Touche-à-tout informatique : Stratégie de groupe Préférences pour les privés de stratégie de groupe

  • Article

Il existe d'autres moyens pour gérer les paramètres de conformité de Microsoft System Center 2012 Configuration Manager si vous êtes exclus de stratégie de groupe.

Greg Shields

Les organisations informatiques partout dans le monde sont monté pour les versions de System Center 2012, donc j'ai fait beaucoup de formation de System Center. Cela prend tout son sens. Ce qui n'est pas logique, c'est le fait que la plupart des administrateurs de Microsoft System Center Configuration Manager me dire que leurs sociétés encore ne les laissez utiliser stratégie de groupe et les préférences de stratégie de groupe (GPPs).

La raison est toujours la même : Stratégie de groupe est géré par l'équipe du serveur. Dans certains cas, il pourrait être l'équipe de Active Directory. « Ils ne nous faire utilisent, » disent-ils. Taille de l'entreprise ni à l'industrie des questions. À travers elle, la guerre de territoire entre qui est responsable pour les ordinateurs de bureau et qui prend en charge les serveurs est tenue par inadvertance les gars du Bureau de leurs outils de gestion de bureau.

Vous pouvez presque comprendre la raison pour laquelle, si ce n'est le résultat. Stratégie de groupe et gradués sont généralement considérées comme partie de Active Directory. Et Active Directory est une technologie côté serveur classique. Ce qui est regrettable, c'est les configurations peuvent de gérer ces outils sont peut-être plus utile pour les ordinateurs de bureau que les serveurs.

Un de mes étudiants juste demandé, « je veux désactiver les mises à jour automatiques sur Adobe Reader. Je sais que les clés de Registre et valeur la désactive, mais comment distribuer cette modification du Registre sur tous les ordinateurs de mon? »

Mon intervention initiale était un aperçu rapide sur gradués. Distribuer un changement de registre simple, comme un de mes étudiants a voulu faire, exige une douzaine clics. La réponse peut être simple, mais il était préoccupé, qu'il ne serait jamais autorisé à le faire. Parce que changer les esprits de ses gardiens de Active Directory semblait hors de question, nous nous sommes tournés aux options, qu'il pourrait mettre en œuvre. Une des personnes était Configuration Manager 2012 — plus précisément ses paramètres de conformité nouveaux et améliorés.

Gestion de la configuration souhaitée

Surveillance des paramètres de conformité n'est pas nouveau pour le gestionnaire de Configuration. Il a été réellement introduit dans la version précédente comme souhaité et Configuration Management (DCM). Dans sa forme originale, DCM pourrait surveiller les écarts par rapport à une base de configuration, mais il ne pouvait pas faire d'assainissement. Configuration Manager 2007 DCM pourrait ont vous dit quels ordinateurs n'a pas répondre à une base de référence, mais il fallait trouver une façon de résoudre le problème par vos propres moyens.

Configuration Manager 2012 ajoute assainissement direct à l'ensemble de fonctionnalités de DCM. Il s'agit d'une aide indispensable pour l'objet Stratégie de groupe (GPO)-moins admins bureau partout dans le monde. Voici comment elle fonctionne.

Vous trouverez la clé de registre de Adobe Reader X qui contrôle les mises à jour automatiques à : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\1.0\ARM. Si la valeur DWORD pour iCheck 3 indique la mise à jour de Adobe pour télécharger et installer les mises à jour automatiquement. Si la valeur 0 arrête la mise à jour d'Adobe.

Concluant que les clé et la valeur correcte est peut-être la partie la plus difficile de ce processus. Une façon est de rechercher sur le Web pour les valeurs de droite. Une autre astuce consiste à utiliser un outil d'analyse de Registre pour voir quelle valeur change lorsque vous modifiez le paramètre. Armé avec la clé de registre correcte, le chemin d'accès et la valeur, vous pouvez faire le reste dans la console Configuration Manager 2012.

En vertu de l'actif de la console et le nœud de la conformité, cliquez sur paramètres de la conformité. Vous trouverez des lieux pour configurer la configuration et des éléments de configuration (CIs). CIs, ainsi que d'autres lignes de base contiennent des lignes de base. Commencez par créer une base de référence. Dans ce cas, j'ai intitulé mine simplement « Adobe Reader X » (voir Figure 1). Cela me donne la liberté d'utiliser cette base plus tard pour assainir les autres configurations.

You can configure baselines, and use them for future configurations

La figure 1 vous pouvez configurer des lignes de base et les utiliser pour les futures configurations.

Après la création de cette base, créez un CI qui spécifie la clé de Registre et la valeur que vous voulez évaluer. Donnez un nom à la CI et spécifier Windows comme le type de CI que vous voulez créer. Puis cochez la case pour confirmer ce CI contient-elle en effet de paramètres d'application (voir Figure 2). Vous pouvez également assigner une catégorie si vous le souhaitez.

Working with the configuration items lets you specify a variety of settings

La figure 2 travail avec les éléments de configuration vous permet de spécifier divers paramètres.

CIs dans Configuration Manager 2012 peuvent s'appuyer sur les détails se trouvent dans une application Microsoft Installer (MSI) ou d'un script personnalisé pour détecter son état d'installation (voir Figure 3). Cette vérification garantit qu'un niveau de référence s'applique uniquement aux ordinateurs sur lesquels une demande a déjà été installée. C'est généralement une bonne idée de s'assurer que les mesures de conformité ne sont pas faussées par des ordinateurs qui n'ont pas l'application installée.

The configuration items can check on the application installation status

La figure 3 les éléments de configuration peuvent vérifier l'état d'installation application.

Vous devez être conscient que les données de détection de Windows Installer sont prélevées de la MSI original utilisé pour installer l'application et non l'application elle-même. Certaines installations envelopper leur MSI dans un EXE, vous devez donc d'abord « décompresser » le MSI. Un truc commun pour ce faire consiste à lancer, mais pas la procédure d'installation. Accédez au dossier % Temp l'ordinateur après le coup de l'installation. Vous trouverez souvent le MSI dont vous avez besoin à la racine ou dans un sous-dossier de % Temp %.

Armé avec les informations de détection nécessaire, cliquez sur suivant. Troisième écran de l'Assistant spécifie les paramètres d'application. Cliquez sur nouveau pour créer un nouveau paramètre qui correspond à la demande. Il existe 10 types de paramètre : Requête de répertoire actif, Assemblée, système de fichiers, métabase IIS, clé de Registre, la valeur de Registre, script, SQL requête, requête Windows Management Instrumentation (WMI) Query Language (WQL) et requête XPath.

Résoudre ce problème, il faut vérifier qu'une valeur de Registre DWORD est définie correctement. Si ce n'est pas le cas, vous devrez il assainir la valeur correcte. Cela en sélectionnant la valeur de Registre et entier pour le type de paramètre et le type de données. Cliquez sur le bouton Parcourir pour localiser la clé de registre correcte et la valeur (voir Figure 4).

You’ll need to find the correct registry key and value

La figure 4 vous avez besoin pour trouver la clé de registre correcte et la valeur.

Lorsque vous fournissez à cette étape, il crée une règle. Vous devrez configurer ce plus loin sous l'onglet règles de conformité. Ce processus crée une règle pour Adobe Reader X (voir Figure 5). Cocher l'assainissement boîte de règles non conformes lors de la prise en charge à automatiquement corriger tous les clients qui s'écartent de la ligne de base.

These steps create a rule for Adobe Reader X

La figure 5 ces étapes créent une règle pour Adobe Reader X.

Cliquez sur le reste de l'Assistant pour spécifier les OSes applicable lorsque la règle sera évaluée. Puis créez la CI et l'ajouter à la ligne de base. Vous pouvez cliquez sur la ligne de base et sélectionnez Show membres de vérifier que ce CI a été associée à la ligne de base.

Lignes de base de Configuration Manager 2012 doivent être déployées à une Collection, s'ils sont à évaluer. Clic droit sur la ligne de base et sélectionnez déployer pour lancer l'Assistant de déploiement de base de Configuration (voir Figure 6). Vous aurez besoin identifier la ligne de base pour être déployé avec une collection d'évaluer contre.

You can deploy your baseline once it’s complete

La figure 6 vous pouvez déployer votre base une fois qu'il est complet.

Vérifiez les règles non conformes d'assainissement lorsque boîte prise en charge de Configuration Manager automatiquement corriger tous les ordinateurs non conformes. Définir un calendrier et choisir de générer des alertes pour terminer le déploiement. Valeurs de référence sont évaluées tous les sept jours par défaut. Vous pouvez également modifier un horaire pour s'adapter à vos besoins.

Alors que les lignes de configuration de Configuration Manager ne fournissent pas que les mêmes « préférences » d'expérience comme gradués, ils peuvent être une solution utile pour contrôler les configurations qui exigent la conformité absolue. Avec une instance entièrement fonctionnelle de Configuration Manager 2012 en place, ils sont environ aussi faciles de mettre en place comme gradués. Mieux encore, ils sont assis à l'extérieur de la sphère de la « Stratégie de groupe en fonction de l'Active Directory » qui malheureusement limite son utilisation pour beaucoup.

Greg Shields

**Greg Shields**MVP, est associé au concentré de technologie. Obtenez plus de touche-à-tout astuces et des conseils à des boucliers ConcentratedTech.com.

Contenu associé