Beispielszenario für die Bereitstellung und Verwaltung von Configuration Manager-Clients auf Windows Embedded-Geräten
Betrifft: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP1 oder höher und System Center 2012 R2 Configuration Manager oder höher. |
| Hinweis |
|---|
Dieses Thema erscheint in den Handbüchern Bereitstellen von Clients für System Center 2012 Configuration Manager und Szenarios und Lösungen mithilfe von System Center 2012 Configuration Manager. |
In diesem Szenario wird gezeigt, wie Sie mithilfe von System Center 2012 Configuration Manager SP1 Windows Embedded-Geräte mit aktivierten Schreibfiltern verwalten können. Wenn Ihnen Configuration Manager ohne Service Pack vorliegt, können die Schreibfilter von Configuration Manager nicht automatisch deaktiviert oder erneut aktiviert werden. Sie müssen hierzu vielmehr vor und nach einer Softwareinstallation zusätzliche Schritte ausführen. Wenn von den eingebetteten Geräten keine Schreibfilter unterstützt werden, entspricht ihr Verhalten dem Verhalten von Configuration Manager-Standardclients. In diesem Fall müssen Sie die in diesem Szenario beschriebenen Schritte zur Verwaltung von Schreibfiltern nicht ausführen.
Coho Vineyard & Winery eröffnet demnächst ein Besucherzentrum und ist daran interessiert, interaktive Präsentation an Kiosken anzubieten, auf denen Windows Embedded ausgeführt wird. Das Gebäude, in dem das neue Besucherzentrum untergebracht ist, liegt nicht in unmittelbarer Nähe der IT-Abteilung. Es ist daher wichtig, dass die Kioske remote verwaltet werden können. Abgesehen von der Software zur Ausführung der interaktiven Präsentationen muss auf den Geräten den Sicherheitsrichtlinien des Unternehmens entsprechend eine aktuelle Antischadsoftware ausgeführt werden. Die Kioske müssen sieben Tage in der Woche einsatzbereit sein, damit die interaktiven Präsentationen den Besuchern stets zur Verfügung stehen. Während der Öffnungszeiten des Besucherzentrums darf es keine Downtime geben.
Coho Vineyard & Winery verwendet Configuration Manager SP1 bereits zur Verwaltung von Geräten im Netzwerk. Die Konfiguration von Configuration Manager umfasst neben der Ausführung von Endpoint Protection auch die Installation von Softwareupdates und Anwendungen. Allerdings hat das IT-Team keinerlei Erfahrungen mit der Verwaltung von Windows Embedded-Geräten. Andrea, die für Configuration Manager zuständige Administratorin, führt daher einen Pilotversuch mit zwei Kiosken durch, die im Eingangsbereich des Unternehmens aufgestellt sind. Wenn die Geräte sich im Rahmen des Pilotversuchs erfolgreich verwalten lassen, kann die Bestellung der Kioske für das Besucherzentrum genehmigt werden.
Zur Verwaltung dieser Windows Embedded-Geräte mit aktivierten Schreibfiltern führt Andrea die nachstehenden Schritte aus. Dazu gehören die Installation des Configuration Manager-Clients, der Schutz des Clients mithilfe von Endpoint Protection und die Installation der Software für die interaktiven Präsentationen.
