Creare elementi di configurazione personalizzati per computer desktop e server Windows gestiti con il client Configuration Manager

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Usare l'elemento di configurazione Configuration Manager desktop e server Windows personalizzato per gestire le impostazioni per i computer e i server Windows gestiti dal client Configuration Manager.

Avviare la procedura guidata

  1. Nella console Configuration Manager passare all'area di lavoro Asset e conformità, espandere Impostazioni di conformità e selezionare il nodo Elementi di configurazione.

  2. Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea elemento di configurazione.

  3. Nella pagina Generale della Creazione guidata elemento di configurazione specificare un nome e una descrizione facoltativa per l'elemento di configurazione.

  4. In Specificare il tipo di elemento di configurazione da creare selezionare Desktop e server Windows (personalizzato).

    • Per specificare le impostazioni del metodo di rilevamento che verificano l'esistenza di un'applicazione, selezionare Questo file di configurazione contiene le impostazioni dell'applicazione.

  5. Per cercare e filtrare gli elementi di configurazione nella console di Configuration Manager, selezionare Categorie per creare e assegnare categorie.

Metodi di rilevamento

Utilizzare questa procedura per fornire informazioni sul metodo di rilevamento per l'elemento di configurazione.

Nota

Queste informazioni si applicano solo se si seleziona Questo elemento di configurazione contiene le impostazioni dell'applicazione nella pagina Generale della procedura guidata.

Un metodo di rilevamento in Configuration Manager contiene regole usate per rilevare se un'applicazione è installata in un computer. Questo rilevamento si verifica prima che il client vali la conformità per l'elemento di configurazione. Per rilevare se un'applicazione è installata, è possibile rilevare la presenza di un file di Windows Installer per l'applicazione, usare uno script personalizzato oppure selezionare Presupponi sempre che l'applicazione sia installata per valutare la conformità dell'elemento di configurazione indipendentemente dal fatto che l'applicazione sia installata.

Per rilevare un'installazione di un'applicazione usando il file di Windows Installer

  1. Nella pagina Metodi di rilevamento della Creazione guidata elemento di configurazione selezionare l'opzione Usa rilevamento di Windows Installer.

  2. Selezionare Apri, passare al file di Windows Installer (.msi) da rilevare e quindi selezionare Apri.

  3. Il campo Versione viene popolato automaticamente con il numero di versione del file di Windows Installer. Se il valore visualizzato non è corretto, immettere qui un nuovo numero di versione.

  4. Per rilevare ogni profilo utente nel computer, selezionare Questa applicazione è installata per uno o più utenti.

Per rilevare un'applicazione e un tipo di distribuzione specifici

  1. Nella pagina Metodi di rilevamento della Creazione guidata elemento di configurazione selezionare Rileva un'applicazione e un tipo di distribuzione specifici. Scegliere Seleziona.

  2. Nella finestra di dialogo Specifica applicazione selezionare l'applicazione e un tipo di distribuzione associato da rilevare.

Per rilevare un'installazione di un'applicazione usando uno script personalizzato

Quando uno script Windows PowerShell viene eseguito come metodo di rilevamento, il client Configuration Manager chiama PowerShell con il -NoProfile parametro . Questa opzione avvia PowerShell senza profili. Un profilo di PowerShell è uno script eseguito all'avvio di PowerShell.

  1. Nella pagina Metodi di rilevamento della Creazione guidata elemento di configurazione selezionare l'opzione Usa uno script personalizzato per rilevare l'applicazione.

  2. Nell'elenco selezionare la lingua dello script. Scegliere tra i formati seguenti:

    • Vbscript

    • Jscript

    • PowerShell

  3. Selezionare Apri, passare allo script che si vuole usare e quindi selezionare Apri.

    Importante

    Quando si usa uno script di PowerShell firmato, assicurarsi di selezionare Apri. Non è possibile usare copia e incolla per uno script firmato.

Specificare le piattaforme supportate

Nella pagina Piattaforme supportate della Creazione guidata elemento di configurazione selezionare le versioni di Windows in cui si vuole valutare la conformità dell'elemento di configurazione oppure scegliere Seleziona tutto.

È anche possibile specificare manualmente la versione di Windows. Selezionare Aggiungi e specificare ogni parte del numero di build di Windows.

Nota

Quando si specifica Windows Server 2016, la selezione per All Windows Server 2016 and higher 64-bit) include anche Windows Server 2019. Per specificare solo Windows Server 2016, usare l'opzione Specifica manualmente la versione di Windows.

Configurare le impostazioni

Usare questa procedura per configurare le impostazioni nell'elemento di configurazione.

Le impostazioni rappresentano le condizioni aziendali o tecniche usate per valutare la conformità nei dispositivi client. È possibile configurare una nuova impostazione o passare a un'impostazione esistente in un computer di riferimento.

  1. Nella pagina Impostazioni della Creazione guidata elemento di configurazione selezionare Nuovo.

  2. Nella scheda Generale della finestra di dialogo Crea impostazione specificare le informazioni seguenti:

    • Nome: immettere un nome univoco per l'impostazione. È possibile usare un massimo di 256 caratteri.

    • Descrizione: immettere una descrizione per l'impostazione. È possibile usare un massimo di 256 caratteri.

    • Tipo di impostazione: nell'elenco scegliere e configurare uno dei tipi di impostazione seguenti da usare per questa impostazione:

    • Tipo di dati: scegliere il formato in cui la condizione restituisce i dati prima che venga usata per valutare l'impostazione. L'elenco Tipo di dati non viene visualizzato per tutti i tipi di impostazione.

      Consiglio

      Il tipo di dati a virgola mobile supporta solo tre cifre dopo il separatore decimale.

  3. Configurare altri dettagli su questa impostazione nell'elenco Tipo di impostazione . Gli elementi che è possibile configurare variano a seconda del tipo di impostazione selezionato.

  4. Selezionare OK per salvare l'impostazione e chiudere la finestra di dialogo Crea impostazione .

Query di Active Directory

  • Prefisso LDAP: specificare un prefisso valido per la query Active Directory Domain Services per valutare la conformità nei computer client. Per eseguire una ricerca nel catalogo globale, usare LDAP:// o GC://.

  • Nome distinto (DN): specificare il nome distinto dell'oggetto Active Directory Domain Services valutato per la conformità nei computer client.

  • Filtro di ricerca: specificare un filtro LDAP facoltativo per perfezionare i risultati della query Active Directory Domain Services per valutare la conformità nei computer client. Per restituire tutti i risultati della query, immettere (objectclass=*).

  • Ambito di ricerca: specificare l'ambito di ricerca in Active Directory Domain Services

    • Base: esegue query solo sull'oggetto specificato

    • Un livello: questa opzione non viene usata in questa versione di Configuration Manager

    • Sottoalbero: esegue una query sull'oggetto specificato e sul relativo sottoalbero completo nella directory

  • Proprietà: specificare la proprietà dell'oggetto Active Directory Domain Services utilizzato per valutare la conformità nei computer client.

    Ad esempio, se si vuole eseguire una query sulla proprietà Active Directory che archivia il numero di volte in cui un utente immette erroneamente una password, immettere badPwdCount in questo campo.

  • Query: visualizza la query costruita dalle voci in prefisso LDAP, nome distinto (DN),filtro di ricerca (se specificato) e proprietà.

Assembly

Un assembly è un frammento di codice che può essere condiviso tra le applicazioni. Gli assembly possono avere l'estensione del file .dll o .exe. La Global Assembly Cache è la cartella %SystemRoot%\Assembly nei computer client. Questa cache è la posizione in cui Windows archivia tutti gli assembly condivisi.

  • Nome assembly: Specifica il nome dell'oggetto assembly che si desidera cercare. Il nome non può essere uguale ad altri oggetti assembly dello stesso tipo. Prima di tutto registrarlo nella Global Assembly Cache. Il nome dell'assembly può avere una lunghezza fino a 256 caratteri.

File system

  • Tipo: nell'elenco selezionare se si vuole cercare un file o una cartella.

  • Percorso: specificare il percorso del file o della cartella specificata nei computer client. È possibile specificare le variabili di ambiente di sistema e la %USERPROFILE% variabile di ambiente nel percorso.

    • Il tipo di impostazione File system non supporta la specifica di un percorso UNC per una condivisione di rete nella casella Percorso .

    • Se si usa la %USERPROFILE% variabile di ambiente nelle caselle Percorso o Nome file o cartella, il client Configuration Manager cerca tutti i profili utente nel computer client. Questo comportamento potrebbe causare la ricerca di più istanze del file o della cartella.

    • Se le impostazioni di conformità non hanno accesso al percorso specificato, viene generato un errore di individuazione. Inoltre, se il file che si sta cercando è attualmente in uso, viene generato un errore di individuazione.

      Consiglio

      Selezionare Sfoglia per configurare l'impostazione dai valori in un computer di riferimento.

  • Nome file o cartella: specificare il nome dell'oggetto file o cartella da cercare. È possibile specificare le variabili di ambiente di sistema e la %USERPROFILE% variabile di ambiente nel nome del file o della cartella. È anche possibile usare i caratteri jolly * e ? nel nome del file.

    • Se si specifica un nome di file o cartella e si usano caratteri jolly, questa combinazione potrebbe produrre un numero elevato di risultati. Potrebbe anche comportare un uso elevato delle risorse nel computer client e un traffico di rete elevato quando si segnalano i risultati a Configuration Manager.

  • Includi sottocartelle: cercare anche le sottocartelle nel percorso specificato.

  • Questo file o cartella è associato a un'applicazione a 64 bit: se abilitata, cercare solo i percorsi dei file a 64 bit, ad %ProgramFiles% esempio nei computer a 64 bit. Se questa opzione non è abilitata, cercare sia le posizioni a 64 bit che quelle a 32 bit, ad %ProgramFiles(x86)%esempio .

    • Se lo stesso file o cartella esiste sia nei percorsi dei file di sistema a 64 bit che in quello a 32 bit nello stesso computer a 64 bit, la condizione globale individua più file.

Metabase IIS

  • Percorso della metabase: specificare un percorso valido per la metabase di Internet Information Services (IIS). Ad esempio, /LM/W3SVC/.

  • ID proprietà: specificare la proprietà numerica dell'impostazione della metabase IIS.

Chiave del Registro di sistema

  • Hive: selezionare l'hive del Registro di sistema da cercare

    • Selezionare Sfoglia per configurare l'impostazione dai valori in un computer di riferimento. Per passare a una chiave del Registro di sistema in un computer remoto, abilitare il servizio Registro di sistema remoto nel computer remoto.

  • Chiave: specificare il nome della chiave del Registro di sistema da cercare. Usare il formato key\subkey.

  • Questa chiave del Registro di sistema è associata a un'applicazione a 64 bit: cerca chiavi del Registro di sistema a 64 bit oltre alle chiavi del Registro di sistema a 32 bit nei client che eseguono una versione a 64 bit di Windows.

    • Se la stessa chiave del Registro di sistema esiste sia nei percorsi del Registro di sistema a 64 bit che a 32 bit nello stesso computer a 64 bit, entrambe le chiavi del Registro di sistema vengono individuate dalla condizione globale.

Valore del Registro di sistema

  • Hive: selezionare l'hive del Registro di sistema per eseguire la ricerca.

    • Selezionare Sfoglia per configurare l'impostazione dai valori in un computer di riferimento. Per passare a un valore del Registro di sistema in un computer remoto, abilitare il servizio Registro di sistema remoto nel computer remoto. Sono necessarie anche le autorizzazioni di amministratore per accedere al computer remoto.

  • Chiave: specificare il nome della chiave del Registro di sistema da cercare. Usare il formato key\subkey.

  • Valore: specificare il valore che deve essere contenuto nella chiave del Registro di sistema specificata.

  • Questa chiave del Registro di sistema è associata a un'applicazione a 64 bit: cercare le chiavi del Registro di sistema a 64 bit oltre alle chiavi del Registro di sistema a 32 bit nei client che eseguono una versione a 64 bit di Windows.

    • Se la stessa chiave del Registro di sistema esiste sia nei percorsi del Registro di sistema a 64 bit che a 32 bit nello stesso computer a 64 bit, entrambe le chiavi del Registro di sistema vengono individuate dalla condizione globale.

Script

Il valore restituito dallo script viene usato per valutare la conformità della condizione globale. Ad esempio, quando si usa VBScript, è possibile usare il comando WScript.Echo Result per restituire il valore della variabile Result alla condizione globale. Quando si usa Windows PowerShell come script di individuazione o correzione, il client Configuration Manager chiama PowerShell con il -NoProfile parametro . Questa opzione avvia PowerShell senza profili. Un profilo di PowerShell è uno script eseguito all'avvio di PowerShell.

  • Script di individuazione: selezionare Aggiungi script e immettere o passare a uno script. Questo script viene usato per trovare il valore. È possibile usare script JScript Windows PowerShell, VBScript o Microsoft.

  • Script di correzione (facoltativo): selezionare Aggiungi script e immettere o passare a uno script. Questo script viene usato per correggere i valori delle impostazioni non conformi. È possibile usare script JScript Windows PowerShell, VBScript o Microsoft.

    Importante

    • Per segnalare correttamente un errore di correzione, gli script devono generare eccezioni anziché un codice di uscita diverso da zero.

  • Eseguire script usando le credenziali utente registrate: se si abilita questa opzione, lo script viene eseguito nei computer client che usano le credenziali dell'utente connesso.

Importante

  • Quando si usa uno script di PowerShell firmato, assicurarsi di selezionare Apri. Non è possibile usare copia e incolla per uno script firmato.
  • A partire dalla versione 2207, è possibile definire un timeout di esecuzione script (secondi) quando si configurano le impostazioni client per le impostazioni di conformità.

Query SQL

  • SQL Server istanza: scegliere se si vuole che la query SQL venga eseguita nell'istanza predefinita, in tutte le istanze o in un nome di istanza di database specificato. Il nome dell'istanza deve fare riferimento a un'istanza locale di SQL Server. Per fare riferimento a un'istanza del cluster di failover o a un gruppo di disponibilità SQL Server Always On, usare un'impostazione di script.

  • Database: specificare il nome del database Microsoft SQL Server su cui si vuole eseguire la query SQL.

  • Colonna: specificare il nome della colonna restituito dall'istruzione Transact-SQL usata per valutare la conformità della condizione globale.

  • Istruzione Transact-SQL: specificare la query SQL completa da usare per la condizione globale. Per usare una query SQL esistente, selezionare Apri.

    Importante

    Le impostazioni delle query SQL non supportano comandi SQL che modificano il database. È possibile usare solo comandi SQL che leggono informazioni dal database.

Query WQL

  • Spazio dei nomi: specificare lo spazio dei nomi WMI valutato per la conformità nei computer client. Il valore predefinito è root\cimv2.

  • Classe: specificare la classe WMI di destinazione nello spazio dei nomi precedente.

  • Proprietà: specificare la proprietà WMI di destinazione nella classe precedente.

  • Clausola WHERE della query WQL: specificare una clausola di qualificazione per ridurre i risultati. Ad esempio, per eseguire query solo sul servizio DHCP nella classe Win32_Service, la clausola WHERE potrebbe essere Name = 'DHCP' and StartMode = 'Auto'.

Query XPath

  • Percorso: specificare il percorso del file .xml nei computer client usati per valutare la conformità. Configuration Manager supporta l'uso di tutte le variabili di ambiente di sistema windows e della %USERPROFILE% variabile utente nel nome del percorso.

  • Nome file XML: specificare il nome file contenente la query XML nel percorso precedente.

  • Includi sottocartelle: abilitare questa opzione per la ricerca in tutte le sottocartelle nel percorso specificato.

  • Questo file è associato a un'applicazione a 64 bit: cercare il percorso %Windir%\System32 del file di sistema a 64 bit oltre al percorso %Windir%\Syswow64 del file di sistema a 32 bit nei client Configuration Manager che eseguono una versione a 64 bit di Windows.

  • Query XPath: specificare una query XPath (Full XML Path Language) valida.

  • Spazi dei nomi: identificare gli spazi dei nomi e i prefissi da usare durante la query XPath.

Se si tenta di individuare un file di .xml crittografato, le impostazioni di conformità individuano il file, ma la query XPath non produce risultati. Il client Configuration Manager non genera un errore.

Se la query XPath non è valida, l'impostazione viene valutata come non conforme nei computer client.

Configurare le regole di conformità

Le regole di conformità specificano le condizioni che definiscono la conformità di un elemento di configurazione. Prima che un'impostazione possa essere valutata per la conformità, deve avere almeno una regola di conformità. Le impostazioni di WMI, registro e script consentono di correggere i valori che risultano non conformi. È possibile creare nuove regole o passare a un'impostazione esistente in qualsiasi elemento di configurazione per selezionarne le regole.

Per creare una regola di conformità

  1. Nella pagina Regole di conformità della Creazione guidata elemento di configurazione selezionare Nuovo.

  2. Nella finestra di dialogo Crea regola specificare le informazioni seguenti:

    • Nome: immettere un nome per la regola di conformità.

    • Descrizione: immettere una descrizione per la regola di conformità.

    • Impostazione selezionata: selezionare Sfoglia per aprire la finestra di dialogo Seleziona impostazione . Selezionare l'impostazione per cui si vuole definire una regola oppure selezionare Nuova impostazione. Al termine, scegliere Seleziona.

      Consiglio

      Per visualizzare informazioni sull'impostazione attualmente selezionata, selezionare Proprietà.

    • Tipo di regola: selezionare il tipo di regola di conformità che si vuole usare:

      • Valore: creare una regola che confronta il valore restituito dall'elemento di configurazione con un valore specificato. Per altre informazioni sulle impostazioni aggiuntive, vedere Regole valore.

      • Esistenziale: creare una regola che valuta l'impostazione a seconda che esista in un dispositivo client o nel numero di volte in cui viene trovata. Per altre informazioni sulle impostazioni aggiuntive, vedere Regole esistenziali.

  3. Selezionare OK per chiudere la finestra di dialogo Crea regola .

Regole dei valori

  • Proprietà: la proprietà dell'oggetto da controllare varia a seconda dell'impostazione selezionata. Le proprietà disponibili variano in base al tipo di impostazione.

  • L'impostazione deve essere conforme alle regole o alle autorizzazioni seguenti: le regole o le autorizzazioni disponibili variano in base al tipo di impostazione.

  • Correggere le regole non conformi se supportate: selezionare questa opzione per Configuration Manager per correggere automaticamente le regole non conformi. Configuration Manager supporta questa azione con i tipi di regole seguenti:

    • Valore del Registro di sistema: se non è conforme, il client imposta il valore del Registro di sistema. Se non esiste, il client crea il valore.

    • Script: il client usa lo script di correzione specificato con l'impostazione .

    • Query WQL

    Importante

    • Per segnalare correttamente un errore di correzione, gli script devono generare eccezioni anziché un codice di uscita diverso da zero.
    • È possibile correggere le regole non conformi solo quando l'operatore della regola è impostato su Uguale.

  • Segnalare la non conformità se l'istanza dell'impostazione non viene trovata: se questa impostazione non viene trovata nei computer client, abilitare questa opzione affinché l'elemento di configurazione riporti la non conformità.

  • Gravità di non conformità per i report: specificare il livello di gravità segnalato nei report Configuration Manager se questa regola di conformità non riesce. Sono disponibili i livelli di gravità seguenti:

    • Nessuna
    • Informazioni
    • Avviso
    • Critico
    • Critico per l'evento: i computer che non soddisfano questa regola di conformità segnalano una gravità dell'errore critica. Questo livello di gravità viene registrato anche come evento di Windows nel registro eventi dell'applicazione.

Regole esistenziali

Nota

Le opzioni visualizzate possono variare a seconda del tipo di impostazione per cui si sta configurando una regola.

  • L'impostazione deve essere presente nei dispositivi client

  • L'impostazione non deve esistere nei dispositivi client

  • L'impostazione viene eseguita il numero di volte seguente:

  • Gravità di non conformità per i report: specificare il livello di gravità segnalato nei report Configuration Manager se questa regola di conformità non riesce. Sono disponibili i livelli di gravità seguenti:

    • Nessuna
    • Informazioni
    • Avviso
    • Critico
    • Critico per l'evento: i computer che non soddisfano questa regola di conformità segnalano una gravità dell'errore critica. Questo livello di gravità viene registrato anche come evento di Windows nel registro eventi dell'applicazione.

Tenere traccia delle correzioni degli elementi di configurazione

(Introdotto nella versione 2002)

A partire da Configuration Manager versione 2002, è possibile tenere traccia della cronologia delle correzioni se supportata nelle regole di conformità degli elementi di configurazione. Quando questa opzione è abilitata, qualsiasi correzione che si verifica nel client per l'elemento di configurazione genera un messaggio di stato. La cronologia viene archiviata nel database Configuration Manager.

Compilare report personalizzati per visualizzare la cronologia delle correzioni usando la visualizzazione pubblica v_CIRemediationHistory. La RemediationDate colonna è l'ora in formato UTC in cui il client ha eseguito la correzione. identifica ResourceID il dispositivo. La creazione di report personalizzati con la visualizzazione v_CIRemediationHistory consente di:

  • Identificare i possibili problemi con gli script di correzione
  • Trovare le tendenze nelle correzioni, ad esempio un client che non è coerentemente non conforme a ogni ciclo di valutazione.

Abilitare l'opzione Track remediation history when supported (Tenere traccia della cronologia delle correzioni quando supportata)

  • Per i nuovi elementi di configurazione, aggiungere l'opzione Verifica cronologia delle correzioni quando supportata nella scheda Regole di conformità quando si crea una nuova impostazione nella pagina Impostazioni della procedura guidata.
  • Per gli elementi di configurazione esistenti, aggiungere l'opzione Verifica cronologia delle correzioni quando supportata nella scheda Regole di conformità nell'elemento di configurazione Proprietà. Tenere traccia della cronologia delle correzioni quando è supportata nella versione 2002

Passaggi successivi

Creare linee di base di configurazione