AD域中Altiris客戶端安裝方法

在向客戶端推送Altiris Agent時，必須知足如下幾方面的條件纔可正常從控制檯推送安裝：

一、打開445(文件打印共享)端口：在系統防火牆中將文件和打印機共享進行例外（或者關閉系統防火牆）；

二、關閉「簡單文件共享」（或者將本地安全策略中的「網絡訪問：本地賬戶的共享和安全模式」設置爲「經典-本地用戶以本身的身份驗證」）；

三、打開默認共享（IPC$、C$、ADMIN$）。

當要安裝Altiris Agent的全部客戶端計算機都是AD域成員時，那麼能夠經過域組策略方式進行客戶的設置，使全部要安裝Altiris Agent的客戶端計算機達到網絡推送Altiris Agent的要求。

具體操做以下：

將全部要進行設置的客戶端添加到一新建的OU中，而後在此OU上編輯組策略，不要把該策略應用到DC上，DC必須依賴於SYSVOL共享。

1、 組策略操做步驟：

一、 準備好腳本

註冊表文件：經過導入此註冊表文件修改註冊表相關項來達到相應的目的。

關閉系統防火牆：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"

開啓默認共享：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword: 00000001

"AutoShareServer"=dword:00000001

關閉簡單共享：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

將這些數據編輯成一個註冊表文件，而後經過Bat腳本文件來調用注入客戶機的系統，從而達到修改的目的。

本例中的註冊表文件以下（文件名爲LiClient.reg）：

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword: 00000001

"AutoShareServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

Bat腳本文件：以下（文件名爲LiClient.bat）：

@echo off

regedit  -s  LiClient.reg

@echo on

二、 添加策略

2.一、打開DC中的「Active Directory 用戶和計算機」，在要安裝Altiris Agent的計算機所在的容器上新建一條組策略並進行編輯；

2.二、打開「計算機配置」à「Windows設置」à「啓動（啓動/關機）」 à「啓動」，在彈出的「啓動屬性」窗口中點擊「添加」按鈕添加腳本，點擊「瀏覽」，將第1步創建的兩個文件拷貝到此文件夾中（或者點擊「啓動屬性」窗口中的「顯示文件」，將這兩個文件拷貝到彈出的文件夾中，此目錄即點擊「瀏覽」按鈕打開的文件夾），並選擇「LiClient.bat」做爲啓動腳本，

當客戶端在下次啓動系統時就會執行此腳本，從而達到導入註冊表文件「LiClient.reg」的目的。

2.三、打開「計算機配置」à「Windows設置」à「安全設置」à「系統服務」à「Server」服務，在彈出的「Server屬性」窗口中勾選「定義這個策略設置」，並選擇服務啓動模式爲「自動」。

這項設置是爲了保證客戶端「Server」服務被啓動（若是這個服務以及「Workstation」服務未啓動，則網絡服務沒法提供，從而沒法跟服務器進行網絡鏈接。）

2.四、打開「計算機配置」à「Windows設置」à「安全設置」à「系統服務」à「Workstation」服務，在彈出的「Server屬性」窗口中勾選「定義這個策略設置」，並選擇服務啓動模式爲「自動」。

這項設置是爲了保證客戶端「Workstation」服務被啓動（若是這個服務以及「Server」服務未啓動，則網絡服務沒法提供，從而沒法跟服務器進行網絡鏈接。）

2.五、打開「計算機配置」à「Windows設置」à「安全設置」à「系統服務」à「Windows Firewall/Internet Connection Sharing (ICS)」服務，在彈出的「Windows Firewall/Internet Connection Sharing (ICS)屬性」窗口中勾選「定義這個策略設置」，並選擇服務啓動模式爲「禁用」。

這項設置是爲了保證客戶端「Windows Firewall/Internet Connection Sharing (ICS)」服務被禁用，即系統防火牆被關閉，防止防火牆阻止網絡訪問。

注：這項設置在導入了上面的註冊表文件「LiClient.reg」中的關於防火牆的設置時也能夠不進行設置。

2.六、打開打開「計算機配置」à「Windows設置」à「安全設置」à「本地策略」à「安全選項」à「網絡訪問：本地賬戶的共享和安全模式」，在彈出的「網絡訪問：本地賬戶的共享和安全模式屬性」窗口中勾選「定義這個策略設置」，並選擇模式爲「經典-本地用戶以本身的身份驗證」。

注：這項設置效果同註冊表文件「LiClient.reg」中的「關閉簡單共享」功能相同，在導入了此註冊表文件的狀況下，也能夠不進行設置。

2.七、在域控制器上進行域策略的刷新。

命令：gpupdate /force

2、 安裝Altiris客戶端

一、 打開Altiris NS控制檯à「配置」à「解決方案設置」à「Network Discovery」à「掃描組」à「默認掃描組」，配置好掃描設置（例如掃描的地址範圍、要排除的地址、掃描計劃等），應用設置後點擊「當即掃描」進行設備的掃描。

二、 打開Altiris NS控制檯à「配置」à「解決方案設置」à「Network Discovery」à 「搜索到的設備」，便可看搜索進度，在搜索完成後，會顯示全部搜索到的設備（如計算機、網絡打印機、交換機等），點擊下面的「啓用」按鈕，便可對這些設備進行後繼的操做（例如，安裝Altiris Agent等）。

三、 打開Altiris NS控制檯à「配置」à「Altiris Agent」à「Altiris Agent轉出」à「全部未安裝Altiris Agent的Windows NT/2000/XP/2003/Vista/2008計算機」，便可查看剛纔搜索到的全部未安裝Altiris Agent的計算機。

四、 打開Altiris NS控制檯à「配置」à「Altiris Agent」à「Altiris Agent轉出」à「Altiris Agent安裝」，在此對搜索到的計算機進行「Altiris Agent」的推送安裝。

五、 打開Altiris NS控制檯à「配置」à「Altiris Agent」à「Altiris Agent轉出」à「全部裝有Altiris Agent的Windows計算機」，能夠查看安裝狀況。

至此，Altiris Agent就已經安裝好了。

注意：若是客戶端禁用了「Server」及「Workstation」服務，則在登錄應用了此組策略後，這兩個服務會修改成「自動」模式，但服務如今並無啓動，所以必須再次從新啓動計算機來啓動這兩個服務（或手動進行服務的啓動）。

附： 要在客戶端不顯示任何圖標、無任何提示以及不在「添加/刪除程序」列表中列出Altiris Agent」時，對於Altiris Agent的設置要注意如下幾個地方。

一、 打開Altiris NS控制檯à「配置」à「Altiris Agent」à「Altiris Agent轉出」à「Altiris Agent安裝」，在右側窗口中的「安裝設置」，設置針對上面顯示框中搜索到的計算機的「Altiris Agent」安裝選項。

二、 打開Altiris NS控制檯à「配置」à「Altiris Agent」à「Altiris Agent配置」à「全部Windows服務器（不包括Package Server）」（以及「全部Windows移動計算機」、「全部臺式機（不包括Package Server）」），將「交互」設置頁中的「在Altiris Agent計算機上顯示系統托盤圖標」、「當已計劃的Software Delivery任務到達時通知用戶（僅限5.x代理）」以及「當手動Software Delivery任務到達時通知用戶（僅限5.x代理）」設置爲不選擇；將「運行Software Delivery任務前先通知」設置爲「不要通知」。

李政

2009-6-8