Beispielszenarien für die Implementierung der Verwaltung gewünschter Konfigurationen

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

In den folgenden Abschnitten finden Sie Beispielszenarien für die Implementierung der Verwaltung gewünschter Konfigurationen in Configuration Manager 2007, um die folgenden Unternehmensanforderungen zu erfüllen:

  • Vergleichen der Konfiguration von Computern mit einer bewährten Konfiguration von Microsoft und anderen Herstellern

  • Beheben von Nichtkompatibilitäten mittels einer Softwareverteilung, bei der für Computer vorgesehene Softwarepakete oder Skripts mithilfe einer Sammlung verteilt werden, die automatisch mit den Computern aufgefüllt wird, die eine Nichtkompatibilität melden

Vergleichen der Konfiguration von Computern mit einer bewährten Konfiguration von Microsoft und anderen Herstellern

In diesem Szenario wird gezeigt, wie Benutzer die Konfiguration von Microsoft Exchange Server mit den in den Microsoft System Center Configuration Manager 2007-Konfigurationspaketen angegebenen bewährten Methoden vergleichen und eine möglicherweise nachteilige Konfiguration erkennen können, bevor diese sich negativ auf Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) auswirkt.

Bei der Woodgrove Bank wurde Microsoft Exchange Server als zentrales E-Mail-System bereitgestellt. In letzter Zeit sind bei der Bank einige Systemausfälle aufgetreten, bei denen der Microsoft Exchange-Informationsspeicher unerwartet heruntergefahren wurde. Nach mehrtägiger Untersuchung stellte Ralf Riethmüller, Exchange Server-Administrator der Woodgrove Bank, fest, dass die Ausfälle auf eine Reihe falscher Einstellungen zurückzuführen waren. Um unvorhergesehene Ausfallzeiten in Zukunft zu vermeiden, muss für die Woodgrove Bank eine Möglichkeit gefunden werden, mit der falsche Einstellungen in der Konfiguration von Computern mit Microsoft Exchange Server festgestellt werden können.

Peter Brehm ist der IT-Systemmanager der Woodgrove Bank. Er weiß, dass Microsoft eine Reihe empfohlener Konfigurationen für Microsoft Exchange Server 2003 als Konfigurationspaket veröffentlicht hat, das mit der Verwaltung gewünschter Konfigurationen in Configuration Manager 2007 angewendet werden kann. Er entscheidet sich, die Aktionen in der folgenden Tabelle durchzuführen.

Prozess Referenz

Ralf und Peter zeigen die Webseite zum Herunterladen von Konfigurationsdaten von Microsoft an und laden ein Konfigurationspaket für Exchange Server 2003 herunter.

http://go.microsoft.com/fwlink/?LinkId=71837 (möglicherweise in englischer Sprache)

Sie überprüfen den Prozess zum Erstellen einer Konfigurationsbasislinie mithilfe von Konfigurationspaketen.

Administratorworkflow: Erstellen einer Konfigurationsbasislinie mit Konfigurationselementen aus einem Konfigurationspaket

Sie prüfen, ob der Configuration Manager 2007-Standort der Bank für die Verwaltung gewünschter Konfigurationen aktiviert und auf allen Clients Microsoft .NET Framework Version 2 oder höher installiert ist.

Aktivieren oder Deaktivieren des Client-Agents für die Verwaltung gewünschter Konfigurationen

Identifizieren von Computern, die nicht über .NET Framework v2.0 für die Verwaltung gewünschter Konfigurationen verfügen

Sie finden ein Konfigurationselement für Exchange Server 2003, das zur Serverumgebung der Bank sehr gut passt und importieren es in Configuration Manager 2007.

Importieren der Konfigurationselemente in die Verwaltung gewünschter Konfigurationen

Sie erstellen eine Konfigurationsbasislinie und fügen das Konfigurationselement der folgenden Konfigurationsbasislinienregel hinzu:

  • Diese Anwendungskonfigurationselemente und allgemeinen Konfigurationselemente sind notwendig und müssen ordnungsgemäß konfiguriert werden.

Erstellen einer neuen Konfigurationsbasislinie in der Verwaltung gewünschter Konfigurationen

Hinzufügen eines Konfigurationselements zu einer Konfigurationsbasislinie in der Verwaltung gewünschter Konfigurationen

Sie weisen die Konfigurationsbasislinie einer Sammlung zu, die nur Server mit Microsoft Exchange Server 2003 enthält, und konfigurieren den Bewertungszeitplan so, dass er jeden Tag um Mitternacht ausgeführt wird.

Zuweisen der Konfigurationsbasislinien in der Verwaltung gewünschter Konfigurationen

Festlegen des Zeitplans für die Kompatibilitätsbewertung bei der Zuweisung einer Konfigurationsbasislinie in der Verwaltung gewünschter Konfigurationen

Wenn dem Standort die Ergebnisse der Kompatibilitätsbewertung gemeldet werden, zeigen sie die Kompatibilitätsberichte an und vergewissern sich, dass die von den bewährten Microsoft-Konfigurationen abweichende Konfiguration der Server der Bank nicht durch bestimmte Unternehmensanforderungen begründet ist.

Anzeigen der Kompatibilitätsergebnisse für die Verwaltung gewünschter Konfigurationen

Peter bittet Ralf, alle Server mit Microsoft Exchange Server gemäß der Konfigurationsbasislinie zu konfigurieren und die Kompatibilitätsergebnisse weiterhin zu überwachen.

Unternehmensspezifischer Prozess.

Ralf überprüft jeden Morgen die Kompatibilitätsberichte und untersucht jedes Nichtkompatibilitätsergebnis, bevor sich dieses auf die Leistung auswirken oder die Server der Bank dem Risiko einer nicht geplanten Ausfallzeit aussetzen kann.

Unternehmensspezifischer Prozess.

Dies ist ein mögliches Ergebnis nach der Implementierung der Verwaltung gewünschter Konfigurationen auf die hier dargestellte Weise:

  • Drei Monate später bestätigt Peter, dass die Anzahl der nicht geplanten Ausfallzeiten erheblich gesunken ist.

Beheben von Nichtkompatibilitäten mittels einer Softwareverteilung, bei der für Computer vorgesehene Softwarepakete oder Skripts mithilfe einer Sammlung verteilt werden, die automatisch mit den Computern aufgefüllt wird, die eine Nichtkompatibilität melden

In diesem Szenario wird gezeigt, wie Benutzer Nichtkompatibilitäten bei Sicherheitseinstellungen mithilfe der Verwaltung gewünschter Konfigurationen beheben können.

Bei A. Datum Corporation gibt es mehrere Mitarbeiter im Vertrieb, die regelmäßig Kunden besuchen, um Neuigkeiten vorzustellen und die Kunden bei der Lösung von technischen Problemen zu unterstützen. Beim Verlassen des Unternehmensnetzwerks konfigurieren die Vertriebsmitarbeiter ihre Laptops häufig neu, um mit den Netzwerken der Kunden interagieren und Daten gemeinsam nutzen zu können. Bei der Rückkehr ins Büro sind die Laptops häufig nicht mehr mit den Standards des Unternehmens kompatibel. Insbesondere Firewalleinstellungen und Microsoft Windows-Sicherheitsberechtigungen werden häufig geändert, um Informationen austauschen zu können.

Für das Sicherheitsteam ist es sehr zeitaufwändig, die nicht kompatiblen Änderungen zu identifizieren und sicherzustellen, dass auf diesen Laptops keine Malware ausgeführt wird und dass diese Laptops kein Sicherheitsrisiko für das Netzwerk des Unternehmens darstellen. A. Datum Corporation möchte einen automatisierten Mechanismus, mit dem diese Laptops bewertet und mithilfe von Korrekturskripts so wiederhergestellt werden, dass sie wieder den Unternehmensstandards entsprechen.

Tanja Plate arbeitet im Sicherheitsteam von A. Datum Corporation. Zusammen mit dem Configuration Manager-Administrator Torsten Arndt führt sie die Aktionen in der folgenden Tabelle durch.

Prozess Referenz

Tanja erstellt eine Reihe von Konfigurationselementen und anschließend eine Konfigurationsbasislinie, die diese Konfigurationselemente enthält.

Diese Konfigurationsdaten definieren die erforderlichen Sicherheitseinstellungen für Laptops im Unternehmensnetzwerk. Tanja weist diesen die neue Konfigurationskategorie „Sicherheit“ hinzu, sodass sie sie leicht finden kann, wenn sie zu einem späteren Zeitpunkt Änderungen an den Einstellungen vornehmen muss.

Die Einstellungen werden abhängig von ihrer Wichtigkeit mit unterschiedlichen Nichtkompatibilitätsschweregraden konfiguriert, um die Einstellungen leichter finden zu können, die für das Netzwerk die größte Bedrohung darstellen, wenn sie nicht kompatibel sind.

Erstellen eines neuen Konfigurationselements in der Verwaltung gewünschter Konfigurationen

Erstellen einer neuen Konfigurationsbasislinie in der Verwaltung gewünschter Konfigurationen

Zuweisen von Konfigurationskategorien zu Konfigurationselementen und Konfigurationsbasislinien in der Verwaltung gewünschter Konfigurationen

Informationen zum Nichtkompatibilitätsschweregrad in der Verwaltung gewünschter Konfigurationen

Torsten weist die Konfigurationsbasislinie einer Sammlung zu, die die Laptopcomputer enthält, und konfiguriert den Zeitplan so, dass diese Konfigurationsbasislinie häufiger ausgeführt wird als andere, mit denen keine Sicherheitseinstellungen überprüft werden.

