Představení nástroje Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager, člen sady Microsoft System Center řešení pro správu, zvyšuje produktivitu a efektivitu IT snižováním množství ručních úloh a umožňuje soustředit se na projekty s vysokou hodnotou, maximalizovat investice do hardwaru a softwaru a posilovat produktivitu koncových uživatelů tím, že poskytuje správný software ve správný čas. Nástroj Configuration Manager pomáhá zajišťovat účinnější služby IT povolením nasazení softwaru pro zabezpečení a horizontální rozšíření, správy nastavení kompatibility a rozsáhlé správy prostředků, tj. serverů, stolních počítačů, laptopů a mobilních zařízení.
Nástroj Configuration Manager rozšiřuje a doplňuje vaše stávající technologie a řešení od společnosti Microsoft. Například:
Nástroj Configuration Manager používá službu AD DS (Active Directory Domain Services) k zabezpečení, umístění služeb, provedení konfigurace a zjištění uživatelů a zařízení, která chcete spravovat.
Nástroj Configuration Manager používá systém Microsoft SQL Server jako distribuovanou databázi správy změn a spolupracuje se službou SQL Server Reporting Services (SSRS) při vytváření sestav pro monitorování a sledování činností správy.
Řada rolí systémů lokality nástroje Configuration Manager poskytujících funkce správy používá webové služby Internetové informační služby (IIS).
Služby Background Intelligent Transfer Service (BITS) a BranchCache lze využít při správě dostupné šířky pásma sítě.
Navíc může nástroj Configuration Manager spolupracovat se službou Windows Server Update Services (WSUS), architekturou Network Access Protection (NAP), Certifikační službou, serverem Exchange Server a službou Exchange Online, se zásadami skupiny, rolí serveru DNS, sadou Windows Automated Installation Kit (Windows AIK) a nástrojem pro migraci stavu uživatele (USMT), se službou Windows Deployment Services (WDS) a s funkcemi Vzdálená plocha a Vzdálená pomoc.
K úspěšnému zavedení nástroje Configuration Manager je zapotřebí nejdřív důkladně naplánovat a otestovat funkce správy před použitím nástroje Configuration Manager v provozním prostředí. Jakožto výkonná aplikace pro správu může mít nástroj Configuration Manager potenciální vliv na každý počítač ve vaší organizaci. Při nasazení a spravování nástroje Configuration Manager s ohledem na přesné plánování a zvážení vlastních podnikových požadavků vám může nástroj Configuration Manager pomoct snížit správní režii a celkové náklady na vlastnictví.
Další informace o nástroji Configuration Manager se dozvíte v následujících částech:
Možnosti správy nástroje Configuration Manager
Konzola nástroje Configuration Manager
Katalog aplikací, Centrum softwaru a Portál společnosti
- Vlastnosti nástroje Configuration Manager (klient)
Příklady scénářů použití nástroje Configuration Manager
Příklad scénáře: Posílení produktivity uživatelů zajištěním přístupu k aplikacím z libovolného zařízení
Příklad scénáře: Sjednocení správy dodržování předpisů u zařízení
Příklad scénáře: Zjednodušení správy klientů u zařízení
Další kroky
Možnosti správy nástroje Configuration Manager
Následující tabulka obsahuje podrobnosti o hlavních možnostech správy nástroje Configuration Manager. Každá možnost má vlastní požadavky, a možnosti, které chcete použít, můžou ovlivnit návrh a implementaci hierarchie nástroje Configuration Manager. Pokud chcete například nasadit software do zařízení v hierarchii, je nutné nainstalovat roli systému lokality distribučního bodu.
