Allg. - Windows Remote Management
Ein Großteil der Client-Management-Funktionen werden per remote PowerShell mittels WinRM ausgeführt. Die zu verwaltenden Clients müssen dafür konfiguriert werden.
Informationen zu Windows Remote Management
Konfiguration auf einem zu verwaltenen Client
Commandline-Aufruf: winrm qc -quiet -transport:http –force
dadurch wird ...
- der WinRM-Dienst gestartet und dessen Starttyp auf automatisch gesetzt
- ein „Listener“ erzeugt um eingehende Verbindungen zu akzeptieren
- der Standardport auf 5985 gesetzt
- eine Firewall-Regel hinzugefügt
Aus Sicherheitsgründen kann der Port verändert werden. Dazu muss folgender Commandline-Aufruf erfolgen:
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="1234"}
Daraufhin sollte die Firewall-Regel entsprechend für diesen Port angepasst werden.
Signierte PowerShell-Skripte und unterschiedliche Domänen
Wenn Ihre Domänen-Sicherheitsrichtlinien signierte PowerShell-Skripte erfordern, müssen Sie alle Skripte innerhalb des PS1-Verzeichnisses der SCCM Manager Serverinstallation anpassen.
{Installationspfad}\PS1\DEFAULT
Wenn Sie Clients in unterschiedlichen Domänen verwalten wollen und die Skripte dementsprechend unterschiedlich signiert werden müssen, gehen Sie wie folgt vor.
- Verzeichnis "DEFAULT" kopieren und in Domänenname umbenennen (Beispiel: SMCTEAM.DE)
- Skripte innerhalb des neuen Skriptverzeichnisses entsprechend signieren
- In der Webservice-Konfiguration den Wert PSEnabledDomainFolderLookup aktivieren
- Wenn die jeweilige Domäne eines Clients nun richtig aufgelöst werden kann, wird das jeweils passende Skript-Verzeichnis herangezogen.