16.2 Verwenden des Desktop Management-Agenten und von ZENworks Middle Tier Server für die Beglaubigung

Wenn sich die Benutzer über das Anmeldedialogfeld des Desktop Management-Agenten im Netzwerk anmelden sollen, müssen Sie den Desktop Management-Agenten anpassen können. Darüber hinaus müssen Sie die anderen Vorbereitungen treffen können, die für die Anpassung des gewünschten Anmeldevorgangs erforderlich sind.

Dieser Abschnitt enthält folgende Informationen:

16.2.1 Erforderlicher Berechtigungsnachweis für Desktop Management-Richtlinien

Dieser Abschnitt enthält Informationen zu dem Berechtigungsnachweis, der für die Beglaubigung von Desktop Management-Benutzer- und -Arbeitsstationsrichtlinien bei eDirectory erforderlich ist. Dies gilt für Benutzerarbeitsstationen, auf denen der Desktop Management-Agent installiert ist und die über ZENworks Middle Tier Server kommunizieren.

Hier erfahren Sie, wozu Sie diesen Berechtigungsnachweis während der Installation angeben. Die Abschnitte enthalten:

Erforderlicher Berechtigungsnachweis für Benutzerrichtlinien

Die folgende Tabelle enthält den erforderlichen Berechtigungsnachweis für Desktop Management-Benutzerrichtlinien, die den Desktop Management-Agenten und ZENworks Middle Tier Server für die Beglaubigung bei eDirectory verwenden. Es wird davon ausgegangen, dass der Desktop Management-Agent auf der Benutzerarbeitsstation installiert ist.

Tabelle 16-3 Berechtigungsnachweis für Desktop Management-Benutzerrichtlinien, die den Desktop Management-Agenten und ZENworks Middle Tier Server für die Beglaubigung verwenden

Arbeitsstationsplattform

Dateisystem des eDirectory-Servers

Erforderlicher Berechtigungsnachweis

Kommentar

Windows 98 SE

NetWare

Arbeitsstations-ID und Passwort für eDirectory

 

Windows 98 SE

Windows 2000/2003

Benutzer-ID für eDirectory und Benutzer-ID und Passwort für die Domäne

Der Proxy-Berechtigungsnachweis wird während der Installation von ZENworks Middle Tier Server eingegeben und in der Registrierung gespeichert.

Windows 2000/XP

NetWare

Benutzer-ID und Passwort für eDirectory

 

Windows 2000/XP

Windows 2000/2003

Benutzer-ID für eDirectory und Benutzer-ID und Passwort für die Domäne

Wenn sich die Benutzer nicht bei einer Domäne (sondern bei der lokalen Arbeitsstation und dem lokalen eDirectory) anmelden, verwendet der Middle Tier-Server den eDirectory-Berechtigungsnachweis für die Beglaubigung bei der Domäne. Dies bedeutet, dass der eDirectory-Berechtigungsnachweis mit dem Domänen-Berechtigungsnachweis übereinstimmen muss.

Wenn sich Benutzer bei einer Domäne anmelden, wird der jeweilige Domänen-Berechtigungsnachweis verwendet.

Erforderlicher Berechtigungsnachweis für Arbeitsstationsrichtlinien

Die folgende Tabelle enthält den erforderlichen Berechtigungsnachweis für Desktop Management-Arbeitsstationsrichtlinien, die den Desktop Management-Agenten und ZENworks Middle Tier Server für die Beglaubigung bei eDirectory verwenden. Es wird davon ausgegangen, dass der Desktop Management-Agent auf der Benutzerarbeitsstation installiert ist.

