Crie itens de configuração personalizados para computadores de secretária e servidor de Windows geridos com o cliente Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Utilize o item de configuração personalizado do Gestor de Configuração Windows desktops e servidores para gerir as definições de computadores e servidores Windows que são geridos pelo cliente Do Gestor de Configuração.
Inicie o assistente
Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Compliance, expanda o compliance Definições e selecione o nó de Itens de Configuração.
No separador 'Casa' da fita, no grupo Criar, selecione Criar Item de Configuração.
Na página Geral do Assistente de Criação de Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.
Em Especifique o tipo de item de configuração que pretende criar, selecione Servidores e Computadores de Secretária Windows (personalizado).
- Se pretender fornecer as definições do método de deteção que verificam a existência de uma aplicação, selecione Este ficheiro de configuração contém as definições da aplicação.
Para ajudá-lo a pesquisar e filtrar itens de configuração na consola Do Gestor de Configuração, selecione Categorias para criar e atribuir categorias.
Métodos de deteção
Utilize este procedimento para fornecer informações do método de deteção para o item de configuração.
Nota
Esta informação só se aplica se selecionar Este item de configuração contém definições de aplicação na página geral do assistente.
Um método de deteção no Gestor de Configuração contém regras que são usadas para detetar se uma aplicação é instalada num computador. Esta deteção ocorre antes de o cliente avaliar a sua conformidade com o item de configuração. Para detetar se uma aplicação está instalada, pode detetar a presença de um ficheiro do Windows Installer para a aplicação, utilizar um script personalizado ou selecionar Assumir sempre que a aplicação está instalada para avaliar o item de configuração relativamente à compatibilidade, independentemente se a aplicação está instalada.
Para detetar uma instalação de aplicação utilizando o ficheiro Windows Instalador
Na página métodos de deteção do Assistente de Produto de Configuração, selecione a opção de utilização Windows deteção do instalador.
Selecione Abrir, navegue no ficheiro Windows Instalador (.msi) que pretende detetar e, em seguida, selecione Abrir.
O campo Versão povoa automaticamente com o número de versão do ficheiro Windows Instalador. Se o valor apresentado estiver incorreto, insira um novo número de versão aqui.
Se pretender detetar cada perfil de utilizador no computador, selecione Esta aplicação está instalada para um ou mais utilizadores.
Para detetar uma aplicação e um tipo de implementação específicos
Na página métodos de deteção do Assistente de Produto de Configuração, selecione para Detetar uma aplicação e tipo de implementação específicos. Escolha Selecionar.
Na caixa de diálogo Especificar Aplicação, selecione a aplicação e um tipo de implementação associados que pretende detetar.
Para detetar uma instalação de aplicações utilizando um script personalizado
Quando um Windows PowerShell script funciona como um método de deteção, o cliente do Gestor de Configuração chama PowerShell com o -NoProfile
parâmetro. Esta opção inicia o PowerShell sem perfis. Um perfil PowerShell é um script que funciona quando o PowerShell começa.
Na página métodos de deteção do Assistente de Produto de Configuração, selecione a opção de utilizar um script personalizado para detetar esta aplicação.
Na lista, selecione o idioma do script. Escolha entre os seguintes formatos:
VBScript
JScript
PowerShell
Selecione Abrir, navegue no script que pretende utilizar e, em seguida, selecione Abrir.
Importante
Ao utilizar um script PowerShell assinado, certifique-se de que seleciona Open. Não podes usar cópia e pasta para um guião assinado.
Especificar plataformas suportadas
Na página de Plataformas Suportadas do Assistente de Produto de Configuração, selecione as versões Windows nas quais pretende que o item de configuração seja avaliado para conformidade ou escolha Selecione tudo.
Também pode especificar manualmente a versão de Windows. Selecione Adicione e especifique cada parte do número de construção Windows.
Nota
Ao especificar Windows Server 2016, a seleção para All Windows Server 2016 and higher 64-bit)
também inclui Windows Server 2019. Para especificar apenas Windows Server 2016, utilize a opção para especificar manualmente a versão de Windows.
Configurar definições
Utilize este procedimento para configurar as definições no item de configuração.
As definições representam as condições empresariais ou técnicas utilizadas para avaliar a compatibilidade nos dispositivos cliente. Pode configurar uma nova definição ou navegar para uma definição existente num computador de referência.
Na página Definições do 'Assistente de itens de configuração' ('' Criar' (') selecione Novo.
No separador Geral da caixa de diálogo Criar Definição, forneça as seguintes informações:
Nome: Introduza um nome único para a definição. Pode utilizar até 256 carateres.
Descrição: Introduza uma descrição para a definição. Pode utilizar até 256 carateres.
Tipo de definição: Na lista, escolha e configufique um dos seguintes tipos de definição a utilizar para esta definição:
Tipo de dados: Escolha o formato em que a condição devolve os dados antes de ser utilizado para avaliar a definição. A lista de tipos de dados não é apresentada para todos os tipos de definição.
Dica
O tipo de dados de ponto flutuante suporta apenas três dígitos após o ponto decimal.
Configure detalhes adicionais sobre esta definição na lista Tipo de definição. Os itens que pode configurar variam consoante o tipo de definição selecionado.
Selecione OK para guardar a definição e feche a caixa de diálogo 'Configurar' 'Configurar'.
Consulta de diretório ativo
Prefixo LDAP: Especifique um prefixo válido na consulta de Serviços de Domínio do Diretório Ativo para avaliar a conformidade nos computadores clientes. Para fazer uma pesquisa global de catálogos, utilize
LDAP://
GC://
ou.Nome Distinto (DN): Especifique o nome distinto do objeto Ative Directory Domain Services que é avaliado para o cumprimento nos computadores clientes.
Filtro de pesquisa: Especifique um filtro LDAP opcional para refinar os resultados da consulta Ative Directory Domain Services para avaliar a conformidade nos computadores clientes. Para devolver todos os resultados da consulta, insira
(objectclass=*)
.Âmbito de pesquisa: Especifique o âmbito de pesquisa nos Serviços de Domínio do Diretório Ativo
Base: Consultas apenas o objeto especificado
One Level: Esta opção não é utilizada nesta versão do Gestor de Configuração
Subtree: Questiona o objeto especificado e a sua subtree completa no diretório
Propriedade: Especifique a propriedade do objeto Ative Directory Domain Services que é usado para avaliar a conformidade nos computadores clientes.
Por exemplo, se pretender consultar a propriedade Ative Directory que armazena o número de vezes que um utilizador introduz incorretamente uma palavra-passe, introduza
badPwdCount
neste campo.Consulta: Exibe a consulta construída a partir das entradas no prefixo LDAP, nome distinto (DN), Filtro de Pesquisa (se especificado) e Propriedade.
Montagem
Uma assemblagem é um fragmento de código que pode ser partilhado entre aplicações. As assemblagens podem ter a extensão de nome de ficheiro .dll ou .exe. A cache de montagem global é a pasta %SystemRoot%\Assembly
nos computadores clientes. Esta cache é onde Windows armazena todas as assembleias partilhadas.
- Nome da assemblagem: especifica o nome do objeto de assemblagem a procurar. O nome não pode ser o mesmo que outros objetos de montagem do mesmo tipo. Primeiro registe-o na cache de montagem global. O nome da assemblagem pode ter até 256 carateres.
Sistema de ficheiros
Tipo: Na lista, selecione se pretende procurar um Ficheiro ou uma Pasta.
Caminho: Especifique o caminho do ficheiro especificado ou pasta nos computadores clientes. Pode especificar variáveis ambientais do sistema e a
%USERPROFILE%
variável ambiental no caminho.O tipo de definição do sistema de ficheiros não suporta especificar um caminho UNC para uma partilha de rede na caixa Path.
Se utilizar a
%USERPROFILE%
variável ambiente nas caixas de nome Path ou File ou pasta, o cliente Do Gestor de Configuração pesquisa todos os perfis de utilizador no computador cliente. Este comportamento pode resultar na descoberta de múltiplas instâncias do ficheiro ou da pasta.Se as definições de conformidade não tiverem acesso ao caminho especificado, é gerado um erro de descoberta. Além disso, se o ficheiro que está a procurar estiver atualmente em utilização, é gerado um erro de deteção.
