便页面 

可以显示设备上检测到的漏洞或其它安全隐患,并提供如何进行修补的详细说明。一旦设备经过修 

复,最终用户必须再次登录到网络才能被允许访问。 

此页的名称为:FailedEmployee.html 

修补服务器上此页的 URL 应在利用 LANDesk DHCP Manager 工具配置修补服务器属性时输入员 

工的连接失败 URL 字段中。 

106

访问者不健全状态页(适用于 LANDesk DHCP 可信访问) 


此页面用于通知企业网络访问者,他们的设备已扫描但不满足一个或多个遵从性安全凭证,且已被 

拒绝访问网络。和员工不健全状态页一样,网络管理员可以自定义此 HTML 页,以便页面可以显 

示设备上检测到的漏洞或其它安全隐患,并提供如何进行修补的详细说明。一旦设备经过修复,访 

问者应单击现在其桌面上显示的“网络访问安全扫描”图标。 

此页的名称为:FailedVisitor.html 

修补服务器上此页的 URL 应在利用 LANDesk DHCP Manager 工具配置修补服务器属性时输入访 

问者的连接失败 URL 字段中。 

Cisco 不健全页(适用于 Cisco NAC 可信访问) 

注意:此 HTML 页仅适用于 Cisco NAC 可信访问环境。如果已实施了 LANDesk DHCP 遵从性安 

全解决方案,则不使用此文件。同样,上述所有其它 HTML 页适用于 LANDesk DHCP 可信访问环 

境,并且不与 Cisco NAC 解决方案共同使用。 

此 HTML 页应当用于通知尝试访问网络的设备的用户设备已进行扫描,不符合遵从性安全凭证, 

处于不健全状态,已拒绝其访问网络。 

此页的名称为:UnhealthyCisco.html 

该页提供的链接可使用户仅获得 Internet 访问权限,也可允许用户下载并安装信任代理及修补所需 

的软件,以便修复、重新扫描设备及允许设备对网络进行完全访问。 

自定义 HTML 页 

如前所述,由 LANDesk 可信访问提供的 HTML 页只是模板,您可以手动编辑和修改以满足特定的 

遵从性安全要求和策略。 

您可以使用选择的 HTML 编辑器来修改 HTML 文件。您可以修改现有文本以提供专用于企业网络 

的附加有用信息,并为遵从性安全策略中所包含的安全定义(即 Security and Patch Manager 工具 

的遵从性组中所包含的定义)添加 HTML DIV 部分。请记住,在核心服务器上的 HTML 文件已发 

布到修补服务器之后,如果对该文件进行更改,则必须将文件重新发布到修补服务器,然后才能提 

供给连接设备(在发布可信服务设置对话框中选择基础结构组下的 HTML 页)。 

添加 DIV 部分以动态显示修补失败的安全定义 

这对于企业最终用户和网络访问者尤其有用,因为如果您自定义“失败”(或不健全)页,用户便可 

以准确地了解计算机存在的安全问题及需要采取什么具体措施才能解决问题,从而可以重新扫描设 

备、将设备评估为健全并授予设备对网络的完全访问权限。 

当安全扫描器的修补工具不能修复检测到的漏洞时,这些页面用于动态地显示其相关内容。也就是 

说,当扫描最终用户设备时,如果检测到漏洞或其它安全隐患(如系统配置安全威胁、间谍软件 

等)且修复作业失败,则只要系统管理员为安全性定义添加了 DIV 部分(参阅下面的 DIV 部分示 

例),失败(或不健全)HTML 页就可以显示那些由唯一 ID 号所标识的特定安全性定义以及其它 

附加信息,从而指导用户如何解决相关问题。如果安全性定义的修补失败,且该定义的 HTML 文 

件中没有 DIV 部分,则最终用户设备的浏览器中将不显示任何有关该定义的信息。 

107

用户指南 

自定义 HTML 页 

108 

1. 在 HTML 编辑器中打开 HTML 文件。 

2. 编辑任何现有样板文本以提供详细信息,该信息即为您希望最终用户(企业员工和访问 

者)登录到企业网络时看到的信息。 

3. 对于失败的 HTML 页,请在 HTML 代码中为已置于“遵从性”组(定义遵从性安全策略)中 

的安全性内容定义添加新的 DIV 部分(使用示例 DIV 部分作为模型)。 

并不需要为每个安全性定义添加 DIV 部分,但如果检测到安全隐患且安全扫描未修复此隐 

患,则只有那些在 HTML 文件中有 DIV 部分的定义才能显示。请参阅下面的示例 DIV 条 

目。 

您可以添加修复安全问题所需的步骤、软件下载站点的链接以及您认为有助于最终用户解 

决问题的任何其它信息。 

4. 保存更改。 

5. 将修改后的 HTML 页重新发布到修补服务器。 

失败(不健全) HTML 文件中的示例 DIV 条目 

下面是两个未修补安全性定义的浏览器显示示例: 

自动 Windows 更新 (ST000003): 

第 1 步:单击“开始” 

第 2 步:单击“控制面板” 

第 3 步:打开“自动更新” 

第 4 步:单击“自动” 

第 5 步:单击“确定” 

无防病毒软件 (AV-100):单击此处安装 Symantec Anti-Virus Client 

下面是相同的两个示例未修补安全性定义的实际 HTML 代码: 

 

 

自动 Windows 更新 (ST000003): 

 

第 1 步:单击“开始” 

第 2 步:单击“控制面板” 

第 3 步:打开“自动更新” 

第 4 步:单击“自动” 

第 5 步:单击“确定” 

 

 

 

 

 

无防病毒软件 (AV-100): 单击此处安装 Symantec Anti-Virus 

Client 

 

注意: 

安全性定义在 HTML 文件中由以下代码标识: 

 


如果此特定安全性定义的修补失败,则 DIV 部分的内容将显示在最终用户的浏览器上并向用户提 

供修复此问题的有用信息(在您已输入的范围内)。 

109

用户指南 

管理遵从性安全 

在设置了 LANDesk DHCP 或 Cisco NAC 可信访问环境之后,本章所述的后续执行的遵从性安全 

管理任务同时适用于两种解决方案。 


管理遵从性安全 

110 

• 确保可信访问服务已启用 


• 连接设备处于状态验证时要执行的操作 



• 将不受管设备添加到“不受管的设备搜寻”工具 



确保可信访问服务已启用 

当符合下列所有条件时,LANDesk 可信访问服务必须已启用(或打开): 

• 网络控制设备已正确设置和配置,并且正在运行必要的服务。对于 Cisco NAC,此设备为 

路由器和 Cisco Secure ACS;对于 LANDesk DHCP,此设备为网络路由器/交换机和 


• Security and Patch Manager 工具可以在控制台中由具有必要权限的用户访问,使用有 

效的 Security Suite 内容订阅可以下载部分或全安全内容类型(定义和所需的修补程 

序)。 

• Security and Patch Manager 工具的“遵从性”组中至少包含一个安全内容定义。根据您的安 

全需要和目标以及现存的安全风险,可以使用任意数目的定义来定义当前的遵从性安全策 

略。“遵从性”组的内容是定义遵从性安全策略的主要要素,可以包括操作系统和应用程序 

漏洞、间谍软件、防病毒软件、软件更新、自定义定义和系统配置安全威胁(包括防火墙 

配置),取决于在任意给定时间对保护网络至关重要的要素。但是应记住,“遵从性”组中 

必须至少包含一个定义,才能实现可信访问并执行状态验证过程。如果“遵从性”组为空, 

则没有可检查的安全凭证,状态验证无法进行,可信访问也无法实现。 

• (仅 Cisco NAC)至少要正确设置并配置一个专用的状态验证服务器,并将遵从性安全规 

则从核心服务器发布到该服务器上(即定义健全和不健全状态的可信访问设置以及“遵从 

性”组的内容信息)。在 Cisco NAC 实现中,必须配置状态验证服务器,使其可以与 Cisco 

Secure ACS 进行通信。 

• 至少要正确设置并配置一个修补服务器,并将修补资源从核心服务器发布到该服务器上 

(即安全性客户端或漏洞扫描器实用程序、与“遵从性”组中包含的漏洞关联的修补程序以 

及提供下列链接的 HTML 页:安装信任代理、执行遵从性安全扫描并修补检测到的漏洞和 

其他问题)。

建立所需级别的端点遵从性安全 

如果符合上面列出的所有条件,表示网络上运行的是可信访问服务。 


当然,服务本身很灵活,可以使用“例外列表”和“允许每个用户”等选项自定义可信访问如何处理设 

备。还可以通过放入“遵从性”组中的安全内容定义数目和准确的安全内容定义以及指定遵从性安全 

扫描在多少个小时后自动在连接的设备上运行,从而控制安全性级别。 

通过调整这些选项和策略条件,可以定义非常严格的复杂安全策略,也可以定义简单的宽松安全策 

略,或之间的任意级别。也就是说,可以自定义连接设备能够符合所指定安全条件的难易程度。 

最重要的是,可以随时更改遵从性安全策略的特性,以满足不断变化的环境和要求。请记住,任何 

时候只要更改了遵从性安全条件(例如在 Security and Patch Manager 的遵从性组中的内容,或在 

配置可信访问对话框中的可信访问设置),就需要将可信访问设置重新发布到状态验证服务器和修 

补服务器。 

使用允许/限制访问任何用户选项 

对于两个 LANDesk 可信访问解决方案,均可使用每个方案相应的允许/限制访问选项来打开或关闭 

网络的整个状态验证过程。 

可以使用此选项获得时间以完成可信访问网络和遵从性安全策略的配置,定期进行 Security and 

Patch Management 过程以促使多数受管设备符合遵从性,观察可信访问的各个日志和报告,并选 

择适当时间以开始强制执行遵从性安全策略及限制网络访问。一旦多数受管设备符合遵从性,或者 

任何时候您作为网络管理员感到时机已成熟,即可启用此选项以开启网络上的可信访问,并阻止对 

不符合遵从性的设备进行网络访问。 

允许任何用户访问(禁用状态验证过程) 

而如果启用此选项,可信访问(状态验证过程)实际将关闭,而任何健全或不健全的设备均可访问 

网络。 

适用于 LANDesk DHCP 和 Cisco NAC 

1. 在 Security and Patch Manager 中,右击可信访问组,然后单击配置可信访问设置。 

2. 在对话框底部,选中仅审核报告复选框。 

3. 只要此设置不更改,则健全或不健全的设备均允许访问网络。 

连接设备处于状态验证时要执行的操作 

这一部分简单介绍通过状态验证过程检查设备遵从性的状况,以及设备在状态验证时要执行的操 

作。 

查看关于两个可信访问解决方案的状态验证过程图示 

也可以在两个 LANDesk 可信访问环境中查看具有或不具有信任代理的设备的状态验证过程。有关 

图示可参阅以下两部分: 

• 了解 LANDesk DHCP 组件和进程工作流 

111

用户指南 

112 

• 了解 Cisco NAC 组件和进程工作流。 

在 LANDesk DHCP 可信访问环境中 

在下列情况下,连接设备会强制进入状态验证: 

• 获得 IP 地址 

• 更改 IP 地址(释放/更新) 

• 更新 IP 地址 

当未安装 LTA 的连接设备进行状态验证时: 

• 设备安放在无警告或通知的隔离网络中。 

• 隔离网络中可能仅向设备提供有限的网络资源 

• 无客户端状态事件记录在日志文件报告中 

• 最终用户可以在此位置上安装信任代理 

• 或者,最终用户可以选择仅浏览 Web(如果网络管理员将此设置为一个选项) 

当安装了 LTA 的连接设备进行状态验证,并被发现不健全或不具备遵从性时: 

• 扫描设备 

当安装了 LTA 的连接设备进行状态验证,并被发现健全或符合遵从性时: 

• 该设备允许无中断访问网络 

• 健全状态事件记录在日志文件报告中 

在 Cisco NAC 可信访问环境中 

在下列情况下,连接设备会强制进入状态验证: 

• 尝试连接至由 Cisco NAC 保护的网段 

• 周期性处于可配置时间间隔 

当未安装 CTA 的连接设备进行状态验证时: 

• 设备作为无客户端处理,并遵守 Cisco Secure ACS 中为无客户端用户设置的所有规则 

当安装了 CTA 的连接设备进行状态验证,并被发现不健全或不具备遵从性时: 

• 设备会显示消息框(健全性声明),该消息框可以在 ACS 中进行设置,以指示下一步修 

补操作 

• 状态记录在 ACS 日志文件中(健全、受感染、审查、隔离和未知) 

• 最终用户必须手动浏览至修补页。理想情况下,应配置 Cisco ACS 消息框(健全性声 

明)以显示 URL 

• 最终用户可单击相应链接以扫描设备(NT4 机器使用不同的链接) 

• 扫描和修补设备 

• 显示健全 URL

• 记录健全状态事件 

• 设备允许访问网络 

• 或者,最终用户可以选择不需扫描即可浏览 Web 

当安装了 CTA 的连接设备进行状态验证,并被发现健全或符合遵从性时: 

• 该设备允许无中断访问网络 

• 记录健全状态事件 

查看受影响(不符合策略)的设备 

当要查看哪些设备已经过状态验证并被发现不健全或不具备遵从性时, 


1. 在 Security and Patch Manager 工具中,单击计算机未遵从工具栏按钮。 

2. 或者,右击遵从性组,然后单击受影响的计算机。 

3. 即会显示列出未遵从设备的对话框。 

4. 可以选择列表中的设备以查看安全性定义,根据此定义可确定设备是否易受攻击或者未遵 

从此定义。 

修改和更新遵从性安全策略 

您可以随时修改和更新遵从性安全策略。 

通过更改 Security and Patch Manager 中遵从性组的内容,以及在控制台的配置可信访问设置对 

话框中更改可信访问设置,例如健全状态和不健全状态的定义和日志记录级别,可完成此操作。 

然后必须向状态验证服务器和修补服务器重新发布可信访问的内容。请记住,发布可信访问内容可 

向状态验证服务器发送可信访问设置和遵从性规则,以及向修补服务器发送任何关联的修补程序, 

而发布基础结构文件则可向修补服务器发送设置和支持文件(包括安全客户端扫描器、信任代理安 

装和 HTML 模板页面)。(注意:通常,只需将基础结构文件向修补服务器发布一次。与可信访问 

内容不同,您不必在每次更改遵从性安全策略后都重新发布这些文件。 

有关详细信息,请参阅在 Security and Patch Manager 工具中定义遵从性安全条件。 

将不受管设备添加到“不受管的设备搜寻”工具 

如果要将不受管设备添加到“不受管的设备搜寻”工具中,使它们能够用 LANDesk 代理进行配置, 

并进行扫描和修补以获得遵从性,请执行下列步骤: 

1. 在 Security and Patch Manager 中,右击可信访问组,然后单击添加不受管设备。(注意: 

为添加不受管设备,必须至少在控制台上设置和配置一台状态验证服务器。) 

2. 单击工具|配置|不受管设备搜寻以打开工具,然后单击计算机组。您可能需要刷新以查看 

新添加的设备。 

配置和查看遵从性日志记录 

LANDesk 可信访问提供为各种状态验证过程配置和生成多个日志文件的功能。您可以自定义这些 

日志的日志记录级别(写入日志文件的信息量)。如果需要分析特定过程或者进行故障排除,则这 

些日志文件很有用。 

113

用户指南 

关于状态验证服务器日志(仅 Cisco NAC) 

此日志文件位于状态验证服务器上: 

C:\Program Files\LANDesk\PostureServer\PostureServer.log 

状态验证服务器日志显示 

114 

• 所有记录的状态事件(健全、不健全、未知) 

• 不健全和未知事件的原因 

配置状态验证服务器日志的日志记录级别 

1. 在 Security and Patch Manager 中,右击可信访问组,然后单击配置可信访问。 

2. 从下拉列表中选择最小日志记录级别。可用的日志记录级别包括:信息、警告、错误、严 

重错误和调试。 

注意:指定的日志记录级别适用于列表中所有状态验证服务器和 LANDesk DHCP 服务 

器。 

查看状态验证服务器日志 

可以在上述路径的状态验证服务器中直接查看日志文件。 

或者,从控制台的 Security and Patch Manager 工具可以更加方便地访问状态验证服务器日志。只 

需打开 Security and Patch Manager 树中的可信访问对象,然后双击要联机查看的日志文件。 

关于 LANDesk DHCP 服务日志 

此日志文件仅适用于 LANDesk DHCP 解决方案。 

它位于 LANDesk DHCP 服务器上: 

C:\Program Files\LANDesk\LDDHCP\DHCPService.log 

LANDesk DHCP 服务日志显示: 

• 来自 LDDHCP 服务的所有已记录的 DHCP 事件 

• 验证请求租用了 IP 地址的 DHCP 的设备的状态 

您可以通过从配置可信访问对话框的下拉列表中设置最小日志记录级别,为 LANDesk DHCP 日志 

配置日志记录级别。 

关于 Cisco ACS 日志 

此日志文件仅适用于 Cisco NAC 解决方案。 

它位于 Cisco Secure ACS 机器上。可以从 Cisco Secure ACS 实用程序的失败的身份验证日志下 

访问此日志文件。

生成遵从性报告 


报告工具中与新的可信访问及遵从性相关的若干报告对 LANDesk 可信访问进行了描述。这些报告 

提供了各种有用的信息,包括可信访问网络的可信访问尝试、不受管设备搜寻、健全和不健全设备 

的状态验证、遵从性趋势、遵从性安全策略以及遵从性状态。有关可信访问和遵从性报告的数据来 

自服务器日志文件(如上所述)。 

例如,某些可信访问和遵从性报告包括: 

• 所有日志条目 

• 设备/用户日志条目 

• 搜寻到的设备 

• 健全日志条目 

• 一览表 

• 不健全日志条目 

要访问“报告”工具、生成和查看报告,LANDesk 用户必须具有 LANDesk 管理员权限(即完全权 

限)或特定的报告权限。 

LANDesk 可信访问报告与“软件授权监视”组中的报告遵循相同的规则,包括从“我的报告”和“用户报 

告”组复制、删除和导出这些报告等功能。 

运行和发布报告 

您可以从“报告”窗口运行任何报告。从“报告”窗口中,右击要运行的报告,然后单击运行(或者单 

击运行工具栏按钮)。“报告视图”中将显示报告数据。 

还可将报告发布到安全的文件共享位置,在该位置,任何赋予了正确访问权限凭证的用户都可查看 

这些报告。 

有关使用报告工具的详细信息以及可信访问与遵从性报告的完整列表(包括说明),请参阅管理报 

告。 

115

使用 Connection Control Manager 

连接控制管理器对 I/O 设备和网络连接进行监视和限制。可以对允许设备连接的网络 IP 地址进行 

限制,也可以对那些允许访问设备数据的设备(如端口、调制解调器、驱动器和无线连接)的使用 

进行限制。 

要使用连接控制管理器对设备进行管理,必须在该设备上部署本地调度程序代理和标准 LANDesk 

代理。每当该设备启动网络/设备连接或更改网络/设备连接时,连接控制管理器代理就会应用配置 

规则。这些规则包括中断不允许的连接并向核心服务器发送警报。 

使用连接控制配置管理网络连接。您可以通过以下两种常规方式配置网络限制:指定允许访问的网 

络地址或指定禁止访问的网络地址。 

使用设备控制配置管理 USB、调制解调器、I/O 端口、CD/DVD 驱动器、PCMCIA 和网络连接。 

您可以通过普遍地阻止整个类别的 USB 设备(如存储设备)或使用高级设置基于您指定的信息限 

制某些 USB 设备来配置 USB 限制。 

将保存定义的每种连接控制配置并将其应用于指定的受管设备。可以保存多个配置并根据需要将其 

应用于不同的设备。创建配置时,必须将它部署到设备才能使其生效。连接控制管理器支持运行 

Windows 2000、Windows Server 2003 和 Windows XP 的设备。 

注意:连接控制管理器是 LANDesk Security Suite 的一部分。如果您没有 Security Suite 许可证, 

则连接控制管理器不可用。 


• 使用连接控制配置限制网络访问 

• 使用设备控制配置限制 USB 设备访问 

• 配置高级 USB 设置 

• 部署配置 

117

用户指南 

使用连接控制配置限制网络访问 

使用连接控制配置有助于将网络访问限制在授权的网络或 IP 地址的范围中,或阻止与特定网络的 

通信。 

可以定义包括式或排除式的网络限制规则: 

118 

• 包括式规则仅指定允许的网络地址(将连接限制在列表中的网络范围内);任何不在指定 

IP 地址范围内的网络都将受到限制。 

• 排除式规则指定不允许的网络地址(禁止连接到列表中的网络);除了指定排除的网络连 

接之外允许所有连接。 

例如,要为设备保持“干净的网络”环境,可以选择将连接限制在列表中的网络范围内并输入允许的 

IP 地址范围。禁止尝试访问设备的其他任何 IP 地址。 

另一个例子是允许访问除限制地址范围内的所有 IP 地址(如某个受限制的公司网络地址)。这种 

情况下,可以选择禁止连接到列表中的网络并指定不允许访问的 IP 地址范围。 

创建连接控制配置 

1. 单击工具|安全|连接控制管理器。 

2. 在下面的窗格中,从连接控制配置选项的快捷菜单中单击新建连接控制配置。 

3. 输入配置名称。 

4. 请复选将连接限制在列表中的网络范围内并列出允许访问的网络地址。如果允许未连接到 

受限制网络的设备连接其他网络,请复选如果未连接则允许列表之外的网络。 

或者 

复选禁止连接到列表中的网络并列出不允许访问的网络地址。 

5. 请输入 IP 地址范围并单击添加。根据需要重复操作。要移除 IP 地址范围,请在列表中选 

择该地址范围并单击移除。 

6. 要验证当前设备连接的网络上是否正在运行核心服务器,请复选验证网络中是否存在核心 

服务器。只有选中将连接限制在列表中的网络范围内复选框时才能应用此选项。 

7. 如果需要,请选择在连接到列表中的网络或列表之外的网络时要应用的设备控制配置。 

8. 完成后单击保存。 

验证网络中是否存在核心服务器 

某一个 IP 地址范围有时可由多个网络使用。为了实施限制网络访问的额外安全措施,在允许设备 

连接该网络之前,应确保核心服务器运行于当前网络中。 

请选中验证网络中是否存在核心服务器选项以执行这一额外的安全措施。如果在当前访问的网络上 

没有找到核心服务器,则连接将被禁止。如果您认为访问列表中的网络地址值得信任,或者希望不 

向核心服务器发送 ping 命令以减少网络流量,则可以清除该选项。

如果没有连接则允许访问列表之外的网络 

使用 CONNECTION CONTROL MANAGER 

如果要允许设备(如笔记本电脑)在没有连接到受限制列表中的网络时连接到列表之外的网络,请 

选中如果没有连接则允许访问列表之外的网络框。连接控制管理器可以确保设备只连接列表中的网 

络或只连接列表之外的网络,但是不允许二者同时连接。下一次设备连接至核心服务器运行的网络 

时,会将此警报发送给核心服务器,通知核心服务器已同列表之外的 IP 地址建立了连接。 

如果没有选中该选项,则设备只能连接至列表中的网络地址。 

将设备配置应用于网络连接 

您可以将设备配置应用于列表中的网络和列表之外的网络连接类型。如果选中连接时应用设备配 

置,则可以选择连接控制管理器将对受管计算机应用的配置。如果同时也选中如果没有连接则允许 

访问列表之外的网络选项,则只要不使用当处于列表之外的网络上时应用其它配置选项,此配置就 

可以同时应用于列表中的网络和列表之外的网络连接。 

如果同时选中如果没有连接则允许访问列表之外的网络和当处于列表之外的网络上时应用其它配置 

选项,则可以指定不同的配置,并将此配置仅应用于连接到列表之外的网络的计算机。您可以在连 

接控制配置对话框的底部指定配置。一旦选中连接时应用设备配置和/或当处于列表之外的网络上 

时应用其它配置,则此处的选项可用。 

如果要应用的配置设为无,则连接控制管理器在连接到网络时将不应用设备控制配置。这意味着, 

即使在连接网络之前已激活设备控制配置,一旦出现网络连接,也不会激活任何设备控制配置,所 

有设备访问将不受限制。 

如果从列表中选择一种配置,则一旦建立了匹配的网络连接,连接控制管理器将更改计算机上的设 

备控制配置以匹配您所选择的配置。 

通过连接控制配置所应用的设备控制配置将应用于计算机,而不是用户。基于用户的活动设备控制 

配置的级别高于基于计算机的设备控制配置。如果存在基于用户的活动设备控制配置,则通过连接 

控制配置得以应用的设备控制配置将不生效。如果始终希望应用连接控制配置中所指定的设备控制 

配置,请确保计算机中没有任何基于用户的设备控制配置。 

在连接控制配置对话框中选择要应用的设备控制配置不会将该设备控制配置部署到计算机。设备控 

制配置和连接控制配置均独立部署。请确保您已部署连接控制配置所引用的设备控制配置。如果此 

配置在计算机上不可用,则计算机将向核心服务器发送“配置错误警报”。您可以在 AMS 警报日志 

(视图|警报历史记录)中查看这些警报。 

关于“连接控制配置”对话框 

连接控制配置对话框包含以下选项: 

• 名称:此配置的名称。此名称显示在主连接控制管理器窗口中。 

• 将连接限制在列表中的网络范围内:只允许连接到列出的 IP 地址范围。 

• 如果没有连接则允许访问列表之外的网络:允许连接到未列出的网络,但条件是 

设备并未已经连接到列出的网络。 

• 连接时应用设备配置:当用户连接到网络时应用在此对话框底部指定的配置。 

• 当处于列表之外的网络上时应用其它配置:当用户连接到列表之外的网络时应用 

不同的配置。要使该选项可用,必须允许列表之外的网络连接。 

• 禁止连接到列表中的网络:禁止连接到列出的 IP 地址范围。 

• 起始 IP 地址:您要控制的范围的起始 IP 地址。 

119

用户指南 

120 

• 结束 IP 地址:您要控制的范围的结束 IP 地址。 

• 添加:将有效的 IP 地址范围添加到受控列表。 

• 删除:从受控列表删除选定的 IP 地址范围。 

• 验证网络中是否存在核心服务器: 某一个 IP 地址范围有时可由多个网络使用。为了实施 

限制网络访问的额外安全措施,在允许设备连接该网络之前,应确保核心服务器运行于当 

前网络中。选中此选项可实施这一额外的安全措施。如果在当前访问的网络上没有找到核 

心服务器,则连接将被禁止。 

• 当处于列表中的网络上时要应用的设备配置:如果选中连接时应用设备配置,则可以指定 

要应用的配置。 

• 当处于列表之外的网络上时要应用的设备配置:如果选择当处于列表之外的网络上时应用 

其它配置,则可以指定要应用的配置。

使用设备控制配置限制 USB 设备访问 


连接控制管理器配置包含两个部分。第一个部分是限制网络访问权限的连接控制配置。第二个部 

分,即设备控制配置,是可选的。设备控制配置服务 usbmon 运行在受管设备上,并在这些设备上 

监视和限制 USB 及指定的设备连接。配置是独立的,您不必部署连接控制配置就可以部署设备控 

制配置。 

默认情况下,设备控制配置可以限制各种类型的设备。可以使用高级 USB 设置来限制任何 USB 

设备或您指定的设备类别。您可以限制的设备有: 

• USB 设备,如驱动器、键盘和鼠标、打印机及扫描器 

• RIM Blackberry*、Pocket PC* 和 Palm* 手持设备 

• 网络卷 

• 蓝牙* 个人区域网络 

• 无线 802.11x 网络 

• 调制解调器 

• PCMCIA* 设备 

• 串行、并行、红外线和 FireWire 1394 端口 

• 软盘和 CD/DVD 驱动器 

usbmon 服务可提供以下功能: 

• 防止使用未授权的 USB 和 PCMCIA 设备。 

• 防止使用未授权的可移动存储设备。 

• 检测到未授权设备时,触发外部程序或脚本。 

创建设备控制配置 

1. 单击工具|安全|连接控制管理器。 

2. 在下面的窗格中,从设备控制配置选项的快捷菜单中单击新建设备控制配置。 


4. 选择希望配置文件应用于当前用户还是计算机上的所有用户。有关详细信息,请参阅了解 

配置文件。 

5. 自定义所需的选项。有关详细信息,请参阅下一节。 

6. 单击创建保存配置文件。 

连接控制管理器将设备控制配置存储在核心服务器的 LDLogon\usbmon 文件夹中。设备控制配置 

是用您指定的配置名称命名的 .INI 文件。 

关于“设备控制配置”对话框 

设备控制配置对话框的 USB 设备选项卡包含以下选项: 

• 名称:此配置的名称。此名称显示在主连接控制管理器窗口中。 

• 应用配置至: 

• 用户:使配置只应用于在部署时登录的用户。有关详细信息,请参阅了解配置文 

件。 

121

用户指南 

122 

• 计算机:使配置应用于设备上的所有用户。有关详细信息,请参阅了解配置文 

件。 

• 命令:允许您配置检测到未授权的设备时运行的命令。有关详细信息,请参阅配置检测到 

未授权的设备时运行的命令。 

• 禁止 USB 设备,允许使用以下设备: 

• 键盘和鼠标:选中此项则允许使用 USB 键盘和鼠标,并将 Service=hidusb 添 

加到 USB 规则列表。有关规则列表的详细信息,请参阅配置高级 USB 设置。 

• Pocket PC:选中此项则允许设备与 Pocket PC 手持设备同步,并将 

Service=wceusbsh 添加到 USB 规则列表。 

• 存储设备:选中此项则允许使用 USB 存储设备,并将 Service=usbstor 添加到 

USB 规则列表。 

• 打印机:选中此项则允许使用 USB 打印机,并将 Service=usbprint 添加到 


• Palm 设备:选中此项则允许设备与 Palm 手持设备同步,并将 

Service=PalmUSBD 添加到 USB 规则列表。 

• 扫描器:选中此项则允许使用 USB 扫描器,并将 Service=usbscan 添加到 


• RIM Blackberry:选中此项则允许使用 RIM Blackberry,并将 

Service=RimUsb 添加到 USB 规则列表。 

• 生物指纹阅读器:选中此项则允许使用生物指纹阅读器,并将 Service=TcUsb 

添加到 USB 规则列表。 

• 检测到未授权的 USB 设备时通知用户:如果选中此项,当用户连接未授权的 USB 设备 

时显示消息框。有关详细信息,请参阅创建自定义消息。 

• 高级 USB 设置:显示“设备控制高级设置”对话框,您可以在其中查看禁止的设备并创建 

自己的规则来取消禁止设备。有关详细信息,请参阅配置高级 USB 设置。 

设备控制配置对话框的卷和网络选项卡包含以下选项: 

• 禁止所有未知卷:禁止访问安装设备控制配置时不存在的任何卷。注意:如果安装配置时 

连接了包含卷的设备,那么即便该设备是可移动的,usbmon 服务仍允许在未来使用该设 

备。 

• 检测到未授权的卷时通知用户:如果选中此项,当 usbmon 服务检测到未授权的存储卷 

时显示消息框。有关详细信息,请参阅创建自定义消息。 

• 禁止蓝牙个人区域网络 (PAN):禁止访问蓝牙网络。 

• 无线 LAN 802.11x:禁止访问无线 802.11x 网络。 

设备控制配置对话框的其他设备选项卡包含以下选项: 

• 禁止调制解调器:禁止调制解调器。 

• 禁止 PCMCIA 设备,允许使用以下设备: 

• 网卡:选中此项则允许使用 PCMCIA 网卡。 

• 存储设备:选中此项则允许使用 PCMCIA 存储卡。 

• 禁止所有端口:选中/清除所有可禁止的端口选项。 

• 串行:禁止串行端口。 

• 并行:禁止并行端口。 

• 红外线:禁止红外线端口。 

• FireWire 1394:禁止 FireWire 1394 端口。 

• 禁止所有驱动器:选中/清除所有可禁止的驱动器选项。 

• 软盘:禁止软盘驱动器。

• CD/DVD:禁止 CD/DVD 驱动器。 

了解配置文件 


“设备控制配置”对话框含有一个应用配置至选项,通过这个选项,可以选择是将配置应用于用户还 

是计算机。了解您选择了每个选项后的结果很重要: 

• 用户:当前配置将应用于登录用户。对其他用户的所有以前配置及设备将保持不变。 

• 计算机:不具有专用用户配置的所有用户将获得这个当前配置。如果某个用户已经有了配 

置,以前的配置将保持活动状态。 

未授权设备处理 

设备控制配置使用受管设备上的 usbmon 服务。当 usbmon 服务收到操作系统的通知,告知已插 

入新的 USB 或 PCMCIA 设备时,usbmon 服务将应用多个自定义的规则,以确定是否允许使用该 

设备。可以设置简单规则来只允许使用某些类型的设备,如键盘和鼠标、打印机和扫描器。更复杂 

的规则可能只允许给特定制造商的安全存储设备使用权,或排除特定制造商的设备使用权。 

当 usbmon 服务检测到未授权设备时,它将执行: 

• 从 Windows 设备管理器删除设备,使 Windows 看不到该设备。该设备的任何驱动程序 

仍然处于安装状态。 

• 如果是未授权的 USB 设备或卷,可根据需要向用户显示可配置的消息(有关详细信息, 

请参阅自定义消息)。 

• 可以选择加载外部程序(有关详细信息,请参阅配置命令)。例如,外部程序可以是一个 

向中心控制台发送警报的脚本。 

• 发送一条“禁用激活的设备”的 AMS 警报至核心服务器。警报消息包含该设备的名称。 

可移动存储设备处理 

Usbmon 是受管设备上限制 USB 连接的服务。装载新卷后,usbmon 服务将收到操作系统的通 

知。然后,usbmon 服务使用 GetDriveType() API 调用检查已装载的驱动器类型。如果操作系统将 

该驱动器描述为“可移动”或“固定驱动器”,则 usbmon 服务将采取措施。Usbmon 服务还会在启动 

时检查可删除的卷。如果启动时发现未授权的卷,则将执行与稍后装载该卷时相同的操作。 

被视为可移动的驱动器包括(但不限于)USB 存储设备。CD 驱动器(只读或读/写)不被视为可 

移动的存储设备。 

操作系统不会将硬盘驱动器视为可移动设备。GetDriveType() 调用会将硬盘驱动器描述为“固定驱 

动器”,即使它们是通过 USB 或一些其他外部端口连接的。为允许以与处理其他可移动存储设备相 

同的方式处理可移动硬盘驱动器,usbmon 服务将在安装服务时记录硬盘驱动器列表。例如,如果 

设备在安装 usbmon 服务时包含 2 个硬盘驱动器(C: 和 D:),则 usbmon 服务会将这些驱动器视 

为固定驱动器,而不进行检查。但是,如果以后找到某个驱动器盘符为 E: 的硬盘驱动器, 

usbmon 服务则将其视为可移动设备。 

Usbmon 服务将“固定驱动器”的列表保存在注册表中的 

HKLM\Software\LANDesk\usbmon\FixedDrives 下。该列表是在安装服务时创建的。禁止所有未知 

卷选项可禁止访问安装设备控制配置时不存在的任何卷。注意:如果安装配置时连接了包含卷的设 

备,那么即便该设备是可移动的,usbmon 服务仍允许在未来使用该设备。 

123

用户指南 

当 usbmon 服务检测到可移动存储设备时,将执行以下操作: 

124 

• 锁定卷。试图访问卷的用户将会得到“拒绝访问”的错误信息。 

• 或者为用户显示可配置的信息。 

• 或者加载一个外部程序。例如,外部程序可以是一个向中心控制台发送警报的脚本。 

• 发送一条“禁用激活的设备”的 AMS 警报至核心服务器。警报显示某卷已激活,但没有关 

于此卷的其它信息。 

注意:禁止所有未知卷只在 Windows XP 或 Windows 2003 中有效。在 Windows 2000 中, 操作 

系统会报告卷已被禁止,但实际上没有。在 Windows 2000 中,禁止特定设备以防止系统添加新的 

卷。 

为什么支持人员需要使用 USB 记忆棒? 

