Compartir a través de


Escenario de ejemplo para implementar y administrar clientes Configuration Manager en dispositivos Windows Embedded

Se aplica a: Configuration Manager (rama actual)

En este escenario se muestra cómo administrar dispositivos Windows Embedded habilitados para filtro de escritura con Configuration Manager. Si los dispositivos incrustados no admiten filtros de escritura, se comportan como clientes estándar Configuration Manager y estos procedimientos no se aplican.

Coho Vineyard & Winery está abriendo un centro de visitantes y necesita quioscos que ejecuten Windows Embedded para ejecutar presentaciones interactivas. El edificio del nuevo centro de visitantes no está cerca del departamento de TI, por lo que los quioscos deben administrarse de forma remota. Además del software que ejecuta las presentaciones, estos dispositivos deben ejecutar software de protección antimalware actualizado para cumplir con las directivas de seguridad de la empresa. Los quioscos deben ejecutarse 7 días a la semana, sin tiempo de inactividad mientras el centro de visitantes está abierto.

Coho ya ejecuta Configuration Manager para administrar dispositivos en su red. Configuration Manager está configurado para ejecutar Endpoint Protection e instalar aplicaciones y actualizaciones de software. Sin embargo, dado que el equipo de TI no ha administrado dispositivos Windows Embedded antes, el administrador de Configuration Manager ejecuta un piloto para administrar dos quioscos en la sala de recepción.

Para administrar estos dispositivos de Windows Embedded habilitados para el filtro de escritura, Configuration Manager administrador realiza los pasos siguientes para instalar el cliente de Configuration Manager, proteger al cliente mediante Endpoint Protection e instalar el software de presentación interactivo.

  1. El administrador de Configuration Manager (el Administración) lee cómo los dispositivos Windows Embedded usan filtros de escritura y cómo Configuration Manager puede facilitar esto deshabilitando automáticamente y, a continuación, volviendo a habilitar los filtros de escritura para conservar una instalación de software.

    Para obtener más información, vea Planeamiento de la implementación de cliente en dispositivos Windows Embedded.

  2. Antes de que el Administración instale el cliente de Configuration Manager, el Administración crea una nueva colección de dispositivos basada en consultas para los dispositivos Windows Embedded. Dado que la empresa usa formatos de nomenclatura estándar para identificar sus equipos, el Administración puede identificar de forma única los dispositivos Windows Embedded con las seis primeras letras del nombre del equipo: WEMDVC. El Administración usa la siguiente consulta WQL para crear esta colección: seleccione SMS_R_System.NetbiosName en SMS_R_System donde SMS_R_System.NetbiosName como "WEMDVC%"

    Esta colección permite a los Administración administrar los dispositivos de Windows Embedded con diferentes opciones de configuración de los demás dispositivos. El Administración usará esta colección para controlar los reinicios, implementar Endpoint Protection con la configuración del cliente e implementar la aplicación de presentación interactiva.

    Consulte Creación de colecciones.

  3. El Administración configura la colección para una ventana de mantenimiento para asegurarse de que los reinicios que podrían ser necesarios para instalar la aplicación de presentación y las actualizaciones no se producen durante el horario de apertura del centro de visitantes. El horario de apertura será de 09:00 a 18:00, de lunes a domingo. El Administración configura la ventana de mantenimiento para cada día, de 18:30 a 06:00.

  4. Para obtener más información, consulte Uso de ventanas de mantenimiento.

  5. A continuación, el Administración configura una configuración de cliente de dispositivo personalizada para instalar el cliente de Endpoint Protection seleccionando para la siguiente configuración y, a continuación, implementa esta configuración de cliente personalizada en la colección de dispositivos de Windows Embedded:

    • Instalación del cliente de Endpoint Protection en equipos cliente

    • Para dispositivos Windows Embedded con filtros de escritura, confirme la instalación del cliente de Endpoint Protection (requiere reiniciar)

    • Permitir que la instalación y el reinicio del cliente de Endpoint Protection se realicen fuera de las ventanas de mantenimiento

      Cuando se instala el cliente de Configuration Manager, esta configuración instala el cliente de Endpoint Protection y garantiza que se conserva en el sistema operativo como parte de la instalación, en lugar de escribirse solo en la superposición. Las directivas de seguridad de la empresa requieren que el software antimalware siempre esté instalado y el Administración no quiera ejecutar el riesgo de que los quioscos estén desprotegidos durante un breve período de tiempo si se reinician.

