Esperto a tutto tondo: Preferenze di Criteri di gruppo per tutti

  • Articolo

Ci sono altri modi per gestire le impostazioni di conformità di Microsoft System Center 2012 Configuration Manager, se sei chiuso fuori di criteri di gruppo.

Greg Shields

Ovunque le organizzazioni IT sono rampa per le versioni di System Center 2012, così ho fatto un sacco di formazione System Center. Questo ha un senso perfetto. Che cosa non ha senso è il fatto che la maggior parte gli amministratori di Microsoft System Center Configuration Manager mi dicono che loro aziende ancora non lasceranno utilizzare criteri di gruppo e le preferenze di criteri di gruppo (GPPs).

Il motivo è sempre lo stesso: Criteri di gruppo viene gestito dal team di server. In alcuni casi, potrebbe essere il team di Active Directory. "Essi non utilizziamolo," dicono. Dimensioni dell'azienda, né industria conta. Attraverso di esso, la guerra di tappeto erboso tra chi è responsabile per i desktop e chi si prende cura dei server è inavvertitamente mantenendo i ragazzi desktop da loro strumenti di gestione del desktop.

Si può quasi capire il motivo, se non il risultato. Criteri di gruppo e GPPs sono in genere considerati parte di Active Directory. E Active Directory è una tecnologia server-side classicamente. Che cosa è sfortunato è le configurazioni di questi strumenti in grado di gestire sono forse più utile per i computer desktop che server.

Uno dei miei studenti appena chiesto, "voglio disabilitare gli aggiornamenti automatici su Adobe Reader. So quale chiave del Registro di sistema e valore si spegne, ma come a distribuire tale cambiamento di registro fuori a tutti i miei computer?"

La mia risposta iniziale era un breve riassunto su GPPs. Distribuire una modifica del Registro di sistema semplice, come il mio studente voleva fare, richiede circa una dozzina di scatti. La risposta può essere semplice, ma era preoccupato che lui non sarebbe mai permesso di farlo. Perché cambiare le menti dei suoi guardiani di Active Directory sembrava fuori discussione, ci siamo rivolti a lui potrebbe implementare opzioni. Uno di questi era Configuration Manager 2012 — in particolare le impostazioni di conformità nuovo e migliorato.

Desired Configuration Management

Rispetto delle impostazioni di monitoraggio non sono nuova a Configuration Manager. In realtà è stato introdotto nella versione precedente come gestione configurazione desiderata (DCM). Nella sua forma originale, DCM potrebbe monitorare le deviazioni da una previsione di configurazione, ma non poteva fare bonifica. Configuration Manager 2007 DCM potrebbe avere detto che i computer non soddisfano una previsione, ma si doveva capire come risolvere il problema per conto proprio.

Configuration Manager 2012 aggiunge il monitoraggio diretto per il set di funzionalità di DCM. Questo è un aiuto indispensabile per oggetto Criteri di gruppo (GPO)-meno amministratori desktop ovunque. Ecco come funziona.

Troverete la chiave del Registro di sistema di Adobe Reader X che controlla gli aggiornamenti automatici presso: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\1.0\ARM. Impostando il valore DWORD per iCheck 3 racconta l'updater di Adobe per scaricare e installare gli aggiornamenti automaticamente. Per spegne l'Adobe updater, impostando il valore su 0.

Trovando che chiave e il valore corretto è forse la parte più difficile di questo processo. Un modo è quello di cercare sul Web i valori giusti. Un altro trucco comporta l'uso di uno strumento di scansione del Registro di sistema per vedere quale valore cambia quando si modifica l'impostazione. Armati con la chiave di registro corretto, il percorso e il valore, si può fare il resto all'interno della console di Configuration Manager 2012.

Nell'ambito di attività della console e conformità nodo, fare clic su impostazioni di conformità. Lì troverete posti per la configurazione delle linee di base di configurazione e gli elementi di configurazione (CIs). Linee di base contengono CIs, così come le altre linee di base. Iniziare creando una linea di base. In questo caso, io ho intitolato il mio semplicemente "Adobe Reader X" (vedi Figura 1). Questo mi dà la libertà di utilizzare questa previsione più tardi per altre configurazioni di monitoraggio.

You can configure baselines, and use them for future configurations

Figura 1 è possibile configurare le linee di base e li usa per future configurazioni.

Dopo la creazione di tale previsione, creare un CI che specifica la chiave del Registro di sistema e il valore che si desidera valutare. Dare CI un nome e specificare Windows come tipo di CI che si desidera creare. Quindi controllare la casella per affermare questo CI infatti contengono le impostazioni dell'applicazione (vedere Figura 2). È inoltre possibile assegnare una categoria se lo si desidera.

Working with the configuration items lets you specify a variety of settings

Figura 2 lavorare con gli elementi di configurazione consente di specificare una varietà di impostazioni.

CIs di Configuration Manager 2012 può appoggiarsi su dettagli trovati in Microsoft Installer (MSI di un'applicazione) o uno script personalizzato per rilevare lo stato di installazione (vedi Figura 3). Questa verifica assicura che una previsione si applica solo ai computer su cui è già stata installata un'applicazione. Esso è generalmente una buona idea per garantire metriche di conformità non sono distorti da computer che non hanno l'applicazione installata.

The configuration items can check on the application installation status

Figura 3 gli elementi di configurazione possono controllare lo stato di installazione applicazione.

Si dovrebbe essere consapevoli del fatto che i dati di rilevamento di Windows Installer sono raccolto da MSI originale utilizzato per installare l'applicazione e non l'applicazione stessa. Alcune installazioni di avvolgono i loro MSI all'interno di un file EXE, quindi è necessario prima "scompattare" il file MSI. Un trucco comune fare questo coinvolge il lancio ma non procedere con l'installazione. Passare alla cartella del computer % Temp % dopo inizierà l'installazione. Spesso troverai il file. MSI è necessario nella root o in una sottocartella di % Temp %.

Armati con le informazioni di rilevamento necessarie, fare clic su Avanti. Terza schermata della procedura guidata consente di specificare le impostazioni dell'applicazione. Fare clic su nuovo per creare una nuova impostazione che corrisponde all'applicazione. Esistono 10 tipi di impostazione: Query di Active Directory, assembly, file system, IIS metabase, chiave di registro, il valore del Registro di sistema, script, SQL query, query di Strumentazione gestione Windows (WMI) Query Language (WQL) e query XPath.

Risolvere questo problema richiede la verifica che il valore DWORD del Registro di sistema è impostato correttamente. Se così non fosse, è necessario porre rimedio al valore corretto. Per fare questo, selezionare il valore del Registro di sistema e Integer per il tipo di impostazione e il tipo di dati. Fare clic sul pulsante Sfoglia per individuare la chiave di registro corretto e il valore (vedere Figura 4).

You’ll need to find the correct registry key and value

Figura 4 devi trovare la chiave di registro corretto e il valore.

Dopo aver completato questo passaggio, crea una regola. È necessario configurare questo ulteriore sotto la scheda regole di conformità. Questo processo crea una regola per Adobe Reader X (vedere Figura 5). Check ripristinare regole non conformi quando supportato casella automaticamente a Difficoltà qualsiasi client che deviare dalla linea di base.

These steps create a rule for Adobe Reader X

Figura 5 questi passaggi creare una regola per Adobe Reader X.

Fare clic con il resto della procedura guidata per specificare i sistemi operativi applicabili dove verrà valutata la regola. Quindi creare il CI e aggiungerlo alla linea di base. È possibile fare clic destro della linea di base e selezionare Visualizza membri per verificare che questo CI è stato associato con la linea di base.

Baseline Configuration Manager 2012 devono essere distribuite a un insieme se sono da valutare. Tasto destro del mouse la linea di base e scegliere Distribuisci per avviare la distribuzione delle linee di base di configurazione guidata (vedere Figura 6). È necessario identificare la linea di base per essere distribuito insieme ad una collezione di valutare contro.

You can deploy your baseline once it’s complete

Figura 6 è possibile distribuire la vostra linea di base una volta che è completo.

Controllare le regole non conformi di ripristinare quando casella supportato per Configuration Manager automaticamente Difficoltà qualsiasi computer non conformi. Impostare un programma e scegliere se generare avvisi per completare la distribuzione. Linee di base sono valutati ogni sette giorni per impostazione predefinita. È inoltre possibile modificare una pianificazione per soddisfare le vostre esigenze.

Mentre le linee di base di configurazione Configuration Manager non forniscono che la stesse "Preferenze" di esperienza come GPPs, possono essere una soluzione utile per il controllo delle configurazioni che richiedono l'assoluta conformità. Con un'istanza completamente funzionale di Configuration Manager 2012 in luogo, sono circa come facile da impostare come GPPs. Meglio di tutti, si siedono fuori della sfera di "criteri di gruppo in funzione di Active Directory" che purtroppo limita il suo uso per molti.

Greg Shields

**Greg Shields**MVP, è partner di un concentrato di tecnologia. Ottenere più di 'Shields Trades trucchi e suggerimenti a ConcentratedTech.com.

Contenuto correlato