Prozess |
Reference |
||
|---|---|---|---|
Andrea informiert sich darüber, wie Schreibfilter von Windows Embedded-Geräten eingesetzt werden und wie dieser Vorgang mithilfe von Configuration Manager SP1 erleichtert werden kann. Sie erfährt, dass hierzu die Schreibfilter automatisch deaktiviert und erneut aktiviert werden, um eine Softwareinstallation beizubehalten. |
Bereitstellen des Configuration Manager-Clients für Windows Embedded-Geräte unter dem Thema Einführung in die Clientbereitstellung in Configuration Manager |
||
Andrea erstellt zunächst eine neue abfragebasierte Gerätesammlung für die Windows Embedded-Geräte, bevor sie den Configuration Manager-Client installiert. Da für die Computer des Unternehmens ein Standardbenennungsformat verwendet wird, kann Andrea die Windows Embedded-Geräte anhand der ersten sechs Buchstaben des jeweiligen Computernamens eindeutig identifizieren: WEMDVC Anhand der folgenden WQL-Abfrage erstellt sie diese Sammlung: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" Mithilfe dieser Sammlung kann sie die Windows Embedded-Geräte mit anderen Konfigurationsoptionen als die anderen Geräte verwalten. Mit dieser Sammlung kann sie Neustarts steuern, Endpoint Protection mit Clienteinstellungen bereitstellen und die Anwendung für interaktive Präsentationen bereitstellen. |
|||
Andrea konfiguriert die Sammlung für ein Wartungsfenster, um sicherzustellen, dass keine der Neustarts, die möglicherweise bei der Installation der Präsentationsanwendung und von Upgrades erforderlich sind, während der Öffnungszeiten des Besucherzentrums ausgeführt werden. Die Öffnungszeiten sind täglich von 09:00 bis 18:00 Uhr. Sie konfiguriert das Wartungsfenster für 18:30 bis 06:00 Uhr täglich. |
|||
Anschließend konfiguriert Andrea eine benutzerdefinierte Geräteclienteinstellung zur Installation des Endpoint Protection-Clients. Dazu wählt sie für die nachfolgenden Einstellungen Ja aus und stellt dann diese Clienteinstellung der Windows Embedded-Gerätesammlung bereit:
Wenn der Configuration Manager-Client installiert ist, wird mit diesen Einstellungen der Endpoint Protection-Client installiert. Außerdem wird sichergestellt, dass der Endpoint Protection-Client nicht lediglich in das Overlay geschrieben, sondern im Betriebssystem als Teil der Installation beibehalten wird. Den Sicherheitsrichtlinien des Unternehmens entsprechend muss die Antischadsoftware stets installiert sein. Andrea möchte zudem nicht das Risiko eingehen, die Kioske bei einem Neustart auch nur für kurze Zeit ungeschützt zu lassen.
|
Schritt 5: Konfigurieren Sie benutzerdefinierte Clienteinstellungen für Endpointprotection in Konfigurieren von Endpoint Protection in Configuration Manager |
||
Da die Konfigurationseinstellungen für den Client nun festliegen, bereitet Andrea die Installation der Configuration Manager-Clients vor. Sie muss den Schreibfilter auf den Windows Embedded-Geräten manuell deaktivieren, bevor sie die Clients installieren kann. Sie liest die den Kiosken beiliegende OEM-Dokumentation und befolgt die dort beschriebenen Anweisungen zur Deaktivierung der Schreibfilter. Andrea benennt das Gerät so um, dass es dem im Unternehmen geltenden Standardbenennungsformat entspricht. Dann installiert sie den Client manuell. Dazu führt sie CCMSetup mit folgendem Befehl von einem zugeordneten Laufwerk aus, auf dem sich die Clientquelldateien befinden: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 Mit diesem Befehl wird der Client installiert und dem Verwaltungspunkt mit dem Intranet-FQDN mpserver.cohovineyardandwinery.com sowie dem primären Standort CO1 zugewiesen. Andrea weiß, dass es immer eine Weile dauert, bis die Installation von Clients abgeschlossen ist und der Clientstatus an den entsprechenden Standort gesendet wird. Darum prüft sie erst nach einer gewissen Wartezeit, ob die Clients installiert und dem Standort zugewiesen wurden und ob sie in der Sammlung, die sie für die Windows Embedded-Geräte erstellt hat, als Clients erscheinen. Zusätzlich prüft sie auf