Dica
Selecione Navegar para configurar a definição a partir de valores num computador de referência.
Nome do ficheiro ou da pasta: Especifique o nome do ficheiro ou objeto de pasta a procurar. Pode especificar variáveis de ambiente do sistema e a
%USERPROFILE%
variável ambiente no nome do ficheiro ou da pasta. Também pode utilizar os wildcards*
e o nome do?
ficheiro.- Se especificar um nome de ficheiro ou pasta e utilizar wildcards, esta combinação pode produzir um número elevado de resultados. Também pode resultar numa elevada utilização de recursos no computador cliente e no tráfego de rede elevado ao reportar resultados ao Gestor de Configuração.
Incluir sub-dobradores: Procure também quaisquer sub-dobradeiras sob o caminho especificado.
Este ficheiro ou pasta está associado a uma aplicação de 64 bits: Se ativado, basta pesquisar localizações de ficheiros de 64 bits, tais como
%ProgramFiles%
em computadores de 64 bits. Se esta opção não estiver ativada, procure locais de 64 bits e locais de 32 bits, tais como%ProgramFiles(x86)%
.- Se o mesmo ficheiro ou pasta existir em ambas as localizações no mesmo computador de 64 bits, são detetados múltiplos ficheiros pela condição global.
Metabase IIS
Caminho da metabase: Especifique um caminho válido para a metabase Serviços de Informação Internet (IIS). Por exemplo,
/LM/W3SVC/
.ID de propriedade: Especifique a propriedade numérica da definição de metabase IIS.
Chave de registo
Colmeia: Selecione a colmeia de registo que pretende pesquisar
- Selecione Navegar para configurar a definição a partir de valores num computador de referência. Para navegar por uma chave de registo num computador remoto, ative o serviço de Registo Remoto no computador remoto.
Tecla: Especifique o nome da chave de registo que pretende procurar. Utilize o formato
key\subkey
.Esta chave de registo está associada a uma aplicação de 64 bits: Procure chaves de registo de 64 bits, além das chaves de registo de 32 bits nos clientes que estão a executar uma versão de 64 bits de Windows.
- Se a mesma chave de registo existir nas localizações do registo de 64 bits e de 32 bits no mesmo computador de 64 bits, a condição global deteta ambas as chaves de registo.
Valor do registo
Colmeia: Selecione a colmeia de registo para procurar.
- Selecione Navegar para configurar a definição a partir de valores num computador de referência. Para navegar por um valor de registo num computador remoto, ative o serviço de Registo Remoto no computador remoto. Também precisa de permissões de administrador para aceder ao computador remoto.
Tecla: Especifique o nome da chave de registo para procurar. Utilize o formato
key\subkey
.Valor: Especifique o valor que deve ser contido na chave de registo especificada.
Esta chave de registo está associada a uma aplicação de 64 bits: Procure as chaves de registo de 64 bits, além das chaves de registo de 32 bits nos clientes que estão a executar uma versão de 64 bits de Windows.
- Se a mesma chave de registo existir nas localizações do registo de 64 bits e de 32 bits no mesmo computador de 64 bits, a condição global deteta ambas as chaves de registo.
Roteiro
O valor devolvido pelo script é utilizado para avaliar a compatibilidade da condição global. Por exemplo, quando utilizar VBScript, poderá utilizar o comando WScript.Echo Result para devolver o valor da variável Result à condição global. Quando utiliza Windows PowerShell como um script de descoberta ou remediação, o cliente Do Gestor de Configuração chama PowerShell com o -NoProfile
parâmetro. Esta opção inicia o PowerShell sem perfis. Um perfil PowerShell é um script que funciona quando o PowerShell começa.
Script de descoberta: Selecione Adicionar Script e insira ou navegue num script. Este script é usado para encontrar o valor. Pode utilizar scripts do Windows PowerShell, VBScript ou Microsoft JScript.
Script de remediação (opcional): Selecione Adicionar Script e insira ou navegue num script. Este script é utilizado para remediar valores de definição não conformes. Pode utilizar scripts do Windows PowerShell, VBScript ou Microsoft JScript.
Executar scripts utilizando as credenciais de utilizador iniciadas: Se ativar esta opção, o script funciona em computadores clientes que utilizam as credenciais do utilizador inscrito.
Importante
Ao utilizar um script PowerShell assinado, certifique-se de que seleciona Open. Não podes usar cópia e pasta para um guião assinado.
consulta SQL
SQL Server instância: Escolha se deseja que a consulta SQL seja executada na instância padrão, em todas as instâncias ou num nome especificado de instância de base de dados. O nome da instância deve referir-se a uma instância local do SQL Server. Para se referir a um SQL Server Sempre On failover cluster ou grupo de disponibilidade, utilize uma definição de script.
Base de dados: Especificar o nome da base de dados Microsoft SQL Server com a qual pretende executar a consulta SQL.
Coluna: Especificar o nome da coluna devolvido pela declaração transact-SQL que é usada para avaliar a conformidade da condição global.
Declaração de SQL transact-SQL: Especifique a consulta completa SQL que pretende utilizar para a condição global. Para utilizar uma consulta de SQL existente, selecione Open.
Importante
SQL as definições de consulta não suportam nenhum SQL comandos que modifiquem a base de dados. Apenas pode utilizar comandos SQL que leem as informações da base de dados.
Consulta WQL
Espaço de nome : Especifique o espaço de nome WMI que é avaliado para conformidade nos computadores clientes. O valor predefinido é
root\cimv2
.Classe: Especificar a classe WMI-alvo no espaço de nome acima.
Propriedade: Especifique a propriedade WMI alvo na classe acima.
Consulta WQL CLÁUSULA WHERE: Especifique uma cláusula de qualificação para reduzir os resultados. Por exemplo, para apenas consultar o serviço DHCP na classe Win32_Service, a cláusula WHERE poderia ser
Name = 'DHCP' and StartMode = 'Auto'
.
Consulta XPath
Caminho: Especifique o caminho do ficheiro .xml nos computadores clientes que é utilizado para avaliar a conformidade. O Gestor de Configuração suporta a utilização de todas as variáveis de ambiente do sistema Windows e a variável do
%USERPROFILE%
utilizador no nome do caminho.Nome do ficheiro XML: Especifique o nome do ficheiro que contém a consulta XML no caminho acima.
Incluir sub-dobradores: Ative esta opção para pesquisar quaisquer sub-dobradeiras sob o caminho especificado.
Este ficheiro está associado a uma aplicação de 64 bits: Procure a localização do ficheiro do sistema de 64
%Windir%\System32
bits, além da localização do ficheiro do sistema de 32%Windir%\Syswow64
bits nos clientes do Gestor de Configuração que estão a executar uma versão de 64 bits de Windows.Consulta XPath: Especifique uma consulta válida de linguagem de trajetória XML (XPath).
Espaços de nome : Identifique espaços de nome e prefixos a serem utilizados durante a consulta XPath.
Se tentar descobrir um ficheiro .xml encriptado, as definições de conformidade encontram o ficheiro, mas a consulta XPath não produz resultados. O cliente Do Gestor de Configuração não gera um erro.
Se a consulta XPath não for válida, a definição é avaliada como incompatível com computadores clientes.
Configurar regras de compatibilidade
As regras de compatibilidade especificam as condições que definem a compatibilidade de um item de configuração. Antes de poder ser avaliada a compatibilidade de uma definição, tem de ter, pelo menos, uma regra de compatibilidade. O WMI, o registo e as definições de script permitem remediar os valores considerados não compatíveis. Pode criar novas regras ou navegar para uma definição existente em qualquer item de configuração para selecionar regras no mesmo.
Para criar uma regra de compatibilidade
Na página 'Regras de Conformidade' do Assistente de Produto de Configuração Criar, selecione Novo.
Na caixa de diálogo Criar Regra, forneça as seguintes informações:
Nome: Introduza um nome para a regra de conformidade.
Descrição: Introduza uma descrição para a regra de conformidade.
Definição selecionada: Selecione Navegue para abrir a caixa de diálogo Select Setting. Selecione a definição para a qual pretende definir uma regra ou selecione Nova Definição. Quando terminar, escolha Select.
Dica
Para ver informações sobre a definição atualmente selecionada, selecione Propriedades.
Tipo de regra: Selecione o tipo de regra de conformidade que pretende utilizar:
Valor: Crie uma regra que compare o valor devolvido pelo item de configuração com um valor que especifique. Para obter mais informações sobre as definições adicionais, consulte as regras de valor.
Existencial: Crie uma regra que avalie a definição dependendo se existe num dispositivo cliente ou no número de vezes que encontra. Para obter mais informações sobre as definições adicionais, consulte as regras existenciais.
Selecione OK para fechar a caixa de diálogo 'Criar Regra'.
Regras de valor
Propriedade: A propriedade do objeto a verificar varia consoante a definição selecionada. As propriedades disponíveis variam em função do tipo de configuração.
A definição deve estar em conformidade com o seguinte...: As regras ou permissões disponíveis variam em função do tipo de regulação.
Remediar regras não conformes quando suportados: Selecione esta opção para O Gestor de Configuração para remediar automaticamente regras não conformes. O Gestor de Configuração suporta esta ação com os seguintes tipos de regras:
Valor do registo: Se não for conforme, o cliente define o valor do registo. Se não existir, o cliente cria o valor.
Script: O cliente utiliza o roteiro de remediação especificado com a definição.
Consulta WQL
Importante
Só pode remediar regras incompatíveis quando o operador de regra estiver definido como É igual a.
Reportar incumprimento se esta instância de definição não for encontrada: Se esta definição não for encontrada em computadores clientes, ative esta opção para o item de configuração reportar incumprimento.
Gravidade do incumprimento dos relatórios: Especifique o nível de gravidade relatado no Gestor de Configuração se esta regra de conformidade falhar. Estão disponíveis os seguintes níveis de gravidade:
- Nenhuma
- Informações
- Aviso
- Crítico
- Crítico com o evento: Os computadores que falham nesta regra de conformidade reportam uma falha de gravidade da Critical. Este nível de gravidade é também registado como um evento do Windows no registo de eventos de aplicações.
Regras existenciais
Nota
As opções apresentadas podem variar dependendo do tipo de definição para o qual está a configurar uma regra.
A definição tem de existir nos dispositivos cliente
A definição não pode existir nos dispositivos cliente
A definição ocorre o número de vezes seguinte:
Gravidade do incumprimento dos relatórios: Especifique o nível de gravidade relatado no Gestor de Configuração se esta regra de conformidade falhar. Estão disponíveis os seguintes níveis de gravidade:
- Nenhuma
- Informações
- Aviso
- Crítico
- Crítico com o evento: Os computadores que falham nesta regra de conformidade reportam uma falha de gravidade da Critical. Este nível de gravidade é também registado como um evento do Windows no registo de eventos de aplicações.
Remediações de item de configuração de faixa
(Introduzido na versão 2002)
A partir da versão 2002 do Gestor de Configuração, pode rastrear o histórico de remediação quando suportado nas regras de conformidade do item de configuração. Quando esta opção está ativada, qualquer remediação que ocorra no cliente para o item de configuração gera uma mensagem de estado. O histórico está armazenado na base de dados do Gestor de Configuração.
Construa relatórios personalizados para ver o histórico de remediação utilizando a visão pública v_CIRemediationHistory. A RemediationDate
coluna é a hora, na UTC, o cliente executou a reparação. Identifica ResourceID
o dispositivo. Construir relatórios personalizados com a vista v_CIRemediationHistory ajuda-o:
- Identifique possíveis problemas com os seus scripts de reparação
- Encontre tendências em remediações como um cliente que é consistentemente incompatível com cada ciclo de avaliação.
Ativar o histórico de remediação da Faixa quando tiver sido suportada
- Para novos itens de configuração, adicione o histórico de remediação track quando tiver a opção suportada no separador Regras de Conformidade quando criar uma nova definição na página Definições do assistente.
- Para os itens de configuração existentes, adicione o histórico de remediação track quando a opção suportada no separador Regras de Conformidade no item de configuração Propriedades.