Tabelle 16-4 Berechtigungsnachweis für Desktop Management-Arbeitsstationsrichtlinien, die den Desktop Management-Agenten und ZENworks Middle Tier Server für die Beglaubigung verwenden

Arbeitsstationsplattform

Dateisystem des eDirectory-Servers

Erforderlicher Berechtigungsnachweis

Kommentar

Windows 98 SE

NetWare

Arbeitsstations-ID und Passwort für eDirectory

 

Windows 98 SE

Windows 2000/2003

Benutzer-ID für eDirectory und Benutzer-ID und Passwort für die Domäne

Der Proxy-Berechtigungsnachweis wird während der Installation von ZENworks Middle Tier Server eingegeben und in der Registrierung gespeichert.

Windows 2000/XP

NetWare

Arbeitsstations-ID und Passwort für eDirectory

 

Windows 2000/XP

Windows 2000/2003

Proxy-ID und Passwort

Der Proxy-Berechtigungsnachweis wird während der Installation von ZENworks Middle Tier Server eingegeben und in der Registrierung gespeichert.

16.2.2 Anpassen der Agentenanmeldung

Wenn bei der Installation des Desktop Management-Agenten Novell Client nicht auf der Arbeitsstation vorhanden ist, zeigt das Installationsprogramm das Dialogfeld "Arbeitsstations-Manager-Einstellungen" an. Auf dieser Seite können Sie angeben, welche Elemente dem Benutzer bei der Anmeldung angezeigt werden.

Abbildung 16-1 Die Seite "Arbeitsstations-Manager-Einstellungen" des Installationsassistenten für den Agenten

Wenn Sie das Kontrollkästchen Beglaubigungsdialogfeld für den ZENworks Middle Tier Server anzeigen aktivieren, wird dem Benutzer immer ein benutzerdefiniertes Novell-Anmeldedialogfeld angezeigt.

Sie können diese Option auswählen, wenn mehrere Middle Tier-Server im Netzwerk verfügbar sein sollen, die die Benutzer für die Beglaubigung beim Desktop Management Server verwenden können.

HINWEIS:Wenn es sich bei der Benutzerarbeitsstation um eine Windows 2000/XP-Plattform handelt, verwenden Sie diese Option, um Richtlinien für dynamische lokale Benutzer für diese Arbeitsstation festzulegen.

Abbildung 16-2 Das Dialogfeld "ZENworks Middle Tier Server-Beglaubigung"

In diesem Anmeldedialogfeld wird der Benutzer aufgefordert, eine Benutzer-ID und ein Passwort (d.h. einen Berechtigungsnachweis) für den Desktop Management Server einzugeben. Dies ist der gleiche Berechtigungsnachweis, den der Benutzer beim Herstellen der Verbindung zum Netzwerk (d. h. zu eDirectory) verwendet.

Wenn Sie das Kontrollkästchen Benutzern das Ändern der Middle Tier-Serveradresse im Beglaubigungsdialogfeld erlauben aktiviert haben, können die Benutzer auf dieser Arbeitsstation während der Ausführung des Installationsprogramms den DNS-Namen und die IP-Adresse des ZENworks Middle Tier Servers bearbeiten, der bzw. die für die Beglaubigung bei eDirectory verwendet wird. Die Benutzer können auch einen alternativen Anschluss für die Beglaubigung bei Apache Web Server (NetWare®) oder dem IIS-Webserver (Windows) angeben. Dazu müssen die Benutzer auf die Schaltfläche Optionen im Anmeldedialogfeld des Desktop Management-Agenten klicken.

Benutzer geben einen alternativen Anschluss an, indem sie einen Doppelpunkt und die Anschlussnummer am Ende der IP-Adresse oder des DNS-Namens eingeben. Beispiel:

151.155.155.000:5080

WICHTIG:Die Eingabe eines Protokolls (z. B. http: oder https:) und der IP-Adresse ermöglicht nicht, dass der Desktop Management Agent eine Verbindung zum ZENworks Middle Tier Server herstellen kann.

16.2.3 Synchronisierte Pass-Through-Anmeldung

Wenn Sie festlegen möchten, dass den Benutzern nie ein Novell-Anmeldedialogfeld angezeigt wird bzw. dass die Benutzer den Desktop Management-Agenten automatisch "passieren" und am Standort der ZENworks-Dateien beglaubigt werden, vergewissern Sie sich zuerst, dass der Berechtigungsnachweis der lokalen Benutzerarbeitsstation dem Berechtigungsnachweis von eDirectory entspricht. Dies wird auch als Anmeldung im "Passiv-Modus" bezeichnet.

