Пример сценария развертывания клиентов Configuration Manager на устройствах Windows Embedded и управления ими

Относится к Configuration Manager (Current Branch)

В этом сценарии показано, как управлять устройствами Windows Embedded с поддержкой фильтра записи с помощью Configuration Manager. Если внедренные устройства не поддерживают фильтры записи, они ведут себя как стандартные Configuration Manager клиентах, и эти процедуры не применяются.

Coho Vineyard & Winery открывает центр для посетителей и нуждается в киосках под управлением Windows Embedded для запуска интерактивных презентаций. Здание нового центра для посетителей не близко к ИТ-отделу, поэтому киоски должны управляться удаленно. В дополнение к программному обеспечению, которое запускает презентации, эти устройства должны работать под управлением актуального программного обеспечения защиты от вредоносных программ в соответствии с политиками безопасности компании. Киоски должны работать 7 дней в неделю, без простоев, пока центр посетителей открыт.

Coho уже запускает Configuration Manager для управления устройствами в своей сети. Configuration Manager настроен для запуска Endpoint Protection и установки обновлений программного обеспечения и приложений. Тем не менее, так как ИТ-команда ранее не управляла устройствами Windows Embedded, администратор Configuration Manager запускает пилотную версию для управления двумя киосками в зале регистрации.

Чтобы управлять этими устройствами Windows Embedded с поддержкой фильтра записи, Configuration Manager администратор выполняет следующие действия для установки клиента Configuration Manager, защиты клиента с помощью Endpoint Protection и установки программного обеспечения для интерактивной презентации.

1. Администратор Configuration Manager (Администратор) считывает, как устройства Windows Embedded используют фильтры записи и как Configuration Manager могут упростить эту задачу, автоматически отключая и повторно включив фильтры записи для сохранения установки программного обеспечения.

   Дополнительные сведения см. в разделе Планирование развертывания клиентов на устройствах Windows Embedded.

2. Прежде чем Администратор установит клиент Configuration Manager, Администратор создает новую коллекцию устройств на основе запросов для устройств Windows Embedded. Поскольку компания использует стандартные форматы именования для идентификации своих компьютеров, Администратор может однозначно идентифицировать устройства Windows Embedded по первым шести буквам имени компьютера: WEMDVC. Для создания этой коллекции Администратор использует следующий запрос WQL: выберите SMS_R_System.NetbiosName из SMS_R_System, где SMS_R_System.NetbiosName, например WEMDVC%.

   Эта коллекция позволяет Администратор управлять устройствами Windows Embedded с другими параметрами конфигурации. Администратор будет использовать эту коллекцию для управления перезапусками, развертывания Endpoint Protection с параметрами клиента и развертывания приложения интерактивной презентации.

   См . статью Создание коллекций.

3. Администратор настраивает коллекцию для периода обслуживания, чтобы убедиться, что перезапуски, которые могут потребоваться для установки приложения презентации, и обновления не происходили в часы работы центра посетителей. Часы работы будут с 09:00 до 18:00 с понедельника по воскресенье. Администратор настраивает период обслуживания каждый день с 18:30 до 06:00.

4. Дополнительные сведения см. в разделе Использование периодов обслуживания.

5. Затем Администратор настраивает настраиваемый параметр клиента устройства для установки клиента Endpoint Protection, выбрав Да для следующих параметров, а затем развертывает этот настраиваемый параметр клиента в коллекции устройств Windows Embedded:

   • Установка клиента Endpoint Protection на клиентских компьютерах

   • Для устройств Windows Embedded с фильтрами записи фиксация установки клиента Endpoint Protection (требуется перезагрузка)

   • Разрешить установку и перезапуск клиента Endpoint Protection за пределами периодов обслуживания

     Когда клиент Configuration Manager установлен, эти параметры устанавливают клиент Endpoint Protection и гарантируют, что он сохраняется в операционной системе как часть установки, а не записывается только в наложение. Политики безопасности компании требуют, чтобы антивредоносное программное обеспечение всегда устанавливалось, и Администратор не хочет риск того, что киоски не будут защищены в течение короткого периода времени, если они перезапущены.

   Примечание.

   Перезапуски, необходимые для установки клиента Endpoint Protection, являются однократными, которые происходят в течение периода установки устройств и до начала работы центра посетителей. В отличие от периодического развертывания приложений или обновлений определений программного обеспечения, в следующий раз, когда клиент Endpoint Protection будет установлен на том же устройстве, скорее всего, будет выполнено обновление компании до следующей версии Configuration Manager.

   Дополнительные сведения см. в разделе Настройка Endpoint Protection.

6. С помощью параметров конфигурации клиента Администратор готовится к установке Configuration Manager клиентов. Прежде чем Администратор сможет установить клиенты, они должны вручную отключить фильтр записи на устройствах Windows Embedded. Администратор читает документацию oem, которая сопровождает киоски, и выполняет инструкции по отключению фильтров записи.