如果您是一位 IT 支持人员,并且要在用户的计算机上使用 USB 存储设备,可以执行以下操作: 

• 使用管理权限登录,并暂时禁用 usbmon 服务。 

• 使用管理权限登录,运行 usbmon GUI,然后将设备添加到已授权卷列表。 

• 使用配置文件。由于具有不同的 usbmon 配置文件,因此当您使用支持帐户登录到同一 

计算机时,可能允许您使用不允许最终用户使用的设备。 

配置高级 USB 设置 

连接控制管理器安装到设备上以后,代理存储有关它禁止访问的最后十个 USB 设备的信息。清单 

扫描器将此信息发送到核心数据库。有关这些禁止的设备的信息将显示在高级 USB 设置对话框 

中。您可以使用此信息来创建允许或禁止特定 USB 设备的高级规则。通过这些高级规则,您可以 

控制除设备控制配置对话框中看到的基本设备类别之外的设备。 

在高级 USB 设置对话框中,可以将六列中的任何一列作为基础来制定规则。右键单击列中的值, 

然后单击允许以创建一个规则来允许基于该属性使用设备。为每列创建的关键字如下: 

DeviceDesc 

HardwareID 

服务 

Mfg 

LocationInformation 

Class 

这些名称与注册表中 HKLM\System\CurrentControlSet\Enum\USB 项下使用的名称完全相同。 

作为规则基础的最有用字段通常为服务。此字段与 Windows 驱动程序相对应。例如,到 Windows 

CE PDA 的 USB ActiveSync 连接的驱动程序称为 wceusbsh(请参阅 

HKLM\CurrentControlSet\Services\wceusbsh)。这六列都可用作规则的基础,但是,由您决定具 

体情况下哪些规则具有实际意义。 

通配符 

可以在规则中使用通配符,例如,以下规则允许使用任何在其设备描述中包含字符串 "floppy" 的设 

备: 

DeviceDesc=*floppy*

白名单与黑名单规则 


到目前为止介绍的所有规则均为白名单规则,即设备必须至少满足一个规则,否则将被禁止使用。 

Usbmon 服务还支持黑名单规则。以减号为前缀的规则为黑名单规则。例如: 

Service=usbstor 

-DeviceDesc=*floppy* 

第一个规则允许使用 USB 存储设备。第二个规则禁止使用在其设备描述中包含字符串“floppy”的设 

备。 

如果定义了白名单和黑名单规则,usbmon 服务首先根据白名单规则检查设备。如果没有白名单允 

许使用该设备,则禁止使用该设备。如果存在至少一个白名单规则允许使用该设备,usbmon 服务 

则根据黑名单规则检查该设备。如果该设备不满足任何黑名单规则,则允许使用该设备。否则,将 

禁止使用该设备。 

如果只存在白名单,除非该设备满足其中一个白名单规则,否则将禁止使用。如果只存在黑名单, 

除非该设备满足其中一个黑名单规则,否则将允许使用。 

组合规则 

到目前为止介绍的所有规则均为简单规则,并且在其中只测试单个字段。Usbmon 还支持组合规 

则,如下例所示: 

Service=wceusbsh,DeviceDesc=*iPAQ* 

该规则只允许使用在其设备描述中包含字符串 IPAQ 的 Windows CE 设备。 

也可以采用组合的黑名单规则。示例: 

Service=wceusbsh 

-Service=wceusbsh,Mfg=*iPAQ* 

以上两行允许使用除了在其厂商字段中包含字符串 IPAQ 的 Windows CE 设备。以上两行规则等 

同于以下一行规则: 

Service=wceusbsh,-Mfg=*iPAQ* 

检测到未授权的设备/卷时创建自定义消息 

在设备控制配置对话框中,您可以自定义检测到未授权的设备/卷时用户看到的消息文本。在消息 

文本中,可以使用这些占位符来显示有关未授权的卷或设备的信息: 

• %vol%:卷序列号 

• %desc%:说明 

• %service%:服务 

• %hwid%:硬件 ID 

• %mfg%:制造商 

• %loc%:位置 

• %class%:类 

125

用户指南 

配置检测到未授权的设备时运行的命令 

当 usbmon 服务检测到未授权的卷或设备时,它可以执行外部程序。您可以在命令中包括一个或两 

个占位符: 

126 

• %1: 根据检测到的是未授权的卷还是未授权的 USB 设备,%1 将由“卷”或“设备”替换。 

• %2: 将由未授权的卷的卷序列号或未授权的 USB 设备的标识字符串替换。 

例如,当给出如下命令时: 

wscript myscript.vbs %1 %2 

这可能导致启动以下命令: 

wscript myscript.vbs volume "1234ABCD" 

wscript myscript.vbs device "Y-E Data USB Floppy:Vid_057b&Pid_0000" 

Usbmon 确保在一个时刻只运行一个脚本实例。 

配置命令 

1. 在设备控制配置中,单击命令。 

2. 输入所需的命令。 

3. 单击确定。

配置警报 


连接控制管理器配置使用警报管理系统来报警(工具|警报设置|连接控制管理器)。有关警报的详 

细信息,请参见使用警报。连接控制管理器可在遇到以下事件时触发警报: 

• 配置错误 

• 禁用激活的设备 

• 限制网络连接尝试 

• 列表之外的网络连接尝试 

• 检测列表之外的网络会话 

查看未授权的设备列表 

在每台计算机上,连接控制管理器中将储存最近接入的十个未授权设备列表。您可单击设备快捷菜 

单上的清单,在网络视图上查看此信息。然后单击 LANDesk 管理|连接控制管理器|Usbmon 警 

报。 

127

用户指南 

部署配置 

创建了连接控制配置或设备控制配置后,必须在它处于活动状态之前将其部署到受管设备。 

部署配置 

128 

1. 从保存的配置的快捷菜单中单击调度。 

2. 配置会添加到计划任务窗口中。在此窗口中,请将设备拖到配置图标上。 

3. 所有设备已添加后,在任务的快捷菜单中单击属性。在树中单击计划任务,然后配置计划 

选项。 

有关计划任务的详细信息,请参阅使用脚本和任务。 

安排某个设备控制配置以进行部署时,连接控制管理器将执行以下操作: 

• 创建一个以源设备控制配置命名的可执行分发程序包。该程序包的主要文件为 

usbmon.exe。附加文件为 usbmon.reg、devactalert.exe、netres.mrl 和 .ini。 

• 如果将用户作为设备控制配置任务的目标,连接控制管理器则使用称为“Usbmon 拉传送” 

的基于策略的公共传送方式。如果该传送方式不存在,连接控制管理器将创建它。当任务 

目标为用户时,连接控制管理器必须使用基于策略的传送方式,以确保正确的用户得到配 

置。当目标用户登录时,基于策略的传送方式将激活并安装配置。 

• 如果将计算机作为设备控制配置任务的目标,则连接控制管理器将使用称为“Usbmon 推 

传送”的支持策略的公共推传送方式。如果该传送方式不存在,连接控制管理器将创建它。 

由于配置的目标为设备,因此任何登录到该设备的用户将获得该设备的控制配置;配置安 

装时,哪个用户登录并不重要。您可以对计算机使用推传送方式或策略传送方式。 

连接控制管理器创建 usbmon 策略或支持策略的推传送方式后,您就可对其进行自定义。只要方式 

名称不改变,连接控制管理器将使用修改后的传送方式。 

有关在本地受管计算机上创建设备控制配置,并手动部署这些配置的信息,请参阅核心服务器 

LDMain 共享下的 usbmon 帮助文件 usbmon.chm。 

故障排除 

• 每种新的连接控制配置都将另存为配置文件和脚本文件,并保存在以下文件夹中: 

ldmain\ccmgr\name.cfg 

ldmain\scripts\name.ini 

• 如果存在与新的配置具有相同名称的脚本或配置,系统提示将覆盖现有的脚本或配置。这 

将导致覆盖具有相同名称的不相关的分发脚本。 

• 为网络限制输入 IP 范围时,请勿限制访问核心服务器所在的网络范围。如果客户端访问 

受限网络且连接控制管理器禁用了网络访问,则仅有与核心服务器的通信才能恢复网络访 

问。如果设备由于限制而无法与核心服务器通信,则无法恢复网络访问。 

• 当限制访问 I/O 设备时,请勿限制托管网络适配器的 I/O 设备。如果限制访问托管网络 

适配器的 I/O 设备,则客户端将无法访问网络。例如,限制 USB 访问会使所有 USB 网 

络适配器无法工作。不通过网络访问,便无法更新该客户端的限制设置。


• 如果在连接控制管理器中选择以下选项,并且核心服务器在列出的网络上不可用,则客户 

端在该网络上对 I/O 设备的访问权限不受任何限制。 

• 将连接限制在列表中的网络范围内 

• 如果没有连接则允许访问列表之外的网络 

• 验证网络中是否存在核心服务器 

如果选中“如果没有连接则允许访问列表之外的网络”,并且代理在列出的网络上找不到核 

心服务器,它将假定未列出此网络。此时,本地的 I/O 设备可能会得到未预期的访问权 

限。该操作可能会带来安全风险。确保核心服务器可用,以避免发生这种情况。 

129

启动控制台 

本章介绍有关使用有效的 LANDesk 软件许可证激活核心服务器,以及启动控制台以访问并使用所 

有 LANDesk 工具的信息。 


• 激活核心服务器 

• 启动控制台 

• 更改核心服务器的连接 

131

用户指南 

激活核心服务器 

LANDesk 使用中心授权服务器帮助您管理核心服务器的产品和节点许可证。要使用 LANDesk 产 

品,您必须获得一个能以授权证书为前提、可以激活核心服务器的用户名和密码。必须在每个核心 

服务器上激活,才能在该服务器上使用 LANDesk 产品。您可以通过 Internet 自动激活每个核心服 

务器,或通过电子邮件手动激活每个核心服务器。如果您对一个核心服务器的硬件配置进行了较大 

更改,可能需要重新激活该核心服务器。 

每个核心服务器上的激活组件将定期生成以下相关数据: 

132 

• 您在使用的精确节点数 

• 非个人加密硬件配置 

• 您正在使用的特定 LANDesk 程序(总称“节点”数数据) 

激活组件不收集或生成任何其它数据。硬件密钥代码是使用非个人硬件配置因素在核心服务器上生 

成的,例如硬盘驱动器的大小、计算机的处理速度等。硬件密钥代码以加密格式发送到 

LANDesk,该加密的私钥仅驻留在核心服务器上。然后,硬件密钥代码用于创建授权证书的一部 

分。 

安装核心服务器之后,请通过核心服务器激活实用程序(开始|所有程序|LANDesk|核心服务器激 

活)使用与您购买的许可证或 45 天评估许可证相关联的 LANDesk 帐户激活它。45 天评估许可证 

是用于 100 个节点的。有两种类型的许可证,设备许可证和服务器许可证。任何时候,您在服务 

器操作系统(如 Windows 2000 Server 或 Windows 2003 Server)上安装 LANDesk 代理时,该安 

装对每个服务器都使用一个许可证。汇总核心服务器不需要激活。 

您可以在任何时间通过运行核心服务器激活实用程序并输入您的 LANDesk 用户名和密码而将 45 

天评估许可证转换为付款许可证。 

每次核心服务器上的激活软件生成节点数数据时,您需要将该节点数数据自动通过 Internet 或手动 

通过电子邮件发送到 LANDesk。如果您在初始节点数验证尝试之后 30 天宽限期内未能提供节点数 

数据,核心服务器可能会不可操作,直到您向 LANDesk 提供了节点数数据。一旦您发送了该节点 

数数据,LANDesk 将向您提供一个允许核心服务器重新正常运行的授权证书。 

一旦激活了一台核心服务器,您就可以使用产品许可对话框(配置|产品许可)查看这些产品和为 

认证该核心服务器的帐户所购买的授权节点数。您也可以看到核心服务器将在中心授权服务器验证 

节点数数据的日期。核心服务器不限制您购买的授权节点数。 

关于核心服务器激活实用程序 

使用核心服务器激活实用程序: 

• 第一次激活新的服务器 

• 更新现有的核心服务器或从试用许可证转换为完全试用许可证 

• 激活具有 45 天试用许可证的新服务器 

通过单击开始|所有程序|LANDesk|核心服务器激活启动该实用程序。如果您的核心服务器没有 

Internet 连接,请参阅本节后面的手动激活核心服务器或验证节点数数据。 

每个核心服务器必须有一个唯一的授权证书。多台核心服务器不能共享同一授权证书,尽管它们可 

以向同一 LANDesk 帐户验证节点数。


核心服务器会定期在 "\Program Files\LANDesk\Authorization Files\LANDesk.usage" 文件中生成 

节点数验证信息。此文件定期发送到 LANDesk 授权服务器。此文件是 XML 格式的,并被数字签 

名和加密。任何对此文件进行的手动更改都将使其内容和下一次向 LANDesk 授权服务器发送的使 

用情况报告无效。 

核心通过 HTTP 与 LANDesk 授权服务器通信。如果您使用代理服务器,请单击该实用程序的代理 

选项卡并输入您的代理信息。如果您的核心有 Internet 连接,则与授权服务器之间的通信是自动 

的,并且不要求您进行任何干预。 

请注意核心服务器激活实用程序将不会自动启动拨号 Internet 连接,但是如果您手动启动了拨号连 

接并运行激活实用程序,该实用程序可以使用该拨号连接报告使用情况数据。 

如果您的核心服务器没有 Internet 连接,您可以如本节中后面所述,手动验证和发送节点数。 

使用 LANDesk 帐户激活服务器 

在使用完全使用许可证激活新的服务器之前,必须在 LANDesk 设置一个帐户,以授权您使用所购 

买数量的 LANDesk 产品和节点。要激活您的服务器,您将需要帐户信息(联系名称和密码)。如 

果您没有此信息,请联系您的 LANDesk 销售代表。 

激活服务器 

1. 单击开始|所有程序|LANDesk|核心服务器激活。 

2. 单击使用您的 LANDesk 联系名称和密码激活此核心服务器。 

3. 输入您想要核心使用的联系名称和密码。 

4. 单击激活。 

使用试用许可证激活服务器 

45 天试用许可证使用 LANDesk 授权服务器激活您的服务器。一旦 45 天评估期过去,您将无法登 

录到核心服务器,并且它将停止接受清单扫描,但是您不会丢失软件或数据库中所有现有的数据。 

在 45 天试用许可期间或之后,您可以重新运行核心服务器激活实用程序并转换为使用 LANDesk 

帐户的完全激活。如果试用许可证过期,转换为完全使用许可证将重新激活核心。 

激活 45 天评估 


2. 单击激活此核心以进行 45 天评估。 


更新现有帐户 

更新选项将使用情况信息发送到 LANDesk 授权服务器。如果您有 Internet 连接,使用情况数据会 

自动发送,所以您通常不需要使用此选项发送节点计数验证。您还可以使用此选项更改核心服务器 

所属的 LANDesk 帐户。此选项也可将一个核心服务器从试用许可证转换为完全使用许可证。 

更新现有帐户 


133

用户指南 

134 

2. 单击使用您的 LANDesk 联系名称和密码更新此核心服务器。 

3. 输入您想要核心使用的联系名称和密码。如果您输入了与原来激活核心的用户名密码不同 

的用户名密码,这会将该核心转换到新的帐户。 


手动激活核心或验证节点数数据 

如果核心服务器没有 Internet 连接,核心服务器激活实用程序将无法发送节点计数数据。然后,您 

将看到一条消息,提示您通过电子邮件手动发送激活和节点数验证数据。电子邮件激活是一个便捷 

的过程。当您在核心上看到手动激活消息时,或如果您使用核心服务器激活实用程序并看到手动激 

活消息,请执行以下步骤。 

手动激活核心或验证节点数数据 

1. 1. 当核心服务器提示您手动验证节点计数数据时,它会在 "\Program 

Files\LANDesk\Authorization Files" 文件夹中创建一个称为 {languagecode}activate.{datestring}.txt 

的数据文件。将此文件作为电子邮件消息的附件,发送至 

licensing@landesk.com。邮件的主题和正文并不十分重要。 

2. LANDesk 将处理该邮件附件并回复到您发送该邮件的邮件地址。LANDesk 消息会提供说 

明和新附加的授权文件。 

3. 将附加的授权文件保存到 "\Program Files\LANDesk\Authorization Files" 文件夹。核心服 

务器会立即处理该文件并更新其激活状态。 

如果手动激活失败或核心不能处理附加的激活文件,则您复制的授权文件会使用 .rejected 扩展名 

重命名,并且该实用程序会在 Windows 事件查看器的应用程序日志中记录一个具有更多详细信息 

的事件。




1. 单击开始|所有程序|LANDesk|LANDesk Management Suite。(根据您所安装的 

LANDesk 产品和用于激活核心服务器的许可证的不同,实际的程序名称可能不同。) 

2. 输入有效的用户名和密码。 

若要连接到远程核心服务器,请遵循标准的 Windows 远程登录规则(即,如果用户是核 

心服务器的本地用户,只输入用户名即可;如果用户是域用户,则输入域名\用户名)。 

3. 选择要连接的核心服务器。用户必须有该核心服务器的正确身份验证凭据。 

4. 单击“确定”。 

控制台会随即打开,其布局(大小、位置、打开的工具窗口等)为该用户上次注销时的布局。 

对于附加控制台,用于登录 Management Suite 的凭据必须与已映射到核心服务器的任何驱动器所 

用的凭据相匹配。否则,您可能在控制台登录对话框中看到一条“多个连接”的错误消息。 

If you're running an additional console and have a drive mapped to the core server, you must u 

关于“登录”对话框 

使用该对话框可启动控制台并连接到核心服务器。 

• 用户名:标识 LANDesk 用户。这个用户可以是管理员用户或具有有限权限的某些其他类 

型的用户(请参阅使用基于角色的管理)。该用户必须是核心服务器的 LANDesk 

Management Suite 组中的成员。请遵循标准的 Windows NT 远程登录规则(即,如 

果用户是核心服务器的本地用户,则只需输入用户名;如果用户是域用户,则应该输入域 

名\用户名)。 

• 密码:用户的密码。 

注意:如果 LANDesk 管理员更改了另一个用户(即另一个控制台用户)的密码,在该用 

户重新启动控制台后,新密码才会生效。此时,该用户需输入其新密码才能登录到控制 

台。 

• 核心服务器:指定要连接的核心服务器。此下拉列表与控制台工具栏上的核心服务器下拉 

列表相同。 

135

用户指南 

更改核心服务器的连接 

利用控制台,您可以查看和管理与自己网络中所连接的核心服务器相关联的任何数据库的内容。这 

样一来,您就可以为不同的站点、组织单位或逻辑内部网络创建数据库。 

一次只能连接一台核心服务器。 

更改核心服务器连接 

136 

1. 从位于控制台工具栏上的核心服务器下拉列表中选择一台核心服务器。或者,在文本框中 

输入核心服务器的名称,然后按 Enter 键。 

在网络中搜索该服务器。如果找到该服务器,系统会显示标准的“登录”对话框,提示您登 

录。 

2. 输入有效的用户名和密码。 

请遵循标准的 Windows NT 远程登录规则(即,如果用户是核心服务器的本地用户,则只 

需输入用户名;如果用户是域用户,则应该输入域名\用户名)。 

一旦连接到某核心服务器之后,该服务器的名称会自动添加到工具栏中的核心服务器下拉列表中。

使用控制台 

LANDesk Management Suite 提供了各种系统管理工具,可用来查看、配置、管理和保护网络上的 

设备。所有这些任务均可通过一个控制台执行。本章介绍控制台界面,并说明如何配置和浏览控制 

台的网络视图和工具窗口。 


• 控制台概述 

• 了解网络视图 

• 创建组 

• 设备图标 

• 查看所有设备组中的受管设备 

• 快捷菜单 

• 用列集配置网络视图 

• 工具栏选项 

• 使用控制台工具 

• 可停靠窗口 

• 自动隐藏 

• 保存窗口布局 

• “查找”栏 

• “状态”栏 

• 查看设备属性 

• 配置代理搜寻 

• 监视设备的联网情况 

137

用户指南 

控制台概述 

通过使用控制台,您可以方便地在同一位置执行所有重要的网络管理功能,而不必到每个受管设备 

上执行日常维护或排除故障工作。从单个控制台上,您可以分发和更新软件或配置设置,诊断硬件 

和软件问题,部署操作系统映像和迁移用户配置文件,可以使用基于角色的管理来控制用户对功能 

和设备的访问,使用远程控制功能来培训最终用户或解决问题。 

您可以使用多个核心服务器和数据库来满足具体的网络管理需要。有关安装核心服务器和控制台、 

附加控制台、Web 控制台以及管理多个核心服务器和数据库的信息,请参阅《安装和部署指南》 

(该指南为可打印的 PDF 文档)。 

继续阅读本章,可以了解到如何浏览和使用控制台来查看和组织设备以及访问各种管理工具。(该 

指南的后面章节深入地介绍了各种工具,例如软件分发、远程控制、Security and Patch Manager 

等等。) 

138

了解网络视图 


网络视图是控制台的主要窗口,也是执行绝大多数功能的起始点。在这里可以查看设备的清单数 

据,创建查询来搜索设备并对设备进行分组,选择要远程控制的设备,等等。 

网络视图窗口始终是打开的,其中含有两个窗格。左窗格中显示当前连接的核心服务器/数据库及 

其设备, 查询和配置组的层次结构树视图。您可以根据需要展开或折叠这些树对象。网络视图的右 

窗格中详细列出了所选组中的设备项、查询项或配置项,具体情况取决于所选组的类型。 

组图标 

以下图标用于表示网络视图中的不同组类型: 

• 蓝色文件夹:表示公共组和私有组。 

• 双黄色文件夹:表示包含特定类型的项的综合列表的公共组,如所有设备。 

您可以调整网络视图窗口及其窗格和列的大小,但不能关闭该视图。与工具窗口不同,网络视图窗 

口不是可停靠的。 

基于角色的管理 

在网络视图中,您可以查看和管理的设备以及可以使用的管理工具,由管理员分配给您的访问权限 

和设备范围来决定。有关详细信息,请参阅基于角色的管理。 

网络视图包含下列组和子组: 

核心服务器 

核心服务器对象标识当前连接的核心服务器。核心服务器对象就在“网络视图”的根目录下,可以折 

叠和展开。 

“核心服务器”对象名的语法是:服务器名\数据库实例。 

设备 

“设备”组包含下列设备子组。 

• 我的设备:基于用户范围列出当前登录用户的设备。用户只能在我的设备下创建设备子 

组。用户可通过从公共设备和所有设备组中复制设备的方法,将设备添加到其我的设备组 

或任何子组中。用户也可以单击并将公共设备和所有设备中的设备拖放到他们的我的设备 

组中。 

在网络视图中拖放项 

当您在网络视图中单击某个项,要将其拖到另一个组中时,光标会指示哪儿可以放置该 

项,哪儿不能放置该项。当将光标移到某组对象上时,加号 (+) 表示可以将项添加到该组 

中;杠号表示不能将项添加到该组中。 

• 公共设备:列出管理员(具有 LANDesk 管理员权限的用户)从所有设备组中添加的设 

备。管理员可以看到该组中的所有设备,但其他用户只能看到其自身权限所允许查看的设 

备。同样,只有管理员能够在公共设备下创建子组。 

139

用户指南 

查询 

140 

• 所有设备:基于用户的范围,在平面列表(无子组)中列出当前登录用户可以看到的所有 

设备。对于管理员,所有设备列出所有已扫描到核心数据库中的受管设备。当清单扫描器 

将配置了标准 LANDesk 代理的设备扫描到核心数据库以后,所有设备组中会自动显示这 

些设备。 

对于常规用户,“所有设备”由其用户的我的设备和公共设备组构成。 

管理员和用户可以基于该组中的设备运行资产报告。 

还通过右键单击所有设备组,选择并单击插入新的计算机,填写设备和网络信息,然后单 

击确定,将计算机添加到网络视图中。这些计算机也同时出现在“配置”组下的“用户添加的 

计算机”子组中。 

• 用户设备:列出核心数据库中的所有设备,它以用户子组的形式存在。用户子组根据用户 

登录 ID 来命名(即:“计算机名\用户帐户”或“域\用户帐户”)。每个用户组都包含该用户的 

我的设备组中出现的设备。 

注意:只有管理员能看到用户设备组及其子组。其他用户根本看不到用户设备组。 

查询组包含以下查询子组。 

• 我的查询:列出当前登录用户创建的查询,或管理员添加到该用户的用户查询组中的查 

询。用户可以创建、修改和删除查询组及其我的查询组下面的查询。还可以将查询从公共 

查询组复制到“我的查询”组中。 

一个用户能运行的任何查询都仅限于该用户的范围所定义的设备范围。例如,如果用户的 

范围是所有机器,则查询将搜索核心数据库中的所有设备,但如果用户的范围是 20 台计 

算机,则查询只会搜索这 20 台计算机。 

有关创建查询的详细信息,请参阅创建数据库查询。 

• 公共查询:列出由管理员或具有公共查询管理 (PQM) 权限的用户添加的查询。只有具有 

LANDesk 管理员权限或 PQM 权限的用户能够添加、修改或删除查询组或公共查询组中的 

查询。不过,所有用户都可以查看该组中的查询,并且可以将查询复制到各自的我的查询 

组内。 

• 所有查询:基于用户的范围,在平面列表(无子组)中列出当前登录用户可以看到的所有 

查询。所有查询由该用户的我的查询组和公共查询组构成。 

• 用户查询:列出核心数据库中的所有查询,这些查询由用户组织在子组中。用户子组是根 

据用户的登录 ID 命名的(即,“计算机名\用户帐户”或“域\用户帐户”)。每个用户组都包含 

该用户的我的查询组中出现的查询。 

注意,只有管理员能看到用户查询组及其子组。其他用户根本看不到“用户查询”组。 

管理员可以在某个用户的分配范围内,以用户的身份使用该组来运行这位用户的查询。这 

样,管理员就可以预览到用户运行查询时才能看到的结果,而且内容一模一样。

配置 

配置组包含以下配置组。 


• PXE 暂存队列列出 PXE 暂存队列和正在 PXE 暂存队列中等待的设备。有关详细信息, 

请参阅使用 PXE 暂存队列。 

• 多播域代表:列出配置的多播域代表,多播域代表可用来均衡软件分发负载。有关详细信 

息,请参阅使用定向多播。 

• PXE 代表:列出配置为 PXE 代表的设备,这些代表可将操作系统映像部署到其子网内的 

设备中。有关详细信息,请参阅使用 PXE 代表。 

• 暂挂不受管的客户端部署:列出已用“不受管的设备搜寻”工具搜寻到且正等待代理配置任 

务的设备。有关详细信息,请参阅使用不受管的设备搜寻。 

• 用户添加的计算机:列出通过在插入新的计算机对话框中(右键单击所有设备组)来手动 

添加的计算机。 

141

用户指南 

创建组 

组可帮助您在控制台的网络视图中组织设备和查询。您可以创建组,根据职能、地理位置、部门、 

设备属性或任何其他符合要求的类别来组织网络设备。例如,可以为市场营销部门中的所有设备创 

建一个市场营销组,或创建一个组,使之包含运行特定操作系统的所有设备。 

创建组的规则 

创建组 

142 

• “我的设备”和“我的查询”:管理员和所有其他用户可在我的设备和我的查询下创建组。 

• 公共设备:只有管理员能够在公共设备下创建组。 

• 公共查询:只有管理员或具有公共查询管理(PQM)权限的用户能够在公共查询下创建组。 

• “所有设备”和“所有查询”:在所有设备或所有查询中没有子组。用户(包括管理员在内) 

不能在所有设备或所有查询下面创建组。 

• 用户设备:只有管理员能够在用户设备中的特定用户子组下创建组。 

• 用户查询:只有管理员和具有公共查询管理 (PQM) 权限的用户能够在用户查询中的特定 

用户子组下面创建组。 

1. 在控制台的网络视图中,右击父组(例如,我的设备),然后单击新建组。也可以选择父 

组,然后单击编辑|我的设备|新建组。 

2. 键入新组的名称,然后按 Enter 键。 

右击组可以执行各种任务,具体任务视组的类型而定。例如,如果创建的是设备子组,则使用其快 

捷菜单可执行下列任务: 

• 添加设备 

• 创建新子组 

• 运行清单报告 

• 作为报告查看 

• 剪切 

• 复制 

• 粘贴 

• 删除 

• 重命名 

有关右击功能的详细信息,请参阅下面的快捷菜单。

设备图标 

设备图标出现在控制台的网络视图中,显示某设备的当前代理和健全性状态。 


您既可以在网络视图中逐一选择设备来更新其代理和健全性状态,也可以同时更新网络视图中所有 

显示设备的代理和健全性状态。还可以先选择某个设备,然后单击“刷新”工具栏按钮来更新该设备 

的状态。有关如何处理代理搜寻的配置信息,请参阅本章后面的配置代理搜寻。 

下表列出了可能的设备图标和状态图标以及各自的含义: 

图 

标 

类型和说明 

服务器:表示服务器设备。 

Windows 设备:表示 Windows 设备。 

Macintosh 设备:表示 Macintosh 设备。 

手持设备:表示手持设备设备。 

以下状态图标显示在上述设备图标旁边,具体情况取决于设备的当前配置和状 

态。 

不可用:指示控制台目前无法利用该设备。 

未知:指示当前不知道该设备的状态。此图标在更新设备状态的瞬间出 

现。 

标准 LANDesk 代理:指示设备上已加载了标准 LANDesk 代理。 

远程控制:指示设备上已加载了远程控制代理。 

警告:指示设备的健全性警告。只有在设备上加载了 LANDesk System 

Manager 代理后,才会显示健全性状态图标。 

严重:指示设备的严重健全性状态。只有在设备上加载了 LANDesk 

System Manager 代理后,才会显示健全性状态图标。 

图标显示质量 

这些图标的颜色非常鲜明,至少要求 16 位颜色深度设置。如果控制台中的图标模糊,请在 

“Windows 显示属性”中更改颜色设置。 

如果您的防火墙阻止 UDP 数据包 

如果您通过阻止 UDP 数据包的防火墙管理设备,您将无法使用下列设备快捷菜单功能:唤醒、关 

闭、重新启动和清单扫描。 

143

用户指南 

查看“所有设备”组中的受管设备 

当清单扫描器将运行 LANDesk 代理的设备扫描到核心数据库后,所有设备组便会自动显示这些设 

备。通常,在配置代理的最初阶级首次进行这种扫描。一个设备一旦被扫描到核心数据库中,就是 

受管的设备。也就是说,核心服务器此时便可以管理该设备。有关设置设备的详细信息,请参阅设 

备代理配置。 

因为所有设备组是通过清单扫描自动填充的,所以不必手动搜寻设备。不过,如果要搜寻尚不在核 

心数据库中的设备,可以使用“不受管的设备搜寻”工具在网络中进行搜寻。有关详细信息,请参阅 

使用不受管的设备搜寻。 

与某个特殊的核心服务器相连后,管理员就可以看到该核心服务器所管理的每个设备。另一方面, 

常规用户也被限制在只能看到其权限范围内的设备(范围基于数据库查询或目录位置)。有关详细 

信息,请参阅使用基于角色的管理。 

144

快捷菜单 


快捷(上下文)菜单的涵盖范围已明显扩大,包括了控制台中的所有项,如组、设备、查询、计划 

任务、脚本、报告,等等。借助快捷菜单,很快就能访问到项的常见任务和关键信息。 

要查看项的快捷菜单,请选择并右击相应的项。 

快捷菜单中的可用选项 

显示在设备的快捷菜单中的选项以及被禁用或灰显的选项可能根据设备平台以及设备上安装了哪些 

LANDesk 代理而有所不同。 

例如,当您在网络视图中右击某个受管的设备时,其快捷菜单通常会显示以下选项: 

• 清单:显示相应设备的已扫描到核心数据库中的所有清单数据。 

• 清单历史记录:显示已选定要跟踪的属性的清单数据的变更情况。可以打印清单历史记录 

或将其导出到 .CSV 文件。 

• 远程控制:启动与设备的远程控制会话。 

• 对话:启动与设备的远程对话会话。 

• 文件传输:打开“文件传输”对话框,在此与设备相互传输文件。 

• 远程执行:用于浏览并在设备上执行批处理文件或应用程序。 

• 唤醒:远程唤醒那些其 BIOS 支持 Wake On LAN* 技术的设备。 

• 关闭:远程关闭设备。 

• 重新启动:远程重新启动设备。 

• 清单扫描:对设备运行清单扫描。 

• 计划任务和策略:显示设备当前的计划任务和应用程序管理策略。 

• 添加到新组:将设备的副本添加到我的设备组下用户定义的新组中。系统将提示您输入新 

组的名称。 

• 添加到现有组: 用于选择要添加设备副本的目标组。 

• 组成员身份:显示设备当前以成员身份所在的所有组。 

• 运行清单报告:打开“报告”对话框,从此处可以在报告列表中选择要在设备上运行的报 

告。双击报告名称,即可运行相应的报告。 

• 安全性和修补程序信息:打开“安全性和修补程序信息”对话框,该对话框显示设备的详细 

漏洞扫描和修补数据:包括检测到的漏洞和其他安全风险、安装的修补程序以及修复历史 

记录。 

• 立即执行安全性和修补程序扫描:打开一个对话框,您可以在其中选择扫描和修复设置, 

然后单击确定立即执行对设备的安全性扫描。 

• 管理本地用户和组:打开“本地用户和组”对话框,您可以在其中远程管理 Windows 设备 

的本地用户和组。 

• 剪切:从用户定义的组中删除项。不能剪切“所有”组中的项。 

• Copy:创建项的副本,以便将其添加到其他组。 

• 粘贴:将剪切或复制的项放入用户定义的组中。 

• 删除:从用户定义的组中删除项。 

• 删除:从“所有”组和此时为其成员的任何其他组中删除项。 

• 属性:显示设备的清单一览表、设备信息、代理状态和远程控制设置。 

此向导不能一一介绍每个可能的项(设备、查询、脚本等等)的快捷菜单。建议您右键单击任何 

项,即可查看可用的选项。 

145

用户指南 

用列集配置网络视图 

通过列集,可以自定义网络视图的右窗格中显示的设备列表和查询结果列表的清单数据。列集中的 

每一列均代表扫描的清单中的唯一属性(或组成部分)。例如,网络视图中显示的默认列集由“设备 

名称”、“类型”和“操作系统名称”属性组成。 

使用“列集配置”工具(工具|管理|列集配置)创建任意多个列集。然后,要应用列集,将所需的列 

集拖到网络视图树中的设备组和查询对象。 

“列集”窗口 

注意:“列集”窗口将替换在以前版本中找到的“管理列配置”对话框。 

“列集”窗口将列集分为以下三类: 

146 

• 我的列集:当前登录用户创建的列集。 

• 公共列集:由管理员创建的列集,或预定义的列集。 

• 所有列集(仅管理员可见):由所有 LANDesk 用户创建的列集。 

用户可以将某个列集从“公共列集”组复制到自己的“我的列集”组中,然后再更改该列集的属性。 

可以在我的列集对象下创建子组,以便将列集进一步分类。 

创建列集 

在列配置对话框中,可以创建列集。每一列都代表扫描到核心数据库中的一个清单属性或组件。列 

按照它们出现在“列”列表中的顺序,从左到右依次显示在网络视图中。 

创建列集 

1. 单击工具|管理|列集配置。 

2. 选择我的列集对象(或公共列集对象),然后单击新建工具栏按钮。 

3. 在列配置对话框中,输入新列集的名称。 

4. 从列表中选择清单属性,然后单击添加到列,将清单属性添加到“列”列表中。请记住,需 

要选择那些有助于标识在设备列表中或从查询中返回的设备的属性。 

5. (可选)通过直接编辑组件的标题、别名和排序顺序字段,或者使用可用按钮删除所选的 

组件或在列表中上下移动所选的组件,可以在网络视图中自定义列的显示方式和位置。 

6. (可选)可以为软件组件指定更精确的限定数据。选择软件组件,单击限定按钮,然后从 

可用值列表中选择一个主键值。有关详细信息,请参阅下面的软件组件使用限定选项。 

7. 单击确定保存列集。 

恢复原始默认列 

要在网络视图上恢复默认列,只要创建一个包括“设备名称”、“类型”和“操作系统名称”属性的自定义 

列集,然后将其应用到设备组和查询对象。也可以使用“我的列集”组中名为 Original 的预定义列 

集。

将列集应用于设备组和查询中 


创建列集后,可将其拖放到某个设备组或子组中,或者拖放到任何一个查询组或子组的某个查询 

中。设备列表或查询结果列表在网络视图右侧窗格中显示所选列集中指定的清单数据。 

注意:对于设备列表,一旦列集应用到组,列集将保持不变,即使选择其他设备组也是如此。但 

是,对于查询结果列表,在更改不同的查询时必须重新应用列集。 

还可以右键单击列集来访问其快捷菜单,然后执行常见任务,并查看和编辑该列集的属性。快捷菜 

单中包括下列选项: 

• 添加到新组: 

• 添加到现有组: 

• 组成员身份: 

• 设置为默认值 

• 剪切 

• 复制 

• 删除 

• 重命名 

• 属性: 

对软件组件使用限定选项 

创建包含软件组件的列集时,可以通过选择特定主键值,来为软件组件指定限定符。软件限定符能 

更精确地标识出需要通过查询来搜索并显示在该软件组件的列中的数据。例如,您可以选择应用程 

序的可执行文件名称作为限定符来配置列集,从而显示该特定应用程序的版本信息。 

要指定软件组件的限定符,请在“列”列表中选择该软件组件,单击限定按钮,然后从可用值列表中 

选择一个主键值。 

与“别名”字段一样,选择一个主键值并将其添加到软件组件的“限定符”字段后,就可以在该字段中 

单击来进行手动编辑。 

关于“列配置”对话框 

使用此对话框可创建新的列配置。 

• 名称:标识列配置。 

• 清单属性:列出扫描到核心数据库中的每个清单对象和属性。单击对象左侧的框,即可展 

开或折叠相应的对象。 

• 添加到列:将选定的清单属性移到列列表中。如果选择整个清单组件,便会将该组件中包 

含的所有清单属性添加到列列表中。 

• 列:在网络视图中按显示的顺序从左到右列出清单属性。 

• 限定:可以为选定的软件组件指定精确的数据限定符。有关详细信息,请参阅软件组件使 

用限定选项。 

• 删除:从列表中删除选定的属性。 

• 上移:将选定的属性向上移动一个位置。 

• 下移:将选定的属性向下移动一个位置。 

• 确定:保存当前的列配置,并关闭该对话框。 

• 取消:关闭该对话框,且不保存任何更改。 

147

用户指南 

工具栏选项 

控制台中有一个工具栏,只需单击其中的项即可访问常见的网络视图操作和一些基本的控制台配置 

选项。如果您在网络视图中选择了不支持工具栏按钮操作的某个项,工具栏按钮便会变灰。 

通过单击视图|显示工具栏文本可启用工具栏按钮的文字说明。 

控制台工具栏内含有下列按钮: 

148 

• 剪切:从网络视图中删除项,并将其暂时存储在剪贴板上。如果无意中剪切了某项,可使 

用“粘贴”命令进行还原。必须在执行任何其他命令之前还原删除的项。 

• Copy:从网络视图中将某个位置的项复制到其他位置。 

• 粘贴:粘贴先前剪切或复制的项。 

• 删除:永久地删除该项。这种情况下,将无法还原从网络视图中删除的项。 

• 刷新:更新网络视图中选定的组或项。您还可以折叠和展开组来更新其项。也可以单击视 

图|刷新来更新网络视图中当前选定的项。 

• 刷新范围:基于当前登录的用户的范围(如“用户”工具中的定义所示),更新网络视图中 

所选的组或项。 

• 布局:列出已保存的窗口布局。从下拉列表中选择布局,以便按此布局配置恢复控制台。 

如果希望保存当前布局,请单击保存当前布局按钮。 

• 核心服务器:列出之前已连接的核心服务器(这使这些服务器会出现在此列表中)。既可 

以从列表中选择核心服务器,也可以键入核心服务器的名称,然后按 Enter 键。在网络 

中搜索核心服务器,如果找到该服务器,将提示您使用有效的用户名和密码进行登录。

使用控制台工具 


您可以通过“工具”菜单和“工具栏”这两种方式来使用工具。要启用工具栏,请单击视图|工具栏。 

LANDesk 管理员可以看到“工具”菜单和工具栏中的所有工具。其他 LANDesk 用户只能看到他们有 

权限使用的那些工具(功能)。当用户登录到控制台后,尚未授权该用户使用的工具根本不会出现 

在“工具”菜单和工具栏中。例如,如果用户没有“报告”权限,那“报告”工具就不会出现在工具菜单和 

工具栏中。 

单击工具名后,便可在控制台中打开该工具的窗口。您不仅可以调整工具窗口的大小,还可以停 

靠、浮动、隐藏和关闭工具窗口。另外,还可以同时打开、停靠或浮动多个工具窗口。有关操纵工 

具窗口的详细信息,请参阅下节中的内容。 

149

用户指南 

可停靠的工具窗口 

可停靠窗口是一种控制台功能,借助这项功能,您可以根据需要打开任意多个工具,并将这些工具 

移入或移出主控制台窗口。 

注意:您可以保存设计好的控制台布局,将之专用于某些管理任务,而且只要需要,就可以恢复保 

存的布局。有关详细信息,请参阅本章后面的保存窗口布局。 

打开多个工具窗口时,这些窗口会以选项卡的形式显示在一个窗口中。活动的工具窗口显示在最上 

面,每个打开工具的标签则出现在窗口的一侧或底部。单击标签可显示该工具窗口。您可以停靠选 

项卡式工具窗口,也可以通过拖动使其浮动在控制台窗口之外。 

所谓停靠工具窗口是指将它附在控制台的某个边缘。如果此时工具窗口正附在控制台的某个边缘 

处,便说明该窗口正处于停靠状态。您还可以改变工具窗口的停靠状态,使其在控制台的外围自由 

浮动。您可以将窗口水平或垂直停靠在控制台中。 

停靠工具窗口 

150 

1. 单击该窗口的标题栏,并将窗口拖到控制台的边缘 

2. 当表示该窗口将停靠的停靠矩形(灰显的窗口边框)出现时,松开鼠标按钮。该窗口附着 

在控制台的边上。 

请注意,只有工具窗口(那些可通过“工具”菜单或工具栏访问的窗口)可以作为停靠窗口、浮动窗 

口或选项卡式窗口存在。您可以调整网络视图窗口的大小,但不能将其以选项卡形式嵌入其他窗 

口,也不能将其浮动在控制台之外和将其关闭。 

如果将主控制台窗口最小化,然后再还原,那么所有停靠窗口和浮动窗口(包括选项卡式窗口)也 

会随之最小化和还原。 

自动隐藏 

工具窗口还支持“自动隐藏”功能。“自动隐藏”是窗口右上角的图钉按钮,可用来将窗口固定在原位 

或隐藏窗口。 

当图钉按钮被按下去的时候(即图钉指向下方),窗口将被固定在原位,而且“自动隐藏”也暂时处 

于禁用状态。当图钉按钮弹出时(即图钉指向左侧),如果将光标从窗口上移开后,该窗口便会转 

入“自动隐藏”模式。“自动隐藏”可以使窗口最小化,并将其停靠在控制台的某个边缘处,而且还会 

在其原位上显示一个标签。 

工具栏也支持“自动隐藏”。

保存窗口布局 


布局是保存的控制台配置,即:网络视图、工具栏和所有其他打开的工具窗口的位置和大小。您可 

以使用窗口布局来保存和还原对某些任务或用户特别有用的自定义控制台配置。 

要更改控制台的布局,请从主工具栏上的布局下拉列表中选择一种保存的布局。 

保存当前布局 

1. 根据需要,配置控制台界面。 

2. 单击工具栏上布局下拉列表旁边的磁盘按钮。 

3. 为布局输入一个唯一的名称。 


关于“管理窗口布局”对话框 

使用该对话框,可管理保存的窗口布局,还可以将控制台窗口恢复为其以前的布局。 

• 保存的布局:列出所有已保存的布局。 

• 重置:按以前的布局恢复控制台窗口。 

• 删除:删除选定的布局。 

• 重命名:用于更改选定布局的名称。 

151

用户指南 

“查找”栏 

“查找”用于在列表中搜索包含特定词或短语的项。包含项的平面列表的网络视图和工具窗口中都有 

查找栏。例如,当查看以下内容时就会有查找栏: 

152 

• “所有设备”组 

• “所有查询”组 

• “暂挂不受管的设备部署”组 

• “不受管的设备搜寻工具”窗口 

• 所有资产报告 

使用“查找”栏搜索项 

1. 选择所有设备组。“查找”栏出现在列表顶端。 

2. 在查找文本框中,键入要搜索的任何文本。 

3. 从在列中下拉列表中,选择要搜索的列 

4. 单击搜索工具栏按钮。 

结果列表只显示那些与搜索条件匹配的项。

状态栏 

控制台底部的状态栏显示下列信息(从左到右): 

• 列表中选定项的数目 

• 当前作业的名称和状态 

• 当前登录的用户的名称 

• 核心服务器尝试联系授权服务器前的天数 

状态栏始终可见。 


153

用户指南 

查看设备属性 

在控制台的网络视图中,右击设备列表中的设备,然后选择属性,即可迅速查看有关该设备的信 

息。 

在设备的清单数据中,可以找到有关该设备的详细信息。您可以在网络视图列(可配置)中查看清 

单数据,还可以右击设备,并选择清单,从而打开整个清单窗口。 

关于“设备属性”对话框 

使用此对话框可查看有关选定设备的有用信息。该对话框中含有以下三个选项卡:清单、设备和代 

理。单击每个选项卡可查看相关信息。 

“清单”选项卡 

清单选项卡中含有设备的清单数据的一览表。有关详细信息,请参阅查看清单一览表。 

“设备”选项卡 

设备选项卡中含有关于设备的基本信息,其中包括设备在网络中的位置和标识。当手动插入一个设 

备时,也会显示此选项卡(在所有设备组的快捷菜单中,单击插入新的计算机)。 

154 

• 设备: 

• 名称:出现在核心数据库和网络视图中的设备名称。 

当手动插入设备时,可将该设备名作为用户易使用的名称。如果在此处未输入任何 

内容,则 Windows 计算机名称将为默认设备名称。 

• 类型:设备类型,例如:Windows 2000 服务器或 Windows XP 工作站。 

• 网络: 

• IP 名称:设备的 Windows 计算机名称。 

• IP 地址:为设备分配的 IP 地址。 

• 物理地址:设备的物理地址。 

“代理”选项卡 

代理选项卡中含有关于代理的当前状态以及设备的远程控制设置的信息。 

• Common Base Agent 的状态:指示设备上是否加载了标准 LANDesk 代理 

(Common Base Agent)。 

• LANDesk System Manager 状态:指明设备上是否加载了 LANDesk System 

Manager 代理。只有核心服务器上安装了 LANDesk System Manager,而且已将 

System Manager 代理部署到该设备后,才会在该设备上加载此代理。有关详细信息, 

请参阅配置设备。 

• 远程控制代理状态:指示设备上是否加载了远程控制代理。如果设备上没有加载此代理, 

则不能执行远程控制操作(例如,文件传输和对话)。 

• 安全类型:指明设备采用的远程控制安全模式。具体选项有:“本地模板”、“Windows NT 

安全性/本地模板”和“基于证书/本地模板”。 

• 允许:显示设备上允许的远程控制操作。这些操作是通过设备代理配置启用的。

• 设置:指示在您想要与设备交互时远程控制的活动方式。 

配置代理搜寻 


代理搜寻过程是用来查找已安装了标准 LANDesk 代理或远程控制代理的受管设备的过程。这两个 

代理具有以下功能: 

• LANDesk 代理:标准 LANDesk 代理启用 PDS(Ping 搜寻服务)。如果设备上安装了 

标准 LANDesk 代理,就可以安排软件分发和设备安装配置的时间。 

• 远程控制:用于远程访问和控制设备。 

代理搜寻使用 TCP/IP 来验证设备上运行的代理。 

为了使用 TCP/IP 执行标准 LANDesk 代理搜寻,可以使用 IP 地址作为搜索条件。LANDesk 在特 

定的 IP 地址范围内查找设备上的标准 LANDesk 代理和远程控制代理。这个地址范围是根据您所 

提供的 IP 网络地址来确定。 

如果在搜索 TCP/IP 时没有指定子网的网络地址,只会搜索启动此次搜寻的控制台所在的网段。例 

如,如果安装了四个控制台,每个控制台又分别位于不同的网段上,就必须启动四次扫描,对这四 

个控制台中逐一进行扫描。 

在那些没有控制台的网段上,必须使用子网地址来访问该网段上的信息。 

防火墙的相关说明:如果网络中设有一个或多个防火墙,则不能使用代理搜寻来搜索防火墙以外的 

区域,因为防火墙通常会将数据包通信流限制在指定的端口。 

配置代理搜寻选项 

1. 单击配置|代理搜寻选项。 

2. 选择是希望代理搜寻只更新网络视图中选定项的代理状态,还是更新网络视图中显示的所 

有项的代理状态。 

3. 指定代理状态的刷新频率。 

4. 配置搜寻远程控制代理的方式,并确定地址解析方法的优先顺序。 

5. 指定代理搜寻在超时之前将用多长时间来尝试搜寻设备上的远程控制代理。 

6. 单击“确定”。 

关于“代理搜寻选项”对话框 

使用此对话框可配置以下代理搜寻选项。 

• 收集代理状态 

• 仅针对选定项:指定在网络视图中选择了某台设备后,才更新该设备的代理状 

态。此选项为默认选项,产生的网络通信量最少。 

• 仅针对网络视图中的可见项:指定根据刷新频率来更新网络视图中的所有可见设 

备的代理状态。当新设备变成可见设备时,将立即更新其代理状态(及健全性)。 

• 代理和健全性状态的刷新间隔为< >分钟:指明是否自动更新代理状态。可以指定刷新频 

率。 

• 搜寻方法:表示如何搜寻代理。 

• IP 地址:使用核心数据库检索计算机的存储的 IP 地址。 

155

用户指南 

156 

• 域名服务 (DNS):验证远程控制代理时,使用 DNS 服务器解析计算机的 ID 

名。如果没有 DNS 服务器,请清除此选项。 

• Windows Internet Name Service (WINS):使用 NetBIOS 名称解析。 

• 来自数据库的 IP 地址:使用核心数据库检索设备存储的 IP 地址,并试用每个地 

址。如果计算机上有多个网卡,那么计算机在数据库中会有若干个 IP 地址。 

• 上移和下移:在“搜寻代理使用的方法”列表中向上移动或向下移动选定的方法。按 

照该列表的顺序来试用各种方法。 

• 超时:设置远程控制代理搜寻在试用每种选中的地址解析方法失败之前的超时值。

监视设备的联网情况 

通过设备监控功能,可以定期监视任何受管设备的连接情况。 


Ping 设置专用于所选的设备。当设备停止响应 ping 时(进入脱机状态后),会生成 AMS 警报来 

通知您。您还可以对警报进行配置,以便在设备重新联机时得到通知。 

关于“配置设备监控”对话框 

使用此对话框可配置以下设备监控选项。 

• 监控这些设备:列出当前在处于监控下的设备。 

• 添加:打开添加监控的设备对话框,您可以在这里搜索和选择所要监控的受管设备。 

• 删除:从列表中删除选定的设备。 

• Ping 的频率:控制发生 ping 操作的时间和方式。这些设置可分别应用于每台设备。 

• Ping 的间隔为:按指定的时间间隔(以分钟计)来安排定期的 ping。 

• 每天以下时间调度:在每天的特定时间调度 ping。 

• 重试次数:指定 ping 的重试次数。 

• 超时:指定在重试 ping 超时之前的秒数。 

• 警报设置:打开“配置警报”对话框,您可以在这里设置 AMS 警报,以便在设备脱机或联 

机时得到通知。“警报设置”带有自己的联机帮助,只需单击“帮助”按钮即可进行访问。 

• 确定:保存所作的更改,并关闭该对话框。 

• 取消:关闭该对话框,且不保存更改。 

配置设备监控警报 

如果希望在受管设备进入联机或脱机状态时,得到设备监控发出的通知,必须首先配置警报设置。 

配置设备监控警报设置 

1. 在配置设备监控对话框中,单击警报设置。 

2. 在配置警报对话框中,展开设备监视器树。 

3. 选择要配置的警报,然后单击配置。 

4. 选择警报操作,然后单击下一步。 

5. 选择希望执行警报操作的设备。不要选择正在监控的设备,因为一旦该设备进入脱机状 

态,就不能处理报警了。 

6. 完成警报配置向导。 

注意:配置了警报设置之后,便可以在要监控的所有设备上应用这些设置了。 

157

用户指南 

使用支持 Intel® AMT 的设备 

Management Suite 支持使用 Intel ® 活动管理技术 (Intel ® AMT) 的设备,该技术是一种支持远程设 

备管理的硬件和固件功能。AMT 使用带外 (OOB) 通信访问设备,无需考虑操作系统的状态或设备 

的供电情况。 

设备配置 Intel AMT 后,即便未安装 Management Suite 代理也能使用有限数量的管理功能。只要 

设备接入网络并且配有备用电源,它们便可被找到并添加到清单,从而与网络上的其他设备一起得 

到管理。 

如果设备装有 AMT 但未安装 Management Suite 代理,则可以使用不受管的设备找到该设备,并 

可移动至清单数据库,然后在我的设备列表中查看。但是,许多 Management Suite 管理选项均不 

可用。这些选项只有在安装 Management Suite 代理后才可用。配置了 AMT 的设备提供的管理功 

能包括: 

158 

• 清单一览表: 即便在设备关闭的情况下仍能实时查询和查看设备的正常清单数据子集。 

• 事件日志: 包含特定于 AMT 事件的日志,其中显示事件严重性和说明,并可实时查看。 

• 远程启动管理器: 不考虑设备操作系统或电源,便可从远程管理控制台启动冷开机和若干 

启动选项。可用的选项基于设备对这些选项的支持。某些设备可能不支持所有启动选项。 

• 强制运行 vulscan 和禁用操作系统网络: 如果设备似乎运行了恶意软件,则会在下次重 

新启动时运行漏洞扫描;如有必要,将禁用设备操作系统级别的访问以防止有害数据包在 

网络上传播。 

Intel AMT 部署要求 

只有在访问了设备上的 Intel AMT 配置屏幕并将制造商的默认密码更改为安全密码后,才能将设备 

作为 Intel AMT 设备搜寻。(有关访问 Intel AMT 配置屏幕的信息,请参阅制造商文档。)如果您 

尚未执行此操作,则虽可搜寻到设备,但不会将之标识为 Intel AMT 设备,并且也无法查看到与您 

这样做时能查看到的相同清单一览表信息。 

要将设备添加至核心数据库以便对其进行管理,设备的用户名/密码必须与“配置服务”实用程序中的 

用户名/密码匹配,该实用程序允许 Management Suite 向设备验证身份。当您将密码配置保存至 

“配置服务”实用程序时,它将信息存储在核心数据库中,因此 Management Suite 就能够向 Intel 

AMT 设备验证身份。 

将 Intel AMT 设备添加到核心数据库进行管理时,Management Suite 会以配置服务实用程序中选 

定的模式自动对该设备进行部署,而不管它是否已经部署。“小型企业”模式提供基本的管理,没有 

网络基础结构服务;而“企业”模式旨在用于大型企业,提供了基于诸如 DHCP 和 DNS 的网络服务 

以及 TLS 证书授权服务的安全性。 

请注意,当以企业模式部署 Intel AMT 设备时,核心服务器会在设备上安装证书,用以进行安全通 

信。请注意,如果该设备将由另一个核心服务器管理,必须对设备取消部署,然后由新的核心服务 

器重新部署。否则,该设备的 Intel AMT 访问将会由于新的核心服务器不具有匹配的证书而无法响 

应。同样,如果任何其它计算机尝试访问该设备上的 Intel AMT 功能,也将会由于它不具有匹配的 

证书而导致失败。 

配置 Intel AMT 密码 

1. 单击开始|所有程序|LANDesk|LANDesk 配置服务。 

2. 单击 Intel AMT 密码选项卡。


3. 输入当前用户名和密码。这些用户名和密码必须与 Intel AMT 配置屏幕(可在计算机 BIOS 

设置中访问)中配置的用户名和密码匹配,以便对 Intel AMT 设备进行管理。 

4. 要更改用户名和密码,请完成新 Intel AMT 密码部分。 

5. 当您要将设备添加到核心数据库中对其进行管理时,选择您要用于部署设备的模式(小企 

业或企业)。 

6. 单击确定。此更改将在运行客户端配置时生效。 

管理 Intel AMT 设备 

找到配置了 Intel AMT 的设备并为其配置用户名/密码后,即便该设备未安装 Management Suite 代 

理,也能以有限的方式对它进行管理。 

以下是同时装有 Intel AMT 和 Management Suite 代理的设备与仅安装 Intel AMT 的设备所提供管 

理选项的对照表。 

仅有 Intel AMT Intel AMT 和代理仅有代理 

清单一览表 X X 

事件日志 X X X 

远程启动管理器 X X 

禁用操作系统网络 X 

启用操作系统网络 X 

重新启动时强制运行 

vulscan 

清单历史记录 X X 

远程控制 X X 

对话 X X 

文件传输 X X 

远程执行 X X 

唤醒 X X 

关闭 X X 

重新启动 X X 

清单扫描 X X 

计划任务和策略有限的 X X 

组选项 X X 

运行清单报告 X X 

查看 Intel AMT 清单一览表 

1. 右键单击所有设备列表中的设备,然后单击 Intel AMT 选项|Intel AMT 一览表。 

此对话框显示设备的名称、IP 地址、连接的协议和端口号,以及制造商信息、产品信息、GUID 和 

序列号、AMT 版本和 BIOS、处理器和内存一览表。底部则显示用于向 AMT 设备验明身份的用户 

名。 

X 

159

用户指南 

访问以企业模式部署的设备 

当以企业模式部署 Intel AMT 设备时,核心服务器会在该设备上安装证书,用以进行安全通信。请 

注意,如果该设备将由另一个核心服务器管理,必须对设备取消部署,然后由新的核心服务器重新 

部署。否则,该设备的 Intel AMT 访问将会由于新的核心服务器不具有匹配的证书而无法响应。同 

样,如果任何其它计算机尝试访问该设备上的 Intel AMT 功能,也将会由于它不具有匹配的证书而 

导致失败。 

Intel AMT 事件日志 

Management Suite 提供用于查看 Intel AMT 设备所生成的事件日志的窗口。AMT 设置决定在此日 

志中捕获哪些事件。从中可查看事件的日期/时间、事件来源(实体列)、说明以及 AMT 设置所决 

定的严重性(严重或不严重)。还能以逗号分隔值 (CSV) 的格式导出日志数据。 

查看 Intel AMT 事件日志 

160 

1. 右键单击所有设备列表中的设备,然后单击 Intel AMT 选项|Intel AMT 一览表。 

2. 要将日志导出到 CSV 格式的文件,请单击工具栏上的导出按钮并指定保存该文件的位 

置。 

3. 要清除日志中的所有数据,请单击工具栏上的清除按钮。 

4. 要更新日志条目,请单击工具栏上的刷新按钮。

Intel AMT 远程启动管理器 


远程启动管理器包含开关 Intel AMT 设备电源的选项。只要设备接入网络并且配有备用电源,那么 

即便设备操作系统没有响应,也能使用这些选项。Intel AMT 设备可能支持或可能不支持所有启动 

选项。 

您可简单地打开或关闭设备电源,或者重新启动并指定设备重新启动的方式。选项说明见下表。 

选项说明 

关闭电源关闭设备电源 

打开电源打开设备电源 

重新启动先关闭设备电源再打开其电源 

正常启动使用设备默认设置的任何启动顺序启动设备 

从本地硬盘启动无论设备默认何种启动模式,均强制从设备硬盘启动 

从 CD/DVD 启动无论设备默认何种启动模式,均强制从 CD 或 DVD 驱动器 

启动 

PXE 启动重新启动时,支持 PXE 的设备会在网络上搜索 PXE 服务 

器,如果找到该服务器,则会在设备上启动 PXE 启动会 

话。 

IDE-R 启动使用选定的 IDE 重定向选项重新启动设备(请参阅下文) 

进入 BIOS 设置设备启动后,用户可进入 BIOS 设置 

启用控制台重定向启动设备时,以 serial over LAN 模式启动以显示控制台重 

定向窗口。 

IDE 重定向:从软盘启设备启动时,会从软盘驱动器或指定映像启动(软盘映像文 

动 

件必须为 .img 格式;请参阅下文说明) 

IDE 重定向:从 

启动设备时,从 CD 驱动器或指定映像启动(CD 映像文件 

CD/DVD 启动 

必须为 .iso 格式;请参阅下文说明) 

使用远程启动管理器选项 

1. 右键单击所有设备列表中的设备,然后单击 Intel AMT 选项|Intel AMT 远程启动管理器。 

2. 选择电源命令。如果选择重新启动,请选择一个启动选项。 

3. 单击发送以启动该命令。 

有关使用 IDE 重定向选项的说明 

要使用 IDE 重定向选项,则必须同时指定启动软盘或软盘映象文件和启动 CD/DVD 或 CD/DVD 映 

像文件。软盘映像文件必须为.img 格式;CD 映像文件必须为 .iso 格式。某些 BIOS 可能要求 CD 

映像位于硬盘上。 

Intel AMT 通常会记住最后一次的 IDE-R 设置,但是 Management Suite 会在 45 秒后清除这些设 

置。因此,后续启动时系统将不会重新启动 IDE-R 功能。Intel AMT 设备上的 IDE-R 会话将持续 6 

个小时或到 Management Suite 控制台关闭为止。6 小时后仍在进行中的任何 IDE-R 操作将被终 

止。 

161

用户指南 

在 Intel AMT 设备上强制执行漏洞扫描并禁用网络访问 

配置 Intel AMT 的设备在安装 Management Suite 代理后,该代理便能够帮助您解决恶意软件或其 

它阻止您访问设备的问题。 

amtmon.exe 服务会随 Management Suite 代理一起安装。如果此服务在设备上运行,则在下次重 

新启动时可以强制执行漏洞扫描以尝试识别设备上的任何恶意软件。如果与设备的通信失败,那 

么即便在操作系统不能使用的情况下(如恶意软件通过消耗全部 CPU 周期而使操作系统无法使 

用)仍能禁用设备的网络连接。通过禁用网络连接,可以防止设备通过网络发送多余的数据包。 

Management Suite 代理安装到 Intel AMT 设备后,我的设备列表的快捷菜单中会提供以下选项: 

162 

• 重新启动时强制运行 vulscan: 下次重新启动设备时运行 Management Suite 漏洞扫 

描器 

• 禁用操作系统网络: 禁用操作系统网络堆栈以停止网络访问 

• 启用操作系统网络: 如果已禁用操作系统网络访问,则启用它 

当设备未作出响应或者设备上可能运行着恶意软件时,建议在下次重新启动时先运行漏洞扫描,以 

尝试识别该问题。如果该问题持续发生且机器正感染/攻击网络,或者无法访问设备,则可选择禁 

用操作系统 NIC。 

重新启动后强制执行漏洞扫描 

1. 右键单击所有设备列表中的设备,然后选择重新启动时强制运行 vulscan。设备随即显示 

一条消息,说明下次重新启动时将运行扫描。 

2. 要关闭或重新启动设备,请使用 Intel AMT 远程启动控制器功能。 

在没有反应的设备上启用或禁用网络连接 

1. 要禁用设备的网卡以停止与网络上其他设备的通信,请在所有设备列表中右键单击该设 

备,并选择禁用操作系统网络。如果网络连接已禁用,设备上将显示一条消息,说明网卡 

已禁用。 

2. 设备安全并可重新连接网络后,请在所有设备列表中右键单击该设备,并选择启用操作系 

统网络。如果连接已恢复,设备上将显示一条消息,说明网卡已重新启用。

使用基于角色的管理 

基于角色的管理使您可以控制用户对受管设备、控制台视图以及特定功能和工具的访问,从而增强 

LANDesk 的网络安全性。本章描述基于角色的管理如何运行,以及您如何实施基于角色的管理, 

从而有效管理由 LANDesk 管理的网络。 


• 基于角色的管理概述 

• 管理 LANDesk 用户 

• 管理组 

• 了解权限 

• 创建范围 

• 为用户分配权限和范围 

163

用户指南 

基于角色的管理概述: 

通过基于角色的管理,您可以管理能访问网络上设备的用户及用户在这些设备上可使用的工具或特 

定功能。LANDesk 管理员拥有所有权限,从而可访问应用程序的所有区域并为用户分配特殊权限 

(单击工具|管理|用户)。也可以为来自目录服务的组和组织单位 (OU) 分配权限,这会传播(或 

列举)到属于该组或 OU 的用户。 

164 

• 权限:确定用户可查看和使用的工具和功能(请参见本章后面部分的了解权限)。 

• 范围:确定用户能查看和管理的设备范围(请参见本章后面部分的创建范围)。 

注意:不具有管理员权限的用户无法看到用户工具。 

您可以根据用户的职责、您希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为 

他们创建角色。您可以将用户能访问的设备限定在某个地理位置,例如国家、地区、州(省)、城 

市甚至一个办公室或部门。也可以将访问限定为特定的设备平台、处理器类型或某些其他设备硬件 

或软件属性。通过使用基于角色的管理,您可以全权掌握要创建多少个不同的角色,哪些用户可以 

充当这些角色,他们的设备访问范围应该有多大或多小。例如,您可以指定一个或多个用户充当软 

件分发管理员,指定另一个用户负责远程控制操作,再指定一个用户负责运行报告,等等。

管理角色示例 


下表列出了一些您可能要实施的 Management Suite 管理角色、用户要执行的常见任务,以及用户 

要有效行使该角色的职责所需的权限。 

角色任务所需的权限 

管理员配置核心服务器、安装附加控制台、执行数 

据库汇总、管理用户、配置警报、集成 

LANDesk System Manager 等。(当然, 

具备所有权限的管理员可以执行任何管理任 

务。) 

设备清单管理员搜寻设备、配置设备、运行清单扫描器、创 

建和分发自定义数据表单、启用清单历史记 

录跟踪等。 

服务台远程控制设备、聊天、传输文件、执行软 

件、关闭、重新启动、查看代理和健全性状 

态等。 

LANDesk 管理员 

(意味着拥有所有权 

限) 

不受管的设备搜寻、 

软件分发、软件分发 

配置和公共查询管理 

远程控制 

应用程序管理员分发软件包、使用定向多播和对等下载等。软件分发和软件分发 

配置 

迁移管理员创建映像、部署操作系统映像、迁移用户配 

置文件、创建和分发用户启动的配置文件迁 

移程序包、部署 PXE 代表、分配 PXE 暂 

存队列、配置 PXE 启动菜单、创建启动软 

盘等。 

报告管理员运行预定义的报告、创建自定义报告、打印 

报告、发布报告、导入和导出报告、测试用 

户报告等。 

软件授权监视管 

理员 

配置要监视的应用程序、添加许可证、给许 

可证升级和降级、验证报告等。 

操作系统部署 

报告(所有报告都必 

需) 

软件授权监视 

注意:某些管理角色示例需要基本 Web 控制台权限以便在 Web 控制台中使用功能。 

这些只是管理角色示例。基于角色的管理非常灵活,因此,您可以根据自己的需要创建任意多个自 

定义角色。您可以给不同的用户分配一些相同的权限,但将他们的访问权限限制为范围较窄的一组 

设备。甚至可以用范围来限制管理员,使他们实质上只是某地理区域或某类受管设备的管理员。如 

何利用基于角色的管理取决于您的网络、人力资源以及您的具体需要。 

要贯彻实施基于角色的管理,只需将当前的 NT 用户指定为 LANDesk 用户,或创建新的 NT 用户 

并将其添加为 LANDesk 用户,然后给他们分配必要的权限(以利用 LANDesk 功能)和范围(以 

访问受管设备)即可。 

165

用户指南 

管理 LANDesk 用户 

LANDesk 用户可以登录到控制台并为网络中的特定设备执行特定任务。在创建用户并将其添加到 

核心服务器上的 Windows NT LANDesk Management Suite 组中之后(请参见添加 LANDesk 用 

户),用户会显示在所有用户组中(单击工具|管理|用户|所有用户)。所有用户组显示了目前保存 

在核心服务器的 LANDesk Management Suite 组内的所有用户。 

在安装 LANDesk 时登陆到服务器的用户会自动放在 Windows NT LANDesk Management Suite 

组中,添加为 LANDesk 用户,并分配管理员权限。此人负责向控制台添加其他用户并分配权限和 

范围。一旦创建其他管理员,他们也能执行相同的管理任务。 

在安装 LANDesk 之后添加到控制台的所有用户假定拥有和默认模板用户相同的权限和范围。此用 

户作为用户属性(权限和范围)的模板,用于配置新的用户。将用户添加到 Windows NT 环境中 

的 LANDesk Management Suite 组时,该用户会自动继承当前在“默认模板用户”属性中定义的相同 

的权限和范围。通过右击“默认模板用户”并单击属性可更改其属性设置。将用户添加到控制台时配 

置用户收到的权限和范围的能力大大简化了用户管理。例如,如果要一次添加大批用户,但不希望 

他们访问所有工具或设备,就先更改“默认模板用户”的设置,然后再将用户添加到 LANDesk 

Management Suite 组。 

注意:“默认模板用户”不能删除。 

将用户添加到控制台时,将显示其用户名、范围和权限。此外,还会在用户设备组、用户查询组、 

用户报告组和用户脚本组中创建新的用户子组,这些子组以相应用户的唯一登录 ID 命名(注意, 

除实际用户外,只有管理员才能查看“用户”组)。要刷新所有用户组,使之显示新加的所有用户, 

可右击所有用户,然后单击刷新。 

创建 LANDesk 用户 

可从控制台或核心服务器上的本机本地帐户管理系统来创建 LANDesk 用户。 

从控制台创建 LANDesk 用户 

166 

1. 在控制台的网络视图中,单击设备|所有设备。 

2. 右击核心服务器然后选择管理本地用户和组。 

3. 在本地用户和组对话框中,右击用户然后单击添加。 

4. 在新建用户对话框中,输入用户名,全名和说明。 

5. 输入密码,确认密码,然后指定密码设置。 

6. 单击保存。 

注意:记住将用户添加到 LANDesk Management Suite 组,使其显示在控制台的“所有用 

户”组中。 

从 Windows NT 计算机管理对话框创建 LANDesk 用户 

1. 浏览并找到服务器的管理工具|计算机管理|本地用户和组|用户实用程序。 

2. 右击用户,然后单击新建用户。 

3. 在新建用户对话框中,输入名称和密码。 

4. 指定密码设置。


5. 单击创建。“新建用户”对话框会一直处于打开状态,因此,您可以创建其他的用户。 

6. 单击关闭,退出该对话框。 

注意:记住将用户添加到 LANDesk Management Suite 组,使其显示在控制台的“所有用 

户”组中。 

添加 LANDesk 用户 

LANDesk 用户应添加到 LANDesk Management Suite 组,才能被看作是 LANDesk 用户并显示在 

控制台中。其它域组也可添加至 LANDesk Management Suite 组。如果将域组添加到 LANDesk 

Management Suite 组中,域组中的所有用户都将被列举并添加为控制台用户。LANDesk 仅允许单 

个列举,所以顶层域组下的所有其它域组均被忽略。 

从控制台将用户添加至 LANDesk Management Suite 组 



3. 在本地用户和组对话框中,单击组。 

4. 右击 LANDesk Management Suite 组,然后单击编辑。 

5. 在编辑组 - LANDesk Management Suite 对话框中,单击添加。 

6. 在选择用户对话框中,选择所需用户然后单击添加>>。 


8. 在编辑组 - LANDesk Management Suite 对话框中,单击确定。 

从 Windows NT 计算机管理对话框将用户添加至 LANDesk Management Suite 组 

1. 浏览并找到服务器的管理工具|计算机管理|本地用户和组|组实用程序。 

2. 右击 LANDesk Management Suite 组,然后单击添加到组。 

3. 在 LANDesk Management Suite 属性对话框中,单击添加。 

4. 在选择用户和组对话框中,从列表选择所需用户(和组)然后单击添加。 


6. 在 LANDesk Management Suite 属性对话框中,单击确定。 

注意:使用以下方法也可以将用户添加到 LANDesk Management Suite 组中:在“用户”列 

表中右击相应的用户帐户,单击属性|该组的成员,然后单击添加来选择该组并添加该用 

户。 

现在可以分配 LANDesk 用户权限和范围了。 

删除 LANDesk 用户 

如果从控制台或 Windows NT 用户环境的 LANDesk Management Suite 组删除用户,用户仍显示 

在所有用户组中,但标有一个红色 X,表明他不再是该组成员并且不能向任何 LANDesk 控制台验 

证身份。用户帐号仍存在于数据库中,并且随时可添加回 LANDesk Management Suite 组。另 

外,还会保存该用户在用户设备、用户查询、用户报告和用户脚本下面的子组,因此,可以恢复用 

户且不丢失其数据,并可以将数据复制给其他用户。您可以从数据库永久删除用户。 

167

用户指南 

警告:从数据库删除用户时,将永久删除该用户所拥有的所有数据,包括脚本、任务、查询等。 

使用控制台删除用户 

168 



3. 在本地用户和组对话框中,单击用户。 

4. 右击要删除的用户然后单击删除。 

5. 单击是确认此过程。 

使用 Windows NT 计算机管理对话框删除用户 

1. 浏览并找到服务器的管理工具|计算机管理|本地用户和组|用户实用程序。 

2. 右击要删除的用户然后单击删除。 


从数据库永久删除用户 

1. 确保已使用控制台或 Windows NT 计算机管理对话框将用户从 LANDesk Management 

Suite Windows NT 组中删除。 

2. 在控制台中,单击工具|管理|用户。 

3. 右击用户(带有红色 X)然后单击删除。记住,此操作将导致用户数据的永久失去。 

4. 单击是确认此过程。

管理组 


LANDesk 连接 Microsoft Active Directory Services* (ADS),以便将权限分配到组和组织单位 

(OU)。添加到组或 OU 的任何用户、组或 OU 都将继承相同的权限。 

您可以通过将用户放入分配了特定权限的组或 OU 中来将用户分类。只需要对组或 OU 分配特定权 

限,然后添加需要的用户,而不必为每个用户配置权限。一次配置一个用户。由此简化用户管理, 

加快权限分配,降低权限分配的潜在出错率。 

使用活动目录 

使用 LANDesk,您可以利用活动目录来向控制台添加组和组织单位 (OU) 并分配其权限。您可以 

从控制台向服务器进行身份验证。一旦登陆到活动目录服务器,您就可以向控制台添加组和 OU 并 

分配其权限。LANDesk 支持一次使用一个 LDAP 目录。 

管理活动目录需由具有大量使用目录服务(特别是 ADS)经验的专家用户执行。任务包括添加和 

删除用户和组,维护框架(林、树、域、组、OU 等)和了解 LANDesk 和目录服务的交互。管理活 

动目录用于 LANDesk 时需要注意以下问题: 

• 活动目录与 DNS 和 TCP/IP 完全集成(DNS 是必需的、全功能的,DNS 服务器必需支持 

SRV 资源记录或服务记录)。 

• 即使向用户分配了 LANDesk 权限,使用活动目录将用户添加至在控制台中使用的组仍不 

能使用户登录到控制台。为登录至控制台,用户必须属于核心服务器上的 LANDesk 

Management Suite Windows NT 组。 

• 为了让活动目录能够使用基于角色的管理来正常工作,需要在核心服务器上配置 COM+ 服 

务器凭证。这样,核心服务器就可以使用 LANDesk Management Suite Windows NT 组 

中的帐户,该帐户具有列举 Windows 域成员(如管理员帐户)所需的权限。有关如何执 

行配置的说明,请参阅配置 COM+ 服务器凭证。 

有关 LDAP 的详细信息,包括 LDAP 查询,请参阅有关 LDAP 的详细信息。 

登录至活动目录 

将组和组织单位添加到控制台之前,需要先登录至活动目录。 

登录至活动目录 

1. 单击工具|管理|用户。 

2. 单击登录至活动目录按钮。 

3. 在登录至活动目录对话框中,插入到 LDAP 目录的路径,提供用户名和密码以便向服务器 

进行身份验证。 


向控制台添加组和组织单位 

向 LDAP 组和组织单位 (OU) 分配权限之前,先要将其添加至控制台。 

添加组和 OU 

169

用户指南 

170 


2. 单击活动目录。 

3. 单击添加新组或 OU 按钮。 

4. 在可用活动目录组和 OU 对话框中,选择需要的组和 OU,然后单击确定。 

对组或组织单位分配权限 

您可以对组和组织单位 (OU) 分配权限。放置在组或 OU 中的任何用户、组或 OU 都将继承您分配 

的权限。这使您可以同时向多个节点分配相同的权限,而不必分别配置权限。 

对组或 OU 分配权限 


2. 单击活动目录。 

3. 右击需要的组或 OU,然后单击属性。 

4. 在权限选项卡下,选择适当的权限,然后单击确定。

了解权限 


权限提供了对特定 LANDesk 工具和功能的访问。用户必须具有所需的权限才能执行相应的任务。 

例如,要远程控制其范围内的设备,用户必须具有“远程控制”权限。可以对用户、组或组织单位 

(OU) 分配权限 ,也可以通过将其添加到组或 OU 而继承权限。从“用户”工具,您可以查看分配或 

继承的权限: 

• 此图标表示分配的权限。 

• 此图标表示继承的权限。 

基于角色的管理包括下列权限: 

• LANDesk 管理员 

• 资产配置 

• 资产数据输入 

• 连接控制管理器 

• Basic Web console 

• 操作系统部署 

• 公共查询管理 

• 远程控制 

• 报告 

• 安全和 Patch Manager 

• 安全和修补遵从性 

• 软件分发 

• 软件分发配置 

• 软件授权监视 

• 不受管的设备搜寻 

参见以下说明,了解每种权限的详细信息以及如何使用权限来创建管理角色。 

范围控制对设备的访问 

请记住:在使用这些权限授予的功能时,用户始终被限制在其范围(他们能够看到和操纵的设备) 

之内。 

LANDesk 管理员 

LANDesk 管理员权限授予用户对所有应用程序工具的完全访问(但是,这些工具的使用仍然仅限 

于该管理员范围中包含的设备)。 

这是默认授予新加用户的授权,除非您修改了“默认模板用户”的设置。 

具备 LANDesk 管理员权限的用户能够: 

• 查看和访问工具菜单和工具栏中的用户工具 

• 查看和管理网络视图中的用户设备组 

• 查看和管理网络视图中的用户查询组 

• 看到和管理管理脚本窗口中的用户脚本组 

• 看到和管理报告窗口中的用户报告组 

• 看到和配置配置菜单中的“产品许可” 

171

用户指南 

172 

• 查看和管理执行仪表板(只向管理员提供 Web 控制台中访问执行仪表板的链接) 

• 重要说明:执行其它权限允许的所有 Management Suite 任务 

关于权限和工具的基本规则 

LANDesk 管理员权限与用户工具具有排他关联性。换言之,如果用户没有 LANDesk 管理员权 

限,控制台中就不会显示用户工具。 

所有用户,无论其被指定什么权限,都可以看到和使用以下一般功能:清单选项、警报历史记录、 

查询和警报设置。 

Management Suite 控制台中的所有其它工具均与相应的权限相关联(如下所述)。 

资产配置 

资产配置权限专用于 Asset Manager 附件产品。当这些附件产品未安装时,其相应权限仍显示在 

该列表的 LDMS 中(选中)但为灰显。当然,相应的附件产品的工具和功能不可用。安装一个附 

件产品之后,其相应的权限会在此列表中激活,可以选中以允许访问附件的功能或清除以拒绝访 

问。有关详细信息,请参阅使用 Asset Manager 附件。 

“资产配置”是一种管理级别的权限,向用户提供以下能力: 

• 看到和访问 Web 控制台中的所有“资产管理”链接:“资产”、“合同”、“发票”、“项目”、 

“全局列表”、“详细信息模板”和“报告”。 

• 创建新类型 

• 编辑类型(预定义的和自定义的) 

• 删除类型 

• 创建、编辑和删除用于组织类型的子组 

• 为类型创建新的详细信息 

• 编辑详细信息(预定义的和自定义的) 

• 创建和修改详细信息模板 

• 创建和修改详细信息表 

• 创建、编辑和删除用于组织详细信息的部分 

• 执行下面列出的其它权限允许的所有 Asset Manager 任务 

资产数据输入 

资产数据输入权限专用于 Asset Manager 附件产品。当这些附件产品未安装时,其相应权限仍显 

示在该列表的 LDMS 中(选中)但为灰显。当然,相应的附件产品的工具和功能不可用。安装一 

个附件产品之后,其相应的权限会在此列表中激活,可以选中以允许访问附件的功能或清除以拒绝 

访问。有关详细信息,请参阅使用 Asset Manager 附件。 

具备“资产数据输入”权限的用户能够: 

• 看到和访问 Web 控制台中的“资产”、“合同”、“发票”、“项目”和“全局列表”链接。 

• 浏览类型和详细信息(不能添加、编辑或删除它们) 

• 通过填写数据条目表单向数据库添加项 

• 编辑已添加到数据库的项


具备“连接控制管理器”权限的用户能够: 

• 查看和访问工具菜单和工具栏中的连接控制配置工具 

• 控制对外部设备的访问以控制和配置它们 

Basic Web console 

基本 Web 控制台权限适用于 Web 控制台。具备该权限的用户能够: 


• 查看和使用我的设备(该权限不允许更新公共组,也不允许删除“操作”选项卡下的设备) 

• 更改首选项(而不是自定义属性) 

• 使用仪表板 

• 在 Web 控制台上使用软件分发 

• 使用执行仪表板(必须由管理员提供 URL) 

操作系统部署 

具备“操作系统部署”权限的用户能够: 

• 查看和访问工具菜单和工具栏中的管理脚本工具 

• 创建和运行操作系统部署和配置文件迁移脚本 

• 安排操作系统部署和配置文件迁移任务的时间 

• 使用“部署 PXE 代表”脚本配置 PXE 代表 

• 指定 PXE 暂存队列 

• 配置 PXE 启动菜单 

• 创建和部署客户数据表单 

公共查询管理 

具备“公共查询管理”权限的用户能够: 

• 在网络视图的公共查询组中创建、修改、复制、删除和移动查询。(如果没有此权限,则 

只能查看公共查询组中的设备。) 

远程控制 

具备“远程控制”权限的用户能够: 

• 使用设备快捷菜单上的远程控制选项(否则,它们为灰显) 

• 远程控制已加载了远程控制代理的设备 

• 唤醒、关闭和重新启动设备 

• 与设备对话 

• 远程执行设备程序 

• 将文件传输到设备,从设备传输文件 

173

用户指南 

报告 

为了使用报告工具,您必须是 Windows NT LANDesk Reports 组的成员并获得报告权限。具备 

“报告”权限的用户能够: 

174 

• 查看和访问工具菜单和工具栏中的报告工具 

• 运行预定义的报告 

• 查看已运行的报告 

• 创建和运行自定义资产报告 

• 发布报告使其对拥有访问凭据的用户可用 


Security and Patch Manager 权限使用户可以执行下列操作: 

• 查看和访问工具菜单和工具栏中的 Security and Patch Manager 工具 

• 为安全性评估和修补扫描配置受管设备 

• 为实时间谍软件扫描和对阻止的应用程序的扫描配置设备 

• 为对关键安全风险的高频率扫描配置设备 

• 为有 Security Suite 内容订阅的安全类型下载安全更新(定义和检测规则)以及关联的 

修补程序 

• 创建自动下载定义和/或修补程序更新的计划任务 

• 创建自定义漏洞定义和自定义检测规则 

• 导入、导出和删除自定义定义 

• 按类型查看下载的安全内容和修补程序内容(包括:所有类型、阻止的应用程序、定制定 

义、LANDesk 更新、安全威胁、间谍软件、漏洞、驱动程序更新和软件更新) 

• 使用自定义变量自定义所选的安全威胁 

• 在受管设备上将安全扫描作为计划任务或策略进行配置和运行 

• 将计划任务扫描分为暂存阶段和部署阶段 

• 创建和配置扫描设置和修复设置,以确定扫描选项,例如:要扫描的内容类型、扫描程序 

信息和进度显示、设备重新启动操作和最终用户的交互量。然后将扫描设置和修复设置应 

用于安全扫描任务、修复任务、卸载任务和重新启动任务 

• 请用检测到的组,具体定义,单独装置,或一组选择的装置来查看详细的扫描结果(已检测的安 

全数据) 

• 作为计划任务或策略执行修补 

• 使用“自动修复”自动修补下列安全类型(如果检测到):漏洞、间谍软件、LANDesk 软 

件更新和自定义定义(必须是 LANDesk 管理员) 

• 跟踪和验证在所扫描设备上的修补程序部署和安装的状态(修复历史记录) 

• 清除未使用的安全类型定义(必须是 LANDesk 管理员) 

• 从所扫描的设备上卸载修补程序 

• 从核心数据库中删除修补程序 

• 配置漏洞警报 

• 生成各种特定的安全报告(还要求具有报告权限) 

安全和修补遵从性 

安全和修补遵从性权限是 Security and Patch Manager 权限的子权限。具备此权限的用户能够:

• 在遵从性组中添加和删除安全定义 

• 更改遵从性组中包含的定义状态 

该权限还具有用户限制: 


• 不能编辑自定义定义或安全威胁的自定义变量 

• 不能配置可信访问服务(例如添加状态服务器或修补服务器)或配置和发布遵从性规则 

(必须是 LANDesk 管理员) 

软件分发 

具备“软件分发”权限的用户能够: 

• 查看和访问工具菜单和工具栏中的管理脚本工具(只能选择项) 

• 查看和访问工具菜单和工具栏中的计划任务工具(只能选择项) 

• 查看和访问工具菜单和工具栏中的传送方式和分发程序包工具(只能选择项) 

• 运行软家分发脚本 

• 运行设备代理配置(不能创建、编辑或删除) 

• 安排其他基于脚本的任务的时间(操作系统部署和配置文件迁移脚本除外) 

• 部署自定义数据表单(不能创建、编辑或删除) 

• 查看 LDAP 目录 

注意:用户需要基本 Web 控制台权限才能在 Web 控制台上使用软件分发。 

配置 - 仅私有 

“配置 - 仅私有”权限是“软件分发”权限的子权限。具备此权限的用户能够只为自己而非其他(公 

共)用户执行以下任务: 

• 创建、修改和删除传送方式和分发程序包 

• 创建和运行软件分发脚本 

• 创建和运行设备代理配置 

• 安排其他基于脚本的任务的时间(操作系统部署和配置文件迁移脚本除外) 

• 创建和部署自定义数据表单 

• 通过应用程序策略创建和分发软件包 

配置 - 公共和私有 

“配置 - 公共和私有”权限是“配置 - 仅私有”权限和“软件分发”权限的子权限。具备此权限的用户能够 

执行“配置 - 仅私有”权限中给予其他用户及自己的所有软件分发任务。 

软件授权监视 

具备“软件分发”权限的用户能够: 

• 查看和访问工具菜单和工具栏中的软件授权监视工具 

• 配置要监视的应用程序、添加许可证、给许可证升级和降级、验证报告 

175

用户指南 


具备“不受管的设备搜寻”权限的用户能够: 

176 

• 查看和访问工具菜单和工具栏中的不受管的设备搜寻工具 

• 创建扫描器配置和运行不同类型的搜寻扫描(LANDesk 代理、NT 域等) 

• 创建和运行不同类型的搜寻扫描任务

创建范围 

范围定义 Management Suite 用户能够查看和管理的设备。 


根据您的需要,范围可大可小,可以包含已扫描到核心数据库中的所有受管设备,也可能只包含一 

个设备。正是这种灵活性加上模块化的工具访问,使基于角色的管理成为用途如此广泛的管理功 

能。 

默认范围 

Management Suite 的基于角色的管理包括一个默认的范围。在配置“默认模板用户”的用户属性 

时,该预定义的范围很有用。 

• 默认范围 - 所有机器:数据库中包含所有受管设备。 

不能编辑或删除默认范围。 

自定义范围 

可以创建并分配给用户的自定义范围有三种: 