Nach dieser Synchronisierung wird die Beglaubigung folgendermaßen ausgeführt:

  1. Der Benutzer gibt seinen Berechtigungsnachweis für die lokale Windows-Anmeldung im Windows-Anmeldedialogfeld ein.
  2. Der Desktop Management-Agent übergibt (im Hintergrund und ohne Benutzereingriff) den Berechtigungsnachweis für die Windows-Arbeitsstation an den Middle Tier-Server.
  3. Der Middle Tier-Server prüft den jeweiligen Berechtigungsnachweis der einzelnen eDirectory-Benutzer und führt die Beglaubigung bei eDirectory durch, sobald eine Übereinstimmung auftritt.
  4. Der Benutzer ist bei eDirectory beglaubigt, das auf Richtliniendateien verweist. Diese können an die Arbeitsstation übergeben werden, bei der der Benutzer angemeldet ist.

Um den Desktop Management-Agenten für die Pass-Through-Beglaubigung zu konfigurieren, übernehmen Sie einfach die Standardeinstellungen im Dialogfeld für die Arbeitsstations-Manager-Einstellungen. Weitere Informationen hierzu finden Sie in Anpassen der Agentenanmeldung.

Wenn sich der Benutzer mit einem für eDirectory ungültigen Berechtigungsnachweis bei Windows anmeldet, wird ein Anmeldedialogfeld für den Novell Desktop Management-Agenten angezeigt.

16.2.4 Anmelden bei einer Windows-Netzwerkumgebung

Wenn es sich bei dem Server, auf dem Sie ZENworks Desktop Management installieren möchten, um einen Bestandteil einer Windows-Netzwerkumgebung ohne Novell NetWare-Server handelt, ist möglicherweise Microsoft Active Directory im Netzwerk installiert und die Benutzer sind Mitglieder von Microsoft-Domänen. Wie in Abschnitt 4.2, Software-Anforderungen für Desktop Management Server beschrieben, muss Novell eDirectory 8.7.3 oder höher (empfohlen) in dem Netzwerk (in diesem Fall der Microsoft-Domäne) installiert werden, in dem Sie ZENworks Desktop Management installieren möchten.

Folgende Szenarios enthalten Informationen zu der Methode, mit der ZENworks Desktop Management die Beglaubigung nach der Anmeldung bei einer Windows-Netzwerkumgebung ausführt:

Synchronisierte Anmeldung bei eDirectory

Wenn sich die Benutzer über das Anmeldedialogfeld des Desktop Management-Agenten und einen lokalen Computer-Berechtigungsnachweis anmelden sollen, muss der lokale Arbeitsstations-Berechtigungsnachweis mit dem Berechtigungsnachweis von eDirectory synchronisiert werden. Nach dieser Synchronisierung wird die Beglaubigung folgendermaßen ausgeführt:

  1. Das Betriebssystem Windows 2000/XP öffnet beim Start der Arbeitsstation das Anmeldedialogfeld für den Desktop Management-Agenten.
  2. Der Benutzer klickt auf die Schaltfläche Optionen, um optionale Anmeldefelder anzuzeigen.
  3. Der Benutzer gibt den Benutzernamen und das Passwort für eDirectory in die Felder Benutzername und Passwort ein.
  4. In der Dropdown-Liste Von wählt der Benutzer den Namen der Windows-Arbeitsstation aus, bei der er sich im Windows-Netzwerk anmelden möchte.
  5. Der Desktop Management-Agent übergibt den Berechtigungsnachweis für eDirectory an ZENworks Middle Tier Server.
  6. ZENworks Middle Tier Server prüft den Berechtigungsnachweis der eDirectory-Benutzer und führt die Beglaubigung bei eDirectory aus, sobald eine Übereinstimmung auftritt.
  7. Der Benutzer ist bei eDirectory beglaubigt, das auf Richtliniendateien verweist. Diese können an die Arbeitsstation übergeben werden, bei der der Benutzer angemeldet ist.

Microsoft-Domänen-Anmeldung

Wenn sich Benutzer über das Anmeldedialogfeld des Desktop Management-Agenten und einen Berechtigungsnachweis für Microsoft-Domänen anmelden sollen, müssen der Windows 2000/2003-Server, auf dem die ZENworks Middle Tier Server-Software installiert ist, und der Windows 2000/2003-Server, auf dem die Desktop Management Server-Software installiert ist, Bestandteil derselben Microsoft-Domäne sein oder eine gemeinsame Vertrauensstellung haben. Die Arbeitsstation des Benutzers meldet sich nicht bei der Domäne an, es sei denn, der Desktop Management Server liefert eine MSI-Anwendung an die Arbeitsstation.

Die Beglaubigung wird folgendermaßen ausgeführt:

  1. Das Betriebssystem Windows 2000 öffnet beim Start der Arbeitsstation das Anmeldedialogfeld für den Desktop Management-Agenten.
  2. Der Benutzer klickt auf die Schaltfläche Optionen, um optionale Anmeldefelder anzuzeigen.
  3. Der Benutzer wählt in der Dropdown-Liste Von die Option für die Anmeldung von der Microsoft-Domäne aus.
  4. Der Benutzer gibt den Domänen-Berechtigungsnachweis in die Felder Benutzername und Passwort ein. Dieser Berechtigungsnachweis muss nicht mit dem Berechtigungsnachweis für eDirectory synchronisiert werden.
  5. Der Desktop Management-Agent übergibt den Berechtigungsnachweis an ZENworks Middle Tier Server.
  6. ZENworks Middle Tier Server prüft den jeweiligen Berechtigungsnachweis der einzelnen Domänenbenutzer und führt die Beglaubigung bei der Domäne aus.
  7. Der Benutzer ist bei der Domäne beglaubigt. Der Benutzer hat anschließend Zugriff auf die Richtliniendateien, die gespeichert und über die Domäne verfügbar sind sowie auf die Arbeitsstation übertragen werden können, bei der der Benutzer angemeldet ist.

Lights-Out-Beglaubigung der Arbeitsstation

Wenn Sie den Desktop Management-Agenten bereits auf einer Arbeitsstation installiert haben und der Arbeitsstations-Manager auf dieser Arbeitsstation den Empfang einer Arbeitsstations-Gruppenrichtlinie plant, kann die Arbeitsstation weiterhin bei einem Windows-Netzwerk beglaubigt werden und die Richtliniendateien erhalten, sobald die Gruppenrichtlinie ausgeführt wird. Dies gilt auch dann, wenn der Benutzer nicht angemeldet ist. Dieser Vorgang wird auch "Lights-Out"-Beglaubigung genannt. Die Beglaubigung wird folgendermaßen ausgeführt:

  1. Zum Zeitpunkt der Ausführung der Richtlinie wird der Desktop Management-Agent mit ZENworks Middle Tier Server verbunden. Hierzu werden die DNS-Namen oder die IP-Adressen verwendet, die während der Installation des Desktop Management-Agenten angegeben wurden. Diese Informationen sind in der Windows-Registrierung auf der Arbeitsstation gespeichert.
  2. ZENworks Middle Tier Server verwendet den Berechtigungsnachweis des Domänenbenutzers, der in seinem Registrierungsprogramm (wird durch das ZENworks Middle Tier-Installationsprogramm zur Verfügung gestellt) gespeichert ist, um sich als Domänenbenutzer mit Dateirechten für die entsprechenden Dateien zu beglaubigen.
  3. Die Richtliniendateien werden über ZENworks Middle Tier Server auf die Arbeitsstation des Benutzers kopiert.