   Администратор переименовывать устройство, чтобы оно использовало стандартный формат именования компании, а затем устанавливает клиент вручную, выполнив команду CCMSetup на сопоставленном диске, который содержит исходные файлы клиента: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Эта команда устанавливает клиент, назначает его точке управления, которая имеет полное доменное имя интрасети mpserver.cohovineyardandwinery.com, а клиент назначается основному сайту с именем CO1.

   Администратор знает, что на установку и отправку на сайт клиентов всегда требуется некоторое время. Таким образом, Администратор ожидает подтверждения успешной установки клиентов, назначения сайту и отображения в коллекции, созданной для устройств Windows Embedded.

   В качестве дополнительного подтверждения Администратор проверяет свойства Configuration Manager в панель управления на устройствах и сравнивает их со стандартными компьютерами Windows, управляемыми сайтом. Например, на вкладке Компонентыагент инвентаризации оборудования отображает значение Включено, а на вкладке Действия — 11 доступных действий, включая цикл оценки развертывания приложения и цикл сбора данных обнаружения.

   Убедив, что клиенты успешно установлены, назначены и получают политику клиента из точки управления, Администратор затем вручную включает фильтры записи, следуя инструкциям изготовителя оборудования.

   Дополнительные сведения см. в разделе:

   • Развертывание клиентов на компьютерах с Windows

   • Назначение клиентов сайту

7. Теперь, когда клиент Configuration Manager установлен на устройствах Windows Embedded, Администратор подтверждает, что они могут управлять ими так же, как и стандартными клиентами Windows. Например, из консоли Configuration Manager Администратор может удаленно управлять ими с помощью удаленного управления, инициировать для них политику клиента и просматривать свойства клиента и инвентаризацию оборудования.

   Так как эти устройства присоединены к домену Active Directory, Администратор не требуется вручную утверждать их в качестве доверенных клиентов и подтверждает из консоли Configuration Manager, что они утверждены.

   Дополнительные сведения см . в разделе Управление клиентами.

8. Чтобы установить программное обеспечение для интерактивной презентации, Администратор запускает мастер развертывания программного обеспечения и настраивает необходимое приложение. На странице Взаимодействие с пользователем мастера в разделе Обработка фильтра записи для устройств Windows Embedded они принимают параметр по умолчанию, который выбирает фиксацию изменений в крайнем сроке или во время периода обслуживания (требует перезапуска).

   Администратор сохраняет этот параметр по умолчанию для фильтров записи, чтобы обеспечить сохранение приложения после перезапуска, чтобы оно всегда было доступно для посетителей, использующих киоски. Период ежедневного обслуживания обеспечивает безопасный период, в течение которого происходит перезапуск установки и любые обновления.

   Администратор развертывает приложение в коллекции устройств Windows Embedded.

   Дополнительные сведения см. в статье Развертывание приложений с помощью Configuration Manager.

9. Чтобы настроить обновления определений для Endpoint Protection, Администратор использует обновления программного обеспечения и запускает мастер создания правила автоматического развертывания. Они выбирают шаблон Определение Обновления, чтобы предварительно заполнить мастер параметрами, подходящими для Endpoint Protection.

   Эти параметры включают следующие параметры на странице Взаимодействие с пользователем мастера:

   • Поведение по крайнему сроку: флажок Установка программного обеспечения проверка не выбран.

   • Обработка фильтра записи для устройств Windows Embedded. Не выбран проверка флажок Фиксировать изменения в крайнем сроке или во время периода обслуживания (требуется перезагрузка).

     Эти параметры по умолчанию сохраняются в Администратор. Вместе эти два параметра с такой конфигурацией позволяют устанавливать любые определения обновлений программного обеспечения для Endpoint Protection в наложении в течение дня и не ждать установки и фиксации в течение периода обслуживания. Эта конфигурация лучше всего соответствует политике безопасности компании, чтобы компьютеры выполняли последнюю защиту от вредоносных программ.

     Примечание.

     В отличие от установки программного обеспечения для приложений, определения обновлений программного обеспечения для Endpoint Protection могут выполняться очень часто, даже несколько раз в день. Часто это небольшие файлы. Для таких типов развертываний, связанных с безопасностью, часто бывает полезно всегда устанавливать на наложение, а не ждать периода обслуживания. Клиент Configuration Manager быстро переустановит обновления определений программного обеспечения, если устройство перезапустится, так как это действие инициирует проверка оценки и не ожидает следующей запланированной оценки.

     Администратор выбирает коллекцию устройств Windows Embedded для правила автоматического развертывания.

     Дополнительные сведения см. в разделе
     Шаг 3. Настройка Обновления программного обеспечения Configuration Manager для доставки Обновления определений на клиентские компьютеры в разделе Настройка Endpoint Protection

10. Администратор решает настроить задачу обслуживания, которая периодически фиксирует все изменения на наложении. Эта задача заключается в поддержке развертывания определений обновлений программного обеспечения, чтобы уменьшить количество обновлений, которые накапливаются и должны быть установлены снова при каждом перезапуске устройства. В интерфейсе Администратор это помогает более эффективно работать антивредоносным программам.

