Exempelscenario för att distribuera och hantera Configuration Manager-klienter på Windows Embedded-enheter

Gäller för: Configuration Manager (aktuell gren)

Det här scenariot visar hur du kan hantera skrivfilteraktiverade Windows Embedded-enheter med Configuration Manager. Om dina inbäddade enheter inte stöder skrivfilter fungerar de som standard Configuration Manager klienter och dessa procedurer gäller inte.

Coho Vineyard & Winery öppnar ett besökscenter och behöver kiosker som kör Windows Embedded för att köra interaktiva presentationer. Byggnaden för det nya besökscentret ligger inte nära IT-avdelningen, så kioskerna måste fjärrhanteras. Förutom den programvara som kör presentationerna måste enheterna köra uppdaterad programvara för skydd mot skadlig kod för att uppfylla företagets säkerhetsprinciper. Kioskerna måste köras 7 dagar i veckan, utan avbrott medan besökscentret är öppet.

Coho kör redan Configuration Manager för att hantera enheter i nätverket. Configuration Manager har konfigurerats för att köra Endpoint Protection och installera programuppdateringar och program. Men eftersom IT-teamet inte har hanterat Windows Embedded-enheter tidigare kör Configuration Manager-administratören en pilot för att hantera två kiosker i receptionslobbyn.

För att hantera dessa Windows Embedded-enheter som är skrivfilteraktiverade utför Configuration Manager administratör följande steg för att installera Configuration Manager-klienten, skydda klienten med hjälp av Endpoint Protection och installera den interaktiva presentationsprogramvaran.

1. Configuration Manager-administratören (Admin) läser hur Windows Embedded-enheter använder skrivfilter och hur Configuration Manager kan göra det enklare genom att automatiskt inaktivera och sedan återaktivera skrivfiltren för att bevara en programvaruinstallation.

   Mer information finns i Planera för klientdistribution till Windows Embedded-enheter.

2. Innan Admin installerar Configuration Manager-klienten skapar Admin en ny frågebaserad enhetssamling för Windows Embedded-enheterna. Eftersom företaget använder standardnamnformat för att identifiera sina datorer kan Admin unikt identifiera Windows Embedded-enheter med de första sex bokstäverna i datornamnet: WEMDVC. Admin använder följande WQL-fråga för att skapa den här samlingen: välj SMS_R_System.NetbiosName från SMS_R_System där SMS_R_System.NetbiosName som "WEMDVC%"

   Med den här samlingen kan Admin hantera Windows Embedded-enheter med olika konfigurationsalternativ från de andra enheterna. Den Admin använder den här samlingen för att styra omstarter, distribuera Endpoint Protection med klientinställningar och distribuera det interaktiva presentationsprogrammet.

   Se Så här skapar du samlingar.

3. Admin konfigurerar samlingen för en underhållsperiod för att säkerställa att omstarter som kan krävas för att installera presentationsprogrammet och eventuella uppgraderingar inte sker under öppettiderna för besökscentret. Öppettiderna är 09:00 till 18:00, måndag till söndag. Admin konfigurerar underhållsperioden för varje dag, 18:30 till 06:00.

4. Mer information finns i Använda underhållsperioder.

5. Admin konfigurerar sedan en anpassad enhetsklientinställning för att installera Endpoint Protection-klienten genom att välja Ja för följande inställningar och distribuerar sedan den här anpassade klientinställningen till Windows Embedded-enhetssamlingen:

   • Installera Endpoint Protection-klienten på klientdatorer

   • För Windows Embedded-enheter med skrivfilter genomför du Endpoint Protection-klientinstallationen (kräver omstart)

   • Tillåt att endpoint Protection-klientinstallation och omstart utförs utanför underhållsperioder

     När Configuration Manager-klienten har installerats installerar de här inställningarna Endpoint Protection-klienten och ser till att den sparas i operativsystemet som en del av installationen, i stället för att endast skrivas till överlägget. Företagets säkerhetsprinciper kräver att programmet mot skadlig kod alltid är installerat och att Admin inte vill riskera att kioskerna är oskyddade ens under en kort tidsperiod om de startas om.

   Obs!

   De omstarter som krävs för att installera Endpoint Protection-klienten är en engångshändelse som inträffar under installationsperioden för enheterna och innan besökarcentret används. Till skillnad från den periodiska distributionen av program eller programdefinitionsuppdateringar är Endpoint Protection-klienten förmodligen installerad på samma enhet när företaget uppgraderar till nästa version av Configuration Manager.

   Mer information finns i Konfigurera Endpoint Protection.

6. När konfigurationsinställningarna för klienten nu är på plats förbereder Admin att installera Configuration Manager-klienterna. Innan Admin kan installera klienterna måste de inaktivera skrivfiltret manuellt på Windows Embedded-enheterna. Admin läser OEM-dokumentationen som medföljer kioskerna och följer instruktionerna för att inaktivera skrivfiltren.

   Admin byter namn på enheten så att den använder företagets standardnamnsformat och installerar sedan klienten manuellt genom att köra CCMSetup med följande kommando från en mappad enhet som innehåller klientkällfilerna: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Det här kommandot installerar klienten, tilldelar klienten till hanteringsplatsen som har intranätets FQDN för mpserver.cohovineyardandwinery.com och tilldelar klienten till den primära platsen med namnet CO1.

   Admin vet att det alltid tar ett tag för klienter att installera och skicka tillbaka sin status till platsen. Därför väntar Admin innan de bekräftar att klienterna har installerats, tilldelar platsen och visas som klienter i samlingen som de skapade för Windows Embedded-enheter.

   Som ytterligare bekräftelse kontrollerar Admin egenskaperna för Configuration Manager i Kontrollpanelen på enheterna och jämför dem med vanliga Windows-datorer som hanteras av platsen. På fliken Komponenter visar maskinvaruinventeringsagenten till exempel Aktiverad, och på fliken Åtgärder finns det 11 tillgängliga åtgärder, bland annat utvärderingscykeln för programdistribution och insamlingscykeln för identifieringsdata.

   Säker på att klienterna har installerats, tilldelats och tagit emot klientprincip från hanteringsplatsen, Admin aktiverar sedan skrivfiltren manuellt genom att följa instruktionerna från OEM-tillverkaren.

   Mer information finns i:

   • Så här distribuerar du klienter till Windows-datorer

   • Så här tilldelar du klienter till en webbplats

7. Nu när Configuration Manager-klienten är installerad på Windows Embedded-enheterna bekräftar Admin att de kan hantera dem på samma sätt som de hanterar windows-standardklienter. Från Configuration Manager-konsolen kan Admin till exempel fjärrhantera dem med hjälp av fjärrstyrning, initiera klientprincip för dem och visa klientegenskaper och maskinvaruinventering.

   Eftersom dessa enheter är anslutna till en Active Directory-domän behöver Admin inte godkänna dem manuellt som betrodda klienter och bekräftar från Configuration Manager-konsolen att de är godkända.

   Mer information finns i Så här hanterar du klienter.

8. Om du vill installera den interaktiva presentationsprogramvaran kör Admin guiden Distribuera programvara och konfigurerar ett obligatoriskt program. På sidan Användarupplevelse i guiden, i avsnittet Skriv filterhantering för Windows Embedded-enheter , accepterar de standardalternativet som väljer Checka in ändringar vid tidsgränsen eller under en underhållsperiod (kräver omstarter).

   Admin behåller det här standardalternativet för skrivfilter för att säkerställa att programmet bevaras efter en omstart, så att det alltid är tillgängligt för besökare som använder kioskerna. Den dagliga underhållsperioden ger en säker period då omstarter för installation och eventuella uppdateringar kan ske.

   Admin distribuerar programmet till samlingen Windows Embedded-enheter.

   Mer information finns i Så här distribuerar du program med Configuration Manager.

9. För att konfigurera definitionsuppdateringar för Endpoint Protection använder Admin programuppdateringar och kör guiden Skapa regel för automatisk distribution. De väljer mallen Definition Uppdateringar för att fylla i guiden i förväg med inställningar som är lämpliga för Endpoint Protection.

   De här inställningarna inkluderar följande på sidan Användarupplevelse i guiden:

   • Beteende för tidsgräns: Kryssrutan Programvaruinstallation är inte markerad.

   • Skrivfilterhantering för Windows Embedded-enheter: Kryssrutan Checka in ändringar vid tidsgränsen eller under en underhållsperiod (kräver omstarter) är inte markerad.

     Admin behåller dessa standardinställningar. Tillsammans tillåter dessa två alternativ med den här konfigurationen att alla programuppdateringsdefinitioner för Endpoint Protection installeras i överlägget under dagen och inte väntar på att installeras och checkas in under underhållsperioden. Den här konfigurationen uppfyller bäst företagets säkerhetsprincip för datorer som ska köra uppdaterat skydd mot skadlig kod.

     Obs!

     Till skillnad från programinstallationer kan programuppdateringsdefinitioner för Endpoint Protection förekomma mycket ofta, även flera gånger om dagen. De är ofta små filer. För de här typerna av säkerhetsrelaterade distributioner kan det ofta vara bra att alltid installera till överlägget i stället för att vänta tills underhållsfönstret. Configuration Manager-klienten installerar snabbt om programdefinitionsuppdateringarna om enheten startas om eftersom den här åtgärden initierar en utvärderingskontroll och inte väntar till nästa schemalagda utvärdering.

     Admin väljer samlingen Windows Embedded-enheter för regeln för automatisk distribution.

     Mer information finns i
     Steg 3: Konfigurera Configuration Manager Software Uppdateringar för att leverera definition Uppdateringar till klientdatorer i Konfigurera Endpoint Protection

10. Admin bestämmer sig för att konfigurera en underhållsaktivitet som regelbundet checkar in alla ändringar i överlägget. Den här uppgiften är att stödja distributionen av programuppdateringsdefinitioner för att minska antalet uppdateringar som ackumuleras och måste installeras igen, varje gång enheten startas om. I Admin hjälper detta program mot skadlig kod att köras mer effektivt.

