A Configuration Manager bemutatása
Hatókör: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
A System Center 2012 Configuration Manager a Microsoft System Center felügyeletmegoldás-csomag részeként a manuálisan végzett feladatok csökkentésével növeli az informatikai termelékenységet és hatékonyságot, és lehetővé teszi, hogy a nagy értékű projektekre összpontosítson, maximalizálja hardver- és szoftverbefektetéseit, valamint ösztönözze a végfelhasználói termelékenységet a megfelelő szoftver megfelelő időben való biztosításával. A Configuration Manager segítségével biztonságos és skálázható módon telepíthetők a szoftverek, elvégezhető a megfelelőségi beállítások kezelése, valamint egységesen felügyelhetők a kiszolgálók, az asztali számítógépek, a laptopok és a mobileszközök – összességében hatékonyabb IT szolgáltatásokat biztosítva.
A Configuration Manager kibővíti a meglévő Microsoft-technológiák és -megoldások funkcióit, és problémamentesen együttműködik velük. Példa:
A Configuration Manager az Active Directory tartományi szolgáltatásokat használja a biztonsági funkciókhoz, a szolgáltatáshelyek megállapításához, a konfigurációhoz, illetve a felügyelendő felhasználók és eszközök felderítéséhez.
A Configuration Manager a Microsoft SQL Servert elosztott változáskezelő adatbázisként használja, és az SQL Server Reporting Services (SSRS) szolgáltatással együttműködve készíti el a felügyeleti tevékenységek figyeléséhez és nyomon követéséhez szükséges jelentéseket.
A Configuration Manager felügyeleti funkciót biztosító helyrendszerszerepkörei az Internet Information Services (IIS) webes szolgáltatásait használják.
A háttérben futó intelligens átviteli szolgáltatás (BITS) és a BranchCache segítségével felügyelhető a rendelkezésre álló hálózati sávszélesség.
Ezenkívül a Configuration Manager együtt tud működni a Windows Server Update Services (WSUS) szolgáltatással, a hálózatvédelemmel (NAP), a tanúsítványszolgáltatással, az Exchange Serverrel és az Exchange Online-nal, a Csoportházirenddel, a DNS-kiszolgáló szerepkörrel, a Windows automatikus telepítési csomaggal (Windows AIK) és a Felhasználóáttelepítővel (USMT), a Központi Windows-telepítési szolgáltatásokkal (WDS), illetve a Távoli asztallal és a Távsegítséggel.
Ahhoz, hogy sikeresen használhassa Configuration Manager rendszert, alaposan meg kell terveznie és tesztelnie kell a felügyeleti szolgáltatásokat, mielőtt a Configuration Manager rendszert éles környezetben üzembe helyezi. Mivel a Configuration Manager egy igen kiterjedt szolgáltatáskészletet biztosító felügyeleti alkalmazás, potenciálisan a szervezet összes számítógépére hatással lehet. Ha a Configuration Manager rendszert körültekintően megtervezve és az üzleti igények figyelembevételével telepíti és felügyeli, a Configuration Manager hatékonyan csökkentheti az adminisztratív munkaterhet és a teljes üzemeltetési költséget.
Az alábbi részekben további részleteket ismerhet meg a Configuration Manager rendszerről:
A Configuration Manager felügyeleti funkciói
A Configuration Manager konzol
Az alkalmazáskatalógus, a Szoftverközpont és a vállalati portál
- Configuration Manager – Tulajdonságok (ügyfél)
Példaforgatókönyvek a Configuration Managerhez
Példa: A felhasználók hatékony munkájának lehetővé tétele az alkalmazások bármely eszközről való elérhetőségének biztosításával
Példa: Az eszközök megfelelőségének egységes kezelése
Példa: Az eszközök egyszerűbb ügyfélfelügyelete
További lépések
A Configuration Manager felügyeleti funkciói
A következő táblázat ismerteti a Configuration Manager elsődleges felügyeleti funkcióit. Mindegyik funkcióra saját előfeltételek vonatkoznak, és a használni kívánt funkciók köre befolyásolhatja a Configuration Manager-hierarchia megtervezését és megvalósítását. Ha például szoftvereket szeretne központilag telepíteni a hierarchiában lévő eszközökre, akkor telepítenie kell a Terjesztési pont helyrendszerszerepkört.
Felügyeleti funkció |
Leírás |
További információ |
|---|---|---|
Alkalmazáskezelés |
Eszközöket és erőforrásokat biztosít a vállalati alkalmazások létrehozásához, felügyeletéhez, központi telepítéséhez és figyeléséhez. |
Bevezetés a Configuration Manager alkalmazáskezelési műveleteibe |
Vállalati erőforrások elérése |
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Eszközöket és erőforrásokat biztosít annak lehetővé tételéhez, hogy a szervezetnél dolgozó felhasználók távolról is elérjék az adatokat és az alkalmazásokat. Az eszközök a következőket foglalják magukban:
|
Vállalti erőforrások hozzáférése a Configuration Manager alkalmazásban |
Megfelelőségi beállítások |
Eszközöket és erőforrásokat biztosít a vállalati ügyféleszközök konfigurációs megfelelőségének felméréséhez, nyomon követéséhez és szervizeléséhez. |
Bevezetés a megfelelőségi beállítások a Configuration Manager |
Endpoint Protection |
Lehetővé teszi a biztonság, a kártevőirtó funkció és a Windows tűzfal vállalati számítógépeken való felügyeletét. |
|
Leltár |
Különböző módszereket biztosít az eszközök azonosítására és figyelésére:
|
Részletesebben lásd: |
Operációs rendszer központi telepítése |
Eszközt biztosít az operációs rendszereket tartalmazó lemezképek létrehozásához. Ezeket a lemezképeket azután központilag telepítheti a Configuration Manager által felügyelt számítógépekre, illetve a nem felügyelt számítógépekre PXE-rendszerindítással vagy rendszerindításra alkalmas adathordózóról, például CD-készletről, DVD-ről vagy USB flash meghajtóról. |
Az operációs rendszerek központi telepítése a Configuration Managerben – bevezetés |
Sávon kívüli felügyelet |
Az Intel AMT technológiával együttműködve lehetővé teszi az asztali és laptop számítógépek Configuration Manager-ügyféltől és a számítógép operációs rendszerétől független felügyeletét. |
|
Energiagazdálkodás |
Eszközöket és erőforrásokat biztosít a vállalati ügyfélszámítógépek energiafogyasztásának felügyeletéhez és figyeléséhez. |
|
Lekérdezések |
Eszközt biztosít a hierarchiába tartozó erőforrásokkal, valamint a leltáradatokkal és az állapotüzenetekkel kapcsolatos információk beolvasására. Ezeket az információkat felhasználhatja jelentéskészítésre, illetve eszköz- és felhasználói csoportok definiálására a szoftverek központi telepítéséhez és a konfigurációs beállításokhoz. |
|
Távoli kapcsolati profilok |
A System Center 2012 R2 Configuration Manager és újabb verziók esetén: Olyan eszközök és erőforrások használatát teszik lehetővé, amelyekkel a szervezetnél található eszközökön könnyebben lehet létrehozni, telepíteni és figyelemmel kísérni a távoli kapcsolati beállításokat. Ezeknek a beállításoknak a központi telepítésével minimálisra csökkenthető a végfelhasználók részéről az erőfeszítés, amely a vállalati hálózaton működő számítógépeikhez való kapcsolódáshoz szükséges. |
Bevezetés a Configuration Manager távoli kapcsolati profiljaihoz |
Távvezérlés |
Eszközöket biztosít az ügyfélszámítógépek távoli felügyeletéhez a Configuration Manager konzolról. |
|
Jelentéskészítés |
Olyan eszközöket és erőforrásokat kínál, amelyek lehetővé teszik az SQL Server Reporting Services fejlett jelentéskészítési funkcióinak használatát a Configuration Manager konzolról. |
Bevezetés a Configuration Manager jelentéskészítési műveleteibe |
Szoftverhasználat-mérés |
Eszközöket biztosít a Configuration Manager-ügyfelek szoftverhasználati adatainak figyelésére és gyűjtésére. |
Bevezetés a szoftverhasználat-mérés területén a Configuration Manager |
Szoftverfrissítések |
Eszközöket és erőforrásokat biztosít a vállalati szoftverfrissítések felügyeletéhez, központi telepítéséhez és figyeléséhez. |
A Configuration Manager szoftverfrissítési funkcióinak bemutatása |
Microsoft Intune-kezelés |
A Configuration Manager használható az iOS-, Android- (beleértve a Samsung KNOX-eszközöket), Windows Phone- és Windows-eszközök felügyeletére a Microsoft Intune szolgáltatással az interneten keresztül. Habár a Microsoft Intune szolgáltatást használja, a kezelési feladatokat a Configuration Manager konzolon keresztül elérhető Microsoft Intune-összekötő helyrendszer-szerepkör hajtja végre. A System Center 2012 R2 Configuration Manager lehetőséget biztosít Windows 8.1 eszközök felügyeletére is ugyanúgy, mint a telepített Configuration Manager ügyféllel nem rendelkező mobileszközök esetében. |
Ha többet szeretne tudni arról, hogy miként tervezheti meg és telepítheti a Configuration Manager rendszert úgy, hogy biztosítsa ezeknek a felügyeleti funkcióknak a támogatását, akkor olvassa el a következő témakört: A Configuration Manager helyfelügyeletének bemutatása.
A Configuration Manager konzol
A Configuration Manager telepítését követően a Configuration Manager konzollal konfigurálhatja a helyeket és az ügyfeleket, valamint futtathatja és figyelheti a felügyeleti feladatokat. Ez a konzol az adminisztráció központi felülete, amely több hely felügyeletét teszi lehetővé. A konzol segítségével másodlagos konzolokat is futtathat, amelyek segítségével speciális ügyfél-felügyeleti műveletek végezhetők. Ezek közé tartoznak az alábbiak:
Erőforrás-kezelő: a hardver- és szoftverleltár adatainak megtekintésére szolgál.
Távvezérlés: távoli csatlakozás az ügyfélszámítógépekhez hibaelhárítási műveletek végrehajtása céljából.
Sávon kívüli felügyelet: csatlakozás az AMT-felügyeletvezérlőhöz Intel AMT-alapú számítógépeken és energiagazdálkodási vagy hibaelhárítási műveletek végrehajtása.
A Configuration Manager konzolt telepítheti további kiszolgáló számítógépekre és munkaállomásokra, valamint a Configuration Manager szerepköralapú felügyelet használatával korlátozhatja a hozzáférést és azt, hogy mit láthatnak a rendszergazda felhasználók a konzolon.
További információ: Configuration Manager konzol telepítése című rész, Helyek telepítése és hierarchia létrehozása a Configuration Manager részére témakör.
Az alkalmazáskatalógus, a Szoftverközpont és a vállalati portál
A Configuration Manager alkalmazáskatalógus egy olyan webhely, ahol a felhasználók kereshetnek és kérhetnek szoftvereket a Windows-alapú számítógépükre. Az alkalmazáskatalógus használatához telepítenie kell az alkalmazáskatalógus webszolgáltatási pontját és az alkalmazáskatalógus webhelyelérési pontját.
A Szoftverközpont egy alkalmazás, amely a Configuration Manager-ügyféllel együtt telepíthető a Windows-alapú számítógépekre. A felhasználók az alkalmazást futtatva igényelhetik és felügyelhetik azokat a szoftvereket, amelyeket a Configuration Manager használatával központilag telepítenek számukra. A Szoftverközponttal a következő műveleteket végezhetik el felhasználók:
Alkalmazások keresése és telepítése az alkalmazáskatalógusból.
A szoftverigénylési előzményeik megtekintése.
Annak beállítása, hogy a Configuration Manager mikor telepíthet szoftvereket az eszközeikre.
A távvezérlés hozzáférési beállításainak konfigurálása, ha egy rendszergazda felhasználó engedélyezte a távvezérlést.
A vállalati portál egy alkalmazás vagy webhely, amely az alkalmazáskatalógushoz hasonló funkciókat biztosít a Microsoft Intune-nal beléptetett mobileszközökhöz.
A további tudnivalókat lásd: Bevezetés a Configuration Manager alkalmazáskezelési műveleteibe témakör.
Configuration Manager – Tulajdonságok (ügyfél)
A Configuration Manager ügyfél Windows-alapú számítógépekre való telepítésekor a Configuration Manager bekerül a Vezérlőpult elemei közé. Általában nem kell konfigurálnia ezt az alkalmazást, mivel az ügyfelek konfigurációja a Configuration Manager konzolon történik. Az alkalmazás segítségével a rendszergazda felhasználók és a támogatási szolgálat munkatársai hibaelhárítási műveleteket végezhetnek egyedi ügyfeleken.
További információ az ügyfélszoftverek központi telepítéséről: Az ügyfélszoftverek központi telepítése a Configuration Manager alkalmazásban.
Példaforgatókönyvek a Configuration Managerhez
Az alábbi példaforgatókönyvek bemutatják, hogy miként alkalmazza egy Trey Research nevű vállalat a System Center 2012 Configuration Manager rendszert annak érdekében, hogy a felhasználók számára hatékonyabb munkavégzést biztosítson, egyszerűbb adminisztratív felületen egyesítse a felhasználói eszközök megfelelőségének felügyeletét és csökkentse az IT-funkció üzemi költségeit az eszközfelügyelet megkönnyítésével. Mindegyik forgatókönyvben Ádám a Configuration Manager fő rendszergazdája.
Példa: A felhasználók hatékony munkájának lehetővé tétele az alkalmazások bármely eszközről való elérhetőségének biztosításával
A Trey Research a lehető leghatékonyabban kívánja biztosítani, hogy az alkalmazottak hozzáférjenek a munkájukhoz szükséges alkalmazásokhoz. Ádám ezeket a vállalati követelményeket a következő esetekhez rendeli hozzá:
Követelmény |
Jelenlegi ügyfél-felügyeleti állapot |
Jövőbeli ügyfél-felügyeleti állapot |
|---|---|---|
Az új alkalmazottak az első munkanapjuktól fogva hatékonyan dolgozhatnak. |
Amikor az alkalmazottak a vállalathoz kerülnek, meg kell várniuk az alkalmazások telepítését az első bejelentkezésüket követően. |
Amikor az alkalmazottak a vállalathoz kerülnek, bejelentkeznek, és az alkalmazásaik máris telepítve vannak és használatra készek. |
Az alkalmazottak gyorsan és egyszerűen igényelhetnek további szükséges szoftvereket. |
Ha az alkalmazottaknak további alkalmazásokra van szükségük, igénylést nyújtanak be a támogatási szolgálatnál, majd általában két napot várnak az igénylés feldolgozására és az alkalmazások telepítésére. |
Ha az alkalmazottaknak további alkalmazásokra van szükségük, egy webhelyen igényelhetik őket, és az alkalmazások azonnal települnek, amennyiben nincsenek licencelési korlátozások. Licencelési korlátozások esetén a felhasználóknak jóváhagyást kell kérniük az alkalmazás telepítéséhez. A webhelyen csak azok az alkalmazások jelennek meg, amelyeknek jogosultak a telepítésére. |
Az alkalmazottak munka céljára használhatják a mobileszközeiket, ha az eszközök megfelelnek a folyamatosan figyelemmel kísért és érvényesített biztonsági házirendeknek. A házirendek a következőket foglalják magukban:
|
Az alkalmazottak az Exchange Serverhez kapcsolódnak a mobileszközükkel a levelezésük eléréséhez, de korlátozottak a jelentési lehetőségek annak ellenőrzésére, hogy megfelelnek az alapértelmezett Exchange ActiveSync postaláda-házirendekben előírt biztonsági szabályoknak. Fennáll annak a veszélye, hogy le kell tiltani a mobileszközök személyes használatát, amennyiben az IT nem tudja megerősíteni a megfelelést a házirendeknek. |
Az IT-szervezet jelentést tud készíteni a mobileszközök előírt biztonsági beállításoknak való megfelelőségéről. Az ily módon nyert megerősítés lehetővé teszi, hogy a felhasználók továbbra is használhassák a mobileszközüket munka céljára. A felhasználók törölni tudják az adatokat a mobileszközükről, ha azt elvesztik vagy valaki eltulajdonítja tőlük, és a támogatási szolgálat törölni tudja az adatokat bármely felhasználó elveszett vagy eltulajdonított mobileszközéről. A mobileszközökhöz PKI-környezetben való beléptetés biztosítható a még szélesebb körű biztonság és szabályozhatóság érdekében. |
Az alkalmazottak hatékonyan dolgozhatnak akkor is, ha nincsenek az asztaluknál. |
Ha a munkatársak nincsenek az asztaluknál, és hordozható számítógéppel sem rendelkeznek, nem tudják elérni az alkalmazásaikat a vállalatnál kihelyezett számítógép-állomásokon (kioszkokon). |
A munkatársak számítógép-állomásokon (kioszkokon) is hozzáférhetnek alkalmazásaikhoz és adataikhoz. |
A folyamatos üzletmenet általában elsőbbséget élvez a szükséges alkalmazások és szoftverfrissítések telepítésével szemben. |
A szükséges alkalmazások és szoftverfrissítések telepítése nappal történik, ami gyakran megzavarja a felhasználók munkáját, mivel számítógépük lelassul vagy újraindul a telepítés során. |
A felhasználók munkaidejük beállításával megakadályozhatják, hogy a szükséges szoftverek a számítógép használata közben települjenek. |
A követelmények teljesítéséhez Ádám a Configuration Manager következő felügyeleti lehetőségeit és konfigurációs beállításait használja:
Alkalmazáskezelés
Mobil eszközök felügyelete
Az alábbi táblázatban szereplő konfigurációs lépések segítségével alkalmazza ezeket.
Konfigurációs lépés |
Eredmény |
|---|---|
Ádám ellenőrzi, hogy az új felhasználók rendelkeznek-e Active Directory-fiókkal, és új lekérdezésalapú gyűjteményt hoz létre a Configuration Manager rendszerben ezeknek a felhasználóknak. Ezt követően felhasználó-eszköz kapcsolatot határoz meg a felhasználókhoz egy olyan fájl létrehozásával, amely az egyes fiókokat a felhasználók által használt elsődleges számítógéphez rendeli, majd ezt a fájlt importálja a Configuration Manager rendszerbe. Az új felhasználók számára előírt alkalmazások ekkor már készen állnak a Configuration Manager rendszerben. Ádám ezután központilag telepíti ezeket a „Kötelező” állapotú alkalmazásokat az új felhasználókat tartalmazó gyűjteményre. |
A felhasználó-eszköz kapcsolat információi alapján a rendszer még a felhasználó bejelentkezése előtt telepíti az alkalmazásokat az egyes felhasználók elsődleges számítógépére vagy számítógépeire. A sikeres bejelentkezést követően a felhasználó máris használhatja az alkalmazásokat. |
Ádám telepíti és konfigurálja az alkalmazáskatalógus helyrendszerszerepköreit, hogy a felhasználók tallózhassanak a telepíthető alkalmazások között. „Elérhető” állapotú alkalmazástelepítéseket hoz létre, majd az új felhasználókat tartalmazó gyűjteménybe telepíti az alkalmazásokat. A korlátozott számú licenccel rendelkező alkalmazásokat úgy konfigurálja, hogy a telepítésükhöz jóváhagyásra legyen szükség. |
A felhasználók az alkalmazáskatalógusban tallózhatnak a számukra elérhetőként konfigurált, azaz általuk telepíthető alkalmazások között. Egyes alkalmazásokat azonnal telepíthetnek, míg másokhoz jóváhagyást kell kérniük, és csak akkor telepíthetik őket, miután a támogatási szolgálat jóváhagyta kérelmüket. |
Ádám létrehoz egy Exchange Server-összekötőt a Configuration Manager rendszerben a vállalat helyi Exchange Server-kiszolgálójához csatlakozó mobileszközök felügyeletéhez. Az összekötőn olyan biztonsági beállításokat konfigurál, amelyek erős jelszót írnak elő, és adott hosszúságú tétlen időszak után zárolják a mobileszközt. Ádám a Configuration Manager SP1 rendszert használja, ezért a Windows Phone 8, a Windows RT és a iOS rendszerű eszközök felügyeletéhez Microsoft Intune-előfizetéssel telepíti a Microsoft Intune-összekötő helyrendszerszerepkört. Ezzel a mobileszköz-felügyeleti megoldással a vállalat szélesebb körű funkcionalitást vehet igénybe az ilyen eszközök támogatására, például hozzáférést biztosíthat a felhasználóknak a telepíthető alkalmazásokhoz, és számos különböző beállítást meghatározhat. Emellett a mobileszköz-kapcsolatok biztonságáról a Intune által automatikusan létrehozott és telepített PKI-tanúsítványok gondoskodnak. A Microsoft Intune-összekötő konfigurálását követően Ádám e-mailt küld a mobileszközök tulajdonosainak egy hivatkozással, amellyel elindíthatják a beléptetési folyamatot. A Intune általi beléptetésre váró mobileszközökre megfelelőségi beállításokat alkalmaz a kívánt biztonsági beállítások konfigurálásához. Ezek a beállítások többek között erős jelszó használatát írják elő, és adott ideig tartó tétlenség után zárolják a mobileszközt. |
Ezzel a két mobileszköz-felügyeleti megoldással az IT-szervezet jelentéskészítésre alkalmas információt biztosíthat a vállalati hálózaton használt mobileszközökről és a konfigurált biztonsági beállításoknak való megfelelőségükről. Az IT-stáb bemutatja a felhasználóknak, hogyan törölhetik távolról mobileszközüket az alkalmazáskatalógus vagy a vállalati portál segítségével az eszköz elvesztése vagy ellopása esetén. A támogatási szolgálat szintén tájékoztatást kap arról, miként törölheti távolról a felhasználók mobileszközeit a Configuration Manager konzolról. Ádám emellett már telepíthető alkalmazásokat biztosíthat a felhasználók számára a Intune beléptetett mobileszközeire, több leltáradatot gyűjthet az eszközökről, és több beállítással, hatékonyabban felügyelheti őket. |
A Trey Research számos kioszkszámítógéppel rendelkezik, amelyet az irodába látogató munkatársak használhatnak. A munkatársak szeretnék, ha bárhol elérhetnék alkalmazásaikat, ahol bejelentkeznek. Ádám azonban nem szeretné helyileg telepíteni az összes alkalmazást minden egyes számítógépre, ezért létrehozza a szükséges alkalmazásokat, amelyek kétféle telepítési típussal rendelkezhetnek:
|
Amikor a látogató felhasználó bejelentkezik egy kioszkszámítógépre, az asztalon megjelennek a számára szükséges alkalmazások ikonjai. Ha elindítja valamelyiket, az alkalmazás adatfolyamként továbbított virtuális formában fog futni – így éppolyan hatékonyan dolgozhat, mintha saját számítógépét használná. |
Ádám tájékoztatja a felhasználókat arról, hogyan konfigurálhatják munkaidejüket a Szoftverközpontban, és miként tilthatják le a szoftvertelepítési műveleteket ebben az időszakban, illetve amikor a számítógép bemutató üzemmódban van. |
A felhasználók szabályozhatják, hogy a Configuration Manager mikor telepítse a szoftvereket a számítógépükre, így a munkaidejük folyamán végig hatékonyan dolgozhatnak. |
Ezekkel a konfigurációs lépésekkel és eredményekkel a Trey Research sikeresen elláthatja munkatársait a szükséges alkalmazásokkal, amelyekhez így bármely eszközről hozzáférhetnek.
Példa: Az eszközök megfelelőségének egységes kezelése
A Trey Research olyan egységesített ügyfél-felügyeleti megoldást igényel, amely gondoskodik a vállalati számítógépeken futó vírusvédelmi szoftverek automatikus frissítéséről – tehát olyat, amelyben a Windows tűzfal aktív, a kritikus szoftverfrissítések telepítve vannak, be vannak állítva a megfelelő beállításkulcsok, és a felügyelt mobileszközök nem telepíthetnek vagy futtathatnak aláíratlan alkalmazásokat. A vállalat emellett szeretné kiterjeszteni a védelmet az internetre is, az intranetről az internetre váltó laptopok felügyelete érdekében.
Ádám ezeket a vállalati követelményeket a következő esetekhez rendeli hozzá:
Követelmény |
Jelenlegi ügyfél-felügyeleti állapot |
Jövőbeli ügyfél-felügyeleti állapot |
|---|---|---|
Minden számítógép naprakész definíciós fájlokkal rendelkező vírusvédelmi szoftvert futtat, aktív Windows tűzfallal. |
A különböző számítógépeken különböző vírusvédelmi megoldások futnak, amelyek nem mindig naprakészek, és bár a Windows tűzfal alapértelmezés szerint engedélyezve van, a felhasználók időnként letiltják azt. A felhasználóknak a támogatási szolgálathoz kell fordulniuk, ha kártékony programot észlelnek számítógépükön. |
Minden számítógépen ugyanaz a kártevővédelmi megoldás fut, amely automatikusan letölti a legújabb definíciófrissítő fájlokat, és automatikusan újraaktiválja a Windows tűzfalat, ha a felhasználó letiltotta. A támogatási szolgálat e-mailben automatikus értesítést kap arról, ha a rendszer kártevőt észlel. |
A kritikus szoftverfrissítéseket minden számítógép a megjelenést követő egy hónapon belül telepíti. |
Bár a számítógépek telepítik a szoftverfrissítéseket, sok számítógépre ezek csak a kiadás után két-három hónappal kerülnek fel automatikusan. Mindeddig ezek a számítógépek védtelenek maradnak a támadásokkal szemben. Azon számítógépek esetén, amelyek nem telepítik a kritikus szoftverfrissítéseket, a támogatási szolgálat először e-mail üzenetben kéri az érintett felhasználókat ezek telepítésére. A továbbra is nem megfelelő számítógépeken az informatikusok távolról csatlakozva manuálisan telepíthetik a hiányzó szoftverfrissítéseket. |
Az aktuális megfelelőségi arány növelése az adott hónapban 95% fölé – e-mail üzenetek és a támogatási szolgálat általi manuális telepítés nélkül. |
A megfelelő alkalmazások biztonsági beállításai legyenek rendszeresen ellenőrizve és szükség esetén javítva. |
A számítógépek indításakor futtatott bonyolult parancsfájlok a számítógép csoporttagságai alapján visszaállítják a megfelelő alkalmazások beállításkulcsait. Mivel a parancsfájlok csak indításkor futnak, egyes számítógépek viszont napokig nem indulnak újra, a támogatási szolgálat nem képes kellő rendszerességgel ellenőrizni a konfigurációs eltéréseket. |
A rendszer ellenőrzi és automatikusan javítja a beállításkulcsokat, a számítógép csoporttagságaitól függetlenül és újraindítása nélkül. |
A mobileszközök ne telepíthessenek és futtathassanak nem biztonságos alkalmazásokat. |
Az IT arra kéri a felhasználókat, hogy ne töltsenek le és ne futtassanak potenciálisan nem biztonságos alkalmazásokat az internetről, nincsenek azonban olyan lépések, amelyek mindezt felügyelik vagy érvényesítik. |
A Microsoft Intune-összekötő vagy a Configuration Manager által felügyelt mobileszközök automatikusan megakadályozzák az aláírás nélküli alkalmazások telepítését és futtatását. |
Fenn kell tartani az intranetről az internetre váltó laptopok biztonságát. |
Az utazó felhasználók gyakran nem tudnak nap mint nap csatlakozni a virtuális magánhálózathoz, így laptopjaik nem mindig felelnek meg a biztonsági követelményeknek. |
A laptopok biztonsági megfelelőségének fenntartásához csupán internetkapcsolat szükséges. A felhasználóknak nem kell bejelentkezniük vagy használniuk a virtuális magánhálózatot. |
A követelmények teljesítéséhez Ádám a Configuration Manager következő felügyeleti lehetőségeit és konfigurációs beállításait használja:
Endpoint Protection
Szoftverfrissítések
Megfelelőségi beállítások
Mobil eszközök felügyelete
Internetalapú ügyfélkezelés
Az alábbi táblázatban szereplő konfigurációs lépések segítségével alkalmazza ezeket.
Konfigurációs lépés |
Eredmény |
|---|---|
Ádám konfigurálja az Endpoint Protection szoftvert, engedélyezi a más kártevővédelmi megoldások eltávolítására szolgáló ügyféloldali beállítást, és aktiválja a Windows tűzfalat. Automatikus központi telepítési szabályokat konfigurál, hogy a számítógépek rendszeresen ellenőrizzék és telepítsék a legújabb definíciófrissítéseket. |
A kártevőirtó megoldás önmagában minimális felügyeleti terhek mellett gondoskodik az összes számítógép védelméről. A támogatási szolgálat e-mailben automatikus értesítést kap az észlelt kártevőkről, így a problémák gyorsan elháríthatók, és megakadályozhatók a számítógépekre irányuló támadások. |
A megfelelőségi arány növelése érdekében Ádám automatikus központi telepítési szabályokat használ, karbantartási időszakokat definiál a kiszolgálókhoz, és felméri a hálózati ébresztés használatának előnyeit és hátrányait a hibernált számítógépekhez. |
A kritikus szoftverfrissítések szempontjából szélesebb körű megfelelőség érhető el, a felhasználóknak és a támogatási szolgálatnak pedig kevesebb szoftverfrissítést kell manuálisan telepítenie. |
Ádám megfelelőségi beállításokkal ellenőrzi a meghatározott alkalmazások jelenlétét. Ha a rendszer észleli az alkalmazásokat, konfigurációs elemekkel ellenőrzi az érintett beállításkulcsokat, és automatikusan javítja őket, ha nem megfelelőek. |
A minden számítógépre központilag telepített, a megfelelőséget minden nap ellenőrző konfigurációs elemeknek és referenciakonfigurációknak köszönhetően nincs szükség a csoporttagságot és újraindítást igénylő különálló parancsfájlokra. |
Ádám a beléptetett mobileszközök megfelelőségi beállításait használja, és az Exchange Server-összekötő konfigurálásával megakadályozza a nem aláírt alkalmazások telepítését és futtatását mobileszközökön. |
A nem aláírt alkalmazások tiltása automatikus védelmet nyújt a mobileszközök számára a potenciálisan káros alkalmazásokkal szemben. |
Ádám ellenőrzi, hogy a helyrendszer kiszolgálói és számítógépei rendelkeznek a Configuration Manager által a HTTPS-kapcsolatok kezeléséhez előírt PKI-tanúsítványokkal, majd a peremhálózaton további helyrendszerszerepköröket telepít, amelyek az internetről is fogadnak ügyfélkapcsolatokat. |
A Configuration Manager automatikusan folytatja az intranetről az internetre váltó számítógépek felügyeletét, amíg azok internetkapcsolattal rendelkeznek. Ezzel a módszerrel nincs szükség arra, hogy a felhasználó bejelentkezzen a számítógépre, vagy csatlakozzon a virtuális magánhálózathoz. A rendszer továbbra is felügyeli a kártevőirtó programot, a Windows tűzfalat, a szoftverfrissítéseket és a konfigurációs elemeket. Ennek köszönhetően a megfelelőségi szint automatikusan nő. |
A fenti konfigurációs lépésekkel és eredményekkel a Trey Research sikeresen egységesíti az eszközök megfelelőségének felügyeletét.
Példa: Az eszközök egyszerűbb ügyfélfelügyelete
A Trey Research szeretné, ha minden új számítógép automatikusan telepítené a Windows 7-alapú vállalati alaplemezképet. Az operációs rendszerkép telepítését követően a számítógépek felügyeletére és a felhasználók által telepített további szoftverek figyelésére is szükség van. A fokozottan bizalmas információkat tároló számítógépeken a többinél szigorúbb felügyeleti házirendek szükségesek – például a támogatási szolgálat munkatársai nem csatlakozhatnak hozzájuk távolról, az újraindításhoz meg kell adni a BitLocker PIN-kódját, és csak a helyi rendszergazdák telepíthetnek szoftvereket.
Ádám ezeket a vállalati követelményeket a következő esetekhez rendeli hozzá:
Követelmény |
Jelenlegi ügyfél-felügyeleti állapot |
Jövőbeli ügyfél-felügyeleti állapot |
|---|---|---|
Az új számítógépekre Windows 7 telepítése szükséges. |
A támogatási szolgálat telepíti és konfigurálja a Windows 7 rendszert a felhasználók számára, majd a számítógépet a megfelelő helyre küldi. |
Az új számítógépek rögtön a végső rendeltetési helyükre kerülnek, hálózati csatlakoztatásukat követően pedig a Windows 7 telepítése és konfigurálása már automatikusan zajlik. |
A számítógépek felügyelete és megfigyelése szükséges, többek között hardver- és szoftverleltárat kell készíteni a licenckövetelmények teljesítésének megállapításához. |
A Configuration Manager-ügyfél központi telepítése automatikus ügyfélleküldéses módszerrel történik, a támogatási szolgálat pedig megvizsgálja a telepítési hibákat és azokat az ügyfeleket, amelyek nem küldenek leltáradatokat a várt időpontban. Gyakori a sikertelen telepítés az ügyfél WMI-hibája vagy a telepítési előfeltételek teljesítésének elmulasztása miatt. |
Az ügyfélrendszer telepítése és a számítógépről összegyűjtött leltáradatok megbízhatóbbak, és kevesebb beavatkozást igényelnek a támogatási szolgálat részéről. A jelentések információt nyújtanak a szoftverek használatáról a licencmegfelelőség ellenőrzéséhez. |
Egyes számítógépeken szigorúbb felügyeleti házirendre van szükség. |
A szigorúbb felügyeleti házirendek miatt ezen számítógépek felügyelete jelenleg nem a Configuration Manager rendszerrel történik. |
Az érintett számítógépek felügyelete a Configuration Manager rendszerrel zajlik, a kivételek kezelése pedig nem jár extra felügyeleti terhekkel. |
A követelmények teljesítéséhez Ádám a Configuration Manager következő felügyeleti lehetőségeit és konfigurációs beállításait használja:
Operációs rendszer központi telepítése
Ügyfél központi telepítése és ügyfélállapot
Megfelelőségi beállítások
Ügyfélbeállítások
Leltár- és eszközinformációk
Szerepköralapú felügyelet
Az alábbi táblázatban szereplő konfigurációs lépések segítségével alkalmazza ezeket.
Konfigurációs lépés |
Eredmény |
|---|---|
Ádám operációsrendszer-lemezképet készít egy olyan számítógépről, amelyre Windows 7 van telepítve, és a vállalati specifikációknak megfelelően van konfigurálva. Ezt követően ismeretlen számítógép támogatásával és PXE használatával központilag telepíti az operációs rendszert az új számítógépekre. E művelet részeként a Configuration Manager-ügyfelet is telepíti. |
Az új számítógépek a támogatási szolgálat beavatkozása nélkül gyorsabban hozhatók használatra kész állapotba. |
Ádám automatikus, teljes helyre kiterjedő ügyfélleküldéses telepítést állít be a Configuration Manager-ügyfél telepítéséhez bármely felderített számítógépre. Ennek köszönhetően minden olyan számítógép, amelyről nem készült ügyfelet tartalmazó rendszerkép, telepíti az ügyfelet, így a számítógépet a Configuration Manager rendszer felügyeli. Ádám konfigurálja az ügyfél állapotát, hogy minden felderített ügyfélhibát automatikusan kijavítson. Ezenkívül a szükséges leltáradatok összegyűjtését engedélyező ügyfélbeállítást és az eszközintelligencia beállításait is megadja. |
Az ügyfél és az operációs rendszer egyszerre történő telepítése hatékonyabb és sokkal megbízhatóbb, mint arra várni, hogy a Configuration Manager felderítse a számítógépet, majd megpróbálja telepíteni az ügyfél forrásfájljait a számítógépre. Az automatikus ügyfélleküldéses módszer engedélyezésének fenntartása további lehetőséget biztosít a telepített operációs rendszerrel rendelkező számítógépnek, hogy telepítse az ügyfelet, ha a számítógép csatlakozik a hálózathoz. Az ügyfélbeállítások lehetővé teszik az ügyfelek számára, hogy a leltáradatokat rendszeresen elküldjék az adott helynek. Ez az ügyfélállapottesztek mellett hozzájárul ahhoz, hogy az ügyfél a támogatási szolgálat minimális beavatkozásával működjön. A WMI-hibákat például észleli és automatikusan kijavítja a rendszer. Az eszközintelligencia-jelentések segítséget nyújtanak a szoftverhasználat és a licencek figyelésében. |
Ádám olyan számítógép-gyűjteményt hoz létre, amelynek szigorúbb házirend-beállításokkal kell rendelkeznie, majd ehhez egyedi ügyfél-eszközbeállítást készít, amelyben le van tiltva a távvezérlés, engedélyezve van a BitLocker PIN-kód bevitele, és csak a helyi rendszergazdák telepíthetnek a számítógépekre szoftvereket. Szerepköralapú felügyelet konfigurálásával láthatatlanná teszi ezt a számítógép-gyűjteményt a támogatási szolgálat szakemberei számára, hogy véletlenül se kezelhessék az abban található számítógépeket normál számítógépként. |
Ezeket a számítógépeket ettől kezdve a Configuration Manager felügyeli olyan beállításokkal, amelyekhez nem szükséges új helyet megadni. Ezen számítógépek gyűjteménye nem látható a támogatási szolgálat szakemberei számára, így csökken az esélye annak, hogy azok véletlenül normál számítógépeknek szánt központi telepítési utasításokat és parancsfájlokat kapjanak. |
A fenti konfigurációs lépésekkel és eredményekkel a Trey Research sikeresen egyszerűsíti az eszközök ügyfélfelügyeletét.
További lépések
A Configuration Manager telepítése előtt megismerkedhet néhány, a Configuration Manager rendszerhez kapcsolódó alapfogalommal és kifejezéssel.
Ha ismeri a Configuration Manager 2007 rendszert, tekintse át a A System Center 2012 Configuration Manager újdonságai szakaszt, mivel a szoftver korábbi verzióihoz képest megváltozott néhány fontos alapfogalom és funkció.
Ha a System Center 2012 Configuration Manager rendszerről frissít Configuration Manager SP1 szervizcsomag nélküli, illetve a Configuration Manager SP1 rendszerről System Center 2012 R2 Configuration Manager rendszerre, tekintse át a(z) A System Center 2012 Configuration Manager SP1 újdonságai és a(z) A System Center 2012 R2 Configuration Manager újdonságai témakörnek a későbbi verzióban szereplő változásokkal és frissítésekkel kapcsolatos részeit.
A System Center 2012 Configuration Manager rendszer részletesebb technikai áttekintése a következő szakaszban olvasható: A Configuration Manager alapja.
Ha már ismeri az alapfogalmakat, a System Center 2012 Configuration Manager dokumentációja segít a Configuration Manager sikeres központi telepítésében és használatában. További információ az elérhető dokumentációról: A Configuration Manager dokumentációjának újdonságai.