Przykładowy scenariusz wdrażania klientów w programie Configuration Manager i zarządzania nimi na urządzeniach z systemem Windows Embedded
Dotyczy: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Informacje w tym temacie dotyczą programu System Center 2012 Configuration Manager SP1 lub nowszego oraz programu System Center 2012 R2 Configuration Manager lub nowszego.
Uwaga
Ten temat występuje w — przewodniki Wdrażanie klientów dla programu System Center 2012 Configuration Manager oraz Scenariusze i rozwiązania korzystające z programu System Center 2012 Configuration Manager.
W tym scenariuszu przedstawiono sposób zarządzania urządzeniami z systemem Windows Embedded obsługującymi filtr zapisu za pomocą programu System Center 2012 Configuration Manager z dodatkiem SP1. Jeżeli używany jest program Menedżer konfiguracji bez dodatku Service Pack, program Menedżer konfiguracji nie może automatycznie wyłączyć i ponownie włączyć filtrów zapisu; w tym celu należy wykonać dodatkowe kroki przed i po zainstalowaniu oprogramowania. Jeżeli urządzenia osadzone nie obsługują filtrów zapisu, działają jako standardowi klienci programu Menedżer konfiguracji i nie trzeba w tym scenariuszu wykonywać kroków wymaganych do zarządzania filtrami zapisu.
Firma Coho Vineyard & Winery otwiera centrum dla gości i jest zainteresowana kioskami z systemem Windows Embedded, na których będą działać interaktywne prezentacje. Budynek nowego centrum dla gości nie znajduje się w pobliżu działu IT, dlatego ważna jest możliwość zdalnego zarządzania kioskami. Oprócz instalacji oprogramowania, które obsługuje prezentacje interaktywne, na tych urządzeniach, zgodne z zasadami zabezpieczeń firmy, musi działać aktualne oprogramowanie chroniące przed złośliwym kodem. Aby zapewnić gościom stałą dostępność prezentacji interaktywnych, gdy centrum dla gości jest otwarte, kioski muszą działać przez 7 dni w tygodniu bez przerwy.
Firma Coho Vineyard & Winery już używa programu Menedżer konfiguracji z dodatkiem SP1 do zarządzania urządzeniami w sieci. Program Menedżer konfiguracji jest skonfigurowany do uruchamiania programu Endpoint Protection oraz instalowania aktualizacji oprogramowania i aplikacji. Jednakże, ponieważ zespół IT nie zarządzał wcześniej urządzeniami z systemem Windows Embedded, Magdalena, administrator programu Menedżer konfiguracji, uruchamia wersję pilotażową, aby zarządzać dwoma kioskami znajdującymi się w recepcji firmy. Jeżeli projekt pilotażowy umożliwi zdalne zarządzanie tymi urządzeniami, zamówienie na kioski w centrum dla gości zostanie zatwierdzone.
Aby zarządzać tymi urządzeniami z systemem Windows Embedded i obsługą filtrów zapisu, Magdalena wykonuje następujące czynności w celu zainstalowania klienta programu Menedżer konfiguracji, zabezpieczenia klienta za pomocą programu Endpoint Protection i zainstalowania oprogramowania interaktywnej prezentacji.
