Voorbeeldscenario voor het implementeren en beheren van Configuration Manager-clients op Windows Embedded-apparaten
Van toepassing op: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notitie
De informatie in dit onderwerp is van toepassing op System Center 2012 Configuration Manager SP1 of later en System Center 2012 R2 Configuration Manager of later.
Notitie
Dit onderwerp wordt behandeld in de gids Deploying Clients for System Center 2012 Configuration Manager (Clients implementeren voor System Center 2012 Configuration Manager) en in de gids Scenarios and Solutions Using System Center 2012 Configuration Manager (Scenario's en oplossingen waarvoor wordt gebruikgemaakt van Solutions Using System Center 2012 Configuration Manager).
Dit scenario toont hoe u Windows Embedded-apparaten met schrijffilter kunt beheren met behulp van System Center 2012 Configuration Manager SP1. Als u Configuration Manager hebt zonder service pack, kan Configuration Manager schrijffilters niet automatisch uitschakelen en opnieuw inschakelen en dient u extra stappen uit te voeren om dit te doen voor- en nadat u software installeert. Als uw ingesloten apparaten geen schrijffilters ondersteunen, functioneren zij als standaard Configuration Manager-clients en hoeft u de stappen in dit scenario die verplicht zijn om schrijffilters te beheren niet uit te voeren.
Coho Vineyard & Winery opent een bezoekerscentrum en is geïnteresseerd in kiosken met Windows Embedded om interactieve presentaties uit te voeren. Het gebouw voor het nieuwe bezoekerscentrum ligt niet in de buurt van de IT-afdeling; de kiosken moeten daarom op afstand beheerd kunnen worden. Naast de installatie van de software waarop de interactieve presentaties worden uitgevoerd, moeten deze apparaten beschikken over de nieuwste antimalwaresoftware om te voldoen aan het beveiligingsbeleid van het bedrijf. Om ervoor te zorgen dat de interactieve presentaties altijd beschikbaar zijn voor bezoekers, moeten de kiosken 7 dagen per week actief zijn zonder uitvaltijd terwijl het bezoekerscentrum open is.
Coho Vineyard & Winery maakt al gebruik van Configuration Manager SP1 om apparaten op hun netwerk te beheren.Configuration Manager is zo geconfigureerd dat Endpoint Protection wordt uitgevoerd en software-updates en toepassingen worden geïnstalleerd. Maar omdat het IT-team nog geen ervaring heeft met het beheer van Windows Embedded-apparaten, gebruikt Ans, de Configuration Manager-beheerder, een proefprogramma om twee kiosken te beheren die zich in de receptieruimte van het bedrijf bevinden. Als de proef slaagt in het op afstand beheren van deze apparaten, kan de inkooporder voor de kiosken in het bezoekerscentrum worden goedgekeurd.
Voor het beheer van de Windows Embedded-apparaten met schrijffilter voert Ans de volgende stappen uit om de Configuration Manager-client te installeren, de client te beschermen via Endpoint Protection en de interactieve presentatiesoftware te installeren.
Proces |
Verwijzing |
|---|---|
Ans leest hoe Windows Embedded-apparaten schrijffilters gebruiken en hoe Configuration Manager SP1 dit eenvoudiger kan maken door de schrijffilters automatisch uit te schakelen en opnieuw in te schakelen om een software-installatie op te slaan. |
De sectie De Configuration Manager-client implementeren op Windows Embedded-apparaten in het onderwerp Inleiding tot clientimplementatie in Configuration Manager. |
Voordat ze de Configuration Manager-client installeert maakt Ans een nieuwe op query's gebaseerde apparaatverzameling voor de Windows Embedded-apparaten. Het bedrijf gebruikt een standaardnaamgevingsindeling om de computers te identificeren. Ans kan zo Windows Embedded-apparaten herkennen aan de hand van de eerste zes letters van de computernaam: WEMDVC. Voor het maken van deze verzameling gebruikt ze de volgende WQL-query: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" Met deze verzameling kan ze de Windows Embedded-apparaten beheren met verschillende configuratieopties van de andere apparaten. Ze gebruikt deze verzameling om processen voor het opnieuw starten te beheren, Endpoint Protection te implementeren met clientinstellingen en de interactieve presentatietoepassing te implementeren. |
|
Ans configureert de verzameling voor een onderhoudsvenster om er voor te zorgen dat opnieuw starten, dat nodig kan zijn voor de installatie van de presentatietoepassing en eventuele upgrades, niet wordt uitgevoerd tijdens openingstijden van het bezoekerscentrum. De openingstijden zijn van 09:00 tot 18:00 uur, maandag tot zondag. Ze configureert het onderhoudsvenster voor iedere dag, van 18:30 tot 06:00 uur. |
|
Ans configureert vervolgens een aangepaste apparaatclientinstelling om de Endpoint Protection-client te installeren door Ja te selecteren voor de volgende instellingen en implementeert dan de aangepaste apparaatclientinstelling op de verzameling Windows Embedded-apparaten:
Wanneer de Configuration Manager-client is geïnstalleerd, installeren deze instellingen de Endpoint Protection-client en zorgen ervoor dat deze wordt doorgevoerd in het besturingssysteem als onderdeel van de installatie in plaats van alleen naar de overlay. Het beveiligingsbeleid van het bedrijf schrijft voor dat antimalwaresoftware altijd moet zijn geïnstalleerd en Ans wil niet het risico lopen dat de kiosken ook maar voor even onbeschermd blijven als ze opnieuw worden gestart. Notitie Het opstarten dat nodig is voor de installatie van de Endpoint Protection-client gebeurt eenmaal, en wel tijdens de installatieperiode voor de apparaten en voordat het bezoekerscentrum in bedrijf gaat. Anders dan bij de periodieke implementatie van toepassingen of updates van softwaredefinities, is de volgende keer dat de Endpoint Protection-client wordt geïnstalleerd op hetzelfde apparaat waarschijnlijk wanneer het bedrijf een upgrade uitvoert naar de volgende versie van Configuration Manager. |
Stap 5: Aangepaste clientinstellingen voor Endpoint Protection configureren in Endpoint Protection in Configuration Manager configureren |
Nu dat de configuratie-instellingen voor de client zijn uitgevoerd, bereidt Ans de installatie van de Configuration Manager-clients voor. Voordat ze de clients kan installeren moet ze eerst de schrijffilter op de Windows Embedded-apparaten handmatig uitschakelen. Ze leest de OEM-documentatie bij de kiosken en volgt de instructies op om de schrijffilters uit te schakelen. Ans geeft het apparaat een nieuwe naam volgens de standaardnaamconventies van het bedrijf en installeert de client handmatig door CCMSetup uit te voeren met de volgende opdracht vanaf een toegewezen station met daarop de bronbestanden van de client: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 Met deze opdracht wordt de client geïnstalleerd en toegewezen aan het beheerpunt dat het intranet FQDN bevat van mpserver.cohovineyardandwinery.com en wordt de client toegewezen aan de primaire site die CO1 wordt genoemd. Ans weet dat het altijd even duurt voordat clients zijn geïnstalleerd en hun status naar de site retourneren. Ze wacht dus voordat ze