1. Voraussetzungen
Voraussetzungen für die Funktion des RCM sind, dass der Host, auf
dem der Admin-Wizard gestartet wurde, mindestens unter Windows XP
Sp1 läuft und das DOT NET Framework und die GPMC installiert sind
(siehe Kapitel Installation). Weiterhin muss der angemeldete User
Administratorrechte im ActiveDirectory haben. Alle im RCM zu
verwaltenden Rechner müssen Mitglied eines ActiveDirectories
(Windows 2000 oder höher) sein. Der SecuSurf Server muss die
aktuelle ActiveDirectory Konfiguration durch einen Replikationsvorgang erhalten
haben.
2. Funktionsprinzip
Der SecuSurf Admin-Wizard legt Gruppenrichtlinien an
und verknüpft diese mit der Zugehörigkeit zu den in der
Organisationseinheit "SecuSurf" befindlichen Gruppen. Ist ein
Rechner also z.B. Mitglied der Gruppe "InstallSecuSurfOnNextLogin",
dann löst die mit dieser Gruppe verknüpfte Gruppenrichtlinie die
Installation des SecuSurf Agents auf dem Rechner aus. Der Installer
verändert bei erfolgreicher Installation die
Gruppenmitgliedschaften des entsprechenden Hosts. Ein Host wird
dann z.B. von der Gruppe "InstallSecuSurfOnNextLogin" in die Gruppe
"HostsRunningSecuSurfXX" verschoben.
Das oben beschriebene Verfahren hat zur Folge, dass manuelle
(de-) Installation von SecuSurf auf den Hosts nicht im RCM
abgebildet werden können, da diese Änderungen SecuSurf nicht
bekannt sind. Die Darstellung innerhalb des RCM ist also nur
für durch das RCM durchgeführte Änderungen gültig. Im Falle
manueller Änderungen (z.B. Host A wurde neu aufgesetzt), können die
Änderungen manuell im ActiveDirectory nachgezogen werden (z.B.
durch entfernen von Host A aus der Gruppe
HostsRunningSecuSurfXX).
Um in der RCM-Ansicht anzuzeigen, in welcher Gruppe ein Computer
Mitglied ist, müssen die Mitgliedschaften eines jeden Hosts einzeln
ermittelt werden. Je größer die Anzahl der Hosts im ActiveDirectory
ist, je langsamer ist dieser Vorgang. Um auch bei großen
Installationen ein zügiges Arbeiten zu ermöglichen, stellt der
SecuSurf Admin-Wizard per Default nur den Zustand dar, der beim
letzten Replikationsvorgang im AD galt
oder durch den SecuSurf Admin-Wizard selbst modifiziert wurde. Alle
anderen Änderungen an der AD Konfiguration können aber nur durch
einen erneuten Replikationsvorgang in SecuSurf
bekannt gegeben werden. Dies hat insbesondere Einfluss auf die
Darstellung der Mitgliedschaften der einzelnen Hosts in der Ansicht
RCM: Greift eine Gruppenrichtlinie, die z.B. bei der Installation
des Agents eine Verschiebung der Gruppenmitgliedschaft des
betreffenden Rechners von der Gruppe "InstallSecuSurfOnNextLogin"
in die Gruppe "HostsRunningSecuSurfXX" zur Folge hat, so kann diese
Änderung lediglich im ActiveDirectory festgehalten werden und ist
der SecuSurf-internen Konfiguration bis zum nächsten Replikationsvorgang nicht bekannt.
Dies kann Auswirkungen auf die Darstellung der Mitgliedschaften in
der RCM-Ansicht haben, sodass hier nicht der aktuelle Stand
angezeigt wird.
Ein Beispiel:
SecuSurf repliziert nachts automatisch gegen 1 Uhr die Daten aus
dem ActiveDirectory. Ein Administrator wählt um 8 Uhr in der
RCM-Ansicht aus, dass Computer1 SecuSurf installieren soll. Um 9
Uhr wird Computer1 gestartet und der SecuSurf Agent installiert,
was mit die Änderung der Mitgliedschaft von Computer1 im
ActiveDirectory bedeutet. Um 10 Uhr startet der Administrator den
AdminWizard erneut und wählt die RCM-Ansicht an. Da inzwischen kein
neuer Replikationsvorgang
gelaufen ist, ist SecuSurf die Verschiebung des Computers1 in eine
andere Gruppe nicht bekannt. Dies hat zur Folge, dass der Computer
noch in der Gruppe "Hosts, die SecuSurf beim nächsten Login
installieren" angezeigt wird, obwohl er sich im ActiveDirectory
bereits in der Gruppe "Hosts, durch SecuSurf gesichert" befindet.
In der Nacht erfolgt ein erneuter Replikationsvorgang. Dadurch wird
SecuSurf bekannt, in welcher Gruppe Computer1 nun ist. Die
Darstellung im RCM ist also wieder korrekt.
Dieser Umstand ist auch dafür verantwortlich, dass das RCM nicht während des Lernmodus angewählt werden kann, da der SecuSurf AdminWizard im Lernmodus keine gültige ActiveDirectory Konfiguration hat. Dies bedeutet, dass man den Lernmodus abschalten muss, um Änderungen im RCM vorzunehmen. Nach Übernehmen der Änderungen sollte der Regelsatz wieder auf den Server hochgeladen werden (=aktiviert werden) und danach ggs. der Lernmodus wieder eingeschaltet werden.