• Artigo

Cenário de exemplo para a implantação e o gerenciamento de clientes do Configuration Manager em dispositivos Windows Embedded

 

Aplica-se a: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico se aplicam somente ao System Center 2012 Configuration Manager SP1 ou posterior, e ao System Center 2012 R2 Configuration Manager ou posterior.
System_CAPS_noteObservação

Este tópico é exibido na nos guias Implantação de clientes do System Center 2012 Configuration Manager e Scenarios and Solutions Using System Center 2012 Configuration Manager [Cenários e soluções usando o System Center 2012 Configuration Manager].

Este cenário demonstra como você pode gerenciar dispositivos Windows Embedded com filtro de gravação habilitado usando o System Center 2012 Configuration Manager SP1. Se você tiver o Gerenciador de Configurações sem nenhum service pack, o Gerenciador de Configurações não poderá desativar e reativar automaticamente os filtros de gravação, e você deve seguir etapas adicionais para fazer isso antes de instalar o software. Se os dispositivos inseridos não derem suporte a filtros de gravação, eles se comportarão como clientes padrão do Gerenciador de Configurações e você não terá de seguir as etapas neste cenário necessárias para gerenciar filtros de gravação.

A Coho Vineyard & Winery está abrindo um centro de visitantes e está interessada em quiosques que executam o Windows Embedded para fazer apresentações interativas. A construção do novo centro do visitante não fica tão perto do departamento de TI, por isso é importante que os quiosques possam ser gerenciados remotamente. Além de instalar o software que executa as apresentações interativas, esses dispositivos devem executar software atualizado de proteção antimalware para cumprir as políticas de segurança da empresa. Para verificar se as apresentações interativas estão sempre disponíveis para visitantes, os quiosques devem ser executados 7 dias por semana, sem nenhum tempo de inatividade enquanto o centro do visitante estiver aberto.

A Coho Vineyard & Winery já usa o Gerenciador de Configurações SP1 para gerenciar dispositivos em sua rede. O Gerenciador de Configurações está configurado para executar o Endpoint Protection e instalar atualizações de software e aplicativos. No entanto, como a equipe de TI nunca havia gerenciado dispositivos Windows Embedded, Jane, administradora do Gerenciador de Configurações, executa um piloto para gerenciar dois quiosques que estão no lobby da recepção da empresa. Se o piloto tiver êxito no gerenciamento remoto desses dispositivos, o pedido de compra para os quiosques do centro do visitante poderá ser aprovado.

Para gerenciar esses dispositivos Windows Embedded com filtro de gravação habilitado, Jane executa as seguintes etapas para instalar o cliente do Gerenciador de Configurações, proteger o cliente usando o Endpoint Protection e instalar o software de apresentação interativa.

Processar

Referência

Jane lê de que forma os dispositivos Windows Embedded usam filtros de gravação e como o Gerenciador de Configurações SP1 pode facilitar essa tarefa desativando e reativando automaticamente os filtros de gravação, para manter a instalação de um software.

A seção Implantando o cliente do Configuration Manager em dispositivos Windows Embedded no tópico Introdução à implantação de cliente no Configuration Manager

Antes de instalar o cliente do Gerenciador de Configurações, Jane cria uma nova coleção de dispositivos baseada em consulta para os dispositivos Windows Embedded. Como a empresa usa os formatos de nomenclatura padrão para identificar seus computadores, Fernanda pode identificar exclusivamente os dispositivos com Windows Embedded pelas seis primeiras letras do nome do computador: WEMDVC. Ela usa a seguinte consulta WQL para criar esta coleção: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%"

Essa coleção permite a ela gerenciar os dispositivos Windows Embedded com opções de configuração diferentes dos outros dispositivos. Ela usará essa coleção para controlar reinicializações, implantar o Endpoint Protection com configurações do cliente e implantar o aplicativo de apresentação interativa.