• LDMS 查询: 仅控制对符合自定义查询搜索的设备的访问。您可以在“范围属性”对话框 

中选择现有的查询来定义范围,也可以创建新的查询来定义范围。注意,您还可以将查询 

从网络视图中的查询组直接复制到范围组中。有关创建查询的详细信息,请参阅创建数据 

库查询。 

• LDAP: 仅控制对位于 LDAP 兼容目录结构中的清单扫描器搜集的设备的访问。从选择 

可见的设备对话框中选择目录位置来定义范围。基于目录的范围类型还支持自定义目录位 

置(如果己输入作为代理配置一部分的自定义目录路径)。可用的自定义目录路径显示在 

选择可见的设备对话框中。如果没有 LDAP 兼容结构,或者希望通过特定的组织细节(如 

地理位置或部门)来限制对设备的访问,则可使用自定义目录来定义范围。 

• 设备组:仅控制对属于网络视图中特定设备组的设备的访问。 

一次可为 Management Suite 用户指定一个或多个范围。此外,一个范围可与多个用户关联。 

多个范围如何运行 

可以为任何 Management Suite 用户指定多个范围。为用户指定多个范围后,累积有效范围(指可 

作为指定范围组合结果来访问和管理的整个设备范围)是一个简单组合。 

通过随时添加和删除范围,可以自定义用户的有效范围。可结合使用所有三种范围类型。 

创建范围 

创建范围 


2. 右击范围然后选择新建范围。 

177

用户指南 

178 

3. 在范围属性对话框中,输入新范围的名称。 

4. 通过在下拉列表中单击需要的范围类型,然后单击新建,可以指定要创建范围的类型 

(LDMS 查询、LDAP 或自定义目录或设备组)。 

5. 如果要创建一个基于 LDMS 查询的范围,请在新建范围查询对话框中定义查询,然后单击 

确定。 

6. 如果要创建基于目录的范围,请从选择可见的设备列表中选择位置(LDAP 目录和/或自定 

义目录),然后单击确定。 

单击加号 (+) 和减号 (-) 展开和折叠目录树中的节点。按住 Ctrl 键的同时单击,可选择多个 

位置。选定父节点下的所有节点都将包含在该范围内。 

LDAP 目录位置是由设备的目录服务位置决定的。有关详细信息,请参阅使用活动目录。 

自定义目录位置是由清单数据库中设备的计算机位置属性决定的。该属性是在设备代理配 

置的过程中定义的。 

7. 如果要创建一个基于设备组的范围,请从可用设备组列表中选择一个组,然后单击确定。 

8. 再次单击确定保存范围,并关闭该对话框。 

关于“范围属性”对话框 

使用此对话框可创建或编辑范围。通过选择一个范围,然后单击编辑范围工具栏按钮,或通过右击 

该范围,然后单击属性可打开此对话框。 

• 范围名称:标识范围。 

• 选择范围类型: 

• LDMS 查询:创建其设备范围由某个自定义查询决定的范围。在选定的范围类型 

下单击新建,打开新建查询对话框,您可以在这里定义和保存查询。此对话框与 

从网络视图中创建数据库查询时使用的对话框相同。((注意,您还可以将查询从 

网络视图中的查询组直接复制到范围组中。) 

• LDAP:创建其设备范围由设备位置(LDAP 目录和/或自定义目录)决定的范 

围。在选择该范围类型的情况下单击新建时可打开选择可见的设备对话框,在其 

中可选择位置。单击加号 (+) 和减号 (-) 展开和折叠目录树中的节点。按住 Ctrl 

键的同时单击,可选择多个位置。选定父节点下的所有节点都将包含在该范围内。 

• 设备组:创建一个范围,该范围的设备范围由网络视图中“设备”对象下包含的现有 

设备组决定。在选择该范围类型的情况下单击新建时可打开查询过滤器对话框, 

在其中可选择设备组。 

• 当前范围定义:显示基于查询的范围的查询语句,基于目录的范围的位置路径或设备基于 

组的范围的组名称。 

• 编辑:打开范围合适对话框,您可以在这里更改查询参数和语句。 

• 确定:保存该范围并关闭对话框。 

• 取消:关闭该对话框,且不保存任何更改。

为用户分配权限和范围 


添加了 LANDesk 用户,了解了权限和他们如何控制对功能和工具的访问,而且创建了允许或限制 

对受管设备的访问的设备范围后,建立基于角色的管理的下一步就是给每个用户分配适当的权限和 

范围。 

用户的角色完全是可配置的。用户可以具备任何权限组合。此外,还可以为用户指定一个或多个范 

围(有关详细信息,请参阅多个范围如何运行)。 

您可以随时修改用户的权限和范围。 

如果您修改了某个用户的权限或范围,只有在该用户下次登录到核心服务器后,这些更改才会生 

效。 

为用户分配权限和范围 


2. 选择所有用户组,查看当前为核心服务器的 Windows NT 环境中 LANDesk Management 

Suite 组内成员的所有用户。 

右窗格中将显示一个用户列表,其中包括他们的用户名、当前的范围和分配的权限(x 字 

符表示该权限处于启用或活动状态)。 

右击所有用户并单击刷新可刷新此列表。 

3. 右击用户,然后单击属性。 

4. 在用户属性对话框中,单击权限选项卡,然后根据需要选中或清除权限(请参阅本章前面 

的了解权限)。 

5. 单击范围选项卡,然后通过添加和删除范围为所选用户定义一个组合范围。有关详细信 

息,请参阅多个范围如何运行。 


新的权限和范围会显示在列表中相应用户名的旁边,当该用户下次连接到核心服务器时,这些权限 

和范围就会生效。 

注意:如果为用户分配了不止一个范围,则范围列显示“多个”。 

179

配置服务 

为优化在特定网络环境中的性能,可以且应当配置 LANDesk Management Suite 提供的大多数集 

成和基本功能(如清单服务器和调度程序服务)。这可以通过使用控制台(配置|服务)中的配置 

服务对话框来实现。 

配置服务仅限于 LANDesk 管理员 

只有具有 LANDesk 管理员权限的用户可以修改服务设置。而且,只有从主控制台才可以访问配置 

服务选项,从您设置的任何其他控制台都无法访问。 


• 选择核心服务器和数据库 

• 配置清单服务 

• 解决数据库中的重复设备记录问题 

• 配置调度程序服务 

• 配置自定义作业服务 

• 配置多播服务 

• 配置操作系统部署服务 

• 配置 AMT 服务 

注意:有关 Intel AMT 设备的详细信息,请参阅使用支持 Intel AMT 的设备。 

181

用户指南 

利用常规设置选择核心服务器和数据库 

在配置服务之前,请使用常规选项卡指定准备配置此项服务的核心服务器和数据库。 

注意:必须重新启动核心服务器上的服务之后,才能使该核心服务器和数据库的服务配置所发生的 

任何更改生效。 

关于“配置 Management Suite 服务”对话框: 

“常规”选项卡 

使用此对话框可选择要配置特定服务的核心服务器和数据库。接下来,选择所需的服务选项卡,并 

为该服务指定设置。 

182 

• 服务器名:显示当前连接的核心服务器的名称。 

• 服务器:用于输入其他核心服务器的名称及其数据库目录。 

• 数据库:用于输入核心数据库的名称。 

• 用户名:以身份验证凭据标识核心数据库的用户(在安装期间指定)。 

• 密码:标识用户访问核心数据库所需的密码(在安装期间指定)。 

• 这是 Oracle 数据库:指明上面指定的核心数据库是 Oracle 数据库。 

• 刷新设置:恢复过去打开“服务配置”对话框时显示的设置。 

对数据库指定用户名和密码时,用户名和密码不能包含撇号 (')、分号 (;) 或等号 (=)。

配置清单服务 

使用清单选项卡可为使用“常规”选项卡选择的核心服务器和数据库配置清单服务。 


“清单”选项卡 

使用此选项卡可指定下列清单选项: 

配置服务 

• 服务器名:显示当前连接的核心服务器的名称。 

• 日志统计信息:保留核心数据库操作和统计信息的日志。 

• 加密数据传输:使清单扫描器可以通过 SSL 将设备清单数据(来自已扫描的设备)作为 

加密数据发送回核心服务器。 

• 扫描服务器的时间:指定扫描核心服务器的时间。 

• 执行维护的时间:指定执行标准核心数据库维护的时间。 

• 清单扫描结果的保留天数:设置删除清单扫描记录之前的天数。 

• 主所有者登录次数:设置清单扫描器为确定设备的主所有者而跟踪登录的次数。主所有者 

是在指定登录次数内登录次数最多的用户。默认值为 5,最大值和最小值分别为 1 和 

16。如果所有登录都是唯一的,那么最后登录的用户就是主所有者。一个设备一次只能有 

一个主所有者。主用户登录数据包括用户的全限定名称以及上次登录的日期,用户名称的 

格式为 ADS、NDS、域名或本地名称(按此顺序)。 

• 软件:显示软件扫描设置对话框。配置运行软件扫描的时间以及清单历史记录的保存时 

间。 

• 管理重复项:设备:打开重复设备对话框,在该对话框中可以配置如何处理重复的设备。 

• 管理重复项:设备 ID:打开重复设备 ID 对话框,您可以在这里选择唯一标识设备的属 

性。使用此选项可避免将重复的设备 ID 扫描到核心数据库中(请参阅解决数据库中的重 

复设备记录问题)。 

• 清单服务状态:指明服务在核心服务器上是处于启动状态,还是处于停止状态。 

• 启动:在核心服务器上启动服务。 

• 停止:在核心服务器上停止服务。 

关于“软件扫描设置”对话框 

使用此对话框可配置软件扫描的频率。尽管每次在设备上运行清单扫描器时,都扫描设备的硬件, 

却只按照此处指定的时间间隔来扫描设备的软件。 

• 每次登录时:每次用户登录时都扫描设备上安装的所有软件。 

• 每隔以下天一次:只按照指定的时间间隔(以天数计)自动扫描设备的软件。 

• 历史记录保存的天数:指定保存设备清单历史记录的时间。 

配置在数据库中存储哪些清单扫描属性 

清单扫描器可查找数百个清单项。如果在数据库中不需要所有这些扫描信息,可通过限制要存储在 

数据库中的扫描属性的数量来缩短扫描插入时间并减小数据库大小。进行此项操作时,受管设备仍 

然提交完整的清单扫描,但核心服务器的清单服务只存储数据库中指定的属性。 

183

用户指南 

默认情况下,清单服务会将所有扫描属性插入到数据库中。您所做的任何属性过滤更改将不会影响 

已存储在数据库中的数据。要限制存储哪些数据,请执行以下步骤。 

设置清单扫描数据过滤 

184 

1. 单击配置|服务|清单|属性。 

2. 右边的所选属性列中的属性将插入到数据库中。将数据库中不需要的属性移至左边的可用 

属性列。 

3. 在“清单”选项卡上单击停止,然后单击启动,重新启动清单服务。 


解决数据库中的重复设备记录问题 

在一些操作环境中,映像定期使用,并频繁用于设置设备。因此,便增加了设备中出现重复设备 

ID 的可能性。通过指定其他设备属性,再将这些属性与设备 ID 结合使用,可以避免这个问题,为 

设备创建唯一的标识符。例如,设备名、域名、BIOS、总线、协处理器等等都属于这些属性。 

利用重复 ID 功能,可以选择用来唯一标识设备的设备属性。可以指定具体的属性,以及必须缺少 

其中的多少属性才能指定该设备与其他设备重复。如果清单扫描器检测到重复设备,便会在应用程 

序事件日志中写入一个事件,以指明重复设备的设备 ID。 

除重复设备 ID 之外,数据库中还可能有积累的重复设备名称或 MAC 地址。如果遇到永久的重复 

设备问题(作为避免将来清单扫描器将重复设备记录扫描到数据库的预防措施),也可以规定删除 

当前数据库中存在的任何重复设备名称。以下步骤包含了此辅助重复设备处理功能。 

设置重复设备处理 

1. 单击配置|服务|清单|设备 ID。 

2. 从属性列表中选择要用来唯一标识某设备的属性,然后单击右箭头按钮,将该属性添加到 

“标识属性”列表中。您可以添加任意数量的属性。 

3. 选择只有当某设备与多少个标识属性(和硬件属性)不相符时,才能认定该设备与另一个 

设备重复。 

4. 如果希望清单扫描器拒绝重复设备 ID,请选中拒绝重复标识选项。 

5. 单击确定以保存设置并返回到配置清单对话框。 

6. (可选)如果您还希望按照名称和/或地址解析重复设备,单击设备打开重复设备对话框, 

在该对话框中可以指定删除重复设备的条件,例如在设备名称匹配、MAC 地址匹配或两者 

均匹配时。 

关于“重复设备 ID”对话框 

使用此对话框可设置重复设备 ID 处理。 

• 属性列表:列出可用来唯一标识设备的所有属性。 

• 标识属性:显示选定用来唯一地标识某设备的属性。 

• 重复设备 ID 触发器: 

• 在以下情况下记录为重复设备 ID:指明只有当设备与多少个属性不相符时,才能 

认定该设备与另一个设备重复。 

• 拒绝重复标识:令清单扫描器记录重复设备的设备 ID,而且拒绝后来的任何扫描设备 ID 

的尝试,并生成新的设备 ID。

关于“重复设备”对话框 

配置服务 

使用此对话框可以指定从数据库中删除重复设备的名称和/或地址条件。如果选中某个“删除重复”的 

选项,则数据库中允许重复内容,但下次进行数据库维护时将删除重复的内容。 

• 当出现以下情况时删除重复: 

• 设备名称匹配:当数据库中有两个或两个以上设备名称匹配时,删除其中的旧记 

录。 

• MAC 地址匹配:当数据库中有两个或两个以上 MAC 地址匹配时,删除其中的旧 

记录。 

• 设备名称与 MAC 地址全部匹配:仅当有两个或两个以上设备名称和 MAC 地址 

(同一记录)全部匹配时,删除其中的旧记录。 

• 还原旧设备 ID:从被扫描设备较旧的记录中还原原始设备 ID,如果数据库中存在该设备 

的两条记录,并且至少选中了上面的一个删除选项并且符合选项的条件,原始设备 ID 将 

在下一次运行清单维护扫描时还原。除非选中了上面的一个删除选项,否则,此选项无 

效。 

185

用户指南 

配置调度程序服务 

使用调度程序选项卡,可以为使用常规选项卡选择的核心服务器和数据库配置调度程序服务(工具 

|分发|计划任务)。 

您必须拥有执行这些任务的适当权限,包括在网络中的 Windows NT/2000 设备上拥有完全的管理 

员权限,从而允许它们接收核心服务器分发的程序包。您可以通过单击更改登录指定在设备上使用 

的多个登录凭证。 

另外,您还可以手动配置计划任务的刷新频率。默认情况下,计划任务窗口每两分钟就检查核心数 

据库,以确定所显示的项是否已进行了更新。如果要更改刷新频率,请浏览找到注册表中的下列注 

册表项: 

HKEY_CURRENT_USER\Software\LANDesk\ManagementSuite\WinConsole 

将“TaskRefreshIntervalSeconds”设置为某活动任务的刷新操作之间的秒数。将 

“TaskAutoRefreshIntervalSeconds”设置为整个计划任务窗口的刷新间隔。 


“调度程序”选项卡 

使用此选项卡,可查看核心服务器的名称以及先前选择的数据库,并指定下列计划任务选项: 

186 

• 用户名:运行计划任务服务时所使用的用户名。通过单击更改登录按钮,即可更改用户 

名。 

• 重试间隔的秒数:配置了计划任务的重试次数后,此设置将控制调度程序在重试任务之前 

等待的秒数。 

• 尝试唤醒的秒数:对计划任务进行配置,使其利用 Wake On LAN 后,此设置将控制计 

划任务服务等待设备唤醒的秒数。 

• 查询评估的时间间隔:指明查询评估之间的时间间隔量,以及计量单位(如分钟、小时、 

日、周)。 

• Wake on LAN 设置:为了唤酲设备,由计划任务设置、供 Wake On LAN 数据包使用 

的 IP 端口。 

• 计划服务状态:指明服务在核心服务器上是处于启动状态,还是处于停止状态。 

• 启动:在核心服务器上启动服务。 

• 停止:在核心服务器上停止服务。 


“更改登录”对话框 

使用更改登录对话框(单击调度程序选项卡中的更改登录)来更改默认调度程序登录。您还可以指 

定当调度程序服务需要在不受管的设备上执行任务时应尝试使用的备用凭证。 

要在不受管的设备上安装 LANDesk 代理,调度程序服务需要能够使用管理帐户连接至设备。调度 

程序服务使用的默认帐户是 LocalSystem。LocalSystem 凭据一般用于域外设备。如果设备在域 

中,必须指定域管理员帐户。

配置服务 

如果您想要更改调度程序服务登录凭证,您可以指定在设备上使用的不同的域级管理帐户。如果您 

在管理跨多个域的设备,您可以添加调度程序服务可以尝试使用的更多凭证。如果您想要对调度程 

序服务使用非 LocalSystem 帐户,或如果您想要提供备用凭证,您必须指定一个具有核心服务器 

管理权限的主调度程序服务登录。备用凭证不需要核心服务器管理权限,但它们必须具有对设备的 

管理权限。 

调度程序服务将尝试默认的凭证,然后使用您在备用凭证列表中指定的每个凭证,直到成功或尝试 

完所有凭证。您指定的凭证都被安全加密和存储在核心服务器的注册表中。 

您可以对默认调度程序凭证设置以下选项: 

• 用户名:输入默认域\用户名或您想要调度程序使用的用户名。 

• 密码:输入您指定的凭证的密码。 

• 确认密码:重新输入密码以确认。 

您可以对其他调度程序凭证设置以下选项: 

• 添加:单击将您指定的用户名和密码添加到备用凭证列表。 

• 删除:单击以从列表中删除选定的凭证。 

• 修改:单击以更改选定的凭证。 

当添加备用凭证时,请指定以下属性: 

• 用户名:输入调度程序所要使用的用户名。 

• 域:输入您指定的用户名的域。 

• 密码:输入您指定的凭证的密码。 

• 确认密码:重新输入密码以确认。 

187

用户指南 

配置自定义作业服务 

使用自定义作业选项卡,可为在“常规”选项卡中选择的核心服务器和数据库配置自定义作业服务。 

自定义作业的示例包括清单扫描、设备部署或软件分发。 

默认情况下,一旦禁止将 TCP 远程执行作为远程执行协议,自定义作业就会使用标准 LANDesk 

代理协议,而不管它是否被标记为禁用。另外,如果同时启用了 TCP 远程执行和标准 LANDesk 

代理,自定义作业将首先尝试使用 TCP 远程执行,如果不成功,则使用标准 LANDesk 代理远程 

执行。 

自定义作业选项卡也使您可以选择设备搜寻的选项。在自定义作业服务可以处理作业之前,它需要 

搜寻每个设备的当前 IP 地址。此选项卡使您可以配置服务联系设备的方式。 


“自定义作业”选项卡 

使用此选项卡可设置下列自定义作业选项: 

远程执行选项 

188 

• 禁用 TCP 执行:禁止将 TCP 作为远程执行协议,因此,默认使用标准 LANDesk 代理 

协议。 

• 禁用 CBA 执行/文件传输: 禁止将标准 LANDesk 代理作为远程执行协议。如果禁用了 

标准 LANDesk 代理,而且在设备上又找不到 TCP 远程执行协议,远程执行将失败。 

• 启用远程执行超时:启用远程执行超时,并指定超时之前的秒数。当设备发送检测信号 

后,触发远程执行超时,但是设备上的作业将处于挂起或循环状态。此设置适用于这两种 

协议(TCP 或标准 LANDesk 代理)。该值可介于 300 秒(5 分钟)到 86400 秒(1 

天)之间。 

• 启用客户端超时:启用设备超时,并指定超时之前的秒数。默认情况下,TCP 远程执行以 

45 秒的时间间隔从设备向服务器发送检测信号,直到远程执行完成或超时。当设备不向 

服务器发送检测信号时,便会触发设备超时。 

• 远程执行端口(默认值是 12174):TCP 远程执行所使用的端口。如果更改了此端口, 

也必须在设备配置中对其进行更改。 

分发选项 

• 同时分发的目标客户端数 :将自定义作业同时分发到的设备的最多数目。 

搜寻选项 

• UDP:选择 UDP 将通过 UDP 使用 LANDesk 代理 ping。大多数 LANDesk 设备组件 

均依赖于标准 LANDesk 代理,所以您的受管设备应装有标准 LANDesk 代理。这是最快 

的搜寻方法和默认方法。使用 UDP,您还可以选择 UDP ping 重试次数和超时。 

• TCP:选择 TCP 会使用在端口 9595 上到设备的 HTTP 连接。此搜寻方法的好处是如果 

您打开端口 9595,就能够通过防火墙工作,但如果设备不在,则它将受到 HTTP 连接超 

时的限制。这些超时值可以为 20 秒或更多。如果大量目标设备不响应 TCP 连接,您的作 

业在开始之前将需要一段时间。

配置服务 

• 两者:选择“两者”先使服务尝试使用 UDP 搜寻,然后使用 TCP 搜寻,最后使用 

DNS/WINS 搜寻(如果选定)。 

• 禁用子网广播:当选定时,禁用通过子网广播搜寻。 

• DNS/WINS:当选定时,如果选定的 TCP/UDP 搜寻方法失败,禁用对每个设备进行名 

称服务查找。 

189

用户指南 

配置多播服务 

使用多播选项卡,可为在常规选项卡中选择的核心服务器和数据库配置多播域代表搜寻选项。 


“多播”选项卡 

使用此选项卡可设置下列多播选项: 

190 

• 使用多播域代表:使用网络视图的配置|多播域代表组中存储的多播域代表列表。 

• 使用高速缓存的文件:查询每个多播域,以确定谁可能已拥有此文件,因此无需将该文件 

下载到代表。 

• 使用首选域代表之前的高速缓存文件:更改搜寻顺序,使使用高速缓存的文件成为第一个 

尝试的选项。 

• 使用广播:发送一个子网定向的广播,以查找该子网中可以成为多播域代表的任何设备。 

• 日志删除期限(天):指定日志中的条目在删除之前将保留的天数。

配置操作系统部署服务 

配置服务 

使用操作系统部署选项卡可指定作为 PXE 暂存队列的 PXE 代表,并为使用常规选项卡选择的核心 

服务器和数据库配置基本的 PXE 启动选项。 

PXE 暂存队列是一种将操作系统映像部署到支持 PXE 的设备的方法。您可以将现有的 PXE 代表 

(位于网络视图中的配置组内)指定为 PXE 暂存队列。有关详细信息,请参阅基于 PXE 的部署。 

从可用代理列表中选择 PXE 代表并将其移到暂存队列代理列表中。 


“操作系统部署”选项卡 

使用此选项卡可分配 PXE 暂存队列代理(代表),并指定 PXE 启动选项。 

• 可用代理:列出网络上由设备名称标识的所有可用的 PXE 代理。当清单扫描器检测到设 

备上运行的 PXE 软件(PXE 和 MTFTP 协议)时,可以生成此列表。 

• 暂存队列代理:列出已经从可用代理列表中移出的 PXE 代理,从而将该代理指定为 PXE 

暂存队列。当 PXE 启动后,支持 PXE 的设备(与 PXE 暂存队列代理位于同一子网上) 

将自动添加到控制台网络视图中的 PXE 暂存队列组中。然后可以安排设备进行映像部署 

作业的时间。 

• 重置:强制所有支持 PXE 的设备(与所选 PXE 代表位于同一个子网上)重新进入控制台 

网络视图中的 PXE 暂存队列组中。然后可以安排设备进行映像作业的时间。(在“暂存队 

列代理”列表中选择 PXE 代理后即启用“重置”按钮。) 

• PXE 启动选项:确定设备尝试 PXE 启动时 PXE 启动提示如何操作。 

注意:只有在相应的 PXE 代表上运行了 PXE 代表部署脚本后,才能使此处对 

PXE 启动选项所做的更改在该代表上生效。 

• 超时:指明在超时和恢复默认启动过程之前显示启动提示的时间。您最多可以输入 60 

秒。 

• 消息:指定出现在设备上的 PXE 启动提示消息。可以在文本框中键入任何消息,其长度 

不得超过 75 个字符。 

配置 BMC 密码 

使用 BMC 密码选项卡创建 IPMI 底板管理控制器 (BMC) 的密码。此选项卡只显示在包括 

LANDesk Server Manager 或 LANDesk System Manager 的核心服务器上。 

1. 在 BMC 密码选项卡的密码文本框中输入密码,并在确认密码文本框中重新输入密码,然 

后单击确定。 

密码不得长于 15 个字符,每个字符必须是数字 0-9 或大小写字母 a-z。 

191

配置设备代理 

设备上需要安装 Management Suite 代理,才能实现对这些设备的全面管理。阅读本章后,您将了 

解以下内容: 

• 使用代理配置 

• 创建代理配置 

• 使用高级代理 

• 更新设备上的代理首选项 

• 创建独立的代理配置程序包 

• 代理安全证书和可信证书 

• 卸载设备代理 

使用代理配置窗口可为 Windows、Linux 和 Macintosh 设备创建新的代理配置。然后,利用控制台 

的计划任务窗口,可将创建的代理配置应用于客户端。 

为不能进行管理的 Windows NT/2000/2003/XP 设备创建设备配置 

如果您使用作为 Windows NT/2000/2003/XP 域成员的 Windows NT/2000/2003/XP 设备,那么即 

使没有 CBA 和远程控制代理,也能将配置应用于这些设备。有关详细信息,请参阅《安装和部署 

指南》。 

193

用户指南 

使用代理配置 

Management Suite 使用您创建的代理配置在受管设备上部署代理和代理首选项。一旦设备上安装 

了 Management Suite 代理,便可以轻松更新代理配置。有关初始代理部署的更多信息,请参阅 

《安装和部署指南》中的“向客户端中部署首选代理”一节的内容。 

关于以下项目的详细说明,请阅读以下部分: 

194 

• Management Suite 8.5 中的代理配置更改 

• 创建代理配置 

• 更新设备上的代理首选项 

• 创建独立的代理配置程序包 

Management Suite 8.5+ 中的代理配置更改 

版本 8.5 之前的 Management Suite 用户会注意到代理配置与以前版本有些不同。 

• 标准 LANDesk 代理是 CBA 的新名称,并且它现在包含清单扫描器、本地调度程序、修 

补程序管理、软件授权监视和带宽检测。这些组件不能单独选择并且是默认安装的。您还 

可以在标准 LANDesk 代理中设置重新启动选项。 

• 应用程序策略管理现在称为基于策略的传送,并且是在软件分发下配置的。 

• 软件分发可支持定向多播。您不必单独启用或配置它。 

• 默认情况下,安全性和修补程序扫描器代理与标准 LANDesk 代理安装一起安装。可以配 

置该代理,以便确定安全证书和修补程序扫描器在设备上如何及何时运行,以及是否在最 

终用户设备上显示进度。(即使没有 LANDesk Security Suite 内容订阅,安全证书扫描 

器也允许您查看设备和核心服务器上的 LANDesk 软件更新。使用订阅,您可以充分利用 

扫描器的功能来扫描和修补已知的漏洞、间谍软件以及其他潜在的安全风险。) 

创建代理配置 

使用代理配置窗口可创建并更新客户端代理配置和服务器代理配置(例如,客户端上安装哪些代 

理,该代理使用哪些网络协议)。 

您可以根据各组的具体需要创建不同的配置。例如,您可为会计部的设备或者为使用某一特定操作 

系统的设备创建配置。 

要将配置应用于设备,需要执行以下操作: 

• 创建代理配置:为设备设置特定的配置。 

• 安排代理配置的时间:将配置应用于已安装了标准 LANDesk 代理的设备。有关详细信 

息,请参阅计划任务。具有管理权限的用户还可以从核心服务器的 LDLogon 共享目录运 

行 WSCFG32.EXE 或 IPSETUP.BAT 来安装默认的代理配置。 

创建代理配置 

1. 在控制台中,单击工具|配置|代理配置。 

2. 单击新建工具栏按钮。 

3. 输入配置名称。


4. 在代理配置窗口的开始页面中,选择要部署的代理。 

5. 使用树来导航与所选选项有关的对话框。必要时,可自定义选定的选项。如果对某页有疑 

问,可以单击帮助来查阅详细信息。 

6. 单击保存和关闭。 

7. 如果希望此配置成为默认配置(将安装 LDLOGON\WSCFG32.EXE 或 

LDLOGON\IPSETUP.BAT 配置),请在配置的快捷菜单上单击默认配置。 

有关设备安装选项的详细信息,请参阅设备安装帮助主题和《安装与部署指南》。 

使用高级代理 

高级代理可以减少 Windows 代理配置所占用的网络带宽。高级代理适用于大部分设备,包括具有 

间歇网络连接或低速网络连接的笔记本电脑。高级代理不支持 PDA 和其它手持设备。 

高级代理是一个 500 KB 的小 .MSI 软件包。此软件包在受管设备上运行时,将下载关联的完整代 

理配置软件包,根据所选代理的不同,该软件包可能会达到 15 MB。在高级代理配置对话框中,可 

以配置 .MSI 在下载完整代理配置时将使用的、可以减少带宽占用的分发选项。 

高级代理在开始下载完整代理配置后,即独立于核心服务器运行。如果在代理配置完成下载之前, 

某个设备与网络断开,该设备重新连接到网络上之后,高级代理将自动恢复下载。 

创建高级代理配置时,控制台需要几秒钟时间来创建完整代理配置软件包。控制台将高级代理软件 

包 (.msi) 和新创建的完整代理配置软件包 (.exe) 放入核心服务器的 

LDLogon\AdvanceAgent 文件夹。文件名基于代理配置名。 

创建了代理配置软件包之后,需要使用下列方法之一在设备上运行 .MSI 部分: 

• 安排小的 .MSI 部分进行推分发。 

• 在每台设备上手动运行 .MSI。 

• 手动将 .MSI 配置为通过登录脚本运行。 

为设备部署了高级代理之后,高级代理将开始下载关联的代理配置。代理在受管设备上自动运行, 

不显示任何对话框或状态更新。高级代理使用您在高级代理配置对话框中指定的带宽首选项,例如 

对等下载和动态带宽调节。 

.MSI 在设备上安装并成功配置了代理之后,将删除完整代理配置软件包。.MSI 部分保留在设备 

上,如果再次运行相同的 .MSI,不会重新安装代理。 

创建高级代理配置 

1. 创建 Windows 代理配置(工具|配置|代理配置)。 

2. 从配置的快捷菜单中单击高级代理。 

3. 选择所需的选项。 

4. 如果改变了关联的代理配置软件包(.EXE 文件)的位置,请将代理配置软件包的路径更改 

为与新位置匹配。 


6. 如果需要,将关联的 .EXE 文件从 LDLogon\AdvanceAgent 文件夹复制到分发服务器上。 

确保代理配置可执行文件的路径与您在高级代理配置对话框中指定的路径匹配。MSI 软件 

包应保留在核心服务器上的默认位置。否则,下面的高级代理推分发任务将找不到该软件 

包。 

195

用户指南 

设置高级代理推分发 

196 

1. 在“代理配置”窗口(工具|配置|代理配置)中单击安排高级代理配置的推分发按钮。 

2. 高级代理配置对话框列出 LDLogon\AdvanceAgent 文件夹中的代理配置。单击要分发的配 

置,然后单击确定。 

3. 计划任务窗口打开,选中了您创建的高级代理任务。任务名为 "高级代理 "。 

4. 将任务设备从网络视图拖至计划任务窗口中的任务,从而将任务设备添加到任务。 

5. 从任务的快捷菜单中,单击属性并安排任务。在计划任务窗口中可以看到 .MSI 部分的分 

发进度。.MSI 分发完成后,完整代理配置没有任何状态更新。 

更新设备上的代理首选项 

如果要更新设备上的代理首选项(比如远程控制所需权限),则不必重新部署整个代理配置。可以 

在代理配置窗口中进行所需的更改,然后从该配置的快捷菜单中单击计划更新。这将打开计划任务 

窗口,并为计划更新所用的配置创建更新任务和程序包。该程序包大小仅有几百 K 字节。 

注意,更新首选项不会在设备上安装或删除代理。如果更新包含设备上没有的代理的首选项,则系 

统将忽略不应用的首选项。 

更新设备上的代理首选项 

1. 单击工具|配置|代理配置。 

2. 自定义要使用的配置。 

3. 完成后,从配置的快捷菜单中单击计划更新。这将打开计划任务窗口。 

4. 指定要更新的设备,然后计划该任务。 

创建独立的代理配置程序包 

通常使用客户端配置实用程序 WSCFG32.EXE 配置客户端。若有必要,可使用代理配置窗口创建 

自解压的单个可执行文件,该文件可在其运行的设备上安装代理配置。如果要从一张 CD 或便携 

USB 驱动器中安装代理,或者要多播代理配置的话,这会有所帮助。 

创建一个独立的代理配置程序包 

1. 单击工具|配置|代理配置。 

2. 自定义要使用的配置。 

3. 完成后,从配置的快捷菜单中单击创建自包含的客户端安装程序包。 

4. 选择希望用于保存程序包的路径。 

5. 等待 Management Suite 创建程序包。可能需要几分钟。

代理安全证书和可信证书 


利用 Management Suite 8,简化了基于证书的身份验证模式。设备代理仍然要向已授权的核心服 

务器验证身份,以防止未经授权的核心服务器访问客户端。但是,Management Suite 8 不要求另 

外的证书授权就可管理核心服务器、控制台和每个客户端的证书。实际上,每个核心服务器都有一 

个唯一的证书和私钥,它是 Management Suite 安装程序在您第一次安装该核心服务器或汇总核心 

服务器时创建的。 

私钥和证书文件包括: 

• .key:.KEY 文件是核心服务器的私钥,该文件只驻留在核心服务器上。一 

旦此密钥泄密,就无法保障核心服务器与设备之间的通信安全。请保护好此密钥。例如, 

不要使用电子邮件来传递密钥信息。 

• .crt:.CRT 文件包含核心服务器的公钥。.CRT 文件是以用户友好的方式显 

示的公钥内容,您可以从中查看有关该密钥的详细信息。 

• .0:.0 文件是可信证书文件,其内容与 .CRT 文件相同。不过,该文件的命名方 

式使得计算机能够在包含许多不同证书的目录中迅速找到该证书文件。其名称是证书主题 

信息的哈希值(校验和)。要确定特定证书的哈希文件名,请查看 .CRT 文 

件。该文件中包含一个 .INI 文件部分 [LDMS]。hash=value 对指示值。 

获得哈希值的另一个方法是使用 openssl 应用程序,该程序存储在 \Program 

Files\LANDesk\Shared Files\Keys 目录中。使用以下命令行,该程序就会显示与证书相关联的哈 

希值: 

openssl.exe x509 -in .crt -hash -noout 

所有密钥都存储在核心服务器上的 \Program Files\LANDesk\Shared Files\Keys 目录中。.0 

公钥也存储在 LDLOGON 目录中,该目录为默认存储位置。是您在安装 Management 

Suite 时提供的证书名称。在安装时最好提供描述性的密钥名称,如使用核心服务器的名称(甚至 

使用其全限定名称)作为密钥名(例如:ldcore 或 ldcore.org.com)。这样可以更容易在多核心环 

境中识别证书/私钥文件。 

您应该将核心服务器的 Keys 目录的内容备份在一个安全可靠的地方。如果由于某种原因您需要重 

新安装或更换核心服务器,在如下所述,将原核心的证书添加到新核心之前,您将无法管理该核心 

服务器的设备。 

多台核心服务器共享密钥 

只有在设备具备与核心服务器和汇总核心服务器相符的可信证书文件的情况下,才能与这些服务器 

进行通信。例如,假设您有三台核心服务器,每台服务器管理 5,000 个设备。另外还有一台管理全 

部 15,000 个设备的汇总核心服务器。每台核心服务器都有自己的证书和私钥,默认情况下,您在 

每台核心服务器上部署的设备代理只与从中部署相应设备软件的核心服务器进行通信。 

在核心服务器和汇总核心服务器之间共享密钥主要有两种方法: 

1. 将每台核心服务器的可信证书(.0 文件>)分发给设备及其各自的核心服务器。这 

是最安全的方法。 

2. 将私钥和证书复制到每台核心服务器。此方法不需要您对设备执行任何操作,但由于必须 

复制私钥,所以风险较大。 

197

用户指南 

在我们的示例中,如果您希望汇总核心服务器和 Web 控制台能够从全部三台核心服务器管理设 

备,那么除了将汇总核心服务器的可信证书(.0 文件)复制到每台核心服务器的 

LDLOGON 目录中以外,还需要将该文件分发到所有设备。有关详细信息,请参阅下一节中的将可 

信证书分发到设备。 

另外,也可以将证书/私钥文件从三台核心服务器复制到汇总核心服务器。这样,每个设备都能在 

汇总核心服务器上找到与管理它的核心服务器匹配的私钥。有关详细信息,请参阅本章后面的在核 

心服务器之间复制证书/私钥文件。 

如果希望一台核心服务器能够通过另一核心服务器管理设备,可以按照以上所述步骤,将可信证书 

分发到设备,或者在核心服务器之间复制证书/公钥文件。 

如果您在独立的核心之间复制证书(而不是复制到汇总核心),还有另外一个问题。除非核心先对 

另一个核心的设备进行清单扫描,否则该核心无法管理这些设备。获取对另一个核心的清单扫描的 

一个方式是安排使用将扫描转发到新核心的定制命令行进行清单扫描作业。在多核心方案中,使用 

汇总核心和 Web 控制台是跨核心管理设备的更简单方式。汇总核心自动从汇总到该核心的核心的 

所有设备获取清单扫描数据。 

将可信证书分发到设备 

有两种方法可以将可信证书部署到设备: 

198 

1. 部署包含所需核心服务器可信证书的设备安装配置。 

2. 使用软件分发作业,直接将需要的可信证书文件复制到每个设备。 

必须将您希望设备使用的每一额外核心服务器可信证书 (.0) 复制到该核心服务器的 

LDLOGON 目录中。可信证书被复制到此目录中后,您就可以在设备安装对话框的通用基本代理页 

面中选择它。设备安装程序将密钥复制到设备的此目录中: 

• Windows 设备:\Program Files\LANDesk\Shared Files\cbaroot\certs 

• Mac OS X 设备:/usr/LANDesk/common/cbaroot/certs 

如果您希望将核心服务器的证书添加到设备,而又不希望通过设备安装程序重新部署设备代理,就 

可以创建一个软件分发作业,将 .0 复制到设备上(如上文所述的)指定的目录中。然后, 

可以使用计划任务窗口来部署您创建的证书分发脚本。 

下面是一个自定义脚本的示例,用于将可信证书从核心服务器的 LDLOGON 目录复制到设备。要 

使用此脚本,用您要部署的可信证书的哈希值替换 d960e680 即可。 

; 将可信证书从核心服务器的 ldlogon 目录中 

; 复制到客户端的可信证书目录中 

[MACHINES] 

REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680.0 

在核心服务器之间复制证书/私钥文件 

将证书 (.0) 部署到设备的另一方法是在核心服务器之间复制证书/私钥集。核心服务器可包 

含多个证书/私钥文件。只要设备能够使用密匙之一通过核心服务器上的身份验证,就能与该核心 

服务器通信。


当使用基于证书的远程控制时,目标设备必须在核心数据库中 

如果您在对设备使用基于证书的远程控制安全,您仅可以远程控制在您连接到的核心数据库中有清 

单记录的设备。联系一个节点启动远程控制之前,核心在该数据库中查找以确保请求方具有查看该 

设备的权限。如果该设备未在该数据库中,核心会拒绝该请求。 

将证书/私钥集从一台核心服务器复制到另一台核心服务器 

1. 在源核心服务器上,转到 \Program Files\LANDesk\Shared Files\Keys 文件夹。 

2. 将源服务器上的 .key、.crt 和 .0 文件复制到软盘或其他安 

全的地方。 

3. 在目标核心服务器上,将源核心服务器上的这些文件复制到同一文件夹 (\Program 

Files\LANDesk\Shared Files\Keys) 中。密钥会立即生效。 

请注意确保私钥 .key 不泄密。核心服务器使用此文件验证设备身份,而拥有 

.key 文件的任何计算机都能够对 Management Suite 设备执行远程操作以及将文件传 

输到该设备。 

199

用户指南 

卸载设备代理 

Management Suite 8.5 以前的版本中,任何人都可以通过运行带有 /u 参数的 WSCFG32 来卸载 

Management Suite 代理。由于 WSCFG32 位于 LDLogon 共享目录中,受管设备可以访问该目 

录,这对用户来说,卸载 Management Suite 代理就比较简单了。 

在 Management Suite 8.5 和更新版本中,/u 参数已从 WSCFG32 中删除。在 LDMain 共享目录中 

有一个称为 UninstallWinClient.exe 的新实用程序,该共享目录是主要的 ManagementSuite 程序 

文件夹。仅有管理员可以访问该共享目录。该程序将卸载所有运行该程序的设备上的 Management 

Suite 或 Server Manager 代理。您可以将其移至所需的任何文件夹或将其添加到登录脚本。它是 

Windows 应用程序,可在不显示界面的情况下无提示运行。 

运行此程序不会将设备从核心数据库中删除。如果您向已运行过此程序的设备上重新部署代理,则 

该设备在数据库中将作为一个新设备保存。 

200


将 LANDesk Server Manager 和 LANDesk 

System Manager 与 LANDesk Management 

Suite 一起使用 

Server Manager 和 System Manager 不随 LANDesk Software 提供,需要另外选用,它们可与 

Management Suite 集成。Management Suite 包含一份服务器许可证和您所购数量的设备许可 

证。如果在服务器操作系统上安装 Management Suite 代理,则 Management Suite 还会要求为每 

台服务器再备一份服务器许可证。Server Manager 除了为所管理的服务器添加 Server Manager 本 

身具备的功能,还为其添加 Management Suite 服务器许可证。 

System Manager 帮助您管理网络中的设备,并解决常见的计算机故障,以免问题恶化。如果您已 

经使用 System Manager 管理网络中的某些设备,可利用 Management Suite 与 System Manager 

的集成,从 Management Suite 控制台来管理这些计算机。 

Management Suite 可与某些版本的 Linux 和 UNIX 配合使用。Linux 和 UNIX 计算机支持 

Management Suite 的以下功能: 

• 软件分发。 

• 对硬件和软件进行清单扫描。 

• 从管理控制台查询清单扫描器向核心数据库报告的任何属性。 

• Security Suite 漏洞扫描。此时不支持修补。 

系统要求 

Linux 可在各种体系结构上运行,但 Linux 清单扫描器只在 Intel 体系结构上运行。 

支持的 Linux 和 UNIX 发行版: 

• Red Hat Linux 7.3、8.0 和 9.0 

• IBM AIX 5.1 

• Intel 体系结构 Solaris 8 

• Sun Sparc (Solaris 8) 

• HP-UX 11.0 

201

用户指南 

安装 Linux 服务器代理 

您可以远程地在 Linux 服务器上部署和安装 Linux 代理和 RPM。必须正确配置您的 Linux 服务器 

来完成此操作。要在 Linux 服务器中安装代理,必须具有根权限。 

默认的 Red Hat Enterprise 3 Linux AS 和 ES 安装包括 Linux 标准代理所需的 RPM。如果在配置 

代理中选择监视代理,您需要两个附加的 RPM,perl-CGI 和 sysstat。有关该产品所需的 RPM 完 

整列表,请参见《安装和部署指南》。 

对于初始的 Linux 代理配置,核心服务器使用 SSH 连接与目标 Linux 服务器建立连接。您必须具 

有一个带用户名/密码验证的有效 SSH 连接。本产品不支持公钥/私钥验证。核心服务器和 Linux 服 

务器之间的任何防火墙都必须预留 SSH 端口。考虑测试核心服务器与第三方 SSH 应用程序之间 

的 SSH 连接。 

Linux 代理安装程序包包含 shell 脚本、代理 tarball、.INI 代理配置和代理验证证书。这些文件存储 

在核心服务器的 LDLogon 共享目录下。shell 脚本从 tarball 中解压缩文件、安装 RPM、配置服务 

器,以加载代理并在代理配置中所指定的时间间隔内定期运行清单扫描器。文件位于 

/usr/LANDesk 下。 

使用配置服务实用程序输入调度程序服务作为备用凭证使用的 SSH 凭证。调度程序服务使用这些 

凭证在您的服务器上安装代理。系统会提示您重新启动调度程序服务。如果系统没有提示您重新启 

动,请在调度程序选项卡上单击停止,然后单击启动重新启动服务。此操作将激活您所做的更改。 

部署 Linux 代理 

配置好 Linux 服务器并将 Linux 凭据添加到核心服务器后,必须创建 Linux 代理配置并使用不受管 

的设备搜寻以找到 Linux 服务器。然后便可将搜索到的服务器添加到我的设备列表以部署 Linux 代 

理。向服务器部署代理前,您必须将服务器添加至我的设备列表。使用不受管的设备搜索来找到 

Linux 服务器,以完成此操作。 

创建 Linux 代理配置 

202 

1. 在工具|配置|代理配置中,单击新 Linux 按钮。 


3. 开始页面上默认安装了标准 LANDesk 代理、远程控制和软件分发代理。如果要安装 

LANDesk 漏洞扫描器,请选中该复选框。 

4. 在标准 LANDesk 代理页面上选择要安装的代理身份验证的可信证书。有关详细信息,请 

参阅代理安全证书和可信证书。 


搜索 Linux 服务器并对其部署配置 

1. 在工具|配置|不受管的设备搜索中为每个 Linux 服务器创建搜索作业。使用标准网络扫描并 

输入起始和结束 IP 范围内的 Linux 服务器的 IP 地址。如果有许多 Linux 服务器,请输入 

一个 IP 地址范围。添加搜索 IP 范围后,请单击立即扫描。 

2. 任务完成后,请验证不受管的设备搜索是否已找到要管理的 Linux 服务器。 

3. 在不受管的设备搜索窗口中,将 Linux 服务器拖至代理配置窗口所需的 Linux 配置。 

4. 在计划任务窗口中完成对任务的计划。

手动安装 Linux 代理 

拉 Linux 代理配置 

1. 从 LDLOGON 共享目录复制下列文件。 

*.0 (“点零”文件是标准 LANDesk 代理的证书 - 应该有一个 .0 文件) 

.sh(此处替换为您的配置名称) 

unix\linux\baseclient.tar.gz 

unix\linux\monitoring.tar.gz 

unix\linux\vulscan.tar.gz 

2. 将 Linux 框中要拉的文件放置在临时目录中,如 "/tmp/ldcfg"。 

3. 如果是 IPMI/BMC 计算机(安装中包括监视程序),则在命令行中键入下列内容: 

export BMCPW="(bmc 密码)" 


4. 以根用户身份运行,执行配置的 shell 脚本。例如,如果将脚本命名为“basic-linux”,则使 

用在步骤 2 中采用的完整路径: 

/tmp/ldcfg/basic-linux.sh 

清单扫描器命令行参数 

清单扫描器 ldiscnux 具有多个命令行参数,用于指定该扫描器的运行方式。有关每个参数的详细说 

明,请参见 "ldiscnux -h" 或 "man ldiscnux"。每个选项前均可加上 '-' 或 '/'。 

参数说明 

-d=Dir 在 Dir 目录(而非根目录)下启动软件扫描。默认情况下,在根目录下 

启动扫描。 

-f 强制运行软件扫描。如果没有指定 -f,扫描器会以在控制台的配置|服 

务|清单|扫描器设置中指定的日期间隔(默认为每天)执行软件扫描。 

-f- 禁用软件扫描。 

-i=ConfName 指定配置文件名。默认值为 /etc/ldappl.conf。 

- 

ntt=address:port 

核心服务器的主机名或 IP 地址。端口是可选项。 

-o=File 将清单信息写入指定的输出文件。 

-s=Server 指定核心服务器。此命令是可选的,仅用来实现向后兼容。 

-stdout 将清单信息写入标准输出中。 

-v 在扫描期间启用详细状态消息。 

-h 或 -? 显示帮助屏幕。 

203

用户指南 

示例 

要将数据输出到文本文件,请键入: 

ldiscnux -o=data.out -v 

要将数据发送到核心服务器,请键入: 

ldiscnux -ntt=ServerIPName -v 

Linux 清单扫描器文件 

文件说明 

ldiscnux 运行时带有命令行参数的可执行文件,指示要采取的操作。所有运行 

扫描器的用户均需要足够的权限才能执行该文件。 

此文件的版本将根据上述支持的每个平台而改变。 

/etc/ldiscnux.conf 该文件始终位于 /etc 下,其中包含以下信息: 

• 清单分配的唯一 ID 

• 上次执行硬件扫描的时间 

• 上次执行软件扫描的时间 

所有运行扫描器的用户均需要该文件的读和写属性。/etc/ldiscnux.conf 

中的唯一 ID 是第一次运行清单扫描器时分配给计算机的唯一编号。该 

号码可用来标识这台计算机。一旦更改了该号码,核心服务器会将其 

视为不同的计算机,这样就会导致数据库中出现重复条目。 

警告:在创建唯一 ID 号后,请不要更改该 ID 号或删除 ldiscnux.conf 

文件。 

/etc/ldappl.conf 在此文件中,您可以自定义运行软件扫描时,清单扫描器将报告的可 

执行文件的列表。该文件中包含一些示例,您需要为自己使用的软件 

包添加条目。搜索条件的基本要素为文件名和文件大小。虽然该文件 

通常位于 /etc 下,但扫描器可以通过 -i= 命令行参数来使用替代文件。 

ldiscnux.8 ldiscnux 的手册页。 

控制台集成 

在将 Linux 计算机扫描到核心数据库后,可以执行以下操作: 

204 

• 查询由 Linux 清单扫描器返回给核心数据库的任何属性。 

• 使用报告功能生成报告,报告中包含 Linux 扫描器收集的信息。例如,在操作系统一览表 

报告中,Linux 将显示为操作系统类型。 

• 查看 Linux 计算机的清单信息。 

查询“系统正常运行时间”按字母顺序排序,会返回未预期的结果 

如果要执行查询来确定有多少台计算机的运行时间超过了一定的天数(如 10 天),请查询“系统启 

动”,而不是“系统正常运行时间”。查询“系统正常运行时间”可能会返回未预期的结果,因为系统正 

常运行时间只是一个格式为“x 天,y 小时,z 分钟,j 秒”的字符串。排序依据是字母顺序,而不是 

时间间隔。

控制台中不显示 ldappl.conf 中引用的配置文件的路径 

ldappl.conf 文件中的 ConfFile 条目必须包含路径。 

所需要的 RPM(版本号或更高版本) 


建议您在 ...\ManagementSuite\ldlogon\RPMS 目录中存储所有 RPM。您可以通过 http://核心服务 

器名称/RPMS 浏览到此目录。 

205

用户指南 

REDHAT ENTERPRISE 

perl 

RPM 版本:5.8.0-88.4 

Binary 版本:5.8.0 

python 

RPM 版本:2.2.3-5 


pygtk2 

RPM 版本:1.99.16-8 

Binary 版本: 

sudo 

RPM 版本:1.6.7p5-1 

Binary 版本:1.6.7.p5 

bash 

RPM 版本:2.05b-29 

Binary 版本:2.05b.0(1)-发行版 

xinetd 

RPM 版本:2.3.12-2.3E 


mozilla 

RPM 版本: 

Binary 版本:1.5 

openssl 

RPM 版本:0.9.7a-22.1 

Binary 版本:0.9.7a 

perl-CGI 

RPM 版本:2.81-88.4 

Binary 版本:2.81-88.4 

perl-Filter 

RPM 版本:1.29-3 

Binary 版本:1.06 

sysstat 

RPM 版本:4.0.7-4 


206

SUSE LINUX 

(SuSE 64) 

bash 

RPM 版本:2.05b-305.6 

mozilla 

RPM 版本: 1.6-74.14 

mysql 

RPM 版本: 4.0.18-32.9 

mysql-server 

RPM 版本:无 [由 mysql 提供] 

net-snmp 

RPM 版本: 5.1-80.9 

openssl 

RPM 版本:0.9.7d-15.13 

perl 

RPM 版本: 5.8.3-32.1 

perl-CGI 

RPM 版本:无 [由 perl 提供] 

perl-DBD 

RPM 版本:mysql-2.9003-22.1 [注:情况变化] 

perl-DBI 

RPM 版本: 1.41-28.1 

perl-Filter 

RPM 版本:无 [由 perl 提供] 

python-gtk 

RPM 版本:2.0.0-215.1 [注:程序包名称更改] 

python 

RPM 版本: 2.3.3-88.1 

sudo 

RPM 版本:1.6.7p5-117.1 

sysstat 

RPM 版本: 5.0.1-35.1 

xinetd 

RPM 版本: 2.3.13-39.3 

lm_sensors 

RPM 版本:无(注:此版本已合并到 2.6 版本的内核) 


207

使用数据库查询 

查询是对所管设备执行的自定义搜索。LANDesk Management Suite 为你提供了一种方法,借助此 

方法,可通过数据库查询来查询已扫描到核心数据库中的设备,以及通过 LDAP 查询来查询位于其 

他目录中的设备。在控制台的网络视图中,可使用“查询组”查看、创建和组织数据库查询。而 

LDAP 查询是使用目录管理器工具创建的。 

有关使用 Directory Manager 创建和使用 LDAP 目录查询的详细信息,请参阅使用 LDAP 查询。 


• 查询概述 

• 查询组 

• 创建数据库查询 

• 运行查询 

• 导入和导出查询 

209

用户指南 

查询概述 

借助于查询,您可以根据特定的系统或用户标准,搜索和组织核心数据库中的网络设备,从而协助 

您管理网络。 

例如,您可以创建并运行一个查询,它只查找以下这种设备:处理器的时钟频率低于 166 MHz, 

或 RAM 小于 64 MB,或硬盘驱动器小于 2 GB。创建一条或多条表示这些条件的语句,并使用标 

准逻辑运算符将它们相互关联起来。运行查询后,可以打印查询的结果,并访问和管理相应的设 

备。 

210

查询组 


查询在网络视图中可以组合为组的形式。通过右击我的查询组,然后相应地选择新建查询或新建查 

询组,可以创建新查询(和新查询组)。 

Management Suite 管理员(即拥有 LANDesk 管理员权限的用户)可以查看所有查询组的内容, 

其中包括:我的查询、公共查询、所有查询和用户查询。 

当其他的 Management Suite 用户登录到控制台后,就可以根据各自的设备范围来查看我的查询 

组、公共查询组和所有查询组中的查询。用户看不到用户查询组。 

当您将查询移到某个组中(右击,然后选择添加到新组或添加到现有组,或通过拖放查询)时,实 

际上只是创建了该查询的副本。您可以删除任何查询组中的副本,但查询的主副本(在所有查询组 

中)将不受影响。如果要删除主副本,可在所有查询组中执行此操作。 

有关如何在网络视图中显示查询组和查询以及使用它们可以完成哪些任务的详细信息,请参阅了解 

网络视图。 

211

用户指南 

创建数据库查询 

在新建查询对话框中,通过选择属性、关系运算符和属性值可以构建查询。选择清单属性,然后将 

其与适当的值关联起来,这样可以构建查询语句。将查询语句彼此之间进行逻辑上的关联,以确保 

在将这些语句与其他语句或组关联之前,可将它们作为组进行求值。 

创建数据库查询 

212 

1. 在控制台的网络视图中,右击我的查询组(如果您具有公共查询管理权限,也可以右击公 

共查询),然后单击新建查询。 

2. 输入查询的唯一名称。 

3. 从清单属性列表中选择组件。 

4. 选择关系运算符。 

5. 从值列表中选择值。您可以编辑值。 

6. 单击插入,将该语句添加到查询列表中。 

7. 如果要查询多个组件,请单击逻辑运算符(AND 或 OR),然后重复步骤 2-5。 

8. (可选)要将查询语句进行分组,以便作为组进行求值,请选择两条或更多条查询语句, 

然后单击组合 ( )。 

9. 添加语句完成后,请单击保存。 

关于“新建查询”对话框 

借助于此对话框,您可以使用以下功能创建新查询: 

• 名称:标识查询组中的查询。 

• 机器组件:列出查询可以扫描的清单组件和属性。 

• 关系运算符:列出关系运算符。这些运算符决定了特定组件的哪些描述值将满足查询条 

件。 

Like 运算符是一个新增的关系运算符。如果用户未在查询中指定通配符 (*),Like 运算符将 

在字符串的两端添加通配符。以下列举了三个使用 Like 运算符的示例: 

Computer.Display Name LIKE "Bob's Machine" 查询相当于:Computer.Display Name 

LIKE "%Bob's Machine%" 

Computer.Display Name LIKE "Bob's Machine*" 查询相当于:Computer.Display Name 

LIKE "Bob's Machine%" 

Computer.Display Name LIKE "*Bob's Machine" 查询相当于:Computer.Display Name 

LIKE "%Bob's Machine" 

• 显示扫描值:列出所选清单属性的可用值。也可以手动输入适当的值,或使用“编辑值”字 

段编辑所选的值。如果所选的关系运算符为“Exists”(存在)或“Does Not Exist”(不存 

在),则所有描述值都不可用。 

• 逻辑运算符:决定查询语句如何在逻辑上相互关联: 

• AND:前面的查询语句“与”要插入的语句均必须为真,才能满足查询条件。 

• OR:前面的查询语句“或”要插入的语句有一条为真,即满足查询条件。


• 插入:将新语句插入查询列表,并根据列出的逻辑运算符,将该语句与其他语句从逻辑上 

关联起来。您必须先构建可接受的查询语句,才能选择该按钮。 

• 编辑:用于编辑选定的查询语句。完成更改之后,请单击更新按钮。 

• 删除:将所选的语句从查询列表中删除。 

• 全部清除:删除查询列表中的全部语句。 

• 查询列表:列出插入到查询中的每条语句及其与所列其他语句的逻辑关系。成组的语句用 

括号括起来。 

• 组合 ():将所选的语句组合在一起,以便这些语句针对彼此求值,然后针对其他语句进行 

求值。 

• 取消组合:取消所选分组语句的组合。 

• 过滤器:打开用于显示设备组的“查询过滤器”对话框。通过选择设备组,可以将查询限定 

为仅查询所选组中包含的设备。如果未选择任何组,查询将忽略组成员身份。 

• 选择列:用于添加或删除显示在该查询的查询结果列表中的列。选择组件,然后单击右箭 

头按钮,可以将该组件添加到列列表中。您可以手动编辑“别名和排序顺序”文本,您所做 

的更改将显示在查询结果列表中。 

• 限定符:限定符按钮用于限制数据库中的一对多关系,如果没有该限定符,同一机器会在 

结果集中多次列出。例如,如果要查看组织中每台机器上所安装的 Microsoft Word 版 

本,应在查询框中插入 Computer.Software.Package.Name = "Microsoft Word", 

然后在“选择列”列表中选择 Computer.Software.Package.Version。但如果只列出软 

件版本,就会将每台机器上安装的每个软件的每个版本都列出来,您显然不希望这样。要 

解决此问题就要限制(限定)仅列出 Microsoft Word 的版本。单击“限定”按钮,插入 

Computer.Software.Package.Name = "Microsoft Word"。这样就只返回 Microsoft 

Word 的版本。 

• 保存:保存当前查询。如果您在运行某个查询之前先保存它,则该查询将一直保存在核心 

数据库中,直到您明确删除它。 

以显示的顺序执行查询语句 

如果未进行分组,该对话框中列出的查询语句将按自下至上的顺序执行。请确保将相关的查询项分 

成一组,以便按组对这些项进行求值,否则,查询的结果可能会出乎意料。 

213

用户指南 

运行数据库查询 

运行查询 

214 

1. 在网络视图中,展开查询组,以便找到要运行的查询。 

2. 双击查询。也可以右击并选择运行。 

3. 结果(匹配的设备)将显示在网络视图的右侧窗格中。

导入和导出查询 

可以使用导入和导出功能将查询从一个核心数据库传输到另一个核心数据库。可导入: 

• Management Suite 8 导出的查询 

• Web 控制台导出的 .XML 查询 

• Management Suite 6.52、6.62 和 7.0 导出的 .QRY 查询 

导入查询 

1. 右击将放置所导入的查询的查询组。 

2. 从快捷菜单中选择导入。 

3. 浏览至要导入的查询并选中它。 

4. 单击打开,将该查询添加到网络视图中的所选查询组。 

导出查询 

1. 右击要导出的查询。 

2. 从快捷菜单中选择导出。 

3. 浏览到要将该查询保存为 .XML 文件的位置。 

4. 键入查询的名称。 

5. 单击保存,导出查询。 


215

使用 LDAP 查询 

除了提供用数据库查询来查询核心数据库的方法之外,Management Suite 还提供了“目录管理器” 

工具,用于通过 LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)查找、访问 

和管理其他目录中的设备。 

您可以根据特定的属性(如处理器类型或操作系统)来查询设备。您也可以根据特定的用户属性 

(如员工 ID 或部门)来进行查询。 

有关从网络视图中的查询组创建并运行数据库查询的信息,请参阅使用数据库查询。 


• 关于“目录管理器”窗口 

• 创建 LDAP 目录查询 

• 有关 LDAP 的详细信息 

217

用户指南 

关于“目录管理器”窗口 

使用目录管理器可以完成以下任务: 

218 

• 管理目录:打开目录属性对话框,从中可以识别和登录 LDAP 目录。 

• 移除目录:从“预览”窗格中移除所选目录并停止管理该目录。 

• 刷新视图:重新加载受管目录和目标用户列表。 

• 新建查询:打开 LDAP 查询对话框,从中可以创建和保存 LDAP 查询。 

• 删除查询:删除所选查询。 

• 运行查询:生成所选查询的结果。 

• 对象属性:查看所选对象的属性。 

使用目录管理器可将 LDAP 组和已保存的 LDAP 查询拖动到计划任务,使它们成为任务目标。 

“目录管理器”窗口由以下两个窗格组成:左侧的目录窗格和右侧的预览窗格。 

目录窗格 

目录窗格显示所有注册目录和用户。作为管理员,您可以指定注册目录的名称,并查看与该目录相 

关的查询的列表。您可以通过右击或使用下拉菜单为注册目录创建新查询,然后进行保存。在创建 

了查询之后,可以将查询拖放到计划任务窗口中,以便将任务应用到与查询相匹配的用户。 

预览窗格 

当您在“目录管理器”对话框左侧的目录窗格中选择已保存的查询时,策略的目标将指向右侧预览窗 

格中的该查询。与此类似,当您在目录窗格中选中单个 LDAP 用户时,策略的目标将指向预览窗格 

中的该用户。 

• 注册目录:查询组项和浏览项。 

• 查询组:与目录相关的查询。 

• 查询:提供有关查询的详细信息。 

• 浏览和目录项:目录中的子项。 

创建 LDAP 目录查询 

创建和保存目录查询 

创建目录查询并保存该查询的任务分为以下两个步骤: 

在 LDAP 目录中选择对象并启动新查询 

1. 单击工具|分发|目录管理器。 

2. 浏览至目录管理器目录窗格,然后在 LDAP 目录中选择对象。此时将创建一个 LDAP 查 

询,该查询返回目录树中自此位置以下的查询结果。 

3. 在目录管理器中,单击新建查询工具栏按钮。请注意,只有在您选择了目录树 (o=my 

company) 的根组织 (o) 或根组织内的组织单位 (ou=engineering) 后,才会显示该图标。否 

则,该图标是灰显的。

4. 显示基本 LDAP 查询对话框。 

创建、测试和保存查询 


1. 在基本 LDAP 查询对话框中,从目录属性列表中单击将成为查询标准的属性(例如 = 

department)。 

2. 单击该查询要使用的比较运算符(=、=)。 

3. 输入属性的值(例如,department = engineering)。 

4. 要创建将多个属性组合在一起的复杂查询,请选择组合运算符(AND 或 OR),然后重复 

第 1 到第 3 步(您可以根据需要重复多次)。 

5. 完成创建查询后,请单击插入。 

6. 要测试已完成的查询,请单击测试查询。 

7. 要保存查询,请单击保存。所保存的查询将按名称显示在目录管理器的目录窗格中的保存 

的查询下。 

关于“基本 LDAP 查询”对话框 

• LDAP 查询根目录:在目录中选择该查询的根对象 

(LDAP://ldap.xyzcompany.com/ou = America.o = xyzcompany)。要创建的查询 

将返回树中自此位置以下的查询结果。 

• LDAP 属性:选择用户类型对象的属性。 

• 运算符:选择要执行的运算类型,这些运算类型与 LDAP 对象、其属性以及属性值相关, 

其中包括:等于 (=)、小于或等于 (=)。 

• 值:指定分配给 LDAP 对象的属性的值。 

• AND/OR/NOT:布尔操作符,可选择用于查询条件。 

• 测试查询:对所创建的查询执行测试。 

• 保存:用名称保存所创建的查询。 

• 高级:使用基本 LDAP 查询的元素以任意方式创建查询。 

• 插入:插入一个查询标准行。 

• 删除:删除一行选定的查询标准。 

• 全部清除:清除全部查询标准行。 

关于“保存 LDAP 查询”对话框 

在基本 LDAP 查询对话框中,单击保存以打开保存 LDAP 查询对话框,该对话框将显示如下选 

项: 

• 选择该查询的名称:用于为所创建的查询选择名称。 

• 查询详细信息 LDAP 根目录:可以使用基本 LDAP 查询的元素以任意方式创建查询。 

• 查询详细信息 LDAP 查询:在以任意方式创建自己的查询时,显示可供参考的查询示 

例。 

• 保存:使用名称保存所创建的查询。该查询将保存到目录管理器目录窗格中的 LDAP 目录 

条目下的保存的查询项中。 

219

用户指南 

关于“目录属性”对话框 

在目录管理器工具栏中,单击管理目录工具栏按钮,以打开目录属性对话框。利用此对话框,您可 

以开始管理新目录或查看当前受管目录的属性。该对话框还将显示 LDAP 服务器的 URL 以及连接 

到 LDAP 目录所需的身份验证信息: 

220 

• 目录 URL:用于指定要管理的 LDAP 目录。LDAP 目录和正确语法的示例可以表示为 

ldap..com。例如,可以键入 ldap.xyzcompany.com。 

• 身份验证:允许您以后续用户(即您指定用户路径以及用户名和用户密码)的身份登录。 

关于“高级 LDAP 查询”对话框 

在基本 LDAP 查询对话框中,单击高级,以打开高级 LDAP 查询对话框,该对话框将显示以下选 

项: 

• LDAP 查询根:用于在目录中选择该查询的根对象。要创建的查询将返回树中自此位置以 

下的查询结果。 

• LDAP 查询:可以使用基本 LDAP 查询的元素以任意方式创建查询。 

• 示例:在以任意方式创建自己的查询时,显示可供参考的查询示例。 

• 测试查询:对所创建的查询执行测试。 

当您选择对已创建的查询进行编辑时,将显示高级 LDAP 查询对话框。另外,如果您在“目录管理 

器”中选择 LDAP 组,然后从该位置创建查询,也将显示高级 LDAP 查询对话框,且其默认查询所 

返回的用户是该组的成员。您不能更改该默认查询的语法,而只能保存查询。

有关轻型目录访问协议 (LDAP) 的详细信息 


轻型目录访问协议 (LDAP) 是一个行业标准协议,用于访问和查看有关用户和设备的信息。利用 

LDAP,您可以将这些信息组织和存储到目录中。由于可以根据需要进行更新,因此 LDAP 目录是 

动态的;同时它也是分布式的,从而保护该目录免受单点故障危害。通用 LDAP 目录包括:Novell 

Directory Services* (NDS) 和 Microsoft Active Directory Services* (ADS)。 

以下示例说明了可用于搜索该目录的 LDAP 查询: 

• 获取所有条目:(objectClass=*) 

• 获取通用名中包含 'bob' 的条目:(cn=*bob*) 

• 获取通用名大于或等于 'bob' 的条目:(cn>='bob') 

• 获取所有带电子邮件属性的用户:(&(objectClass=user)(email=*)) 

• 获取所有带电子邮件属性并且姓氏等于 'smith' 的用户条目: 

(&(sn=smith)(objectClass=user)(email=*)) 

• 获取所有通用名以 'andy'、'steve' 或 'margaret' 开头的用户条目: 

(&(objectClass=User) (| (cn=andy*)(cn=steve*)(cn=margaret*))) 

• 获取所有不带电子邮件属性的用户条目:(!(email=*)) 

搜索过滤器的正式定义如下所示(RFC 于 1960 年制订): 

• ::= '(' ')' 

• ::= | | | 

• ::= '&' 

• ::= '|' 

• ::= '!' 

• ::= | 

• ::= | | 

• ::= 

• ::= | | | 

• ::= '=' 

• ::= '~=' 

• ::= '>=' 

• ::= '

管理清单 

LANDesk 使用清单扫描实用程序向核心数据库添加设备,并收集设备硬件和软件数据。您可以查 

看、打印和导出清单数据。还可以使用它来定义查询,对设备进行分组,以及生成专门报告。 


清单 

• 清单扫描概述 

• 查看清单数据 

• 跟踪清单更改 

注意:有关运行清单扫描器的详细信息,以及清单扫描器故障排除技巧,请参阅其他清单操作和故 

障排除。 

223

用户指南 

清单扫描概述 

清单扫描器收集硬件和软件数据,并将这些数据输入核心数据库。使用代理配置工具配置设备时, 

清单扫描器是设备上安装的标准 LANDesk 代理的组件之一。第一次配置设备后,清单扫描器将自 

动运行。一旦设备将清单扫描发送到核心数据库,就认为该设备是受管理的设备。扫描器可执行文 

件的名称是 LDISCN32.EXE,该文件支持 Macintosh、Linux 和 Windows 95/98/NT/2000/2003/XP 

设备。 

存在两种清单扫描类型: 

224 

• 硬件扫描:硬件扫描列出受管设备上的硬件清单。硬件扫描运行速度很快。可以在可部署 

到受管设备的代理配置(工具|配置|代理配置)中配置硬件扫描时间间隔。默认情况下,每 

次启动设备时都会运行硬件扫描。 

• 软件扫描:软件扫描列出受管设备上的软件清单。运行这些扫描的时间比硬件扫描长。软 

件扫描需要数分钟时间才能完成,具体取决于受管设备上的文件数。默认情况下,无论清 

单扫描器在设备上运行的频率如何,软件扫描每天都会运行一次。可以在配置|服务|清单选 

项卡中配置软件扫描时间间隔。 

您可以根据需要,在网络视图和快捷菜单中找到设备,然后单击清单扫描来对设备进行扫描。 

注意:通过搜寻功能向核心数据库添加设备时,该设备的清单数据并未扫描到核心数据库中。必须 

在每个设备上运行清单扫描,才能显示该设备的完整清单数据。 

您可以查看清单数据,并使用它们来完成以下操作: 

• 自定义网络视图列,以显示特定的清单属性 

• 在核心数据库中查询具有特定清单属性的设备 

• 对设备进行分组,以加速执行管理任务(如软件分发) 

• 基于清单属性生成专门报告 

还可以使用清单扫描来跟踪设备上的硬件和软件更改,并在发生此类更改时生成警报或日志文件条 

目。有关详细信息,请参阅本章后面的跟踪清单更改。 

阅读以下各节可了解有关清单扫描器工作方式的详细信息。 

增量扫描 

在设备上初次运行完全扫描之后,清单扫描器只捕获增量更改,并将这些更改发送到核心数据库。 

只发送更改过的数据可使网络通信量和数据的处理次数最小化。 

强制完全扫描 

如果要强制完全扫描设备的硬件和软件数据,请使用以下方法之一: 

• 删除设备上的 INVDELTA.DAT 文件。最新清单扫描的副本将以隐藏文件形式存储在每台 

本地受管设备的 \Program Files\LANDesk\LDClient\Data 文件夹 

下,文件名为 INVDELTA.DAT。 

• 在清单扫描器实用程序的命令行中添加 /sync 选项。要编辑命令行,请右击清单扫描快捷 

方式图标并选择属性|快捷方式,然后编辑目标路径。

管理清单 

• 在核心服务器上,将 "Do Delta" 注册表项设置为 0,然后停止并重新启动 LANDesk 清单 

服务器服务。此注册表项位于: 

HKLM\Software\Intel\LANDesk\LDWM\Server\Inventory Server\Do Delta 

扫描压缩 

默认情况下,Windows 清单扫描器 (LDISCN32.EXE) 执行清单扫描时将压缩扫描结果。扫描器按 

大约 8:1 的压缩比来压缩完全扫描和增量扫描的结果。首先在内存中生成完整的扫描数据,然后将 

数据压缩并传输到核心服务器。扫描压缩可减少数据包的数量,从而减少带宽占用量。 

可以通过将核心服务器的 "Disable Compression" 注册表项设置为 1 来禁用清单扫描压缩。默认值 

为 0,表示启动压缩。此注册表项位于: 

HKLM\Software\Intel\LANDesk\LDWM\Server\Inventory Server\Disable Encryption 

加密数据传输 

在配置|服务|清单选项卡中,有一个加密数据传输选项。此选项使设备扫描结果发送到使用 SSL 的 

核心服务器。由于文件是通过 Web 服务而不是清单服务前端发送,因此即使在注册表中启用了该 

选项,NAT 地址也不会添加到扫描文件的末尾。 

225

用户指南 

查看清单数据 

一旦清单扫描器扫描了设备,您就可以在控制台中查看设备的系统信息。 

设备清单存储在核心数据库中,其内容包括硬件、设备驱动程序、软件、内存和环境信息。这些清 

单数据有助于您管理和配置设备,并快速识别系统问题。 

可以通过以下方法查看清单数据: 

226 

• 查看清单一览表 

• 查看完整清单 

还可以在生成的报告中查看清单数据。有关详细信息,请参阅报告。 

查看清单一览表 

清单一览表位于设备的属性页上,从中可以快速查看设备的基本操作系统配置和系统信息。一览表 

还显示上次清单扫描的日期和时间,以便了解数据的新旧程度。 

注意:使用搜寻工具向核心数据库添加设备时,该设备的清单数据并未扫描到核心数据库中。必须 

对该设备运行清单扫描才能成功实现清单一览表功能。 

查看清单一览表 

1. 在控制台的网络视图中,右击某个设备。 

2. 单击属性|清单选项卡。 

对 Windows NT/2000/2003/XP 设备的清单汇总数据与对 Windows 95/98 设备的清单汇总数据不 

同。 

查看完整清单 

完整清单提供设备的详细硬件组件和软件组件的完整列表。此列表包含对象和对象属性。 

查看完整清单 

1. 在控制台的网络视图中,右击设备。 

2. 单击清单。 

有关详细信息,请参阅关于“清单”窗口。 

查看属性的特性 

您可以从清单列表中查看设备清单对象的属性特性。属性特性可提供清单对象的特征和值。您还可 

以创建新的自定义属性和编辑用户定义的属性。 

要查看某个属性的特性,请双击该属性。

有关详细信息,请参阅关于“清单属性特征”对话框。 

管理清单 

227

用户指南 

跟踪清单更改 

LANDesk 可以检测并记录对设备硬件和软件所做的更改。跟踪清单更改可以帮助您控制网络资 

产。借助于清单更改设置,您可以选择要保存的更改类型以及严重性级别。所选的更改既可以保存 

到清单历史记录日志中,也可以保存到核心服务器的 Windows 事件日志中,还可以作为 AMS 警 

报发送。 

您可以查看和打印设备的清单更改历史记录。此外,可以将清单更改导出为 .CSV 格式的文件,以 

便使用您自己的报告工具进行分析。 

要跟踪和使用清单更改,首先必须配置清单更改设置。您将可以执行其他清单更改历史记录任务: 

228 

• 配置清单更改设置 

• 查看、打印和导出清单更改 

配置清单更改设置 

注意:要查看、打印或导出网络上任何设备的清单更改,首先必须配置这些设置。 

配置清单更改设置 

1. 单击配置|清单历史记录。 

2. 在清单更改设置对话框中,展开当前清单列表中的计算机对象,然后选择要跟踪的系统组 

件。 

3. 在事件记录位置列表中,选择要跟踪的组件属性。 

4. 选取适当的复选框,以指定一个位置来记录对该属性所做的更改。清单更改既可以记录到 

清单更改历史记录日志中,也可以记录到 Windows NT 事件查看器日志中,还可以作为 

AMS 警报发送。 

5. 从日志/警报的严重性下拉列表中选择一种严重性级别。严重性级别包括:无、信息、警告 

和严重。 


有关详细信息,请参阅关于“清单更改设置”对话框。 

查看、打印或导出清单更改 

查看、打印或导出清单更改 

1. 在控制台的网络视图中,右击一个或多个设备。 

2. 单击清单历史记录。 

3. 单击打印可打印清单更改历史记录。 

4. 单击导出可以将清单更改历史记录另存为 .CSV 文件。 

有关详细信息,请参阅关于“清单更改设置”对话框。

使用报告 

利用报告工具可以生成各种专门的报告,这些报告提供有关网络中设备的关键信息。 


• 报告概述 

• 了解报告和报告组 

• 运行和查看报告 

• 发布报告 

• 创建自定义报告 

• 使用报告设计器 

• 导入和导出报告 

• 创建 .CSV 文件 

229

用户指南 

报告概述 

报告工具利用功能强大的清单扫描实用程序,该实用程序收集并组织硬件和软件数据,以便生成有 

用的、信息性的最新报告(请参阅清单扫描)。您可以使用标准(预定义)服务和清单报告,也可 

以创建自己的自定义报告(请参阅创建自定义报告)。默认情况下,随应用程序提供预定义的报 

告。使用自定义报告可以定义一组独特的信息来生成报告。运行预定义参数或自定义参数,生成一 

个包含相关数据的报告,可以从控制台查看该报告。此外,可以计划将报告发布并保存到磁盘或网 

络上的安全文件共享位置,任何具有相应登录凭据的用户可以在这些位置访问和查看报告。可以计 

划将发布的报告通过电子邮件发送给指定的收件人(根据其权限和范围)。 

了解报告和报告组 

在“报告”窗口(工具|报告/监视|报告)中,报告是以组的方式组织的。管理员可以查看所有报告组 

的内容。具有“报告”访问权限的用户也可以查看、运行和发布报告,但只能在其范围内的设备上进 

行。 

报告窗口的左侧窗格显示以下报告组的分层视图: 

我的报告 

列出已添加到我的报告组中的报告(及报告组)。这些通常是您定期运行并为自己使用而组织的报 

告。它们可以是预定义报告或自定义报告。报告会根据当前登录用户的范围来运行。管理员可以访 

问每个用户的报告组,并可以添加和删除报告(请参阅下面的用户报告)。 

所有自定义报告 

列出您的核心服务器上的所有自定义报告,包括由您自己或其他用户创建或导入的报告。有关详细 

信息,请参阅创建自定义报告。 

标准报告 

列出随应用程序提供的预定义报告。报告已预先格式化,已分配了查询属性和图形类型,随时可以 

使用。 

Management Suite 日志文件 

列出系统上运行的计划任务的日志文件。这些日志文件提供了在网络中的设备上执行的不同服务、 

任务、操作或事件的状态信息。日志文件包括传送方式状态、多播客户端和子网代表状态、操作系 

统部署成功率和计划任务状态,等等。 

注意:日志文件通常存储在 \LANDesk\ManagementSuite\log 目录中。可以在安装期间通过更改路 

径来指定其他目录位置。 

清单报告 

列出所有预定义的清单报告。清单报告提供有关网络中设备的信息,包括将哪些设备分配给用户、 

设备上运行的软件、设备的使用情况、硬件类型、内存利用率、加载能力和规范,等等。 

230

软件授权监视报告 

使用报告 

列出所有预定义的软件授权监视报告。这类报告提供有关所用软件类型、使用频率、批量率和拒绝 

实例等信息,以便监控使用情况和确保遵守软件证许可协议。 

注意:软件授权监视报告不受用户范围的限制。 

远程控制报告 

列出所有预定义的远程控制报告。报告保留了基于客户端、控制台、计算机、持续时间等的远程控 

制使用情况的历史记录。 

不受管设备的报告 

列出所有预定义的不受管设备搜寻报告。报告提供有关不受管设备的信息,包括设备类型、网络位 

置、已应用的代理等等。 

Security and Patch Manager 报告 

列出所有 Security and Patch Manager 报告。报告提供有关漏洞、间谍软件、安全威胁、阻止的应 

用程序、LANDesk 更新和自定义定义等等的信息。可以根据设备类型、日期、位置和其他条件生 

成这些报告。 

用户报告 

列出单个用户的所有报告,这些报告按用户名分为多个子组。用户子组是根据用户的登录 ID 命名 

的,如计算机名\用户帐户或域\用户帐户。每个用户组中都包含该用户的“我的报告”组中显示的报 

告。 

对于用户设备组和用户查询组,只有具有 LANDesk 管理员权限的用户才能看到用户报告组。管理 

员可以针对某个用户的范围,以该用户的身份访问该用户的报告组,进而运行报告。通过这种方 

式,管理员可以预览到用户在运行报告时所看到的相同内容。 

231

用户指南 

运行和查看报告 

通过双击报告,或右击报告并选择运行,可以从报告工具窗口运行报告。如果看到提示,选择相关 

的报告条件,然后单击确定。报告工具将显示在报告查看器中(请参阅报告查看器)。 

也可以直接从网络视图中的设备运行清单报告。从网络视图中,右击要运行报告的设备,单击运行 

清单报告,然后双击要运行的报告。如果看到提示,选择相关的报告条件,然后单击确定。报告查 

看器中将显示报告数据。 

注意:有些报告限于选择单个设备,如果在网络视图中选择了多个设备,将无法运行。此时将出现 

一个消息框,通知您报告是否无法对多个设备运行。 

报告查看器 

报告运行之后,报告查看器将启动并显示由指定信息所生成的报告。此报告查看器提供的控件可以 

根据您的查看首选项显示报告。从报告查看器中还可以导出报告。报告查看器工具栏包含下列控 

件: 