    Nota:

    Los reinicios necesarios para instalar el cliente de Endpoint Protection son una repetición única, que se produce durante el período de instalación de los dispositivos y antes de que el centro de visitantes esté operativo. A diferencia de la implementación periódica de aplicaciones o actualizaciones de definición de software, la próxima vez que el cliente de Endpoint Protection esté instalado en el mismo dispositivo probablemente será cuando la empresa actualice a la siguiente versión de Configuration Manager.

    Para obtener más información, consulte Configuración de Endpoint Protection.

  6. Con los valores de configuración del cliente ahora en vigor, el Administración se prepara para instalar los clientes de Configuration Manager. Antes de que el Administración pueda instalar los clientes, deben deshabilitar manualmente el filtro de escritura en los dispositivos de Windows Embedded. El Administración lee la documentación de OEM que acompaña a los quioscos y sigue sus instrucciones para deshabilitar los filtros de escritura.

    El Administración cambia el nombre del dispositivo para que use el formato de nomenclatura estándar de la empresa y, a continuación, instala el cliente manualmente ejecutando CCMSetup con el siguiente comando desde una unidad asignada que contiene los archivos de origen del cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

    Este comando instala el cliente, asigna el cliente al punto de administración que tiene el FQDN de intranet de mpserver.cohovineyardandwinery.com y asigna el cliente al sitio principal denominado CO1.

    El Administración sabe que los clientes siempre tardan un tiempo en instalar y devolver su estado al sitio. Por lo tanto, el Administración espera antes de confirmar que los clientes se instalan correctamente, se asignan al sitio y aparecen como clientes en la colección que crearon para dispositivos Windows Embedded.

    Como confirmación adicional, el Administración comprueba las propiedades de Configuration Manager en Panel de control en los dispositivos y los compara con los equipos Windows estándar administrados por el sitio. Por ejemplo, en la pestaña Componentes , el Agente de inventario de hardware muestra Habilitado y, en la pestaña Acciones , hay 11 acciones disponibles, que incluyen Ciclo de evaluación de implementación de aplicaciones y Ciclo de recopilación de datos de detección.

    Con la confianza de que los clientes se instalan, asignan y reciben correctamente la directiva de cliente desde el punto de administración, el Administración habilita manualmente los filtros de escritura siguiendo las instrucciones del OEM.

    Para más información, vea:

  7. Ahora que el cliente de Configuration Manager está instalado en los dispositivos Windows Embedded, el Administración confirma que pueden administrarlos de la misma manera que administran los clientes estándar de Windows. Por ejemplo, desde la consola de Configuration Manager, el Administración puede administrarlos de forma remota mediante el control remoto, iniciar la directiva de cliente para ellos y ver las propiedades del cliente y el inventario de hardware.

    Dado que estos dispositivos están unidos a un dominio de Active Directory, el Administración no tiene que aprobarlos manualmente como clientes de confianza y confirma desde la consola de Configuration Manager que están aprobados.

    Para obtener más información, consulte Administración de clientes.

  8. Para instalar el software de presentación interactiva, el Administración ejecuta el Asistente para implementar software y configura una aplicación necesaria. En la página Experiencia del usuario del asistente, en la sección Control de filtros de escritura para dispositivos Windows Embedded, aceptan la opción predeterminada que selecciona Confirmar cambios en la fecha límite o durante una ventana de mantenimiento (requiere reinicios).

    El Administración mantiene esta opción predeterminada para los filtros de escritura para asegurarse de que la aplicación persiste después de un reinicio, de modo que siempre esté disponible para los visitantes que usan los quioscos. La ventana de mantenimiento diario proporciona un período seguro durante el cual se reinician para la instalación y se pueden producir actualizaciones.

    El Administración implementa la aplicación en la colección de dispositivos de Windows Embedded.

    Para obtener más información, consulte Implementación de aplicaciones con Configuration Manager.

  9. Para configurar las actualizaciones de definiciones para Endpoint Protection, el Administración usa actualizaciones de software y ejecuta el Asistente para crear reglas de implementación automática. Seleccionan la plantilla Definición Novedades para rellenar previamente el asistente con la configuración adecuada para Endpoint Protection.

    Esta configuración incluye lo siguiente en la página Experiencia del usuario del asistente:

    • Comportamiento de la fecha límite: la casilla Instalación de software no está seleccionada.

    • Control de filtros de escritura para dispositivos Windows Embedded: la casilla Confirmar cambios en la fecha límite o durante una ventana de mantenimiento (requiere reinicios) no está seleccionada.

      El Administración mantiene esta configuración predeterminada. Juntos, estas dos opciones con esta configuración permiten que las definiciones de actualización de software de Endpoint Protection se instalen en la superposición durante el día y no esperen a instalarse y confirmarse durante la ventana de mantenimiento. Esta configuración se ajusta mejor a la directiva de seguridad de la empresa para que los equipos ejecuten la protección antimalware actualizada.

      Nota:

      A diferencia de las instalaciones de software para aplicaciones, las definiciones de actualización de software para Endpoint Protection pueden producirse con mucha frecuencia, incluso varias veces al día. A menudo son archivos pequeños. Para estos tipos de implementaciones relacionadas con la seguridad, a menudo puede ser beneficioso instalar siempre en la superposición en lugar de esperar hasta la ventana de mantenimiento. El cliente Configuration Manager volverá a instalar rápidamente las actualizaciones de definición de software si el dispositivo se reinicia porque esta acción inicia una comprobación de evaluación y no espera hasta la siguiente evaluación programada.

      El Administración selecciona la colección de dispositivos de Windows Embedded para la regla de implementación automática.

      Para obtener más información, vea
      Paso 3: Configurar Novedades de software de Configuration Manager para entregar Novedades de definición a los equipos cliente en Configuración de Endpoint Protection

  10. El Administración decide configurar una tarea de mantenimiento que confirma periódicamente todos los cambios en la superposición. Esta tarea es admitir la implementación de definiciones de actualización de software, para reducir el número de actualizaciones que se acumulan y deben instalarse de nuevo, cada vez que se reinicia el dispositivo. En la experiencia del Administración, esto ayuda a que los programas antimalware se ejecuten de forma más eficaz.

    Nota:

    Estas definiciones de actualización de software se confirmarían automáticamente en la imagen si los dispositivos incrustados ejecutaran otra tarea de administración que admitiera la confirmación de los cambios. Por ejemplo, la instalación de una nueva versión del software de presentación interactiva también confirmaría los cambios en las definiciones de actualización de software. O bien, la instalación de actualizaciones de software estándar cada mes que se instalan durante la ventana de mantenimiento también podría confirmar los cambios de las definiciones de actualización de software. Sin embargo, en este escenario, donde las actualizaciones de software estándar no se ejecutan y es poco probable que el software de presentación interactiva se actualice con mucha frecuencia, podrían pasar meses antes de que las actualizaciones de definición de software se confirmen automáticamente en la imagen.

    El Administración crea primero una secuencia de tareas personalizada que no tiene ninguna configuración que no sea el nombre. Ejecutan el Asistente para crear secuencia de tareas:

    1. En la página Crear una nueva secuencia de tareas, el Administración selecciona Crear una nueva secuencia de tareas personalizada y, a continuación, hace clic en Siguiente.

    2. En la página Información de secuencia de tareas, el Administración escribe Tarea de mantenimiento para confirmar los cambios en los dispositivos incrustados para el nombre de secuencia de tareas y, a continuación, hace clic en Siguiente.

    3. En la página Resumen, el Administración selecciona Siguiente y completa el asistente.

      A continuación, el Administración implementa esta secuencia de tareas personalizada en la colección de dispositivos de Windows Embedded y configura la programación para que se ejecute cada mes. Como parte de la configuración de implementación, seleccionan la casilla Confirmar cambios en la fecha límite o durante una ventana de mantenimiento (requiere reinicios) para conservar los cambios después de un reinicio. Para configurar esta implementación, el Administración selecciona la secuencia de tareas personalizada que acaba de crear y, a continuación, en la pestaña Inicio, en el grupo Implementación, hace clic en Implementar para iniciar el Asistente para implementar software:

    4. En la página General, el Administración selecciona la colección de dispositivos de Windows Embedded y, a continuación, hace clic en Siguiente.

    5. En la página Configuración de implementación, el Administración selecciona el Propósitorequerido y, a continuación, hace clic en Siguiente.

    6. En la página Programación, el Administración hace clic en Nuevo para especificar una programación semanal durante la ventana de mantenimiento y, a continuación, hace clic en Siguiente.

    7. El Administración completa el asistente sin más cambios.

      Para obtener más información, vea
      Administrar secuencias de tareas para automatizar tareas.

  11. Para que los quioscos se ejecuten automáticamente, el Administración escribe un script para configurar los dispositivos para los siguientes valores:

    • Inicie sesión automáticamente con una cuenta de invitado que no tenga contraseña.

    • Ejecute automáticamente el software de presentación interactiva en el inicio.

      El Administración usa paquetes y programas para implementar este script en la colección de dispositivos de Windows Embedded. Cuando el Administración ejecuta el Asistente para implementar software, vuelve a activar la casilla Confirmar cambios en la fecha límite o durante una ventana de mantenimiento (requiere reinicios) para conservar los cambios después de un reinicio.

      Para obtener más información, vea Paquetes y programas.

  12. A la mañana siguiente, el Administración comprueba los dispositivos de Windows Embedded. Confirman lo siguiente:

    • La pantalla completa se inicia automáticamente mediante la cuenta de invitado.

    • Se está ejecutando el software de presentación interactiva.

    • El cliente de Endpoint Protection está instalado y tiene las definiciones de actualización de software más recientes.

    • Que el dispositivo se ha reiniciado durante la ventana de mantenimiento.

      Para más información, vea:

    • Supervisión de Endpoint Protection

    • Supervisión de aplicaciones con Configuration Manager

  13. El Administración supervisa los quioscos e informa de la correcta administración de los mismos a su gerente. Como resultado, se ordenan 20 quioscos para el centro de visitantes.

    Para evitar la instalación manual del cliente de Configuration Manager, que requiere deshabilitar manualmente y, a continuación, habilitar los filtros de escritura, el Administración garantiza que el pedido incluya una imagen personalizada que ya incluya la instalación y la asignación de sitio del cliente Configuration Manager. Además, los dispositivos se denominan según el formato de nomenclatura de la empresa.

    Los quioscos se entregan al centro de visitantes una semana antes de que se abra. Durante este tiempo, los quioscos están conectados a la red, toda la administración de dispositivos para ellos es automática y no se requiere ningún administrador local. El Administración confirma que los quioscos están funcionando según sea necesario:

    • Los clientes de los quioscos completan la asignación de sitio y descargan la clave raíz de confianza de Servicios de dominio de Active Directory.

    • Los clientes de los quioscos se agregan automáticamente a la colección de dispositivos de Windows Embedded y se configuran con la ventana de mantenimiento.

    • El cliente de Endpoint Protection está instalado y tiene las definiciones de actualización de software más recientes para la protección antimalware.

    • El software de presentación interactiva se instala y se ejecuta automáticamente, listo para los visitantes.

  14. Después de esta configuración inicial, los reinicios que puedan ser necesarios para las actualizaciones se producen solo cuando se cierra el centro de visitantes.