Criar itens de configuração personalizados para computadores windows desktop e servidor gerenciados com o cliente Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Use o Configuration Manager item de configuração personalizado do Windows Desktops and Servers para gerenciar configurações para computadores Windows e servidores gerenciados pelo cliente Configuration Manager.
Iniciar o assistente
No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Configurações de Conformidade e selecione o nó Itens de Configuração.
Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar Item de Configuração.
Na página Geral do Assistente de Criar Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.
Em Especificar o tipo de item de configuração que você deseja criar, selecione Áreas de Trabalho e Servidores do Windows (personalizado).
- Se você quiser fornecer configurações de método de detecção que verifiquem a existência de um aplicativo, selecione Este arquivo de configuração contém configurações de aplicativo.
Para ajudar você a pesquisar e filtrar itens de configuração no console Configuration Manager, selecione Categorias para criar e atribuir categorias.
Métodos de detecção
Use esse procedimento para fornecer informações de método de detecção para o item de configuração.
Observação
Essas informações só se aplicam se você selecionar Este item de configuração contém configurações de aplicativo na página Geral do assistente.
Um método de detecção no Configuration Manager contém regras usadas para detectar se um aplicativo está instalado em um computador. Essa detecção ocorre antes que o cliente avalie sua conformidade com o item de configuração. Para detectar se um aplicativo está instalado, você pode detectar a presença de um arquivo do Windows Installer para o aplicativo, usar um script personalizado ou selecionar Sempre assumir que o aplicativo está instalado para avaliar o item de configuração para conformidade, independentemente de o aplicativo estar instalado.
Para detectar uma instalação de aplicativo usando o arquivo Windows Installer
Na página Métodos de Detecção do Assistente de Criar Item de Configuração, selecione a opção usar a detecção do Instalador do Windows.
Selecione Abrir, navegue até o arquivo Windows Installer (.msi) que você deseja detectar e selecione Abrir.
O campo Versão é preenchido automaticamente com o número de versão do arquivo do Instalador do Windows. Se o valor exibido estiver incorreto, insira um novo número de versão aqui.
Se você quiser detectar cada perfil de usuário no computador, selecione Este aplicativo está instalado para um ou mais usuários.
Para detectar um tipo específico de aplicativo e implantação
Na página Métodos de Detecção do Assistente de Criar Item de Configuração, selecione para Detectar um aplicativo e um tipo de implantação específicos. Escolha Selecionar.
Na caixa de diálogo Especificar Aplicativo , selecione o aplicativo e um tipo de implantação associado que você deseja detectar.
Para detectar uma instalação de aplicativo usando um script personalizado
Quando um script Windows PowerShell é executado como um método de detecção, o cliente Configuration Manager chama o PowerShell com o -NoProfile
parâmetro. Essa opção inicia o PowerShell sem perfis. Um perfil do PowerShell é um script que é executado quando o PowerShell é iniciado.
Na página Métodos de Detecção do Assistente de Criar Item de Configuração, selecione a opção Usar um script personalizado para detectar esse aplicativo.
Na lista, selecione o idioma do script. Escolha entre os seguintes formatos:
VBScript
JScript
PowerShell
Selecione Abrir, navegue até o script que você deseja usar e selecione Abrir.
Importante
Ao usar um script do PowerShell assinado, certifique-se de selecionar Abrir. Você não pode usar copiar e colar para um script assinado.
Especificar plataformas com suporte
Na página Plataformas Com Suporte do Assistente para Criar Item de Configuração, selecione as versões do Windows nas quais você deseja que o item de configuração seja avaliado para conformidade ou escolha Selecionar todas.
Você também pode especificar a versão do Windows manualmente. Selecione Adicionar e especifique cada parte do número de build do Windows.
Observação
Ao especificar Windows Server 2016, a seleção para All Windows Server 2016 and higher 64-bit)
também inclui o Windows Server 2019. Para especificar apenas Windows Server 2016, use a opção para Especificar a versão do Windows manualmente.
Definir configurações
Use esse procedimento para configurar as configurações no item de configuração.
As configurações representam as condições comerciais ou técnicas usadas para avaliar a conformidade em dispositivos cliente. Você pode configurar uma nova configuração ou navegar até uma configuração existente em um computador de referência.
Na página Configurações do Assistente criar item de configuração, selecione Novo.
Na guia Geral da caixa de diálogo Criar Configuração , forneça as seguintes informações:
Nome: insira um nome exclusivo para a configuração. Você pode usar um máximo de 256 caracteres.
Descrição: insira uma descrição para a configuração. Você pode usar um máximo de 256 caracteres.
Tipo de configuração: na lista, escolha e configure um dos seguintes tipos de configuração a serem usados para essa configuração:
Tipo de dados: escolha o formato no qual a condição retorna os dados antes de ser usada para avaliar a configuração. A lista de tipos de dados não é exibida para todos os tipos de configuração.
Dica
O tipo de dados de ponto flutuante dá suporte a apenas três dígitos após o ponto decimal.
Configure detalhes adicionais sobre essa configuração na lista de tipos de configuração . Os itens que você pode configurar variam dependendo do tipo de configuração selecionado.
Selecione OK para salvar a configuração e feche a caixa de diálogo Criar Configuração .
Consulta do Active Directory
Prefixo LDAP: especifique um prefixo válido para a consulta Active Directory Domain Services para avaliar a conformidade em computadores cliente. Para fazer uma pesquisa de catálogo global, use
LDAP://
ouGC://
.DN (Nome Distinto): especifique o nome distinto do objeto Active Directory Domain Services avaliado para conformidade em computadores cliente.
Filtro de pesquisa: especifique um filtro LDAP opcional para refinar os resultados da consulta Active Directory Domain Services para avaliar a conformidade em computadores cliente. Para retornar todos os resultados da consulta, insira
(objectclass=*)
.Escopo de pesquisa: especifique o escopo de pesquisa no Active Directory Domain Services
Base: consulta apenas o objeto especificado
Um Nível: essa opção não é usada nesta versão do Configuration Manager
Subtree: consulta o objeto especificado e sua sub-árvore completa no diretório
Propriedade: especifique a propriedade do objeto Active Directory Domain Services que é usado para avaliar a conformidade em computadores cliente.
Por exemplo, se você quiser consultar a propriedade active directory que armazena o número de vezes que um usuário insere incorretamente uma senha, insira
badPwdCount
neste campo.Consulta: exibe a consulta construída a partir das entradas no prefixo LDAP, nome distinto (DN), Filtro de Pesquisa (se especificado) e Propriedade.
Assembly
Um assembly é um pedaço de código que pode ser compartilhado entre aplicativos. Os assemblies podem ter a extensão de nome do arquivo .dll ou .exe. O cache de assembly global é a pasta %SystemRoot%\Assembly
em computadores cliente. Esse cache é onde o Windows armazena todos os assemblies compartilhados.
- Nome do assembly: Especifica o nome do objeto assembly que você deseja pesquisar. O nome não pode ser o mesmo que outros objetos de assembly do mesmo tipo. Primeiro registre-o no cache de assembly global. O nome do assembly pode ter até 256 caracteres.
Sistema de arquivos
Digite: na lista, selecione se você deseja pesquisar um Arquivo ou uma Pasta.
Caminho: especifique o caminho do arquivo ou pasta especificado em computadores cliente. Você pode especificar variáveis de ambiente do sistema e a
%USERPROFILE%
variável de ambiente no caminho.O tipo de configuração do sistema de arquivos não dá suporte à especificação de um caminho UNC para um compartilhamento de rede na caixa Caminho .
Se você usar a
%USERPROFILE%
variável de ambiente nas caixas Caminho ou Arquivo ou nome da pasta, o cliente Configuration Manager pesquisará todos os perfis de usuário no computador cliente. Esse comportamento pode resultar na localização de várias instâncias do arquivo ou pasta.Se as configurações de conformidade não tiverem acesso ao caminho especificado, um erro de descoberta será gerado. Além disso, se o arquivo que você está procurando estiver em uso no momento, um erro de descoberta será gerado.
Dica
Selecione Procurar para configurar a configuração de valores em um computador de referência.
Nome do arquivo ou da pasta: especifique o nome do arquivo ou objeto de pasta para pesquisar. Você pode especificar variáveis de ambiente do sistema e a
%USERPROFILE%
variável de ambiente no nome do arquivo ou da pasta. Você também pode usar os curingas*
e?
no nome do arquivo.- Se você especificar um nome de arquivo ou pasta e usar curingas, essa combinação poderá produzir um alto número de resultados. Isso também pode resultar em alto uso de recursos no computador cliente e alto tráfego de rede ao relatar resultados para Configuration Manager.
Incluir subpastas: pesquise também quaisquer subpastas no caminho especificado.
Esse arquivo ou pasta está associado a um aplicativo de 64 bits: se habilitado, pesquise apenas locais de arquivo de 64 bits, como
%ProgramFiles%
em computadores de 64 bits. Se essa opção não estiver habilitada, pesquise locais de 64 bits e locais de 32 bits, como%ProgramFiles(x86)%
.- Se o mesmo arquivo ou pasta existir nos locais de arquivo do sistema de 64 bits e 32 bits no mesmo computador de 64 bits, vários arquivos serão descobertos pela condição global.
Metabase do IIS
Caminho do Metabase: especifique um caminho válido para a metabase dos Serviços de Informações da Internet (IIS). Por exemplo,
/LM/W3SVC/
.ID da propriedade: especifique a propriedade numérica da configuração de metabase do IIS.
Chave do Registro
Hive: selecione o hive do registro que você deseja pesquisar
- Selecione Procurar para configurar a configuração de valores em um computador de referência. Para navegar até uma chave de registro em um computador remoto, habilite o serviço de Registro Remoto no computador remoto.
Chave: especifique o nome da chave do registro que você deseja pesquisar. Use o formato
key\subkey
.Essa chave de registro está associada a um aplicativo de 64 bits: pesquise chaves de registro de 64 bits, além das chaves de registro de 32 bits em clientes que estão executando uma versão de 64 bits do Windows.
- Se a mesma chave de registro existir nos locais de registro de 64 bits e 32 bits no mesmo computador de 64 bits, ambas as chaves de registro serão descobertas pela condição global.
Valor do Registro
Hive: selecione o hive do registro para pesquisar.
- Selecione Procurar para configurar a configuração de valores em um computador de referência. Para navegar até um valor de registro em um computador remoto, habilite o serviço de Registro Remoto no computador remoto. Você também precisa de permissões de administrador para acessar o computador remoto.
Chave: especifique o nome da chave do registro a ser pesquisado. Use o formato
key\subkey
.Valor: especifique o valor que deve ser contido na chave de registro especificada.
Essa chave de registro está associada a um aplicativo de 64 bits: pesquise as chaves de registro de 64 bits, além das chaves de registro de 32 bits em clientes que estão executando uma versão de 64 bits do Windows.
- Se a mesma chave de registro existir nos locais de registro de 64 bits e 32 bits no mesmo computador de 64 bits, ambas as chaves de registro serão descobertas pela condição global.
Script
O valor retornado pelo script é usado para avaliar a conformidade da condição global. Por exemplo, ao usar o VBScript, você pode usar o comando WScript.Echo Result para retornar o valor da variável De resultado para a condição global. Quando você usa Windows PowerShell como um script de descoberta ou correção, o cliente Configuration Manager chama o PowerShell com o -NoProfile
parâmetro. Essa opção inicia o PowerShell sem perfis. Um perfil do PowerShell é um script que é executado quando o PowerShell é iniciado.
Script de descoberta: selecione Adicionar Script e insira ou navegue até um script. Esse script é usado para localizar o valor. Você pode usar scripts JScript Windows PowerShell, VBScript ou Microsoft.
Script de correção (opcional): selecione Adicionar Script e insira ou navegue até um script. Esse script é usado para corrigir valores de configuração não compatíveis. Você pode usar scripts JScript Windows PowerShell, VBScript ou Microsoft.
Importante
- Para relatar corretamente uma falha de correção, os scripts precisam gerar exceções em vez de um código de saída não zero.
Execute scripts usando as credenciais do usuário registradas: se você habilitar essa opção, o script será executado em computadores cliente que usam as credenciais do usuário conectado.
Importante
- Ao usar um script do PowerShell assinado, certifique-se de selecionar Abrir. Você não pode usar copiar e colar para um script assinado.
- A partir de 2207, você pode definir um tempo limite de execução de script (segundos) ao configurar as configurações do cliente para configurações de conformidade.
Consulta SQL
SQL Server instância: escolha se deseja que a consulta SQL seja executada na instância padrão, em todas as instâncias ou em um nome de instância de banco de dados especificado. O nome da instância deve se referir a uma instância local de SQL Server. Para se referir a uma instância de cluster de failover SQL Server Always On ou grupo de disponibilidade, use uma configuração de script.
Banco de dados: especifique o nome do banco de dados Microsoft SQL Server no qual você deseja executar a consulta SQL.
Coluna: especifique o nome da coluna retornado pela instrução Transact-SQL usada para avaliar a conformidade da condição global.
Instrução Transact-SQL: especifique a consulta SQL completa que você deseja usar para a condição global. Para usar uma consulta SQL existente, selecione Abrir.
Importante
As configurações de consulta SQL não dão suporte a nenhum comando SQL que modifique o banco de dados. Você só pode usar comandos SQL que leem informações do banco de dados.
Consulta WQL
Namespace: especifique o namespace WMI avaliado para conformidade em computadores cliente. O valor padrão é
root\cimv2
.Classe: especifique a classe WMI de destino no namespace acima.
Propriedade: especifique a propriedade WMI de destino na classe acima.
Cláusula WHERE da consulta WQL: especifique uma cláusula de qualificação para reduzir os resultados. Por exemplo, para consultar apenas o serviço DHCP na classe Win32_Service, a cláusula WHERE pode ser
Name = 'DHCP' and StartMode = 'Auto'
.
Consulta XPath
Caminho: especifique o caminho do arquivo .xml em computadores cliente usados para avaliar a conformidade. Configuration Manager dá suporte ao uso de todas as variáveis de ambiente do sistema Windows e da variável de
%USERPROFILE%
usuário no nome do caminho.Nome do arquivo XML: especifique o nome do arquivo que contém a consulta XML no caminho acima.
Incluir subpastas: habilite essa opção para pesquisar quaisquer subpastas no caminho especificado.
Esse arquivo está associado a um aplicativo de 64 bits: pesquise o local
%Windir%\System32
do arquivo do sistema de 64 bits, além do local%Windir%\Syswow64
do arquivo do sistema de 32 bits em Configuration Manager clientes que estão executando uma versão de 64 bits do Windows.Consulta XPath: especifique uma consulta XPath (linguagem de caminho completa) válida.
Namespaces: identifique namespaces e prefixos a serem usados durante a consulta XPath.
Se você tentar descobrir um arquivo de .xml criptografado, as configurações de conformidade encontrarão o arquivo, mas a consulta XPath não produzirá resultados. O Configuration Manager cliente não gera um erro.
Se a consulta XPath não for válida, a configuração será avaliada como não compatível em computadores cliente.
Configurar regras de conformidade
As regras de conformidade especificam as condições que definem a conformidade de um item de configuração. Antes que uma configuração possa ser avaliada para conformidade, ela deve ter pelo menos uma regra de conformidade. As configurações de WMI, registro e script permitem corrigir valores que não são compatíveis. Você pode criar novas regras ou navegar até uma configuração existente em qualquer item de configuração para selecionar regras nele.
Para criar uma regra de conformidade
Na página Regras de Conformidade do Assistente criar item de configuração, selecione Novo.
Na caixa de diálogo Criar Regra , forneça as seguintes informações:
Nome: insira um nome para a regra de conformidade.
Descrição: insira uma descrição para a regra de conformidade.
Configuração selecionada: selecione Procurar para abrir a caixa de diálogo Selecionar Configuração . Selecione a configuração para a qual você deseja definir uma regra ou selecione Nova Configuração. Quando terminar, escolha Selecionar.
Dica
Para exibir informações sobre a configuração selecionada no momento, selecione Propriedades.
Tipo de regra: selecione o tipo de regra de conformidade que você deseja usar:
Valor: crie uma regra que compare o valor retornado pelo item de configuração em relação a um valor especificado. Para obter mais informações sobre as configurações adicionais, consulte Regras de valor.
Existencial: crie uma regra que avalie a configuração dependendo se ela existe em um dispositivo cliente ou no número de vezes que ela é encontrada. Para obter mais informações sobre as configurações adicionais, consulte Regras existenciais.
Selecione OK para fechar a caixa de diálogo Criar Regra .
Regras de valor
Propriedade: a propriedade do objeto a ser verificado varia dependendo da configuração selecionada. As propriedades disponíveis variam de acordo com o tipo de configuração.
A configuração deve estar em conformidade com o seguinte...: as regras ou permissões disponíveis variam de acordo com o tipo de configuração.
Corrigir regras não compatíveis quando houver suporte: selecione essa opção para Configuration Manager corrigir automaticamente regras não compatíveis. Configuration Manager dá suporte a essa ação com os seguintes tipos de regra:
Valor do registro: se não for compatível, o cliente definirá o valor do registro. Se ele não existir, o cliente criará o valor.
Script: o cliente usa o script de correção especificado com a configuração.
Consulta WQL
Importante
- Para relatar corretamente uma falha de correção, os scripts precisam gerar exceções em vez de um código de saída não zero.
- Você só pode corrigir regras não compatíveis quando o operador de regra é definido como Equals.
Relatar não conformidade se essa instância de configuração não for encontrada: se essa configuração não for encontrada em computadores cliente, habilite essa opção para que o item de configuração denuncie a não conformidade.
Gravidade de não conformidade para relatórios: especifique o nível de gravidade relatado em relatórios Configuration Manager se essa regra de conformidade falhar. Os seguintes níveis de gravidade estão disponíveis:
- Nenhum
- Information
- Aviso
- Crítico
- Crítico com o evento: computadores que falham nessa regra de conformidade relatam uma gravidade de falha de Crítico. Esse nível de gravidade também é registrado como um evento do Windows no log de eventos do aplicativo.
Regras existenciais
Observação
As opções mostradas podem variar dependendo do tipo de configuração para o qual você está configurando uma regra.
A configuração deve existir em dispositivos cliente
A configuração não deve existir em dispositivos cliente
A configuração ocorre o seguinte número de vezes:
Gravidade de não conformidade para relatórios: especifique o nível de gravidade relatado em relatórios Configuration Manager se essa regra de conformidade falhar. Os seguintes níveis de gravidade estão disponíveis:
- Nenhum
- Information
- Aviso
- Crítico
- Crítico com o evento: computadores que falham nessa regra de conformidade relatam uma gravidade de falha de Crítico. Esse nível de gravidade também é registrado como um evento do Windows no log de eventos do aplicativo.
Controlar correções de item de configuração
(Introduzido na versão 2002)
A partir de Configuration Manager versão 2002, você pode acompanhar o histórico de correção quando tiver suporte nas regras de conformidade do item de configuração. Quando essa opção está habilitada, qualquer correção que ocorra no cliente para o item de configuração gera uma mensagem de estado. O histórico é armazenado no banco de dados Configuration Manager.
Crie relatórios personalizados para exibir o histórico de correção usando o v_CIRemediationHistory de exibição pública. A RemediationDate
coluna é a hora em que, em UTC, o cliente executou a correção. O ResourceID
identifica o dispositivo. Criar relatórios personalizados com o modo de exibição v_CIRemediationHistory ajuda você:
- Identificar possíveis problemas com seus scripts de correção
- Encontre tendências em correções, como um cliente que não esteja consistentemente em conformidade com cada ciclo de avaliação.
Habilitar o histórico de correção de rastreamento quando houver suporte
- Para novos itens de configuração, adicione a opção Rastrear histórico de correção quando houver suporte na guia Regras de Conformidade ao criar uma nova configuração na página Configurações do assistente.
- Para itens de configuração existentes, adicione a opção Rastrear histórico de correção quando houver suporte na guia Regras de Conformidade nas Propriedades do item de configuração.