2. Lenovo
  3. ThinkCentre M58p
ThinkCentre M58p

Lenovo ThinkCentre M58p, Hardware Password Manager, ThinkCentre M58, ThinkPad R400, ThinkPad R500, ThinkPad T400, ThinkPad T500, THINKPAD W700, ThinkPad X200 Tablet 7453, ThinkPad X200s, ThinkPad X301 Implementierungshandbuch

  • Hallo! Ich bin ein KI-Chatbot, der speziell dafür ausgebildet wurde, Ihnen bei der Lenovo ThinkCentre M58p Implementierungshandbuch zu helfen. Ich habe das Dokument gründlich gelesen und kann Ihnen helfen, die benötigten Informationen zu finden oder den Inhalt klar und einfach zu erklären. Zögern Sie nicht, Ihre Fragen zu stellen!
HardwarePasswordManager
Implementierungshandbuch
Aktualisiert:Juli2010
HardwarePasswordManager
Implementierungshandbuch
Aktualisiert:Juli2010
Anmerkung:VorVerwendungdieserInformationenunddesdarinbeschriebenenProduktssolltendie
allgemeinenHinweiseinAnhangD„Bemerkungen“aufSeite55gelesenwerden.
DritteAusgabe(Juli2010)
©CopyrightLenovo2010.
DieEntwicklungvonProdukten,Daten,ComputersoftwareundServicesvonLENOVOwurdeausschließlichausprivaten
Mittelnnanziert,siewerdenalskommerzielleProduktelaut48C.F.R.2.101miteingeschränktenRechtenfürdie
Verwendung,VervielfältigungoderOffenlegunganRegierungsbehördenverkauft.
HINWEISZUEINGESCHRÄNKTENRECHTEN(LIMITEDANDRESTRICTEDRIGHTSNOTICE):WerdenProdukte,Daten,
ComputersoftwareoderServicesgemäßeinemGSA-Vertrag(GeneralServicesAdministration)ausgeliefert,unterliegtdie
Verwendung,VervielfältigungoderOffenlegungdeninVertragNr.GS-35F-05925festgelegtenEinschränkungen.
Inhaltsverzeichnis
Einleitung................v
Kapitel1.Übersicht...........1
Kapitel2.Hardware
PasswordManageraufder
ThinkManagement-Konsole
installieren................3
Voraussetzungen...............3
DenzentralenServervorbereiten........4
Serverkongurationfürdie
ThinkManagement-KonsolemitHPM.......6
MigrationaufeinenneuenLDAP-Server......7
HardwarePasswordManageraufeinerLenovo
Einheitinstallieren..............7
Kapitel3.HardwarePassword
Manager-Einheitenmitder
ThinkManagement-Konsole
verwalten................9
HardwarePasswordManager-Einheitenundihre
Eigenschaftenanzeigen............9
RegistrierteBenutzeraufHardwarePassword
Manager-Einheitenverwalten.......10
LDAP-Serververbindungkongurieren....11
HardwarePasswordManager-Benutzerund
ihreEigenschaftenanzeigen.......11
ZugriffeinesBenutzersaufeineHardware
PasswordManager-Einheitentfernen....12
HardwarePasswordManager-Gruppen
verwalten...............13
FernausgeführteAktionenund
RichtlinieneinstellungenfürHardwarePassword
Manager-Einheitenverwalten.........14
Client-Richtlinienglobalaktualisieren......15
Hardwarekennwörterglobalaktualisieren....16
Notfall-Accountaktualisieren.........18
RichtlinieneinstellungenfürdenServerändern..18
BereicheundRollenfürKonsolenbenutzer
denieren.................20
Kapitel4.HardwarePassword
Manager-Client............23
KongurationderHardwarePassword
Manager-Einheit..............23
EineEinheitbeimHardwarePassword
Manager-Serverregistrierenunddenersten
Benutzerregistrieren............24
ZusätzlicheBenutzeraufeinerHardwarePassword
Manager-Einheitregistrieren.........25
EinenBenutzervoneinerHardwarePassword
Manager-Einheitentfernen..........25
RegistrierungeinerEinheitaufdemHardware
PasswordManager-Serveraufheben......26
BerechtigungsnachweisaufeinerHardware
PasswordManager-Einheitaktualisieren....26
Kapitel5.Implementierung......29
IntegrationvonFingerabdrücken.......29
KompatibilitätmitSafeGuardEasy/SafeGuard
Enterprise................31
One-Touch-Registrierung..........31
Vorabregistrierung...........31
Benutzerregistrierungaufeinemvorab
registriertenSystem...........32
Kapitel6.Szenarios.........33
Service-Szenarios(Kongurationsänderungen)..33
Szenario1-Änderungender
Hardwarekonguration..........33
Szenario2-CMOS-Fehler........33
Szenario3-LesegerätfürFingerabdrücke
ersetzen...............34
Szenario4-Hardwarekennwörtersindbereits
festgelegt...............35
Szenario5-KongurationimBetriebssystem
(ferneBIOS-Einstellungen)........35
Szenario6-Systemplatineersetzen....35
Szenario7-Festplattenlaufwerkhinzufügen.36
Szenario8-Festplattenlaufwerkentfernen
oderumsetzen.............36
Szenario9-PositionderFestplatteinnerhalb
einesSystemsändern..........37
Szenario10-Festplattenlaufwerkentfernen.37
Szenario11-Flash-AktualisierungdesBIOS
durchführen..............37
Szenario12-RegistriertesSystemkann
nichtmehraufdenHardwarePassword
Manager-Serverzugreifen........38
Szenario13-BIOS-Kongurationsprogramm
aufrufen...............38
Szenario14-Standardeinstellungenim
BIOS-Kongurationsprogrammladen....38
Szenario15-NichtalleFestplattenlaufwerke
schützen...............39
Benutzerszenarios.............39
Szenario1-Berechtigungsnachweisfür
Hardware-Accountvergessen,Netzist
verbunden..............39
©CopyrightLenovo2010
iii
Szenario2-Berechtigungsnachweisfür
Hardware-Accountvergessen,KEINE
Netzwerkverbindung..........39
Szenario3-UnternehmensweitesKennwort
vergessen...............39
Szenario4-ManuelleAnmeldungmit
unterschiedlichenTastaturtypen......40
Szenario5-HandhabungvonRegistrierungen
vonmehrerenBootpartitionenaus.....40
Szenario6-BitLocker..........41
AnhangA.SicherheitundKomfort..43
AnhangB.Wiederherstellungnach
einemKatastrophenfall........45
AnhangC.HinweiseundTipps....49
AnhangD.Bemerkungen.......55
Marken.................56
ivHardwarePasswordManagerImplementierungshandbuch
Einleitung
DiesesHandbuchrichtetsichanIT-Administratorenbzw.Mitarbeiter,dieineinemUnternehmenfürdie
ImplementierungdesProgramms„Lenovo
®
HardwarePasswordManager™“verantwortlichsind.Indiesem
HandbuchsollendieInformationenzurVerfügunggestelltwerden,diefürdasInstallierendesHardware
PasswordManagersaufeinemodermehrerenComputernerforderlichsind.Dabeiwirdvorausgesetzt,
dassfürdieeinzelnenZielcomputerLizenzenfürdieSoftwareverfügbarsind.DieAnwendung
Hardware
PasswordManager“bietetHilfezuderAnwendung,dieAdministratorenundBenutzerverwendenkönnen,
umInformationenzurNutzungderAnwendungnachzuschlagen.