Proces |
Tematy pomocy |
|---|---|
Magdalena czyta informacje o tym, jak urządzenia z systemem Windows Embedded korzystają z filtrów zapisu oraz w jaki sposób program Menedżer konfiguracji SP1 ułatwia tę czynność dzięki automatycznemu wyłączeniu i ponownemu włączeniu filtrów zapisu w celu trwałego zainstalowania oprogramowania. |
Sekcja Wdrażanie klienta programu Configuration Manager na urządzeniach Windows Embedded w temacie Wprowadzenie do wdrażania klientów w programie Configuration Manager. |
Przed zainstalowaniem klienta programu Menedżer konfiguracji Magdalena tworzy nową, opartą na kwerendzie, kolekcję urządzeń z systemem Windows Embedded. Ponieważ firma stosuje do identyfikacji komputerów standardowe nazewnictwo, Magdalena może jednoznacznie zidentyfikować urządzenia z systemem Windows Embedded na podstawie pierwszych sześciu liter nazwy komputera: WEMDVC. Używa następującego zapytania WQL do utworzenia tej kolekcji: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" Ta kolekcja umożliwia jej zarządzanie urządzeniami z systemem Windows Embedded z wykorzystaniem różnych opcji konfiguracji innych urządzeń. Użyje tej kolekcji także w celu sterowania ponownymi uruchomieniami, wdrożenia programu Endpoint Protection z ustawieniami klientów i wdrożenia aplikacji prezentacji interaktywnej. |
|
Magdalena konfiguruje kolekcję dla okna obsługi, aby ponowne uruchomienia, które mogą być wymagane w celu zainstalowania aplikacji prezentacji i uaktualnień, nie nastąpiły w godzinach pracy centrum dla gości. Będzie ono czynne od 09:00 do 18:00, od poniedziałku do piątku. Konfiguruje okno obsługi tak, aby działało codziennie od 18:30 do 06:00. |
Jak używać konserwacji systemu Windows w programie Configuration Manager |
Następnie Magdalena konfiguruje niestandardowe ustawienie urządzenia klienckiego w celu instalacji klienta programu Endpoint Protection, wybierając ustawienie Tak poniższych ustawień i wdraża to niestandardowe ustawienie klienta w kolekcji urządzeń z systemem Windows Embedded:
Po zainstalowaniu klienta programu Menedżer konfiguracji te ustawienia umożliwia instalację klienta programu Endpoint Protection i trwałe dodanie go do systemu operacyjnego w ramach instalacji, a nie tylko zapisanie w nakładce. Zasady zabezpieczeń obowiązujące w firmie wymagają zainstalowania w każdym przypadku oprogramowania chroniącego przed złośliwym kodem i Magdalena chce uniknąć ryzyka związanego z brakiem zabezpieczeń kiosku nawet przez krótki czas w przypadku ich ponownego uruchomienia. Uwaga Ponowne uruchomienia wymagane do zainstalowania klienta programu Endpoint Protection są jednorazowe, następują podczas instalacji urządzeń i przed rozpoczęciem pracy centrum dla gości. W przeciwieństwie do okresowego wdrażania aplikacji lub aktualizacji definicji oprogramowania, kolejna instalacja klienta programu Endpoint Protection na tym samym urządzeniu będzie miała miejsce, gdy firma uaktualni program Menedżer konfiguracji do kolejnej wersji. |
Sekcja Krok 5. Konfigurowanie niestandardowych ustawień klienta dla programu Endpoint Protection w temacie Konfigurowanie ochrony punktu końcowego w programie Configuration Manager |
Po zastosowaniu ustawień konfiguracji klienta Magdalena przygotowuje się do instalacji klientów programu Menedżer konfiguracji. Przed zainstalowaniem klientów musi ręcznie wyłączyć filtr zapisu na urządzeniach z systemem Windows Embedded. Zapoznaje się z dokumentacją OEM dostarczoną z kioskami i postępuje zgodnie z instrukcjami, aby wyłączyć filtry zapisu. Magdalena zmienia nazwę urządzenia na zgodną z używanym w firmie formatem nazewnictwa, a następnie instaluje klienta ręcznie, uruchamiając program CCMSetup z dysku zmapowanego zawierającego pliki źródłowe klienta z następującym poleceniem: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 To polecenie umożliwia zainstalowanie klienta, przypisanie go do punktu zarządzania z intranetową nazwą FQDN mpserver.cohovineyardandwinery.com i przypisanie klienta do lokacji głównej o nazwie CO1. Magdalena wie, że instalacja klientów i wysłanie przez nich informacji o stanie do lokacji zawsze zajmuję trochę czasu. Dlatego czeka przed sprawdzeniem, czy klienci