Příklad scénáře nasazení a správy klientů nástroje Configuration Manager v zařízeních se systémem Windows Embedded
Rozsah platnosti: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují na System Center 2012 Configuration Manager SP1 a novější verze a na System Center 2012 R2 Configuration Manager a novější verze.
Poznámka
Toto téma se zobrazuje v příručka Nasazení klientů pro nástroj System Center 2012 Configuration Manager a v příručce Scenarios and Solutions Using System Center 2012 Configuration Manager (Scénáře a řešení v nástroji System Center 2012 Configuration Manager).
Tento scénář znázorňuje, jak lze spravovat zařízení s povolenými filtry zápisu a se systémem Windows Embedded pomocí nástroje System Center 2012 Configuration Manager SP1. Pokud máte nástroj Configuration Manager bez aktualizace Service Pack, nástroj Configuration Manager nemůže automaticky zakázat a znovu povolit filtry zápisu a k dokončení těchto akcí je nutné provést další kroky před instalací a po instalaci softwaru. Pokud vaše integrovaná zařízení nepodporují filtry zápisu, chovají se jako standardní klienti nástroje Configuration Manager a v tomto scénáři není nutné provádět kroky, které jsou vyžadovány pro správu filtrů zápisu.
Společnost Coho Vineyard & Winery otevírá centrum pro návštěvníky a má zájem o veřejné terminály, které ke spuštění interaktivních prezentací používají systém Windows Embedded. Budova tohoto nového centra pro návštěvníky se nenachází v blízkosti IT oddělení, takže je důležité, aby bylo možné veřejné terminály spravovat vzdáleně. Kromě instalace softwaru, který slouží ke spouštění interaktivních prezentací, musí tato zařízení používat aktuální software ochrany proti malwaru, aby splňovala zásady zabezpečení společnosti. Aby bylo zajištěno, že interaktivní prezentace budou vždy zákazníkům k dispozici, veřejné terminály musí být v provozu 7 dní v týdnu a v době otevření centra pro návštěvníky nesmí dojít k žádným výpadkům.
Společnost Coho Vineyard & Winery ke správě zařízení ve své síti již používá nástroj Configuration Manager SP1. Nástroj Configuration Manager je nakonfigurován, aby používal bod Endpoint Protection a instaloval aktualizace softwaru a aplikace. Protože však IT tým doposud nespravoval zařízení se systémem Windows Embedded, spustí Jana (správce nástroje Configuration Manager) pilotní nasazení za účelem správy dvou veřejných terminálů, které jsou v prostorách recepce společnosti. Pokud pilotní nasazení úspěšně docílí vzdálené správy těchto zařízení, může být schválena nákupní objednávka veřejných terminálů centra pro návštěvníky.
Aby mohla Jana spravovat tato zařízení se systémem Windows Embedded a s povolenými filtry zápisu, provede následující kroky, pomocí kterých nainstaluje klienta nástroje Configuration Manager, ochrání klienta pomocí bodu Endpoint Protection a nainstaluje interaktivní prezentační software.
Proces |
Reference |
|---|---|
Jana si přečte, jak zařízení se systémem Windows Embedded používají filtry zápisu a jak může nástroj Configuration Manager SP1 usnadnit tuto činnost automatickým zakázáním a následným opětovným povolením filtrů zápisu, aby byla uchována instalace softwaru. |
Část Nasazení klienta nástroje Configuration Manager do počítačů se systémem Windows typu Embedded v tématu Úvod do nasazování klientů v nástroji Configuration Manager |
Předtím než Jana nainstaluje klienta nástroje Configuration Manager, vytvoří novou kolekci zařízení založenou na dotazech pro zařízení se systémem Windows Embedded. Protože společnost k identifikaci svých počítačů používá standardní formáty přidělování názvů, může Jana jedinečně identifikovat zařízení se systémem Windows Embedded podle prvních šesti písmen názvu počítače: WEMDVC. K vytvoření této kolekce použije Jana následující dotaz WQL: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" Tato kolekce jí umožní spravovat zařízení se systémem Windows Embedded s různými možnostmi konfigurace z jiných zařízení. Tuto kolekci použije k řízení restartování, nasazení bodu Endpoint Protection s nastaveními klienta a k nasazení interaktivní prezentační aplikace. |
|
Jana nakonfiguruje v kolekci časový interval pro správu a údržbu, čímž zajistí, že během provozní doby centra pro návštěvníky nedojde k restartování, které může být požadováno pro instalaci prezentační aplikace a jakéhokoli upgradu. Provozní doba bude od 09:00 do 18:00, pondělí až neděle. Nakonfiguruje časový interval pro správu a údržbu na každý den od 18:30 do 06:00. |
Jak lze pomocí údržby systému Windows v produktu Configuration Manager |
Jana poté výběrem možnosti Ano v následujících nastaveních nakonfiguruje vlastní nastavení klientského zařízení za účelem instalace bodu Endpoint Protection a poté nasadí toto vlastní nastavení klienta do kolekce zařízení se systémem Windows Embedded.
Pokud je nainstalován klient nástroje Configuration Manager, tato nastavení nainstalují klienta bodu Endpoint Protection a zajistí, že místo zapsání pouze do překrytí bude klient uchován v operačním systému jako součást instalace. Zásady zabezpečení společnosti vyžadují, aby byl vždy nainstalován antimalwarový software, a Jana chce zajistit, aby veřejné terminály v případě restartu nezůstaly ani na krátkou dobu bez ochrany. Poznámka Restartování, které je požadováno pro instalaci klienta bodu Endpoint Protection, probíhá pouze jednou v době instalace zařízení a před zprovoznění centra pro návštěvníky. Na rozdíl od pravidelného nasazování aplikací nebo aktualizací softwaru dojde pravděpodobně k další instalaci bodu Endpoint Protection do stejného zařízení v případě upgradu na další verzi nástroje Configuration Manager ve společnosti. |
Krok 5: Nakonfigurujte vlastní nastavení klienta aplikace Endpoint Protection v Jak lze nakonfigurovat Endpoint Protection v produktu Configuration Manager |
Jana provedla nastavení konfigurace pro klienta a připraví instalaci klientů nástroje Configuration Manager. Před instalací klientů musí ručně zakázat filtr zápisu v zařízeních se systémem Windows Embedded. Přečte si dokumentaci výrobce OEM, která doprovází veřejné terminály, a postupuje podle pokynů v nich, aby zakázala filtry zápisu. Jana přejmenuje zařízení, aby používalo standardní formát přidělování názvů společnosti, a poté ručně nainstaluje klienta spuštěním služby CCMSetup pomocí následujícího příkazu z mapované jednotky, která obsahuje zdrojové soubory klienta: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 Tento příkaz nainstaluje klienta, přiřadí klienta k bodu správy s intranetovým názvem FQDN mpserver.cohovineyardandwinery.com a přiřadí klienta k primární lokalitě s názvem CO1. Jana ví, že instalace klientů a odeslání jejich stavu zpět lokalitě vždy nějakou dobu trvá. Počká tedy a poté se ujistí, že klienti jsou úspěšně nainstalováni, přiřazeni k lokalitě a zobrazují se jako klienti v kolekci, kterou vytvořila pro zařízení se systémem Windows Embedded. V rámci dalšího ujištění zkontroluje v zařízeních se systémem Windows Embedded v nabídce Ovládací panely vlastnosti nástroje Configuration Manager a porovná je se standardními počítači se systémem Windows, které jsou spravovány lokalitou. Například možnost Agent inventáře hardwaru na kartě Součásti zobrazuje hodnotu Povoleno a na kartě Akce se nachází 11 dostupných akcí, které zahrnují akce Cyklus hodnocení nasazení aplikací a Cyklus sběru dat pro vyhledávání. Když má Jana jistotu, že klienti jsou úspěšně nainstalováni a přiřazeni a přijímají klientské zásady z bodu správy, povolí podle pokynů výrobce OEM ručně filtry zápisu. |
Instalace klientů v počítačích se systémem Windows v nástroji Configuration Manager Přiřazení klientů k lokalitě v nástroji Configuration Manager |
Když je nyní klient nástroje Configuration Manager nainstalován v zařízeních se systémem Windows Embedded, Jana potvrdí, že zařízení může spravovat stejným způsobem jako standardní klienty se systémem Windows. Například je může vzdáleně spravovat z konzoly nástroje Configuration Manager pomocí vzdáleného řízení, může pro ně načíst zásady klienta a zobrazit vlastnosti klienta a inventář hardwaru. Protože jsou tato zařízení připojena k doméně služby Active Directory, nemusí je Jana ručně schvalovat jako důvěryhodné klienty a z konzoly nástroje Configuration Manager potvrdí, že jsou schválena. |
|
Aby Jana nainstalovala interaktivní prezentační software, spustí Průvodce nasazením softwaru a nakonfiguruje požadovanou aplikaci. Na stránce Činnost koncového uživatele průvodce v části Zpracování filtru zápisu pro zařízení s platformou Windows Embedded přijme výchozí možnost, která vybere položku Potvrdit změny v den konečného termínu nebo během údržby (vyžaduje restart). Jana ponechá tuto výchozí možnost pro filtry zápisu, čímž zajistí, že aplikace bude po restartu uchována, aby byla vždy dostupná návštěvníkům používajícím veřejné terminály. Denní interval pro správu a údržbu zajišťuje bezpečnou dobu, během které může dojít k restartování z důvodu instalace nebo aktualizací. Jana nasadí aplikaci do kolekce zařízení se systémem Windows Embedded. |
|
Aby Jana nakonfigurovala aktualizace definic pro bod Endpoint Protection, použije aktualizace softwaru a spustí Průvodce vytvořením pravidla automatického nasazení. Vybere šablonu Aktualizace definic, čímž předvyplní průvodce nastaveními, které jsou vhodné pro bod Endpoint Protection. Mezi tato nastavení patří následující možnosti na stránce Činnost koncového uživatele:
Jana ponechá tato výchozí nastavení. Tyto dvě možnosti s touto konfigurací společně umožňují instalovat jakékoli definice aktualizací softwaru pro bod Endpoint Protection do překrytí během dne, a definice tak nemusí čekat na instalaci a provedení během časového intervalu pro správu a údržbu. Tato konfigurace nejlépe splňuje zásady zabezpečení společnosti, aby mohly počítače používat aktuální antimalwarovou ochranu. Poznámka Na rozdíl od instalací softwaru pro aplikace může k definicím aktualizací softwaru pro bod Endpoint Protection docházet velmi často, dokonce několikrát za den. Často jde o malé soubory. U těchto typů nasazení souvisejících se zabezpečením může být často užitečné místo čekání na časový interval pro správu a údržbu vždy instalovat do překrytí. V případě restartování zařízení klient nástroje Configuration Manager rychle přeinstaluje aktualizace definic softwaru, protože tato akce zahájí kontrolu vyhodnocení a nečeká na další naplánované vyhodnocení. Jana vybere kolekci zařízení se systémem Windows Embedded pro pravidlo automatického nasazení. |
Krok 3: Konfigurace aktualizací softwaru nástroje Configuration Manager pro doručení aktualizací definic do klientských počítačů v tématu Jak lze nakonfigurovat Endpoint Protection v produktu Configuration Manager. |
Jana se rozhodne nakonfigurovat úlohu údržby, která pravidelně provede všechny změny v překrytí. Účelem této úlohy je podpořit nasazení definic aktualizací softwaru a snížit počet aktualizací, které se nahromadí a které je nutné znovu nainstalovat, při každém restartování zařízení. Podle její zkušenosti tím pomůže k účinnějšímu fungování antimalwarových programů. Poznámka Pokud by integrovaná zařízení používala jinou úlohu údržby podporující provedení změn, byly by tyto definice aktualizací softwaru automaticky provedeny do bitové kopie. Instalace nové verze interaktivního prezentačního softwaru by například také provedla změny definic aktualizací softwaru. Případně by instalace standardních aktualizací softwaru, které se instalují každý měsíc a instalují se během časového intervalu pro správu a údržbu, také mohla provést změny definic aktualizací softwaru. V tomto scénáři, kdy se nespouštějí standardní aktualizace softwaru a interaktivní prezentační software pravděpodobně nebude příliš často aktualizován, však může automatické provedení aktualizací definic softwaru do bitové kopie trvat celé měsíce. Jana nejprve vytvoří vlastní pořadí úloh, které obsahuje pouze nastavení názvu. Spustí Průvodce vytvořením pořadí úloh:
Jana poté nasadí toto vlastní pořadí úloh do kolekce zařízení se systémem Windows Embedded a nakonfiguruje spuštění plánu každý měsíc. Jako součást nastavení nasazení zaškrtne políčko Potvrdit změny v den konečného termínu nebo během údržby (vyžaduje restart), a zachová tak změny po restartu. Aby nakonfigurovala toto nasazení, vybere vlastní pořadí úloh, které právě vytvořila, a poté na kartě Domů ve skupině Nasazení klikne na možnost Nasadit, čímž spustí Průvodce nasazením softwaru:
|
|
Aby se veřejné terminály spustily automaticky, napíše Jana skript, který v zařízeních nakonfiguruje následující nastavení:
Jane využívá balíčky a programy k nasazení tohoto skriptu do kolekce zařízení se systémem Windows. Když spustí Průvodce nasazením softwaru, znovu zaškrtne políčko Použít změny v konečný termín nebo během okna údržby (vyžaduje restart) a zachová tak změny po restartu. |
|
Následující ráno Jane zkontroluje zařízení se systémem Windows. Potvrdí následující položky:
|
Sledování Endpoint Protection v produktu Configuration Manager |
Jane sleduje veřejné terminály a nahlásí jejich úspěšnou správu manažerovi. Výsledkem je, že pro centrum návštěvníků bude objednáno 20 veřejných terminálů.
Aby nedocházelo k ruční instalaci klienta Configuration Manager, který vyžaduje ruční zakázání a pak povolení filtrů zápisu, Jane zajistí, že bude objednávka zahrnovat přizpůsobenou bitovou kopii, která již obsahuje instalaci a přiřazení lokality klienta Configuration Manager SP1. Navíc jsou zařízení pojmenována v souladu s formátem přidělování názvů společnosti.
Veřejné terminály budou doručeny do centra pro návštěvníky týden před jeho otevřením. Během této doby se veřejné terminály připojují k síti, veškerá s nimi související správa zařízení probíhá automaticky a není nutný žádný místní správce. Jane potvrdí, že veřejné terminály fungují dle požadavků:
Klienti na veřejných terminálech dokončí přiřazení lokality a stáhnou důvěryhodný kořenový klíč ze služby Active Directory Domain Services.
Klienti na veřejných terminálech jsou automaticky přidáni do kolekce zařízení se systémem Windows a konfigurováni pomocí okna údržby.
Klient Endpoint Protection je nainstalován a obsahuje nejnovější definice aktualizace softwaru za účelem ochrany proti malwaru.
Interaktivní prezentační software je nainstalován a pracuje automaticky. Je připraven pro návštěvníky.
Po tomto počátečním nastavení dojde k restartům, které mohou vyžadovat aktualizace pouze po uzavření centra pro návštěvníky.
Viz také
Technické informace o nasazení klientů v nástroji Configuration Manager