Vytvoření vlastních položek konfigurace pro desktopové a serverové počítače s Windows spravované pomocí klienta Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Ke správě nastavení počítačů a serverů s Windows spravovaných klientem Configuration Manager použijte položku konfigurace Configuration Manager vlastní plochy a servery s Windows.

Spuštění průvodce

  1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Nastavení dodržování předpisů a vyberte uzel Položky konfigurace.

  2. Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit položku konfigurace.

  3. Na stránce Obecnév Průvodci vytvořením položky konfigurace zadejte název a volitelný popis položky konfigurace.

  4. V části Zadejte typ položky konfigurace, kterou chcete vytvořit, vyberte Plochy a servery Systému Windows (vlastní).

    • Pokud chcete zadat nastavení metody zjišťování, které kontroluje existenci aplikace, vyberte Tento konfigurační soubor obsahuje nastavení aplikace.

  5. Pokud chcete usnadnit vyhledávání a filtrování položek konfigurace v konzole Configuration Manager, vyberte Kategorie a vytvořte a přiřaďte kategorie.

Metody detekce

Tento postup použijte k zadání informací o metodě detekce pro položku konfigurace.

Poznámka

Tyto informace platí pouze v případě, že na stránce Obecné v průvodci vyberete možnost Tato položka konfigurace obsahuje nastavení aplikace.

Metoda detekce v Configuration Manager obsahuje pravidla, která se používají ke zjištění, zda je aplikace nainstalována v počítači. K tomuto zjištění dojde předtím, než klient vyhodnotí dodržování předpisů pro položku konfigurace. Pokud chcete zjistit, jestli je aplikace nainstalovaná, můžete zjistit přítomnost souboru Instalační služby systému Windows pro aplikaci, použít vlastní skript nebo vybrat možnost Vždy předpokládat, že aplikace je nainstalovaná , a vyhodnotit tak, zda je položka konfigurace kompatibilní bez ohledu na to, zda je aplikace nainstalovaná.

Zjištění instalace aplikace pomocí souboru Instalační služby systému Windows

  1. Na stránce Metody detekcev Průvodci vytvořením položky konfigurace vyberte možnost Použít zjišťování Instalační službou systému Windows.

  2. Vyberte Otevřít, přejděte na soubor Instalační služby systému Windows (.msi), který chcete rozpoznat, a pak vyberte Otevřít.

  3. Pole Verze se automaticky naplní číslem verze souboru Instalační služby systému Windows. Pokud je zobrazená hodnota nesprávná, zadejte sem nové číslo verze.

  4. Pokud chcete zjistit každý profil uživatele v počítači, vyberte Tato aplikace je nainstalovaná pro jednoho nebo více uživatelů.

Zjištění konkrétní aplikace a typu nasazení

  1. Na stránce Metody detekcev Průvodci vytvořením položky konfigurace vyberte možnost Zjistit konkrétní aplikaci a typ nasazení. Zvolte Vybrat.

  2. V dialogovém okně Zadat aplikaci vyberte aplikaci a přidružený typ nasazení, který chcete rozpoznat.

Zjištění instalace aplikace pomocí vlastního skriptu

Když se skript Windows PowerShell spustí jako metoda detekce, klient Configuration Manager zavolá PowerShell s parametrem -NoProfile . Tato možnost spustí PowerShell bez profilů. Profil PowerShellu je skript, který se spustí při spuštění PowerShellu.

  1. Na stránce Metody detekcev Průvodci vytvořením položky konfigurace vyberte možnost Použít k detekci této aplikace vlastní skript.

  2. V seznamu vyberte jazyk skriptu. Vyberte si z následujících formátů:

    • Vbscript

    • Jscript

    • PowerShell

  3. Vyberte Otevřít, vyhledejte skript, který chcete použít, a pak vyberte Otevřít.

    Důležité

    Pokud používáte podepsaný skript PowerShellu, ujistěte se, že jste vybrali Otevřít. Pro podepsaný skript nemůžete použít kopírování a vkládání.