Možnost správy |
Popis |
Další informace |
|---|---|---|
Správa aplikací |
Poskytuje sadu nástrojů a prostředků k vytvoření, správě, nasazení a sledování aplikací v podniku. |
|
Přístup k prostředkům společnosti |
Pro System Center 2012 R2 Configuration Manager a novější: Poskytuje sadu nástrojů a prostředků umožňující uživatelům v organizaci přístup k datům a aplikacím ze vzdálených umístění. Mezi tyto nástroje patří:
|
Přístup k prostředkům společnosti v nástroji Configuration Manager |
Nastavení dodržování předpisů |
Poskytuje sadu nástrojů a prostředků, pomocí kterých můžete vyhodnocovat, sledovat a napravovat dodržování předpisů při konfiguraci klientských zařízení v podniku. |
Úvod do nastavení dodržování předpisů v produktu Configuration Manager |
Endpoint Protection |
Poskytuje zabezpečení, ochranu proti malwaru a správu brány Windows Firewall pro počítače v podniku. |
Úvod do Endpoint Protection v produktu Configuration Manager |
Inventář |
Poskytuje sadu nástrojů k identifikaci a sledování prostředků:
|
Informace najdete v následující dokumentaci: |
Nasazení operačního systému |
Poskytuje nástroj k vytváření bitových kopií operačních systémů. Pomocí těchto bitových kopií je lze následně nasadit do počítačů spravovaných nástrojem Configuration Manager a do počítačů, které nejsou spravované, pomocí technologie PXE nebo spustitelného média, jako jsou například CD, DVD nebo USB flash disky. |
Úvod do nasazení operačního systému v nástroji Configuration Manager |
Vzdálená správa |
Spolupracuje s technologií Intel Active Management Technology (Intel AMT), pomocí které lze spravovat stolní a přenosné počítače nezávisle na klientovi nástroje Configuration Manager nebo na operačním systému počítače. |
|
Řízení spotřeby |
Poskytuje sadu nástrojů a prostředků sloužících pro správu a sledování spotřeby elektrické energie klientských počítačů v podniku. |
|
Dotazy |
Poskytuje nástroj k načtení informací o prostředcích v hierarchii a informací o datech inventáře a stavových zprávách. Tyto informace lze následně použít k vytváření sestav nebo k definování kolekcí zařízení či uživatelů při nasazování softwaru nebo nastavování konfigurace. |
|
Profily vzdáleného připojení |
Pro System Center 2012 R2 Configuration Manager a novější: Poskytuje sadu nástrojů a prostředků k vytvoření, nasazení a monitorování nastavení vzdáleného připojení v zařízeních ve vaší organizaci. Nasazením těchto nastavení minimalizujete úsilí, které musí koncový uživatel vynaložit pro připojení ke svému počítači ve firemní síti. |
Úvod do profilů vzdáleného připojení v nástroji Configuration Manager |
Vzdálené řízení |
Poskytuje nástroje pro vzdálenou správu klientských počítačů z konzoly nástroje Configuration Manager. |
|
Generování sestav |
Poskytuje sadu nástrojů a prostředků umožňujících použití pokročilých funkcí pro vytváření sestav služby SQL Server Reporting Services z konzoly Configuration Manager. |
|
Monitorování míry využití softwaru |
Poskytuje nástroje ke sledování a shromažďování údajů o využití softwaru z klientů nástroje Configuration Manager. |
|
Aktualizace softwaru |
Poskytuje sadu nástrojů a prostředků pro správu, nasazení a sledování aktualizací softwaru v podniku. |
Úvod do aktualizací softwaru v nástroji Configuration Manager |
Správa nástroje Microsoft Intune |
Nástroj Configuration Manager můžete použít pro správu zařízení se systémem iOS, Android (včetně Samsung KNOX), Windows Phone a Windows přes Internet pomocí služby Microsoft Intune. I když používáte službu Microsoft Intune, úlohy správy se provádějí pomocí role systému lokality konektoru Microsoft Intune, která je dostupná přes konzolu Configuration Manager. System Center 2012 R2 Configuration Manager také nabízí možnost spravovat zařízení se systémem Windows 8.1 stejným způsobem jako mobilní zařízení bez instalovaného klienta nástroje Configuration Manager. |
Další informace o plánování a instalaci nástroje Configuration Manager za účelem podpory těchto možností správy ve vašem prostředí najdete v tématu Úvod do správy lokalit v nástroji Configuration Manager.
Konzola nástroje Configuration Manager
Po instalaci nástroje Configuration Manager použijte konzolu nástroje Configuration Manager ke konfiguraci lokalit a klientů a ke spuštění a monitorování úkolů správy. Tato konzola je hlavním bodem správy a umožňuje správu více lokalit. Pomocí této konzoly lze spustit sekundární konzoly na podporu konkrétních úkolů správy klientů, mezi které patří například:
Průzkumník prostředků, k zobrazení informací o inventáři hardwaru a softwaru.
Vzdálené řízení, pro vzdálené připojení ke klientskému počítači za účelem provádění úloh odstraňování potíží.
