Ukázkový scénář nasazení a správy klientů Configuration Manager na zařízeních s Windows Embedded

Platí pro: Configuration Manager (Current Branch)

Tento scénář ukazuje, jak spravovat zařízení s Windows Embedded s povoleným filtrem zápisu pomocí Configuration Manager. Pokud vaše vložená zařízení nepodporují filtry zápisu, chovají se jako standardní Configuration Manager klienti a tyto postupy se nepoužívají.

Coho Vineyard & Winery otevírá centrum pro návštěvníky a potřebuje veřejné terminály se systémem Windows Embedded pro spouštění interaktivních prezentací. Budova nového centra pro návštěvníky není blízko ODDĚLENÍ IT, takže veřejné terminály musí být spravovány vzdáleně. Kromě softwaru, na kterém se prezentace spouští, musí tato zařízení používat aktuální software antimalwarové ochrany, aby byly v souladu se zásadami zabezpečení společnosti. Veřejné terminály musí běžet 7 dní v týdnu bez výpadků, když je centrum pro návštěvníky otevřené.

Coho už používá Configuration Manager ke správě zařízení v síti. Configuration Manager je nakonfigurovaná tak, aby spouštěla službu Endpoint Protection a instalovala aktualizace softwaru a aplikace. Vzhledem k tomu, že it tým ještě nespravoval zařízení se systémem Windows Embedded, správce Configuration Manager spustí pilotní projekt, který spravuje dva veřejné terminály v předsálí recepce.

Pokud chcete spravovat tato zařízení se systémem Windows Embedded, která jsou povolená pro filtrování zápisu, správce Configuration Manager provede následující kroky k instalaci klienta Configuration Manager, ochraně klienta pomocí aplikace Endpoint Protection a instalaci interaktivního prezentačního softwaru.

1. Správce Configuration Manager (Správa) čte, jak zařízení s Windows Embedded používají filtry zápisu a jak to Configuration Manager usnadnit automatickým zakázáním a opětovným povolením filtrů zapisovače, aby se zachovala instalace softwaru.

   Další informace najdete v tématu Plánování nasazení klienta do zařízení se systémem Windows Embedded.

2. Než Správa nainstaluje klienta Configuration Manager, vytvoří Správa pro zařízení s Windows Embedded novou kolekci zařízení založenou na dotazech. Vzhledem k tomu, že společnost používá k identifikaci počítačů standardní formáty názvů, může Správa jedinečně identifikovat zařízení se systémem Windows Embedded pomocí prvních šesti písmen názvu počítače: WEMDVC. Správa použije k vytvoření této kolekce následující dotaz WQL: vyberte SMS_R_System.NetbiosName z SMS_R_System, kde SMS_R_System.NetbiosName, například WEMDVC%.

   Tato kolekce umožňuje Správa spravovat zařízení s Windows Embedded s různými možnostmi konfigurace z jiných zařízení. Správa použije tuto kolekci k řízení restartování, nasazení služby Endpoint Protection s nastavením klienta a nasazení interaktivní prezentační aplikace.

   Viz Vytváření kolekcí.

3. Správa nakonfiguruje kolekci pro časové období údržby, aby se zajistilo restartování, které může být vyžadováno pro instalaci prezentační aplikace, a že během otevírací doby centra pro návštěvníky nedojde k žádným upgradům. Otevírací doba bude od pondělí do neděle od 9:00 do 18:00. Správa nakonfiguruje časové období údržby pro každý den, od 18:30 do 6:00.

4. Další informace najdete v tématu Použití časových období údržby.

5. Správa pak nakonfiguruje nastavení klienta vlastního zařízení pro instalaci klienta služby Endpoint Protection výběrem možnosti Ano pro následující nastavení a pak toto vlastní nastavení klienta nasadí do kolekce zařízení se systémem Windows Embedded:

   • Instalace klienta služby Endpoint Protection na klientské počítače

   • U zařízení s Windows Embedded s filtry zápisu potvrďte instalaci klienta služby Endpoint Protection (vyžaduje restartování).

   • Povolit instalaci a restartování klienta služby Endpoint Protection mimo časové období údržby

     Když je klient Configuration Manager nainstalovaný, tato nastavení nainstalují klienta služby Endpoint Protection a zajistí, aby byl trvale uložen v operačním systému jako součást instalace, a ne pouze do překryvu. Zásady zabezpečení společnosti vyžadují, aby byl antimalwarový software vždy nainstalovaný a Správa nechce riskovat, že budou veřejné terminály při restartování i na krátkou dobu nechráněné.

   Poznámka

   Restartování, která jsou nutná k instalaci klienta služby Endpoint Protection, jsou jednorázový výskyt, ke kterému dochází během doby instalace zařízení a před zprovozněnou návštěvnickou službou. Na rozdíl od pravidelného nasazování aplikací nebo aktualizací definic softwaru se při příští instalaci klienta služby Endpoint Protection na stejném zařízení pravděpodobně stane, když společnost upgraduje na další verzi Configuration Manager.

   Další informace najdete v tématu Konfigurace služby Endpoint Protection.

6. Po nastavení konfigurace pro klienta se Správa připraví k instalaci Configuration Manager klientů. Aby Správa mohl nainstalovat klienty, musí na zařízeních se systémem Windows Embedded ručně zakázat filtr zápisu. Správa přečte dokumentaci výrobce OEM, která doprovází veřejné terminály, a podle pokynů zakáže filtry zápisu.

   Správa přejmenuje zařízení tak, aby používalo standardní formát pojmenování společnosti, a pak klienta nainstaluje ručně spuštěním programu CCMSetup s následujícím příkazem z namapované jednotky, která obsahuje zdrojové soubory klienta: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Tento příkaz nainstaluje klienta, přiřadí klienta k bodu správy, který má intranetový plně kvalifikovaný název domény mpserver.cohovineyardandwinery.com, a přiřadí klienta k primární lokalitě s názvem CO1.

   Správa ví, že instalace a odeslání stavu klientům do lokality vždy nějakou dobu trvá. Takže Správa počká, než potvrdí, že se klienti úspěšně nainstalovali, přiřadili k lokalitě a zobrazili se jako klienti v kolekci, kterou vytvořili pro zařízení se systémem Windows Embedded.

   Jako další potvrzení Správa zkontroluje vlastnosti Configuration Manager v Ovládací panely na zařízeních a porovná je se standardními počítači s Windows spravovanými lokalitou. Například na kartě Součásti zobrazí agent inventáře hardwarupovoleno a na kartě Akce je k dispozici 11 dostupných akcí, mezi které patří cyklus vyhodnocení nasazení aplikace a cyklus shromažďování dat zjišťování.

   S jistotou, že klienti jsou úspěšně nainstalováni, přiřazeni a přijímá zásady klienta z bodu správy, Správa pak ručně povolí filtry zápisu podle pokynů výrobce OEM.

   Další informace najdete tady:

   • Jak nasadit klienty do počítačů s Windows

   • Jak přiřadit klienta k lokalitě

7. Teď, když je klient Configuration Manager nainstalovaný na zařízeních se systémem Windows Embedded, Správa potvrdí, že ho může spravovat stejným způsobem jako standardní klienty Windows. Například z konzoly Configuration Manager může Správa vzdáleně spravovat pomocí vzdáleného řízení, inicializovat pro ně zásady klienta a zobrazit vlastnosti klienta a inventář hardwaru.

   Vzhledem k tomu, že jsou tato zařízení připojená k doméně služby Active Directory, nemusí je Správa ručně schvalovat jako důvěryhodné klienty a z konzoly Configuration Manager potvrdí, že jsou schválena.

   Další informace najdete v tématu Správa klientů.

8. Pokud chcete nainstalovat interaktivní prezentační software, Správa spustí Průvodce nasazením softwaru a nakonfiguruje požadovanou aplikaci. Na stránce Uživatelské prostředí průvodce v části Zpracování filtru zápisu pro zařízení se systémem Windows Embedded přijmou výchozí možnost, která vybere Možnost Potvrdit změny v termínu nebo během časového období údržby (vyžaduje restartování).

   Správa tuto výchozí možnost pro filtry zápisu uchovává, aby se zajistilo, že aplikace po restartování zůstane zachována, aby byla návštěvníkům pomocí veřejného terminálu vždy dostupná. Denní časové období údržby poskytuje bezpečné období, během kterého může docházet k restartování instalace a aktualizacím.

   Správa nasadí aplikaci do kolekce zařízení se systémem Windows Embedded.

   Další informace najdete v tématu Nasazení aplikací s Configuration Manager.

9. Ke konfiguraci aktualizací definic pro službu Endpoint Protection používá Správa aktualizace softwaru a spouští Průvodce vytvořením pravidla automatického nasazení. Vyberou šablonu definice Aktualizace a předem vyplní průvodce nastavením, která jsou vhodná pro službu Endpoint Protection.

   Tato nastavení zahrnují následující možnosti na stránce Uživatelské prostředí průvodce:

   • Chování konečného termínu: Políčko Instalace softwaru není zaškrtnuté.

   • Zpracování filtru zápisu pro zařízení se systémem Windows Embedded: Není zaškrtnuté políčko Potvrdit změny v termínu nebo během časového období údržby (vyžaduje restartování ).

     Správa tato výchozí nastavení zachová. Tyto dvě možnosti společně s touto konfigurací umožňují instalaci definic aktualizací softwaru pro službu Endpoint Protection v překrytí během dne a nečekat na instalaci a potvrzení během časového období údržby. Tato konfigurace nejlépe vyhovuje zásadám zabezpečení společnosti pro počítače, které umožňují spustit aktuální antimalwarovou ochranu.

     Poznámka

     Na rozdíl od instalací softwaru pro aplikace se definice aktualizací softwaru pro službu Endpoint Protection můžou vyskytovat velmi často, dokonce i několikrát denně. Často se jedná o malé soubory. U těchto typů nasazení souvisejících se zabezpečením může být často výhodné vždy nainstalovat do překrytí místo čekání na časové období údržby. Klient Configuration Manager rychle znovu nainstaluje aktualizace definic softwaru, pokud se zařízení restartuje, protože tato akce zahájí kontrolu vyhodnocení a nečeká na další naplánované vyhodnocení.

     Správa vybere kolekci zařízení s Windows Embedded pro pravidlo automatického nasazení.

     Další informace najdete v tématech:
     Krok 3: Konfigurace Configuration Manager softwarového Aktualizace pro doručování Aktualizace definic do klientských počítačů při konfiguraci služby Endpoint Protection

10. Správa se rozhodne nakonfigurovat úlohu údržby, která pravidelně zapíše všechny změny v překryvu. Tato úloha má podporovat nasazení definic aktualizací softwaru, aby se snížil počet aktualizací, které se hromadí a musí být znovu nainstalovány při každém restartování zařízení. V prostředí Správa to pomáhá efektivněji spouštět antimalwarové programy.

    Poznámka

    Tyto definice aktualizací softwaru by se automaticky potvrdily image, pokud vložená zařízení spustila jinou úlohu správy, která podporovala potvrzení změn. Například instalace nové verze interaktivního prezentačního softwaru také potvrdí změny definic aktualizací softwaru. Nebo instalace standardních aktualizací softwaru každý měsíc, které se instalují během časového období údržby, může také potvrdit změny definic aktualizací softwaru. V tomto scénáři, kdy standardní aktualizace softwaru neběží a interaktivní prezentační software pravděpodobně nebude aktualizován příliš často, může to být několik měsíců, než se aktualizace definic softwaru automaticky potvrdí do image.

    Správa nejprve vytvoří vlastní pořadí úkolů, které nemá jiné nastavení než název. Spustí Průvodce vytvořením pořadí úloh:

    1. Na stránce Vytvořit nové pořadí úkolů Správa vybere Vytvořit nové vlastní pořadí úkolů a potom klikne na Další.

    2. Na stránce Informace o pořadí úkolů Správa zadá úlohu Údržba, která potvrdí změny ve vložených zařízeních pro název pořadí úkolů, a potom klikne na Další.

    3. Na stránce Souhrn Správa vybere Další a dokončí průvodce.

       Správa pak nasadí toto vlastní pořadí úkolů do kolekce zařízení se systémem Windows Embedded a nakonfiguruje plán tak, aby se spouštěl každý měsíc. V rámci nastavení nasazení zaškrtnou políčko Potvrdit změny v konečný termín nebo během časového období údržby (vyžaduje restartování), aby se změny zachovaly i po restartování. Pokud chcete nakonfigurovat toto nasazení, Správa vybere vlastní pořadí úloh, které právě vytvořili, a potom na kartě Domů ve skupině Nasazení kliknutím na Nasadit spustí Průvodce nasazením softwaru:

    4. Na stránce Obecné Správa vybere kolekci zařízení se systémem Windows Embedded a potom klikne na Další.

    5. Na stránce Nastavení nasazení Správa vybere Účelpožadované a potom klikne na Další.

    6. Na stránce Plánování Správa kliknutím na Nový určí týdenní plán během časového období údržby a potom klikne na Další.

    7. Správa průvodce dokončí bez jakýchkoli dalších změn.

       Další informace najdete v tématech:
       Správa pořadí úkolů pro automatizaci úloh

11. Aby se veřejné terminály spouštěly automaticky, Správa napíše skript pro konfiguraci zařízení pro následující nastavení:

    • Automaticky se přihlaste pomocí účtu hosta, který nemá heslo.

    • Automaticky spustit interaktivní prezentační software při spuštění.

      Správa používá balíčky a programy k nasazení tohoto skriptu do kolekce zařízení se systémem Windows Embedded. Když Správa spustí Průvodce nasazením softwaru, znovu zaškrtne políčko Potvrdit změny v konečný termín nebo během časového období údržby (vyžaduje restartování), aby se změny zachovaly i po restartování.

      Další informace najdete v tématu Balíčky a programy.

12. Následující ráno Správa zkontroluje zařízení s Windows Embedded. Potvrdí následující:

    • Veřejný terminál se automaticky přihlásí pomocí účtu hosta.

    • Interaktivní prezentační software je spuštěný.

    • Klient služby Endpoint Protection je nainstalovaný a obsahuje nejnovější definice aktualizací softwaru.

    • Že se zařízení restartovalo během časového období údržby.

      Další informace najdete tady:

    • Monitorování služby Endpoint Protection

    • Monitorování aplikací pomocí Configuration Manager

13. Správa monitoruje veřejné terminály a hlásí jejich úspěšnou správu svému nadřízeným. V důsledku toho je pro centrum pro návštěvníky objednáno 20 kiosků.

    Aby se zabránilo ruční instalaci klienta Configuration Manager, která vyžaduje ruční zakázání a následné povolení filtrů zápisu, Správa zajistí, aby objednávka obsahovala přizpůsobenou image, která již zahrnuje instalaci a přiřazení lokality klienta Configuration Manager. Kromě toho jsou zařízení pojmenována podle formátu pojmenování společnosti.

    Kiosky jsou doručovány do návštěvnického centra týden před otevřením. Během této doby jsou veřejné terminály připojené k síti, veškerá správa zařízení pro ně je automatická a nevyžaduje se žádný místní správce. Správa potvrdí, že veřejné terminály fungují podle potřeby:

    • Klienti v beznabídkách dokončí přiřazení lokality a stáhnou důvěryhodný kořenový klíč z Active Directory Domain Services.

    • Klienti v beznabídkovém režimu se automaticky přidají do kolekce zařízení se systémem Windows Embedded a nakonfigurují se s časovým obdobím údržby.

    • Klient služby Endpoint Protection je nainstalovaný a obsahuje nejnovější definice aktualizací softwaru pro antimalwarovou ochranu.

    • Interaktivní prezentační software je nainstalován a běží automaticky, připravený pro návštěvníky.

14. Po tomto počátečním nastavení k restartování, která můžou být nutná pro aktualizace, dojde pouze v případě, že je centrum pro návštěvníky zavřené.