    Примечание.

    Эти определения обновлений программного обеспечения автоматически фиксируются в образе, если внедренные устройства выполняли другую задачу управления, которая поддерживала фиксацию изменений. Например, установка новой версии программного обеспечения для интерактивной презентации также зафиксирует изменения для определений обновлений программного обеспечения. Кроме того, установка стандартных обновлений программного обеспечения каждый месяц, устанавливаемая во время периода обслуживания, также может зафиксировать изменения для определений обновлений программного обеспечения. Однако в этом сценарии, когда стандартные обновления программного обеспечения не выполняются и программное обеспечение для интерактивной презентации вряд ли будет обновляться очень часто, может потребоваться несколько месяцев, прежде чем обновления определений программного обеспечения будут автоматически зафиксированы в образе.

    Сначала Администратор создает пользовательскую последовательность задач, которая не имеет параметров, кроме имени. Они запускают мастер создания последовательности задач:

    1. На странице Создание новой последовательности задач Администратор выбирает Создать новую пользовательскую последовательность задач, а затем нажмите кнопку Далее.

    2. На странице Сведения о последовательности задач Администратор вводит задачу обслуживания для фиксации изменений на внедренных устройствах в имени последовательности задач, а затем нажимает кнопку Далее.

    3. На странице Сводка Администратор выбирает Далее и завершает работу мастера.

       Затем Администратор развертывает эту пользовательскую последовательность задач в коллекции устройств Windows Embedded и настраивает расписание для выполнения каждый месяц. В рамках параметров развертывания они выбирают поле Зафиксировать изменения в крайнем сроке или во время периода обслуживания (требуется перезагрузка) проверка, чтобы сохранить изменения после перезапуска. Чтобы настроить это развертывание, Администратор выбирает только что созданную пользовательскую последовательность задач, а затем на вкладке Главная в группе Развертывание нажмите кнопку Развернуть, чтобы запустить мастер развертывания программного обеспечения:

    4. На странице Общие Администратор выбирает коллекцию устройств Windows Embedded и нажимает кнопку Далее.

    5. На странице Параметры развертывания Администратор выбирает назначениеобязательного и нажмите кнопку Далее.

    6. На странице Планирование Администратор нажимает кнопку Создать, чтобы указать еженедельное расписание во время периода обслуживания, а затем нажмите кнопку Далее.

    7. Администратор завершает работу мастера без дальнейших изменений.

       Дополнительные сведения см. в разделе
       Управление последовательностью задач для автоматизации задач.

11. Чтобы киоски запускались автоматически, Администратор создает скрипт для настройки устройств для следующих параметров:

    • Автоматически войдите в систему, используя гостевую учетную запись без пароля.

    • Автоматически запустите программное обеспечение для интерактивной презентации при запуске.

      Администратор использует пакеты и программы для развертывания этого скрипта в коллекции устройств Windows Embedded. Когда Администратор запускает мастер развертывания программного обеспечения, он снова выбирает поле Зафиксировать изменения в крайнем сроке или во время периода обслуживания (требуется перезагрузка) проверка, чтобы сохранить изменения после перезапуска.

      Дополнительные сведения см. в разделе Пакеты и программы.

12. На следующее утро Администратор проверяет устройства Windows Embedded. Они подтверждают следующее:

    • Киоск автоматически входит в систему с помощью гостевой учетной записи.

    • Работает программное обеспечение для интерактивной презентации.

    • Клиент Endpoint Protection установлен и содержит последние определения обновлений программного обеспечения.

    • Устройство перезагрузилось во время периода обслуживания.

      Дополнительные сведения см. в разделе:

    • Мониторинг Endpoint Protection

    • Мониторинг приложений с помощью Configuration Manager

13. Администратор отслеживает киоски и сообщает об успешном управлении ими своему руководителю. В результате для центра посетителей заказываются 20 киосков.

    Чтобы избежать установки клиента Configuration Manager вручную, для которого требуется вручную отключить, а затем включить фильтры записи, Администратор гарантирует, что заказ включает настраиваемый образ, который уже включает установку и назначение сайта клиента Configuration Manager. Кроме того, устройства называются в соответствии с форматом именования компании.

    Киоски доставляются в центр посетителей за неделю до его открытия. В течение этого времени киоски подключены к сети, все управление устройствами для них выполняется автоматически, и локальный администратор не требуется. Администратор подтверждает, что киоски работают по мере необходимости:

    • Клиенты на киосках завершают назначение сайта и скачивают доверенный корневой ключ с доменные службы Active Directory.

    • Клиенты в киосках автоматически добавляются в коллекцию устройств Windows Embedded и настраиваются в период обслуживания.

    • Клиент Endpoint Protection установлен и содержит последние определения обновлений программного обеспечения для защиты от вредоносных программ.

    • Программное обеспечение для интерактивной презентации устанавливается и запускается автоматически и готово для посетителей.

14. После этой начальной настройки все перезапуски, которые могут потребоваться для обновлений, происходят только в том случае, если центр посетителей закрыт.