Určení podporovaných platforem

Na stránce Podporované platformyv Průvodci vytvořením položky konfigurace vyberte verze Systému Windows, u kterých chcete položku konfigurace posoudit z hlediska dodržování předpisů, nebo zvolte Vybrat vše.

Můžete také zadat verzi Windows ručně. Vyberte Přidat a zadejte jednotlivé části čísla buildu Windows.

Poznámka

Při zadávání Windows Server 2016 zahrnuje výběr All Windows Server 2016 and higher 64-bit) možnosti také Windows Server 2019. Pokud chcete zadat jenom Windows Server 2016, použijte možnost Zadat verzi Windows ručně.

Konfigurace nastavení

Tento postup použijte ke konfiguraci nastavení v položce konfigurace.

Nastavení představují obchodní nebo technické podmínky, které se používají k posouzení dodržování předpisů na klientských zařízeních. Můžete nakonfigurovat nové nastavení nebo přejít na existující nastavení na referenčním počítači.

  1. Na stránce Nastavenív Průvodci vytvořením položky konfigurace vyberte Nový.

  2. Na kartě Obecné v dialogovém okně Vytvořit nastavení zadejte následující informace:

    • Název: Zadejte jedinečný název nastavení. Můžete použít maximálně 256 znaků.

    • Popis: Zadejte popis nastavení. Můžete použít maximálně 256 znaků.

    • Typ nastavení: V seznamu zvolte a nakonfigurujte jeden z následujících typů nastavení, které chcete pro toto nastavení použít:

    • Datový typ: Zvolte formát, ve kterém podmínka vrátí data před tím, než se použije k vyhodnocení nastavení. Seznam Datový typ se nezobrazuje pro všechny typy nastavení.

      Tip

      Datový typ s plovoucí desetinnou čárkou podporuje pouze tři číslice za desetinnou čárkou.

  3. Další podrobnosti o tomto nastavení nakonfigurujte v seznamu Typ nastavení . Položky, které můžete konfigurovat, se liší v závislosti na vybraném typu nastavení.

  4. Výběrem OK uložte nastavení a zavřete dialogové okno Vytvořit nastavení .

Dotaz služby Active Directory

  • Předpona PROTOKOLU LDAP: Zadejte platnou předponu dotazu Active Directory Domain Services pro posouzení dodržování předpisů na klientských počítačích. Pokud chcete hledat v globálním katalogu, použijte buď LDAP:// nebo GC://.

  • Rozlišující název (DN): Zadejte rozlišující název objektu Active Directory Domain Services, u kterého se posuzuje dodržování předpisů v klientských počítačích.

  • Filtr vyhledávání: Zadáním volitelného filtru LDAP upřesněte výsledky z dotazu Active Directory Domain Services a vyhodnoťte dodržování předpisů na klientských počítačích. Pokud chcete vrátit všechny výsledky dotazu, zadejte (objectclass=*).

  • Obor hledání: Zadejte obor hledání v Active Directory Domain Services

    • Základ: Dotazuje se pouze na zadaný objekt.

    • Jedna úroveň: Tato možnost se v této verzi Configuration Manager nepoužívá.

    • Podstrom: Dotazuje zadaný objekt a jeho úplný podstrom v adresáři.

  • Vlastnost: Zadejte vlastnost objektu Active Directory Domain Services, který se používá k vyhodnocení dodržování předpisů v klientských počítačích.

    Pokud chcete například zadat dotaz na vlastnost Služby Active Directory, která ukládá počet nesprávných zadání hesla uživatelem, zadejte badPwdCount do tohoto pole.

  • Dotaz: Zobrazí dotaz vytvořený z položek v předponě PROTOKOLU LDAP, rozlišujícím názvu (DN), vyhledávacím filtru (pokud je zadaný) a vlastnosti.

Sestavení

Sestavení je část kódu, kterou lze sdílet mezi aplikacemi. Sestavení mohou mít příponu názvu souboru .dll nebo .exe. Globální mezipaměť sestavení je složka %SystemRoot%\Assembly v klientských počítačích. Do této mezipaměti se ve Windows ukládají všechna sdílená sestavení.

  • Název sestavení: Určuje název objektu sestavení, který chcete vyhledat. Název nemůže být stejný jako jiné objekty sestavení stejného typu. Nejprve ho zaregistrujte v globální mezipaměti sestavení (GPA). Název sestavení může mít délku až 256 znaků.

Systém souborů

  • Typ: V seznamu vyberte, jestli chcete hledat soubor nebo složku.

  • Cesta: Zadejte cestu k zadanému souboru nebo složce v klientských počítačích. V cestě můžete zadat systémové proměnné prostředí a %USERPROFILE% proměnnou prostředí.

    • Typ nastavení Systém souborů nepodporuje zadání cesty UNC ke sdílené síťové složce v poli Cesta .

    • Pokud použijete proměnnou %USERPROFILE% prostředí v polích Cesta nebo Název souboru nebo složky, klient Configuration Manager prohledá všechny profily uživatelů v klientském počítači. Toto chování může vést k vyhledání více instancí souboru nebo složky.

    • Pokud nastavení dodržování předpisů nemá přístup k zadané cestě, vygeneruje se chyba zjišťování. Navíc pokud se soubor, který hledáte, právě používá, vygeneruje se chyba zjišťování.

      Tip

      Vyberte Procházet a nakonfigurujte nastavení z hodnot v referenčním počítači.

  • Název souboru nebo složky: Zadejte název souboru nebo objektu složky, který chcete vyhledat. V názvu souboru nebo složky můžete zadat systémové proměnné prostředí a %USERPROFILE% proměnnou prostředí. V názvu souboru můžete také použít zástupné é *? ou a .

    • Pokud zadáte název souboru nebo složky a použijete zástupné cardy, může tato kombinace přinést velký počet výsledků. Mohlo by to také vést k vysokému využití prostředků na klientském počítači a k vysokému síťovému provozu při hlášení výsledků Configuration Manager.

  • Zahrnout podsložky: Prohledávejte také všechny podsložky v zadané cestě.

  • Tento soubor nebo složka jsou přidruženy k 64bitové aplikaci: Pokud je tato možnost povolená, prohledávejte pouze 64bitová umístění souborů, například %ProgramFiles% v 64bitových počítačích. Pokud tato možnost není povolená, prohledejte 64bitová umístění i 32bitová umístění, například %ProgramFiles(x86)%.

    • Pokud stejný soubor nebo složka existuje v umístění 64bitového i 32bitového systémového souboru na stejném 64bitovém počítači, globální podmínka zjistí více souborů.

Metabáze služby IIS

  • Cesta metabáze: Zadejte platnou cestu k metabáze Internetové informační služby (IIS). Například: /LM/W3SVC/.

  • ID vlastnosti: Zadejte číselnou vlastnost nastavení metabáze služby IIS.

Klíč registru

  • Hive: Vyberte podregistr registru, který chcete prohledat.

    • Vyberte Procházet a nakonfigurujte nastavení z hodnot v referenčním počítači. Pokud chcete přejít ke klíči registru ve vzdáleném počítači, povolte na vzdáleném počítači službu Vzdálený registr .

  • Klíč: Zadejte název klíče registru, který chcete vyhledat. Použijte formát key\subkey.

  • Tento klíč registru je přidružený k 64bitové aplikaci: Vyhledejte kromě 32bitových klíčů registru také 64bitové klíče registru na klientech s 64bitovou verzí systému Windows.

    • Pokud ve stejném 64bitovém počítači existuje stejný klíč registru v 64bitovém i 32bitovém umístění registru, globální podmínka zjistí oba klíče registru.

Hodnota registru

  • Hive: Vyberte podregistr registru, který chcete vyhledat.

    • Vyberte Procházet a nakonfigurujte nastavení z hodnot v referenčním počítači. Pokud chcete na vzdáleném počítači přejít na hodnotu registru, povolte na vzdáleném počítači službu Vzdálený registr . Pro přístup ke vzdálenému počítači potřebujete také oprávnění správce.

  • Klíč: Zadejte název klíče registru, který chcete vyhledat. Použijte formát key\subkey.

  • Hodnota: Zadejte hodnotu, která musí být obsažena v zadaném klíči registru.

  • Tento klíč registru je přidružen k 64bitové aplikaci: Vyhledejte kromě 32bitových klíčů registru také 64bitové klíče registru na klientech, kteří používají 64bitovou verzi systému Windows.

    • Pokud ve stejném 64bitovém počítači existuje stejný klíč registru v 64bitovém i 32bitovém umístění registru, globální podmínka zjistí oba klíče registru.

Skript

Hodnota vrácená skriptem se používá k vyhodnocení shody globální podmínky. Například při použití jazyka VBScript můžete pomocí příkazu WScript.Echo Result vrátit hodnotu proměnné Result do globální podmínky. Když použijete Windows PowerShell jako skript zjišťování nebo nápravy, klient Configuration Manager zavolá PowerShell s parametrem -NoProfile . Tato možnost spustí PowerShell bez profilů. Profil PowerShellu je skript, který se spustí při spuštění PowerShellu.

  • Skript zjišťování: Vyberte Přidat skript a zadejte skript nebo ho vyhledejte. Tento skript se používá k vyhledání hodnoty. Můžete použít skripty Windows PowerShell, VBScript nebo Microsoft JScript.

  • Skript pro nápravu (volitelné): Vyberte Přidat skript a zadejte skript nebo k němu přejděte. Tento skript slouží k nápravě nevyhovujících hodnot nastavení. Můžete použít skripty Windows PowerShell, VBScript nebo Microsoft JScript.

    Důležité

    • Pokud chcete správně nahlásit chybu nápravy, musí skripty místo nenulového ukončovacího kódu vyvolat výjimky.

  • Spouštění skriptů pomocí přihlašovacích údajů přihlášeného uživatele: Pokud tuto možnost povolíte, skript se spustí na klientských počítačích, které používají přihlašovací údaje přihlášeného uživatele.

Důležité

  • Pokud používáte podepsaný skript PowerShellu, ujistěte se, že jste vybrali Otevřít. Pro podepsaný skript nemůžete použít kopírování a vkládání.
  • Od verze 2207 můžete při konfiguraci nastavení dodržování předpisů definovat časový limit spuštění skriptu (sekundy).

Dotaz SQL

  • SQL Server instance: Zvolte, jestli se má dotaz SQL spouštět na výchozí instanci, všech instancích nebo na zadaném názvu instance databáze. Název instance musí odkazovat na místní instanci SQL Server. Pokud chcete odkazovat na SQL Server instanci nebo skupinu dostupnosti clusteru s podporou převzetí služeb při selhání AlwaysOn, použijte nastavení skriptu.

  • Databáze: Zadejte název Microsoft SQL Server databáze, pro kterou chcete spustit dotaz SQL.

  • Sloupec: Zadejte název sloupce vrácený příkazem jazyka Transact-SQL, který se používá k posouzení dodržování předpisů globální podmínky.

  • Příkaz jazyka Transact-SQL: Zadejte úplný dotaz SQL, který chcete použít pro globální podmínku. Pokud chcete použít existující dotaz SQL, vyberte Otevřít.

    Důležité

    Nastavení dotazů SQL nepodporují žádné příkazy SQL, které upravují databázi. Můžete použít pouze příkazy SQL, které čtou informace z databáze.

Dotaz WQL

  • Obor názvů: Zadejte obor názvů rozhraní WMI, u kterého se v klientských počítačích posuzuje dodržování předpisů. Výchozí hodnota je root\cimv2.

  • Třída: Zadejte cílovou třídu služby WMI ve výše uvedeném oboru názvů.

  • Vlastnost: Zadejte cílovou vlastnost rozhraní WMI ve výše uvedené třídě.

