Cenário de Exemplo para Implementação e Gestão de Clientes do Configuration Manager em Dispositivos Windows Embedded

 

Aplica-se a: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações deste tópico aplicam-se apenas ao System Center 2012 Configuration Manager SP1 ou posterior e ao System Center 2012 R2 Configuration Manager ou posterior.

Este cenário demonstra como pode gerir dispositivos Windows Embedded com filtro escrita ativado utilizando o System Center 2012 Configuration Manager SP1. Se tiver o Gestor de configuração sem nenhum service pack, o Gestor de configuração não pode desativar e reativar automaticamente os filtros de escrita e será necessário efetuar passos adicionais para o fazer antes e depois de instalar software. Se os dispositivos Embedded não suportarem filtros de escrita, comportam-se como clientes padrão do Gestor de configuração e não terá de efetuar os passos descritos neste cenário que são necessários para gerir filtros de escrita.

A empresa Caves Coho está a abrir um centro de visitantes e está interessada em quiosques com o Windows Embedded para executar apresentações interativas. O edifício para o novo centro de visitantes não fica perto do departamento de TI, pelo que é importante que os quiosques possam ser geridos remotamente. Além de instalar o software que executa as apresentações interativas, estes dispositivos têm de executar software de proteção antimalware atualizado para cumprir as políticas de segurança da empresa. Para garantir que as apresentações interativas estão sempre disponíveis para os visitantes, os quiosques têm de funcionar 7 dias por semana, sem períodos de indisponibilidade enquanto o centro de visitantes estiver aberto.

As Caves Coho já têm o Gestor de configuração SP1 para gerir dispositivos na sua rede. O Gestor de configuração está configurado para executar o Endpoint Protection e instalar atualizações e aplicações de software. No entanto, dado que a equipa de TI nunca geriu dispositivos Windows Embedded, a Joana, a administradora do Gestor de configuração, executa um piloto para gerir dois quiosques que se encontram receção da empresa. Se o piloto for bem-sucedido na gestão remota destes dispositivos, a nota de encomenda dos quiosques para o centro de visitantes pode ser aprovada.

Para gerir estes dispositivos Windows Embedded que com filtro escrita ativado, a Joana efetua os seguintes passos para instalar o cliente do Gestor de configuração, proteger o cliente utilizando o Endpoint Protection e instalar o software de apresentação interativa.

Processo

Referência

A Joana lê sobre como os dispositivos Windows Embedded utilizam os filtros de escrita e como o Gestor de configuração SP1 pode facilitar o processo desativando e reativando automaticamente os filtros de escrita para manter uma instalação de software.

A secção Implementar o Cliente do Configuration Manager em dispositivos Windows Embedded no tópico Introdução à implementação de clientes no Configuration Manager

Antes de instalar o cliente do Gestor de configuração, a Joana cria uma nova coleção de dispositivos baseada em consulta para os dispositivos Windows Embedded. Uma vez que a empresa utiliza formatos de nomenclatura padrão para identificar os computadores, a Joana consegue identificar de forma exclusiva os dispositivos Windows Embedded pelas primeiras seis letras do nome do computador: WEMDVC. A Joana utiliza a seguinte consulta WQL para criar esta coleção: select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%"

Esta coleção permite-lhe gerir os dispositivos Windows Embedded com opções de configuração diferentes de outros dispositivos. A Joana utilizará esta coleção para controlar reinícios, implementar o Endpoint Protection com definições de cliente e implementar a aplicação de apresentação interativa.

Como Criar Aplicações no Configuration Manager

A Joana configura a coleção para uma janela de manutenção para assegurar que os reinícios que possam ser necessários para instalar a aplicação de apresentação e quaisquer atualizações não ocorrem durante as horas de abertura do centro de visitantes. As horas de abertura serão das 9:00 às 18:00, de segunda a domingo. A Joana configura a janela de manutenção diariamente, das 18:30 às 6:00.

Em seguida, a Joana configura uma definição de cliente personalizada do dispositivo para instalar o cliente do Endpoint Protection selecionando Sim nas definições seguintes e, depois, implementa esta definição de cliente personalizada na coleção de dispositivos Windows Embedded:

  • Instalar o cliente do Endpoint Protection nos computadores cliente

  • Para dispositivos Windows Embedded com filtros de escrita, consolidar a instalação de cliente do Endpoint Protection (necessita de reinicialização)

  • Permitir a instalação de cliente Endpoint Protection e reiniciar fora das janelas de manutenção

Quando o cliente do Gestor de configuração é instalado, estas definições instalam o cliente do Endpoint Protection e asseguram que se torna persistente no sistema operativo como parte da instalação, em vez de ser escrito apenas na sobreposição. As políticas de segurança da empresa exigem que esteja sempre instalado software antimalware e a Joana não quer correr o risco de os quiosques estarem desprotegidos, mesmo que por um breve período de tempo caso reiniciem.

System_CAPS_noteNota

Os reinícios necessários para instalar o cliente do Endpoint Protection ocorrem apenas uma vez, durante o período de configuração dos dispositivos e antes de o centro de visitantes estar operacional. Ao contrário da implementação periódica de aplicações ou de atualizações de definições de software, a próxima vez que o cliente do Endpoint Protection for instalado no mesmo dispositivo será, provavelmente, quando a empresa atualizar para a próxima versão do Gestor de configuração.

no 71f21a36-dea7-4ad9-be61-6e5f6632f94f#BKMK_Step2

Com as definições de configuração para o cliente implementadas, a Joana prepara-se para instalar os clientes do Gestor de configuração. Para poder instalar os clientes, a Joana tem de desativar manualmente o filtro de escrita nos dispositivos Windows Embedded. Lê a documentação do OEM que acompanha os quiosques e segue as instruções para desativar os filtros de escrita.

A Joana muda o nome do dispositivo para utilizar o formato de nomenclatura padrão da empresa e, em seguida, instala o cliente manualmente executando CCMSetup com o comando seguinte a partir de uma unidade mapeada onde se encontram os ficheiros de origem do cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

Este comando instala o cliente, atribui o cliente ao ponto de gestão que tem o FQDN da Intranet de mpserver.cohovineyardandwinery.com e atribui o cliente ao site primário denominado CO1.

A Joana sabe que a instalação dos clientes e o envio do respetivo estado para o site demora sempre algum tempo. Por isso, aguarda para confirmar a instalação com êxito dos clientes, a sua atribuição ao site e a apresentação como clientes na coleção que criou para dispositivos Windows Embedded.

Como confirmação adicional, nos dispositivos Windows Embedded, a Joana verifica as propriedades do Gestor de configuração no Painel de Controlo e compara-as com as de computadores com Windows padrão geridos pelo site. Por exemplo, no separador Componentes, Agente de Inventário de Hardware apresenta Ativado e, no separador Ações, existem 11 ações disponíveis, que incluem Ciclo de Avaliação da Aplicação de Implementação e Ciclo de coleção de dados de deteção.

Confiante de que os clientes foram instalados, atribuídos e recebem com êxito políticas de cliente a partir do ponto de gestão, a Joana ativa manualmente os filtros de escrita seguindo as instruções do OEM.

Como Instalar Clientes em Computadores Baseados no Windows no Configuration Manager

Como Atribuir Clientes a um Site no Configuration Manager

Agora que o cliente do Gestor de configuração está instalado nos dispositivos Windows Embedded, a Joana confirma se consegue geri-los da mesma forma que gere os clientes Windows padrão. Por exemplo, na consola do Gestor de configuração, a Joana pode geri-los remotamente utilizando o controlo remoto, iniciar a política de cliente para os mesmos e visualizar propriedades e inventário de hardware do cliente.

Dado que estes dispositivos estão associados a um domínio do Active Directory, a Joana não tem de aprová-los manualmente como clientes fidedignos e confirma, na consola do Gestor de configuração, que estão aprovados.

Como Gerir Clientes no Configuration Manager

Para instalar o software de apresentação interativa, a Joana executa o Assistente de Implementação de Software e configura uma aplicação necessária. Na página Experiência do Utilizador do assistente, na secção Processamento do filtro de escrita para dispositivos Windows Embedded, a Joana aceita a opção predefinida que seleciona Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização).

A Joana mantém esta opção predefinida para os filtros de escrita para garantir que a aplicação permanece após um reinício, para que esteja sempre disponível para os visitantes que utilizem os quiosques. A janela de manutenção diária fornece um período seguro durante o qual podem ocorrer os reinícios para instalação e atualizações.

A Joana implementa a aplicação na coleção de dispositivos Windows Embedded.

Como implementar aplicações no Configuration Manager

Para configurar atualizações de definições para o Endpoint Protection, a Joana utiliza atualizações de software e executa o Assistente de Criação de Regra de Implementação Automática. Seleciona o modelo Atualizações de Definição para pré-povoar o assistente com definições que sejam adequadas para o Endpoint Protection.

Estas definições incluem as seguintes na página Experiência do Utilizador do assistente:

  • Comportamento do prazo: a caixa de verificação Instalação do Software não está selecionada.

  • Processamento do filtro de escrita para dispositivos Windows Embedded: a caixa de verificação Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização) não está selecionada.

A Joana mantém estas predefinições. Em conjunto, estas duas opções com esta configuração permitem a instalação de quaisquer definições de atualização de software para o Endpoint Protection na sobreposição durante o dia, sem aguardar para serem instaladas e consolidadas durante a janela de manutenção. Esta configuração cumpre melhor a política de segurança da empresa relativa à execução de proteção antimalware atualizada nos computadores.

System_CAPS_noteNota

Ao contrário das instalações de software para aplicações, as definições de atualização de software para o Endpoint Protection podem ocorrer com muita frequência, inclusivamente várias vezes por dia. São frequentemente ficheiros pequenos. Para estes tipos de implementações relacionadas com segurança, geralmente é vantajoso instalar sempre na sobreposição em vez de aguardar até à janela de manutenção. O cliente do Gestor de configuração reinstalará rapidamente as atualizações de definições de software se o dispositivo reiniciar porque esta ação inicia uma verificação de avaliação e não aguarda até à avaliação agendada seguinte.

