Sobre linhas de base de configuração e itens de configuração
Em Configuration Manager, as linhas de base são usadas para definir a configuração de um produto ou sistema que é estabelecido em um ponto específico no tempo. As linhas de base de configuração no Configuration Manager contêm um conjunto definido de configurações desejadas que são avaliadas para conformidade como um grupo.
Linhas de base de configuração
As linhas de base de configuração contêm um ou mais itens de configuração com regras associadas e são atribuídas a computadores por meio de coleções, juntamente com um cronograma de avaliação de conformidade.
Observação
Embora você possa atribuir linhas de base de configuração a uma coleção que contém usuários, as linhas de base de configuração são avaliadas apenas por computadores da coleção.
Você pode criar suas próprias linhas de base de configuração com o console Configuration Manager e importar linhas de base de configuração das seguintes fontes:
Uma linha de base de configuração de práticas recomendadas de Microsoft ou outros fornecedores
Linhas de base de configuração personalizadas de dentro de sua própria organização, mas externas a Configuration Manager
Outro site Configuration Manager
Quando as linhas de base de configuração são importadas, a menos que tenham sido criadas originalmente no mesmo site Configuration Manager, você não pode modificá-las diretamente no console Configuration Manager. Se você precisar refinar os itens de configuração para atender aos seus requisitos comerciais, o caminho recomendado será o seguinte:
Crie itens de configuração filho com seus valores personalizados.
Duplicar a linha de base de configuração.
Edite a linha de base duplicada e substitua os itens de configuração por seus itens de configuração filho editados.
Regras de linha de base de configuração
As regras de linhas de base de configuração são usadas para especificar como os itens de configuração incluídos na linha de base de configuração devem ser avaliados para conformidade em computadores cliente. Há tipos fixos de regras de linha de base de configuração que não podem ser alteradas em Configuration Manager. Os itens de configuração podem ser adicionados às seguintes regras de linha de base de configuração:
Um dos seguintes itens de configuração do sistema operacional deve estar presente e configurado corretamente.
Esses aplicativos e itens de configuração geral são necessários e devem ser configurados corretamente.
Se esses itens de configuração de aplicativo opcionais forem detectados, eles deverão ser configurados corretamente.
Essas atualizações de software devem estar presentes.
Esses itens de configuração de aplicativo não devem estar presentes.
Essas linhas de base de configuração também devem ser validadas.
Atribuição de Linha de Base de Configuração
Antes que os computadores cliente possam avaliar sua conformidade com as linhas de base de configuração no Configuration Manager, a linha de base de configuração deve ser atribuída a eles por meio de coleções de computadores.
A atribuição consiste nas seguintes propriedades:
A própria linha de base de configuração
Qual coleção deve ser direcionada para avaliação de conformidade e se inclui quaisquer sub-coleções definidas
O cronograma de avaliação de conformidade, que inicialmente está configurado com o cronograma padrão de avaliação de conformidade, mas pode ser alterado para cada atribuição
As atribuições de linha de base de configuração são propriedades opcionais para uma linha de base de configuração. Uma única linha de base de configuração pode ser atribuída a várias coleções definindo várias atribuições de linha de base de configuração.
Linha de Base de Configuração Dependente
Uma das regras de linha de base de configuração é incluir outra linha de base de configuração. Essa funcionalidade de aninhamento fornece um método em camadas de definição de uma linha de base de configuração base para uma ampla gama de computadores e, em seguida, refinar essa configuração base com linhas de base de configuração adicionais que têm configurações mais específicas para computadores com funções semelhantes.
Linhas de base dependentes também são usadas quando você deseja combinar seus próprios requisitos comerciais com os de uma linha de base de configuração importada (como linhas de base de configuração de Práticas Recomendadas de Microsoft) que não podem ser editadas diretamente. Quando a linha de base de configuração de Práticas Recomendadas for atualizada com uma nova versão, você poderá importar a versão posterior sem precisar criar uma nova linha de base de configuração.
As linhas de base de configuração dependentes são exibidas no console Configuration Manager como uma propriedade de uma linha de base de configuração.
Linha de base de configuração duplicada
Uma linha de base de configuração duplicada no Configuration Manager é uma cópia exata de uma linha de base de configuração existente que não mantém nenhuma relação com o original. A criação de uma linha de base de configuração duplicada pode ser apropriada se você quiser criar uma série de linhas de base de configuração semelhantes, mas não relacionadas, e você tiver uma linha de base de configuração que você usa como modelo. Outro cenário é se você precisar redefinir as regras ou itens de configuração em uma linha de base de configuração importada.
Não é possível duplicar uma linha de base de configuração importada se ela contiver dados de configuração que o Configuration Manager não puder interpretar.
Itens de configuração
Os itens de configuração definem uma unidade discreta de configuração para avaliar a conformidade. Eles podem conter um ou mais elementos e seus critérios de validação e normalmente definem uma unidade de configuração que você deseja monitorar no nível de alteração independente.
Os itens de configuração são os blocos de construção para linhas de base de configuração e, consequentemente, o mesmo item de configuração pode ser usado em várias linhas de base de configuração.
Configuration Manager dá suporte aos seguintes tipos de item de configuração:
Item de configuração do sistema operacional
Um item de configuração para determinar a conformidade das configurações relacionadas à versão e configuração do sistema operacional.
Item de configuração do aplicativo
Um item de configuração para determinar a conformidade de um aplicativo. Isso pode incluir se o aplicativo está instalado, bem como detalhes sobre sua configuração.
Item de configuração geral
Um item de configuração para determinar a conformidade de configurações gerais e objetos, em que sua existência não depende do sistema operacional, de um aplicativo ou de uma atualização de software.
Item de configuração de atualizações de software
Um item de configuração para determinar a conformidade das atualizações de software usando o recurso de atualizações de software no Configuration Manager.
Você não pode importar, criar ou configurar itens de configuração de atualizações de software no nó Gerenciamento de Configuração Desejado . Em vez disso, elas são disponibilizadas para as linhas de base de configuração por meio do recurso de atualizações de software quando as atualizações de software são baixadas. Isso significa que os itens de configuração de atualizações de software podem ser selecionados para serem incluídos nas linhas de base de configuração, embora não sejam exibidos no nó Itens de Configuração .
Os outros itens de configuração podem ser importados, criados e configurados com o console Configuration Manager. Esses itens de configuração exibem várias propriedades, que incluem o seguinte:
Geral
Objetos
Configurações
Versão do Windows
Aplicabilidade
Método de detecção
As propriedades que estão disponíveis para cada item de configuração dependem do tipo de item de configuração. Por exemplo, você pode configurar um item de configuração do sistema operacional para verificar a versão exata do sistema operacional. Essa propriedade não é aplicável aos outros itens de configuração, portanto, você não vê a propriedade Versão do Windows disponível para outros itens de configuração. A tabela a seguir lista as propriedades configuráveis de um item de configuração no Configuration Manager e mostra se a propriedade configurável está disponível para cada tipo de item de configuração.
| Tipo de item de configuração | Geral | Versão do Windows | Objetos | Configurações | Método de detecção | Aplicabilidade | Segurança |
|---|---|---|---|---|---|---|---|
| Geral | √ | Ø | √ | √ | Ø | √ | √ |
| Application | √ | Ø | √ | √ | √ | √ | √ |
| Sistema operacional | √ | √ | √ | √ | Ø | Ø | √ |
| Atualizações de software | √ | Ø | Ø | Ø | Ø | Ø | √ |
Chave:
√ = Propriedade disponível
Ø = Propriedade não disponível
Com exceção dos itens de configuração de atualizações de software, você pode exibir e editar as propriedades de cada item de configuração no nó Itens de Configuração em Gerenciamento de Configuração Desejado no console Configuration Manager. Use o nó software Atualizações para exibir e editar itens de configuração de atualizações de software.
Além das propriedades configuráveis de um item de configuração no nó Gerenciamento de Configuração Desejado , você também verá informações de auditoria exibidas nas propriedades gerais , que mostram quando o item de configuração foi criado, quando foi editado pela última vez e por quem. Além disso, uma guia propriedade Relationships mostra como o item de configuração se relaciona com outros itens de configuração e linhas de base de configuração.
Item de configuração filho
Um item de configuração filho é uma cópia de um item de configuração que continua herdando as propriedades do item de configuração original. Você não pode modificar os objetos e as configurações herdados do item de configuração filho com seus critérios de validação, mas pode adicionar critérios de validação adicionais aos objetos e configurações herdados e também pode adicionar novos objetos e configurações ao item de configuração filho. A finalidade usual para criar e editar um item de configuração filho é que ele refina o item de configuração original para atender aos seus requisitos de negócios.
Devido à relação de dependência de propriedades herdadas do pai para o item de configuração filho, modificar o item de configuração original afeta o item de configuração filho.
Os itens de configuração filho são apropriados quando você importa dados de configuração de uma linha de base de configuração de Práticas Recomendadas e deseja poder atualizar os dados de configuração quando novas versões forem lançadas que continuarão a passar suas propriedades para o item de configuração filho.
Outro cenário para usar o item de configuração filho é quando você precisa manter a herança para uma administração precisa. Por exemplo, você pode usar um item de configuração filho se tiver um item de configuração que defina uma política de segurança corporativa com a qual todos os computadores devem estar em conformidade, mas seus computadores do departamento financeiro estão sujeitos a requisitos adicionais de segurança. Nessa situação, você pode criar um item de configuração filho a partir do item de configuração da política de segurança corporativa. O item de configuração filho herda todas as propriedades da política de segurança corporativa, mas é editado para conter os requisitos de segurança adicionais. Se a política de segurança corporativa for alterada, o item de configuração original poderá ser modificado sem precisar modificar também o item de configuração para os computadores do departamento financeiro. Da mesma forma, se os requisitos para os computadores do departamento financeiro forem alterados, apenas o item de configuração filho precisará ser modificado e não o item de configuração original que define a política de segurança corporativa.
Item de configuração duplicado
Um item de configuração duplicado é uma cópia exata de outro item de configuração que não mantém nenhuma relação com o item de configuração original. Portanto, você pode usar um item de configuração duplicado como um modelo para modificar apenas algumas propriedades e manter independentemente ambos os itens de configuração ou usá-lo quando tiver importado um item de configuração somente leitura (por exemplo, de uma linha de base de configuração de Práticas Recomendadas) e deseja usar o item de configuração com modificação e não reter nenhuma herança do item de configuração original.
Além disso, se você quiser usar um item de configuração importado, mas excluir dele objetos ou configurações (ou seus critérios de validação relacionados), sua única opção de edição é criar um item de configuração duplicado e editar esse item de configuração duplicado de acordo.