zostali pomyślnie zainstalowani, przypisani do lokacji i wyświetleni jako klienci w kolekcji utworzonej dla urządzeń z systemem Windows Embedded. Jako dodatkowe potwierdzenie na urządzeniach z systemem Windows Embedded sprawdza właściwości programu Menedżer konfiguracji w oknie Panel sterowania i porównuje je ze standardowymi komputerami z systemem Windows zarządzanymi przez lokację. Przykładowo na karcie Składniki stan pozycji Agent inwentaryzacji zasobów sprzętowych to Włączono, a na karcie Akcje jest dostępnych 11 akcji, w tym Cykl oceny wdrażania aplikacji i Cykl zbierania danych odnajdowania. Mając pewność, że klienci zostali pomyślnie zainstalowani, przypisani i odbierają zasady klienta z punktu zarządzania, Magdalena włącza ręcznie filtry zapisu, postępując według instrukcji podanych w dokumentacji OEM. |
Jak zainstalować klientów na komputerach z systemem Windows w programie Configuration Manager Jak przypisać klientów do lokacji w programie Configuration Manager |
Ponieważ klient programu Menedżer konfiguracji jest zainstalowany na urządzeniach Windows Embedded, Magdalena sprawdza, czy może zarządzać nimi w ten sam sposób jak standardowymi klientami z systemem Windows. Przykładowo z konsoli programu Menedżer konfiguracji może zarządzać nimi zdalnie, korzystając z funkcji zdalnego sterowania, zainicjować dla nich zasady klienta oraz wyświetlić właściwości klientów i spis sprzętu. Ponieważ te urządzenia są połączone z domeną usługi Active Directory, nie musi zatwierdzać ich ręcznie jako zaufanych klientów i sprawdza z konsoli programu Menedżer konfiguracji, że są zatwierdzeni. |
|
Aby zainstalować oprogramowanie prezentacji interaktywnej, Magdalena uruchamia Kreatora wdrażania oprogramowania i konfiguruje wymaganą aplikację. Na stronie Czynności użytkownika kreatora, w sekcji Obsługa filtru zapisu dla urządzeń osadzonych systemu Windows akceptuje wybraną opcję domyślną Zatwierdź zmiany po upływie terminu wdrożenia lub w oknie obsługi (wymaga ponownego uruchomienia). Magdalena pozostawia ustawienie domyślne filtrów zapisu, aby zapewnić zachowanie aplikacji po ponownym uruchomieniu i jej stałą dostępność dla gości korzystających z kiosku. Okno codziennej obsługi zapewnia bezpieczny okres, w którym następują ponowne uruchomienia w celu instalacji i aktualizacji. Magdalena wdraża aplikację w kolekcji urządzeń z systemem Windows Embedded. |
|
Aby skonfigurować aktualizacje definicji dla programu Endpoint Protection, Magdalena korzysta z aktualizacji oprogramowania i uruchamia Kreatora tworzenia zasady wdrażania automatycznego. Wybiera szablon Aktualizacje definicji, aby wstępnie wypełnić kreatora ustawieniami odpowiednim dla programu Endpoint Protection. Te ustawienia obejmują następujące elementy na stronie Czynności użytkownika kreatora:
Magdalena zachowuje te ustawienia domyślne. Te dwie opcje w połączeniu z tą konfiguracja umożliwiają instalację definicji aktualizacji oprogramowania dla programu Endpoint Protection na nakładce w ciągu dnia bez oczekiwania na instalację i zatwierdzenie podczas okna obsługi. Ta konfiguracja jest najbardziej zgodna z zasadami zabezpieczeń firmy dotyczącymi działania na komputerach aktualnego zabezpieczenia przed złośliwym kodem. Uwaga W przeciwieństwie do instalacji aplikacji, definicje aktualizacji oprogramowania dla programu Endpoint Protection mogą być instalowane bardzo często, nawet kilka razy dziennie. Często są to bardzo małe pliki. W przypadku tych typów wdrożeń dotyczących zabezpieczeń często optymalnym rozwiązaniem jest instalowanie w nakładce bez oczekiwania na okno obsługi. Klient programu Menedżer konfiguracji szybko zainstaluje ponownie aktualizacje definicji oprogramowania, jeżeli urządzenie zostanie uruchomione ponownie, ponieważ ta akcja inicjuje ocenę bez oczekiwania na następną zaplanowaną ocenę. Magdalena wybiera kolekcję urządzeń z systemem Windows Embedded dla zasady automatycznego wdrożenia. |
Krok 3: Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager w celu dostarczenia aktualizacji definicji do komputerów klienckich (Konfigurowanie ochrony punktu końcowego w programie Configuration Manager) |