  • Klauzule WHERE dotazu WQL: Zadejte kvalifikující klauzuli pro snížení počtu výsledků. Pokud chcete například dotazovat pouze službu DHCP ve třídě Win32_Service, klauzule WHERE může být Name = 'DHCP' and StartMode = 'Auto'.

Dotaz XPath

  • Cesta: Zadejte cestu k souboru .xml v klientských počítačích, který se používá k posouzení dodržování předpisů. Configuration Manager podporuje použití všech proměnných prostředí systému Windows a %USERPROFILE% uživatelské proměnné v názvu cesty.

  • Název souboru XML: Zadejte název souboru obsahujícího dotaz XML ve výše uvedené cestě.

  • Zahrnout podsložky: Tuto možnost povolte, pokud chcete prohledávat všechny podsložky v zadané cestě.

  • Tento soubor je přidružený k 64bitové aplikaci: Vyhledejte umístění 64bitového systémového souboru kromě umístění %Windir%\System32%Windir%\Syswow64 32bitových systémových souborů na Configuration Manager klientech, kteří používají 64bitovou verzi Systému Windows.

  • Dotaz XPath: Zadejte platný úplný dotaz jazyka XPath (Xml Path Language).

  • Obory názvů: Identifikujte obory názvů a předpony, které se mají použít během dotazu XPath.

Pokud se pokusíte zjistit šifrovaný soubor .xml, nastavení dodržování předpisů tento soubor najde, ale dotaz XPath nevygeneruje žádné výsledky. Klient Configuration Manager nevygeneruje chybu.

Pokud dotaz XPath není platný, v klientských počítačích se toto nastavení vyhodnotí jako nekompatibilní.

Konfigurace pravidel dodržování předpisů

Pravidla dodržování předpisů určují podmínky, které definují dodržování předpisů položky konfigurace. Před vyhodnocením dodržování předpisů musí nastavení obsahovat alespoň jedno pravidlo dodržování předpisů. Nastavení rozhraní WMI, registru a skriptu umožňují opravit hodnoty, u kterých se zjistí, že nedodržují předpisy. Můžete vytvořit nová pravidla nebo přejít na existující nastavení v libovolné položce konfigurace a vybrat v ní pravidla.

Vytvoření pravidla dodržování předpisů

  1. Na stránce Pravidla dodržování předpisův Průvodci vytvořením položky konfigurace vyberte Nový.

  2. V dialogovém okně Vytvořit pravidlo zadejte následující informace:

    • Název: Zadejte název pravidla dodržování předpisů.

    • Popis: Zadejte popis pravidla dodržování předpisů.

    • Vybrané nastavení: Výběrem možnosti Procházet otevřete dialogové okno Vybrat nastavení . Vyberte nastavení, pro které chcete definovat pravidlo, nebo vyberte Nové nastavení. Až budete hotovi, zvolte Vybrat.

      Tip

      Pokud chcete zobrazit informace o aktuálně vybraném nastavení, vyberte Vlastnosti.

    • Typ pravidla: Vyberte typ pravidla dodržování předpisů, které chcete použít:

      • Hodnota: Vytvořte pravidlo, které porovná hodnotu vrácenou položkou konfigurace s hodnotou, kterou zadáte. Další informace o dalších nastaveních najdete v tématu Pravidla hodnot.

      • Existenční: Vytvořte pravidlo, které vyhodnotí nastavení v závislosti na tom, jestli existuje na klientském zařízení, nebo na tom, kolikrát se našlo. Další informace o dalších nastaveních najdete v tématu Existenční pravidla.

  3. Vyberte OK a zavřete dialogové okno Vytvořit pravidlo .

Pravidla hodnot

  • Vlastnost: Vlastnost objektu, který se má zkontrolovat, se liší v závislosti na vybraném nastavení. Dostupné vlastnosti se liší v závislosti na typu nastavení.

  • Nastavení musí splňovat následující...: Dostupná pravidla nebo oprávnění se liší v závislosti na typu nastavení.

  • Náprava nevyhovujících pravidel, pokud je podporována: Tuto možnost vyberte pro Configuration Manager, která automaticky opraví nedodržující pravidla. Configuration Manager podporuje tuto akci s následujícími typy pravidel:

    • Hodnota registru: Pokud nedodržuje předpisy, klient nastaví hodnotu registru. Pokud neexistuje, klient vytvoří hodnotu .

    • Skript: Klient použije skript nápravy, který jste zadali pomocí nastavení.

    • Dotaz WQL

    Důležité

    • Pokud chcete správně nahlásit chybu nápravy, musí skripty místo nenulového ukončovacího kódu vyvolat výjimky.
    • Pravidla nesplňující předpisy můžete napravit pouze v případech, kdy je operátor pravidla nastavený na hodnotu Rovná se.

  • Pokud se tato instance nastavení nenalezla, nahlásit nedodržování předpisů: Pokud se toto nastavení v klientských počítačích nenajde, povolte tuto možnost pro položku konfigurace, která bude hlásit nedodržování předpisů.

  • Závažnost nedodržování předpisů pro sestavy: Zadejte úroveň závažnosti hlášenou v Configuration Manager sestavách, pokud toto pravidlo dodržování předpisů selže. K dispozici jsou následující úrovně závažnosti:

    • Žádné
    • Informace
    • Upozornění
    • Kritický
    • Kritické s událostí: Počítače, které nesplní toto pravidlo dodržování předpisů, hlásí závažnost selhání Kritické. Tato úroveň závažnosti se také protokoluje jako událost systému Windows v protokolu událostí aplikace.

Existenční pravidla

Poznámka

Zobrazené možnosti se můžou lišit v závislosti na typu nastavení, pro které konfigurujete pravidlo.

  • Nastavení musí existovat na klientských zařízeních.

  • Nastavení nesmí existovat na klientských zařízeních.

  • K nastavení dochází kolikrát:

  • Závažnost nedodržování předpisů pro sestavy: Zadejte úroveň závažnosti hlášenou v Configuration Manager sestavách, pokud toto pravidlo dodržování předpisů selže. K dispozici jsou následující úrovně závažnosti:

    • Žádné
    • Informace
    • Upozornění
    • Kritický
    • Kritické s událostí: Počítače, které nesplní toto pravidlo dodržování předpisů, hlásí závažnost selhání Kritické. Tato úroveň závažnosti se také protokoluje jako událost systému Windows v protokolu událostí aplikace.

Sledování oprav položek konfigurace

(Zavedeno ve verzi 2002)

Od Configuration Manager verze 2002 můžete sledovat historii náprav, pokud jsou podporována v pravidlech dodržování předpisů položek konfigurace. Pokud je tato možnost povolená, každá náprava, ke které dojde v klientovi pro položku konfigurace, vygeneruje stavovou zprávu. Historie je uložena v databázi Configuration Manager.

Vytvářejte vlastní sestavy pro zobrazení historie nápravy pomocí v_CIRemediationHistory veřejného zobrazení. Sloupec RemediationDate je čas, kdy klient ve standardu UTC provedl nápravu. Identifikuje ResourceID zařízení. Vytváření vlastních sestav pomocí zobrazení v_CIRemediationHistory vám pomůže:

  • Identifikace možných problémů se skripty pro nápravu
  • Hledejte trendy v nápravách, jako je klient, který konzistentně nevyhovuje každému cyklu hodnocení.

Povolte možnost Sledovat historii náprav, pokud je podporována.

  • U nových položek konfigurace přidejte možnost Sledovat historii náprav, pokud je podporována , na kartě Pravidla dodržování předpisů při vytváření nového nastavení na stránce Nastavení průvodce.
  • U existujících položek konfigurace přidejte možnost Sledovat historii náprav při podpoře na kartě Pravidla dodržování předpisů v položce konfigurace Vlastnosti. Sledování historie náprav při podpoře ve verzi 2002

Další kroky

Vytvoření standardních hodnot konfigurace