EN
Ivanti EPM korzysta z istotnego serwisu pozwalającego na uruchamianie skonfigurowanych zadań.
Zazwyczaj podaje się, że serwis (Landesk) Scheduler powinien pracować na koncie domenowego użytkownika o dużych uprawnieniach (administracyjnych) wobec zarządzanych systemów.
Jednym z pierwszych zadań konfiguracyjnych jest więc zamiana konta LocalSystem na odpowiednie konto domenowe, czasem nawet administratora domenowego.
Postanowiłem jednak sprawdzić inną konfigurację, pozostawiając konto LocalSystem, a w zamian tworząc grupę w AD WorkstationAdmins z kontem komputera – serwera „CORE” Ivanti EPM, a by wykorzystać na serwerze „CORE” konto LocalSystem, zaś na zarządzanych systemach posłużyć się kontem komputera serwera CORE w domenie. Do opisywanych niżej eksperymentów wykorzystano instancję Ivanti EPM w wersji 2020.1.
Następnie poprzez GPO Preferences grupa WorkstationAdmins wchodzi do lokalnej grupy Administrators zarządzanych systemów:
Po przeprowadzeniu konfiguracji, można przystąpić do właściwego testu, aby sprawdzić, czy tak pomyślana konfiguracja rzeczywiście działa.
Na wykryte (skanowanie sieci) urządzenie przypisane zostaje zadanie wykonywane przez Scheduler-a – Windows Agent Confiuguration:
Po pewnym czasie maszyna staje się zarządzana i pracuje na niej agent Ivanti EPM:
Jak widać, udało się przeprowadzić instalację agenta na stacji. Na wszelki wypadek można sprawdzić, czy w konfiguracji nie było alternatywnych poświadczeń, które użyte mogły zmienić wynik:
Zatem, choć dokumentacja tego nie opisuje, można użyć domyślnej konfiguracji konta serwisowego, zaś poprzez użycie konta komputera (serwera „CORE”) osiągnąć możliwość zarządzania komputerami w domenie (nie używając tu administratora domeny). Dodatkowo nie ma konieczności utrzymywania hasła użytkownika serwisowego.