Przykładowy scenariusz wdrażania klientów Configuration Manager i zarządzania nimi na urządzeniach z systemem Windows Embedded

Dotyczy: programu Configuration Manager (bieżąca gałąź)

W tym scenariuszu pokazano, jak można zarządzać urządzeniami z systemem Windows Embedded z obsługą filtru zapisu przy użyciu Configuration Manager. Jeśli urządzenia osadzone nie obsługują filtrów zapisu, zachowują się jako standardowa Configuration Manager klientów i te procedury nie mają zastosowania.

Winnica Coho & Winery otwiera centrum dla odwiedzających i potrzebuje kiosków z systemem Windows Embedded do uruchamiania interaktywnych prezentacji. Budynek nowego centrum dla zwiedzających nie znajduje się w pobliżu działu IT, więc kioski muszą być zarządzane zdalnie. Oprócz oprogramowania, na których są uruchamiane prezentacje, urządzenia te muszą uruchamiać aktualne oprogramowanie chroniące przed złośliwym kodem w celu zapewnienia zgodności z zasadami bezpieczeństwa firmy. Kioski muszą działać 7 dni w tygodniu, bez przestojów, gdy centrum dla zwiedzających jest otwarte.

Coho już uruchamia Configuration Manager do zarządzania urządzeniami w sieci. Configuration Manager jest skonfigurowany do uruchamiania programu Endpoint Protection oraz instalowania aktualizacji oprogramowania i aplikacji. Jednak ponieważ zespół IT nie zarządzał wcześniej urządzeniami z systemem Windows Embedded, administrator Configuration Manager uruchamia pilotaż do zarządzania dwoma kioskami w holu recepcji.

Aby zarządzać tymi urządzeniami z systemem Windows Embedded, na których włączono filtrowanie zapisu, administrator Configuration Manager wykonuje następujące kroki, aby zainstalować klienta Configuration Manager, chronić klienta przy użyciu programu Endpoint Protection i zainstalować interaktywne oprogramowanie do prezentacji.

1. Administrator Configuration Manager (Administracja) odczytuje sposób, w jaki urządzenia z systemem Windows Embedded używają filtrów zapisu i jak Configuration Manager może to ułatwić, automatycznie wyłączając, a następnie ponownie włączając filtry zapisywania w celu utrwalenia instalacji oprogramowania.

   Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia klienta na urządzeniach z systemem Windows Embedded.

2. Przed zainstalowaniem klienta Configuration Manager Administracja Administracja tworzy nową kolekcję urządzeń opartych na zapytaniach dla urządzeń z systemem Windows Embedded. Ponieważ firma używa standardowych formatów nazewnictwa do identyfikowania swoich komputerów, Administracja może jednoznacznie identyfikować urządzenia z systemem Windows Embedded przy użyciu pierwszych sześciu liter nazwy komputera: WEMDVC. Administracja używa następującego zapytania WQL do utworzenia tej kolekcji: wybierz pozycję SMS_R_System.NetbiosName z SMS_R_System gdzie SMS_R_System.NetbiosName, na przykład "WEMDVC%"

   Ta kolekcja umożliwia Administracja zarządzanie urządzeniami z systemem Windows Embedded przy użyciu innych opcji konfiguracji niż inne urządzenia. Administracja będzie używać tej kolekcji do kontrolowania ponownych uruchomień, wdrażania programu Endpoint Protection z ustawieniami klienta i wdrażania interaktywnej aplikacji prezentacji.

   Zobacz Jak tworzyć kolekcje.

3. Administracja konfiguruje kolekcję dla okna konserwacji, aby upewnić się, że ponowne uruchomienie, które może być wymagane do zainstalowania aplikacji prezentacji, i wszelkie uaktualnienia nie występują w godzinach otwarcia centrum dla odwiedzających. Godziny otwarcia będą od 09:00 do 18:00, od poniedziałku do niedzieli. Administracja konfiguruje okno obsługi dla każdego dnia od 18:30 do 06:00.

4. Aby uzyskać więcej informacji, zobacz Jak używać okien obsługi.

5. Następnie Administracja konfiguruje niestandardowe ustawienie klienta urządzenia w celu zainstalowania klienta programu Endpoint Protection, wybierając pozycję Tak dla następujących ustawień, a następnie wdraża to niestandardowe ustawienie klienta w kolekcji urządzeń z systemem Windows Embedded:

   • Instalowanie klienta programu Endpoint Protection na komputerach klienckich

   • W przypadku urządzeń z systemem Windows Embedded z filtrami zapisu zatwierdź instalację klienta programu Endpoint Protection (wymaga ponownego uruchomienia)

   • Zezwalaj na instalację i ponowne uruchamianie klienta programu Endpoint Protection poza oknami obsługi

     Po zainstalowaniu klienta Configuration Manager te ustawienia instalują klienta programu Endpoint Protection i upewnij się, że jest on utrwalony w systemie operacyjnym w ramach instalacji, a nie zapisywany tylko w nakładce. Zasady zabezpieczeń firmy wymagają, aby oprogramowanie chroniące przed złośliwym kodem było zawsze zainstalowane, a Administracja nie chce narażać kiosków na niechronione przez nawet krótki okres czasu, jeśli zostaną uruchomione ponownie.

   Uwaga

   Ponowne uruchomienia wymagane do zainstalowania klienta programu Endpoint Protection są jednorazowym wystąpieniem, które ma miejsce w okresie konfiguracji urządzeń i przed uruchomieniem centrum dla odwiedzających. W przeciwieństwie do okresowego wdrażania aplikacji lub aktualizacji definicji oprogramowania, następnym razem, gdy klient programu Endpoint Protection zostanie zainstalowany na tym samym urządzeniu, prawdopodobnie nastąpi uaktualnienie firmy do następnej wersji Configuration Manager.

   Aby uzyskać więcej informacji, zobacz Konfigurowanie programu Endpoint Protection.

6. Po wprowadzeniu ustawień konfiguracji klienta Administracja przygotowuje się do zainstalowania klientów Configuration Manager. Aby Administracja mogli zainstalować klientów, muszą ręcznie wyłączyć filtr zapisu na urządzeniach z systemem Windows Embedded. Administracja odczytuje dokumentację OEM, która towarzyszy kioskom, i przestrzega ich instrukcji wyłączania filtrów zapisu.

   Administracja zmienia nazwę urządzenia, aby używać standardowego formatu nazewnictwa firmy, a następnie ręcznie instaluje klienta, uruchamiając polecenie CCMSetup z następującym poleceniem z zamapowanego dysku, który przechowuje pliki źródłowe klienta: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   To polecenie instaluje klienta, przypisuje klienta do punktu zarządzania, który ma intranetowe nazwy FQDN mpserver.cohovineyardandwinery.com, i przypisuje klienta do lokacji głównej o nazwie CO1.

   Administracja wie, że zainstalowanie i odesłanie ich stanu do lokacji zawsze zajmuje trochę czasu klientom. Dlatego Administracja czeka, zanim potwierdzą, że klienci pomyślnie zainstalują, przypisują do lokacji i pojawią się jako klienci w kolekcji utworzonej dla urządzeń z systemem Windows Embedded.

   Jako dodatkowe potwierdzenie Administracja sprawdza właściwości Configuration Manager w Panel sterowania na urządzeniach i porównuje je ze standardowymi komputerami z systemem Windows zarządzanymi przez lokację. Na przykład na karcie Składnikiagent spisu sprzętu wyświetla wartość Włączone, a na karcie Akcje dostępnych jest 11 akcji, które obejmują cykl oceny wdrożenia aplikacji i cykl zbierania danych odnajdywania.

