Ivanti EPM korzysta z istotnego serwisu pozwalającego na uruchamianie skonfigurowanych zadań. 

Zazwyczaj podaje się, że serwis (Landesk) Scheduler powinien pracować na koncie domenowego użytkownika o dużych uprawnieniach (administracyjnych) wobec zarządzanych systemów.

Jednym z pierwszych zadań konfiguracyjnych jest więc zamiana konta LocalSystem na odpowiednie konto domenowe, czasem nawet administratora domenowego.

Postanowiłem jednak sprawdzić inną konfigurację, pozostawiając konto LocalSystem, a w zamian tworząc grupę w AD WorkstationAdmins z kontem komputera – serwera „CORE” Ivanti EPM, a by wykorzystać na serwerze „CORE” konto LocalSystem, zaś na zarządzanych systemach posłużyć się kontem komputera serwera CORE w domenie. Do opisywanych niżej eksperymentów wykorzystano instancję Ivanti EPM w wersji 2020.1.

Następnie poprzez GPO Preferences grupa WorkstationAdmins wchodzi do lokalnej grupy Administrators zarządzanych systemów:

Po przeprowadzeniu konfiguracji, można przystąpić do właściwego testu, aby sprawdzić, czy tak pomyślana konfiguracja rzeczywiście działa.

Na wykryte (skanowanie sieci) urządzenie przypisane zostaje zadanie wykonywane przez Scheduler-a – Windows Agent Confiuguration:

Po pewnym czasie maszyna staje się zarządzana i pracuje na niej agent Ivanti EPM:

Jak widać, udało się przeprowadzić instalację agenta na stacji. Na wszelki wypadek można sprawdzić, czy w konfiguracji nie było alternatywnych poświadczeń, które użyte mogły zmienić wynik:

Zatem, choć dokumentacja tego nie opisuje, można użyć domyślnej konfiguracji konta serwisowego, zaś poprzez użycie konta komputera (serwera „CORE”) osiągnąć możliwość zarządzania komputerami w domenie (nie używając tu administratora domeny). Dodatkowo nie ma konieczności utrzymywania hasła użytkownika serwisowego.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *