Voorbeeldscenario voor het implementeren en beheren van Configuration Manager-clients op Windows Embedded-apparaten
Van toepassing op: Configuration Manager (current branch)
Dit scenario laat zien hoe u Windows Embedded-apparaten met schrijffilters kunt beheren met Configuration Manager. Als uw ingesloten apparaten geen schrijffilters ondersteunen, gedragen ze zich als standaard Configuration Manager clients en zijn deze procedures niet van toepassing.
Coho Vineyard & Winery opent een bezoekerscentrum en heeft kiosken nodig met Windows Embedded om interactieve presentaties uit te voeren. Het gebouw voor het nieuwe bezoekerscentrum ligt niet dicht bij de IT-afdeling, dus de kiosken moeten op afstand worden beheerd. Naast de software die de presentaties uitvoert, moeten deze apparaten up-to-date antimalwarebeveiligingssoftware uitvoeren om te voldoen aan het beveiligingsbeleid van het bedrijf. De kiosken moeten 7 dagen per week draaien, zonder downtime terwijl het bezoekerscentrum open is.
Coho voert al Configuration Manager uit om apparaten op hun netwerk te beheren. Configuration Manager is geconfigureerd om Endpoint Protection uit te voeren en software-updates en toepassingen te installeren. Omdat het IT-team echter nog niet eerder Windows Embedded-apparaten heeft beheerd, voert de Configuration Manager-beheerder een testfase uit om twee kiosken in de receptielobby te beheren.
Als u deze Windows Embedded-apparaten wilt beheren waarvoor schrijffilter is ingeschakeld, voert Configuration Manager beheerder de volgende stappen uit om de Configuration Manager-client te installeren, de client te beveiligen met behulp van Endpoint Protection en de interactieve presentatiesoftware te installeren.
De Configuration Manager-beheerder (de Beheer) leest hoe Windows Embedded-apparaten schrijffilters gebruiken en hoe Configuration Manager dit eenvoudiger kunt maken door de writer-filters automatisch uit te schakelen en vervolgens opnieuw in te schakelen om een software-installatie te behouden.
Zie Planning voor clientimplementatie op Windows Embedded-apparaten voor meer informatie.
Voordat de Beheer de Configuration Manager-client installeert, maakt de Beheer een nieuwe op query's gebaseerde apparaatverzameling voor de Windows Embedded-apparaten. Omdat het bedrijf standaardnaamindelingen gebruikt om hun computers te identificeren, kunnen de Beheer Windows Embedded-apparaten uniek identificeren door de eerste zes letters van de computernaam: WEMDVC. De Beheer gebruikt de volgende WQL-query om deze verzameling te maken: selecteer SMS_R_System.NetbiosName in SMS_R_System waar SMS_R_System.NetbiosName zoals 'WEMDVC%'
Met deze verzameling kunnen de Beheer de Windows Embedded-apparaten beheren met verschillende configuratieopties van de andere apparaten. De Beheer gebruikt deze verzameling om het opnieuw opstarten te beheren, Endpoint Protection te implementeren met clientinstellingen en de interactieve presentatietoepassing te implementeren.
Zie Verzamelingen maken.
De Beheer configureert de verzameling voor een onderhoudsvenster om ervoor te zorgen dat opnieuw opstarten die mogelijk vereist is voor het installeren van de presentatietoepassing en eventuele upgrades niet plaatsvinden tijdens de openingstijden van het bezoekerscentrum. De openingstijden zijn van maandag tot en met zondag van 09:00 tot 18:00 uur. De Beheer configureert het onderhoudsvenster voor elke dag van 18:30 tot 06:00 uur.
Zie Onderhoudsvensters gebruiken voor meer informatie.
De Beheer configureert vervolgens een aangepaste apparaatclientinstelling om de Endpoint Protection-client te installeren door Ja te selecteren voor de volgende instellingen en vervolgens deze aangepaste clientinstelling te implementeren in de Windows Embedded-apparaatverzameling:
Endpoint Protection-client installeren op clientcomputers
Voor Windows Embedded-apparaten met schrijffilters voert u de installatie van de Endpoint Protection-client door (opnieuw opstarten vereist)
Toestaan dat endpoint protection-clientinstallatie en opnieuw opstarten buiten onderhoudsvensters worden uitgevoerd
Wanneer de Configuration Manager-client is geïnstalleerd, installeren deze instellingen de Endpoint Protection-client en zorgen ervoor dat deze als onderdeel van de installatie behouden blijft in het besturingssysteem, in plaats van alleen naar de overlay te worden geschreven. Het beveiligingsbeleid van het bedrijf vereist dat de antimalwaresoftware altijd is geïnstalleerd en dat de Beheer niet het risico wil lopen dat de kiosken zelfs niet gedurende een korte periode worden beveiligd als ze opnieuw worden opgestart.
Opmerking
De herstarts die nodig zijn om de Endpoint Protection-client te installeren, zijn eenmalig. Dit gebeurt tijdens de installatieperiode voor de apparaten en voordat het bezoekerscentrum operationeel is. In tegenstelling tot de periodieke implementatie van toepassingen of softwaredefinitie-updates, is de volgende keer dat de Endpoint Protection-client op hetzelfde apparaat wordt geïnstalleerd waarschijnlijk wanneer het bedrijf een upgrade uitvoert naar de volgende versie van Configuration Manager.
Zie Endpoint Protection configureren voor meer informatie.
Nu de configuratie-instellingen voor de client zijn ingesteld, bereidt de Beheer zich voor op het installeren van de Configuration Manager clients. Voordat de Beheer de clients kunt installeren, moeten ze het schrijffilter handmatig uitschakelen op de Windows Embedded-apparaten. De Beheer leest de OEM-documentatie bij de kiosken en volgt de instructies om de schrijffilters uit te schakelen.
De Beheer wijzigt de naam van het apparaat zodat het de standaard naamgevingsindeling van het bedrijf gebruikt en installeert de client vervolgens handmatig door CCMSetup uit te voeren met de volgende opdracht vanaf een toegewezen station dat de bronbestanden van de client bevat: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1
Met deze opdracht installeert u de client, wijst u de client toe aan het beheerpunt met de intranet-FQDN van mpserver.cohovineyardandwinery.com en wijst u de client toe aan de primaire site met de naam CO1.
De Beheer weet dat het altijd even duurt voordat clients hun status naar de site hebben geïnstalleerd en terugsturen. De Beheer wacht dus voordat ze bevestigen dat de clients zijn geïnstalleerd, toegewezen aan de site en worden weergegeven als clients in de verzameling die ze hebben gemaakt voor Windows Embedded-apparaten.
Als aanvullende bevestiging controleert de Beheer de eigenschappen van Configuration Manager in Configuratiescherm op de apparaten en vergelijkt deze met standaard Windows-computers die door de site worden beheerd. Op het tabblad Onderdelen geeft de hardware-inventarisagent bijvoorbeeld Ingeschakeld weer en op het tabblad Acties zijn er 11 beschikbare acties, waaronder evaluatiecyclus voor toepassingsimplementatie en cyclus voor het verzamelen van gegevens.
Als u er zeker van bent dat de clients zijn geïnstalleerd, toegewezen en clientbeleid ontvangen van het beheerpunt, schakelt de Beheer vervolgens handmatig de schrijffilters in door de instructies van de OEM te volgen.
Zie voor meer informatie:
Nu de Configuration Manager-client is geïnstalleerd op de Windows Embedded-apparaten, bevestigt de Beheer dat ze deze op dezelfde manier kunnen beheren als de standaard Windows-clients. Vanuit de Configuration Manager-console kunt de Beheer ze bijvoorbeeld op afstand beheren met behulp van extern beheer, clientbeleid voor hen initiëren en clienteigenschappen en hardware-inventaris bekijken.
Omdat deze apparaten zijn toegevoegd aan een Active Directory-domein, hoeft de Beheer ze niet handmatig goed te keuren als vertrouwde clients en bevestigt de Configuration Manager console dat ze zijn goedgekeurd.
Zie Clients beheren voor meer informatie.
Als u de interactieve presentatiesoftware wilt installeren, voert de Beheer de wizard Software implementeren uit en configureert u een vereiste toepassing. Op de pagina Gebruikerservaring van de wizard accepteren ze in de sectie Afhandeling van schrijffilters voor Windows Embedded-apparaten de standaardoptie die Wijzigingen doorvoeren bij deadline of tijdens een onderhoudsvenster (opnieuw opstarten vereist) selecteert.
De Beheer behoudt deze standaardoptie voor schrijffilters om ervoor te zorgen dat de toepassing blijft bestaan na het opnieuw opstarten, zodat deze altijd beschikbaar is voor de bezoekers die de kiosken gebruiken. Het dagelijkse onderhoudsvenster biedt een veilige periode waarin de installatie opnieuw wordt opgestart en eventuele updates kunnen plaatsvinden.
De Beheer implementeert de toepassing in de verzameling Windows Embedded-apparaten.
Zie Toepassingen implementeren met Configuration Manager voor meer informatie.
Voor het configureren van definitie-updates voor Endpoint Protection gebruikt de Beheer software-updates en wordt de wizard Regel voor automatische implementatie maken uitgevoerd. Ze selecteren de sjabloon Definitie Updates om de wizard vooraf in te vullen met instellingen die geschikt zijn voor Endpoint Protection.
Deze instellingen omvatten het volgende op de pagina Gebruikerservaring van de wizard:
Deadlinegedrag: het selectievakje Software-installatie is niet ingeschakeld.
Verwerking van schrijffilters voor Windows Embedded-apparaten: het selectievakje Wijzigingen doorvoeren bij deadline of tijdens een onderhoudsvenster (vereist opnieuw opstarten) is niet ingeschakeld.
De Beheer behoudt deze standaardinstellingen. Samen maken deze twee opties met deze configuratie het mogelijk om software-updatedefinities voor Endpoint Protection overdag in de overlay te installeren en niet te wachten om te worden geïnstalleerd en vastgelegd tijdens het onderhoudsvenster. Deze configuratie voldoet het beste aan het beveiligingsbeleid van het bedrijf voor computers om up-to-date antimalwarebeveiliging uit te voeren.
Opmerking
In tegenstelling tot software-installaties voor toepassingen kunnen software-updatedefinities voor Endpoint Protection zeer vaak voorkomen, zelfs meerdere keren per dag. Het zijn vaak kleine bestanden. Voor dit soort beveiligingsimplementaties kan het vaak handig zijn om altijd op de overlay te installeren in plaats van te wachten tot het onderhoudsvenster. De Configuration Manager-client installeert de softwaredefinitie-updates snel opnieuw als het apparaat opnieuw wordt opgestart, omdat met deze actie een evaluatiecontrole wordt gestart en niet wordt gewacht tot de volgende geplande evaluatie.
De Beheer selecteert de verzameling Windows Embedded-apparaten voor de regel voor automatische implementatie.
Meer informatie hierover kunt u lezen in
Stap 3: configureer Configuration Manager software-Updates om definitie-Updates te leveren aan clientcomputers in Endpoint Protection configureren
De Beheer besluit een onderhoudstaak te configureren waarmee alle wijzigingen op de overlay periodiek worden doorgevoerd. Deze taak is ter ondersteuning van de implementatie van software-updatedefinities, om het aantal updates te verminderen dat zich verzamelt en opnieuw moet worden geïnstalleerd, telkens wanneer het apparaat opnieuw wordt opgestart. In de ervaring van de Beheer helpt dit om de antimalwareprogramma's efficiënter uit te voeren.
Opmerking
Deze software-updatedefinities worden automatisch doorgevoerd in de installatiekopieën als de ingesloten apparaten een andere beheertaak hebben uitgevoerd die ondersteuning biedt voor het doorvoeren van de wijzigingen. Als u bijvoorbeeld een nieuwe versie van de interactieve presentatiesoftware installeert, worden de wijzigingen voor software-updatedefinities ook doorgevoerd. Of als u elke maand standaardsoftware-updates installeert die tijdens het onderhoudsvenster worden geïnstalleerd, kunnen ook de wijzigingen voor software-updatedefinities worden doorgevoerd. In dit scenario, waarbij standaardsoftware-updates niet worden uitgevoerd en de interactieve presentatiesoftware waarschijnlijk niet vaak wordt bijgewerkt, kan het echter maanden duren voordat de softwaredefinitie-updates automatisch aan de installatiekopieën worden doorgevoerd.
De Beheer maakt eerst een aangepaste takenreeks met geen andere instellingen dan de naam. Ze voeren de wizard Takenreeks maken uit:
Op de pagina Een nieuwe takenreeks maken selecteert de Beheer Een nieuwe aangepaste takenreeks maken en klikt u vervolgens op Volgende.
Op de pagina Takenreeksgegevens voert de Beheer Onderhoudstaak in om wijzigingen door te voeren op ingesloten apparaten voor de takenreeksnaam en klikt vervolgens op Volgende.
Op de pagina Samenvatting selecteert de Beheer Volgende en voltooit de wizard.
De Beheer implementeert vervolgens deze aangepaste takenreeks in de verzameling Windows Embedded-apparaten en configureert de planning om elke maand uit te voeren. Als onderdeel van de implementatie-instellingen schakelen ze het selectievakje Wijzigingen doorvoeren bij deadline of tijdens een onderhoudsvenster (vereist opnieuw opstarten) in om de wijzigingen na het opnieuw opstarten te behouden. Als u deze implementatie wilt configureren, selecteert de Beheer de aangepaste takenreeks die ze zojuist hebben gemaakt en klikt u vervolgens op het tabblad Start in de groep Implementatie op Implementeren om de wizard Software implementeren te starten:
Op de pagina Algemeen selecteert de Beheer de verzameling Windows Embedded-apparaten en klikt u vervolgens op Volgende.
Op de pagina Implementatie-instellingen selecteert de Beheer het doel van Vereist en klikt vervolgens op Volgende.
Op de pagina Planning klikt de Beheer op Nieuw om een wekelijks schema op te geven tijdens het onderhoudsvenster en klikt vervolgens op Volgende.
De Beheer voltooit de wizard zonder verdere wijzigingen.
Meer informatie hierover kunt u lezen in
Takenreeksen beheren om taken te automatiseren.
Om de kiosken automatisch te laten uitvoeren, schrijft de Beheer een script om de apparaten te configureren voor de volgende instellingen:
Meld u automatisch aan met een gastaccount zonder wachtwoord.
Voer de interactieve presentatiesoftware automatisch uit bij het opstarten.
De Beheer maakt gebruik van pakketten en programma's om dit script te implementeren in de verzameling Windows Embedded-apparaten. Wanneer de Beheer de wizard Software implementeren uitvoert, schakelen ze opnieuw het selectievakje Wijzigingen doorvoeren bij deadline of tijdens een onderhoudsvenster (vereist opnieuw opstarten) in om de wijzigingen na het opnieuw opstarten te behouden.
Zie Pakketten en programma's voor meer informatie.
De volgende ochtend controleert de Beheer de Windows Embedded-apparaten. Ze bevestigen het volgende:
De kiosk wordt automatisch aangemeld met behulp van het gastaccount.
De interactieve presentatiesoftware wordt uitgevoerd.
De Endpoint Protection-client is geïnstalleerd en heeft de nieuwste software-updatedefinities.
Dat het apparaat opnieuw is opgestart tijdens het onderhoudsvenster.
Zie voor meer informatie:
De Beheer bewaakt de kiosken en rapporteert het succesvolle beheer ervan aan hun manager. Als gevolg hiervan worden 20 kiosken besteld voor het bezoekerscentrum.
Om de handmatige installatie van de Configuration Manager-client te voorkomen, waarbij de schrijffilters handmatig moeten worden uitgeschakeld en vervolgens moeten worden ingeschakeld, zorgt de Beheer ervoor dat de bestelling een aangepaste installatiekopieën bevat die al de installatie en sitetoewijzing van de Configuration Manager-client bevat. Bovendien hebben de apparaten een naam volgens de naamgevingsindeling van het bedrijf.
De kiosken worden een week voor de opening bezorgd bij het bezoekerscentrum. Gedurende deze tijd zijn de kiosken verbonden met het netwerk, is alle apparaatbeheer voor de kiosken automatisch en is er geen lokale beheerder vereist. De Beheer bevestigt dat de kiosken naar behoren functioneren:
De clients in de kiosken voltooien de sitetoewijzing en downloaden de vertrouwde hoofdsleutel van Active Directory Domain Services.
De clients in de kiosken worden automatisch toegevoegd aan de verzameling Windows Embedded-apparaten en geconfigureerd met het onderhoudsvenster.
De Endpoint Protection-client is geïnstalleerd en heeft de nieuwste software-updatedefinities voor antimalwarebeveiliging.
De interactieve presentatiesoftware wordt geïnstalleerd en wordt automatisch uitgevoerd, klaar voor bezoekers.
Na deze eerste installatie worden alle herstarts die mogelijk nodig zijn voor updates alleen uitgevoerd wanneer het bezoekerscentrum is gesloten.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor