Freigeben über


Einführung in Configuration Manager

 

Gilt für: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager ist eine Microsoft System Center-Verwaltungslösung, mit der IT-Produktivität und -Effektivität durch die Reduzierung manueller Tasks gesteigert werden, sodass Sie sich auf wichtige Projekte konzentrieren können. Die Nutzung von Hardware- und Softwareinvestitionen wird maximiert und die Endbenutzerproduktivität erhöht, indem die richtige Software zum richtigen Zeitpunkt bereitgestellt wird. Mithilfe von Configuration Manager können Sie durch die sichere und skalierbare Bereitstellung von Software, die Verwaltung von Kompatibilitätseinstellungen sowie die umfassende Anlagenverwaltung von Servern, Desktops, Laptops und mobilen Geräten effizientere IT-Dienste bereitstellen.

Configuration Manager erweitert vorhandene Technologie und Lösungen von Microsoft und arbeitet reibungslos mit diesen zusammen. Beispiel:

  • Von Configuration Manager werden Active Directory-Domänendienste verwendet, um Sicherheit, Dienstidentifizierung und Konfiguration zu gewährleisten sowie zu verwaltende Benutzer und Geräte zu ermitteln.

  • Von Configuration Manager wird Microsoft SQL Server als verteilte Änderungsmanagementdatenbank verwendet. Durch die Integration in SQL Server Reporting Services (SSRS) werden Berichte zur Überwachung und Nachverfolgung der Verwaltungsaktivitäten erzeugt.

  • Von vielen Configuration Manager-Standortsystemrollen, die Verwaltungsfunktionen bereitstellen, werden die Webdienste von Internet Information Services (IIS) verwendet.

  • Background Intelligent Transfer Service (BITS) und BranchCache können bei der Verwaltung der verfügbaren Netzwerkbandbreite hilfreich sein.

Darüber hinaus kann Configuration Manager in die folgenden Komponenten integriert werden: Windows Server Update Services (WSUS), Netzwerkzugriffsschutz (Network Access Protection, NAP), Zertifikatdienste, Exchange Server und Exchange Online, Gruppenrichtlinie, DNS-Serverrolle, Windows Automated Installation Kit (Windows AIK), Migrationstool für den Benutzerstatus (User State Migration Tool, USMT), Windows-Bereitstellungsdienste, Remotedesktop und Remoteunterstützung.

Damit Sie Configuration Manager in einer Produktionsumgebung erfolgreich verwenden können, müssen Sie einen detaillierten Plan aufstellen und die Verwaltungsfunktionen von Configuration Manager sorgfältig testen.Configuration Manager ist eine leistungsfähige Verwaltungsanwendung, die sich potenziell auf jeden Computer in Ihrer Organisation auswirken kann. Durch eine Bereitstellung und Verwaltung von Configuration Manager bei sorgfältiger Planung und Berücksichtigung Ihrer Unternehmensanforderungen können Sie mithilfe von Configuration Manager Ihren Verwaltungsaufwand und die Gesamtbetriebskosten beträchtlich senken.

In den folgenden Abschnitten finden Sie weitere Informationen zu Configuration Manager:

  • Verwaltungsfunktionen von Configuration Manager

  • Die Configuration Manager-Konsole

  • Der Anwendungskatalog, Softwarecenter und das Unternehmensportal

    • Configuration Manager-Eigenschaften (Client)
  • Beispielszenarien für Configuration Manager

    • Beispielszenario: Steigern der Benutzerproduktivität durch Sicherstellen des Zugriffs auf Anwendungen über jedes Gerät

    • Beispielszenario: Vereinheitlichen der Kompatibilitätsverwaltung für Geräte

    • Beispielszenario: Vereinfachen der Clientverwaltung für Geräte

  • Nächste Schritte

Verwaltungsfunktionen von Configuration Manager

In der folgenden Tabelle finden Sie Informationen zu den primären Verwaltungsfunktionen von Configuration Manager. Für jede Funktion gelten individuelle Anforderungen, und die von Ihnen gewünschten Funktionen können sich auf den Entwurf und die Implementierung Ihrer Configuration Manager-Hierarchie auswirken. Wenn Sie beispielsweise Software auf Geräten in Ihrer Hierarchie bereitstellen möchten, müssen Sie die Standortsystemrolle „Verteilungspunkt“ installieren.

Verwaltungsfunktion

Beschreibung

Weitere Informationen

Anwendungsverwaltung

Zu dieser Funktion gehören mehrere Tools und Ressourcen, mit denen Sie Anwendungen im Unternehmen erstellen, verwalten, bereitstellen und überwachen können.

Einführung in die Anwendungsverwaltung in Configuration Manager

Zugriff auf Unternehmensressourcen

Für System Center 2012 R2 Configuration Manager und höher:

Zu dieser Funktion gehört eine Reihe von Tools und Ressourcen, mit deren Hilfe Sie Benutzern in Ihrer Organisation Zugriff auf Daten und Anwendungen über Remotestandorte gewähren können. Diese umfassen Folgendes:

  • WLAN-Profile

  • VPN-Profile

  • Zertifikatprofile

Zugriff auf Unternehmensressourcen in Configuration Manager

Kompatibilitätseinstellungen

Zu dieser Funktion gehören mehrere Tools und Ressourcen, mit deren Hilfe Sie die Konfigurationskompatibilität von Clientgeräten im Unternehmen bewerten, verfolgen und korrigieren können.

Introduction to Compliance Settings in Configuration Manager (Einführung in die Kompatibilitätseinstellungen in Configuration Manager)

Endpoint Protection

Zu dieser Funktion gehören Verwaltungsfunktionen für Sicherheit, Antischadsoftware und Windows-Firewall für Computer in Ihrem Unternehmen.

Einführung in Endpoint Protection in Configuration Manager

-Inventur

Zu dieser Funktion gehören mehrere Tools zum Identifizieren und Überwachen von Beständen:

  • Hardwareinventur: Mit dieser Funktion werden detaillierte Informationen zur Hardware der Geräte in Ihrem Unternehmen gesammelt.

  • Softwareinventur: Mit dieser Funktion werden Informationen zu den auf Clientcomputern Ihres Unternehmens gespeicherten Dateien gesammelt und entsprechende Berichte erstellt.

  • Asset Intelligence: Zu dieser Funktion gehören Tools zum Sammeln von Inventurdaten und zur Überwachung von Softwarelizenzen in Ihrem Unternehmen.

Weitere Informationen finden Sie in der folgenden Dokumentation:

Betriebssystembereitstellung

Zu dieser Funktion gehört ein Tool zum Erstellen von Betriebssystemabbildern. Sie können diese Abbilder mittels PXE-Start oder mithilfe von startfähigen Medien, wie CDs, DVDs oder USB-Flashlaufwerken, auf Computern, die von Configuration Manager verwaltet werden, und auf nicht verwalteten Computern bereitstellen.

Einführung in die Betriebssystembereitstellung in Configuration Manager

Out-of-Band-Verwaltung

Diese Funktion wird in Intel Active Management Technology (Intel AMT) integriert, wodurch Sie Desktopcomputer und Laptops unabhängig vom Configuration Manager-Client oder dem Betriebssystem des Computers verwalten können.

Einführung zur Out-of-Band-Verwaltung in Configuration Manager 

Energieverwaltung

Zu dieser Funktion gehören mehrere Tools und Ressourcen, mit denen Sie den Stromverbrauch von Clientcomputern im Unternehmen verwalten und überwachen können.

Einführung in die Energieverwaltung in Configuration Manager

Abfragen

Zu dieser Funktion gehört ein Tool, mit dessen Hilfe Sie Informationen zu Ressourcen in Ihrer Hierarchie sowie zu Inventurdaten und Statusmeldungen abrufen können. Anschließend können Sie diese Informationen verwenden, um Berichte zu erstellen oder Sammlungen von Geräten oder Benutzern für Softwarebereitstellungs- und Konfigurationseinstellungen zu definieren.

Einführung in die Abfragen in Configuration Manager

Remoteverbindungsprofile

Für System Center 2012 R2 Configuration Manager und höher:

Zu dieser Funktion gehört eine Reihe von Tools und Ressourcen, mit deren Hilfe Sie Remoteverbindungeinstellungen für Geräte in Ihrer Organisation erstellen, bereitstellen und überwachen können. Durch Bereitstellen dieser Einstellungen erleichtern Sie dem Endbenutzer das Herstellen einer Verbindung mit dem Unternehmensnetzwerk.

Einführung in Remoteverbindungsprofile in Configuration Manager

Remotesteuerung

Zu dieser Funktion gehören Tools zur Remoteverwaltung von Clientcomputern über die Configuration Manager-Konsole.

Einführung in die Remotesteuerung in Configuration Manager

Berichterstellung

Zu dieser Funktion gehören mehrere Tools und Ressourcen, mit deren Hilfe Sie die erweiterten Berichterstattungsfunktionen von SQL Server Reporting Services über die Configuration Manager-Konsole nutzen können.

Einführung in die Berichterstattung in Configuration Manager

Softwaremessung

Zu dieser Funktion gehören Tools zum Überwachen und Sammeln von Nutzungsdaten von Configuration Manager-Clients.

Einführung in die Softwaremessung in Configuration Manager

Softwareupdates

Zu dieser Funktion gehören mehrere Tools und Ressourcen, mit denen Sie Softwareupdates im Unternehmen verwalten, bereitstellen und überwachen können.

Einführung in Softwareupdates in Configuration Manager

Microsoft Intune-Verwaltung

Mit Configuration Manager können Sie iOS-, Android- (einschließlich Samsung KNOX), Windows Phone- und Windows-Geräte mithilfe des Microsoft Intune-Diensts über das Internet verwalten.

Sie verwenden zwar den Microsoft Intune-Dienst, Verwaltungsaufgaben werden jedoch mithilfe der über die Microsoft Intune-Konsole verfügbare Standortsystemrolle „Configuration Manager-Connector“ ausgeführt.

Mit System Center 2012 R2 Configuration Manager verfügen Sie zudem über die Option, Windows 2012-Geräte auf die gleiche Weise wie mobile Geräte zu verwalten, auf denen der Configuration Manager-Client nicht installiert ist.

Weitere Informationen zum Planen und Installieren von Configuration Manager zur Unterstützung dieser Verwaltungsfunktionen in Ihrer Umgebung finden Sie unter Einführung in die Standortverwaltung in Configuration Manager.

Die Configuration Manager-Konsole

Verwenden Sie nach der Installation von Configuration Manager die Configuration Manager-Konsole, um Standorte und Clients zu konfigurieren und Verwaltungstasks auszuführen und zu überwachen. Diese Konsole ist die zentrale Verwaltungsschnittstelle, über die Sie mehrere Standorte verwalten können. Über die Konsole können Sie auch sekundäre Konsolen ausführen, um bestimmte Tasks zur Clientverwaltung zu unterstützen. Dies umfasst beispielsweise Folgendes:

  • Ressourcen-Explorer: Anzeige von Informationen zu Hardware- und Softwareinventur

  • Remotesteuerung: Herstellen einer Remoteverbindung mit einem Clientcomputer, um Problembehandlungstasks ausführen

  • Out-of-Band-Verwaltung: Herstellen einer Verbindung mit dem AMT-Verwaltungscontroller auf Intel AMT-basierten Computern und Ausführen von Tasks für Energieverwaltung und Problembehebung

Sie können die Configuration Manager-Konsole auf zusätzlichen Servercomputern und Arbeitsstationen installieren und mithilfe der rollenbasierten Verwaltung in Configuration Manager den Zugriff beschränken und die Elemente begrenzen, die Administratoren angezeigt werden.

Weitere Informationen finden Sie im Abschnitt Installieren einer Configuration Manager-Konsole des Themas Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager.

Der Anwendungskatalog, Softwarecenter und das Unternehmensportal

Der Configuration Manager-Anwendungskatalog ist eine Website, über die Benutzer Software für ihre Windows-basierten PCs durchsuchen und anfordern können. Sie müssen den Anwendungskatalog-Webdienstpunkt und den Anwendungskatalog-Websitepunkt installieren, um den Anwendungskatalog verwenden zu können.

Softwarecenter ist eine Anwendung, die bei der Installation des Configuration Manager-Clients auf Windows-basierten Computern installiert wird. Benutzer führen diese Anwendung aus, um Software anzufordern und die Software zu verwalten, die ihnen mithilfe von Configuration Manager bereitgestellt wird. Mithilfe von Softwarecenter können Benutzer folgende Aktionen ausführen:

  • Durchsuchen des Anwendungskatalogs nach Software und Installieren dieser Software

  • Anzeigen ihres Softwareanforderungsverlaufs

  • Konfigurieren, wann die Installation von Software auf ihren Geräten durch Configuration Manager zulässig ist

  • Konfigurieren der Zugriffseinstellungen für die Remotesteuerung, wenn die Remotesteuerung von einem Administrator aktiviert wurde

Das Unternehmensportal ist eine App oder Website, die ähnliche Funktionen erfüllt wie der Anwendungskatalog, aber für mobile Geräte ausgelegt ist, die bei Microsoft Intune angemeldet sind.

Weitere Informationen finden Sie im Thema Einführung in die Anwendungsverwaltung in Configuration Manager.

Configuration Manager-Eigenschaften (Client)

Bei der Installation des Configuration Manager-Clients auf Windows-Computern wird Configuration Manager in der Systemsteuerung installiert. In der Regel müssen Sie diese Anwendung nicht konfigurieren, da die Clientkonfiguration in der Configuration Manager-Konsole ausgeführt wird. Mithilfe dieser Anwendung können Administratoren und Helpdeskmitarbeiter Probleme mit einzelnen Clients beheben.

Weitere Informationen zur Clientbereitstellung finden Sie unter Einführung in die Clientbereitstellung in Configuration Manager.

Beispielszenarien für Configuration Manager

In den folgenden Beispielszenarien wird veranschaulicht, wie im Unternehmen Trey Research System Center 2012 Configuration Manager verwendet wird, um Benutzern eine höhere Produktivität zu ermöglichen, die Kompatibilitätsverwaltung für Geräte zugunsten einer einfacheren Verwaltung zu vereinheitlichen und die Geräteverwaltung zur Reduzierung der IT-Betriebskosten zu vereinfachen. In allen Szenarien ist Adam der Hauptadministrator für Configuration Manager.

Beispielszenario: Steigern der Benutzerproduktivität durch Sicherstellen des Zugriffs auf Anwendungen über jedes Gerät

Bei Trey Research soll sichergestellt werden, dass die Mitarbeiter möglichst effizient auf die von ihnen benötigten Anwendungen zugreifen können. Adam weist diese Unternehmensanforderungen den folgenden Szenarien zu:

Anforderungen

Aktueller Zustand der Clientverwaltung

Zukünftiger Zustand der Clientverwaltung

Neue Mitarbeiter können vom ersten Tag an effizient arbeiten.

Nach dem Eintritt in das Unternehmen müssen Mitarbeiter nach der ersten Anmeldung darauf warten, dass Anwendungen installiert werden.

Nach dem Eintritt in das Unternehmen können sich die Mitarbeiter anmelden, und die Anwendungen sind installiert und können sofort verwendet werden.

Mitarbeiter können schnell und einfach zusätzliche Software anfordern, die sie benötigen.

Wenn Mitarbeiter zusätzliche Anwendungen benötigen, reichen Sie beim Helpdesk ein Ticket ein. Sie müssen dann in der Regel zwei Tage warten, bis das Ticket bearbeitet wird und die Anwendungen installiert werden.

Wenn Mitarbeiter zusätzliche Anwendungen benötigen, können sie diese auf einer Website anfordern. Die Anwendungen werden sofort installiert, sofern keine Lizenzeinschränkungen vorliegen. Liegen Lizenzeinschränkungen vor, müssen die Benutzer erst eine entsprechende Genehmigung einholen, bevor sie die Anwendung installieren können.

Auf der Website werden den Benutzern nur die Anwendungen angezeigt, die sie installieren dürfen.

Mitarbeiter dürfen ihre eigenen mobilen Geräte bei der Arbeit verwenden, sofern die Geräte den überwachten und erzwungenen Sicherheitsrichtlinien entsprechen. Diese Richtlinien umfassen Folgendes:

  • Sicheres Kennwort

  • Sperre nach einer bestimmten Zeit der Inaktivität

  • Verloren gegangene oder gestohlene mobile Geräte werden remote zurückgesetzt.

Mitarbeiter verbinden ihre mobilen Geräten mit Exchange Server, um den E-Mail-Dienst nutzen zu können, aber die Berichterstattungsfunktionen, mit denen überprüft werden kann, ob die Sicherheitsrichtlinien im Rahmen der Standardrichtlinien für Exchange ActiveSync-Postfächer eingehalten werden, sind begrenzt. Die private Nutzung von mobilen Geräten kann untersagt werden, wenn der zuständige IT-Mitarbeiter die Einhaltung der Richtlinien nicht bestätigen kann.

In der IT-Organisation kann mit den erforderlichen Einstellungen gemeldet werden, ob die Sicherheit von mobilen Geräten eingehalten wird. Durch diese Bestätigung können Benutzer ihre mobilen Geräte weiterhin bei der Arbeit verwenden. Bei Verlust oder Diebstahl können Benutzer ihre mobilen Geräte remote zurücksetzen, und Helpdeskmitarbeiter können ein vom Benutzer als verloren gegangen oder gestohlen gemeldetes mobiles Gerät zurücksetzen.

Ermöglichen Sie die Anmeldung mobiler Geräte in einer PKI-Umgebung, um zusätzliche Sicherheit und Kontrolle zu erlangen.

Mitarbeiter können produktiv sein, auch wenn sie nicht an ihrem Schreibtisch sind.

Wenn Mitarbeiter nicht an ihrem Platz sind und keine tragbaren Computer besitzen, können sie nicht über die im Unternehmen verfügbaren Kioskcomputer auf ihre Anwendungen zugreifen.

Mitarbeiter können Kioskcomputer zum Zugreifen auf ihre Anwendungen und Daten verwenden.

In der Regel hat Geschäftskontinuität Vorrang vor dem Installieren erforderlicher Anwendungen und Softwareupdates.

Erforderliche Anwendungen und Softwareupdates werden tagsüber installiert, sodass die Benutzer häufig ihre Arbeit unterbrechen müssen, weil bei der Installation die Computerleistung beeinträchtigt wird oder die Computer neu gestartet werden müssen.

Benutzer können ihre Arbeitszeit festlegen, um zu verhindern, dass erforderliche Software installiert wird, während sie den Computer verwenden.

Damit den Anforderungen entsprochen wird, verwendet Adam die folgenden Verwaltungsfunktionen und Konfigurationsoptionen von Configuration Manager:

  • Anwendungsverwaltung

  • Verwaltung mobiler Geräte

Er implementiert diese über die Konfigurationsschritte in der folgenden Tabelle.

Konfigurationsschritte

Ergebnis

Adam stellt sicher, dass die neuen Benutzer über Benutzerkonten in Active Directory verfügen, und erstellt in Configuration Manager eine neue abfragebasierte Sammlung für diese Benutzer. Dann definiert er für diese Benutzer die Affinität zwischen Benutzer und Gerät, indem er eine Datei erstellt, in der die Benutzerkonten den verwendeten primären Computern zugeordnet werden. Anschließend importiert er diese Datei in Configuration Manager.

Die von den neuen Benutzern benötigten Anwendungen wurden bereits in Configuration Manager erstellt. Er stellt diese Anwendungen, die den Zweck Erforderlich aufweisen, für die Sammlung mit den neuen Benutzern bereit.

Aufgrund der Informationen zur Affinität zwischen Benutzer und Gerät werden die Anwendungen vor der Benutzeranmeldung auf den einzelnen primären Computern der Benutzer installiert.

Die Anwendungen können sofort nach der Anmeldung des Benutzers verwendet werden.

Adam installiert und konfiguriert die Standortsystemrollen für den Anwendungskatalog, damit die Benutzer nach zu installierenden Anwendungen suchen können. Er erstellt Anwendungsbereitstellungen mit dem Zweck Verfügbar und stellt diese Anwendungen für die Sammlung mit den neuen Benutzern bereit.

Für Anwendungen, für die nur eine begrenzte Anzahl von Lizenzen verfügbar ist, legt Adam fest, dass eine entsprechende Genehmigung erforderlich ist.

Durch Konfigurieren der Anwendungen als Verfügbar für diese Benutzer und durch Verwenden des Anwendungskatalogs können die Benutzer jetzt nach Anwendungen suchen, die sie installieren dürfen. Benutzer können die Anwendungen entweder sofort installieren oder eine Genehmigung anfordern und zwecks Anwendungsinstallation zum Anwendungskatalog zurückkehren, nachdem ihre Anforderung vom Helpdesk genehmigt wurde.

Adam erstellt in Configuration Manager einen Exchange Server-Connector, um die mobilen Geräte zu verwalten, die mit dem lokalen Exchange Server-Computer des Unternehmens verbunden werden. Er konfiguriert diesen Connector mit Sicherheitseinstellungen, die die Anforderung eines sicheren Kennworts und die Sperre des mobilen Geräts nach einer bestimmten Zeit der Inaktivität umfassen.

Adam verfügt über Configuration Manager SP1, daher bezieht er zur zusätzlichen Verwaltung von Geräten, auf denen Windows Phone 8, Windows RT oder iOS ausgeführt wird, ein Microsoft Intune-Abonnement und installiert dann die Standortsystemrolle Microsoft Intune-Connector. Diese Verwaltungslösung für mobile Geräte bietet dem Unternehmen eine größere Unterstützung zur Verwaltung dieser Geräte. Dies umfasst das Zurverfügungstellen von Anwendungen für Benutzer zur Installation auf diesen Geräten sowie eine umfassende Einstellungsverwaltung. Darüber hinaus werden Verbindungen mobiler Geräte mithilfe von PKI-Zertifikaten gesichert, die von Intune automatisch erstellt und bereitgestellt werden. Nachdem Adam den Microsoft Intune-Connector konfiguriert hat, sendet er den Benutzern, denen die mobilen Geräte gehören, eine E-Mail-Nachricht mit einem Link, auf den die Benutzer klicken können, um den Anmeldungsvorgang zu starten.

Für die Anmeldung der mobilen Geräte über Intune verwendet Adam Kompatibilitätseinstellungen, um Sicherheitseinstellungen für die mobilen Geräte zu konfigurieren. Diese Einstellungen umfassen die Anforderung, ein sicheres Kennwort zu konfigurieren und das mobile Gerät nach einer bestimmten Zeit der Inaktivität zu sperren.

Mithilfe dieser zwei Verwaltungslösungen für mobile Geräte kann die IT-Organisation jetzt Berichtsinformationen zu den im Firmennetzwerk verwendeten mobilen Geräten und deren Einhaltung der konfigurierten Sicherheitseinstellungen bereitstellen.

Benutzern wird gezeigt, wie sie ein verloren gegangenes oder gestohlenes mobiles Gerät mithilfe des Anwendungskatalogs oder über das Unternehmensportal remote zurücksetzen können. Zudem erhalten Helpdeskmitarbeiter Anweisungen, wie sie mobile Geräte für Benutzer mithilfe der Configuration Manager-Konsole remote zurücksetzen.

Adam kann jetzt außerdem für die über Intune angemeldeten mobilen Geräte mobile Anwendungen für Benutzer zur Installation bereitstellen und mehr Inventurdaten von diesen Geräten sammeln. Darüber hinaus ist eine bessere Verwaltungssteuerung dieser Geräte möglich, weil auf mehr Einstellungen zugegriffen werden kann.

Bei Trey Research stehen mehrere Kioskcomputer zur Verfügung, die von Mitarbeitern verwendet werden, die das Unternehmen besuchen. Die Mitarbeiter möchten, dass ihre Anwendungen auf jedem Gerät, an dem sie sich anmelden, verfügbar sind. Adam möchte jedoch nicht alle Anwendungen lokal auf den einzelnen Computern installieren.

Deshalb erstellt Adam die erforderlichen Anwendungen mit zwei Bereitstellungstypen:

  • Eine vollständige, lokale Installation der Anwendung, die jeweils nur auf dem primären Gerät des Benutzers installiert werden darf

  • Eine virtuelle Version der Anwendung, die nicht auf dem primären Gerät des Benutzers installiert werden darf

Wenn sich das Unternehmen besuchende Mitarbeiter an einem Kioskcomputer anmelden, werden die von ihnen benötigten Anwendungen auf dem Desktop des Kioskcomputers als Symbole angezeigt. Beim Ausführen der Anwendung wird diese als virtuelle Anwendung gestreamt. Dadurch können die Mitarbeiter genauso produktiv sein, als würden sie an ihrem eigenen Schreibtisch sitzen.

Adam teilt den Benutzern mit, dass sie ihre Geschäftszeiten im Softwarecenter konfigurieren und Optionen auswählen können, um zu verhindern, dass Softwarebereitstellungsaktivitäten in diesen und zu Zeiten ausgeführt werden, in denen sich der Computer im Präsentationsmodus befindet.