DerLenovoHardwarePasswordManagerwurdefürdiespeziellenAnforderungenvonIT-Spezialisten
entwickelt.DiesesImplementierungshandbuchenthältAnweisungenundLösungenfürdasArbeitenmit
demHardwarePasswordManager.BeiVorschlägenoderBemerkungenIhrerseitswendenSiesichan
IhrenautorisiertenLenovoAnsprechpartner.WeitereInformationenzudenTechnologien,mitdenenSie
dieGesamtbetriebskostensenkenkönnen,ndenSieaufderfolgendenWebsite.HierkönnenSieauch
überprüfen,obAktualisierungenzumvorliegendenHandbuchverfügbarsind:
http://www.lenovo.com
©CopyrightLenovo2010
v
viHardwarePasswordManagerImplementierungshandbuch
Kapitel1.Übersicht
MitdemLenovoHardwarePasswordManager(HPM)kanneinAdministratorHardwarekennwörterfüralle
registriertenPC-Einheitenverwalten.AußerdemwirdsoderRahmenfüreineBenutzer-IDundKennwörterauf
BIOS-Ebenegeschaffen,dieEndbenutzeralsSingleSign-on-Proxyverwendenkönnen.DieseBenutzer-ID
unddasKennwortkönnenmitderWindows-IDunddemKennwortfürdenBenutzersynchronisiertwerden.
BenutzerhabenauchdieMöglichkeit,sichperFingerabdruckbeiBIOSzuauthentizieren.Wenndie
Einheiteingeschaltetwird,wirdderBenutzerzurEingabedieserBerechtigungsnachweiseaufgefordert.
Stellterdiesebereit,wirderbeiderEinheitaufdemDesktopangemeldet.DurchdiesenMechanismus
wirddiePrivatsphärederBenutzergeschütztundsiekönnendieEinheitverwenden,auchwennihnendie
tatsächlichenHardwarekennwörternichtbekanntsind.
WennHPMinstalliertist,fungiertderzentraleServerderThinkManagement-KonsolevonLenovoals
HPM-Server-erverwaltetundauthentiziertHPM-Einheiten.ZusätzlichdienteinActiveDirectory-oder
eDirectory-LDAP-ServeralsAuthentizierungsserverfürdenHardwarePasswordManager-derHPM-Server
gleichtdieBenutzerberechtigungenmitdenDatenaufdemLDAP-Serverab.
DerAdministratorinstalliertaufLenovoClienteinheiten,dieHPMunterstützen,einenAgenten,dereine
HardwarePasswordManager-Anwendungenthält.WenndieClienteinheiteingeschaltetwird,kommuniziert
sieüberdenUDP-Port50001mitdemHPM-Server.
NachdemderClientimBetriebssystemgebootetwurde,verwendeterdieClientanwendungfürden
HardwarePasswordManager,ummiteinemWeb-ServiceaufdemServerzukommunizieren.Diese
KommunikationndetübereinenHTTPS-Kanalstatt.
DerAdministratorverwendetdieHPM-FunktioneninderThinkManagement-KonsolezurVerwaltung
derHPM-EinheitenundzumErstellenundImplementierenvonRichtlinienzudiesenEinheiten.Anhand
dieserRichtlinienwirdbestimmt,wiederHardwarePasswordManagerfürdieEinheitenimplementiert
wird.DerAdministratorwähltbeispielsweiseaus,welcheBenutzeroptionenbeiHPM-EinheitenalsTeilder
RichtliniendenitionzurVerfügungstehen.
©CopyrightLenovo2010
1
2HardwarePasswordManagerImplementierungshandbuch
Kapitel2.HardwarePasswordManageraufder
ThinkManagement-Konsoleinstallieren
UmdieHPM-Funktionverwendenzukönnen,mussdieThinkManagement-KonsolevonLenovoinstalliert
sein.WennSiedieseInstallationkongurieren,denierenSieVerbindungsdetailsfürIhrenLDAP-Server,um
AuthentizierungsdienstefürHPMbereitzustellen.RichtlinienzurGenerierungvonHardwarekennwörtern
undzurVerwaltungvonClienteinheitensindebenfallsinderKonsoledeniert.
AlsNächstesinstallierenSiedieHPM-Client-SoftwareaufeinzelnenLenovoEinheiten,dieHPMunterstützen.
ZumAktivierenoderInaktivierenderHPM-UnterstützungaufdiesenEinheitenwirdeineBIOS-Einstellung
verwendet.FürdieseEinstellungmussdieOption„Enabled“(Aktiviert)festgelegtsein,damitdieEinheit
mitHPMfunktioniert.
NachAbschlussdieserInstallationstaskskönnenSiemitderRegistrierungvonLenovoHPM-Einheitenauf
demHPM-ServerbeginnenundBenutzerbeidiesenEinheitenregistrieren.
Voraussetzungen
VorderInstallationderThinkManagement-KonsolemitHPMvonLenovoaufdemServersolltenSie
Folgendesbeachten:
DerSerververfügtüberInternetzugriff,umvorausgesetzteSoftwareabzurufenunddieAktivierungnach
AbschlussderInstallationvorzunehmen.
DerSerververfügtübereinestatischeIP-Adresse.
DerServerkannkeinDomänencontrollersein.Eswirdjedochempfohlen,dassderServerzueiner
Domänegehört.
DerAccount,mitdemSiesichanmelden,umdieInstallationdeszentralenServersdurchzuführen,
mussüberAdministratorberechtigungaufdemServermitvollständigenSchreib-/Lesezugriffverfügen.
ImIdealfallistdieserAccountzudemeinDomänenadministrator-Account.DieserAccountwirdzur
ErstellungdeserstenAccountsaufAdministratorebeneverwendet,überdendieAnmeldungbeider
ThinkManagement-Konsoleerfolgt.
Umeineordnungsgemäße,funktionierendeInstallationsicherzustellen,wirddiefolgende
Installationsreihenfolgeempfohlen:
1.InstallierenSiedasBetriebssystem„Windows
®
Server2003R2“(32Bit)mitSP2oder„WindowsServer
2008R2“(64Bit).
2.InstallierenSiedieInternetInformationServices(IIS)fürWindows-Komponenten.
Anmerkung:BeimBetriebssystem„WindowsServer2003R2“(32Bit)MUSSdiesvorderInstallation
vonASP.Netdurchgeführtwerden.
3.InstallierenSiediefolgendenWindows-Komponenten:
ASP.Net
SNMP
4.InstallierenSiemithilfevonWindowsUpdatealleverfügbarenkritischenAktualisierungen.
5.InstallierenSieMicrosoft
®
.NETFramework
®
abVersion2.0.
6.InstallierenSieWebServicesEnhancements(WSE)3.0fürMicrosoft.NET,wennSiedasBetriebssystem
„WindowsServer2008R2“(64Bit)verwenden,oderinstallierenSieWebServicesEnhancements(WSE)
2.0Service-Pack3,wennSiedasBetriebssystem„WindowsServer2003R2“(32Bit)verwenden.
©CopyrightLenovo2010
3
NachderInstallationderThinkManagement-Konsolewirdempfohlen,den„SecurityandPatchManager“zu
aktivieren,umspäterAktualisierungenfürdiesesProduktzuerhalten.KlickenSieinderKonsolenanwendung
aufHelpLANDesk®HilfeassistentSicherheitsaktualisierungen,umeinenLeitfadenzur
KongurationdesSecurityandPatchManagerszuerhalten.
DenzentralenServervorbereiten
DerzentraleHPM-SerververwendetdieThinkManagement-Konsole9.0,dieaufLANDeskManagement
Suite9.0basiert.WeitereInformationenzudenSystemvoraussetzungenderLANDeskManagementSuite
erhaltenSieaufderfolgendenWebsite:
http://community.landesk.com/support/docs/DOC-7478
DetailszudenVoraussetzungenfürdieInstallationderThinkManagement-Konsole9.0erhaltenSieaufder
folgendenWebsite:
http://community.landesk.com/support/docs/DOC-6767
DiebevorzugtePlattformfürdieThinkManagement-Konsole9.0istdasBetriebssystem„WindowsServer
2008R2“(64Bit).IndenfolgendenAnweisungenwirdbeschrieben,wiedasBetriebssystem„Windows
Server2008R2“(64Bit)konguriertwird,damitdieVoraussetzungenfürdieThinkManagement-Konsole
9.0erfülltwerden.
1.InstallierenSiedasBetriebssystem„WindowsServer2008R2“(64Bit)vondemInstallationsdatenträger.
Eswirdempfohlen,dasServerbetriebssystemfürdenzentralenHPM-Servererneutzuinstallieren,dadie
EinstellungendervorhandenenBetriebssystemimagesmitdemzentralenHPM-Servermöglicherweise
nichtkompatibelsind.
2.FührenSieWindowsUpdateausundstellenSiesicher,dassallewichtigenundkritischenUpdates
angewendetwurden.
3.BenennenSiedenzentralenServer.Esistwichtig,dassderNamefürdenzentralenServerrichtig
festgelegtwurde.NachderInstallationkanneinzentralerHPM-Servernichtumbenanntwerden.
4.DeaktivierenSiedenIndexdienstunddenWindows-Suchdienst,dadieseDienstedennormalenBetrieb
deszentralenHPM-Serversbehindernkönnen.WeitereDetailserhaltenSieaufderfolgendenWebsite:
http://community.landesk.com/support/docs/DOC-7245
5.FügenSiedieAnwendungsserverrollehinzu.
a.KlickenSieaufStartServerManager.
b.KlickenSieaufAddRoles(Rollenhinzufügen).
c.WählenSieWebServer(IIS)aus.
d.KlickenSieaufWeiter.Siewerdenaufgefordert,dieserRollezusätzlichenotwendigeFunktionen
hinzuzufügen.
e.WählenSieAddRequiredFeatures(NotwendigeFunktionenhinzufügen).
f.WählenSieaufdemBildschirmSelectServerRoles(Serverrollenauswählen)ApplicationServer
(Anwendungsserver).Siewerdenaufgefordert,dieserRollezusätzlichenotwendigeFunktionen
hinzuzufügen.
g.KlickenSieaufAddRequiredFeatures(NotwendigeFunktionenhinzufügen).
h.KlickenSieaufdemBildschirmSelectServerRoles(Serverrollenauswählen)aufNext(Weiter).
i.KlickenSieaufWeiter.
j.WählenSieWebServer(IIS)Supportaus.Siewerdenaufgefordert,zusätzlicheRollendienste
undFunktionenhinzuzufügen.
k.KlickenSieaufAddRequiredRoleServices(NotwendigeRollendienstehinzufügen).
l.WählenSieCOM+NetworkAccess.
4HardwarePasswordManagerImplementierungshandbuch
m.KlickenSieaufWeiter.
n.KlickenSieaufWeiter.
o.WählenSieimAbschnittRoleServices(Rollendienste)ASP,CGIsowieunterApplication
Development(Anwendungsentwicklung)ServerSideIncludes(Serverseiteenthält)aus.
p.BlätternSieinderListenachuntenundwählenSieIIS6ManagementCompatibility.
q.KlickenSieaufWeiter.
r.DasDialogfensterConrmInstallationSelections(Installationsauswahlbestätigen)wirdangezeigt.
KlickenSieaufInstallieren.
s.KlickenSienachBeendigungderInstallationaufClose(Schließen).
BeimBetriebssystem„WindowsServer2008R2“(64Bit)mussaußerdemdiezusätzlicheFunktionfür
ÜberwachungundWarnungen„Monitoring/Alerts“(SNMP)installiertwerden.
1.KlickenSieaufStartServerManager.
2.KlickenSieinderServerManager-KonsoleaufFeatures(Funktionen)undanschließendimrechten
TeilfensterdesFenstersaufAddFeatures(Funktionenhinzufügen).
3.WählenSieSNMPServicesaus.
4.KlickenSieaufWeiter.
5.KlickenSieaufInstallieren.
6.KlickenSieaufClose(Schließen).
BeimBetriebssystem„WindowsServer2003R2“(32Bit)mitSP2müssenaußerdemzusätzliche
Windows-Komponenteninstalliertwerden.
1.KlickenSieaufStartSystemsteuerungSoftware.
2.KlickenSieaufWindows-Komponentenhinzufügen/entfernen.
3.FügenSiediefolgendenKomponentenhinzu:
a.Anwendungsserver
ASP.NET
InternetInformationServices(IIS)
b.Verwaltungs-undÜberwachungs-Tools
SimpleNetworkManagementProtocol
4.KlickenSieaufWeiter.
5.WählenSiefüroptionaleNetzkomponentenJaaus.
6.KlickenSieaufFertigstellen.
7.InstallierenSieMicrosoft.NETFramework2.0.
8.StartenSiedenServererneut.
WSE(WebServicesEnhancements)3.0fürMicrosoft.NETmussebenfallsinstalliertsein.Diese
KomponentewirdvonMicrosoftaufderfolgendenWebsitezurVerfügunggestellt:
http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en
1.LadenSiedasMicrosoftWSE3.0.msi-InstallationspaketüberdenobenangegebenenLinkherunter.
2.ExtrahierenSiedasInstallationspaketundführenSiedieausführbareDateiaufdemzentralenServeraus.
3.BefolgenSiedieAnweisungen,dieimDialogfensterInstallationangezeigtwerden,undverwendenSie
hierbeiausschließlichdieStandardeinstellungen.
Kapitel2.HardwarePasswordManageraufderThinkManagement-Konsoleinstallieren5
ServerkongurationfürdieThinkManagement-KonsolemitHPM
StellenSiesicher,dassderLDAP-Server(MicrosoftActiveDirectoryoderNovelleDirectory),derals
LDAP-AuthentizierungsserverfürdenHardwarePasswordManagerdient,ordnungsgemäßfunktioniert.
RegistrierenSiesich,umdasInstallationspaketfürdieThinkManagement-KonsolemitHPMvonderWebsite
http://www.landesk.com/lenovoherunterzuladen.NachderRegistrierungerhaltenSieeineE-Mailmit
einemLinkzumHerunterladendesInstallationspaketssowieLANDesk-Berechtigungsnachweisen,umden
zentralenServernachderInstallationzuaktivieren.
NachdemSiedasInstallationspaketheruntergeladenhaben,befolgenSiedieseAnweisungen,umdie
InstallationdeszentralenServersabzuschließen.
1.MeldenSiesichmitAdministratorberechtigungamServeran.
2.ExtrahierenSiedasInstallationspaket„ThinkManagement82D.exe“.KopierenSiedenPfad,indendie
Installationsquellendateienextrahiertwerden,undfügenSieihnindieZwischenablage,umleichter
daraufzugreifenzukönnen.
3.FührenSie„ThinkManagementConsoleAutorun.exe“vonderSpeicherpositionaus,indiedas
Installationspaketextrahiertwurde.WählenSieaufdemzentralenServerInstallierenaus.Befolgen
SiedieAnweisungenimInstallationsassistentenundwählenSienachderInstallationdieOptionaus,
umdasSystemjetztneuzustarten.
4.AktivierenSiedenzentralenServer,indemSieimAktivierungsprogrammdeszentralenServersIhren
LANDesk-KontaktnamenunddasKennworteingeben(hierfüristeineInternetverbindungerforderlich).
5.KongurierenSiedenLDAP-Serverwiefolgt:
a.VerbindenSiedenHARDWAREPASSWORDMANAGER-Serverundden
LDAP-AuthentizierungsservermitdemNetz.
b.StartenSiedieThinkManagement-Konsole.
c.InderToolboxbendetsicheineThinkVantage-GruppefürdenHardwarePasswordManagermitden
folgendendreiElementen:„FürHPMregistrierteBenutzer“,„HPM-Gruppen“sowie„Fernausgeführte
AktionenundRichtlinieneinstellungen“.KlickenSieaufHPM-Gruppenundanschließendinder
SymbolleisteaufdieSchaltächezumKongurierendesLDAP-Servers(diedritteSchaltäche).
d.GebenSiedieDatenfürdenLDAP-Serverein,deralsAuthentizierungsserverdienensoll.Die
folgendenElementemüssenfürdenLDAP-Serverdeniertwerden:
Hostname:DerNamedesLDAP-Servers.