Vzdálená správa, pro připojení k řadiči pro správu AMT v počítačích na bázi Intel AMT za účelem provádění operací řízení spotřeby nebo úloh odstraňování potíží.
Konzolu nástroje Configuration Manager lze instalovat do dalších serverových počítačů a pracovních stanic, ke kterým lze omezit přístup a pomocí správy nástroje Configuration Manager založené na rolích nastavit, kteří správci mohou do konzoly nahlížet.
Další informace najdete v části Instalace konzole nástroje Configuration Manager v tématu Instalace lokalit a vytvoření hierarchie pro nástroj Configuration Manager.
Katalog aplikací, Centrum softwaru a Portál společnosti
Katalog aplikací Configuration Manager je web, kde můžou uživatelé procházet software a vyžádat si ho pro své počítače se systémem Windows. Když chcete web Katalog služeb používat, musíte si pro web nainstalovat bod služeb webu Katalog aplikací a bod webu Katalog aplikací.
Centrum softwaru je aplikace, která se instaluje při instalaci klienta nástroje Configuration Manager v počítačích se systémem Windows. Uživatelé spouštějí tuto aplikaci, když chtějí žádat o software nebo spravovat software, který jim byl nasazený pomocí nástroje Configuration Manager. V Centru softwaru můžou uživatelé provádět následující operace:
Procházet a instalovat software z katalogu aplikací.
Zobrazit historii svých žádostí o software.
Nastavit, kdy může nástroj Configuration Manager instalovat software do jejich zařízení.
Konfigurovat nastavení přístupu pro vzdálené řízení, pokud správce povolil vzdálené řízení.
Portál společnosti je aplikace nebo web poskytující podobné funkce jako Katalog aplikací, ale je určený pro mobilní zařízení zapsaná službou Microsoft Intune.
Další informace najdete v tématu Úvod do správy aplikací v nástroji Configuration Manager.
Vlastnosti nástroje Configuration Manager (klient)
Při instalaci klienta nástroje Configuration Manager v počítačích se systémem Windows se nástroj Configuration Manager instaluje do Ovládacích panelů. Tuto aplikaci není obvykle nutné konfigurovat, protože konfigurace klienta se provádí v konzole Configuration Manager. Pomocí této aplikace mohou správci a služba technické podpory řešit problémy s jednotlivými klienty.
Další informace o nasazení klienta najdete v tématu Úvod do nasazování klientů v nástroji Configuration Manager.
Příklady scénářů použití nástroje Configuration Manager
Následující příklady scénářů demonstrují, jakým způsobem společnost s názvem Trey Research používá nástroj System Center 2012 Configuration Manager k posílení produktivity svých uživatelů, k sjednocení správy dodržování předpisů u zařízení pro zefektivnění administrativy a k zjednodušení správy zařízení za účelem snížení provozních nákladů na IT. Ve všech scénářích je Adam hlavní správce pro nástroj Configuration Manager.
Příklad scénáře: Posílení produktivity uživatelů zajištěním přístupu k aplikacím z libovolného zařízení
Společnost Trey Research chce zajistit, aby zaměstnanci měli přístup k aplikacím, které potřebují, a to co možná nejefektivněji. Adam mapuje požadavky těchto společností podle následujících scénářů:
Požadavek |
Stav správy aktuálních klientů |
Stav správy budoucích klientů |
|---|---|---|
Noví zaměstnanci můžou pracovat efektivně už od prvního dne. |
Když zaměstnanci nastoupí do společnosti, musejí po prvním přihlášení čekat, až se jim nainstalují aplikace. |
Když zaměstnanci nastoupí do společnosti, přihlásí se a jejich aplikace jsou nainstalované a připravené k použití. |
Zaměstnanci můžou snadno a rychle požádat o další software, který potřebují. |
Když zaměstnanci potřebují další aplikace, vyplní ve službě technické podpory žádanku a potom obvykle dva dny čekají, až se žádanka zpracuje a aplikace nainstalují. |
Když zaměstnanci potřebují další aplikace, můžou o ně požádat z webu a ty se jim hned nainstalují, pokud zde nejsou žádná licenční omezení. V případě, že jsou zde licenční omezení, musejí uživatelé nejdřív požádat o schválení a teprve potom si můžou aplikaci nainstalovat. Uživatelům se na webu zobrazí jenom aplikace, které si můžou nainstalovat. |
Zaměstnanci můžou v práci používat svoje mobilní zařízení, pokud tato zařízení splňují zásady zabezpečení, které se monitorují a prosazují. Mezi tyto zásady patří:
|
Zaměstnanci připojují svoje mobilní zařízení k serveru Exchange Server, který jim poskytuje e-mailové služby, avšak ve výchozích zásadách poštovní schránky protokolu Exchange ActiveSync jsou jen omezená hlášení o potvrzení, že splňují zásady zabezpečení. Osobnímu použití mobilních zařízení tak hrozí zákaz použití, pokud IT nedokáže potvrdit dodržování zásad. |
IT organizace může hlásit dodržování předpisů zabezpečení mobilních zařízení pomocí požadovaného nastavení. Díky tomuto potvrzení můžou uživatelé dál v práci používat svoje mobilní zařízení. Uživatelé můžou vzdáleně vymazat svoje mobilní zařízení, pokud dojde k jejich ztrátě nebo zcizení, a služba technické podpory může vymazat mobilní zařízení kteréhokoli uživatele, které se nahlásí jako ztracené nebo zcizené. Zajistěte zápis mobilního zařízení do prostředí PKI za účelem dalšího zvýšení zabezpečení a kontroly. |
Zaměstnanci můžou být produktivní, i když nesedí u svého stolu. |
Když nejsou zaměstnanci u svého stolu a nemají přenosné počítače, nemají přístup ke svým aplikacím prostřednictvím veřejných terminálů, které jsou dostupné na různých místech v podniku. |
Zaměstnanci můžou veřejné terminály využít k přístupu ke svým aplikacím a datům. |
Nepřetržitost práce má přednost před instalací požadovaných aplikací a aktualizací softwaru. |
Aplikace a aktualizace softwaru, jejichž instalace se požaduje během dne, uživatele ruší v práci, protože jejich počítače se během instalace zpomalují nebo restartují. |
Uživatelé můžou svoji pracovní dobu konfigurovat tak, aby instalace požadovaného softwaru neprobíhala během používání počítače. |
Pro splnění požadavků používá Adam následující funkce správy a možnosti konfigurace nástroje Configuration Manager:
Správa aplikací
Správa mobilních zařízení
Tyto možnosti implementuje pomocí kroků konfigurace uvedených v následující tabulce.
Kroky konfigurace |
Výsledek |
|---|---|
Adam se chce ujistit, že noví uživatelé mají uživatelské účty ve službě Active Directory, a vytvoří pro tyto uživatele novou kolekci založenou na dotazech v nástroji Configuration Manager. Potom definuje spřažení zařízení pro tyto uživatele vytvořením souboru, který mapuje uživatelské účty do primárních počítačů, které budou používat, a naimportuje tento soubor do nástroje Configuration Manager. Aplikace, které noví uživatelé musí mít, jsou už vytvořené v nástroji Configuration Manager. Potom nasadí tyto aplikace s účelem s hodnotou Požadované do kolekce, která obsahuje nové uživatele. |
Vzhledem k informacím o spřažení uživatelského zařízení se aplikace nainstalují do primárního počítače nebo počítačů jednotlivých uživatelů, než se uživatel přihlásí. Aplikace budou připravené k použití hned po úspěšném přihlášení uživatele. |
Adam nainstaluje a nakonfiguruje role systému lokality katalogu aplikací, aby mohli uživatelé hledat aplikace, které chtějí instalovat. Vytvoří nasazení aplikací s účelem s hodnotou Dostupné a potom tyto aplikace nasadí do kolekce, která obsahuje nové uživatele. Aplikace s omezeným počtem licencí Adam nakonfiguruje tak, aby vyžadovaly schválení. |
Díky konfiguraci aplikací jako dostupných pro tyto uživatele a použití katalogu aplikací mohou uživatelé procházet aplikace, které můžou instalovat. Uživatelé můžou potom instalovat aplikace hned nebo požádat o schválení a vrátit se do katalogu aplikací a nainstalovat je po schválení žádosti službou technické podpory. |