Magdalena decyduje się na skonfigurowanie zadania obsługi, które okresowo zatwierdza wszystkie zmiany w nakładce. To zadanie ułatwia wdrażanie definicji aktualizacji oprogramowania i ogranicza liczbę skumulowanych aktualizacji, które muszą zostać zainstalowane ponownie, przy każdym ponownym uruchomieniu urządzenia. Z jej doświadczenia wynika, że zapewnia to bardziej efektywną pracę programów chroniących przed złośliwym kodem. Uwaga Te definicje aktualizacji oprogramowania zostaną automatycznie zatwierdzone w obrazie, jeżeli urządzenia osadzone uruchomiły inne zadanie zarządzania ułatwiające zatwierdzenie zmian. Przykładowo zainstalowanie nowej wersji oprogramowania prezentacji interaktywnej spowoduje także zatwierdzenie zmian definicji aktualizacji oprogramowania. Natomiast instalowanie standardowych aktualizacji oprogramowania co miesiąc podczas okna obsługi może także umożliwić zatwierdzenie zmian definicji aktualizacji oprogramowania. Jednakże w tym scenariuszu, w którym standardowe aktualizacje oprogramowania nie są zainstalowane a prawdopodobieństwo częstej aktualizacji oprogramowania prezentacji interaktywnej jest niewielkie, aktualizacje definicji oprogramowania mogą zostać automatycznie zatwierdzone w obrazie po kilku miesiącach. Magdalena najpierw tworzy niestandardową sekwencję zadań zawierającą tylko ustawienie nazwy. Uruchamia Kreatora tworzenia sekwencji zadań:
Następnie Magdalena wdraża niestandardową sekwencję zadań w kolekcji urządzeń z systemem Windows Embedded i konfiguruje uruchomienie harmonogramu co miesiąc. W ramach konfigurowania ustawień wdrażania zaznacza pole wyboru Zatwierdź zmiany po upływie terminu wdrożenia lub w oknie obsługi (wymaga ponownego uruchomienia), aby utrwalić zmiany po ponownym uruchomieniu. Aby skonfigurować to wdrożenie, wybiera właśnie utworzoną niestandardową sekwencję zadań, a następnie na karcie Narzędzia główne, w grupie Wdrażanie, klika przycisk Wdróż, aby uruchomić Kreatora wdrażania oprogramowania:
|
Zarządzanie sekwencjami zadań w programie Configuration Manager |
Aby kioski działały automatycznie, Magdalena pisze skrypt w celu skonfigurowania na urządzeniach następujących ustawień:
Magdalena korzysta z pakietów i programów, aby wdrożyć ten skrypt na urządzeniach z systemem Windows Embedded. Po uruchomieniu Kreatora wdrażania oprogramowania ponownie zaznacza pole wyboru Zatwierdź zmiany po upływie terminu wdrożenia lub w oknie obsługi (wymaga ponownego uruchomienia), aby utrwalić zmiany po ponownym uruchomieniu. |
|
Następnego dnia rano Magdalena sprawdza urządzenia z systemem Windows Embedded. Upewnia się, że:
|
Monitorowanie Endpoint Protection w programie Configuration Manager |
Magdalena monitoruje kioski i przekazuje swojemu menedżerowi informację o pomyślnym zarządzaniu. Dlatego też do centrum dla gości zostaje zamówionych 20 kiosków.
Aby uniknąć ręcznej instalacji klienta programu Menedżer konfiguracji, co wymaga ręcznego wyłączenia, a następnie włączenia filtrów zapisu, Magdalena sprawdza, czy zamówienie zawiera dostosowany obraz z instalacją i przypisaniem lokacji klienta programu Menedżer konfiguracji z dodatkiem SP1. Ponadto urządzeniom nadawane są nazwy zgodne z formatem stosowanym w firmie.
Kioski zostają dostarczone do centrum dla gości na tydzień przed jego otwarciem. W tym czasie są podłączane do sieci, całe zarządzanie urządzeniami odbywa się automatycznie i lokalny administrator nie jest potrzebny. Magdalena sprawdza, czy kioski działają zgodnie z wymaganiami:
klienci na kioskach wykonują przypisanie lokacji i pobierają zaufany klucz główny z usług domenowych w usłudze Active Directory,
klienci na kioskach zostali automatycznie dodani do kolekcji urządzeń z systemem Windows Embedded i skonfigurowano na nich okno obsługi,
klient programu Endpoint Protection jest zainstalowany i zawiera najnowsze definicje aktualizacji oprogramowania w celu ochrony przed złośliwym kodem,
oprogramowanie prezentacji interaktywnej jest zainstalowane i działa automatycznie, umożliwiając klientom korzystanie z niego.
Po wykonaniu tej konfiguracji początkowej ponowne uruchomienia, które mogą być wymagane w celu zainstalowania aktualizacji, nastąpią tylko wtedy, gdy centrum dla gości będzie zamknięte.