A Joana seleciona a coleção de dispositivos Windows Embedded para a regra de implementação automática.

Passo 3: Configurar as Atualizações de Software do Configuration Manager para Fornecer Atualizações de Definições a Computadores Cliente em

A Joana decide configurar uma tarefa de manutenção que consolide periodicamente todas as alterações na sobreposição. Esta tarefa destina-se a suportar a implementação de definições de atualização de software, para reduzir o número de atualizações que se acumulam e têm de ser instaladas novamente sempre que o dispositivo reinicia. Na sua experiência, isto ajuda a tornar mais eficiente a execução dos programas antimalware.

System_CAPS_noteNota

Estas definições de atualização de software seriam consolidadas automaticamente na imagem se os dispositivos Embedded executassem outra tarefa de gestão que suportasse a consolidação de alterações. Por exemplo, a instalação de uma nova versão do software de apresentação interativa também consolidaria as alterações das definições de atualização de software. Em alternativa, a instalação de atualizações de software padrão todos os meses durante a janela de manutenção também poderia consolidar as alterações das definições de atualização de software. No entanto, neste cenário, em que as atualizações de software padrão não são executadas e o software de apresentação interativa não é atualizado com muita frequência, poderão decorrer meses até as atualizações de definições de software serem automaticamente consolidadas na imagem.

A Joana cria primeiro uma sequência de tarefas personalizada sem outras definições que não o nome. Executa o Assistente de Criação de Sequência de Tarefas:

  1. Na página Criar uma Nova Sequência de Tarefas, seleciona Criar uma nova sequência de tarefas personalizada e clica em Seguinte.

  2. Na página Informações da Sequência de Tarefas, introduz Tarefa de manutenção para consolidar alterações em dispositivos Embedded como nome da sequência de tarefas e clica em Seguinte.

  3. Na página Resumo, a Joana seleciona Seguinte e conclui o assistente.

Em seguida, a Joana implementa esta sequência de tarefas personalizada na coleção de dispositivos Windows Embedded e agenda a execução mensal da mesma. Como parte integrante das definições de implementação, seleciona a caixa de verificação Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização) para manter as alterações após um reinício. Para configurar esta implementação, a Joana seleciona a sequência de tarefas personalizada que acabou de criar e, no grupo Implementação do separador Home Page, clica em Implementar para iniciar o Assistente de Implementação de Software:

  1. Na página Geral, seleciona a coleção de dispositivos Windows Embedded e clica em Seguinte.

  2. Na página Definições de Implementação, seleciona Necessário para o Objetivo e clica em Seguinte.

  3. Na página Agendamento, clica em Novo para especificar um agendamento semanal durante a janela de manutenção e clica em Seguinte.

  4. A Joana conclui o assistente sem mais nenhuma alteração.

Como gerir sequências de tarefas no Configuration Manager

Para a execução automática dos quiosques, a Joana escreve um script para configurar os dispositivos com as seguintes definições:

  • Iniciar sessão automaticamente utilizando uma conta de convidado sem palavra-passe.

  • Executar automaticamente o software de apresentação interativa ao iniciar.

A Joana utiliza pacotes e programas para implementar este script na coleção de dispositivos Windows Embedded. Quando executa o Assistente de Implementação de Software, seleciona novamente a caixa de verificação Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização) para tornar persistentes as alterações após um reinício.

Pacotes e Programas no Configuration Manager

Na manhã seguinte, a Joana verifica os dispositivos Windows Embedded e confirma o seguinte:

  • A sessão do quiosque foi automaticamente iniciada com a conta de convidado.

  • O software de apresentação interativa está em execução.

  • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes.

  • O dispositivo foi reiniciado durante a janela de manutenção.

Como monitorizar aplicações no Configuration Manager

A Joana monitoriza os quiosques e reporta a gestão bem-sucedida dos mesmos ao seu diretor. Dado o êxito, são encomendados 20 quiosques para o centro de visitantes.

Para evitar a instalação manual do cliente do Gestor de configuração, que requer a desativação e reativação manual dos filtros de escrita, a Joana certifica-se de que a encomenda inclui uma imagem personalizada que já integra a instalação e atribuição de site do cliente do Gestor de configuração SP1. Além disso, o nome dos dispositivos é atribuído de acordo com o formato de nomenclatura da empresa.

Os quiosques são entregues para o centro de visitantes uma semana antes da respetiva abertura. Durante este período, os quiosques são ligados à rede, toda a gestão de dispositivos é automática e não é necessário um administrador local. A Joana confirma que os quiosques estão a funcionar conforme necessário:

  • Os clientes dos quiosques concluem a atribuição de sites e transferem a chave de raiz fidedigna a partir dos Serviços de Domínio do Active Directory.

  • Os clientes dos quiosques são automaticamente adicionados à coleção de dispositivos Windows Embedded e configurados com a janela de manutenção.

  • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes da proteção antimalware.

  • O software de apresentação interativa está instalado e é executado automaticamente (está preparado para os visitantes).

Após esta configuração inicial, quaisquer reinícios que possam ser necessários para atualizações só ocorrerão quando o centro de visitantes estiver fechado.

Mostrar: