Pau pra toda obra: GPPs para menos GPP

  • Artigo

Existem outras maneiras para gerenciar as configurações de conformidade do Gerenciador de configuração do Microsoft System Center 2012, se você está fechado fora da diretiva de grupo.

Greg Shields

As organizações de TI em todos os lugares são ramping acima para os System Center 2012 lançamentos, então eu tenho feito muita formação de System Center. Isso faz todo o sentido. O que não faz sentido é o fato de que a maioria dos administradores do Microsoft System Center Configuration Manager me diga que suas empresas ainda não deixá-los usar a diretiva de grupo e as preferências de diretiva de grupo (GPPs).

A razão é sempre a mesma: Diretiva de grupo é tratada pela equipe do servidor. Em alguns casos, pode ser a equipe do Active Directory. "Eles não vamos usá-lo," dizem. Tamanho da empresa nem indústria importante. Através dele, a guerra de territórios entre quem é responsável para as áreas de trabalho e que cuida dos servidores é inadvertidamente mantendo os caras desktop a partir de suas ferramentas de gerenciamento de desktop.

Você quase pode entender a razão, se não o resultado. Diretiva de grupo e GPPs são normalmente consideradas parte do Active Directory. E o Active Directory é uma tecnologia de servidor clássico. O que é lamentável é que as configurações dessas ferramentas podem gerenciar são talvez mais útil para desktops, servidores.

Um dos meus alunos apenas perguntou, "quero desativar as atualizações automáticas no Adobe Reader. Sei que chave do registro e valor desativa-lo, mas como para distribuir essa alteração de registro para fora a todos os meus computadores?"

Minha resposta inicial foi um rápido resumo sobre GPPs. A distribuição de uma alteração de registo simples, como meu aluno queria fazer, requer cerca de uma dúzia de cliques. A resposta pode ser simple, mas ele estava preocupado que ele nunca seria permitido fazê-lo. Porque mudar as mentes de seus cuidadores de Active Directory parecia fora de questão, virou-se para opções que ele pode implementar. Um desses foi o Configuration Manager 2012 — especificamente suas configurações de conformidade novas e melhoradas.

O gerenciamento de configuração desejado

Monitoração de configurações de conformidade não é novo para o Gerenciador de configuração. Na verdade foi introduzido na versão anterior como gerenciamento de configuração desejada (DCM). Em sua forma original, DCM poderia monitorar desvios em uma linha de base de configuração, mas ele não podia fazer a correção. Configuration Manager 2007 DCM pode ter dito a você que os computadores não atendem uma linha de base, mas você tinha que descobrir como resolver o problema por conta própria.

Configuration Manager 2012 adiciona remediação direta para o conjunto de recursos de DCM. Esta é uma ajuda muito necessária para o Group Policy Object (GPO)-menos administradores de desktop em todos os lugares. Veja como funciona.

Você encontrará a chave de registro do Adobe Reader X que controla as atualizações automáticas em: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\1.0\ARM. Definindo o valor de DWORD iCheck para 3 diz o Adobe updater para baixar e instalar atualizações automaticamente. Definindo o valor como 0 desliga o Adobe updater.

Achando que chave e o valor correto é talvez a parte mais difícil deste processo. Uma maneira é pesquisar a Web para os valores corretos. Outro truque envolve o uso de uma ferramenta de verificação de registro para ver qual valor é alterado quando você alterar a configuração. Armado com a chave de registro correto, o caminho e o valor, você pode fazer o resto no console do Configuration Manager 2012.

Nos activos do console e conformidade nó, clique em configurações de conformidade. Lá você vai encontrar lugares para configurar itens de configuração (CIs) e linhas de base. Linhas de base contêm CIs, bem como outras linhas de base. Comece criando uma linha de base. Nesse caso, eu tenho intitulado meu simplesmente "Adobe Reader X" (ver Figura 1). Isso me dá a liberdade de usar essa linha de base mais tarde para remediar outras configurações.

You can configure baselines, and use them for future configurations

Figura 1 você pode configurar as linhas de base e usá-los para futuras configurações.

Depois de criar essa linha de base, crie um CI que especifica a chave do registro e o valor que você deseja avaliar. Nomeie o CI e especificar o Windows como o tipo de CI, você deseja criar. Em seguida, verifique a caixa para afirmar este CI na verdade contêm as configurações do aplicativo (consulte Figura 2). Se desejar, você também pode atribuir uma categoria.

Working with the configuration items lets you specify a variety of settings

Figura 2 trabalhar com os itens de configuração permite que você especificar uma variedade de configurações.

CIs em Configuration Manager 2012 podem inclinar-se sobre detalhes encontrados em Microsoft Installer (MSI de um aplicativo) ou um script personalizado para detectar o seu status de instalação (ver Figura 3). Esta verificação assegura que uma linha de base aplica-se somente a computadores que já tenha sido instalado um aplicativo. É geralmente uma boa idéia para garantir medições de conformidade não são distorcidas por computadores que não tenham o aplicativo instalado.

The configuration items can check on the application installation status

Figura 3 os itens de configuração podem verificar o status de instalação do aplicativo.

Você deve estar ciente de que os dados de detecção do Windows Installer são coletados de MSI original usada para instalar o aplicativo e não o aplicativo em si. Algumas instalações Enrole seu MSI dentro de um executável, então você precisa primeiro "descompactar" o MSI. Um truque comum para fazer isso envolve lançar mas não prosseguir com a instalação. Navegue para a pasta do computador % Temp % depois de inaugurar a instalação. Você encontrará frequentemente o MSI que você precisa na raiz ou em uma subpasta de % Temp %.

Armado com as informações necessárias de detecção, clique em Avançar. Terceira tela do assistente especifica as configurações do aplicativo. Clique em novo para criar uma nova configuração que corresponde ao aplicativo. Existem 10 tipos de configurações disponíveis: Consulta de diretório ativo, montagem, sistema de arquivos, da metabase do IIS, chave de registro, valor do registro, script, SQL consulta, consulta de Windows Management Instrumentation (WMI) Query Language (WQL) e consulta XPath.

Solução desse problema requer verificar que um valor de registro DWORD é definido corretamente. Se não, você tem que corrigir isso para o valor correto. Isso é feito selecionando o valor do registro e inteiro para o tipo de dados e o tipo de configuração. Clique no botão Procurar para localizar a chave de registro correto e o valor (ver Figura 4).

You’ll need to find the correct registry key and value

Figura 4 você precisará de encontrar a chave de registro correto e o valor.

Quando você concluir esta etapa, ele cria uma regra. Você precisará configurar este mais adicional sob a guia de regras de conformidade. Este processo cria uma regra para o Adobe Reader X (ver Figura 5). Seleção corrigir regras incompatíveis quando suporte caixa para automaticamente corrigir quaisquer clientes que desviar da linha de base.

These steps create a rule for Adobe Reader X

Figura 5 estes passos criam uma regra para o Adobe Reader X.

Clique com o resto do Assistente para especificar os sistemas de operacionais aplicáveis onde a regra será avaliada. Em seguida, criar o CI e adicioná-lo à linha de base. Você pode clique a linha de base e selecione Mostrar membros para verificar que este CI tem sido associada com a linha de base.

Linhas de base no Configuration Manager 2012 devem ser implantadas em uma coleção, se eles estão a ser avaliados. Clique sobre a linha de base e selecione Deploy para iniciar o Assistente de implantação das linhas de base de configuração (consulte Figura 6). Você precisará identificar a linha de base a ser implantado junto com uma coleção para avaliar contra.

You can deploy your baseline once it’s complete

Figura 6 você pode implantar sua linha de base, uma vez que é completo.

Verifique as regras incompatíveis de corrigir quando a caixa com suporte para que o Gerenciador de configuração automaticamente corrigir quaisquer computadores não compatíveis. Definir uma agenda e selecione se deseja gerar alertas para concluir a implantação. Linhas de base são avaliadas a cada sete dias, por padrão. Você também pode modificar um agendamento para atender às suas necessidades.

Enquanto as linhas de base de configuração do Gerenciador de configuração não fornecem que as mesmas "Preferências" experimentam como GPPs, eles podem ser uma solução útil para o controle das configurações que requerem compatibilidade absoluta. Com uma instância totalmente funcional do Configuration Manager 2012 no lugar, eles são tão fácil de configurar como GPPs. O melhor de tudo, sentam-se fora da esfera da "diretiva de grupo como uma função do Active Directory" que infelizmente limita seu uso para muitos.

Greg Shields

**Greg Shields**MVP, é um parceiro em tecnologia concentrada. Mais dicas de faz de escudos e truques em ConcentratedTech.com.

Conteúdo relacionado