bevestigt dat de clients zijn geïnstalleerd, zijn toegewezen aan de site en als clients worden weergegeven in de verzameling die ze heeft gemaakt voor Windows Embedded-apparaten. Als extra bevestiging controleert ze op de Windows Embedded-apparaten de eigenschappen van Configuration Manager in het Configuratiescherm en vergelijkt ze met de standaard Windowscomputers die op de site worden beheerd. Op het tabblad Onderdelen wordt bij de Agent voor hardware-inventarisatieIngeschakeld weergegeven en op het tabblad Acties zijn 11 acties beschikbaar, waaronder Evaluatiecyclus voor installatie van toepassingen en Verzamelfase zoekgegevens. Wanneer Ans zeker weet dat de clients zijn geïnstalleerd, toegewezen en clientbeleid ontvangen van het beheerpunt, schakelt ze handmatig de schrijffilters in aan de hand van de OEM-instructies. |
Clients installeren op Windows-computers in Configuration Manager |
Nu dat de Configuration Manager-client is geïnstalleerd op de Windows Embedded-apparaten bevestigt Ans dat ze deze op dezelfde manier kan beheren als de standaard Windows-clients. Ze kan deze bijvoorbeeld met de Configuration Manager-console op afstand beheren via de afstandsbediening, het clientbeleid inschakelen voor de clients en hun eigenschappen en hardware-inventaris weergeven. Deze apparaten worden samengebracht in een Active Directory-domein waardoor Ans ze niet handmatig hoeft goed te keuren als vertrouwde clients en bevestigt via de Configuration Manager-console dat ze zijn goedgekeurd. |
|
Voor de installatie van de interactieve presentatiesoftware voert Ans de wizard Software implementeren uit en configureert een verplichte toepassing. Op de pagina Gebruikerservaring van de wizard, in de rubriek Verwerking van schrijffilters voor Windows Embedded-apparaten, accepteert ze de standaardoptie voor het selecteren van Wijzigingen doorvoeren bij deadline of tijdens onderhoud (opnieuw opstarten noodzakelijk). Ans behoudt deze standaardoptie voor schrijffilters om er zeker van te zijn dat de toepassing blijft draaien na opnieuw opstarten zodat deze altijd beschikbaar is voor de bezoekers die de kiosken gebruiken. Het dagelijkse onderhoudsvenster biedt een opslagperiode waarin het opstarten voor installaties en updates kan plaatsvinden. Ans implementeert de toepassing op de verzameling met Windows Embedded-apparaten. |
|
Voor de configuratie van definitie-updates voor Endpoint Protection, gebruikt Ans softwareupdates en voert de wizard Regel voor automatische implementatie maken uit. Ze selecteert het sjabloon Definition-updates om de wizard vooraf in te vullen met voor Endpoint Protection compatibele instellingen. Dit zijn onder andere de volgende instellingen op de pagina Gebruikerservaring:
Ans houdt deze standaardinstellingen. Met deze twee opties en deze configuratie kunnen alle software-updatedefinities voor Endpoint Protection overdag worden geïnstalleerd in de overlay en hoeven de installatie en het doorvoeren ervan niet te worden uitgesteld voor tijdens het onderhoudsvenster. Deze configuratie komt het beste overeen met het beveiligingsbeleid van het bedrijf voor computers om bijgewerkte antimalware te gebruiken. Notitie In tegenstelling tot software-installaties voor toepassingen kunnen software-updatedefinities voor Endpoint Protection heel vaak gebeuren, zelfs meerdere keren per dag. Het gaat vaak om kleine bestanden. Voor dit soort beveiligingsimplementaties kan het vaak nuttig zijn altijd naar de overlay te installeren in plaats van te wachten op het onderhoudsvenster. De Configuration Manager-client installeert de software-definitieupdates snel opnieuw wanneer het apparaat opnieuw wordt gestart omdat hierdoor een evaluatiecontrole wordt gestart voordat de geplande evaluatie wordt uitgevoerd. Ans selecteert de verzameling met Windows Embedded-apparaten voor de automatisch implementatieregel. |
Stap 3: Software-updates van Configuration Manager configureren voor het leveren van definitie-updates aan clientcomputers in Endpoint Protection in Configuration Manager configureren |
Ans besluit een onderhoudstaak te configureren die regelmatig alle wijzigingen doorvoert op de overlay. Deze taak is de ondersteuning van de implementatie van software-updatedefinities om het aantal updates te verminderen dat toeneemt en iedere keer wanneer het apparaat opnieuw wordt gestart opnieuw geïnstalleerd moet worden. Zij heeft ondervonden dat hierdoor de antimalware-programma's efficiënter worden uitgevoerd. Notitie Deze software-updatedefinities zouden automatisch worden doorgevoerd naar de installatiekopie als de ingesloten apparaten een andere beheertaak uitvoerden voor het doorvoeren van de wijzigingen. Door de installatie van een nieuwe versie van de interactieve presentatiesoftware zouden bijvoorbeeld ook de wijzigingen voor software-updatedefinities worden doorgevoerd. Of door de installatie van standaardsoftware-updates iedere maand tijdens het onderhoudsvenster zouden ook de wijzigingen voor software-updatedefinities worden doorgevoerd. In dit scenario, waarin standaardsoftware-updates niet worden uitgevoerd en de interactieve presentatiesoftware naar alle waarschijnlijkheid niet vaak wordt bijgewerkt, kan het maanden duren voordat de software-definitieupdates automatisch worden doorgevoerd naar de installatiekopie. Ans maakt eerst een aangepaste takenreeks zonder instellingen en met alleen de naam. Zij voert de wizard Takenreeks maken uit:
Ans implementeert vervolgens de aangepaste takenreeks op de verzameling met de Windows Embedded-apparaten en stelt de planning in op iedere maand uitvoeren. Ze schakelt het selectievakje Wijzigingen doorvoeren bij deadline of tijdens onderhoud (opnieuw opstarten noodzakelijk) in als onderdeel van de implementatie-instellingen om de wijzigingen na het opnieuw opstarten te behouden. Voor de configuratie van deze implementatie selecteert Ans de aangepaste takenreeks die ze zojuist heeft gemaakt en klikt vervolgens op het tabblad Start in de Implementatie-groep op Implementeren om de wizard Software implementeren te starten:
|
|
Voor automatische uitvoering van de kiosken, schrijft Ans een script om de apparaten te configureren voor de volgende instellingen:
Jane gebruikt pakketten en programma's om dit script te implementeren voor de in Windows ingesloten apparaatverzameling. Wanneer ze de wizard software implementeren uitvoert, selecteert ze opnieuw het selectievakje Wijzigingen doorvoeren bij deadline of tijdens het onderhoud (vereist opnieuw opstarten) om de wijzigingen vast te leggen na een opnieuw opstarten. |
|
De volgende ochtend controleert Jane de in Windows ingesloten apparaten. Ze bevestigt de volgende opties:
|
Het controleren van Endpoint Protection in Configuration Manager |
Jane bewaakt de kiosken en rapporteert het succesvol beheer ervan aan haar manager. Als gevolg hiervan worden 20 kiosken besteld voor het bezoekerscentrum.
Om de handmatige installatie van de Configuration Manager-client te vermijden, die het handmatig inschakelen en uitschakelen vereist van de schrijffilters, zorgt Jane ervoor dat de bestelling een aangepaste installatiekopie bevat die reeds de installatie en sitetoewijzing bevat van de Configuration Manager SP1-client. Bovendien krijgen de apparaten een naam volgens het naamformaat van het bedrijf.
De kiosken worden geleverd aan het bezoekerscentrum een week voor het opent. Gedurende die tijd zijn de kiosken verbonden met het netwerk, alle apparaatbeheer ervoor is automatisch en er is geen lokale beheerder vereist. Jane bevestigt dat de kiosken werken zoals vereist:
De clients op de kiosken vervolledigen sitetoewijzing en downloaden de vertrouwde basissleutel van Active Directory Domain Services.
De clients op de kiosken worden automatisch toegevoegd aan de in Windows ingesloten apparaatverzameling en geconfigureerd met het onderhoudsvenster.
De Endpoint Protection-client wordt geïnstalleerd en heeft de laatste software-update definities voor antimalware bescherming.
De interactieve presentatiesoftware is geïnstalleerd en draait automatisch, klaar voor gebruikers.
Na de initiële installatie, kan opnieuw opstarten, wat vereist kan zijn voor updates, alleen gebeuren als het bezoekerscentrum gesloten is;