6.7 创建位置

一台设备所处的位置不同,其安全性要求也就不同。例如,您对机场候机楼中的设备的个人防火墙限制与公司防火墙内办公室设备的个人防火墙限制可能就不同。

为确保不论设备位于任何位置,其安全性要求都适用,ZENworks 既支持全局策略也支持基于位置的策略。不论设备位于何位置,全局策略都会应用。仅当设备当前的位置符合与策略关联的位置准则时,基于位置的策略才会应用。例如,如果您为公司办公室创建了一个基于位置的策略并将其指派到某台便携式计算机,则只有当该便携式计算机的位置是公司办公室时,该策略才会应用。

如果要使用基于位置的策略,则必须先定义对您组织有意义的位置。位置是指您对其有特定安全性要求的地点或地点类型。例如,当设备在办公室、家中或机场中使用时,您可能会有不同的安全性要求。

位置通过网络环境来定义。假设您在纽约有一个办公室,在东京有一个办公室。两个办公室有相同的安全性要求。因此,您创建了“办公室”位置并将其关联至两个网络环境:“纽约办公室网络”和“东京办公室网络”。每个环境都使用网关、DNS 服务器和无线接入点服务等一组因素进行了明确定义。当 ZENworks Adaptive Agent 确定其当前环境与“纽约办公室网络”或“东京办公室网络”匹配时,就会将其位置设置为“办公室”,并应用与“办公室”位置关联的安全性策略。

以下部分说明了如何创建位置:

6.7.1 定义网络环境

网络环境定义是构成“位置”的基础元素。您可以在创建位置的过程中定义网络环境,但建议您先定义网络环境,然后在创建位置时添加这些网络环境。

创建位置:

  1. 在 ZENworks 控制中心内,单击配置 > 位置

    “位置”页

  2. 在“网络环境”面板中,单击新建起动“创建新网络环境”向导。

    “创建新网络环境”向导的“定义细节”页

  3. 在“定义细节”页中,为网络环境指定名称,然后单击下一步

    完成向导后,如果需要有关任何字段或选项的详细信息,请单击 ZENworks 控制中心右上角的帮助按钮。

  4. 在“网络环境细节”页中,填写以下字段:

    限制为适配器类型: 默认情况下,系统会将在此页中定义的网络服务对照设备的有线、无线和拨号网络适配器进行评估。如果要将评估范围限制于特定的适配器类型,请选择有线无线拨号

    最低匹配: 指定最低必须匹配多少项所定义的网络服务才会选择此网络环境。

    指定最低必须匹配多少项所定义的网络服务才会选择此网络环境。

    例如,如果您定义了一个网关地址、三个 DNS 服务器和一个 DHCP 服务器,您总共就有五项服务。您可以指定必须至少匹配这些服务中的三项,才会选择此网络环境。

    在指定最低匹配数量时,请注意以下几点:

    • 该数量不得低于标为“必须匹配”的服务的数量。

    • 该数量不应超出所定义的服务的总数。否则,实际匹配数量将始终达不到最低匹配数量,导致永远不会选择网络环境。

    网络服务: “网络服务”面板可让您定义网络服务供自适应代理进行评估,以确定其当前网络环境是否与此网络环境匹配。选择要定义的网络服务对应的选项卡,单击添加,然后填写所需的信息

  5. 单击下一步显示“摘要”页,然后单击完成以将网络环境定义添加到列表中。

6.7.2 创建位置

创建位置时,需要提供位置名称,然后将所需网络环境关联至该位置。

  1. 在 ZENworks 控制中心内,单击配置 > 位置

    “位置”页

  2. 在“位置”面板中,单击新建起动“创建新位置”向导。

    “创建新位置”向导的“定义细节”页

  3. 在“定义细节”页中,指定位置的名称,然后单击下一步

    完成向导后,如果需要有关任何字段或选项的详细信息,请单击 ZENworks 控制中心右上角的帮助按钮。

  4. 在“指派网络环境”页中:

    1. 选择将现有网络环境指派到位置

    2. 单击添加,选择要定义位置的网络环境,然后单击确定将其添加到列表中。

    3. 添加完网络环境后,单击下一步

  5. 在“摘要”页中,单击完成创建位置并将其添加到“位置”列表中。

如果您在 ZENworks 控制中心中定义了多个位置和网络环境,则可以使用上移下移选项对列表重新排序。

您也可以使用 zman 实用程序中的 network-environment-createlocation-create 命令创建网络环境,并使用已创建的网络环境创建相关位置。有关详细信息,请参见《ZENworks 11 SP2 命令行实用程序参考手册》中的注册命令

6.7.3 对受管设备选择位置和网络环境

如果您的 ZENworks 控制中心中定义了多个位置和网络环境,受管设备上的自适应代理会扫描定义的所有网络环境以找出匹配的环境。自适应代理会从找出的网络环境中选择网络服务(例如客户端 IP 地址和 DNS 服务器)匹配数最多的那一个。之后,自适应代理会扫描排好序的位置列表,找出第一个包含任意选定网络环境的位置,然后选择该位置以及此位置内第一个匹配的网络环境。

例如:

ZENworks 控制中心中定义的位置按下面的顺序列出:L1 和 L2。

L1 内的网络环境按以下顺序列出:NE1,NE2 和 NE4。

L2 内的网络环境按以下顺序列出:NE2,NE3 和 NE4。

受管设备上的自适应代理会检测到 NE2、NE3 和 NE4 全部都符合该受管设备。

如果 NE2 和 NE4 各有两个匹配的网络服务,而 NE3 只有一个网络服务与之匹配,自适应代理会选择 NE2 和 NE4,因为它们匹配的网络服务数最多。由于 NE2 是 L1 中列在第一位的网络环境,因此系统会将 L1 和 NE2 选为位置和网络环境。

注:要将某个网络环境视为符合该受管设备,该设备必须满足网络环境内设置的所有限制。这些限制包括为网络环境指定的最低匹配属性,以及为网络环境内的网络服务指定的必须匹配属性。