232 

• 目录:显示报告的目录(如果有)。单击目录树中的某个节点,浏览到报告中的相应位 

置。 

• 打印:打开标准默认打印机对话框。 

• 复制:复制选定页的报告内容。 

• 查找:在报告数据中搜索位于任何位置的特定文本字符串。 

• 单页视图:报告在单页中显示。 

• 多页视图:报告在多页中显示,您可以确定页数。 

• 放大:放大报告。 

• 缩小:缩小报告。 

• 缩放百分比:选择特定的报告大小。 

• 上一页:按顺序浏览到上一页(与“后退”相比)。 

• 下一页:按顺序浏览到下一页(与“前进”相比)。 

• “页”框:插入特定页码,直接浏览到该页。 

• 后退:浏览到上一页,与数字顺序无关。 

• 前进:浏览到下一页,与数字顺序无关。 

• 图形:确定是否使用图形(无、条形图或饼图)(如果可用)。 

• 排序:根据所选列更改报告详细信息的排序顺序。 

• 导出:使您可以导出 HTML、PDF、XLS、DOC 和 RTF 格式的报告。

发布报告 

使用报告 

通过发布报告,可以将与网络设备有关的关键的和及时的信息提供给受控的读者。在发布报告时, 

报告将保存到网络上的共享位置。报告可以通过查看方式访问(请参阅共享发布的报告),也可以 

发送给指定收件人(请参阅通过电子邮件发送报告),即使收件人无权访问应用程序。这样,就可 

以与非 LANDesk 用户共享此报告,用户可以在方便的时候查看报告。可以安排在指定的时间自动 

发布报告,并将报告配置为定期重新发布(请参阅安排发布报告)。 

注意:在发布之前不必运行报告。在发布期间生成报告。如果发布的报告较大,从网络上收集了大 

量的数据并进行格式化,这样做可以减少占用的带宽。 

在“LANDesk Reports”用户组中定义默认用户 

在安装 LANDesk 期间,系统会提示您在“LANDesk Reports”用户组中创建并定义用户帐户。该组 

控制着对共享目录的访问权限,而发布的报告即保存在共享目录中。默认用户组名称为 LANDesk 

Reports。在安装过程中可以更改此名称。应用程序安装完成之后不应更改 LANDesk 报告用户 

组。 

在安装过程中通过指定用户名和密码可以为该组定义一个默认的用户。可在安装过程中选择清除此 

选项,但是如果希望能够从网络上的某个文件共享访问发布的报告,则应定义此默认用户帐户。将 

默认用户的登录信息发送至非 LANDesk 用户,以便他们访问发布的报告。现有 LANDesk 用户可 

以添加到 LANDesk 报告用户组,并使用自己的身份验证,或为现有 LANDesk 用户提供默认的用 

户信息。LANDesk 用户可以通过核心服务器上的 Windows NT 用户环境或使用本地帐户添加到 

LANDesk 报告组(请参阅管理本地帐户)。 

发布报告 

在发布报告时,可以将报告文件保存为下列任意格式:.HTML、.PDF、.XLS、.DOC 和 .RTF。 

发布报告 

1. 单击工具 | 报告/监视 | 报告。 

2. 找到希望发布的报告,右击该报告,然后单击发布。 

注意:在发布报告之前,“不必”运行报告。 

3. 如果看到提示,选择要求的报告条件,然后单击确定。 

4. 在发布报告对话框中,检查报告的名称(可以更改),检查报告文件的保存位置,指定文 

件格式,然后单击保存。 

注意:已发布报告的默认存储位置为核心服务器上的 ldmain\reports 文件夹。这是一个安 

全的文件共享目录,只有 LANDesk Reports 用户组中的成员有权访问。 

5. (可选)在已发布的报告对话框中,可单击预览确认报告的内容和格式,然后再将文件共 

享的网络路径发送给收件人。如果希望将报告的完整路径和文件名粘贴到另一应用程序 

中,以供今后参考,或直接将其粘贴到将发送给报告查看者的电子邮件正文中,还可单击 

将路径复制到剪贴板。 

233

用户指南 

234 

6. 单击关闭。 

共享发布的报告 

报告发布到核心服务器上的共享文件夹之后,如果外部读者具有有效的用户名和密码,可以通过文 

件共享的身份验证,则可以访问该报告。通过向所需的收件人发送已发布报告的网络路径,分发已 

发布的报告。网络路径必须包含完整的路径和文件名。当收件人访问文件共享时,程序将提示他们 

输入作为 LANDesk Reports 组成员的有效的用户名和密码,输入后才可以打开并查看报告。 

LANDesk Reports 用户组的默认用户在安装应用程序时定义(请参阅在 LANDesk Reports 组中定 

义默认用户)。如果已将其他用户添加到 LANDesk Reports 组中,这些用户则可以使用自己的用 

户名和密码访问发布的报告。 

安排发布报告 

自动发布可以确保计划的报告在指定的时间立即发布。使用报告安排功能,您不必在现场,即可进 

行发布。将报告配置为定期重新发布,这样可以将更多有价值的资源用于执行其他重要任务。由此 

便可提供连续可靠的报告。要在所需的时间提供关键信息,可以安排发布报告的时间至关重要。 

注意:只有某些报告类型可以安排发布。 

安排发布报告 


2. 右击要安排发布的报告。 

3. 选择安排发布。使用该报告名的任务在计划任务下创建并突出显示。 

4. 从计划任务工具中右键单击任务,然后单击属性。 

5. 在计划任务下,输入所需的安排信息。 

6. 在收件人下选择要将报告发布到的位置。 


通过电子邮件发送报告 

为了以电子邮件方式发送报告,创建要发布的报告的计划任务并指定所需收件人。每次运行计划好 

的报告时,配置为通过电子邮件发送的报告将自动发送给收件人。报告的内容基于用户的范围。通 

过电子邮件发送的报告采用 .PDF 格式。必须在相应的用户属性下提供所需收件人的电子邮件地址 

(请参阅基于角色的管理)。提供电子邮件地址只是使用户有资格接收报告。还需要在安排发布报 

告时,从创建的计划任务中将这些用户选择为收件人(请参阅安排发布报告)。 

以下任务必须在通过电子邮件将报告发送到所需的收件人之前完成: 

• 安排发布报告 

• 将电子邮件地址分配给用户 

• 选择报告的收件人 

• 配置 SMTP 以通过电子邮件发送报告

将电子邮件地址分配给用户 

使用报告 

必须给用户分配电子邮件地址,使用户有资格接收报告。分配后,可以在创建计划发布任务时选择 

用户名作为收件人。有关详细信息,请参阅关于计划任务属性对话框。 

将电子邮件地址分配给用户 

1. 单击工具 | 管理 | 用户。 

2. 右击用户,然后单击属性。 

3. 在用户选项卡上,输入报告所需收件人的电子邮件地址。 


选择报告的收件人 

可以选择报告的收件人。核心服务器上的文件共享位置为默认的目标位置。选择要通过电子邮件将 

报告发送到的用户。要将收件人添加到列表中,请参阅将电子邮件地址分配给用户。有关详细信 

息,请参阅关于计划任务属性对话框。 

选择报告的收件人 

1. 单击工具|分发|计划任务。 

2. 找到要通过电子邮件发送的报告的计划任务。记住,报告必须已安排发布(请参阅安排发 

布报告)。 

3. 右键单击报告的任务,然后选择属性。 

4. 在收件人下,选择要接收报告的用户。 


配置 SMTP 以通过电子邮件发送报告 

在安排发布任务时,要通过电子邮件发送报告,必须要有外发邮件服务器和端口号。可以测试 

SMTP 配置,通过向指定地址发送测试电子邮件,确认是否已正确设置。有关详细信息,请参阅关 

于计划任务属性对话框。 

配置 SMTP 以通过电子邮件发送报告 


2. 找到要通过电子邮件发送的报告的计划任务。记住,报告必须已安排发布(请参阅安排发 

布报告)。 

3. 右击报告,然后选择属性。 

4. 在 SMTP 配置下,确保已指定外发邮件服务器 (SMTP)、端口号、登录信息和测试电子邮 

件地址。 


235

用户指南 

创建自定义报告 

创建自定义报告时,可以指定要显示哪些信息及在报告运行后如何显示信息。每个报告均包括查询 

(自定义或预定义)、布局(自定义或预定义)和图形选择(如果适用)。在运行时,指定的查询 

将从数据库中提取相应的数据并用这些数据填充报告。报告根据指定的布局进行格式化。除非特别 

选择,否则,将使用默认的报告布局。可以使用报告设计器设计自定义格式(请参阅使用报告设计 

器)。对于包含图形数据的报告,可以选择报告中要包含的默认组列和图形类型(饼图、条形图或 

无)。 

注意:如果您希望客户报告中的查询数据与预定义报告相同,但想采用自己的格式,则需要创建一 

个利用相同查询参数的自定义报告,然后通过报告设计器应用您的格式。 

要创建自定义报告,从“报告”工具中右击我的报告,然后选择新建自定义报告。管理员还可以从用 

户报告组中通过右击选择用户,然后选择新建自定义报告,来创建自定义报告。另一种创建自定义 

报告的方法是直接使用现有的查询创建,方法是右击查询,然后选择新建自定义报告。“新建自定 

义报告”图标也可以用于创建自定义报告。创建的自定义报告将自动添加到“所有自定义报告”组中。 

创建自定义报告 

236 


2. 右击我的报告,然后选择新建自定义报告。 

3. 从报告属性对话框中输入报告的标题,该标题还作为生成后的报告的实际标题。 

4. 提供对报告的说明,该说明还将作为最终报告中标题下面的正式说明。 

5. 单击选择或创建指定查询。 

6. 如果要更改报告的布局和格式,请单击设计启动报告设计器。 

7. 如果需要,选择报告中所需的图形类型。 


使用报告设计器 

使用报告设计器可以自定义所创建的报告的布局和格式,以便获得所需的外观效果,无论是符合企 

业的风格还是创建独特的报告。报告设计器的布局和格式功能与桌面排版应用程序类似。您还可以 

在报告中添加关系数据字段,这些字段使用从数据库提取的数据动态填充报告(请参阅数据字 

段)。报告设计器在创建或修改自定义报告时从“报告属性”对话框中访问(请参阅创建自定义报 

告)。 

注意:从报告设计器中更改报告的标题或说明不会更改报告属性对话框中的标题或说明。必须分别 

更改。更改了报告布局之后,保存报告,然后在对话框中进行相应的更改。 

有关报告设计器的详细信息,请参阅以下各部分: 

• 关于报告设计器 

• 使用报告模板

关于报告设计器 

设计表面 

使用报告 

设计表面作为报告的框架。报告按照层次顺序分为特定的内容区域。ReportHeader 总是最顶层的 

节点,Details 总是最底层的节点。如果插入其他 GroupHeader(右击设计表面),可能需要对组 

进行重新排序(也是右击设计表面)。这些报告分段可以折叠,通过使表面区域更容易管理来帮助 

设计。网格用于帮助您将内容放在设计表面上,网格可以启用和禁用。 

工具箱 

工具箱由作为报告的构建块的组件(对象)组成。放到设计表面上可以开发报告的结构和布局。通 

过插入工具箱组件,开始开发自定义报告的基础。工具箱由下列组件组成: 

工具栏 

• 指针:选择报告中的组件。只需单击设计表面上的组件。选择了组件后,可以应用其他格 

式,例如调整组件的大小或应用不同的样式。 

• 标签:插入标签。通过单击并拖动框来定义标签的边框。标签文本在选择标签的同时添加 

到属性部分。 

• 文本框:插入文本框。通过单击并拖动框来定义文本框的边框。文本框文本在选择文本框 

的同时添加到属性部分。文本框可以绑定到数据库字段。 

• 复选框:插入复选框。通过单击并拖动框来定义复选框的宽度和高度。复选框可以绑定到 

数据库字段。 

• 图片:插入从文件加载的图像。通过单击并拖动框来定义图像的宽度和高度。将出现一个 

对话框,提示您为图片组件选择图像。 

• 图形:插入矩形、圆形或正方形。通过单击并拖动图形来定义其宽度和高度。 

• 线条:插入线条。单击线条并将其拖动到线条要延伸到的位置。 

• 丰富文本框:插入丰富文本框。通过单击并拖动框来定义丰富文本框的边框。松开按钮 

后,将出现一个对话框,用于选择 RTF 文件。RTF 文件的内容将放入丰富文本框。在丰 

富文本框内部单击可以将光标置于框中,这样可以对特定的单词应用格式。丰富文本框可 

以绑定到数据库字段。 

• 分页符:插入分页符。 

• 条形码:插入条形码。通过单击并拖动条形码来定义组件的边框。条形码可以绑定到数据 

库字段。 

工具栏由标准的格式选项组成,包括文本样式、字体、字体大小、粗体、斜体、下划线、对齐、项 

目符号、缩进、分层等。组件放到设计表面上之后,可以将格式应用于组件,以便实现所需的外 

观。其它格式可从属性部分获得。工具栏上有几种独特的工具: 

• 确定:保存所有更改,并关闭报告设计器对话框。 

• 取消:关闭报告设计器对话框,不保存任何更改。 

• 新建报告:清除报告并提供空白的设计表面,以便创建新报告,但是您仍只能使用在进入 

报告设计器之前定义的相同查询字段。 

• 基于查询自动生成报告:将报告设计恢复为未做任何更改的原始格式。这样,可以根据默 

认设置将报告还原为原始格式。 

• 报告设置:可以配置报告设置。报告设置包括下列选项: 

• 页面设置:定义报告的边距。 

• 打印机设置:定义纸张大小、打印方向和其他打印属性。 

237

用户指南 

数据字段 

238 

• 样式:可以创建和编辑报告中的字体样式。 

• 全局设置:提供网格控件并定义度量单位。 

数据字段值是您在打开报告设计器之前定义的查询参数的别名。数据字段是链接到数据源上的代理 

或占位符。在运行报告时,数据字段将替换为从数据源中提取的信息。最初,数据字段自动放入报 

告。如果已删除这些字段或要启动新报告,可以将数据字段拖放回设计表面。不能在报告设计器中 

创建数据字段。必须在启动设计器之前在查询中指定数据字段(从报告查询对话框中单击选择列 

>>)。 

数据字段应主要用于设计表面的“详细信息”部分,但是也可以放入 GroupHeader 部分。在 

GroupHeader 部分使用数据字段时,必须还要将数据字段应用于 GroupHeader 本身,以便数据字 

段可以向下传播,为所有查询的数据创建实例。要正确为数据分组,需要这样做。例如,将数据字 

段用作标题(如“设备名”),在报告运行时将每台设备的设备名作为标题插入数据库中。每个设备 

名标题将后接详细信息部分(下一层)指定的内容,这些内容是报告的数据字段的剩余部分。在设 

计表面的 GroupHeader 部分,应先插入所需的数据字段。然后选中 GroupHeader 标记,将“内容” 

部分的数据字段更改为与插入到数据字段的数据字段相同。 

注意:如果根据查询,输入的数据字段值不存在,缺少的数据字段框将出现在数据字段框上方。单 

击缺少的数据字段框所提供的值将选择设计表面上的错误数据字段,由此可知道要修复哪个字段。 

内容 

“内容”部分包含设计表面的目录树结构。主报告分为报告的各个部分。放在设计表面上任何指定部 

分的任何组件也将在目录树中相应的报告部分下出现。从目录树中单击某个节点将在设计表面中选 

择该项并在下面直接显示其属性。 

属性 

每一项(包括放在设计表面上的报告部分和组件)均拥有唯一一组属性。这些属性用于进一步配置 

报告,比标准格式和布局工具更加高级。并非每个节点都可以使用所有属性。只提供适用于所选项 

的属性。属性由下列内容组成: 

• 外观:影响所选项的效果。包括所有标准格式工具。 

• 行为:影响所选项的工作方式。 

• 数据:包含所选项的实际内容,例如文本信息或数据字段。 

• 设计:提供对所选项的说明,该说明不会出现在设计表面上。 

• 布局:提供所选项的大小和方向,例如在 X 和 Y 坐标中的位置或宽度和高度的大小。 

• 其他:包含其他属性类型下未包括的所选项的任何其他功能。 

• 一览表:可以在报告中创建一览表。这些总计字段将在运行时自动执行数学运算,并在指 

定的位置显示计算的值。 

使用报告模板 

可以创建报告模板以替代默认的报告布局。由于已经执行了大部分自定义设置,因此创建自定义报 

告将更为容易。要实施自定义的外观,只需应用报告模板。加载模板后,可以根据需要进一步自定 

义新建报告。

注意:只能在自定义的报告中应用报告模板。 

创建报告模板 

报告模板从报告设计器中创建。您可以改变默认模板或其它模板,然后将其另存为模板。 

创建报告模板 


2. 右击我的报告,然后单击新建自定义报告。 

3. 提供标题、说明、查询和图表类型,然后单击设计。 

4. 在报告设计器中,通过修改所有设计、布局和格式来构建新的模板。 

5. 单击文件|另存为模板。 

6. 提供标题和说明,然后单击确定。 

应用报告模板 

创建模板后,可以将其应用到任何自定义报告。 

使用报告 

注意:在对报告进行任何更改之前应用该模板。应用模板之前所做的修改将全部丢失。不能撤销此 

操作。 

应用报告模板 


2. 右击我的报告,然后单击新建自定义报告。 

3. 提供标题、说明、查询和图表类型,然后单击设计。 

4. 在报告设计器中,单击工具|模板。 

5. 选择要应用的模板,然后单击加载。 

239

用户指南 

导入和导出报告 

报告工具支持导入和导出报告。可以将报告从一个核心数据库转移到另一个核心数据库。查询将随 

报告自动导入和导出,因为报告需要该查询才能正确显示。导入的报告放入我的报告、所有自定义 

报告和用户报告组中。 

注意:更改报告中的嵌入式查询 (XML) 不会生成独立的报告。可能会产生错误。如果希望更改报 

告,必须从 LDMS 中的报告工具进行更改。 

导入报告 

240 

1. 右击将放置所导入报告的报告组。 

2. 从快捷菜单(或工具栏)中选择导入。 

3. 浏览到要导入的报告文件 (.XML) 并选择该文件。 

4. 单击打开,将该报告添加到网络视图中的所选报告组。 

您既可以分别导出各个报告,也可以导出整个报告组及其内容。 

导出报告 

1. 右击要导出的报告(或报告组)。 

2. 从快捷菜单(或工具栏)中选择导出。 

3. 浏览到要保存该报告的位置。 

4. 键入报告的名称。 

5. 单击保存,导出报告。

创建 .CSV 文件 

使用报告 

可以创建普通文本格式的、逗号分隔的文件,这种文件很容易集成到数据库、电子表格、字处理程 

序中。文件根据网络视图中显示的清单数据创建。这些文件保存为通用 .CSV 文件。 

创建 .CSV 文件 


2. 右击报告,然后选择新建 CSV 报告。 

3. 在新建 .CSV 报告对话框中,输入报告的名称。 

4. 选择是提供所有设备的报告,还是仅提供所选设备的报告。 

5. 选择是使用网络视图中的当前列配置,还是使用其他列配置。 

6. 单击确定,以使用您指定的名称和目录位置来保存此 .CSV 文件。 

注意:您也可以导出 .CSV 资产报告,用于其他报告工具。可以按以下一种格式导出 .CSV 报告: 

HTML、RTF 或 TXT。 

防病毒报告 

可以将新的防病毒应用程序数据(名称、版本和大小)添加到 Anti-VirusSummary.ini 文件中,这 

样,清单扫描器就可以收集这些数据并使之可用于报告目的。将应用程序信息手动添加到文件之 

后,使用“软件授权监视”工具将文件添加到扫描列表。请按照将文件添加至 LDAPPL3 中的说明, 

添加更新过的 Anti-VirusSummary.ini 文件。 

241

使用脚本和任务 

LANDesk Management Suite 包含了一个功能强大的计划任务系统。核心服务器和受管设备上均有 

支持计划任务的服务/代理。从 Management Suite 控制台和 Web 控制台可以将任务添加到调度程 

序中。 

一个任务中包含: 

• 一个分发程序包、传送方式、目标设备和一个计划时间。非分发任务由脚本、目标设备和 

计划时间组成。 

以下是部分可计划的任务: 

• 设备配置 

• 各类自定义脚本 

• 自定义数据表单部署 

• 不受管的设备搜寻 

• 漏洞扫描 

• 在受管设备上执行软件 

完成这些任务的脚本创建对话框后,将生成 Windows INI 格式的 ASCII 文本文件,扩展名为 .INI。 

这些脚本存储在核心服务器的 \Program Files\LANDesk\ManagementSuite\Scripts 文件夹中。脚 

本文件名即为控制台中的脚本名。但软件分发脚本例外。它们不创建 INI 文件,而且是存储在数据 

库中。脚本只包含完成的任务的相关信息,不包含运行脚本的设备的信息。这些脚本使用 

Management Suite 特有的自定义脚本语言。有关脚本的详细信息,请参阅处理自定义脚本。 


• 管理脚本 

• 计划任务 

• 使用“计划任务”窗口 

• 为任务分配目标 

• 任务运行时您看到的内容 

• 监视任务状态 

• 查看任务日志 

• 使用默认脚本 

• 配置本地调度程序脚本 

243

用户指南 

管理脚本 

LANDesk Management Suite 使用脚本在设备上执行自定义任务。您可以在管理脚本窗口(工具| 

分发|管理脚本)中为以下任务创建脚本: 

244 

• 操作系统部署/配置文件迁移 

• 文件传输 

• 您创建的自定义脚本 

• 本地调度程序按指定时间运行的脚本 

“管理脚本”窗口将脚本分为以下三类: 

• 我的脚本:由您创建的脚本。 

• 所有其他脚本:和 Management Suite 一起发售的脚本。 

• 用户脚本(只有 Management Suite 管理员可以看见):由所有 Management Suite 

用户创建的脚本。这些脚本以创建者的用户名排序。 

可以在我的脚本项下创建组,将您的脚本进一步分类。要创建新的脚本,请右键单击我的脚本项或 

您所创建的组,然后单击要创建的脚本类型。 

创建脚本之后,可以在该脚本的快捷菜单中单击“计划”。此操作将启动计划任务窗口(工具|分发| 

计划任务),在此窗口中可以指定要运行任务的设备和运行任务的时间。有关计划任务的详细信 

息,请参阅下一节。 

因为 Windows 控制台支持的特定功能,在 Windows 控制台中创建的脚本不应在 Web 控制台中编 

辑。 

针对先前版本的 Management Suite 用户脚本和任务所有权的变 

化 

对于 Management Suite 8.5 之前的版本,所有脚本都是全局脚本,所有用户都可以看到。在 

Management Suite 8.5 中,只有脚本创建者和 Management Suite 管理员可以看到脚本。 

现在管理脚本窗口(工具|分发|管理脚本)增加了状态列。如果所有用户都可以看到该脚本,则状 

态列显示为公共;如果只有创建脚本的用户或管理员可以看到该脚本,则显示为私有。用户可以 

右键单击已创建的脚本,将公共脚本选项切换为开启和关闭。管理员可以更该任意脚本的状态。

安排任务 


计划任务窗口显示已计划任务的状态以及任务是否成功完成。调度程序服务以两种方式与设备进行 

通信: 

• 通过标准 LANDesk 代理(必须已安装在设备上)。 

• 通过域级系统帐户。您选择的帐户必须能够以服务权限登录。有关配置调度程序帐户的详 

细信息,请参阅"配置调度程序服务。" 

控制台包括可安排执行日常维护任务的脚本,例如,对选定的设备进行清单扫描。您可以在工具| 

分发|管理脚本|所有其它脚本中安排这些脚本。 

使用“计划任务”窗口 

使用计划任务窗口可以配置和计划所创建的脚本。您可以计划一次完成各项任务,也可以计划重复 

执行某一任务(例如,计划一个脚本任务以定期搜索不受管设备)。 

计划任务窗口分为两部分。左半部分显示任务树和任务,右半部分显示您在树中所选项目的特定信 

息。 

左侧窗格 

左侧窗格显示这些任务组: 

• 我的任务:已计划的任务。只有您和 Management Suite 管理员用户可以查看到这些任 

务。 

• 常见任务:用户标记为常见的任务。在这一类别中计划某个任务的任何用户都将成为该任 

务的所有者。该任务将保留在常见任务文件夹中,同时该用户还可在用户任务组中看到该 

任务。 

• 全部任务:包括您的任务和标记为常见的任务。 

• 用户任务(仅 Management Suite 管理员用户):用户已创建的所有任务。 

• 所有策略:所有作为策略激活的任务。这些任务同时出现在其他任务组中。通过该组可方 

便地查看激活的策略。 

您可以将脚本拖到计划任务窗口的左侧窗格中。将脚本拖放到左侧窗格中后,您可以将设备、查询 

或组拖放到右侧窗格中以配置该脚本的目标。 

单击我的任务、公共任务或所有任务时,右侧窗格将显示以下信息: 

• 任务:任务名称。 

• 开始时间:计划运行该任务的时间。双击某任务名即可编辑开始时间或重新计划该任务。 

• 状态:整体任务状态。查看右侧窗格的状态和结果列以获得更多详细信息。 

• 所有者:最初创建任务使用脚本的用户的姓名。 

单击一个计划任务时,右侧窗格将显示以下摘要信息: 

• 名称:任务状态名称。 

• 数量:每个任务状态中的设备数量。 

245

用户指南 

246 

• 百分比:每个任务状态中的设备百分比。 

单击一个任务下的任务状态类别时,右侧窗格将显示以下信息: 

• 名称:设备名称。 

• 状态:该设备上的任务状态(例如,“正在等待”)。 

• 结果:任务在该设备上运行是否成功。 

• LDAP 对象名称:如果通过 LDAP 确定该设备,则为 LDAP 对象名称。 

• 查询名称:如果通过查询确定该设备,则为查询名称。 

• 消息:来自设备的自定义消息。这些消息将与运行 DOS 批处理文件的任务共同使用。包 

括一个启动 sdclient.exe 的命令,该命令同时带有 /msg="

2. 在概述选项卡中,选中在常见任务中显示。 

为任务分配目标 


将脚本添加到计划任务窗口之后,可以为它分配目标。将目标从网络视图拖到计划任务窗口所需的 

任务中。目标可以包括单个设备、设备组、LDAP 对象、LDAP 查询和清单查询。查询和组是非常 

有用的选项,可显示由于重复任务而变化的动态设备列表。例如,当某查询的设备目标列表发生变 

化时,使用该查询的所有任务都会自动将新的设备作为目标。 

如果多次将一个设备作为目标,例如,当两个目标查询具有重叠结果时,核心服务器会检测此重叠 

结果,并且不会对同一设备多次运行任务。 

当对任务目标使用查询时,直到启动任务才会运行查询。直到启动任务之后,计划任务属性对话框 

才会显示目标设备。 

向任务应用范围 

对于计划任务,多个 Management Suite 用户可以将多个目标添加到一个任务中。但是,在计划任 

务窗口中,每个 Management Suite 用户只能看到其所属范围内的目标。如果两个 Management 

Suite 用户所属范围互不重叠,而他们分别在某一任务中添加了 20 个目标,则每个 Management 

Suite 用户只能看到自己添加的 20 个目标,而该任务将针对全部 40 个目标运行。 

为任务选择目标 

每个您所创建的任务都需要有一组运行该任务的设备。任务目标有两种类型,静态目标和动态目 

标。 

• 静态目标:静态目标是指如果不手动进行更改就不会发生变化的一组特定设备或用户。静 

态目标可以是“目录管理器”中的 LDAP 用户或设备,也可以是控制台网络视图中的设备。 

• 动态目标:动态目标是指允许基于策略的分发任务定期检查目标列表是否有变化的动态设 

备列表。动态目标包括查询结果和 LDAP 组/容器或网络视图组。 

动态策略目标是唯一的,因为 Management Suite 会定期更新这些查询的结果。如果新的设备符合 

这些查询条件,则采用这些查询的策略将应用于新的设备。 

你可以按以下方式指定静态策略目标: 

• 网络视图设备:核心数据库中的一组静态设备。 

• LDAP 用户或设备:一组静态用户和/或设备对象。 

您可以按以下方式指定动态策略目标: 

• 网络视图组:核心数据库中的一组动态设备。 

• LDAP 组/容器:一组动态用户和/或设备对象。 

• 数据库查询:对核心数据库进行查询所生成的一组设备。 

• 用户组:从符合 LDAP 标准的目录中选择的一组用户。 

• LDAP 查询:对符合 LDAP 标准的目录进行查询所生成的一组用户和/或设备。 

247

用户指南 

通过目录确定设备 

要让设备接收到通过 Active Directory 或 NetWare 目录服务确定的目标策略,必须对设备进行配 

置,以便登录到该目录中。这表明,设备必须安装所有正确的设备软件,而且必须实际登录到正确 

的目录,才能使设备的完整判别名与目录管理器所确定的目标名称相匹配。 

必须配置 Windows 95/98 设备以便登录 Active Directory 所驻留的域。由于 Windows NT 和 

Windows 95/98 不包括 Active Directory 支持,因此必须在登录目录且需要基于策略管理的设备上 

安装 Active Directory 支持。除本帮助信息外,您还可以从以下地址获得有关安装 Active Directory 

设备支持的详细信息: 

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx 

每个 Windows NT/2000/2003/XP 设备都必须在 Active Directory 域控制器上拥有一个计算机帐 

户。这意味着,用作设备的计算机必须登录到 Active Directory 所在的域中。不能只使用完全限定 

的 Windows NT 域名来映射网络驱动器。这样策略将不会生效。 

使用目录管理器创建查询 

248 


2. 单击管理目录工具栏按钮。 

3. 输入目录 URL 和身份验证信息,然后单击确定。 

4. 单击新建查询工具栏按钮。 

5. 创建您的查询。有关详细信息,请参阅“使用 LDAP 查询”。 

任务运行时看到的内容 

计划任务窗口中始终显示作业状态。如果您计划的是设备配置或操作系统部署,则还能看到客户端 

安装实用程序对话框。当调度程序服务依次对目标列表执行操作时,您将看到将要配置的设备、正 

在配置的设备以及已完成配置的设备的列表。有关详细信息,请参阅关于客户端安装实用程序对话 

框。 

如果计划的是定向多播分发,您将看到多播软件分发状态窗口。此窗口显示多播状态。有关详细信 

息,请参阅关于多播软件分发状态窗口。 

如果计划的是自定义脚本,您将看到自定义作业处理窗口,其中除逐行显示所执行脚本的状态以 

外,还显示已计划处理、正在处理以及已完成处理的设备目标。 

监视任务状态 

开始处理任务后,目标设备将处于不同的任务状态。单击“计划任务”窗口中的活动任务,可以监视 

在目标设备上执行该任务的状态。以下是设备的类别: 

• 所有设备:任务的所有目标。 

• 活动:当前正在处理的目标。 

• 挂起:尚未处理的目标。 

• 成功:已成功完成任务的目标。 

• 失败:执行任务失败的目标。 

以下是设备的状态及其所属的类别:

• 正在等待:准备好处理任务。((挂起类别) 

• 活动:正在处理当前任务。((活动类别) 

• 完成:任务已成功处理。((成功类别) 

• 忙碌:设备已经在处理另一个任务,无法处理当前任务。((失败类别) 

• 失败:由于某种原因未完成任务处理。((失败类别) 

• 关闭:设备没有运行或无法访问。((失败类别) 

• 取消:用户取消了任务。((失败类别) 

查看任务日志 


如果设备处理任务失败,计划任务窗口将存储该任务的日志。设备可用的日志显示在设备旁边的日 

志文件列中。在日志文件中可以看到失败的任务命令。 

249

用户指南 

使用默认脚本 

Management Suite 附带如下所列的一组默认脚本。可以使用它们来帮助您完成某些 Management 

Suite 任务。这些脚本显示在管理脚本窗口(工具|分发|管理脚本)的所有其它脚本树中。 

250 

• am_verifyall:验证所有通过策略安装到客户端上的程序包 

• 通用示例 dir 命令:使用操作系统部署脚本演示重新启动带虚拟磁盘的设备,演示运行 

dir 命令。 

• inventoryscanner:对选定的设备运行清单扫描器。 

• multicast_domain_discovery:进行定向多播域代表搜寻。有关详细信息,请参阅 

在软件分发中使用定向多播。 

• multicast_info:运行故障排除脚本,该脚本显示“计划任务”窗口将哪些信息传递到定 

向多播,传递的信息包括目标设备的 IP 地址和子网信息。创建一个名为 

C:\MCINFO.TXT 的文件。 

• MSI 服务部署:部署 PXE 代表所需的 MSI 服务。 

• PXE 代表部署:部署或更新 PXE 代表。 

• PXE 代表删除:从 PXE 代表处删除 PXE 服务软件。 

• 恢复客户端记录:对选定的设备运行清单扫描器,但该扫描器报告到配置该设备的核心。 

在多核心环境中,如果您必须重新设置数据库,此任务可以帮助您将设备添加回正确的核 

心数据库中。 

• 卸载计量客户端:删除目标设备上的软件计量代理。此代理在版本 8 之前的 

Management Suite 中使用。

配置本地调度程序脚本 


本地调度程序是在设备上运行的一种服务。它是通用基本代理的一部分,可以通过设备设置来安 

装。通常本地调度程序处理 Management Suite 任务,例如定期运行清单扫描器。您安排的其他任 

务(例如软件或操作系统部署)由核心服务器而不是本地调度程序处理。您可以使用本地调度程序 

安排自己的任务以在设备上定期运行。一旦您创建了一个本地调度程序脚本,可以使用计划任务窗 

口将其部署到设备。 

本地调度程序为每个任务分配一个 ID 号。本地调度程序脚本的 ID 范围与 Management Suite 使用 

的默认本地调度程序脚本的 ID 范围不同。默认情况下,在每个设备上仅可有一个自定义调度程序 

脚本是活动的。如果您创建了一个新的脚本并将其部署到设备,它将替换旧的脚本(自定义本地调 

度程序 ID 范围内的任何脚本)而不影响默认的本地调度程序脚本,例如本地清单扫描计划。 

当选择计划选项时,不要太严格使任务条件很少达到,除非您是故意这样做。例如,配置任务时, 

如果您选择“星期一”作为每周的某天,“17”作为每月的某天,则该任务将仅在同时是 17 日的星期一 

执行,这种情况很少发生。 

配置本地调度程序命令 

1. 在受管脚本窗口(工具|分发|受管脚本)的“我的脚本”快捷菜单中,单击新建本地调度程序 

脚本。 

2. 输入脚本名称。 

3. 单击添加定义脚本的选项。 

4. 如刚才所述配置本地调度程序选项。 

5. 单击保存以保存脚本。 

6. 使用计划任务窗口将您创建的脚本部署到设备。 

了解带宽选项 

当配置本地调度程序命令时,您可以指定任务执行所需的最小带宽条件。带宽测试包括您指定设备 

的网络流量。当该执行任务时,每个运行本地调度程序任务的设备将向您指定的设备发送少量的 

ICMP 网络流量并评估传输性能。如果测试目标设备不可用,则该任务将不执行。 

您可以选择以下带宽选项: 

• RAS:当通过网络 API 检测到的设备到目标设备的网络连接速度至少为 RAS 或拨号速度 

时,任务才会执行。选择此选项一般来说意味着只要设备有任何种类的网络连接,任务都 

将会运行。 

• WAN:当设备到目标设备的连接至少为 WAN 速度时,任务才会执行。WAN 速度为非 

RAS 连接速度,它比 LAN 阈值低。 

• LAN:当设备到目标设备的连接超过 LAN 速度设置时,任务才会执行。默认情况下, 

LAN 速度总大于 262,144 bps。您可以在代理配置(工具|配置|代理|配置,宽带检测 

页面)中设置 LAN 阈值。直到将更新的配置部署到设备之后,更改才会生效。 

251

使用软件分发 

本章说明如何使用 LANDesk Management Suite 向整个网络中的设备分发软件和文件。 


• 软件分发概述 

• 了解程序包类型 

• 了解可用的传送方式 

• 设置传送服务器 

• 配置用于软件分发的 Windows 2003 Web 服务器 

• 分发程序包 

• 使用分发所有者和权限 

• 关于文件下载 

• 更新程序包哈希值 

• 在软件分发中使用定向多播 

• 关于字节级检查点重新启动和动态带宽调节功能 

• 将软件分发至 Linux 设备 

• 解决分发失败问题 

253

用户指南 

软件分发概述 

软件分发使您能够在运行下列操作系统的设备上部署软件和文件程序包: 

254 

• Windows 95B/98SE 


• Windows 2000/2003/XP 

• Mac OS X 10.2.x. 和 10.3.x 

• Linux RedHat 3.0(AS、ES 和 WS) 

• Linux Suse 9.1 

接收软件分发程序包的设备必须安装了以下 LANDesk 代理: 

• 标准 LANDesk 代理(以前称为 CBA) 

• 软件分发代理 

软件分发功能如下: 

• 多种 LANDesk Targeted Multicasting 功能,这些功能可最大限度地减少向众多用户 

分发大型程序包时使用的带宽,而且不必重新配置专用的硬件或路由器 

• 传送方式可用来全面控制各项任务的完成方式 

• 简便任务调度程序与清单数据库集成,使任务选择操作更为轻松 

• 用于每个部署任务的实时状态报告 

• 基于策略的分发包括对创建策略所支持的“推”任务的支持 

• 分发给 Mac OS 9.22 和 Mac OS X 设备 

• 移动设备支持包括带宽检测、检查点重新启动和使用策略完成作业的能力。 

• 功能丰富的程序包生成器 

• 能够分发任何类型的程序包,包括 MSI、setup.exe 和其他安装程序 

如果没有要部署的现有程序包,可以使用 Management Suite 的程序包构建技术为需要的软件安装 

创建一个单独的可执行程序。有了程序包之后,可以将其存储在名为“传送服务器”的 Web 或网络 

服务器中。通过控制台,您可以使用计划任务窗口安排分发。核心服务器会将程序包的位置(URL 

或 UNC 路径)告知设备,然后设备仅从传送服务器上复制所需的文件或部分文件。 

例如,如果因软件程序的某些文件已损坏或丢失而要重新安装该软件,则系统将仅复制已破坏或丢 

失的文件,而不用复制整个程序。此项技术同样也适用于 WAN 链路。您可以将程序包存储在多个 

服务器上,然后根据设备需求(即位置的远近程度、带宽的可用性等)安排其使用相应的服务器。 

另外,如果在下载程序包时出现了中断,软件分发还将从中断处恢复下载过程。例如,某移动设备 

在下载大型程序包期间中断了网络连接,一旦重新联网便会立即从中断处继续进行下载。 

在 Management Suite 中,软件分发包括以下主要步骤: 

1. 创建或获取软件程序包。软件程序包可以是一个或多个 MSI 文件,一个可执行文件、一个 

批处理文件、一个 Macintosh 程序包、一个 Linux RPM 程序包或是一个由 Management 

Suite 程序包生成器创建的程序包。请将程序包放在传送服务器上。 

2. 创建分发程序包本(工具|分发|分发程序包)。分发程序包包括安装特定软件程序包所需 

的文件和设置,如程序包名称、任何相关性或先决条件、命令行参数、安装程序包所需的 

其他文件等。这些设置存储在数据库中并创建分发程序包。一旦创建分发程序包之后,信 

息便保存在数据库中并可将其方便用于多个任务中。


3. 创建传送方式(工具|分发|传送方式)。传送方式定义如何将程序包发送到设备。这些选 

项不与特定的分发程序包关联。选项包括“定向多播”和/或策略分发。不必每次分发程序 

包时都创建一个传送方式。传送方式允许您为部署软件定义最佳方式。理想情况下,可以 

创建模板传送方式,供使用相同传送方式的分发重复使用。 

4. 在“计划任务”窗口(工具|分发|计划任务)安排分发作业。在此指定分发程序包、传送方 

式、需要接收分发程序包的设备以及任务应运行的时间。 

5. 在计划的时间,调度程序服务将启动计划任务的处理程序,使用在传送方式中选择的选项 

部署程序包。可能包括: 

• 如果选择使用多播的传送方式,则将使用多播。 

• 如果选择了推传送方式,该服务将联系每个设备上的软件分发代理,并通知它准备 

安装程序包。 

• 如果选择基于策略的传送方式,则程序包可供下载。 

6. 软件分发代理从其本地高速缓存、网络上的对等设备或传送服务器中获得程序包,并通过 

安装或删除已打包的文件在设备上处理该程序包。 

7. 处理完该程序包后,软件分发代理会将结果发送给核心服务器,并记录在其中的核心数据 

库中。 

将分发任务分为分发程序包和传送方式两个部分,这样可简化分发过程。现在可以创建独立于特殊 

程序包的传送方式模板。例如,可以创建默认的“定向多播”传送方式模板,无论何时有要多播的程 

序包,都可以使用此模板来传送,无需重新配置分发程序包或传送方式。 

如果组织中有不同的人创建和分发程序包,以上这些变更将帮助简化作业角色和任务划分。程序包 

创建者现在可以从程序包传送者角色中脱离出来。 

了解程序包类型 

软件分发支持以下程序包类型: 

SWD 程序包 

这些是使用 Management Suite Package Builder(独立安装)构建的程序包。有关详细信息,请 

参阅构建程序包。 

MSI 

这些是 Windows Installer 格式的程序包。必须使用第三方工具来创建 MSI 程序包。这些程序包包 

括一个主 .MSI 文件,还可以包括支持文件和转换。转换自定义 MSI 程序包的安装方式。如果 MSI 

程序包包括多个文件,请确保将所有这些文件添加到分发程序包对话框中。 

可执行程序包 

为了使软件分发可以使用可执行程序包,必须符合下列条件: 

• 可执行程序包在安装完成之前不得退出。 

• 可执行程序包必须返零 (0) 以表示安装成功。 

255

用户指南 

只有可执行程序包符合上述两个条件,任何可执行程序包均可以用于安装程序包。可执行程序包可 

以包括其他文件。 

批处理文件 

批处理文件程序包基于 Windows 批处理文件。这些分发程序包可以包括其他文件。批处理文件程 

序包的成功完成状态基于批处理文件运行完成后的错误级系统环境变量值。 

Macintosh 

尽管 Management Suite 不会下载目录,但任何 Macintosh 文件都可以下载。安装程序包 (.PKG) 

可以包含各种目录。必须对文件进行压缩。如果下载的文件名后缀 

为 .SIT、.ZIP、.TAR、.GZ、.SEA 或 .HQX,则 Management Suite 会对该文件先进行解压缩然后 

再返回。(用户应确保 Stuffit Expander* 已禁用其“检查新版本”选项;否则出现的对话框可能会中 

断脚本执行。) 

Linux RPM 

这些程序包采用 Linux RPM 格式。这些程序包必须存储在 Web 共享上,才能进行 Linux RPM 分 

发。 

了解可用的传送方式 

软件分发提供了以下传送方式: 

256 

• 推:程序包可以多播到受管设备上。然后,核心服务器开始在受管设备上安装程序包。 

• 策略:核心服务器使程序包可供下载。当受管设备检查可用策略时,将返回程序包。根据 

策略类型的不同,设备可能会自动安装程序包或允许用户在需要时安装程序包。 

• 支持策略的“推”:组合的“推”分发和策略模式。首先,软件分发尝试在目标列表中的所有 

设备上安装程序包。这样,您可以使用定向多播进行初始部署。其次,当设备上的基于策 

略的管理代理请求程序包时,未获得程序包或以后加入目标列表的任何设备(就动态目标 

列表而言)可接收该程序包。 

• 多播(仅限高速缓存):将程序包多播到目标设备上,在受管设备上不需要执行其他操 

作。结果是程序包在本地缓存在受管设备中。可使用该选项向每个多播域中的若干个设备 

多播该程序包。然后便可以创建一个使用对等下载(仅从高速缓存或对等设备中安装)选 

项的任务。这允许您控制分发所用的网络带宽,因此不会跨多播域。 

软件分发核心服务器组件 

软件分发的以下组件运行于或驻留在核心服务器上: 

• LANDesk 计划任务处理程序:此程序 (ScheduledTaskHandler.exe) 由调度程序服务 

启动,可用于启动分发作业。 

• LANDesk 调度程序服务:控制台在数据库中存储有关计划作业的信息。调度程序服务 

(SCHEDSVC.EXE) 监控数据库中的信息,确定应运行任务的时间。 

• 分发程序包:在分发程序包窗口选择了软件分发程序包后,它将在数据库中存储该定义。 

在创建将发送到设备以安装程序包的命令时,Management Suite 会使用此定义。


• 软件分发程序包:程序包可以是一个或多个 MSI 文件,一个可执行文件、一个批处理文 

件、一个 Macintosh 程序包、一个 Linux 程序包或是一个由 Management Suite 程序 

包生成器创建的程序包。在大多数情况下,软件程序包应包括安装分发应用程序所必需的 

所有文件。 

用于 Management Suite 8.5 之前版本的用户 

Management Suite 8.5 重新组织了软件分发在 Management Suite 控制台中的运行方式。现在软 

件分发分为以下两个部分: 

• 分发程序包:此窗口用于创建分发程序包。创建完程序包之后或者有要分发的现有程序包 

时,可以使用此窗口配置 Management Suite 程序包。 

• 传送方式:此窗口用于定义如何传送已在分发程序包窗口中配置的程序包。例如,可以选 

择“定向多播”分发或“拉”分发。 

如果您使用过 Management Suite 8.5 以前的版本,则还会注意到工具菜单中不再有应用程序策略 

管理。现在策略管理是分发程序包对话框和传送方式对话框的一部分。旧 APM 程序包升级为分发 

程序包、传送方式和计划任务。脚本保持不变。 

257

用户指南 

设置传送服务器 

传送服务器指的是存储软件分发程序包的服务器。它既可以是 Web 服务器,也可以是 Windows 

NT/2000/2003 服务器。建议程序包基于 URL,以实现最佳效果。通常,正确配置 URL 比配置 

UNC 路径更加轻松简单。 

传送服务器要求 

Web 服务器 Windows NT 或 Windows 2000/2003 上运行的 Microsoft Internet Information 

Server 5.0 或更高版本,或任何兼容 HTTP 1.1 并支持字节范围的 Web 服务 

器。 

网络服务器 Windows NT 4.0 或 Windows 2000/2003 

为软件分发配置 Web 服务器 

以下步骤说明了如何在 Web 服务器上创建虚拟目录并使之能为他人所浏览。通常,这些虚拟目录 

需要能进行读取和目录浏览操作,并且必须启用对虚拟目录的匿名访问。但不能设置“执行”权限, 

否则共享将不能正常工作。您也可以禁用写权限,使设备不能更改该目录中的内容。 

258 

1. 在要存储软件分发程序包的 Web 服务器上创建一个目录。这类目录在 IIS Web 服务器上 

的位置通常是 c:\inetpub\wwwroot 目录下的某个子目录。 

2. 将程序包复制到此目录。 

3. 双击“控制面板”中的管理工具,然后双击 Internet 服务管理器。 

4. 在右窗格中,双击带有该设备名称的图标,然后单击默认 Web 站点。 

5. 在右窗格的空白区域,右击并选择新建,然后单击虚拟目录。 

6. 在向导中,单击下一步,然后输入目录的别名。单击下一步。 

7. 输入路径或浏览到该路径,然后单击下一步。 

8. 在“访问权限”对话框中,启用运行脚本和浏览。这样您就可以在创建分发程序包时浏览程 

序包。单击下一步,然后单击完成。 

9. 要启用 Web 服务器上的端口 80,请在左面板中右击默认网站。 

10. 单击属性。在 Web 站点标识对话框中,“TCP 端口”框应显示 80。否则,请单击高级以添 

加该端口。 

11. 打开浏览器并输入您的 Web 服务器和虚拟目录的 URL,以确保该网站可用。例如,如果 

您的 Web 服务器名称是 Test,并且虚拟目录的名称为 Packages,则输入以下 URL: 

http://Test/Packages 

此时应出现已复制到此目录的程序包列表。 

放入此目录中的程序包的大小和数量仅受可用磁盘空间的限制。可以创建子目录,对程序包进行逻 

辑分组。按照为软件分发配置 Web 服务器任务中所述,创建的每个子目录必须具有上述访问权限 

设置。 

将程序包复制到 Web 服务器上的程序包共享位置之后,它们将暂时保存在此处,并随时可复制到 

目标设备。安排计划时,程序包的 URL 或 UNC 路径将作为命令行参数传递给 SDCLIENT.EXE 

(设备代理)。SDCLIENT.EXE 可以管理文件传输、启动安装过程,并报告状态。尽管 HTTP 协 

议可用于文件传输,但状态报告还是通过标准 LANDesk 代理返回。


Web 服务器将与设备进行通信,以确保程序包正确复制。如果在下载过程中程序包传输中断, 

Web 服务器可以使用 HTTP 协议在下载停止的位置重新开始下载。但是,Web 服务器不会进行检 

查,因而不能确保程序包正确安装。该通信基于 TCP,并将使用标准 LANDesk 代理将状态返回到 

核心服务器。 

为软件分发配置网络服务器 

无浏览器的设备必须通过 Windows NT/2000/2003 网络服务器的 UNC 路径接收分发程序包。可以 

使用您在 Web 服务器上建立的文件夹。为使基于 UNC 路径的分发正常运行,必须在网络服务器 

上启用一个空会话共享文件夹。使用 SYSSHRS.EXE 实用程序创建一个空会话共享文件夹。 

1. 要在网络服务器上设置共享文件夹,请右击要共享的文件夹,然后单击共享。 

2. 单击共享此文件夹,然后单击权限。 

3. 添加每个人组和来宾组,为这两个组授予只读权限。在域环境中,还应添加域计算机组, 

并且仅授予读取权限。应用所作的更改。 

4. 从网络服务器上,单击开始|运行并浏览到核心服务器上的 LDMAIN\Utilities 文件夹。 

5. 运行 SYSSHRS.EXE 实用程序。尽管此实用程序声明它专用于 Windows NT 设备,但它 

同样也适用于 Windows 2000/2003 设备。 

6. 选中您设置的共享文件夹,单击应用,然后单击关闭。 

7. 将软件分发程序包复制到网络服务器的该文件夹中。 

在网络服务器上存储的程序包的大小和数量仅受可用磁盘空间的限制。 

有关 SYSSHRS.EXE 实用程序的详细信息,请从 

http://www.landesk.com/support/downloads/Resource.aspx?pvid=12&rtid=10 下载 SHARES.EXE 

程序包并对该文档进行解压缩。 

在 Windows Server 2003 中使用空会话共享 

除了联机帮助中所包含的步骤外,在 Windows Server 2003 服务器上配置空会话共享还需要进行 

以下策略更改(可通过在“运行”提示中输入 gpedit.msc 启动“组策略对象编辑器”): 

• 必须为“每个人”组和“来宾”组启用让权限应用于匿名用户。 

• 必须禁用限制对命名管道和共享的匿名访问。 

• 可匿名访问的共享必须包括空会话共享的名称。 

如果安装了 asp.net,则 Windows Server 2003 不能用于网络空会话共享。如果在装有 asp.net 的 

Windows 2003 服务器上建立空会话共享,则当您试图创建分发程序包时,核心服务器将尝试使用 

asp.net 用户凭证来验证身份,但无法成功。 

配置用于软件分发的 IIS 6 Web 服务器 

Windows 2003 使用 IIS 6 作为 Web 服务器。如果在 IIS 6 Web 服务器上托管程序包,您还需要进 

行以下配置: 

• 配置托管程序包的虚拟目录。 

• 在 IIS 中注册 MIME 类型。 

259

用户指南 

IIS 6 处理虚拟目录的方式不同于 IIS 5(IIS 5 是 Windows 2000 Web 服务器)。在 IIS 6 服务器 

上,如果您选择某目录并通过其快捷菜单使之成为 Web 共享后,该目录会在 IIS 6 中将自己注册 

为 Web 应用程序,而不是虚拟目录。这样,问题就出来了,因为作为 Web 应用程序,当用户试 

图选择可执行文件时,Web 服务器应试着将该文件当作 Web 应用程序运行,而不是将该文件下载 

给用户。 

要解决这一问题,需进入 IIS,将该共享目录从 Web 应用程序更改为虚拟目录,然后关闭执行权 

限。 

将文件托管在 IIS 6 服务器上时,文件如果没有注册的 MIME 文件类型,将引发 HTTP 错误 

404“找不到文件”。除非您注册 MIME 文件类型,否则将造成多播和/文件安装失败。 

注册 MIME 文件夹类型 

260 

1. 启动 Internet Information Services (IIS) 管理器。 

2. 在树中展开该本地计算机。 

3. 单击网站|默认网站。 

4. 在该程序包 Web 共享目录的快捷菜单中,单击属性。 

5. 单击 HTTP 报头选项卡。 

6. 单击 MIME 类型。 

7. 单击新建。 

8. 在扩展名框中,输入星号 (*)。 

9. 在 MIME 类型框中,输入任何名称。 

10. 连续单击两次确定,应用更改。

分发程序包 


分发程序包包含要分发的程序包文件,程序包所需的其他文件以及描述程序包组件和操作的设置。 

在创建分发程序包定义之前必须先创建程序包。 

以下说明介绍了如何创建软件分发程序包。为确保程序包正确执行,软件分发程序包必须位于网络 

或 Web 服务器上,而且设备必须安装了软件分发代理。 

将程序包分发给设备有三个主要步骤。 

1. 为要分发的程序包创建分发程序包。 

2. 创建传送方式。 

3. 安排要分发的程序包和传送方式。 

创建分发程序包 

1. 创建要分发的程序包。 

2. 单击工具|分发|分发程序包。 

3. 在要创建的程序包类型快捷菜单中,单击新建分发程序包。 

4. 在分发程序包对话框中,输入程序包信息并更改所需选项。注意,必须输入程序包名称、 

说明和主文件。有关每页的详细信息,请单击帮助。 

5. 完成操作后,单击确定。脚本显示在选择的程序包类型和所有者树项中。 

创建传送方式 

1. 如果已经配置了要使用的传送方式,或使用一种默认的传送方式,则跳到下一个步骤“安排 

分发任务的时间”。 

2. 单击工具|传送|传送方式。 

3. 在要使用的传送方式快捷菜单中,单击新建传送方式。 

4. 在传送方式对话框中,输入传送信息并更改所需选项。有关每页的详细信息,请单击帮 

助。 

5. 完成操作后,单击确定。脚本显示在选择的传送方式和所有者树项中。 

安排分发任务的时间 


2. 单击创建软件分发任务工具栏按钮。 

3. 在分发程序包页面中,选择创建的程序包。 

4. 在传送方式页面中,选择要使用的传送方式。 

5. 单击保存以保存更改。 

6. 将目标从网络视图拖到计划任务窗口的任务中。目标可以包括单个设备、计算机组、 

LDAP 对象、LDAP 查询和清单查询。 

7. 在该任务的快捷菜单中,单击属性。 

8. 目标设备页面显示将要接收该任务的设备。 

9. 在计划任务页面中,输入任务名称和任务计划。 

10. 返回到概述页面中,确认已按所需方式配置任务。 

11. 完成操作后,单击保存。 

在计划任务窗口查看任务进度。 

261

用户指南 

使用分发所有者和权限 

如果环境中存在许多 Management Suite 用户,可能很难分清每个用户负责的分发程序包、传送方 

式和计划任务。为了帮助解决此问题,Management Suite 使创建分发程序包、传送方式或计划任 

务的用户作为相应项目的默认所有者。只有所有者和 RBA 管理员/软件分发配置用户可以查看这些 

私有项目。 

私有项目显示在我的传送方式、我的程序包或我的任务树下。管理用户可以在用户分发程序包、用 

户传送方式和用户任务树下查看所有用户的项目。 

当用户创建分发项目时,说明页包含程序包所有者选项。如果用户希望所有控制台用户看到该项, 

可以选择公共。除了公共之外,管理员还可以选择特定用户。 

用户创建了项目之后,可以在项目的快捷菜单上单击属性来更改所有者。非管理用户将项目设置为 

公共之后,不能再使该项目成为私有项目。只有管理员可以这样做。 

下列 RBA 权限影响分发项目的可见性: 

262 

• 管理员:创建和查看公共和私有分发项目。可以查看所有用户的私有分发项目。 

• 软件分发配置:创建和查看公共和私有分发项目。只能查看自己的私有分发项目。 

• 软件分发:查看和使用现有的公共分发项目以及归自己所有的项目。不能创建新的分发项 

目。 

在一个任务中使用多个分发程序包 

基于“推”的软件分发任务可以包括预备程序包和最终程序包。使用多个程序包时,每次按顺序安装 

一个程序包。上一个程序包必须在所有目标设备上返回任务成功的状态之后,下一个程序包才开始 

安装。 

如果要在主程序包之前和/或之后运行命令,则预备程序包和最终程序包很有用。例如,您可以创 

建一个执行命令的批处理文件程序包,为主程序包配置目标设备。主程序包安装完成之后,您可以 

指定一个最终批处理文件程序包以进行所有后期配置。任何程序包类型均可以是预备程序包或最终 

程序包,但传送方式必须为“推”。支持策略的推传送方式不支持预备程序包和最终程序包。 

计划分发任务时,可以指定预备程序包和最终程序包。计划任务 - 属性对话框的分发程序包页面含 

有预备程序包和最终程序包选项。在单击其中一个选项之前,必须先转至传送方式页面并选择推传 

送方式。为此,请单击传送类型的推,然后单击要使用的传送方式。 

在一个任务中使用多个分发程序包 

1. 创建要在任务中使用的程序包。 

2. 单击工具|分发|计划任务。单击创建软件分发任务工具栏按钮。 

3. 在传送方式选项卡上,单击推作为传送类型,然后单击要使用的传送方式。 

4. 在分发程序包选项卡上,单击要使用的程序包类型和分发程序包。 

5. 根据要安装该程序包的时间,单击预备程序包、主程序包或最终程序包,然后单击设置。 

6. 对于此任务中要安装的任何其它程序包,请重复步骤 4 和 5。每个阶段只能有一个程序包 

且必须始终有一个主程序包。 

7. 完成任务配置并对任务进行计划。

关于文件下载 

软件分发可以通过多种方法将文件下载到设备上进行安装。这些方法包括: 

• 从多播缓存中获取文件 

• 从对等方获取文件 

• 直接从远程源下载 


需要下载文件时,设备软件分发代理 SDClient 先检查高速缓存,以确定文件是否在高速缓存中。 

高速缓存定义为 C:\Program Files\LANDesk\LDClient\sdmcache 或存储在多播注册表项下“高速缓 

存目录”中的路径: 

HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\LDWM\Distribution\Multicast 

高速缓存中的文件结构将与 Web 或网络服务器中的文件结构相同。这可允许多个程序包具有相同 

名称的文件也不会引起问题。 

如果文件不在缓存中,SDClient 通常将尝试从网络中的对等方下载文件。可以将传送方式配置为 

要求对等方下载。 

如果无法从对等方获取文件,SDClient 将直接从 UNC 或 URL 源下载文件。可以配置传送方式, 

以便如果要从源获取文件,多播域中将只有一个设备从源位置下载文件。在大多数情况下,从 

UNC 共享下载时,要求 UNC 共享成为 NULL 会话共享。如果要下载的文件是基于 URL 的, 

SDClient 将从网站下载此文件。 

在任何上述情况下,SDClient 都将文件放在多播高速缓存中。将文件放在多播高速缓存中之后, 

SDClient 开始处理下载的文件。 

文件下载到缓存中之后,将保留在缓存中几天,但是最终将从缓存中删除。文件将保留在缓存中的 

时间由部署程序包时使用的传送方式控制。 

配置首选程序包服务器 

可以指定设备检查软件分发程序包的默认服务器。这在低速 WAN 环境中可能非常重要,因为您不 

希望设备从脱机服务器下载程序包。要设置首选程序包服务器,将字符串值添加到受管设备上的下 

列注册表项,并将其值设置为首选程序包服务器的名称。可以指定多个程序包服务器,使用分号进 

行分隔。 

HKEY_LOCAL_MACHINE\Software\LANDesk\ManagementSuite\WinClient\SoftwareD 

istribution\PreferredPackageServer 

以下是一个注册表项示例: 

[HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\WinClient\Software 

Distribution] 

"PreferredPackageServer "="Server1;Server2;Server3" 

在远程下载程序包文件(主文件或其他文件)之前,将检查此注册表项,如果首选服务器上存在该 

文件(服务器按照列出的顺序进行检查,并且仅替换 UNC 或 URL 路径的服务器部分),代理将 

从相应位置下载。如果首选服务器上没有该文件,将从分发程序包中指定的位置下载。 

核心服务器也支持相同的注册表项/值。在核心服务器上设置 PreferredPackageServer 时,它指示 

核心服务器从项中指定的服务器生成程序包哈希值。若指定本地服务器便可加快处理。如果程序包 

在某个 referredPackageServers 上不可用,核心服务器就无法从分发程序包中指定的路径生成程 

序包哈希值。 

263

用户指南 

通常,从程序包服务器分发大型程序包,而该程序包服务器被低速 WAN 链接从核心服务器隔开 

时,应该在核心服务器上配置此项/值。一般不希望核心服务器在 WAN 链接上“拉”大型程序包以获 

得哈希值,因此位于本地服务器(对核心服务器而言)上的哈希文件则更为快速、占用的低速带宽 

更小。 

更新程序包哈希值 

因为许多程序包文件从网络中的对等方获取,所以,在安装前先验证文件。验证文件完整性的方法 

是将文件的 MD5 哈希值与核心服务器上生成的 MD5 哈希值进行比较。 

初次计划分发程序包时,Management Suite 将下载该文件并计算与分发程序包所用的主文件和其 

他文件关联的哈希值。如果程序包中存储的哈希值与 SDClient 在目标设备中计算的哈希值不匹 

配,则认为下载无效。 

如果对 Management Suite 以外的程序包进行更改,比如更新程序包内容,则需要重置哈希值,否 

则使用已更新的程序包的计划任务将会失败。 

重置程序包哈希值 

264 

1. 单击工具|分发|分发程序包。 

2. 在要更新哈希值的程序包的快捷菜单中单击重设文件哈希值。如果程序包较大,此过程可 

能需要几分钟时间。 

在软件分发中使用定向多播 

有了 LANDesk 定向多播技术,便可以向网络中的众多用户分发大型程序包,并最大限度地减少网 

络通信量。定向多播功能不需要利用额外的硬件或软件基础设施,而且不必为了发送多播程序包而 

配置路由器。无需再执行其他复杂的配置,就可以从多播技术中获得巨大优势。 

定向多播的目的是与现有软件分发程序包协同运行。如果使用定向多播,那么即使在包含多个跃点 

且连接速度很低 (56k) 的 WAN 环境中也可以轻松地分发软件。定向多播使用 HTTP 执行从网站到 

子网代表的传送工作。Management Suite 的清单扫描器会将所有子网信息提供给定向多播服务。 

定向多播具有标准“多播”方法所无法比拟的独特优势。基于清单的设备定向功能使您能够通过多播 

将程序包发送给选定的一组符合特定条件的计算机。由于无需配置路由器来处理传送过程,因此也 

简化了定向多播。 

与传统的软件分发方法相比,定向多播大大缩短了传送软件程序包所需的时间并降低了带宽要求。 

借助这种技术,您只需为每个子网传送一次程序包,而不用通过线路为每个设备发送一个程序包。 

这样一来,每个子网中的设备越多,所节省的带宽也就越多。 

选中传送方式属性的多播页面中的使用多播部署文件选项,可从传送方式属性激活定向多播。在 

“支持策略的推”、“推”和多播(仅高速缓存)传送方式中可以使用多播。在多播页面下面,您会发 

现允许配置多播的几个页面。 

使用定向多播开始进行分发时,将会看到多播软件分发窗口。该窗口包含有关如何进行分发的详细 

信息。有关各字段含义的详细信息,请单击多播软件分发窗口上的帮助按钮。 

Windows 和 Macintosh OS 10.2 设备都支持定向多播。此外,还可以多播操作系统部署映像。

使用对等下载 


对等下载功能是定向多播选项,强制目标设备从设备的本地高速缓存或从同一子网上的对等设备安 

装程序包。使用此选项将保留网络带宽,但是为了成功安装程序包,程序包必须位于本地高速缓存 

或对等设备的高速缓存中。 

如果您未选择对等下载选项,则定向多播设备代理仍然会尝试通过按此顺序检查程序包文件的以下 

位置来保留带宽: 

1. 本地高速缓存 

2. 同一子网上的对等设备 

3. 程序包服务器 

将文件复制到本地多播高速缓存文件夹 

您可以选择使用多播将一个以上的文件复制到本地多播高速缓存文件夹。使用此选项可将文件复制 

到目标设备的本地高速缓存中。此选项既不会安装文件,也不会执行任何其他操作。此选项用于将 

文件复制到每个多播域中的多播域代表或设备。您可以先对域代表进行初始部署,然后使用对等下 

载选项重做部署,以确保设备只能从其子网上的对等设备下载程序包。 

配置定向多播 

在使用定向多播之前,必须先确保分发目标的子网上已安装了定向多播组件。定向多播要求使用 

Management Suite 8 代理和多播域代表。 

手动指定作为多播域代表的计算机 

1. 在网络视图中,单击配置|多播域代表。 

2. 将希望其成为域代表的计算机从网络视图中拖到此类别中,以添加域代表。 

定向多播将使用响应多播域代表组中每个子网的第一台计算机。 

只有 Windows 计算机才能充当多播域代表。如果要使用多播将程序包分发到 Macintosh 计算机, 

请确保该多播域中至少有一台 Windows 计算机可充当这些 Macintosh 计算机的域代表。如果在 

Macintosh 主导的环境中只有少数几台 Windows 计算机,那最好在“多播域代表”组中手动指定一些 

Windows 域代表。 

在基于策略的推、推和多播传送方式窗口的多播页面下方的数据包计时页面中选中数据包传输之间 

的最少毫秒数选项,可以调节多播。 

您还可以在“配置 Management Suite 服务”对话框中自定义“定向多播”选项。要配置定向多播服 

务,请单击配置|服务|多播选项卡。有关详细信息,请单击该选项卡上的帮助。 

关于字节级检查点重新启动和动态带宽调节功能 

Management Suite 8 和更高版本支持分发字节级检查点重新启动和动态带宽调节功能。检查点重 

新启动功能使用 SWD 首先要复制到设备高速缓存目录(默认情况下是 C:\Program 

Files\LANDesk\LDClient\SDMCACHE)的分发作业。如果选择了带宽控制选项,则首先将文件复 

制到设备高速缓存,然后检查点重新启动允许中断的分发在中断处继续执行。 

265

用户指南 

动态带宽调节功能指定设备创建的网络通信量优先于分发通信量。使用此选项还可以强制将文件完 

全下载到设备高速缓存(此时同时启用字节级检查点重新启动功能),使下载可以从中断处继续进 

行。如果选中此选项,并将最小可用带宽百分比保留为 0,则在设备启用网络通信量后,分发会每 

秒削减大约一个程序包,直到通信量停止为止。如果分发需要网络带宽,而设备上的带宽却存在争 

用现象,则增加最小可用带宽几乎可完全保留指定用于分发的设备带宽量。 

如果您正在重新安装或修复 SWD 程序包或 MSI 程序包,则可能不需要使用动态带宽调节选项, 

因为这些程序包类型通常只下载所需的文件。在这种情况下,使用动态带宽调节功能将强制完全下 

载程序包,而修复操作通常可能只需要该程序包的一小部分。 

Windows 95、Macintosh 或 DOS 设备上不支持动态带宽调节。Windows 98 和 Windows NT 设备 

如果安装了 Internet Explorer 版本 4 或更高版本,则可以使用动态带宽调节。 

可以配置集体带宽调节,以便多播域中只有一个设备将从远程源下载。还可以配置在从源下载时占 

用的带宽量。所有版本的 Windows 系统均可以使用此功能。Macintosh 或 DOS 系统上不支持集体 

带宽调节。 

266

将软件分发到 Linux 设备上 


部署 Linux 代理后,可以将软件分发至您的 Linux 设备。初始 Linux 代理部署使用 SSH 连接。安 

装代理后,核心服务器使用标准 LANDesk 代理与 Linux 服务器建立通信并传输文件。要将软件分 

发至 Linux 设备,必须具有管理员权限。 

仅可以将 RPM 分发至 Linux 设备。Linux 代理将自动安装分发的 RPM。安装后 RPM 本身并不存 

储在服务器上。可以使用软件分发功能安装和卸载指定的 RPM。Linux 软件分发只能使用“推”的传 

送方式。对 Linux 软件的分发将忽略“推”传送方式中的设置,因此选择何种“推”传送方式或其中的 

设置如何都无关紧要。 

分发遵循此过程: 

1. 核心服务器通过标准 ANDesk 代理连接到 Linux 设备 

2. 设备下载程序包 

3. 设备运行使用 RPM 命令的 shell 脚本来安装 RPM 程序包 

4. 设备将状态发送回核心服务器。 

可以将 Linux RPM 存储在 HTTP 共享目录中。Linux 软件分发不支持 UNC 文件共享目录。对于 

HTTP 共享目录,确保已经对此目录启用了目录浏览。如果在 Windows 设备(非核心设备)上使 

用 HTTP 共享目录,您需要为 RPM 文件配置正确 MIME 类型的 IIS。否则,使用默认 MIME 类型 

的 IIS 将导致 RPM 无法下载文件。 

在 Windows 设备上配置 RPM MIME 类型 

1. 在 Windows 控制面板中,打开 Internet 服务管理器。 

2. 导航至包含分发文件的文件夹。在此文件夹的快捷菜单中,单击属性。 

3. 在 HTTP 报头选项卡中,单击文件类型按钮。 

4. 单击新建类型。 

5. 对于相关扩展名,请键入 rpm。请注意 rpm 是小写的。 

6. 对于内容类型,请键入文本/普通。 

7. 单击确定,退出对话框。 

将文件放入程序包共享目录后,请创建新的 Linux 分发程序包,为该程序包配置所需的传送方式, 

并安排传送。 

267

用户指南 

解决分发失败问题 

软件分发可以一次给许多设备分发程序包。如果程序包有问题,或部署的软件与现有软件冲突,则 

将导致数以千计的设备同时出现问题。当使用软件分发计划部署时,注意不要给帮助中心带来过大 

的压力。 

在部署新的程序包之前,请利用一些测试系统对其进行测试。在理想情况下,这些测试系统应包括 

您环境中使用的所有操作系统和应用程序。部署完程序包之后,确认所有系统和应用程序仍正常运 

行。 

程序包通过测试系统验证之后,请进行有限部署。在环境中定向少量设备。决定要定向的设备数目 

时,根据经验定向数目不要超出帮助中心所能承受的负荷。将程序包部署到这些设备之后,先将软 

件运行几天,以了解用户是否遇到任何问题。 

初始部署之后,可以开始将软件部署扩大到企业中的其他设备。软件部署的扩展速度应以企业中设 

备种类的多少和帮助中心的承受能力为基础。 

您可能还会遇到以下一些其他问题: 

计划任务找不到程序包 

如果计划任务指示无法找到程序包,请确保可以从设备查看此程序包。 

如果程序包基于 URL,可以检查以确保通过使用 Web 浏览器可以访问该程序包。请注意,如果设 

置 DNS 来解析程序包,则需要验证程序包已分发到所有 Web 服务器。 

如果从设备上可以查看程序包,但是仍无法正常下载,问题可能是基于 URL 或 UNC 的程序包共 

享目录不允许进行匿名访问。检查对 UNC 或 URL 共享目录的权限,确定允许进行匿名访问。对 

于 UNC 位置,确保已正确配置为 null 会话共享目录。 

带宽检测无法正常运行 

出现的一个最常见的问题就是设置 PDS 用于带宽检测。在设备设置中,在 PDS 和 ICMP 之间选 

择一个通用基本代理选项用于设备带宽检测。在将设备配置为使用 PDS 进行带宽检测时,该设备 

仅检测 RAS 和非 RAS 之间的连接。因而,如果配置分发仅可以处理高速连接并且程序包安装在 

有 WAN 连接的计算机中,则请检查并确保配置是使用 ICMP 而不是 PDS。 

268

使用基于策略的分发 


LANDesk Management Suite 使您可以利用基于策略的管理功能来管理各组设备上的应用程序集。 


• 关于基于策略的管理 

• 配置策略 

• 向应用程序策略应用范围 

• 用户在其设备上看到的内容 

• 使用本地软件分发入口 

269

用户指南 

关于基于策略的管理 

基于策略的管理(在以前的 Management Suite 版本中称作应用程序策略管理)可帮助您轻松管理 

各组设备上的应用程序集。与任何其他计划任务相似,策略需要: 

270 

• SWD 程序包、MSI 文件、可执行文件、批处理文件或您所创建的 Macintosh 程序包。 

• 支持策略的传送方式,包括策略或支持策略的“推”。 

• 分发程序包的策略目标,如 LDAP 或核心数据库查询的结果。 

• 策略应为可用时的计划时间。 

基于策略的管理定期重新运行配置为策略一部分的查询,从而在新增的任何受管设备上应用相关策 

略。例如,在包含用户对象的 LDAP 目录中可能有一个“部门”容器。“部门”对象为"销售"的任何用 

户均可使用标准的应用程序集。为“销售”用户设定策略后,添加到“销售”中的新用户即可自动获得 

安装在其计算机上的正确应用程序集。 

使用 LANDesk Management Suite 控制台可以配置应用程序策略,这些策略均存储在核心数据库 

中。 

基于策略的管理可以部署以下文件类型: 

• SWD 程序包 

• Microsoft Installer (MSI) 程序包 

• 单一文件独立可执行程序 

• Bat 文件 

• Macintosh 程序包 

基于策略的管理的任务流程如下: 

1. 请确保软件分发代理位于您的设备上。 

2. 如果您要设定其策略的应用程序没有相应的程序包,请创建一个程序包。有关详细信息, 

请参阅分发软件和文件。 

3. 使用分发程序包窗口为程序包创建一个程序包定义。 

4. 创建或选择一个现有的基于策略的传送方式。 

5. 在计划任务窗口中创建一个软件分发任务并从以上选项中选择程序包和传送方式。 

6. 请选择策略的目标,可包括单个设备的任意组合、数据库查询、设备组、LDAP 条目和 

LDAP 查询。 

7. 计划要运行的任务。运行时,分发程序包将成为“可拉”。 

8. 核心服务器上的基于策略的管理服务通过重新评估 LDAP/数据库查询结果来定期更新策略 

目标列表。这有助于确保核心数据库中存有最新的一组目标用户/计算机。 

9. 用户可以登录设备、连网,或者启动基于策略的管理代理。 

10. 核心服务器的基于策略的管理服务将根据设备的设备 ID 和登录用户或 LDAP 设备位置来 

确定适用的策略。 

11. 基于策略的管理服务会将策略信息返回至基于策略的管理代理。 

12. 用户选择要运行的策略或者系统自动运行策略,具体取决于您如何配置设备来处理策略。 

设备列表中仅包含建议使用的或可选的策略。如果列表中包含未处理的建议使用的策略, 

则默认情况下将选中该策略。一旦过了执行时间间隔,定期策略将显示在列表中。所选策 

略将按顺序执行。


13. 基于策略的管理代理将策略结果发送至核心服务器,该服务器将这些结果存储在核心数据 

库中。基于策略的管理状态则通过 HTTP 向核心服务器报告,用以增强可靠性。并在“计划 

任务”窗口中报告该状态。 

271

用户指南 

配置策略 

基于策略的管理需要一个 SWD 程序包、MSI 文件、可执行文件、批处理文件或您所创建的策略的 

Macintosh 程序包。可提前创建程序包,也可以在创建策略时创建这些程序包。建议您提前创建程 

序包,以便在将它们用于策略之前先进行测试并确保其正常工作。 

常规分发和策略可使用相同的分发程序包。其区别在于部署方面,而不是程序包的创建。支持基于 

策略的分发的传送方式有两种: 

272 

• 策略传送方式:仅策略的分发模式。只有符合此策略标准的设备才能接收该程序包。 

• 支持策略的“推”传送方式:组合的“推”分发和策略模式。首先,软件分发尝试在目标列表 

中的所有设备上安装程序包。这样,您可以使用定向多播进行初始部署。其次,当设备上 

的基于策略的管理代理请求程序包时,未获得程序包或以后加入目标列表的任何设备(就 

动态目标列表而言)可接收该程序包。 

标准传送方法与基于策略的传送方法之间的主要区别是,基于策略的传送方法对话框有一个工作类 

型和频率页面。 

工作类型和频率选项会影响目标设备在接收到策略后执行操作的方式: 

• 必需:基于策略的管理代理无需用户干预即可自动应用所需的策略。您可以将所需的策略 

配置为无提示运行。安装所需任务时显示在设备上的任何 UI 都应该是连续性的;换句话 

说,安装应用程序时不需要用户输入任何内容。 

• 建议:用户可以选择何时安装建议采用的策略。默认情况下,在设备 UI 上选择建议采用 

的策略。 

• 可选:用户可以选择何时安装可选策略。默认情况下,在设备 UI 上不选择可选策略。 

您还可以配置策略的运行频率: 

• 运行一次:一旦某一策略在设备上成功运行,该设备将不再运行此策略。 

• 定期:当建议或可选的策略被指定为定期执行时,则在成功处理后会从 UI 中删除该策 

略,而且在指定的时间间隔后将再次显示在 UI 中。 

• 根据需要而定:用户可随时安装。 

创建一个基于策略的分发 

1. 在控制台中,单击工具|分发|传送方法。 

2. 在基于策略的分发或支持策略的“推”分发的快捷菜单中,单击新建传送方法。 

3. 配置您想要的传送方法选项。单击帮助可获得每个页面的详细信息。 

4. 设置您想要的工作类型和频率选项。 

5. 完成操作后,单击确定。 


7. 单击创建软件分发任务工具栏按钮。 

8. 配置想要的任务选项,然后单击确定。 

9. 选定基于策略的分发任务后,将策略目标拖到右侧窗格中。 

启动策略任务且存在已解决的任务后,基于策略的分发便开始生效。支持策略的“推”分发则在基于 

“推”的初始分发完成后生效。

添加静态目标 


基于策略的管理可将静态目标用作策略目标。静态目标是指如果不手动进行更改就不会发生变化的 

一组特定设备或用户。通过从网络视图中选择单个设备作为目标来添加静态目标。单个 LDAP 设备 

无法作为静态目标添加。 

添加动态目标 

基于策略的管理可以使用查询来确定策略目标。对于 Management Suite 8,仅在核心数据库中存 

储查询。有关查询的详细信息,请参阅使用数据库查询。 

动态目标可以包括网络视图设备组,LDAP 对象、LDAP 查询和清单查询。 

要让设备接收到通过 Active Directory 或 NetWare 目录服务确定的目标策略,必须对设备进行配 

置,以便登录到该目录中。这表明,设备必须安装所有正确的代理软件,而且必须实际登录到正确 

的目录,以使设备的完全可分辨名称与通过目录管理器和计划任务应用程序策略管理器指定的目标 

名称相匹配。 

必须配置 Windows 95/98 和 NT 设备以便登录 Active Directory 所驻留的域。由于 Windows NT 和 

Windows 95/98 不包括 Active Directory 支持,因此必须在登录目录且需要使用基于策略的管理应 

用程序策略管理的设备上安装 Active Directory 支持。除本文外,您还可以从以下地址获得有关安 

装 Active Directory 客户端支持的详细信息: 

http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx 

为从 LDAP 确定目标设备,每个 Windows NT/2000/2003/XP 设备都必须在 Active Directory 域控 

制器上拥有一个计算机帐户。这意味着,用作设备的计算机必须登录到 Active Directory 所在的域 

中。不能只使用完全限定的 Windows NT 域名来映射网络驱动器。这样策略将不会生效。 

使用目录管理器创建查询 


2. 单击管理目录工具栏按钮。 

3. 输入目录 URL 和身份验证信息,然后单击确定。 

4. 单击新建查询工具栏按钮。 

5. 创建您的查询。有关详细信息,请参阅使用 LDAP 查询。 

添加其他目标 

创建基于策略的任务时,推荐在初始阶段将策略部署到一个较小的目标集。这样做的目的是,如果 

在部署策略时遇到问题,则只会影响一小部分用户。对较小用户集部署的结果经过验证后,便可将 

其他目标添加到策略。将新目标添加到已激活的策略任务时,策略便对新的目标设备或 LDAP 项目 

立即可用。 

273

用户指南 

向应用程序策略应用范围 

多个范围可用来过滤出某一目标列表的基于策略的管理目标详细信息窗格。然而,一个策略所使用 

的最终范围始终是某个任务所有者的范围。如果策略任务列于常见任务中,且属于不同范围的另一 

个 Management Suite 用户(我们称之为目标列表“编辑者”)要查看该任务的目标详细信息窗格, 

那么目标详细信息窗格将用编辑者的范围过滤。在这种情况下,“编辑者”在目标详细信息窗格中看 

不到要应用该策略的所有目标,因为“编辑者”的范围不允许他们看到“创建者”范围中的所有目标。 

用户在其设备上看到的内容 

应用程序策略始终使用拉模式进行处理。设备检查核心服务器上是否存在适用于它们的新策略。进 

行检查时,设备将出现一个对话框,其中仅显示未处理的建议采用的策略和可选策略,而不显示所 

需的策略。当 UI 中出现未处理的建议采用的策略时,默认情况下会将其选中,以鼓励最终用户处 

理该策略。 

处理完某个策略后,如果将其设置为定期运行,则它仍可能显示在 UI 中。如果出现这种情况,将 

继续选中该策略,即使是建议采用的策略也不例外。如果某个策略未得到正确的应用,则它可能还 

会继续出现在 UI 中。 

用户可以通过单击开始|程序|LANDesk Management|基于策略的交付手动启动基于策略的代理。 

使用本地软件分发入口 

受管设备上的软件分发代理也提供一个软件分发入口。该入口会检查适用于本地设备/用户的策略 

的本地软件分发高速缓存。然后,入口显示一个列出了可用策略的 Web 页。用户可以从列表中选 

择一个策略,然后单击下载选定的以安装与策略相关联的程序包。 

使用软件分发入口 

274 

1. 在受管设备上单击开始|程序|LANDesk Management|LANDesk 软件分发入口。 

2. 单击要应用的策略。 

3. 单击下载选定的。

使用“不受管的设备搜寻” 

不受管的设备搜寻 (UDD) 是 Management Suite 8 的新增功能。UDD 在网络上查找尚未将清单扫 

描结果提交到 Management Suite 核心数据库的设备。UDD 可以使用多种方法来查找不受管的设 

备。 

• 标准 LANDesk 代理:在计算机上查找 LANDesk CBA 代理。此选项可搜寻安装了 

Management Suite、LANDesk Client Manager、LANDesk System Manager 等产 

品的计算机。 

• 网络扫描:通过执行 ICMP ping 扫描来查找计算机。这是最彻底的搜寻,但速度最慢。 

可以将搜索限制在某些 IP 和子网范围之内。默认情况下,此选项使用 NetBIOS 尝试搜 

索设备并收集设备的有关信息。 

• IP 特征:UDD 尝试通过 TCP 数据包响应来搜寻操作系统类型。IP 特征选项会 

或多或少地减慢搜寻速度。 

• SNMP:UDD 使用 SNMP 搜寻设备。单击配置,输入有关网络上的 SNMP 的 

信息。 

• NT 域:在指定的域中搜索设备。无论计算机是打开还是关闭,都将进行搜寻。 

• LDAP:在指定的目录中搜索设备。无论计算机是打开还是关闭,都将进行搜寻。 

UDD 也支持其它搜寻方法。必须选中标准 LANDesk 代理或网络扫描,然后才能选中其中一种方 

法。 

• IPMI:搜寻启用智能型平台管理界面的服务器,该界面允许您访问许多功能而无需考虑 

服务器是否打开或操作系统的状态。 

• 服务器机箱:查找刀片式服务器机箱管理模块 (CMM)。服务器机箱中的刀片式服务器将 

作为普通服务器被检测。 

• Intel* AMT:查找启用 Intel 活动管理技术的设备。AMT 设备会显示在 Intel AMT 

文件夹中。 

要自动搜寻不受管的设备,可以安排搜寻操作定期执行。例如,可以将网络分为三个部分,每天晚 

上安排对其中一个部分执行 ping 扫描。 

如果计划了搜寻,则核心服务器会执行搜寻。未计划的搜寻将从启动它的控制台上执行。 

不受管的设备搜寻无法发现有防火墙的设备 

注意,通常,不受管的设备搜寻无法发现使用防火墙的设备,如内置在 Windows XP 中的 

Windows 防火墙。防火墙通常阻止设备响应不受管的设备搜寻使用的搜寻方法。 

275

用户指南 

搜寻不受管的设备 

搜寻不受管的设备非常容易。 

搜寻不受管的设备 

276 

1. 在“不受管的设备搜寻”窗口(工具|配置|不受管的设备搜寻)中,单击扫描网络按钮。 

2. 选择需要的搜寻选项。 

3. 输入扫描的起始和结束 IP 范围。必须为标准 LANDesk 代理搜寻 (CBA) 或网络搜寻输入 

一个范围,这两个选项才有效。而对于 NT 域和 LDAP,该范围是可选的。 

4. 输入子网掩码。 

5. 单击添加按钮,添加刚刚配置到任务列表中的扫描。 

6. 在对话框底部的任务列表中选择要运行的扫描,单击立即扫描按钮立即开始扫描,或者单 

击计划任务按钮以后运行扫描或定期重复运行扫描。立即扫描和计划任务按钮只运行已添 

加到任务列表中并已选中的扫描。 

7. 在“扫描状态”对话框中查看扫描状态的更新情况。扫描结束后,在“扫描状态”和“扫描器配 

置”对话框中单击关闭。 

8. 在 UDD 树中单击计算机可以查看扫描结果。 

配置 Windows NT 域搜寻 

必须将调度程序服务配置为使用域管理员帐户登录到域,否则 UDD 的“Windows NT 域搜寻”选项 

无效。 

配置调度程序登录帐户 

1. 单击配置|服务,然后单击调度程序选项卡。 

2. 单击更改登录。 

3. 输入域管理员的用户名和密码。 


5. 重新启动调度程序服务以使更改生效。在调度程序选项卡上,单击停止,服务停止后,单 

击开始。 

当 UDD 找到不受管的设备后将执行什么操作 

UDD 第一次找到不受管的设备后,将尝试识别其设备类型,以便将该设备添加到以下四个类别之 

一: 

• 机箱:包含刀片式服务器机箱管理模块。 

• 计算机:包含计算机。 

• 基础设施:包含路由器和其他网络硬件。 

• Intel AMT: 包含支持 Intel 活动管理技术的设备。 

• IPMI: 包含装有“智能性平台管理界面”的服务器。 

• 其他:包含未标识的设备。 

• 打印机:包含打印机。

使用“不受管的设备搜寻” 

这四个类别有助于组织 UDD 列表,使您更容易找到需要的设备。单击任一列标题,即可按该列标 

题对设备列表进行排序。UDD 可能无法每次都正确地对设备分类。您可以轻松地将标识有误的设 

备拖到正确的组中。 

UDD 尝试搜寻每个设备的相关基本信息。 

• 设备名称:搜寻到的设备的名称(如果有)。 

• IP 地址:搜寻到的 IP 地址。UDD 始终会显示此信息。 

• 子网掩码:搜寻到的子网掩码。UDD 始终会显示此信息。 

• 操作系统说明:搜寻到的操作系统说明(如果有)。 

• MAC 地址:搜寻到的 MAC 地址。如果设备有标准 LANDesk 代理、NetBIOS,或者, 

如果设备与核心服务器或执行搜寻的控制台位于同一个子网,通常就会返回搜寻到的 MAC 

地址。 

• 组:设备所属的 UDD 组。 

• 标准 LANDesk 代理:显示设备上是否有 CBA。列中的“Y”表示有,“N”表示没有。您可 

以将 Management Suite 设备直接部署到加载了 CBA 的设备。 

• 所有用户:已登录到当前正被扫描的设备上的用户(如果有)。 

• 组/域:设备所属的组/域(如果有)。 

• 首次扫描时间:UDD 第一次扫描此设备的日期。 

• 上次扫描时间:UDD 上次扫描此设备的日期。此列可帮助您找到可能已经不在网络上的 

或最近发现的不受管设备。 

• 扫描次数:UDD 扫描此设备的次数。 

• AMT: 设备是否支持活动的 Intel 管理技术。 

视设备而定,UDD 不一定在所有列上都有信息。当 UDD 第一次找到设备后,会搜索核心数据库, 

查看该数据库中是否已有该设备的 IP 地址和名称。如果有相匹配的信息,UDD 会忽略该设备。如 

果没有相匹配的信息,UDD 会将该设备添加到不受管设备表。不受管设备表中的设备不使用 

Management Suite 许可证。一旦设备将清单扫描发送到核心数据库,就认为该设备是受管理的设 

备。不能将设备从 UDD 拖入主控制台网络视图。一旦不受管的设备提交了清单扫描,该设备将从 

UDD 中删除,并自动添加到网络视图中。 

如果搜寻到的设备并没有在所有列中都包含信息,可以选择该设备,然后单击需要 IP 特征。UDD 

会将一系列数据包发送给该设备,并尝试根据响应来确定该设备的更多信息。视设备及其操作系统 

类型而定,IP 特征可找到不同级别的信息。 

您可以创建组,对不受管的设备进一步分类。当您将设备移到另一个组后,如果 UDD 以后再次检 

测到该设备,UDD 将使该设备留在该组中。通过对主计算机组进行组织管理,并将您确信不会使 

用 Management Suite 进行管理的设备移到子组或其他类别,就可以在计算机组中很容易地看到新 

的设备。如果检测到包含设备的组,UDD 会将设备移到其他组。 

使用查找工具栏字段,可以迅速找到与指定的搜索条件相匹配的设备。可以在某列中或在所有列中 

搜索信息。搜索结果将显示在查找结果类别中。例如,通过在标准 LANDesk 代理字段中搜索“Y”, 

使用“查找”对有 CBA 的不受管计算机进行分组。 

还可以在 UDD 找到不受管的设备时创建 AMS 警报。在 AMS 中,要配置的警报名是已找到不受管 

的设备。 

部署到不受管的设备 

您可以按以下方法之一将 Management Suite 代理部署到不受管的设备: 

277

用户指南 

278 

• 基于“推”进程而且使用计划任务和已为调度程序配置的域管理帐户的部署。适用于 

Windows NT/2000/2003/XP 设备。 

• 使用标准 LANDesk 代理进行基于“推”的部署。如果设备有标准 LANDesk 代理,您可以 

进行基于“推”的部署。 

• 使用登录脚本的基于“拉”进程的部署。 

有关部署设备的详细信息,请参阅《安装和部署指南》的第 4 阶段。 

在为部署代理而组织设备时,您可能会发现,在为设备部署标准 LANDesk 代理而进行分组时按标 

准 LANDesk 代理对不受管的设备进行排序更为容易,而在为部署计划任务而排序时则按域排序更 

为容易。 

部署到 Windows XP 设备时 

Windows XP 的默认设置会强制使用本地帐户进行网络登录的用户改用来宾帐户登录。如果不是使 

用域级管理帐户,而是使用本地帐户调用调度程序服务,则计划任务将失败,因为调度程序服务无 

法验证身份。有关详细信息,请参阅《安装和部署指南》的“第 4 阶段:将主代理部署到设备”。 

将代理部署到不受管的设备 

1. 单击工具|配置|代理配置,创建新配置或使用现有配置。在该配置的快捷菜单中,单击计 

划。 

2. 单击工具|配置|不受管的设备搜索,并选择要对其进行部署的设备。将设备拖到计划任务 

窗口中。如果计划任务窗口是最小化的选项卡,可以将设备拖到计划任务选项卡,该选项 

卡将打开计划任务窗口。 

3. 如果设备没有标准 LANDesk 代理,请单击配置|服务,然后单击调度程序选项卡。确保调 

度程序帐户对您要在其中部署代理的设备具有管理权限。 

4. 双击部署脚本,并设置开始时间。完成操作后,单击确定。 

5. 查看计划任务窗口,看是否有更新。 

恢复客户端记录 

如果您重新设置了核心数据库并需要恢复设备数据,您可以使用 UDD 搜寻网络上的所有设备。然 

后您可以使用搜寻结果作为“恢复客户端记录”计划任务的目标。 

如果这些设备上有标准 LANDesk 代理,则此任务使这些设备向每个设备本地配置的核心数据库发 

送完全清单扫描。此任务的结果是已配置的那些设备将重新扫描到数据库中,并且这些设备将仍指 

向它们正确的管理核心服务器。该任务对那些未由核心服务器管理的设备将失败。 

恢复客户端记录 

1. 如前所述使用 UDD 搜寻不受管的设备。 


3. 在计划任务窗格中,单击计划自定义脚本按钮。 

4. 单击恢复客户端记录,在其快捷菜单中单击计划。 

5. 在 UDD 查找结果树中,将要恢复的计算机拖到计划任务窗口的恢复客户端记录任务中。 

6. 在恢复客户端记录任务的快捷菜单中单击属性,配置该任务。 

7. 查看计划任务窗口,看是否有更新。

管理本地帐户 

通过 LANDesk 提供的控制台,您可以管理本地计算机的用户和组。 


• 本地帐户概览 

• 管理本地用户 

• 管理本地组 

• 将用户分配给组 

• 更改密码 

• 重置密码 

279

用户指南 

本地帐户概览 



码的任务。如果设备关闭或没有连接到网络,将无法使用本地帐户来管理设备。 

注意:使用本地帐户时,核心服务器与其它计算机以接近实时的方式进行交互。 

使用核心服务器的本地帐户 

由于核心服务器是网络上的节点并且具有本地帐户,您可以使用本地帐户工具在服务器上或对控制 

台本身执行管理任务。可通过创建本地用户并将其添加到 Windows NT 的 LANDesk 

Management Suite 组中,将 LANDesk 用户添加到控制台。这样,您就可以在控制台执行管理任 

务,而无需使用本机本地帐户管理系统,如 Windows NT 上的“计算机管理”。 

如果您愿意,仍然可以使用本机本地帐户管理系统来管理本地帐户。您可以直接访问设备,从控制 

台远程控制计算机,或使用第三方工具来访问设备和执行管理任务。 

有关使用控制台执行本地帐户管理的详细信息,请参阅管理 LANDesk 用户。 

管理本地用户 

您可以从控制台添加、删除和编辑本地计算机上的用户。 

添加用户 

280 


2. 右键单击要管理的设备,然后选择管理本地用户和组。 

3. 在本地用户和组对话框中,右击用户然后单击添加。 

4. 在新建用户对话框中,输入用户名,全名和说明。 

5. 输入密码,确认密码,然后指定密码设置。 


删除用户 




4. 右键单击您要删除的用户,然后单击删除。 


编辑用户 




4. 右键单击您要编辑的用户,然后单击编辑。 

5. 进行必要的更改,然后单击确定。

管理本地组 

您可以从控制台添加、删除和编辑本地计算机上的组。 

添加组 

删除组 

编辑组 



3. 在本地用户和组对话框中,右键单击组,然后单击添加。 

4. 在新建组对话框中,输入组名称和描述。 

5. (可选)可以通过单击添加将用户添加到组。 





4. 右键单击您要删除的组,然后单击删除。 





4. 右键单击您要编辑的组,然后单击编辑。 

5. 进行必要的更改,然后单击确定。 

将用户分配给组 


可以使用两种方法从控制台在本地计算机的组中添加和删除用户。使用第一种方法可在组中一次添 

加或删除多个用户。使用第二种方法可在一个或多个组中添加或删除所选的用户。 

将用户添加到组 




4. 右键单击您要将用户添加到的组,然后单击编辑。 

5. 在编辑组对话框中,单击添加。 

6. 选择要添加到组中的用户,然后单击添加>>。 


8. 在编辑组对话框中,单击确定。 

将用户添加到一个或多个组 


281

用户指南 

282 



4. 右键单击要添加到一个或多个组中的用户,然后单击编辑。 

5. 在编辑用户对话框中,单击成员归属选项卡。 

6. 单击添加。 

7. 选择希望用户所属的组,然后单击添加>>。 


9. 在编辑用户对话框中,单击确定。 

从组中删除用户 




4. 右键单击要删除用户的组,然后单击编辑。 

5. 选择要删除的用户,然后单击删除>>。 


从一个或多个组中删除用户 




4. 右键单击要从一个或多个组中删除的用户,然后单击编辑。 

5. 在编辑用户对话框中,单击成员归属选项卡。 

6. 选择要删除该用户的组,然后单击删除>>。 


更改密码 

可以从控制台上更改本地计算机的用户密码。 

更改用户密码 




4. 右键单击要更改密码的用户,然后单击设置密码。 

5. 输入新密码,确认密码,然后单击确定。 

6. 单击确定确认密码已成功更改。 

重置密码 

可以为特定用户名创建重置密码的计划任务。计划好任务之后,将进入计划任务工具,通过该工具 

可以指定目标设备和开始时间。例如,从本地帐户为 Administrator 用户名创建一个重置密码的任 

务。然后指定目标设备并计划任务执行的时间。任务运行后,所有希望向目标设备验证身份的管理 

员将必须使用新密码。

重置密码 





4. 单击计划图标。 

5. 在计划任务对话框中,插入要重置密码的用户名。可以从下拉列表中选择现有用户名,也 

可以键入其它用户名。 

6. 输入新密码,确认密码,然后单击计划。 

7. 在计划任务工具中,右键单击计划的任务,然后单击属性。 

8. 在计划任务 - 属性对话框中,指定目标设备并输入计划信息。有关详细信息,请参阅计划 

任务。 


283

使用警报 

当网络中出现警报时,LANDesk Alert Management System (AMS) 会自动采取相应的措施。AMS 

会监控各个 Management Suite 组件和设备上发生的特定事件。一旦发生这些事件,组件或设备就 

会向 AMS 发送警报。 

而 AMS 则会完成您预先配置好的报警,将这一警报通知您。例如,您可以对控制台进行配置,使 

之在他人试图进行远程控制会话时通知您。这样,发生此类事件时,AMS 就能检测到并会进行配 

置好的报警,如向您发送 Internet 邮件或寻呼机消息。 


• 警报的工作方式 

• 配置 AMS 报警 

• 配置消息框报警 

• 配置广播报警 

• 配置发送 Internet 邮件报警 

• 配置运行程序报警 

• 配置写入事件日志报警 

• 配置加载 NLM 报警 

• 配置发送寻呼消息报警 

• 配置发送 SNMP 陷阱报警 

• 处理配置好的报警 

• 查看 AMS 警报历史记录 

285

用户指南 

警报的工作方式 

您可以对 AMS 进行配置,使之在特定事件发生后向您发出通知。例如,在某个设备上开始远程控 

制会话时,您可以配置在您的设备上显示一个消息框警报操作。开始远程控制会话时,AMS 将生 

成一个警报并在设备上显示消息框。您可以通过控制台配置警报的某些参数。 

当出现您设定的警报条件时,控制台就向 AMS 发送警报。AMS 再通过执行您在“警报设置”对话框 

中配置好的报警向您发出通知。可用的报警有: 

286 

• 显示消息框 

• 广播消息 

• 发送 Internet 电子邮件 

• 加载 NLM 

• 运行程序 

• 将事件详细信息写入事件日志 

• 发送寻呼机消息 

• 发送 SNMP 陷阱 

您可以针对 NetWare 和 Windows 95/98/NT/2000/2003 和 Windows XP Professional 设备配置警 

报。还可以选择出现报警的设备。 

在一个控制台上配置的报警,不会出现在其他控制台上。不过,您可以将配置好的警报导出到其他 

控制台,以便在多个设备上使用同样配置的报警。有关详细信息,请参阅本章后面的"将报警导出 

到其他计算机"。

配置 AMS 报警 

使用警报 

在警报设置对话框中可以选择警报并配置报警。警报设置对话框包含 AMS 能监视的所有事件的文 

件夹树视图。您可以展开或折叠文件夹,查看每个文件夹的可用警报。还可以配置当 AMS 检测到 

这些事件之一时发生的报警。 

配置报警消息 

这些报警可以在它们发出时生成消息: 

• 消息框 

• 广播 

• 发送寻呼消息 

• 发送 Internet 邮件 

• 发送 SNMP 陷阱 

• 写入事件日志 

此消息可以包含您添加的任何文本以及生成该消息的警报的信息。下表列出了可用于所有消息的默 

认参数: 

默认参数说明 

主机名主机设备的名称 

日期警报发生日期 

时间警报发生时间 

警报名称所选警报的名称 

用户名触发该警报的用户(若有)的姓名 

说明所发生的警报的说明 

严重性警报的严重级别 

可用参数可能会因所选警报而异。“消息”对话框包含两个列表框。“消息”框包含要发送的消息的文 

本。“警报参数”列表包含要作为消息文本的所有参数。 

您添加到该“消息”框中的每个参数占位符将为警报发生后的相应警报消息所替换。警报的大小不得 

超过 1 KB。否则不会传送。此时,AMS 会触发默认警报,通知您无法发送该消息。您可以配置默 

认警报的报警,确保当消息没有传送时您能知晓。 

您可以测试配置好的报警,确保它们能够按要求执行。有关详细信息,请参阅本章后面的测试配置 

好的报警。 

配置报警 

大多数 AMS 报警在配置警报向导中的配置步骤都类似。有关配置各类报警的具体细节,请参阅本 

章后面的相应内容。 

287

用户指南 

配置报警 

288 

1. 在控制台中,单击配置|警报设置。 

2. 在警报设置窗口中,选择要为其配置报警的警报。 

3. 右击该警报,然后单击配置。 

4. 选择一个报警,然后单击下一步。 

5. 选择运行该报警的客户端,然后单击下一步。 

6. 选择报警严重性或使用默认值。对配置的警报进行评估,将重要警报标记为严重。您可以 

将其他对你而言不重要的警报设置为信息级或监视级。AMS 的严重性级别有六个: 

• 监视器 

• 信息 

• 好 

• 严重 

• 不严重 

• 不能恢复 

7. 单击下一步。 

8. 选择所选报警的详细信息,然后单击下一步。 

9. 如果报警可以发送消息文本,请在“消息”框中输入您希望显示的消息文本,并将要使用的 

可用参数移到此“消息”框中。 

10. 输入配置名称。该名称和报警计算机的名称会出现在此报警旁边的“警报设置”对话框中。 


配置不同的警报类型 

有关配置不同警报类型的具体细节,请参阅本章有关报警的部分。 

配置消息框报警 

“消息框”报警在您配置该报警的设备上显示消息框。“消息”警报有两个选项。分别是: 

• 显示时发出嘟嘟声—设备上显示消息框时发出嘟嘟声。 

• 使消息框成为系统模型—采用系统模型的消息框,您就只有在单击该消息对话框对它进行 

确认后,才能在其他程序中工作。 

配置广播报警 

“广播”报警会向所有与生成该警报的服务器相连的用户发送广播消息。不过,您可以使用“高级搜 

寻”选项,将此警报配置为只发送到某些网络段。有关详细信息,请参阅联机帮助中的“高级搜索”部 

分。 

只有在以下情况下,“广播”报警操作才能成功: 

1. 设备接收消息与核心服务器之间存在某种联系,例如映射驱动器。 

2. 设备与核心服务器位于相同的域、同一网络子网内。 

3. 设备设置为接收广播消息(在 Windows 2000/2003/XP 上,Messenger 服务必须正在运 

行)。

配置发送 Internet 邮件报警 

使用警报 

“发送 Internet 邮件”报警向指定的用户发送 Internet 邮件消息。您在使用“发送 Internet 邮件”报警 

时,还需要指定报警通过哪台 SMTP Internet 邮件服务器发送消息。 

如果指定邮件服务器的名称,那么还需要在网络上配置一台域名服务器 (DNS),否则“发送 Internet 

邮件”报警就不能解析该服务器的 IP 地址。如果没有 DNS 服务器,可以直接输入邮件服务器的 IP 

地址。 

只有在您有权访问自己站点上的 SMTP Internet 邮件服务器时,此报警才能起作用。 

配置运行程序报警 

“运行程序”报警会在您选择的设备上运行一个程序。如果您运行的是 Windows 程序,可以从以下 

窗口状态进行选择: 

• 正常 

• 最小化 

• 最大化 

窗口状态选项对 DOS 程序不会有任何影响。输入要运行的程序的完整路径和命令行。您可以在“命 

令行”字段中输入您希望程序使用的任何命令行选项。 

配置写入事件日志报警 

“写入事件日志”报警会在 Windows NT 事件日志的应用程序日志中创建一个条目。此条目记录在发 

出该警报的设备上。此报警只适用于 Windows NT 设备。 

配置加载 NLM 报警 

发生 AMS 警报时,“加载 NLM”报警会在选定的 NetWare 服务器上加载一个 NLM。您必须对此报 

警进行配置,确定要加载的 NLM 和加载它的服务器。该报警与用于 Windows NT 的“运行程序”报 

警类似。 

当您初次配置此报警时,AMS 会在网络中搜索可执行此报警的 NetWare 设备。 

在“NLM”字段中输入要加载的 NLM。NetWare 服务器通常在 SYS:SYSTEM 目录中存储 NLM。务 

必输入 NLM 在 NetWare 服务器上使用的路径。例如,使用系统路径,如 

SYS:SYSTEM\TEST.NLM。而不要使用您设备映射的驱动器盘符,如 T:\SYSTEM\TEST.NLM, 

因为 NetWare 服务器在自己的硬盘上并不使用这些驱动器盘符。 

在“命令行选项”字段中输入您希望 NLM 使用的所有命令行选项。 

配置发送寻呼消息报警 

“发送寻呼消息”报警向指定的号码发送寻呼机消息。配置寻呼机报警的所有设备都需要有调制解调 

器。测试“发送寻呼消息”报警,确保它们能够按预期的方式运行。有关详细信息,请参阅本章后面 

的测试配置好的报警。 

寻呼机报警配置分为以下几部分: 

289

用户指南 

290 

• 为 AMS 配置调制解调器 

• 配置寻呼服务 

• 输入寻呼机消息 

下一步骤后的三个部分将详细介绍配置过程的每个部分。 

配置“发送寻呼消息”报警 

1. 在“配置 AMS 警报”对话框中,选择要配置其报警的参数。 

2. 单击配置。 

3. 依次单击发送寻呼消息报警和下一步。 


5. 选择报警的严重性或使用默认设置,然后单击下一步。 

6. 输入要呼叫的联系电话号码。务必包括在您的站点拨打外线所需的全部号码。 

7. 输入寻呼机 ID 号。 

8. 在“密码”字段中输入用来访问寻呼服务网络的密码。如果您的寻呼服务不使用密码,则将 

此字段留空。 

9. 在“服务”下拉列表中,选择服务类型。如果未列出您的寻呼服务,请试着选择一种普通类 

型。有关详细信息,请参阅配置寻呼服务。 


11. 如果要创建适用于文字数字寻呼机的消息,请在“消息”框中输入要显示的消息文本,并将 

要使用的参数从“警报参数”列表移到“消息”框中。如果要创建适用于数字寻呼机的消息,则 

在“消息”框中只能输入数字。 

12. 输入配置名称。配置名称显示在相应报警旁边的“配置 AMS 警报”对话框中。 


为 AMS 配置调制解调器 

您必须为 AMS 配置调制解调器才能与您的寻呼服务联系。您需要运行调制解调器配置实用程序, 

选择正确的 COM 端口和调制解调器类型,“发送寻呼消息”报警才能正常发挥作用。 

为 AMS 配置调制解调器 

1. 在 Windows 资源管理器中,双击 MODEMCFG.EXE 调制解调器配置实用程序。在 

Windows NT 设备上,此实用程序位于 WINNT\SYSTEM32\AMS_ii 文件夹中。而在 

Windows 98SE 设备上,此实用程序则存放在 WINDOWS\SYSTEM\AMS_ii 文件夹中。 

2. 从“COM 端口”下拉列表中,选择调制解调器使用的 COM 端口。 

3. 从“调制解调器类型”下拉列表中,选择正确的调制解调器类型。 

4. 单击确定,保存这些设置。现在,您的调制解调器已能和 AMS 报警系统一起协同工作。

配置寻呼服务 

使用警报 

尽管 AMS“发送寻呼消息”警报只能和直接寻呼服务配合使用,您却既可以直接访问寻呼服务,也可 

以间接访问寻呼服务。 

寻呼方法说明 

直接寻呼指拨打寻呼服务提供商的网络访问电话号码。即:您通过访问其设备网络来输入 

寻呼机的标识号,然后寻呼服务网络再将消息发送到该寻呼机。 

间接寻呼需要呼叫寻呼服务,与接线员对话并向接线员提供寻呼机的标识号。AMS“发送寻 

呼消息”警报不支持间接寻呼。 

由于需要寻呼服务接线员来将信息输入向寻呼机发送消息的寻呼网络,因此 AMS 

消息不能到达寻呼网络。间接寻呼方法,有时直接联系网络时会用到,是一种付 

费电话,而寻呼机服务通过接线员提供免费服务。 

您需要为寻呼服务配置“发送寻呼消息”报警。此信息至少应包含您要使用的寻呼服务电话号码和寻 

呼服务的名称。 

始终将寻呼服务的电话号码放在“发送寻呼消息”对话框的“服务提供商”字段中。如果您的寻呼服务 

不在“发送寻呼消息”对话框的“服务”下拉列表中,请试着使用“通用 BP 机”或“通用文字数字寻呼机” 

服务(选择适合所用寻呼机类型的那个)。在“密码”字段中输入用于访问寻呼服务网络的密码。 

如果通用服务不支持您的寻呼机 

您必须配置“发送寻呼消息”报警的通信参数。该信息包括您的寻呼服务使用的波特率、数据位和停 

止位、奇偶校验以及寻呼协议。该信息可从您的寻呼服务处获得。如果您的寻呼服务在“服务”下拉 

列表中,则当您选择了该服务后,系统会自动配置这些参数。 

要手动配置寻呼服务,请参阅以下步骤。 

配置未在列表中的寻呼服务的“寻呼机”报警 

1. 在“寻呼机”对话框的“服务”字段中,单击新建。 

2. 单击属性。 

3. 输入您的寻呼服务所需的最大消息长度、波特率、数据位、停止位、奇偶校验和协议。您 

可从寻呼服务处获取这些信息。 

4. 单击“确定”。 


6. 如果要创建适用于文字数字寻呼机的消息,请在“消息”框中输入要显示的消息文本,并将 

要使用的参数从“警报参数”列表移到“消息”框中。如果要创建适用于数字寻呼机的消息,则 

在“消息”框中只能输入数字。 

7. 输入配置名称。配置名称显示在相应报警旁边的“配置 AMS 警报”对话框中。 


输入寻呼机消息 

“寻呼机”报警支持文字数字寻呼机和纯数字寻呼机(通常称为 BP 机)。 

如果您要给文字数字寻呼机发送消息,则消息可以包含您输入的任何文字以及生成该消息的警报的 

信息。该消息的长度不得超过您的寻呼服务支持的最多字符数;否则,消息将被截断。 

291

用户指南 

用纯数字寻呼机呼叫 

如果您是用纯数字寻呼机发出呼叫,则只能发送数字。创建服务器编号和数字错误代码的系统,该 

系统要与您配置的警报相对应。例如,创建这样一个系统:其中 1 代表您的生产服务器,数字 101 

表示磁盘快满了。这样,当您收到 1 101 这个消息时,就知道生产服务器的磁盘快满了。 

配置发送 SNMP 陷阱报警 

简单网络管理协议 (SNMP) 是一种基于消息的协议,基于由 Get、GetNext 和 Set 消息和响应构成 

的管理器/代理模式。SNMP 使用陷阱来报告异常情况,如组件故障和违背阈值。 

AMS 可以在发生警报时生成 SNMP 陷阱。您可以对生成警报的系统进行配置,使之将这些陷阱发 

送到 SNMP 管理控制台(若有)。 

不包含 SNMP 事件控制台 

Management Suite 不包含用于查看 SNMP 陷阱和事件的 SNMP 事件控制台。 

配置“发送 SNMP 陷阱”报警 

292 

1. 在“警报设置”对话框中,选择要配置其报警的参数。 

2. 单击配置。 

3. 选择 SNMP 陷阱报警,然后单击下一步。 


5. 选择报警严重性或使用默认值,然后单击下一步。 

6. 键入要显示在 SNMP 陷阱中的任何消息文字,并将所需的可用参数从“警报参数”列表移到 

“消息”框中。 

7. 输入配置名称。该名称显示在“警报设置”对话框中的相应报警旁边。 


您必须指定要将 SNMP 陷阱发送到的设备的陷阱目的地地址(IP 或 IPX)。 

在 Windows 2000 上安装 SNMP 

1. 在 Windows 2000 的“控制面板”中,双击添加/删除程序。 

2. 在随即出现的窗口左侧,单击添加/删除 Windows 组件。 

3. 选择管理和监视工具,然后单击详细信息。 

4. 选择简单网络管理协议,然后单击确定。 


6. Windows 2000 将安装 SNMP 组件。完成 SNMP 安装过程。 

在 Windows 2000 上配置陷阱目的地 

1. 在“控制面板”的“计算机管理”小程序中,依次单击服务和应用程序和服务。 

2. 双击 SNMP 服务。 

3. 单击“陷阱”选项卡。 

4. 在社区名称列表中,输入公共,然后单击添加到列表。 

5. 输入您要将陷阱发送到的设备的陷阱目的地,然后单击添加。 

6. 单击“确定”。

在 Windows NT 4 上配置陷阱目的地 

使用警报 

1. 在 Windows NT 的“控制面板”中,双击网络图标。 

2. 单击服务选项卡。 

3. 依次单击 SNMP 服务项和属性。 

4. 单击陷阱选项卡。 

5. 在“社区名称”下拉列表中,选择公共。如果此列表中没有公共条目,则在其中键入一个条 

目,然后单击添加。 

6. 选择或输入了“公共”社区名称后,单击“陷阱目的地”列表下面的添加。 

7. 输入您要将陷阱发送到的设备的地址,然后单击添加。 

8. 单击确定|关闭。 

配置 NetWare 5.1 服务器的陷阱目的地 

1. 从 NetWare 服务器控制台,键入: 

load install 

2. 单击产品选项。 

3. 单击配置网络协议。 

4. 单击协议。 

5. 单击 TCP/IP。 

6. 单击 SNMP 管理器表。 

7. 输入您要将陷阱发送到的设备的地址,然后单击添加。 

293

用户指南 

处理配置好的报警 

配置好报警之后,您可以对其进行测试,确保它们能够像期望的那样发挥作用,也可以删除它们或 

将它们导出到其他设备。 

测试配置好的报警 

配置好报警之后,在“警报设置”对话框中对其进行测试。 

测试配置好的报警 

294 

• 右键单击警报,然后单击测试报警,测试为该警报配置的所有报警。右键单击特定的报 

警,然后单击测试报警,可以只运行该报警。 

删除参数的报警 

您可以删除参数的报警。 

删除参数的报警 

1. 在“警报设置”对话框中,右击要删除的报警。 

2. 单击删除。 

将报警导出到其他设备 

每个生成 AMS 警报的设备都是将其警报信息存储在本地 AMS 数据库。通常情况下,存储在一个 

数据库中的警报和报警在其他设备上的 AMS 数据库中是看不见的。有时,为了不重复工作,您会 

希望将 AMS 报警的配置复制到多个设备上。您可以通过 AMS 导出选项将报警导出至生成该 AMS 

警报的其他设备。 

某些报警在其他设备上可能无法发挥作用。例如,如果您将“发送寻呼消息”报警导出到没有调制解 

调器的设备,那该警报就不能发挥作用。 

当您将报警从一个设备导到另一个设备时,既可以导出一个报警,也可以导出所有报警。 

将报警导出到其他设备 

1. 在警报设置对话框中,右键单击警报类别并单击导出。 

2. 检查想要导出的警报类别或报警。单击下一步。 

3. 在选择计算机对话框中,选择要接收所选报警的计算机。如果所需设备上的 AMS 处于活 

动状态,但该设备却没有列在可用计算机列表中,则单击刷新以重新搜索有 AMS 的设 

备。 


5. 在导出状态对话框中,查看报警是否已成功导出。

查看导出状态 

使用警报 

AMS 将报警导出到您在“选择计算机”对话框中选定的设备后,AMS 会在“导出状态”对话框中显示 

导出结果。此对话框会显示未成功导出的报警。如果警报未成功导出,其原因可能如下: 

• 目标设备上未安装 AMS,或虽然装了,但不能正常运行。此时,可通过“警报设置”对话框 

在该设备上测试配置好的报警,以此验证 AMS。 

• 目标设备上不存在为之配置的报警的警报。此时,需确保目标设备上安装了向源设备上的 

AMS 注册该警报的应用程序。 

295

用户指南 

查看 AMS 警报历史记录 

您可以使用控制台上的“警报历史记录”来查看网络中各设备生成的所有 AMS 警报的列表。您可以 

对“警报历史记录”进行配置,使之: 

296 

• 只显示那些符合指定条件的警报 

• 显示指定的条目数 

警报列表显示在“警报历史记录”对话框中,并附有每个警报的以下信息: 

• 警报名称 

• 源 

• 计算机 

• 日期 

• 时间 

• 严重性 

除“警报历史记录”对话框显示的基本信息之外,您还可以在“警报信息”对话框中访问每个警报的详 

细信息。核心服务器存储所有设备工作站和控制台的 AMS 警报历史记录信息。 

查看警报历史记录 

• 在控制台中,单击视图|警报历史记录,即可查看警报历史记录。 

过滤警报历史记录显示列表 

您可以对“警报历史记录”进行配置,使之只显示那些符合指定条件的警报。您可以根据以下参数过 

滤显示的警报: 

过滤器说明 

查看自/查看至设置警报的日期和时间范围。 

计算机显示某一特定设备的警报。 

源显示一个或多个设备上来自同类警报源(如远程控制代理)的警报。 

警报显示具有特定警报名称的所有警报。 

严重性只显示符合所选严重级别的警报。您可以指定以下严重级别:监视、信息、 

确定、不严重、严重和不能恢复。 

指定显示在“警报历史记录”中的警报 

1. 在警报历史记录窗口中右击,然后单击“选项”。 

2. 在“过滤器”选项卡中,选择要应用于“警报历史记录”列表的过滤器。 

3. 单击“确定”。

更改“警报历史记录”中显示的条目数 

1. 在警报历史记录窗口中右击,然后单击“选项”。 

2. 在设置选项卡中,指定希望日志保留的日志条目数。 

3. 单击“确定”。 

查看详细的警报信息 

使用警报 

您可以查看“警报历史记录”窗口中显示的每个警报的详细信息。这些详细信息显示在“警报信息”对 

话框中,包括每个警报的警报参数、参数值和报警状态。 

“警报信息”对话框还显示以下信息: 

报警状态说明 

报警类型警报生成的报警类型,如“消息框”、“寻呼机”、“Internet 邮件”、“执行程序”或“广 

播”。 

报警名称赋予特定报警的名称。 

计算机将出现配置好的警报的设备的名称。 

状态警报状态,如待处理、正在处理报警、错误、已成功完成或未能完成。 

查看警报信息 

1. 在“警报历史记录”窗口中,双击要显示其详细信息的警报。 

2. 查看完警报信息后,单击关闭。 

列在“警报历史记录”中的设备是记录报警的核心服务器,它记录所有事件。 

查看生成警报的设备 

• 在警报历史记录中双击要查看其详细信息的相应条目。 

“警报信息”窗口显示其他警报详细信息,包括生成该警报的设备的名称。 

删除警报历史记录条目 

对于“警报历史记录”中的条目,您可以逐个删除,也可以成组删除。 

删除单个日志条目 

• 选择要删除的日志条目,在警报历史记录窗口中右击,然后单击删除|所选条目。 

删除多个日志条目 

1. 按住 Ctrl 键的同时,选择要删除的日志条目。 

2. 在警报历史记录窗口中右击,然后单击删除|所选条目。 

297

用户指南 

删除所有可见的日志条目 

298 

1. 过滤“警报历史记录”,使之只显示要删除的那些条目。 

2. 在警报历史记录窗口中右击,然后单击删除|过滤的条目。 

将“警报历史记录”中的内容复制到剪贴板 

您可以将“警报历史记录”中的条目及其参数复制到剪贴板,再将它们粘贴到其他应用程序中供打印 

或数据分析之用。 

只有在日志中可见的参数才会复制。因此,如果想限制“警报历史记录”中复制到剪贴板的条目个 

数,可应用过滤器来限制可见日志条目数。 

将“警报历史记录”中的内容复制到剪贴板 

1. 调整日志过滤器,以便只显示要复制的条目。 

2. 在警报历史记录窗口中右击,然后单击复制。

附录 D:其他安全性扫描器信息 

LANDesk Security Suite 包括 Security and Patch Manager 工具,是其全面安全性管理解决方案中 

的主要组件。使用 Security and Patch Manager 工具可以下载各种安全性内容类型的定义更新和修 

补程序更新;创建、配置和运行安全性评估扫描和修复扫描;启用安全警报;生成安全报告等等。 

使用 Security and Patch Manager 和 Security and Patch Manager 帮助章节将介绍 Security and 

Patch Manager 的基础知识。 

本章将介绍使用安全性(漏洞)扫描器的补充信息。 


• 漏洞扫描器命令行参数 

漏洞扫描器命令行参数 

安全性(漏洞)扫描器称为 VULSCAN.EXE,支持以下的命令行参数: 

参数名称说明 

常规参数 

/AgentBehavior=ScanRepairSettingsID 仅对当前安全性评估或修补扫描作业覆盖安全性扫描器 

的默认操作(扫描和修复设置)。ScanRepairSettings 

ID 是一个数值。 

/ChangeBehaviors 

/AgentBehavior=ScanRepairSettingsID 

通过将扫描和修复设置写入设备的本地注册表,对任何 

后续安全性评估或修补扫描作业更改默认的扫描和修复 

设置。使用与左边完全一样的语法,命令行中有两个开 

关。ScanRepairSettings ID 是一个数值。 

注意:您可以使用此选项更改设备的默认扫描和修复设 

置,无需对设备进行完整的代理配置部署。 

/ShowUI 在最终用户设备上显示扫描器 UI。 

/AllowUserCancelScan 在扫描器 UI 上显示“取消”按钮,最终用户可用其取消扫 

描。 

/AutoCloseTimeout=Number 以秒为单位的超时值。 

注意:如果值设置为 -1,则扫描器 UI 将等待最终用户将 

其手动关闭。 

/Scan=Number Code (0-8) 标识正在扫描的安全性内容类型。不同安全性内容类型 

的数字代码为: 

0 - 漏洞 

1 - 间谍软件 

2 - 安全威胁 

3 - LANDesk 更新 

4 - 定制定义 

299

用户指南 

300 

5 - 受阻应用程序 

6 - 软件更新 

7 - 驱动程序更新 

8 - 防病毒 

100 - 所有类型 

/Group=GroupID 标识正在扫描的安全性内容组。此选项覆盖特定的内容 

类型参数(如有)。 

/AutoFix=True 或 False 启用或禁用自动修复功能。 

修复参数 

/Repair(Group=GroupID,或 

Vulnerability=VulnerabilityID,或 

Vulnerability=All) 

告诉扫描器要修复(修补)的组或漏洞。可以为漏洞指 

定 All,以便修复检测到的所有漏洞,而不是漏洞 ID 所 

标识的单个漏洞。 

/RemovePatch=PatchName 从修补程序资料档案库中删除指定的修补程序。 

/RepairPrompt=MessageText 用于显示提示最终用户的文本消息。 

/AllowUserCancelRepair 使用修复提示时允许最终用户取消修复的字符串。 

/AutoRepairTimeout=Number 以秒为单位的修复提示超时值。如果值设置为 -1,则 UI 

将等待用户将其手动关闭。 

/DefaultRepairTimeoutAction 当修复提示或可接受值的超时到期时,vulscan 执行的默 

认操作的字符串。值包括:开始和结束。 

/StageOnly 此字符串检索(但不安装)修复所需的修补程序。 

/Local (从对等设备获得文件) 仅执行对等下载。 

/PeerDownload 与 /local 相同。 

/SadBandwidth=Number 下载时使用的最大带宽百分比。 

重新启动参数 

/RebootIfNeeded 使用此参数可以在需要时重新启动计算机。 

/RebootAction 修复时确定 vulscan 的重新启动操作的字符串。可接受 

的值包括:始终重新启动、从不重新启动或留空(任何 

其它操作)。如果为“任何其它操作”,则 vulscan 将在需 

要时重新启动。 

/RebootMessage 在重新启动提示中显示文本消息给用户的字符串。 

/AllowUserCancelReboot 使用重新启动提示时允许用户取消重新启动的字符串。 

/AutoRebootTimeout=Number 以秒为单位的重新启动提示超时值。如果值设置为 -1, 

则 UI 将等待用户将其手动关闭。 

/DefaultRebootTimeoutAction 此字符串用于确定在超过重新启动提示的超时值时,

附录 D:其他安全性扫描器信息 

vulscan 将执行的操作。可接受的值包括:重新启动,关 

闭或暂停。 

/SnoozeCount=Number 暂停数,用户每次单击重新启动提示上的暂停时 vulscan 

将递减此数。 

/SnoozeInterval=Number vulscan 在暂停之间休眠的秒数。 

MSI 参数 

/OriginalMSILocation=path 原始 MSI 位置的路径。 

/Username=username MSI 目录的用户名。 

/Password=password MSI 目录的密码。 

禁用参数 

/NoElevate 不要使用核心技术启动 vulscan。 

/NoSleep 防止在定义扫描过程中休眠 (1/18)。 

/NoSync 不取得互斥,扫描多个实例。 

/NoUpdate 不获得 vulscan 的新版本。 

/NoXML 不查找 msxml。 

/NoRepair 与 autofix=false 相同。如果有则覆盖自动修复设置。 

数据文件参数 

/Dump 直接从 Web 服务转储漏洞数据。 

/Data 吸收漏洞数据(从 /dump)。 

/O=Path\Filename 输出扫描结果。 

/I=Path\Filename 输入扫描结果。 

/Log=Path\Filename 覆盖日志文件名称。 

/CoreServer=Server name 标识核心服务器名称。 

/Reset 删除增量文件基本信息(清除应用程序数据目录)。 

/Clear or /ClearScanStatus 

清除所有的漏洞扫描信息。 

301

LANDesk Security Suite

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?