Informazioni sulle baseline di configurazione e sugli elementi di configurazione
In Configuration Manager, le linee di base vengono usate per definire la configurazione di un prodotto o di un sistema stabilito in un momento specifico. Le baseline di configurazione in Configuration Manager contengono un set definito di configurazioni desiderate valutate per la conformità come gruppo.
Baseline di configurazione
Le baseline di configurazione contengono uno o più elementi di configurazione con regole associate e vengono assegnate ai computer tramite raccolte, insieme a una pianificazione di valutazione della conformità.
Nota
Sebbene sia possibile assegnare linee di base di configurazione a una raccolta che contiene utenti, le baseline di configurazione vengono valutate solo dai computer della raccolta.
È possibile creare baseline di configurazione personalizzate con la console di Configuration Manager ed è possibile importare le baseline di configurazione dalle origini seguenti:
Una baseline di configurazione delle procedure consigliate di Microsoft o altri fornitori
Linee di base di configurazione personalizzate create dall'interno dell'organizzazione, ma esterne a Configuration Manager
Un altro sito Configuration Manager
Quando le baseline di configurazione vengono importate, a meno che non siano state create nello stesso sito Configuration Manager, non è possibile modificarle direttamente nella console Configuration Manager. Se è necessario perfezionare gli elementi di configurazione per soddisfare i requisiti aziendali, il percorso consigliato è il seguente:
Creare elementi di configurazione figlio con i valori personalizzati.
Duplicare la baseline di configurazione.
Modificare la baseline duplicata e sostituire gli elementi di configurazione con gli elementi di configurazione figlio modificati.
Regole di base di configurazione
Le regole delle baseline di configurazione vengono usate per specificare il modo in cui gli elementi di configurazione inclusi nella baseline di configurazione devono essere valutati per la conformità nei computer client. Esistono tipi fissi di regole di base di configurazione che non possono essere modificati in Configuration Manager. Gli elementi di configurazione possono essere aggiunti alle regole di base di configurazione seguenti:
Uno degli elementi di configurazione del sistema operativo seguenti deve essere presente e configurato correttamente.
Queste applicazioni e gli elementi di configurazione generale sono obbligatori e devono essere configurati correttamente.
Se vengono rilevati questi elementi facoltativi di configurazione dell'applicazione, è necessario configurarli correttamente.
Questi aggiornamenti software devono essere presenti.
Questi elementi di configurazione dell'applicazione non devono essere presenti.
Anche queste baseline di configurazione devono essere convalidate.
Assegnazione baseline di configurazione
Prima che i computer client possano valutare la conformità alle baseline di configurazione in Configuration Manager, è necessario assegnare la baseline di configurazione tramite raccolte di computer.
L'assegnazione è costituita dalle proprietà seguenti:
La baseline di configurazione stessa
Raccolta di destinazione per la valutazione della conformità e se include sotto-raccolte definite
Pianificazione della valutazione della conformità, che viene inizialmente configurata con la pianificazione di valutazione della conformità predefinita, ma può essere modificata per ogni assegnazione
Le assegnazioni della baseline di configurazione sono proprietà facoltative per una baseline di configurazione. Una singola baseline di configurazione può essere assegnata a più raccolte definendo più assegnazioni di base di configurazione.
Baseline di configurazione dipendente
Una delle regole di base di configurazione consiste nell'includere un'altra baseline di configurazione. Questa funzionalità di annidamento fornisce un metodo a più livelli per definire una baseline di configurazione di base per un'ampia gamma di computer e quindi perfezionare questa configurazione di base con linee di base di configurazione aggiuntive con configurazioni più specifiche per i computer con ruoli simili.
Le baseline dipendenti vengono usate anche quando si vogliono combinare i propri requisiti aziendali con quelli di una baseline di configurazione importata (ad esempio le linee di base di configurazione delle procedure consigliate da Microsoft) che non possono essere modificate direttamente. Quando la baseline di configurazione delle procedure consigliate viene aggiornata con una nuova versione, è possibile importare la versione successiva senza dover creare una nuova baseline di configurazione.
Le baseline di configurazione dipendenti vengono visualizzate nella console Configuration Manager come proprietà di una baseline di configurazione.
Baseline di configurazione duplicata
Una baseline di configurazione duplicata in Configuration Manager è una copia esatta di una baseline di configurazione esistente che non mantiene alcuna relazione con l'originale. La creazione di una baseline di configurazione duplicata potrebbe essere appropriata se si desidera creare una serie di baseline di configurazione simili ma non correlate e si ha una baseline di configurazione usata come modello. Un altro scenario è se è necessario ridefinire le regole o gli elementi di configurazione in una baseline di configurazione importata.
Non è possibile duplicare una baseline di configurazione importata se contiene dati di configurazione che il Configuration Manager non può interpretare.
Elementi della configurazione
Gli elementi di configurazione definiscono un'unità di configurazione discreta per la valutazione della conformità. Possono contenere uno o più elementi e i relativi criteri di convalida e in genere definiscono un'unità di configurazione che si vuole monitorare a livello di modifica indipendente.
Gli elementi di configurazione sono i blocchi predefiniti per le baseline di configurazione e di conseguenza lo stesso elemento di configurazione può essere usato in più baseline di configurazione.
Configuration Manager supporta i tipi di elementi di configurazione seguenti:
Elemento di configurazione del sistema operativo
Elemento di configurazione per determinare la conformità per le impostazioni relative alla versione e alla configurazione del sistema operativo.
Elemento di configurazione dell'applicazione
Elemento di configurazione per determinare la conformità per un'applicazione. Ciò può includere se l'applicazione è installata, nonché i dettagli sulla relativa configurazione.
Elemento di configurazione generale
Elemento di configurazione per determinare la conformità per le impostazioni e gli oggetti generali, in cui la loro esistenza non dipende dal sistema operativo, da un'applicazione o da un aggiornamento software.
Elemento di configurazione aggiornamenti software
Elemento di configurazione per determinare la conformità degli aggiornamenti software usando la funzionalità aggiornamenti software in Configuration Manager.
Non è possibile importare, creare o configurare elementi di configurazione degli aggiornamenti software nel nodo Gestione configurazione desiderata . Questi vengono invece resi disponibili per le baseline di configurazione tramite la funzionalità aggiornamenti software quando vengono scaricati gli aggiornamenti software. Ciò significa che gli elementi di configurazione degli aggiornamenti software possono essere selezionati per essere inclusi nelle linee di base di configurazione, anche se non vengono visualizzati nel nodo Elementi di configurazione .
Gli altri elementi di configurazione possono essere importati, creati e configurati con la console Configuration Manager. Questi elementi di configurazione visualizzano una serie di proprietà, tra cui le seguenti:
Generale
Oggetti
Impostazioni
Versione di Windows
Applicabilità
Metodo di rilevamento
Le proprietà disponibili per ogni elemento di configurazione dipendono dal tipo di elemento di configurazione. Ad esempio, è possibile configurare un elemento di configurazione del sistema operativo per verificare la versione esatta del sistema operativo. Questa proprietà non è applicabile agli altri elementi di configurazione, pertanto non viene visualizzata la proprietà Versione di Windows disponibile per altri elementi di configurazione. La tabella seguente elenca le proprietà configurabili di un elemento di configurazione in Configuration Manager e indica se la proprietà configurabile è disponibile per ogni tipo di elemento di configurazione.
| Tipo di elemento di configurazione | Generale | Versione di Windows | Oggetti | Impostazioni | Metodo di rilevamento | Applicabilità | Sicurezza |
|---|---|---|---|---|---|---|---|
| Generale | √ | Ø | √ | √ | Ø | √ | √ |
| Applicazione | √ | Ø | √ | √ | √ | √ | √ |
| Sistema operativo | √ | √ | √ | √ | Ø | Ø | √ |
| Aggiornamenti software | √ | Ø | Ø | Ø | Ø | Ø | √ |
Chiave:
√ = Proprietà disponibile
Ø = Proprietà non disponibile
Ad eccezione degli elementi di configurazione degli aggiornamenti software, è possibile visualizzare e modificare le proprietà di ogni elemento di configurazione nel nodo Elementi di configurazione in Gestione configurazione desiderata nella console di Configuration Manager. Usare il nodo Software Aggiornamenti per visualizzare e modificare gli elementi di configurazione degli aggiornamenti software.
Oltre alle proprietà configurabili di un elemento di configurazione nel nodo Gestione configurazione desiderata , le informazioni di controllo visualizzate vengono visualizzate anche nelle proprietà Generale , che mostrano quando è stato creato l'elemento di configurazione, quando è stato modificato per l'ultima volta e da chi. Inoltre, una scheda della proprietà Relationships mostra il modo in cui l'elemento di configurazione è correlato ad altri elementi di configurazione e baseline di configurazione.
Elemento di configurazione figlio
Un elemento di configurazione figlio è una copia di un elemento di configurazione che continua a ereditare le proprietà dell'elemento di configurazione originale. Non è possibile modificare gli oggetti e le impostazioni ereditati dell'elemento di configurazione figlio con i relativi criteri di convalida, ma è possibile aggiungere altri criteri di convalida agli oggetti e alle impostazioni ereditati ed è anche possibile aggiungere nuovi oggetti e impostazioni all'elemento di configurazione figlio. Lo scopo comune per la creazione e la modifica di un elemento di configurazione figlio consiste nel perfezionare l'elemento di configurazione originale per soddisfare i requisiti aziendali.
A causa della relazione di dipendenza delle proprietà ereditate dall'elemento padre all'elemento di configurazione figlio, la modifica dell'elemento di configurazione originale influisce sull'elemento di configurazione figlio.
Gli elementi di configurazione figlio sono appropriati quando sono stati importati dati di configurazione da una baseline di configurazione delle procedure consigliate e si vuole essere in grado di aggiornare i dati di configurazione quando vengono rilasciate nuove versioni che continueranno a passare le relative proprietà all'elemento di configurazione figlio.
Un altro scenario per l'uso dell'elemento di configurazione figlio è quando è necessario mantenere l'ereditarietà per un'amministrazione precisa. Ad esempio, è possibile usare un elemento di configurazione figlio se si dispone di un elemento di configurazione che definisce un criterio di sicurezza aziendale a cui tutti i computer devono essere conformi, ma i computer del reparto finanziario sono soggetti a requisiti di sicurezza aggiuntivi. In questo caso, è possibile creare un elemento di configurazione figlio dall'elemento di configurazione dei criteri di sicurezza aziendale. L'elemento di configurazione figlio eredita tutte le proprietà dai criteri di sicurezza aziendali, ma viene modificato per contenere i requisiti di sicurezza aggiuntivi. Se i criteri di sicurezza aziendali sono stati modificati, l'elemento di configurazione originale potrebbe essere modificato senza dover modificare anche l'elemento di configurazione per i computer nel reparto finanziario. Analogamente, se i requisiti per i computer del reparto finanziario sono stati modificati, è necessario modificare solo l'elemento di configurazione figlio e non l'elemento di configurazione originale che definisce i criteri di sicurezza aziendali.
Elemento di configurazione duplicato
Un elemento di configurazione duplicato è una copia esatta di un altro elemento di configurazione che non mantiene alcuna relazione con l'elemento di configurazione originale. È quindi possibile usare un elemento di configurazione duplicato come modello per modificare solo alcune proprietà e conservare in modo indipendente entrambi gli elementi di configurazione oppure usarlo quando è stato importato un elemento di configurazione di sola lettura (ad esempio, da una baseline di configurazione delle procedure consigliate) e si vuole usare l'elemento di configurazione con modifica e non conservare alcuna ereditarietà dall'elemento di configurazione originale.
Inoltre, se si vuole usare un elemento di configurazione importato ma eliminarlo da esso oggetti o impostazioni (o i relativi criteri di convalida correlati), l'unica scelta di modifica consiste nel creare un elemento di configurazione duplicato e modificare l'elemento di configurazione duplicato di conseguenza.