Como criar coleções no Configuration Manager

Jane configura a coleção para uma janela de manutenção para garantir que reinicializações que talvez sejam necessárias para instalar o aplicativo de apresentação e quaisquer atualizações não ocorram durante o horário de funcionamento do centro do visitante. O horário de funcionamento será das 9:00 às 18:00, de segunda a domingo. Ela configura a janela de manutenção para todos os dias, das 18:30 às 6:00.

Como usar as janelas de manutenção no Configuration Manager

Jane, então, define uma configuração personalizada do cliente do dispositivo para instalar o cliente do Endpoint Protection, selecionando Sim nas etapas seguintes e, depois, implanta essa configuração personalizada na coleção de dispositivos Windows Embedded:

  • Instalar o cliente do Endpoint Protection em computadores cliente

  • Para dispositivos Windows Embedded com filtros de gravação, confirme a instalação de cliente do Endpoint Protection (requer reinicialização)

  • Permitir a instalação do cliente do Endpoint Protection e reiniciar para que seja executada fora das janelas de manutenção

Quando o cliente do Gerenciador de Configurações for instalado, essas configurações irão instalar o cliente do Endpoint Protection e verificar se ele se mantém no sistema operacional como parte da instalação, em vez de somente gravados na sobreposição. As políticas de segurança da empresa requerem que o software antimalware sempre seja instalado, e Jane não deseja correr o risco de deixar os quiosques desprotegidos nem por um curto período se eles forem reinicializados.

System_CAPS_noteObservação

As reinicializações necessárias para instalar o cliente do Endpoint Protection são uma ocorrência única, que acontece durante o período de configuração dos dispositivos e antes do funcionamento do centro do visitante. Ao contrário da implantação periódica de aplicativos ou atualizações de definição de software, a próxima vez que o cliente do Endpoint Protection for instalado no mesmo dispositivo provavelmente será quando a empresa atualizar para a próxima versão do Gerenciador de Configurações.

Etapa 5: Configurar configurações personalizadas para o Endpoint Protection em Como configurar o Endpoint Protection no Configuration Manager

Com as configurações para o cliente já em vigor, Jane prepara-se para instalar os clientes do Gerenciador de Configurações. Antes de instalar os clientes, ela deve desativar manualmente o filtro de gravação nos dispositivos Windows Embedded. Ela lê a documentação do OEM que acompanha os quiosques e segue as instruções para desativar os filtros de gravação.

Jane renomeia o dispositivo para que ele use o formato de nomenclatura padrão da empresa e instala o cliente manualmente executando o CCMSetup com o seguinte comando de uma unidade mapeada que contém os arquivos de origem do cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE = CO1

Esse comando instala o cliente, atribui o cliente ao ponto de gerenciamento que tem o FQDN da intranet do mpserver.cohovineyardandwinery.com e atribui o cliente ao site principal chamado CO1.

Jane sabe que sempre leva um tempo para que os clientes instalem e enviem o status de volta ao site. Então, ela aguarda antes de confirma que os clientes foram instalados com êxito, atribuídos ao site e mostrados como clientes na coleção que ela criou para dispositivos Windows Embedded.

Como confirmação adicional, nos dispositivos Windows Embedded, ela verifica as propriedades do Gerenciador de Configurações no Painel de Controle e compara-as com computadores Windows padrão que são gerenciados pelo site. Por exemplo, na guia Componentes, o Agente de inventário de hardware exibe Habilitado, e na guia Ações, há 11 ações disponíveis, que incluem Ciclo de avaliação de implantação de aplicativo e Ciclo de coleta de dados de descoberta.

Confiante de que os clientes foram instalados com êxito, atribuídos e que recebem a política do cliente do ponto de gerenciamento, Jane habilita manualmente os filtros de gravação seguindo as instruções do OEM.

Como instalar clientes em computadores com base em Windows no Configuration Manager

Como atribuir clientes a um site no Configuration Manager

Agora que o cliente do Gerenciador de Configurações está instalado nos dispositivos Windows Embedded, Jane confirma que ela pode gerenciá-los da mesma forma que gerencia os clientes Windows padrão. Por exemplo, do console do Gerenciador de Configurações, ela pode gerenciá-los remotamente usando controle remoto, iniciar a política do cliente para eles e visualizar as propriedades do cliente e o inventário de hardware.