den Windows Embedded-Geräten in der Systemsteuerung die Eigenschaften von Configuration Manager und vergleicht diese mit Windows-Standardcomputern, die vom Standort verwaltet werden. Beispielsweise wird auf der Registerkarte Komponenten unter Hardwareinventur-Agent die Einstellung Aktiviert angezeigt. Auf der Registerkarte Aktionen sind 11 Aktionen verfügbar, darunter Evaluationszyklus für die Anwendungsbereitstellung und Ermittlungsdaten-Sammlungszyklus. Andrea ist sich nun sicher, dass die Clients erfolgreich installiert und zugewiesen wurden und dass bei ihnen Clientrichtlinien vom Verwaltungspunkt eingehen. Als Nächstes aktiviert sie die Schreibfilter anhand der OEM-Anweisungen manuell. |
Installieren von Clients auf Windows-Computern in Configuration Manager Zuweisen von Clients zu einem Standort in Configuration Manager |
||
Der Configuration Manager-Client ist jetzt auf den Windows Embedded-Geräten installiert. Andrea vergewissert sich nun, dass sie die Geräte genau wie Windows-Standardclients verwalten kann. Beispielsweise ist es ihr möglich, die Geräte über die Configuration Manager-Konsole mithilfe der Remotesteuerung remote zu verwalten, Clientrichtlinien für sie zu starten sowie Clienteigenschaften und eine Hardwareinventur für sie anzuzeigen. Da diese Geräte einer Active Directory-Domäne hinzugefügt werden, müssen sie nicht manuell als vertrauenswürdige Clients genehmigt werden. Andrea bestätigt vielmehr über die Configuration Manager-Konsole, dass die Geräte genehmigt sind. |
|||
Andrea führt den Assistenten zum Bereitstellen von Softwareaus und konfiguriert eine erforderliche Anwendung, um die Software für interaktive Präsentationen zu installieren. Auf der Seite Benutzerfreundlichkeit des Assistenten akzeptiert sie im Bereich Schreibfilterverarbeitung für Windows Embedded-Geräte die Standardoption Änderungen zum Stichtag oder während eines Wartungsfensters ausführen (erfordert Neustart). Andrea behält diese Standardoption für Schreibfilter bei, um sicherzustellen, dass die Anwendung nach einem Neustart beibehalten wird und somit den Besuchern, die die Kioske benutzen, stets zur Verfügung steht. Mit dem täglichen Wartungsfenster wird ein sicherer Zeitraum bereitgestellt, in dem die bei Installationen und Updates erforderlichen Neustarts stattfinden können. Andrea stellt die Anwendung der Windows Embedded-Gerätesammlung bereit. |
|||
Andrea verwendet Softwareupdates und führt den Assistenten zum Erstellen automatischer Bereitstellungsregeln aus, um Definitionsupdates für Endpoint Protection zu konfigurieren. Sie wählt die Vorlage Definitionsupdates aus, um den Assistenten mit Einstellungen aufzufüllen, die für Endpoint Protection geeignet sind. Dazu gehören die folgenden Einstellungen auf der Seite Benutzerfreundlichkeit des Assistenten:
Andrea behält diese Standardeinstellungen bei. Wenn diese beiden Optionen diese Konfiguration aufweisen, können alle Softwaredefinitionsupdates für Endpoint Protection tagsüber im Overlay installiert werden. Es ist nicht notwendig, mit Installation und Commit bis zum Wartungsfenster zu warten. Mit dieser Konfiguration wird die Sicherheitsrichtlinie des Unternehmens, laut der auf Computern aktuelle Antischadsoftware ausgeführt werden muss, am besten erfüllt.
Andrea wählt die Windows Embedded-Gerätesammlung für die automatische Bereitstellungsregel aus. |
Schritt 3: Konfigurieren von Configuration Manager-Softwareupdates zum Übermitteln von Definitionsupdates an Clientcomputer in Konfigurieren von Endpoint Protection in Configuration Manager |
||
Andrea entscheidet sich dazu, einen Wartungstask zu konfigurieren, von dem für alle Änderungen im Overlay regelmäßig ein Commit ausgeführt wird. Mit diesem Task soll nicht nur die Bereitstellung von Softwaredefinitionsupdates unterstützt, sondern auch die Anzahl der Updates reduziert werden, die sich ansammeln und bei jedem Geräteneustart erneut installiert werden müssen. Nach ihrer Erfahrung trägt dies zu einer effizienteren Ausführung der Antischadsoftware bei.
Andrea erstellt zuerst eine benutzerdefinierte Tasksequenz, die außer dem Namen keinerlei Einstellungen aufweist. Sie führt den Tasksequenzerstellungs-Assistenten aus:
Dann stellt Andrea diese benutzerdefinierte Tasksequenz der Windows Embedded-Gerätesammlung bereit und legt im Zeitplan fest, dass die Tasksequenz jeden Monat ausgeführt werden soll. Im Rahmen der Bereitstellungseinstellungen aktiviert sie das Kontrollkästchen Änderungen zum Stichtag oder während eines Wartungsfensters ausführen (erfordert Neustart), damit die Änderungen nach einem Neustart beibehalten werden. Zum Konfigurieren dieser Bereitstellung wählt sie die von ihr erstellte benutzerdefinierte Tasksequenz aus. Dann klickt sie auf der Registerkarte Startseite in der Gruppe Bereitstellung auf Bereitstellen, um den Assistenten zum Bereitstellen von Software zu starten:
|
|||
Die Kioske sollen automatisch ausgeführt werden. Andrea schreibt daher ein Skript, um die Geräte für die folgenden Einstellungen zu konfigurieren:
Andrea verwendet Pakete und Programme, um dieses Skript für die Windows Embedded-Gerätesammlung bereitzustellen. Beim Ausführen des Assistenten zum Bereitstellen von Software aktiviert sie das Kontrollkästchen Änderungen zum Stichtag oder während eines Wartungsfensters ausführen (erfordert Neustart) wieder, damit die Änderungen nach einem Neustart beibehalten werden. |
|||
Am nächsten Morgen überprüft Andrea die Windows Embedded-Geräte. Sie stellt Folgendes sicher:
|
Andrea überwacht die Kioske und meldet deren erfolgreiche Verwaltung ihrem Manager. Das Ergebnis ist, dass 20 Kioske für das Besucherzentrum bestellt werden.
Zur Vermeidung der manuellen Installation des Configuration Manager-Clients, für die das manuelle Deaktivieren und Aktivieren der Schreibfilter erforderlich ist, stellt Andrea sicher, dass die Bestellung ein angepasstes Abbild mit den Installationsdaten und der Standortzuweisung des Configuration Manager SP1-Clients enthält. Darüber hinaus werden die Geräte gemäß dem Benennungsformat des Unternehmens benannt.
Die Kioske werden eine Woche vor der Eröffnung an das Besucherzentrum geliefert. Während dieses Zeitraums sind die Kioske mit dem Netzwerk verbunden, und die gesamte Geräteverwaltung erfolgt automatisch, sodass kein lokaler Administrator erforderlich ist. Andrea vergewissert sich, dass die Kioske wie gewünscht funktionieren:
Von den Clients auf den Kiosken wird die Standortzuweisung durchgeführt, und die vertrauenswürdigen Stammschlüssel werden aus den Active Directory-Domänendiensten heruntergeladen.
Die Clients auf den Kiosken werden automatisch der Windows Embedded-Gerätesammlung hinzugefügt und per Wartungsfenster konfiguriert.
Der Endpoint Protection-Client wurde installiert und verfügt über die aktuellen Softwaredefinitionsupdates für den Antischadsoftware-Schutz.
Die Software für interaktive Präsentationen wurde installiert, wird automatisch ausgeführt und ist für Besucher bereit.
Nach diesem ersten Setup werden Neustarts, die für Updates ggf. erforderlich sind, nur bei geschlossenem Besucherzentrum ausgeführt.