Da Benutzer steuern können, wann von Configuration Manager Software auf ihren Computern bereitgestellt wird, bleiben sie während ihrer gesamten Arbeitszeit produktiv.

Durch diese Konfigurationsschritte und -ergebnisse kann bei Trey Research die Produktivität der Mitarbeiter durch Sicherstellen des Zugriffs auf Anwendungen über jedes Gerät gesteigert werden.

Beispielszenario: Vereinheitlichen der Kompatibilitätsverwaltung für Geräte

Bei Trey Research soll eine einheitliche Clientverwaltungslösung eingesetzt werden, mit der sichergestellt wird, dass auf allen Computern eine automatisch aktualisierte Antivirensoftware ausgeführt wird. Dies bedeutet, dass die Windows-Firewall aktiviert ist, wichtige Softwareupdates installiert sowie bestimmte Registrierungsschlüssel festgelegt werden und auf verwalteten mobilen Geräten keine unsignierten Anwendungen installiert oder ausgeführt werden dürfen. Das Unternehmen möchte diesen Schutz auch für Laptops, deren Verbindungen vom Intranet ins Internet wechseln, auf das Internet erweitern.

Adam weist diese Unternehmensanforderungen den folgenden Szenarien zu:

Anforderungen

Aktueller Zustand der Clientverwaltung

Zukünftiger Zustand der Clientverwaltung

Auf allen Computern wird Antischadsoftware ausgeführt, die über die aktuellsten Definitionsdateien verfügt und die Windows Firewall aktiviert.

Für verschiedene Computer werden unterschiedliche Antischadsoftwarelösungen ausgeführt, die nicht immer auf dem aktuellsten Stand sind und obwohl die Windows Firewall standardmäßig aktiviert ist, wird sie manchmal von Benutzern deaktiviert.

Die Benutzer sind aufgefordert, den Helpdesk zu kontaktieren, wenn sie Schadsoftware auf ihrem Computer entdecken.

Alle Computer führen dieselbe Antischadsoftwarelösung aus, für die automatisch die aktuellsten Definitionsupdatedateien heruntergeladen werden und von der die Windows Firewall automatisch wieder aktiviert wird, wenn sie durch Benutzer deaktiviert wurde.

Der Helpdesk wird automatisch per E-Mail benachrichtigt, wenn Malware erkannt wird.

Für alle Computer werden kritische Softwareupdates im ersten Monat der Veröffentlichung installiert.

Obwohl auf den Computern Softwareupdates installiert sind, werden für viele Computer kritische Softwareupdates erst zwei oder drei Monate nach Veröffentlichung installiert. Dadurch sind die Computer in diesem Zeitraum nicht optimal gegen Angriffe geschützt.

Für Computer, auf denen die kritischen Softwareupdates nicht installiert werden, versendet der Helpdesk zunächst E-Mails mit der Aufforderung an die Benutzer, die Updates zu installieren. Für Computer mit Benutzern, die der Aufforderung weiterhin nicht nachgekommen sind, stellen Techniker eine Remoteverbindung mit diesen Computern her und installieren die fehlenden Softwareupdates manuell.

Verbessern Sie die aktuelle Konformitätsrate im angegebenen Monat auf über 95 %, ohne E-Mails zu versenden oder den Helpdesk zu bitten, diese manuell zu installieren.

Die Sicherheitseinstellungen für die angegebenen Anwendungen werden regelmäßig geprüft und, falls erforderlich, korrigiert.

Für die Computer werden komplexe Startskripts ausgeführt, die für das Zurücksetzen von Registrierungswerten für bestimmte Anwendungen auf der Computergruppenmitgliedschaft basieren.

Da diese Skripts nur beim Start ausgeführt werden und einige Computer tagelang nicht heruntergefahren werden, kann der Helpdesk keine rechtzeitige Überprüfung hinsichtlich einer Konfigurationsverschiebung vornehmen.

Die Registrierungswerte werden überprüft und automatisch korrigiert, ohne Neustart des Computers oder Bezug zur Computergruppenmitgliedschaft.

Für mobile Geräte können keine unsicheren Anwendungen installiert oder ausgeführt werden.

Benutzer werden gebeten, keine möglicherweise unsicheren Anwendungen aus dem Internet herunterzuladen und auszuführen, es gibt aber keine Kontrollen, die dies überwachen bzw. erzwingen.

Auf mobilen Geräten, die vom Microsoft Intune-Connector oder von Configuration Manager verwaltet werden, wird das Installieren oder Ausführen von nicht signierten Anwendungen automatisch verhindert.

Laptops, die vom Intranet ins Internet wechseln, müssen gesichert werden.

Benutzer, die viel reisen, können sich oft nicht täglich über VPN verbinden, wodurch ihre Laptops nicht mehr den Sicherheitsanforderungen entsprechen.

Damit den Sicherheitsanforderungen entsprochen werden kann, ist für Laptops lediglich eine Internetverbindung erforderlich. Benutzer müssen sich nicht über VPN anmelden oder VPN verwenden.

Damit den Anforderungen entsprochen wird, verwendet Adam die folgenden Verwaltungsfunktionen und Konfigurationsoptionen von Configuration Manager:

  • Endpoint Protection

  • Softwareupdates

  • Kompatibilitätseinstellungen

  • Verwaltung mobiler Geräte

  • Internetbasierte Clientverwaltung

Er implementiert diese über die Konfigurationsschritte in der folgenden Tabelle.

Konfigurationsschritte

Ergebnis

Adam konfiguriert Endpoint Protection und aktiviert die Clienteinstellung, um andere Antischadsoftwarelösungen zu deinstallieren, und aktiviert Windows Firewall. Er konfiguriert automatische Bereitstellungsregeln, sodass für die Computer regelmäßig die aktuellsten Definitionsupdates gesucht und installiert werden.

Durch die Antischadsoftwarelösung in einem Paket werden alle Computer mit minimalem Verwaltungsaufwand geschützt. Da der Helpdesk automatisch per E-Mail informiert wird, wenn Antischadsoftware erkannt wird, können Probleme schnell behoben werden. So werden Angriffe auf andere Computer verhindert.

Zur Steigerung der Kompatibilitätsrate verwendet Adam automatische Bereitstellungsregeln, definiert Wartungsfenster für Server und untersucht die Vor- und Nachteile bei der Verwendung von Wake-On-LAN für Computer im Ruhezustand.

Die Kompatibilität mit kritischen Softwareupdates wird gesteigert, und die Anforderung an Benutzer oder den Helpdesk, Softwareupdates manuell zu installieren, wird reduziert.

Adam verwendet Kompatibilitätseinstellungen, um nach den angegebenen Anwendungen zu suchen. Wenn die Anwendungen gefunden wurden, werden die Registrierungswerte von Konfigurationselementen überprüft und korrigieren diese automatisch, wenn sie nicht konform sind.

Durch die Verwendung von Konfigurationselementen und Konfigurationsbasislinien, die auf allen Computern bereitgestellt werden und täglich eine Kompatibilitätsprüfung durchführen, sind separate Skripts nicht mehr erforderlich, die von Computermitgliedschaft und Computerneustarts abhängig sind.

Adam verwendet Kompatibilitätseinstellungen für angemeldete mobile Geräte und konfiguriert den Exchange Server Connector so, dass das Installieren und Ausführen von nicht signierten Anwendungen auf mobilen Geräten nicht zulässig ist.

Durch das Verbot von nicht signierten Anwendungen sind mobile Geräte automatisch gegen potenziell schädliche Anwendungen geschützt.

Adam stellt sicher, dass die Standortsystemserver und -computer über die PKI-Zertifikate verfügen, die in Configuration Manager für HTTPS-Verbindungen erforderlich sind und installiert dann zusätzliche Standortsystemrollen im Umkreisnetzwerk, von denen Clientverbindungen über das Internet zugelassen werden.

Computer, die vom Intranet ins Internet wechseln, werden automatisch weiterhin von Configuration Manager verwaltet, wenn Sie eine Internetverbindung haben. Diese Computer sind nicht davon abhängig, dass Benutzer sich am Computer anmelden oder eine Verbindung zum VPN herstellen.

Für diese Computer ist die Verwaltung von Antischadsoftware und Windows Firewall, Softwareupdates und Konfigurationselementen sichergestellt. Daher erhöhen sich die Kompatibilitätsstufen automatisch.

Diese Konfigurationsschritte und -ergebnisse führen zur erfolgreichen Vereinheitlichung der Kompatibilitätsverwaltung für Geräte von Trey Research.

Beispielszenario: Vereinfachen der Clientverwaltung für Geräte

Bei Trey Research sollen alle neuen Computer das Basiscomputerabbild ihres Unternehmens automatisch installieren, das Windows 7 ausführt. Nachdem das Betriebssystemabbild auf diesen Computern installiert ist, müssen sie hinsichtlich der von Benutzern zusätzlich installierten Software verwaltet und überwacht werden. Für Computer, auf denen streng vertrauliche Informationen gespeichert werden, sind strengere Verwaltungsrichtlinien als für andere Computer erforderlich. Helpdeskmitarbeiter dürfen beispielsweise keine Remoteverbindung zu diesen Computern herstellen, für einen Neustart muss eine BitLocker PIN eingegeben werden, und nur lokale Administratoren können Software installieren.

Adam weist diese Unternehmensanforderungen den folgenden Szenarien zu:

Anforderungen

Aktueller Zustand der Clientverwaltung

Zukünftiger Zustand der Clientverwaltung

Auf neuen Computern wird Windows 7 installiert.

Der Helpdesk installiert und konfiguriert Windows 7 für die Benutzer und sendet den Computer dann an den entsprechenden Ort.

Neue Computer werden direkt an das endgültige Ziel gesendet, mit dem Netzwerk verbunden und erhalten so eine automatische Installation und Konfiguration von Windows 7.

Computer müssen verwaltet und überwacht werden. Dies umfasst eine Hardware- und Softwareinventur, um Lizenzanforderungen zu ermitteln.

Der Configuration Manager-Client wird über die automatische Clientpushinstallation bereitgestellt, und der Helpdesk untersucht Installationsfehler sowie Clients, für die Inventurdaten nicht erwartungsgemäß versendet wurden.

Es treten häufig Fehler auf, die durch nicht berücksichtigte Installationsabhängigkeiten und WMI-Beschädigung auf dem Client verursacht werden.

Daten zur Clientinstallation und -inventur, die auf den Computern gesammelt werden, sind verlässlicher und erfordern weniger Unterstützung durch den Helpdesk. In Berichten wird die Softwarenutzung für Lizenzinformationen angezeigt.

Für einige Computer sind strengere Verwaltungsrichtlinien erforderlich.

Aufgrund der strengeren Verwaltungsrichtlinien werden diese Computer zurzeit nicht von Configuration Manager verwaltet.

Verwalten Sie diese Computer über Configuration Manager ohne zusätzlichen Verwaltungsaufwand, um die Ausnahmen zu berücksichtigen.

Damit den Anforderungen entsprochen wird, verwendet Adam die folgenden Verwaltungsfunktionen und Konfigurationsoptionen von Configuration Manager:

  • Betriebssystembereitstellung

  • Clientbereitstellung und Clientstatus

  • Kompatibilitätseinstellungen

  • Clienteinstellungen

  • Inventur und Asset Intelligence

  • Rollenbasierte Verwaltung

Er implementiert diese über die Konfigurationsschritte in der folgenden Tabelle.

Konfigurationsschritte

Ergebnis

Adam erstellt ein Betriebssystemabbild von einem Computer, auf dem Windows 7 installiert ist und der gemäß den Unternehmensspezifikationen konfiguriert ist. Dann stellt er das Betriebssystem auf den neuen Computern bereit, mithilfe eines unbekannten Computer-Supports und PXE. Außerdem installiert er den Configuration Manager-Client als Teil der Betriebssystembereitstellung.

So sind neue Computer schneller einsatzbereit, ohne Eingreifen des Helpdesk.

Adam konfiguriert eine automatische, standortweite Clientpushinstallation, um den Configuration Manager-Client auf allen gefundenen Computern zu installieren. Dies stellt sicher, dass auf allen Computern, von denen kein Abbild mit dem Client erstellt wurde, der Client dennoch installiert und der Computer so von Configuration Manager verwaltet wird.

Adam konfiguriert den Clientstatus, um alle ermittelten Clientprobleme automatisch zu beheben. Adam konfiguriert außerdem Clienteinstellungen, die das Sammeln von erforderlichen Inventurdaten ermöglichen und konfiguriert Asset Intelligence.

Das Installieren des Clients zusammen mit dem Betriebssystem ist schneller und verlässlicher, als darauf zu warten, dass der Computer von Configuration Manager erkannt wird, und dann zu versuchen, die Clientquelldateien auf dem Computer zu installieren. Wenn Sie jedoch die automatische Clientpushoption aktiviert lassen, fungiert dies als Sicherungsoption für einen Computer, auf dem das Betriebssystem bereits installiert ist, um den Client beim Verbinden des Computers mit dem Netzwerk zu installieren.

Clienteinstellungen stellen sicher, dass Inventurinformationen in regelmäßigen Abständen an den Standort gesendet werden. Zusätzlich zu den Clientstatustests stellt dies sicher, dass der Client mit minimaler Beteiligung des Helpdesks ausgeführt werden kann. WMI-Beschädigungen beispielsweise werden erkannt und automatisch korrigiert.

Die Asset Intelligence-Berichte dienen der Überwachung der Softwareverwendung und -lizenzen.

Adam erstellt eine Sammlung für die Computer, für die strengere Richtlinieneinstellungen erforderlich sind, und nimmt dann eine benutzerdefinierte Clientgeräteeinstellung für diese Sammlung vor, die das Deaktivieren der Remotesteuerung und die Aktivierung des BitLocker-PIN-Eintrags umfasst und nur lokalen Administratoren die Installation von Software gestattet.

Adam konfiguriert die rollenbasierte Verwaltung, sodass Helpdeskmitarbeitern diese Sammlung von Computern nicht angezeigt wird, um sicherzustellen, dass sie nicht versehentlich als Standardcomputer verwaltet werden.

Diese Computer werden jetzt von Configuration Manager verwaltet, aber mit spezifischen Einstellungen, die keinen neuen Standort erfordern.

Die Sammlung für diese Computer ist für die Helpdeskmitarbeiter nicht sichtbar, um zu verhindern, dass ihnen versehentlich Bereitstellungen und Skripts für Standardcomputer geschickt werden.

Diese Konfigurationsschritte und -ergebnisse führen dazu, dass Trey Research die Clientverwaltung für Geräte erfolgreich vereinfacht.

Nächste Schritte

Machen Sie sich vor der Installation von Configuration Manager mit einigen grundlegenden Konzepten und Begriffen vertraut, die bei Configuration Manager verwendet werden:

Wenn Sie mit den grundlegenden Konzepten vertraut sind, finden Sie in der System Center 2012 Configuration Manager-Dokumentation hilfreiche Informationen zur erfolgreichen Bereitstellung und Verwendung von Configuration Manager. Weitere Informationen zur verfügbaren Dokumentation finden Sie unter Neuheiten in der Dokumentation zu Configuration Manager.