Como esses dispositivos estão ligados a um domínio do Active Directory, ela não precisa aprová-los manualmente como clientes confiáveis e confirma do console do Gerenciador de Configurações que eles estão aprovados.

Como gerenciar clientes no Configuration Manager

Para instalar o software de apresentação interativa, Jane executa o Assistente de implantação de software e configura o aplicativo necessário. Na página Experiência do usuário do assistente, na seção Manuseio de filtro de gravação para dispositivos Windows Embedded, ela aceita a opção padrão que seleciona Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações).

Jane mantém a opção padrão para os filtros de gravação a fim de garantir que o aplicativo permaneça depois de uma reinicialização, assim ele estará sempre disponível aos visitantes que usam os quiosques. A janela de manutenção diária fornece um período de segurança durante o qual as reinicializações para instalação e quaisquer atualizações podem ocorrer.

Jane implanta o aplicativo na coleção de dispositivos Windows Embedded.

Como implantar aplicativos no Configuration Manager

Para configurar atualizações de definição para o Endpoint Protection, Jane use atualizações de software e executa o Assistente para criar regra de implantação automática. Ela seleciona o modelo Atualizações de definição para pré-preencher o assistente com as configurações adequadas para o Endpoint Protection.

Essas configurações incluem o seguinte na página Experiência do usuário do assistente:

  • Comportamento do prazo: A caixa de seleção Instalação do Software não está selecionada.

  • Manuseio de filtro de gravação para dispositivos Windows Embedded: A caixa de seleção Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações) não está selecionada.

Jane mantém essas configurações padrão. Juntas, essas duas opções com essa configuração permitem quaisquer definições de software para que o Endpoint Protection seja instalado na sobreposição durante o dia e não aguarde para ser instalado e confirmado durante a janela de manutenção. Essa configuração é a que melhor atende à política de segurança da empresa para que computadores executem a proteção antimalware atualizada.

System_CAPS_noteObservação

Ao contrário das instalações de software para aplicativos, as definições de atualização de software para o Endpoint Protection podem ocorrer com muita frequência, até mesmo várias vezes no dia. Elas geralmente são arquivos pequenos. Para esses tipos de implantações relacionadas à segurança, geralmente pode ser útil sempre instalar na sobreposição em vez de aguardar até a janela de manutenção. O cliente do Gerenciador de Configurações irá reinstalar rapidamente as atualizações de definição de software se o dispositivo for reiniciado, pois essa ação inicia uma verificação de avaliação e não espera até a próxima avaliação programada.

Jane seleciona a coleção de dispositivos Windows Embedded para a regra de implantação automática.

Etapa 3: Configurar as atualizações de software do Configuration Manager para fazer atualizações de definição nos computadores cliente no Como configurar o Endpoint Protection no Configuration Manager

Jane decide configurar uma tarefa de manutenção que periodicamente confirma todas as alterações na sobreposição. Essa tarefa é para dar suporte à implantação de definições de atualização de software a fim de reduzir o número de atualizações que ficam acumuladas e devem ser instaladas novamente sempre que o dispositivo é reinicializado. Em sua experiência, isso ajuda os programas antimalware a serem executados com mais eficiência.

System_CAPS_noteObservação

Essas definições de atualização de software seriam vinculadas automaticamente à imagem se os dispositivos inseridos tiverem executado outra tarefa de gerenciamento que deu suporte à confirmação das alterações. Por exemplo, a instalação de uma nova versão do software de apresentação interativa também confirmaria as alterações das definições de atualização de software. Ou, a instalação de atualizações de software padrão todo mês em que a instalação durante a janela de manutenção também poderia confirma as alterações das definições de atualização de software. No entanto, neste cenário, em que as atualizações de software padrão não são executadas e é pouco provável que o software de apresentação interativa seja atualizado com frequência, isso pode ocorrer meses antes de as atualizações de definição de software serem vinculadas automaticamente à imagem.

Jane primeiro cria uma sequência de tarefas personalizada que não possui configurações a não ser o nome. Ela executa o Assistente para criação de sequência de tarefas:

  1. Na página Criar uma nova sequência de tarefas, ela seleciona Criar uma nova sequência de tarefas personalizada e clica em Próximo.

  2. Na página Informações da sequência de tarefas, ela digita Tarefa de manutenção para confirmar alterações em dispositivos inseridos para o nome da sequência de tarefas e clica em Próximo.

  3. Na página Resumo, ela seleciona Próximo e conclui o assistente.

Em seguida, implanta essa sequência de tarefas personalizada na coleção de dispositivos Windows Embedded e configura a agenda para executar todos os meses. Como parte das configurações de implantação, ela marca a caixa de seleção Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações) para manter as alterações depois de uma reinicialização. Para configurar essa implantação, ela seleciona a sequência de tarefas personalizada recém-criada e, na guia Início, no grupo Implantação, clica em Implantar para iniciar o Assistente de implantação de software:

  1. Na página Geral, ela seleciona a coleção de dispositivos Windows Embedded e clica em Próximo.

  2. Na página Configurações de implantação, ela seleciona a Finalidade de Obrigatório e clica em Próximo.

  3. Na página Agendamento, ela clica em Novo para especificar uma agenda semanal durante a janela de manutenção e clica em Próximo.

  4. Ele conclui o assistente sem outras alterações.

Como gerenciar sequências de tarefas no Configuration Manager

Para que os quiosques funcionem automaticamente, Janaina grava um script para definir as seguintes configurações dos dispositivos:

  • Efetuar logon automaticamente, usando uma conta de convidado que não tenha senha.

  • Executar automaticamente na inicialização a apresentação interativa do software.

Janaina usa pacotes e programas para implantar esse script à coleção de dispositivos do Windows Embedded. Ao executar o Assistente de Implantação de Software, ela novamente seleciona a caixa de seleção Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações) para manter as alterações depois de uma reinicialização.

Pacotes e programas no Configuration Manager

Na manhã seguinte, Janaina verifica os dispositivos do Windows Embedded. Ela confirma o seguinte:

  • O quiosque está conectado automaticamente usando a conta de convidado.

  • O software de apresentação interativa está sendo executado.

  • O cliente do Endpoint Protection está instalado e possui as definições de atualização de software mais recentes.

  • Esse dispositivo foi reiniciado durante a janela de manutenção.

Como monitorar o Endpoint Protection no Configuration Manager

Como monitorar aplicativos no Configuration Manager

Janaina monitora os quiosques e relata o gerenciamento bem-sucedido deles a seu gerente. Como resultado, 20 quiosques são requisitados para o centro de visitantes.

Para evitar a instalação manual do cliente do Gerenciador de Configurações, o que requer desabilitar manualmente e depois habilitar os filtros de gravação, Janaina verifica se a requisição inclui uma imagem personalizada que já abrange a instalação e a atribuição de site do cliente do Gerenciador de Configurações SP1. Além disso, os dispositivos são nomeados de acordo com o formato de nome da empresa.

Os quiosques são entregues ao centro de visitantes uma semana antes de sua abertura. Durante esse tempo, os quiosques são conectados à rede, todo o gerenciamento de dispositivos deles é automático e não é necessário administrador local. Janaina confirma que os quiosques estão funcionando conforme exigido:

  • Os clientes nos quiosques concluem o gerenciamento do site e baixam a chave de raiz confiável dos Serviços de Domínio Active Directory.

  • Os clientes nos quiosques são adicionados automaticamente à coleção de dispositivos do Windows Embedded e configurados com a janela de manutenção.

  • O cliente do Endpoint Protection está instalado e possui as definições de atualização de software mais recentes para proteção antimalware.

  • O software de apresentação interativa está instalado e sendo executado automaticamente, pronto para os visitantes.

Após a configuração inicial, toda reinicialização exigida pelas atualizações ocorre somente quando o centro de visitantes está fechado.