Zuweisen der Konfigurationsbasislinien in der Verwaltung gewünschter Konfigurationen

Festlegen des Zeitplans für die Kompatibilitätsbewertung bei der Zuweisung einer Konfigurationsbasislinie in der Verwaltung gewünschter Konfigurationen

Das Sicherheitsteam hat bereits ein benutzerdefiniertes Skript erstellt, mit dem die Laptops auf Malware geprüft und alle erforderlichen Sicherheitseinstellungen konfiguriert werden. Wenn Malware erkannt wird, erstellt das Skript eine E-Mail-Benachrichtigung an das Sicherheitsteam.

Tanja gibt Torsten dieses Skript, der dafür in Configuration Manager ein Paket erstellt und es auf Configuration Manager-Verteilungspunkten hostet.

Erstellen eines Pakets

Übersicht über die Softwareverteilung

Torsten erstellt mithilfe einer Abfrage eine Sammlung, die automatisch mit Computern aufgefüllt wird, für die der höchsten Nichtkompatibilitätsschweregrad gemeldet wird.

Torsten konfiguriert den Zeitplan zum Aktualisieren der Sammlungsmitgliedschaft so, dass er jede Stunde ausgeführt wird, und kündigt das in einem Paket gespeicherte Skript dieser Sammlung an.

Wiederherstellen nicht kompatibler Computer mittels Softwareverteilung

Planen von Sammlungsupdates

Torsten überwacht die Kompatibilität der Laptops mithilfe der Startseite für die Verwaltung gewünschter Konfigurationen. Außerdem vergewissert er sich, dass die Sammlung automatisch mit nicht kompatiblen Computern aufgefüllt wird, dass das Skript auf diesen Computern ausgeführt wird und dass die Computer anschließend aus der Sammlung entfernt werden.

Er kann die Laptops, für die gemeldet wird, dass sie der Sicherheitsbasislinie nicht entsprechen, mithilfe des Nichtkompatibilitätsschweregrads und der Konfigurationsbasislinienkategorie „Sicherheit“ leicht erkennen.

Verwenden der Startseite der Verwaltung gewünschter Konfigurationen

Verwenden des Nichtkompatibilitätsschweregrads

Die Mitglieder des Sicherheitsteams werden mit einer E-Mail-Nachricht benachrichtigt, wenn Malware erkannt wird, sodass sie den Laptop suchen, die Malware entfernen und weitere Prüfungen durchführen und so die Integrität der Daten auf dem Laptop sicherstellen.

Sie überprüfen die Laptops regelmäßig, um sicherzustellen, dass Computer, für die aufgrund der Nichtkompatibilität mit den Sicherheitsrichtlinien ein Windows-Ereignis angezeigt wird, erfolgreich wiederhergestellt wurden.

Unternehmensspezifische Prozesse

Dies ist ein mögliches Ergebnis nach der Implementierung der Verwaltung gewünschter Konfigurationen auf die hier dargestellte Weise:

  • Nicht kompatibler Laptop verbindet sich wieder mit dem Unternehmensnetzwerk und wird automatisch wiederhergestellt.

    Einer der Vertriebsmitarbeiter kehrt von einem Kundenbesuch zurück. Der auf dem Laptop ausgeführte Configuration Manager-Client hat bei der letzten Verbindung mit dem Unternehmensnetzwerk die Sicherheitskonfigurationsbasislinie heruntergeladen und bewertet seine Kompatibilität weiterhin anhand der zugewiesenen Konfigurationsbasislinien.

    Der Vertriebsmitarbeiter hatte Probleme beim Herstellen einer Verbindung und hat die Firewall deaktiviert, um das Problem zu beheben, die Firewall aber anschließend nicht wieder aktiviert. Beim erneuten Herstellen einer Verbindung mit dem Unternehmensnetzwerk werden die Nichtkompatibilitätsergebnisse des Laptops an den Configuration Manager-Standort gesendet.

    Der Laptop wird dann automatisch der Sammlung hinzugefügt, der das Skript angekündigt wurde. Es wird keine Malware erkannt. Somit muss das Sicherheitsteam keine weiteren Maßnahmen ergreifen, da das Wiederherstellungsskript auf dem Laptop automatisch ausgeführt wird.

    Die Kompatibilität des Laptops wurde ohne Eingreifen des Administrators wiederhergestellt.

Siehe auch

Andere Ressourcen

Übersicht über die Verwaltung gewünschter Konfigurationen

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com