   Mając pewność, że klienci są pomyślnie instalowani, przypisywani i odbierający zasady klienta z punktu zarządzania, Administracja następnie ręcznie włącza filtry zapisu, postępując zgodnie z instrukcjami dotyczącymi producenta OEM.

   Więcej informacji można znaleźć w następujących artykułach:

   • Jak wdrażać klientów na komputerach z systemem Windows

   • Jak przypisać klientów do lokacji

7. Teraz, gdy klient Configuration Manager jest zainstalowany na urządzeniach z systemem Windows Embedded, Administracja potwierdza, że może zarządzać nimi w taki sam sposób, jak w przypadku standardowych klientów systemu Windows. Na przykład w konsoli Configuration Manager Administracja może zdalnie nimi zarządzać za pomocą zdalnego sterowania, inicjować dla nich zasady klienta oraz wyświetlać właściwości klienta i spis sprzętu.

   Ponieważ te urządzenia są przyłączone do domeny usługi Active Directory, Administracja nie musi ręcznie zatwierdzać ich jako zaufanych klientów i potwierdza z konsoli Configuration Manager, że zostały zatwierdzone.

   Aby uzyskać więcej informacji, zobacz Jak zarządzać klientami.

8. Aby zainstalować oprogramowanie interaktywnej prezentacji, Administracja uruchamia Kreatora wdrażania oprogramowania i konfiguruje wymaganą aplikację. Na stronie Środowisko użytkownika kreatora w sekcji Obsługa filtru zapisu dla urządzeń z systemem Windows Embedded akceptują domyślną opcję, która wybiera opcję Zatwierdź zmiany w terminie ostatecznym lub w oknie konserwacji (wymaga ponownego uruchomienia).

   Administracja zachowuje tę domyślną opcję dla filtrów zapisu, aby upewnić się, że aplikacja będzie się powtarzać po ponownym uruchomieniu, dzięki czemu będzie zawsze dostępna dla odwiedzających przy użyciu kiosków. Dzienne okno obsługi zapewnia bezpieczny okres, w którym ponowne uruchomienie instalacji i wszelkie aktualizacje mogą wystąpić.

   Administracja wdraża aplikację w kolekcji urządzeń z systemem Windows Embedded.

   Aby uzyskać więcej informacji, zobacz How to deploy applications with Configuration Manager (Jak wdrażać aplikacje za pomocą Configuration Manager).

9. Aby skonfigurować aktualizacje definicji dla programu Endpoint Protection, Administracja używa aktualizacji oprogramowania i uruchamia Kreatora tworzenia reguł wdrażania automatycznego. Wybierają szablon Definition Aktualizacje, aby wstępnie wypełnić kreatora ustawieniami odpowiednimi dla programu Endpoint Protection.

   Te ustawienia obejmują następujące ustawienia na stronie Środowisko użytkownika kreatora:

   • Zachowanie terminu ostatecznego: nie zaznaczono pola wyboru Instalacja oprogramowania .

   • Obsługa filtrów zapisu dla urządzeń z systemem Windows Embedded: Pole wyboru Zatwierdzanie zmienia się w terminie ostatecznym lub w oknie konserwacji (wymaga ponownego uruchomienia).

     Administracja zachowuje te ustawienia domyślne. Razem te dwie opcje z tą konfiguracją umożliwiają zainstalowanie dowolnych definicji aktualizacji oprogramowania dla programu Endpoint Protection w nakładce w ciągu dnia i nie czekaj na zainstalowanie i zatwierdzenia w oknie konserwacji. Ta konfiguracja najlepiej spełnia zasady zabezpieczeń firmy dla komputerów w celu uruchamiania aktualnej ochrony przed złośliwym kodem.

     Uwaga

     W przeciwieństwie do instalacji oprogramowania dla aplikacji definicje aktualizacji oprogramowania dla programu Endpoint Protection mogą występować bardzo często, nawet kilka razy dziennie. Są to często małe pliki. W przypadku tych typów wdrożeń związanych z zabezpieczeniami często korzystne może być zawsze instalowanie na nakładce, zamiast czekać na okno obsługi. Klient Configuration Manager szybko ponownie zainstaluje aktualizacje definicji oprogramowania, jeśli urządzenie zostanie ponownie uruchomione, ponieważ ta akcja inicjuje sprawdzanie oceny i nie czeka do następnej zaplanowanej oceny.

     Administracja wybiera kolekcję urządzeń z systemem Windows Embedded dla reguły wdrażania automatycznego.

     Aby uzyskać więcej informacji, zobacz
     Krok 3. Konfigurowanie Aktualizacje Configuration Manager oprogramowania w celu dostarczania Aktualizacje definicji do komputerów klienckich podczas konfigurowania programu Endpoint Protection

10. Administracja decyduje się skonfigurować zadanie konserwacji, które okresowo zatwierdza wszystkie zmiany na nakładce. To zadanie polega na obsłudze wdrażania definicji aktualizacji oprogramowania w celu zmniejszenia liczby aktualizacji, które gromadzą się i muszą zostać zainstalowane ponownie, za każdym razem, gdy urządzenie zostanie ponownie uruchomione. W środowisku Administracja pomaga to w wydajniejszym uruchamianiu programów chroniących przed złośliwym kodem.

    Uwaga

    Te definicje aktualizacji oprogramowania zostaną automatycznie zatwierdzone do obrazu, jeśli urządzenia osadzone uruchomią inne zadanie zarządzania, które obsługiwało zatwierdzanie zmian. Na przykład zainstalowanie nowej wersji oprogramowania prezentacji interaktywnej spowoduje również zatwierdzenie zmian definicji aktualizacji oprogramowania. Ponadto instalowanie standardowych aktualizacji oprogramowania co miesiąc, które są instalowane podczas okna konserwacji, może również zatwierdzić zmiany definicji aktualizacji oprogramowania. Jednak w tym scenariuszu, w którym standardowe aktualizacje oprogramowania nie są uruchamiane, a oprogramowanie interaktywnej prezentacji jest mało prawdopodobne, aby było bardzo często aktualizowane, może minąć kilka miesięcy, zanim aktualizacje definicji oprogramowania zostaną automatycznie zatwierdzone do obrazu.

    Administracja najpierw tworzy niestandardową sekwencję zadań, która nie ma żadnych ustawień innych niż nazwa. Uruchamiają Kreatora tworzenia sekwencji zadań:

    1. Na stronie Tworzenie nowej sekwencji zadań Administracja wybierz pozycję Utwórz nową niestandardową sekwencję zadań, a następnie kliknij przycisk Dalej.

    2. Na stronie Informacje o sekwencji zadań Administracja wprowadza zadanie konserwacji, aby zatwierdzić zmiany na urządzeniach osadzonych dla nazwy sekwencji zadań, a następnie kliknij przycisk Dalej.

    3. Na stronie Podsumowanie Administracja wybiera pozycję Dalej i kończy pracę kreatora.

       Następnie Administracja wdraża tę niestandardową sekwencję zadań w kolekcji urządzeń z systemem Windows Embedded i konfiguruje harmonogram uruchamiania co miesiąc. W ramach ustawień wdrażania wybierają pole wyboru Zatwierdź zmiany w terminie ostatecznym lub w oknie konserwacji (wymaga ponownego uruchomienia), aby utrwalić zmiany po ponownym uruchomieniu. Aby skonfigurować to wdrożenie, Administracja wybiera właśnie utworzoną niestandardową sekwencję zadań, a następnie na karcie Narzędzia główne w grupie Wdrażanie kliknij pozycję Wdróż, aby uruchomić Kreatora wdrażania oprogramowania:

    4. Na stronie Ogólne Administracja wybiera kolekcję urządzeń z systemem Windows Embedded, a następnie klika przycisk Dalej.

    5. Na stronie Ustawienia wdrożenia Administracja wybiera pozycję Przeznaczeniewymagane, a następnie klika przycisk Dalej.

    6. Na stronie Planowanie Administracja klika pozycję Nowy, aby określić harmonogram tygodniowy w oknie konserwacji, a następnie klika przycisk Dalej.

    7. Administracja kończy działanie kreatora bez żadnych dalszych zmian.

       Aby uzyskać więcej informacji, zobacz
       Zarządzanie sekwencjami zadań w celu automatyzacji zadań.

11. Aby kioski były uruchamiane automatycznie, Administracja zapisuje skrypt w celu skonfigurowania urządzeń pod kątem następujących ustawień:

    • Zaloguj się automatycznie przy użyciu konta gościa, które nie ma hasła.

    • Automatycznie uruchom oprogramowanie interaktywnej prezentacji podczas uruchamiania.

      Administracja używa pakietów i programów do wdrażania tego skryptu w kolekcji urządzeń z systemem Windows Embedded. Gdy Administracja uruchamia Kreatora wdrażania oprogramowania, ponownie zaznacza pole wyboru Zatwierdź zmiany w terminie ostatecznym lub w oknie konserwacji (wymaga ponownego uruchomienia), aby utrwalić zmiany po ponownym uruchomieniu.

      Aby uzyskać więcej informacji, zobacz Pakiety i programy.

12. Następnego ranka Administracja sprawdza urządzenia z systemem Windows Embedded. Potwierdzają one następujące kwestie:

    • Kiosk jest automatycznie zalogowany przy użyciu konta gościa.

    • Oprogramowanie interaktywnej prezentacji jest uruchomione.

    • Klient programu Endpoint Protection jest zainstalowany i ma najnowsze definicje aktualizacji oprogramowania.

    • Urządzenie zostało ponownie uruchomione w oknie obsługi.

      Więcej informacji można znaleźć w następujących artykułach:

    • Jak monitorować program Endpoint Protection

    • Monitorowanie aplikacji za pomocą Configuration Manager

13. Administracja monitoruje kioski i zgłasza pomyślne zarządzanie nimi do swojego menedżera. W rezultacie zamówiono 20 kiosków dla centrum dla zwiedzających.

    Aby uniknąć ręcznej instalacji klienta Configuration Manager, który wymaga ręcznego wyłączenia, a następnie włączenia filtrów zapisu, Administracja zapewnia, że zamówienie zawiera dostosowany obraz, który już obejmuje instalację i przypisanie lokacji klienta Configuration Manager. Ponadto urządzenia są nazwane zgodnie z formatem nazewnictwa firmy.

    Kioski są dostarczane do centrum dla zwiedzających na tydzień przed jego otwarciem. W tym czasie kioski są połączone z siecią, wszystkie dla nich zarządzanie urządzeniami jest automatyczne i nie jest wymagany żaden administrator lokalny. Administracja potwierdza, że kioski działają zgodnie z wymaganiami:

    • Klienci w kioskach dokończą przypisanie lokacji i pobierają zaufany klucz główny z Active Directory Domain Services.

    • Klienci w kioskach są automatycznie dodawani do kolekcji urządzeń z systemem Windows Embedded i konfigurowane przy użyciu okna obsługi.

    • Klient programu Endpoint Protection jest zainstalowany i ma najnowsze definicje aktualizacji oprogramowania do ochrony przed złośliwym kodem.

    • Oprogramowanie interaktywnej prezentacji jest instalowane i uruchamiane automatycznie, gotowe dla odwiedzających.

14. Po tej początkowej konfiguracji wszystkie ponowne uruchomienia, które mogą być wymagane w przypadku aktualizacji, występują tylko wtedy, gdy centrum dla odwiedzających jest zamknięte.