    Obs!

    Dessa programuppdateringsdefinitioner skulle automatiskt checkas in på avbildningen om de inbäddade enheterna körde en annan hanteringsuppgift som stödde incheckningen av ändringarna. Om du till exempel installerar en ny version av den interaktiva presentationsprogramvaran checkas även ändringarna in för programuppdateringsdefinitioner. Eller så kan installation av standardprogramuppdateringar varje månad som installeras under underhållsperioden också genomföra ändringarna för programuppdateringsdefinitioner. Men i det här scenariot, där standardprogramuppdateringar inte körs och den interaktiva presentationsprogramvaran sannolikt inte kommer att uppdateras särskilt ofta, kan det ta månader innan programdefinitionsuppdateringarna automatiskt checkas in på avbildningen.

    Den Admin skapar först en anpassad aktivitetssekvens som inte har några andra inställningar än namnet. De kör guiden Skapa aktivitetssekvens:

    1. På sidan Skapa en ny aktivitetssekvens väljer Admin Skapa en ny anpassad aktivitetssekvens och klickar sedan på Nästa.

    2. På sidan Aktivitetssekvensinformation anger Admin Underhållsaktivitet för att checka in ändringar på inbäddade enheter för aktivitetssekvensnamnet och klickar sedan på Nästa.

    3. På sidan Sammanfattning väljer Admin Nästa och slutför guiden.

       Admin distribuerar sedan den här anpassade aktivitetssekvensen till samlingen Windows Embedded-enheter och konfigurerar schemat så att det körs varje månad. Som en del av distributionsinställningarna markerar de kryssrutan Checka in ändringar vid tidsgränsen eller under en underhållsperiod (kräver omstarter) för att spara ändringarna efter en omstart. För att konfigurera den här distributionen väljer Admin den anpassade aktivitetssekvens som de nyss skapade och klickar sedan på Distribuera i gruppen Distribution på fliken Start för att starta guiden Distribuera programvara:

    4. På sidan Allmänt väljer Admin samlingen Windows Embedded-enheter och klickar sedan på Nästa.

    5. På sidan Distributionsinställningar väljer Admin Syftet medobligatoriskt och klickar sedan på Nästa.

    6. På sidan Schemaläggning klickar Admin på Ny för att ange ett veckoschema under underhållsperioden och klickar sedan på Nästa.

    7. Admin slutför guiden utan ytterligare ändringar.

       Mer information finns i
       Hantera aktivitetssekvenser för att automatisera aktiviteter.

11. För att helskärmslägena ska köras automatiskt skriver Admin ett skript för att konfigurera enheterna för följande inställningar:

    • Logga in automatiskt med ett gästkonto som inte har något lösenord.

    • Kör automatiskt den interaktiva presentationsprogramvaran vid start.

      Admin använder paket och program för att distribuera det här skriptet till samlingen Windows Embedded-enheter. När Admin kör guiden Distribuera programvara markerar de återigen kryssrutan Checka in ändringar vid tidsgränsen eller under en underhållsperiod (kräver omstarter) för att spara ändringarna efter en omstart.

      Mer information finns i Paket och program.

12. Följande morgon kontrollerar Admin Windows Embedded-enheterna. De bekräftar följande:

    • Kiosken loggas automatiskt in med hjälp av gästkontot.

    • Den interaktiva presentationsprogramvaran körs.

    • Endpoint Protection-klienten är installerad och har de senaste definitionerna för programuppdatering.

    • Att enheten startades om under underhållsperioden.

      Mer information finns i:

    • Övervaka Endpoint Protection

    • Övervaka program med Configuration Manager

13. Admin övervakar kioskerna och rapporterar en lyckad hantering av dem till sin chef. Därför beställs 20 kiosker till besökscentret.

    För att undvika manuell installation av Configuration Manager-klienten, som kräver manuellt inaktivering och aktivering av skrivfiltren, säkerställer Admin att ordern innehåller en anpassad avbildning som redan innehåller installation och platstilldelning av Configuration Manager-klienten. Dessutom namnges enheterna enligt företagets namngivningsformat.

    Kioskerna levereras till besökscentret en vecka innan det öppnas. Under den här tiden är kioskerna anslutna till nätverket, all enhetshantering för dem sker automatiskt och ingen lokal administratör krävs. Admin bekräftar att kioskerna fungerar efter behov:

    • Klienterna i kioskerna slutför platstilldelningen och laddar ned den betrodda rotnyckeln från Active Directory Domain Services.

    • Klienterna i kioskerna läggs automatiskt till i samlingen Windows Embedded-enheter och konfigureras med underhållsperioden.

    • Endpoint Protection-klienten är installerad och har de senaste definitionerna för programuppdatering för skydd mot skadlig kod.

    • Den interaktiva presentationsprogramvaran installeras och körs automatiskt, redo för besökare.

14. Efter den här inledande installationen sker alla omstarter som kan krävas för uppdateringar endast när besökarcentret stängs.