Adam vytvoří konektor systému Exchange Server v nástroji Configuration Manager, aby bylo možné spravovat zařízení, která jsou připojená k místnímu systému Exchange Server společnosti. Tento konektor nakonfiguruje pomocí nastavení zabezpečení, které zahrnuje požadavek na silné heslo a uzamčení mobilního zařízení po určité době nečinnosti. Adam používá verzi Configuration Manager SP1, takže pro další správu zařízení se systémy Windows Phone 8, Windows RT a iOS obdrží předplatné verze Microsoft Intune a nainstaluje roli systému lokality konektoru Microsoft Intune. Toto řešení správy mobilních zařízení nabízí společnostem lepší podporu správy těchto zařízení. Zahrnuje zpřístupnění aplikací uživatelům pro instalaci do těchto zařízení a rozsáhlou správu nastavení. Kromě toho se připojení mobilních zařízení zabezpečují pomocí certifikátů PKI, které se vytváří a nasazují automaticky pomocí nástroje Intune. Po konfiguraci konektoru Microsoft Intune Adam odešle e-mail uživatelům, kteří tato mobilní zařízení vlastní. Uživatelé pak můžou kliknutím na odkaz zahájit registraci. Pro mobilní zařízení, která se mají registrovat nástrojem Intune, Adam pomocí nastavení kompatibility nakonfiguruje nastavení zabezpečení. Tato nastavení zahrnují požadavky na konfiguraci silného hesla a uzamčení zařízení po určité době nečinnosti. |
Díky těmto dvěma řešením pro správu mobilních zařízení může IT organizace teď poskytovat informace sestav o mobilních zařízeních, která se používají v síti společnosti, a jejich kompatibilitě s konfigurovanými nastaveními zabezpečení. Uživatelům se zobrazí postup, jak můžou vzdáleně vyčistit zařízení pomocí katalogu aplikací nebo portálu společnosti, pokud dojde ke ztrátě nebo krádeži jejich mobilního zařízení. Službě technické podpory se taky poskytnou informace o tom, jak vyčistit mobilní zařízení místo uživatelů pomocí konzoly nástroje Configuration Manager. Kromě toho pro mobilní zařízení, která jsou zaregistrovaná nástrojem Intune, může Adam teď nasadit mobilní aplikace pro uživatele k instalaci, shromáždění dalších dat inventáře z těchto zařízení a lepší řízení správy těchto zařízení díky přístupu k dalším nastavením. |
Společnost Trey Research má několik veřejných terminálů používaných zaměstnanci, kteří navštěvují kancelář. Zaměstnanci chtějí mít přístup k aplikacím, kdykoli se přihlásí. Adam však nechce všechny aplikace instalovat místně do každého počítače. Za tím účelem Adam vytvoří požadované aplikace se dvěma typy nasazení:
|
Když se zaměstnanec–návštěvník přihlásí k veřejnému terminálu, uvidí požadované aplikace jako ikony na ploše veřejného terminálu. Když aplikaci spustí, bude se daná aplikace streamovat jako virtuální aplikace. Díky tomu může být stejně produktivní, jako kdyby pracoval na vlastním stolním počítači. |
Adam dá uživatelům vědět, že můžou v centru softwaru nakonfigurovat svoji pracovní dobu a zvolit možnosti, které zabrání nasazení softwaru během této doby a když je počítač v režimu prezentace. |
Protože uživatelé můžou řídit, kdy nástroj Configuration Manager nasadí software do jejich počítačů, zůstanou uživatelé během pracovního dne produktivnější. |
Díky těmto krokům a výstupům konfigurace společnost Trey Research svým zaměstnancům zajišťuje přístup k aplikacím z libovolného zařízení.
Příklad scénáře: Sjednocení správy dodržování předpisů u zařízení
Společnost Trey Research požaduje sjednocenou správu klientů, která umožňuje v jejich počítačích spouštět antivirový software, který se automaticky aktualizuje. To znamená, že brána Windows Firewall je povolená, instalují se důležité aktualizace softwaru, nastavují se určité klíče registru a spravovaná mobilní zařízení nemůžou instalovat ani spouštět nepodepsané aplikace. Společnost taky požaduje rozšíření této ochrany na internet pro přenosné počítače, které přepínají připojení z intranetu na internet.
Adam mapuje požadavky těchto společností podle následujících scénářů:
Požadavek |
Stav správy aktuálních klientů |
Stav správy budoucích klientů |
|---|---|---|
Ve všech počítačích běží antimalwarový software s aktuálními definičními soubory a povolenou branou Windows Firewall. |
V různých počítačích jsou spuštěná různá antimalwarová řešení, která nejsou vždy aktuální, a ačkoli je brána Windows Firewall ve výchozím nastavení povolená, uživatelé ji někdy chtějí zakázat. Uživatelé budou vyzvaní k tomu, aby se v případě nalezení malwaru v počítači obrátili na službu technické podpory. |
Všechny počítače používají stejné antimalwarové řešení, které automaticky stahuje nejnovější aktualizační definiční soubory a automaticky znovu povoluje bránu Windows Firewall, pokud ji uživatelé zakážou. V případě nalezení malwaru se služba technické podpory automaticky informuje e-mailem. |
Všechny počítače instalují důležité aktualizace softwaru během prvního měsíce od vydání. |
I když se aktualizace softwaru v počítačích instalují, mnoho počítačů automaticky neinstaluje důležité aktualizace softwaru, dokud neuplynou dva nebo tři měsíce od jejich vydání. Kvůli tomu jsou takové počítače během tohoto období vůči útokům zranitelné. Pro počítače, které důležité aktualizace softwaru neinstalují, služba technické podpory nejprve rozešle e-mailové zprávy, které uživatele vyzývají k instalaci aktualizací. K počítačům, které zůstanou nekompatibilní, se technici můžou vzdáleně připojit a nainstalovat chybějící aktualizace softwaru ručně. |
Zvyšte aktuální míru kompatibility během daného měsíce na víc než 95 %, aniž by bylo nutné odesílat e-mailové zprávy nebo žádat službu technické podpory o jejich ruční instalaci. |
Nastavení zabezpečení pro určité aplikace se pravidelně kontrolují a v případě potřeby opravují. |
Počítače spouští komplexní spouštěcí skripty, které závisí na členství ve skupině počítačů a které obnovují hodnoty registrů pro určité aplikace. Protože tyto skripty běží pouze při spuštění a některé počítače jsou několik dní ponechané vypnuté, služba technické podpory nemůže včas zkontrolovat změny konfigurace. |
Hodnoty registru se kontrolují a automaticky opravují, aniž by bylo třeba se spoléhat na členství ve skupině počítačů nebo restartovat počítač. |
Mobilní zařízení nemůžou instalovat ani spouštět nezabezpečené aplikace. |
Uživatelé budou vyzvaní, aby nestahovali a nespouštěli potenciálně nebezpečné aplikace z internetu, ale neexistují žádná opatření, která by dodržování tohoto pokynu mohla monitorovat nebo vynutit. |
Mobilní zařízení spravovaná konektorem Microsoft Intune nebo Configuration Managerem automaticky zabraňují instalaci nebo spuštění nepodepsaných aplikací. |
V přenosných počítačích, které přepínají připojení z intranetu na internet, se musí zajistit zabezpečení. |
Uživatelé, kteří cestují, se často nemůžou připojit k síti VPN a jejich přenosné počítače přestanou být kompatibilní s požadavky na zabezpečení. |
Aby bylo možné zajistit kompatibilitu s požadavky na zabezpečení, vyžadují přenosné počítače pouze internetové připojení. Uživatelé se nemusí přihlašovat ani používat síť VPN. |
Pro splnění požadavků používá Adam následující funkce správy a možnosti konfigurace nástroje Configuration Manager:
Endpoint Protection
Aktualizace softwaru
Nastavení dodržování předpisů
Správa mobilních zařízení
Internetová správa klientů
Tyto možnosti implementuje pomocí kroků konfigurace uvedených v následující tabulce.
Kroky konfigurace |
Výsledek |
|---|---|
Adam nakonfiguruje aplikaci Endpoint Protection a povolí nastavení klienta pro odinstalaci jiných antimalwarových řešení a bránu Windows Firewall. Nakonfiguruje pravidla automatického nasazení, aby počítač mohl pravidelně kontrolovat a instalovat nejnovější aktualizace definic. |
Jediné antimalwarové řešení pomáhá chránit všechny počítače s minimálními administrativními zásahy. V případě nalezení antimalwarového softwaru se služba technické podpory automaticky upozorňuje e-mailovou zprávou, a proto je možné problémy rychle vyřešit. Tím lze zabránit útokům na jiné počítače. |
Aby bylo možné zvýšit míru kompatibility, Adam použije pravidla automatického nasazení, definuje intervaly údržby pro servery a prošetří výhody a nevýhody používání funkce Wake on LAN pro počítače, které jsou v režimu hibernace. |
Kompatibilita důležitých aktualizací softwaru se zvýší a sníží se požadavky na uživatele nebo službu technické podpory ohledně ruční instalace aktualizací softwaru. |
Adam využije nastavení kompatibility ke kontrole přítomnosti určitých aplikací. Pokud jsou aplikace nalezeny, položky konfigurace zkontrolují hodnoty registru a automaticky je opraví, pokud nejsou kompatibilní. |
Při použití položek konfigurace a standardních hodnot konfigurace, které se nasazují do všech počítačů a kontrolují kompatibilitu každý den, se už nevyžadují samostatné skripty, které jsou závislé na členství počítače a restartováních počítače. |
Adam použije nastavení kompatibility pro registrovaná mobilní zařízení a nakonfiguruje konektor systému Exchange Server, čímž se zakáže instalace a spuštění nepodepsaných aplikací v mobilních zařízeních. |
Po zakázání nepodepsaných aplikací budou mobilní zařízení automaticky chráněná před potenciálně škodlivými aplikacemi. |
Adam se ujistí, že servery systému lokality a počítače mají certifikáty PKI, které nástroj Configuration Manager požaduje pro připojení HTTPS, a poté nainstaluje další role systému lokality do hraniční sítě, která přijímá připojení klienta z internetu. |
Počítače, které automaticky přepínají připojení z intranetu na internet, budou i nadále spravovány nástrojem Configuration Manager, pokud mají připojení k internetu. Tyto počítače nezávisí na přihlášení uživatelů k počítači nebo připojení k síti VPN. Tyto počítače se budou dál spravovat z hlediska antimalwarového softwaru a brány Windows Firewall, aktualizací softwaru a položek konfigurace. V důsledku toho se úrovně kompatibility automaticky zvýší. |
Tyto kroky a výstupy konfigurace umožňují společnosti Trey Research sjednotit správu kompatibility pro zařízení.
Příklad scénáře: Zjednodušení správy klientů u zařízení
Společnost Trey Research chce, aby se ve všech nových počítačích automaticky instalovala základní image společnosti, ve které běží systém Windows 7. Po instalaci image operačního systému do těchto počítačů je třeba je spravovat a monitorovat další software, který uživatelé instalují. Počítače, ve kterých se ukládají vysoce důvěrné informace, vyžadují přísnější zásady správy než jiné počítače. Například technici služby technické podpory se k nim nesmí připojovat vzdáleně, pro restartování je nutné používat kód BitLocker PIN a software smí instalovat jenom místní správci.
Adam mapuje požadavky těchto společností podle následujících scénářů:
Požadavek |
Stav správy aktuálních klientů |
Stav správy budoucích klientů |
|---|---|---|
V nových počítačích se instaluje systém Windows 7. |
Služba technické podpory nainstaluje a nakonfiguruje systém Windows 7 pro uživatele a poté odešle počítač do příslušného umístění. |
Nové počítače přejdou přímo do konečného umístění, zapojí se do sítě a automaticky se v nich nainstaluje a nakonfiguruje systém Windows 7. |
Počítače je třeba spravovat a monitorovat. Zahrnuje inventář hardwaru a softwaru, aby bylo možné určit licenční požadavky. |
Klient nástroje Configuration Manager se nasadí pomocí automatické nabízené instalace klienta. Služba technické podpory prověří selhání instalace a klienty, kteří neodesílají data inventáře dle očekávání. K selhání často dochází kvůli závislostem instalace, které nejsou splněné, a narušení služby WMI klienta. |
Data instalace klienta a inventáře shromážděná z počítačů jsou spolehlivější a vyžadují od služby technické podpory méně zásahů. Sestavy uvádí využívání licenčních informací softwarem. |
Některé počítače musí mít přísnější zásady správy. |
Kvůli přísnějším zásadám správy se v současnosti tyto počítače nespravují nástrojem Configuration Manager. |
Tyto počítače spravujte pomocí nástroje Configuration Manager bez dalších administrativních zásahů, pokud chcete vyřešit výjimky. |
Pro splnění požadavků používá Adam následující funkce správy a možnosti konfigurace nástroje Configuration Manager:
Nasazení operačního systému
Nasazení klienta a stav klienta
Nastavení dodržování předpisů
Nastavení klienta
Inventář a Asset Intelligence
Správa na základě rolí
Tyto možnosti implementuje pomocí kroků konfigurace uvedených v následující tabulce.
Kroky konfigurace |
Výsledek |
|---|---|
Adam zaznamená bitovou kopii operačního systému Windows 7 z počítače, kde je tento systém nainstalovaný a nakonfigurovaný podle požadavků společnosti. Poté operační systém nasadí do nových počítačů s použitím podpory neznámých počítačů a technologie PXE. V rámci nasazení operačního systému nainstaluje taky klienta nástroje Configuration Manager. |
Nové počítače se uvedou do provozu rychleji bez nutnosti zásahu od služby technické podpory. |
Adam v rámci celé lokality nakonfiguruje automatickou nabízenou instalaci klienta Configuration Manager do všech zjištěných počítačů. To zajistí instalaci klienta do počítačů s bitovými kopiemi vytvořenými bez klienta, takže i tyto počítače se budou spravovat nástrojem Configuration Manager. Adam nakonfiguruje stav klienta pro automatickou opravu jakýchkoli zjištěných problémů s klientem. Adam nakonfiguruje taky nastavení klienta povolující shromažďování požadovaných dat inventáře a nakonfiguruje funkci Asset Intelligence. |
Instalace klienta společně s operačním systémem je rychlejší a spolehlivější než čekání na to, až nástroj Configuration Manager počítač zjistí a pokusí se do něj nainstalovat zdrojové soubory klienta. Ponechání povolené možnosti automatické nabízené instalace klienta však představuje záložní řešení pro počítače, které již mají nainstalovaný operační systém. U těchto počítačů dojde k instalaci klienta, když se připojí k síti. Nastavení klientů zajišťují pravidelné odesílání informací o jejich inventáři do lokality. To společně s testováním stavu pomáhá udržovat klienty v provozu s minimem zásahů od služby technické podpory. Systém například zjišťuje a automaticky opravuje poškození schématu WMI. Sestavy funkce Asset Intelligence pomáhají monitorovat využívání softwaru a příslušné licence. |
Adam vytvoří kolekci počítačů, které vyžadují přísnější nastavení zásad. Poté vytvoří vlastní nastavení klientského zařízení pro tuto kolekci, které zahrnuje zákaz vzdáleného řízení, aktivaci zadávání kódu PIN nástroje BitLocker a omezení možnosti instalace softwaru jenom na místní správce. Adam nakonfiguruje správu na základě rolí tak, aby technici služby technické podpory tuto kolekci počítačů neviděli. Tím pomůže zajistit, aby se počítače v kolekci nespravovaly nechtěně jako běžné počítače. |
Tyto počítače se nyní spravují nástrojem Configuration Manager, ale se speciálním nastavením, které nevyžaduje novou lokalitu. Kolekce těchto počítačů není viditelná technikům služby technické podpory, což omezuje riziko, že by se tyto počítače mohly nechtěně stát příjemci nasazení a skriptů pro běžné počítače. |
Tyto kroky a výstupy konfigurace umožňují společnosti Trey Research zjednodušit správu klientských zařízení.
Další kroky
Před instalací nástroje Configuration Manager se můžete seznámit s některými základními koncepcemi a termíny, které jsou pro nástroj Configuration Manager specifické.
Pokud znáte nástroj Configuration Manager 2007, přečtěte si téma Co je nového v aplikaci System Center 2012 Configuration Manager, protože ve srovnání s předchozími verzemi softwaru došlo k některým důležitým změnám v základních koncepcích a funkcích.
Pokud upgradujete z verze System Center 2012 Configuration Manager bez aktualizace Service Pack na verzi Configuration Manager SP1 nebo z verze Configuration Manager SP1 na verzi System Center 2012 R2 Configuration Manager, přečtěte si témata Co je nového v nástroji System Center 2012 Configuration Manager SP1 a Co je nového v System Center 2012 R2 Configuration Manageru obsahující informace o změnách a aktualizacích v novějších verzích.
Souhrnné technické informace o nástroji System Center 2012 Configuration Manager najdete v tématu Základy nástroje Configuration Manager.
Pokud jste obeznámení se základními koncepcemi, použijte dokumentaci k nástroji System Center 2012 Configuration Manager, která vám pomůže nástroj Configuration Manager úspěšně nasadit a používat. Další informace o dostupné dokumentaci najdete v tématu Co je nového v dokumentaci k Configuration Manageru.
Viz také
Základy použití nástroje System Center 2012 Configuration Manager