Beispielszenario für die Bereitstellung und Verwaltung Configuration Manager Clients auf Windows Embedded-Geräten

Gilt für: Configuration Manager (Current Branch)

In diesem Szenario wird veranschaulicht, wie Sie Windows Embedded-Geräte mit Schreibfiltern mit Configuration Manager verwalten können. Wenn Ihre eingebetteten Geräte keine Schreibfilter unterstützen, verhalten sie sich wie Standardclients Configuration Manager, und diese Verfahren gelten nicht.

Coho Vineyard & Winery eröffnet ein Besucherzentrum und benötigt Kioske, auf denen Windows Embedded ausgeführt wird, um interaktive Präsentationen durchzuführen. Das Gebäude für das neue Besucherzentrum befindet sich nicht in der Nähe der IT-Abteilung, sodass die Kioske remote verwaltet werden müssen. Zusätzlich zu der Software, die die Präsentationen ausführt, müssen diese Geräte aktuelle Antischadsoftware-Schutzsoftware ausführen, um die Sicherheitsrichtlinien des Unternehmens zu erfüllen. Die Kioske müssen 7 Tage die Woche laufen, ohne Ausfallzeiten, während das Besucherzentrum geöffnet ist.

Coho führt bereits Configuration Manager aus, um Geräte in ihrem Netzwerk zu verwalten. Configuration Manager ist für die Ausführung von Endpoint Protection und die Installation von Softwareupdates und Anwendungen konfiguriert. Da das IT-Team jedoch noch keine Windows Embedded-Geräte verwaltet hat, führt der Configuration Manager-Administrator ein Pilotprojekt aus, um zwei Kioske im Empfangsbereich zu verwalten.

Um diese Windows Embedded-Geräte zu verwalten, die schreibfilterfähig sind, führt Configuration Manager Administrator die folgenden Schritte aus, um den Configuration Manager Client zu installieren, den Client mithilfe von Endpoint Protection zu schützen und die interaktive Präsentationssoftware zu installieren.

1. Der Configuration Manager-Administrator (der Admin) liest, wie Windows Embedded-Geräte Schreibfilter verwenden und wie Configuration Manager dies vereinfachen können, indem die Writerfilter automatisch deaktiviert und dann erneut aktiviert werden, um eine Softwareinstallation beizubehalten.

   Weitere Informationen finden Sie unter Planen der Clientbereitstellung auf Windows Embedded-Geräten.

2. Bevor der Admin den Configuration Manager-Client installiert, erstellt der Admin eine neue abfragebasierte Gerätesammlung für die Windows Embedded-Geräte. Da das Unternehmen Standardnamensformate verwendet, um seine Computer zu identifizieren, können die Admin Windows Embedded-Geräte anhand der ersten sechs Buchstaben des Computernamens eindeutig identifizieren: WEMDVC. Die Admin verwendet die folgende WQL-Abfrage, um diese Sammlung zu erstellen: Wählen Sie SMS_R_System.NetbiosName aus SMS_R_System aus, wobei SMS_R_System.NetbiosName wie "WEMDVC%"

   Diese Sammlung ermöglicht es dem Admin, die Windows Embedded-Geräte mit anderen Konfigurationsoptionen als die anderen Geräte zu verwalten. Die Admin verwendet diese Sammlung, um Neustarts zu steuern, Endpoint Protection mit Clienteinstellungen bereitzustellen und die interaktive Präsentationsanwendung bereitzustellen.

   Weitere Informationen finden Sie unter Erstellen von Sammlungen.

3. Die Admin konfiguriert die Sammlung für ein Wartungsfenster, um sicherzustellen, dass Neustarts, die möglicherweise für die Installation der Präsentationsanwendung erforderlich sind, und upgrades nicht während der Öffnungszeiten des Besucherzentrums stattfinden. Öffnungszeiten sind montags bis sonntags von 09:00 bis 18:00 Uhr. Die Admin konfiguriert das Wartungsfenster für jeden Tag von 18:30 bis 06:00 Uhr.

4. Weitere Informationen finden Sie unter Verwenden von Wartungsfenstern.

5. Der Admin konfiguriert dann eine benutzerdefinierte Geräteclienteinstellung, um den Endpoint Protection-Client zu installieren, indem für die folgenden Einstellungen Ja ausgewählt wird, und stellt dann diese benutzerdefinierte Clienteinstellung für die Windows Embedded-Gerätesammlung bereit:

   • Installieren des Endpoint Protection-Clients auf Clientcomputern

   • Für Windows Embedded-Geräte mit Schreibfiltern: Commit für die Endpoint Protection-Clientinstallation (Neustart erforderlich)

   • Zulassen der Installation und des Neustarts des Endpoint Protection-Clients außerhalb von Wartungsfenstern

     Wenn der Configuration Manager-Client installiert ist, installieren diese Einstellungen den Endpoint Protection-Client und stellen sicher, dass er im Rahmen der Installation im Betriebssystem beibehalten wird, anstatt nur in das Overlay geschrieben zu werden. Die Sicherheitsrichtlinien des Unternehmens erfordern, dass die Antischadsoftware immer installiert ist und die Admin nicht das Risiko eingehen möchte, dass die Kioske bei einem Neustart auch nur für einen kurzen Zeitraum ungeschützter werden.

   Hinweis

   Die Neustarts, die für die Installation des Endpoint Protection-Clients erforderlich sind, sind ein einmaliges Ereignis, das während des Setupzeitraums für die Geräte und bevor das Besucherzentrum betriebsbereit ist. Im Gegensatz zur regelmäßigen Bereitstellung von Anwendungen oder Softwaredefinitionsupdates wird der Endpoint Protection-Client das nächste Mal auf demselben Gerät installiert, wenn das Unternehmen auf die nächste Version von Configuration Manager aktualisiert.

   Weitere Informationen finden Sie unter Konfigurieren von Endpoint Protection.

6. Da die Konfigurationseinstellungen für den Client jetzt eingerichtet sind, bereitet der Admin die Installation der Configuration Manager Clients vor. Bevor die Admin die Clients installieren können, müssen sie den Schreibfilter auf den Windows Embedded-Geräten manuell deaktivieren. Die Admin liest die OEM-Dokumentation, die die Kioske begleitet, und folgt deren Anweisungen zum Deaktivieren der Schreibfilter.

   Die Admin benennt das Gerät so um, dass es das Unternehmensstandardnamensformat verwendet, und installiert den Client dann manuell, indem CCMSetup mit dem folgenden Befehl auf einem zugeordneten Laufwerk ausgeführt wird, das die Clientquelldateien enthält: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Dieser Befehl installiert den Client, weist den Client dem Verwaltungspunkt zu, der über den Intranet-FQDN von mpserver.cohovineyardandwinery.com verfügt, und weist den Client dem primären Standort mit dem Namen CO1 zu.

   Die Admin weiß, dass es immer eine Weile dauert, bis Clients ihre status installieren und an den Standort zurücksenden. Daher wartet die Admin, bevor sie bestätigen, dass die Clients erfolgreich installiert, dem Standort zugewiesen und als Clients in der Sammlung angezeigt werden, die sie für Windows Embedded-Geräte erstellt haben.

   Als zusätzliche Bestätigung überprüft der Admin die Eigenschaften von Configuration Manager in Systemsteuerung auf den Geräten und vergleicht sie mit Standard-Windows-Computern, die vom Standort verwaltet werden. Auf der Registerkarte Komponenten zeigt der Hardwareinventur-Agent beispielsweise Aktiviert an, und auf der Registerkarte Aktionen sind 11 Aktionen verfügbar, darunter auswertungszyklus für die Anwendungsbereitstellung und Ermittlungsdatensammlungszyklus.

   Der Admin aktiviert dann die Schreibfilter manuell, indem er den Anweisungen des OEM folgt, um sicherzustellen, dass die Clients erfolgreich installiert, zugewiesen und clientrichtlinien vom Verwaltungspunkt empfangen werden.

   Weitere Informationen finden Sie unter:

   • So stellen Sie Clients auf Windows-Computern bereit

   • Zuweisen von Clients zu einer Site

7. Da nun der Configuration Manager-Client auf den Windows Embedded-Geräten installiert ist, bestätigt der Admin, dass er sie auf die gleiche Weise verwalten kann wie die Standard-Windows-Clients. Über die Configuration Manager-Konsole kann der Admin sie beispielsweise mithilfe der Remotesteuerung remote verwalten, clientrichtlinien für sie initiieren und Clienteigenschaften und Hardwareinventur anzeigen.

   Da diese Geräte mit einer Active Directory-Domäne verknüpft sind, muss der Admin sie nicht manuell als vertrauenswürdige Clients genehmigen und über die Configuration Manager-Konsole bestätigen, dass sie genehmigt wurden.

   Weitere Informationen finden Sie unter Verwalten von Clients.

8. Um die interaktive Präsentationssoftware zu installieren, führt der Admin den Assistenten zum Bereitstellen von Software aus und konfiguriert eine erforderliche Anwendung. Auf der Seite Benutzererfahrung des Assistenten akzeptieren sie im Abschnitt Schreibfilterbehandlung für Windows Embedded-Geräte die Standardoption Commit changes at deadline or during a maintenance window (erfordert Neustarts) aus.

   Die Admin behält diese Standardoption für Schreibfilter bei, um sicherzustellen, dass die Anwendung nach einem Neustart beibehalten wird, sodass sie für die Besucher, die die Kioske verwenden, immer verfügbar ist. Das tägliche Wartungsfenster bietet einen sicheren Zeitraum, in dem die Neustarts für die Installation und alle Updates auftreten können.

   Die Admin stellt die Anwendung in der Windows Embedded-Gerätesammlung bereit.

   Weitere Informationen finden Sie unter Bereitstellen von Anwendungen mit Configuration Manager.

9. Zum Konfigurieren von Definitionsupdates für Endpoint Protection verwendet der Admin Softwareupdates und führt den Assistenten zum Erstellen automatischer Bereitstellungsregeln aus. Sie wählen die Vorlage Definition Updates aus, um den Assistenten vorab mit Einstellungen aufzufüllen, die für Endpoint Protection geeignet sind.

   Diese Einstellungen umfassen folgendes auf der Seite Benutzerfreundlichkeit des Assistenten:

   • Verhalten des Stichtags: Das Kontrollkästchen Softwareinstallation ist nicht aktiviert.

   • Schreibfilterbehandlung für Windows Embedded-Geräte: Das Kontrollkästchen Commitänderungen am Stichtag oder während eines Wartungsfensters (neustarts erforderlich) ist nicht aktiviert.

     Die Admin behält diese Standardeinstellungen bei. Zusammen ermöglichen diese beiden Optionen mit dieser Konfiguration, dass alle Softwareupdatedefinitionen für Endpoint Protection tagsüber in der Überlagerung installiert werden und nicht darauf warten, während des Wartungsfensters installiert und committet zu werden. Diese Konfiguration erfüllt am besten die Unternehmenssicherheitsrichtlinie für Computer, um den aktuellen Antischadsoftwareschutz auszuführen.

     Hinweis

     Im Gegensatz zu Softwareinstallationen für Anwendungen können Softwareupdatedefinitionen für Endpoint Protection sehr häufig und sogar mehrmals täglich auftreten. Dabei handelt es sich häufig um kleine Dateien. Bei diesen Arten von sicherheitsbezogenen Bereitstellungen kann es häufig von Vorteil sein, immer im Overlay zu installieren, anstatt bis zum Wartungsfenster zu warten. Der Configuration Manager Client installiert die Softwaredefinitionsupdates schnell neu, wenn das Gerät neu gestartet wird, da diese Aktion eine Auswertungsprüfung initiiert und nicht bis zur nächsten geplanten Auswertung wartet.

     Die Admin wählt die Windows Embedded-Gerätesammlung für die Regel für die automatische Bereitstellung aus.

     Weitere Informationen finden Sie unter
     Schritt 3: Konfigurieren von Configuration Manager Software Updates zum Bereitstellen von Definitions-Updates an Clientcomputer unter Konfigurieren von Endpoint Protection

10. Der Admin beschließt, einen Wartungstask zu konfigurieren, der regelmäßig alle Änderungen an der Überlagerung committet. Diese Aufgabe besteht darin, die Bereitstellung von Softwareupdatedefinitionen zu unterstützen, um die Anzahl der Updates zu reduzieren, die sich ansammeln und bei jedem Neustart des Geräts erneut installiert werden müssen. In der Erfahrung der Admin hilft dies, die Antischadsoftware-Programme effizienter auszuführen.

    Hinweis

    Diese Softwareupdatedefinitionen werden automatisch an das Image committet, wenn die eingebetteten Geräte eine andere Verwaltungsaufgabe ausführen, die das Committen der Änderungen unterstützt. Wenn Sie beispielsweise eine neue Version der Interaktiven Präsentationssoftware installieren, werden auch die Änderungen für Softwareupdatedefinitionen committet. Durch die Installation von Standardsoftwareupdates jeden Monat, die während des Wartungsfensters installiert werden, kann auch ein Commit für die Änderungen für Softwareupdatedefinitionen ausgeführt werden. In diesem Szenario, in dem Standardsoftwareupdates nicht ausgeführt werden und die interaktive Präsentationssoftware wahrscheinlich nicht sehr häufig aktualisiert wird, kann es jedoch Monate dauern, bis die Softwaredefinitionsupdates automatisch für das Image committet werden.

    Die Admin erstellt zunächst eine benutzerdefinierte Tasksequenz, die keine anderen Einstellungen als den Namen aufweist. Sie führen den Tasksequenzerstellungs-Assistenten aus:

    1. Auf der Seite Neue Tasksequenz erstellen wählt die Admin Neue benutzerdefinierte Tasksequenz erstellen aus, und klicken Sie dann auf Weiter.

    2. Auf der Seite Tasksequenzinformationen gibt der Admin wartungstask ein, um Änderungen auf eingebetteten Geräten für den Tasksequenznamen zu committen, und klickt dann auf Weiter.

    3. Auf der Seite Zusammenfassung wählt die Admin Weiter aus und schließt den Assistenten ab.

       Die Admin stellt dann diese benutzerdefinierte Tasksequenz für die Windows Embedded-Gerätesammlung bereit und konfiguriert den Zeitplan für die Ausführung jeden Monat. Im Rahmen der Bereitstellungseinstellungen aktivieren sie das Kontrollkästchen Änderungen zum Stichtag oder während eines Wartungsfensters (neustarts erforderlich), um die Änderungen nach einem Neustart beizubehalten. Zum Konfigurieren dieser Bereitstellung wählt die Admin die benutzerdefinierte Tasksequenz aus, die sie gerade erstellt haben, und klicken dann auf der Registerkarte Start in der Gruppe Bereitstellung auf Bereitstellen, um den Assistenten zum Bereitstellen von Software zu starten:

    4. Auf der Seite Allgemein wählt der Admin die Windows Embedded-Gerätesammlung aus und klickt dann auf Weiter.

    5. Auf der Seite Bereitstellungseinstellungen wählt die Admin den Zweckerforderlich aus und klickt dann auf Weiter.

    6. Auf der Seite Planung klickt der Admin auf Neu, um einen wöchentlichen Zeitplan während des Wartungsfensters anzugeben, und klickt dann auf Weiter.

    7. Der Admin schließt den Assistenten ohne weitere Änderungen ab.

       Weitere Informationen finden Sie unter
       Verwalten sie Tasksequenzen, um Aufgaben zu automatisieren.

11. Damit die Kioske automatisch ausgeführt werden, schreibt der Admin ein Skript, um die Geräte für die folgenden Einstellungen zu konfigurieren:

    • Melden Sie sich automatisch mit einem Gastkonto ohne Kennwort an.

    • Führen Sie die interaktive Präsentationssoftware beim Start automatisch aus.

      Die Admin verwendet Pakete und Programme, um dieses Skript in der Windows Embedded-Gerätesammlung bereitzustellen. Wenn der Admin den Assistenten zum Bereitstellen von Software ausführt, aktiviert er erneut das Kontrollkästchen Änderungen zum Stichtag oder während eines Wartungsfensters (neustarts erforderlich), um die Änderungen nach einem Neustart beizubehalten.

      Weitere Informationen finden Sie unter Pakete und Programme.

12. Am nächsten Morgen überprüft der Admin die Windows Embedded-Geräte. Sie bestätigen Folgendes:

    • Der Kiosk wird automatisch über das Gastkonto angemeldet.

    • Die interaktive Präsentationssoftware wird ausgeführt.

    • Der Endpoint Protection-Client ist installiert und verfügt über die neuesten Softwareupdatedefinitionen.

    • Dass das Gerät während des Wartungsfensters neu gestartet wurde.

      Weitere Informationen finden Sie unter:

    • Überwachen von Endpoint Protection

    • Überwachen von Anwendungen mit Configuration Manager

13. Die Admin überwacht die Kioske und meldet deren erfolgreiche Verwaltung an ihren Vorgesetzten. Dadurch werden 20 Kioske für das Besucherzentrum bestellt.

    Um die manuelle Installation des Configuration Manager-Clients zu vermeiden, bei der die Schreibfilter manuell deaktiviert und dann aktiviert werden müssen, stellt der Admin sicher, dass die Bestellung ein angepasstes Image enthält, das bereits die Installation und Standortzuweisung des Configuration Manager Clients enthält. Darüber hinaus werden die Geräte nach dem Namensformat des Unternehmens benannt.

    Die Kioske werden eine Woche vor der Eröffnung an das Besucherzentrum geliefert. Während dieser Zeit sind die Kioske mit dem Netzwerk verbunden, die gesamte Geräteverwaltung erfolgt automatisch, und es ist kein lokaler Administrator erforderlich. Die Admin bestätigt, dass die Kioske wie erforderlich funktionieren:

    • Die Clients auf den Kiosken schließen die Standortzuweisung ab und laden den vertrauenswürdigen Stammschlüssel von Active Directory Domain Services herunter.

    • Die Clients auf den Kiosken werden automatisch der Windows Embedded-Gerätesammlung hinzugefügt und mit dem Wartungsfenster konfiguriert.

    • Der Endpoint Protection-Client ist installiert und verfügt über die neuesten Softwareupdatedefinitionen für den Schutz vor Antischadsoftware.

    • Die interaktive Präsentationssoftware wird installiert und läuft automatisch, bereit für Besucher.

14. Nach dieser ersteinrichtung erfolgen alle Neustarts, die möglicherweise für Updates erforderlich sind, nur, wenn das Besucherzentrum geschlossen ist.