Port:DiePortnummer,diemitdemServerkommuniziert.DerStandardportnummerfürMSActive
Directoryist389.WennSiefürdenZugriffaufmehrereActiveDirectory-Domäneneinenglobalen
Katalogabfragenmüssen,ändernSiediePortnummerin3268.WennSieNovelleDirectoryals
IhrenLDAP-Serverauswählen,istdieStandardportnummer636.
Servertyp:WählenSiealsTypentweder„MicrosoftActiveDirectory“oder„NovelleDirectory“aus.
Verschlüsselungsart:WählenSiedieArtderVerschlüsselungaus,diebeiderKommunikation
mitdemSerververwendetwerdensoll.
AutorisierterBenutzer:
DerBenutzernamefürdieAnmeldungamMicrosoftActiveDirectory-Server.
EinDomänenname\BenutzernameodereinfacheinBenutzername.
DerBenutzernamefürdieAnmeldunganeinemNovelleDirectory-Server.
Anmerkung:Eswirdempfohlencn=Administratorname,o=Administratorkontextzuverwenden.
WennfürdieBindungseinschränkungen(BindRestrictions)nichtsfestgelegtist(None),
funktioniertAdministratorname.Admininstratorkontext.WennfürdieBindungseinschränkungen
festgelegtist,dasseinanonymerSimpleBindnichtzugelassenwird(Disallowanonymous
simplebind),funktioniertAdministratorname.Admininistratorkontextnicht.
6HardwarePasswordManagerImplementierungshandbuch
Kennwort:DasKennwortfürdenautorisiertenBenutzeraufdemLDAP-Server.
e.KlickenSieaufOK,wenndieInformationenvollständigsind.
DieKongurationdeszentralenServersfürdieThinkManagement-Konsolewirdjetztabgeschlossen.
MigrationaufeinenneuenLDAP-Server
MöglicherweisestellenSiefest,dassSiedieIP-AdresseoderdenHostnamenIhresLDAP-Serversändern
müssen.VielleichtmüssenSieauchzueinemneuenServermiteineranderenIP-Adresseodersogarzu
einemgänzlichanderenTypvonLDAP-Serverwechseln.
TritteinerdieserUmständeein,müssenSieeineneueLDAP-Serverkongurationerstellen.WiederholenSie
hierfürdieLDAP-KongurationstaskausSchritt5.Eswirdempfohlen,beibereitsregistriertenHPM-Geräten
dieRegistrierungzurückzunehmenundbeiderneuenLDAP-KongurationdieRegistrierungerneut
durchzuführen.AndernfallskönnenmitdenGeräten,dieüberdiealteLDAP-Kongurationregistriertwurden,
verschiedeneHPM-Aktionen,wieeineIntranet-Account-Anmeldung,nichtausgeführtwerden.
HardwarePasswordManageraufeinerLenovoEinheitinstallieren
UmdieHardwarePasswordManager-FunktionenzueinerLenovoEinheithinzuzufügen,müssenSieeinen
HPM-AgenteninderEinheitimplementieren.SiekönnenhierfürdiePush-oderPull-Methodeverwenden.
GehenSiewiefolgtvor,umeinenAgentenmitHardwarePasswordManager-Clientfunktionenzu
implementieren:
1.KlickenSieinderThinkManagement-KonsoleaufToolsKongurationundanschließendaufdie
OptionzurAgentenkonguration.
2.KlickenSieinderSymbolleisteunterderOptionzurAgentenkongurationaufNeuundgebenSie
fürdieseAgentenkongurationeinenNamenein.
3.StellenSiesicher,dassimAbschnittZuinstallierendeAgentenkomponentendieOptionHardware
PasswordManagerausgewähltist.
4.SpeichernSiedieKonguration.
WennSienureineeinzelneAgentenkongurationoderdiePull-MethodebeiderImplementierungverwenden
möchten,solltenSiedieneueAgentenkongurationalsStandardkongurationfestlegen.
SolegenSiedieseAgentenkongurationalsStandardfest:
1.KlickenSieinderThinkManagement-KonsoleimFensterderAgentenkongurationmitderrechten
MaustasteaufdieneueAgentenkonguration.
2.KlickenSieaufAlsStandardwertdenieren.ÜberdemSymbolfürdieseKongurationwirdein
grünesHäkchenangezeigt.
SiekönnendenAgentennunmithilfederPush-MethodeinIhreLenovoEinheitenimplementieren.Weitere
InformationenerhaltenSieindenHilfeassistentenzurEinführungundzumErkennenundInstallierenvon
Agenten,dieSieinderKonsoleim„HelpMenu“nden.FürdieEinführungmüssenSienurdieSchrittezum
StartenderKongurationderService-ToolsundderKongurationdesBerechtigungsnachweisesfürden
Schedulerausführen.
Anmerkungen:
1.UmdenProzessderEinheitenerkennungzuvereinfachen,schaltenSiedieWindows®-Firewallaus.
2.UnterWindowsXPmussdieeinfacheDateifreigabeaufderLenovoEinheitinaktiviertwerden.Diese
FunktionistbeiEinheiten,diesichbeieinerDomäneanmelden,normalerweisestandardmäßig
Kapitel2.HardwarePasswordManageraufderThinkManagement-Konsoleinstallieren7
inaktiviert.SiekönnendieseOptionüberdenWindowsExplorerausschalten.KlickenSieaufTools
OrdneroptionenAnsicht,blätternSieinderListenachuntenunddeaktivierenSiedieFunktionfür
dieEinfacheDateifreigabe.
3.UnterWindowsVista
®
wirdempfohlen,dieBenutzerkontosteuerungauszuschalten.
WennderAgentimplementiertist,wirddasHPM-Client-PortalaufderEinheitinstalliert.DerDateinamedes
Client-Portalslautet„cmp_portal.exe“undbendetsichimVerzeichnisC:\ProgramFiles\Lenovo\Hardware
PasswordManager.
SiekönnendenAgentenauchmithilfederPull-Methodeimplementieren.BeidieserMethodewirdaufdem
HPM-ServereineVerbindungzueinemgemeinsamgenutztenOrdnerhergestelltundeineAnwendung
ausgeführt,mitderdiezuvorbeschriebeneStandardagentenkongurationinstalliertwird.
1.MeldenSiesichaufderLenovoEinheitalsDomänenadministratoroderalslokalerAdministratoran.
2.StellenSiezumfreigegebenenLDLOGON-LaufwerkeineVerbindungher,entwederdirektüberden
ExploreroderindemSie\\<IhrHPM-Servername>\ldlogonmitdenBerechtigungsnachweisenfürden
DomänenadministratoroderanderenBerechtigungsnachweisen,mitdenenSieZugriffaufdieses
gemeinsambenutzteLaufwerkerhalten,einNetzlaufwerkzuordnen.
3.StartenSievomgemeinsambenutztenLaufwerkWSCFG32.EXE.EswirdeinDialogfensterangezeigtmit
denKomponenten,dieinstalliertwerden.StellenSiesicher,dassdieOptionThinkVantageHardware
PasswordManagerausgewähltist.
4.FolgenSiedenangezeigtenAnweisungen,umdieInstallationdesAgentenabzuschließen.
IneinigenFällenistesmöglicherweiseerforderlich,denThinkVantageHardwarePasswordManager-Client
ineinFirmenimageeinzuschließenoderihnübereinanderesSystemmanagementtoolodereinen
Systemmanagementprozessbereitzustellen.UmdiesenSzenarienRechnungzutragen,kannüberdie
KonsoleeinseparatesausführbaresPaketderAgentenkongurationgeneriertwerden.Mitdiesem
ausführbarenPaketwirdderAgentinstalliert,ohnedasseineBenutzerinteraktionnötigwäre.
SoerstellenSieeinseparatesausführbaresPaketfürdieInstallationdesAgenten:
1.KlickenSieinderThinkManagement-KonsoleimFensterderAgentenkongurationmitderrechten
MaustasteaufNewagentconguration(NeueAgentenkonguration).
2.KlickenSieaufdieOptionzumErstelleneinesseparatenPaketsfürdieClientinstallation.
3.GebenSiedenOrdneran,indenSiedieausführbareDatei,dieimDialogfensterangezeigtwird,
speichernmöchten.
DerNamederausführbarenDateibasiertaufdemNamenderAgentenkonguration.DerProzesswird
ungefähreineMinutelangimHintergrundausgeführt.EswerdenzweiausführbareDateienundzwei
Protokolldateienerstellt.MiteinerausführbarenDatei,diedurch„_with_status“gekennzeichnetist,wird
einInstallationsprogrammbereitgestellt,dasdenInstallationsstatusanzeigt.DieandereausführbareDatei
wirdimHintergrundinstalliert.
8HardwarePasswordManagerImplementierungshandbuch
Kapitel3.HardwarePasswordManager-Einheitenmitder
ThinkManagement-Konsoleverwalten
DieinderKonsoleverfügbarenHardwarePasswordManager-FunktionensindindenfolgendenAbschnitten
beschrieben:
„HardwarePasswordManager-EinheitenundihreEigenschaftenanzeigen“aufSeite9
„RegistrierteBenutzeraufHardwarePasswordManager-Einheitenverwalten“aufSeite10
„LDAP-Serververbindungkongurieren“aufSeite11
„HardwarePasswordManager-BenutzerundihreEigenschaftenanzeigen“aufSeite11
„ZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheitentfernen“aufSeite12
„HardwarePasswordManager-Gruppenverwalten“aufSeite13
„FernausgeführteAktionenundRichtlinieneinstellungenfürHardwarePasswordManager-Einheiten
verwalten“aufSeite14
„Client-Richtlinienglobalaktualisieren“aufSeite15
„Hardwarekennwörterglobalaktualisieren“aufSeite16
„Notfall-Accountaktualisieren“aufSeite18
„RichtlinieneinstellungenfürdenServerändern“aufSeite18
HardwarePasswordManager-EinheitenundihreEigenschaftenanzeigen
InderNetzübersichtwirdimOrdnermitdenEinheiteneinseparaterOrdnerfürLenovoHardwarePassword
Manager-Einheitenhinzugefügt,dieerkanntundverwaltetwerden.ÖffnenSiediesenOrdnermitHardware
PasswordManager-Einheiten,umeineListederComputerundFestplattenanzuzeigen.
GehenSiewiefolgtvor,umdieEigenschafteneinerHardwarePasswordManager-Einheitanzuzeigen:
1.ErweiternSieinderNetzübersichtfürdieThinkManagement-KonsoledenOrdnermitdenEinheitenund
erweiternSieanschließenddenOrdner,derdieHardwarePasswordManager-Einheitenenthält.
2.KlickenSiejenachbenötigtemEinheitentypentwederaufComputers(Computer)oderHarddisks
(Festplatten).
3.KlickenSiemitderrechtenMaustasteaufdenNamenderEinheitundwählenSiedieEigenschaftendes
HardwarePasswordManagersaus.
DieInformationenimDialogfensterProperties(Eigenschaften)könnennichtbearbeitetwerden.Die
InformationenaufdeneinzelnenRegisterkartensindnachfolgendzusammengefasst.
Summary(Zusammenfassung)
AufdieserRegisterkarteaufgeführteKennwörterwerdenstandardmäßigabgeblendet.WählenSieunten
aufderRegisterkarteShowallpasswordtexts(TextfüralleKennwörteranzeigen).Dadurchwirddie
unbeabsichtigteAnzeigevonHardwarekennwörternverhindert.
Registrationtimeandstatus(Registrierungszeitund-status):FührtdasDatum/dieUhrzeitder
RegistrierungsowiedenaktuellenStatusauf.
BIOSpasswords(BIOS-Kennwörter):ZeigtdieKennwörterfürdieeinzelnenBIOS-Prole
sowiedasDatum/dieUhrzeitderletztenSicherungdesProlsan.DieserAbschnittenthältdas
Administratorkennwort(SVP)fürdieAnmeldungbeiderEinheitmitAdministratorzugriff,sowiedas
Startkennwort(POP)fürdieAnmeldungbeiderEinheitmitBenutzerzugriff.
©CopyrightLenovo2010
9
Harddiskpasswords(Festplattenkennwörter):FührtdieKennwörterfürdenZugriffaufdieeinzelnen
FestplattenderEinheitauf.IndiesemAbschnittwerdendasHauptkennwort,dasBenutzerkennwortund
sämtlicheSicherungskennwörterfürdieFestplatteangezeigt,diefürdieFestplattemöglicherweise
generiertwurden(klickenSieaufView(Anzeigen),umdieListederSicherungskennwörteranzuzeigen).
EmergencyAdminAccount(Notfall-Administrator-Account):FührtdenBerechtigungsnachweisfür
denAdministrator-Accountauf,mitdemaufdieHardwarePasswordManager-Einheitzugegriffenwerden
kann.DerNotfall-Administrator-AccountwirdaufjederEinheiterstellt.DieserBerechtigungsnachweis
kannineinemNotfalldazuverwendetwerden,mitAdministratorberechtigungaufdasBIOSderEinheit
zuzugreifen.
Enrolledusers(RegistrierteBenutzer):
AlleBenutzer,diefürdenZugriffaufdieHardwarePasswordManager-Einheitregistriertsind,werdenauf
dieserRegisterkarteaufgeführt.DerBenutzernamefürdenIntranet-AccountistderName,derfürdie
AnmeldungamLDAP-Benutzer-Accountverwendetwird.DerBenutzernamefürdenHardware-Accountist
derName,derzumSpeichernvonDatenimHardware-Accountverwendetwird(eingeschützterBereich
desnichtüchtigenSpeichers,aufdennurüberdasBIOSdesComputerszugegriffenwerdenkann).
DerLDAP-PfadgibtdiePositiondesBenutzersinderVerzeichnisstrukturdesLDAP-Serversan(z.B.
CN=ADMINISTRATOR,CN=USERS,DC=TESTLAB).
Memberof(Mitgliedvon):
AufdieserRegisterkartesinddieIntranet-Account-Gruppenaufgeführt,indenendieEinheitMitgliedist.Der
LDAP-PfadzeigtdiePositionderGruppeinderVerzeichnisstrukturdesLDAP-Serversan.
RemoteActions(FernausgeführteAktionen):
ImAbschnittRemoteactions(FernausgeführteAktionen)sindallefrüherenfernausgeführtenAktionen
aufgelistet,dieaufdieseHardwarePasswordManager-Einheitangewendetwurden.ImAbschnittzum
EntfernenderdurchdenBenutzerfernausgeführtenAktionen(Removeuserremoteactions)sinddie
Benutzeraufgeführt,diebeiderEinheitregistriertwurden,derenZugriffjedochwiderrufenwurde.
ClientPolicy(Client-Richtlinie):
InderListemitderWindows-Richtlinie(Windowspolicy)istderStatusderzumBetriebssystemgehörigen
Richtlinieneinstellungenaufgeführt,diederzeitaufderEinheitangewendetwerden.InderListemitder
BIOS-Richtlinie(BIOSpolicy)istderStatusderzumBIOSgehörigenRichtlinieneinstellungenaufgeführt,
diederzeitaufderEinheitangewendetwerden.DieseEinstellungenwerdenimDialogfensterfürdie
AktualisierungderClient-Richtlinieausgewählt.WeitereInformationenhierzuerhaltenSieimAbschnitt
„Hardwarekennwörterglobalaktualisieren“aufSeite16
.
RegistrierteBenutzeraufHardwarePasswordManager-Einheiten
verwalten
WenneineLenovoHardwarePasswordManager-EinheitbeimHardwarePasswordManager-Server
registriertist,istderHauptbenutzerdieserEinheitalsautorisierterBenutzerdieserHardwarePassword
Manager-Einheitregistriert.SiekönnenzusätzlicheBenutzeraufjedereinzelnenHardwarePassword
Manager-Einheitregistrieren,indemSiedasClient-PortalaufderEinheitverwendenoderindemSieden
BenutzerineineHardwarePasswordManager-Gruppeaufnehmen,diefürdieseEinheitberechtigtist.
UmBenutzerfürHardwarePasswordManager-Einheitenzuverwalten,verwendenSiedieOptionHPM
EnrolledUsers(HPM-registrierteBenutzer)inderToolboxderThinkManagement-Konsole(oderklickenSie
aufToolsThinkVantageHardwarePasswordManagerHPMEnrolledUsers).
10HardwarePasswordManagerImplementierungshandbuch
MithilfedesToolsfürHPM-registrierteBenutzerkönnenSie:
DieLDAP-Serververbindungkongurieren
EineListederHardwarePasswordManager-Benutzeranzeigen
DieEigenschafteneinesHardwarePasswordManager-Benutzersanzeigen
DenZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheitwiderrufen
LDAP-Serververbindungkongurieren
InderAnsichtzurVerwaltungregistrierterBenutzersindBenutzerundGruppenineinerVerzeichnisstruktur
mitdenBenutzernundGruppenaufdemLDAP-Serveraufgeführt,dieSiefürdieAuthentizierungbeim
HardwarePasswordManagerverwendenkönnen.UmdieseVerzeichnisstrukturanzuzeigen,müssenSie
zuerstdieLDAP-Serververbindungkongurieren.
MitdenDaten,dieSieindiesesDialogfenstereingeben,wirddemHardwarePasswordManager-Serverdas
HerstelleneinerVerbindungzumLDAP-Serverermöglicht,derentwedereinMicrosoftActiveDirectory-Server
odereinNovelleDirectory-Serverseinkann.
SiekönneneineMigrationvoneinemLDAP-ServerzueinemanderenohnedenVerlustvonDaten
durchführen.WennSiefeststellen,dassSieeinenanderenServerfürdieLDAP-Authentizierungbenötigen,
gebenSiedieKongurationsdatenfürdenneuenServerein.
GehenSiewiefolgtvor,umeineLDAP-Serververbindungzukongurieren:
1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf
ToolsThinkVantageHardwarePasswordManagerHPMEnrolledUsers).
2.KlickenSieaufLDAP-Server.
3.GebenSieindasFeldHostnamedenHostnamendesLDAP-Serversein.
4.WennSieeinenanderenPortalsdenStandardportverwendenmöchten,umaufdenServerzuzugreifen,
inaktivierenSieStandardportverwendenundgebenSieeineanderePortnummerein.
5.WählenSiedenServertypaus(MSActiveDirectoryoderNovelleDirectory).
6.WählenSiedieVerschlüsselungsartfürdenServeraus.
7.GebenSiedenBerechtigungsnachweis,derfürdenZugriffaufdenLDAP-Serververwendetwird,
indieFelderBerechtigterBenutzerundKennwortein.DerBenutzerkannentwederinFormvon
Domäne\BenutzernameodereinfachalsBenutzernameeingegebenwerden.
HardwarePasswordManager-BenutzerundihreEigenschaftenanzeigen
MitdemToolfürHPM-registrierteBenutzerkönnenSiealleBenutzeranzeigen,diefürdenZugriffaufLenovo
HardwarePasswordManager-Einheitenregistriertsind.SiekönneneineListeallerBenutzeranzeigenoder
SiekönnenGruppeninderLDAP-Verzeichnisstrukturauswählen,umUntergruppeninderListeanzuzeigen.
SiekönnenalleEigenschaftenfürjedeneinzelnenregistriertenHardwarePasswordManager-Benutzer
anzeigen,einschließlichBenutzer-ID,LDAP-Pfad,Gruppen,indenenderBenutzerMitgliedist,sowie
Einheiten,beidenenderBenutzerregistriertist.DieseEigenschaftenkönnennichtüberdasDialogfenster
Properties(Eigenschaften")bearbeitetwerden.
GehenSiewiefolgtvor,umregistrierteHardwarePasswordManager-BenutzerundderenEigenschaften
anzuzeigen:
1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf
ToolsThinkVantageHardwarePasswordManagerHPMEnrolledUsers).
2.UmalleregistriertenBenutzeranzuzeigen,klickenSieinderVerzeichnisstrukturaufAlleBenutzer.
Kapitel3.HardwarePasswordManager-EinheitenmitderThinkManagement-Konsoleverwalten11
3.UmeineUntergruppevonBenutzernanzuzeigen,erweiternSiedieinderVerzeichnisstruktur
aufgeführtenGruppenundklickenSieaufeinenGruppennamen.
4.UmdieEigenschafteneinesBenutzersanzuzeigen,klickenSieineinerBenutzerlistemitderrechten
MaustasteaufdenentsprechendenBenutzerundklickenSieProperties(Eigenschaften)aus.
Anmerkung:SiekönnenauchdenBenutzerauswählenundaufdieSchaltächefürdieEigenschaftenin
derSymbolleisteklicken.
DieOptionenimDialogfensterProperties(Eigenschaften)sindnachfolgendzusammengefasst.
Summary(Zusammenfassung):
AufdieserRegisterkartesinddieIDundderallgemeineNamedesBenutzers,derPfadinder
LDAP-Verzeichnisstruktur,indersichderBenutzerbendet,sowiederaktuelleStatusdesBenutzers
aufgeführt.HiersindauchdasDatumunddieUhrzeitaufgeführt,zudem/derderBenutzerfürdenHardware
PasswordManagerregistriertwurde.
Memberof(Mitgliedvon):
AufdieserRegisterkartesinddieLDAP-Gruppenaufgeführt,zudenenderBenutzergehört,einschließlich
desLDAP-PfadesjederGruppe.
Enrolleddevices(RegistrierteEinheiten):
AufdieserRegisterkartensinddieEinheitenaufgeführt,beidenenderBenutzerregistriertist(mit
EinheitennamenundMaschinen-ID).
RemoteActions(FernausgeführteAktionen):
AufdieserRegisterkartesindalleentferntenBenutzeraktionenaufgeführt,diefürdenBenutzerdurchgeführt
wurden,einschließlichdesNamensderEinheit,vonderausderBenutzerentferntwurde,sowiedesDatums
undderUhrzeitderletztenÄnderung.
ZugriffeinesBenutzersaufeineHardwarePasswordManager-Einheit
entfernen
NachdemeinBenutzeraufeinerHardwarePasswordManager-Einheitregistriertwurde,könnenSiedie
Registrierungwiderrufen,wennderBenutzerkeinenZugriffmehraufdieseEinheithabensoll.Umeinen
Benutzerzuentfernen,erstellenSieeinefernausgeführteAktion,dieaufjedevonIhnenangegebeneEinheit
angewandtwird.DasnächsteMal,wenndieEinheitmitdemHardwarePasswordManager-Serverzur
AktualisierungseinerRichtlinieverbundenwird,wirdderBenutzerausderListederBenutzerfürdiese
Einheitentfernt.
GehenSiewiefolgtvor,umeinenBenutzervoneinerHardwarePasswordManager-Einheitzu
entfernen:
1.KlickenSieinderToolboxaufHPMEnrolledUsers(FürHPMregistrierteBenutzer)(oderklickenSieauf
ToolsThinkVantageHardwarePasswordManagerHPMEnrolledUsers).
2.WählenSieinderBenutzerlisteden(die)entsprechendenBenutzeraus.
3.KlickenSieinderSymbolleisteaufdieSchaltächezumWiderrufeneinesBenutzers.
4.InaktivierenSieimDialogfensterzumErstellenvonfernausgeführtenAktionendasMarkierungsfeldfür
eineodermehrereEinheiten,vondenenSiedenBenutzerentfernenmöchten.
5.KlickenSieaufOK.
12HardwarePasswordManagerImplementierungshandbuch
/