Grunder i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Om du är nybörjare på Configuration Manager kan du läsa nedanstående information för att lära dig grunderna inom Microsoft System Center 2012 Configuration Manager innan du startar installationsprogrammet eller läser utförligare information. Om du är van vid Configuration Manager 2007, se Nyheter i System Center 2012 Configuration Manager.

Information om operativsystem och miljöer som stöds samt om maskinvarukrav och kapacitetsinformation finns i Konfigurationer som stöds för Configuration Manager.

Platser

När du installerar System Center 2012 Configuration Manager första gången skapar du en Configuration Manager-plats som är utgångspunkten för hantering av enheter och användare i din organisation. Platsen är antingen en central administrationsplats eller en primär plats. En central administrationsplats är lämpligt för storskalig distribution och ger en central, flexibel plats för hantering av enheter som distribueras i en global nätverksinfrastruktur. En primär plats är lämplig för mindre distributioner och har färre alternativ för att hantera eventuell tillväxt i organisationen.

När du installerar en central administrationsplats måste du även installera minst en primär plats för hantering av användare och enheter. Med den här strukturen kan du installera fler primära platser för att kunna hantera flera enheter och kontrollera nätverksbandbredd när enheterna finns på olika geografiska platser. Du kan även installera en s.k. sekundär plats, som är en annan typ av plats. Sekundära platser utökar en primär plats för hantering av ett fåtal enheter som har långsam nätverksanslutning till den primära platsen.

Den första plats som installeras om du inte installerar en central administrationsplats, är en fristående primär plats. Som standard kan du inte installera fler primära platser som kommunicerar med varandra. Däremot kan du installera en eller flera sekundära platser som utökar den primära platsen, om du vill hantera ett antal enheter som har långsam nätverksanslutning till den primära platsen.

Om du har installerat en fristående primär plats och du senare bestämmer dig för att använda en central administrationsplats kan du göra det med Configuration Manager SP1.Configuration Manager utan Service Pack stöder inte den här designändringen förrän du uppgraderar platsen till Configuration Manager SP1. Den här typen av designändring kallas för en platsexpansion.

Om du har fler än en plats som kommunicerar med varandra kallas hela platsarrangemanget för en hierarki. Följande diagram visar några platsdesignexempel.

Mer information finns i följande avsnitt i Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Introduktion till platsadministration i Configuration Manager

• Planera för platser och hierarkier i Configuration Manager

• Installera platser och skapa en hierarki för Configuration Manager

Publicera platsinformation till Active Directory Domain Services

Om du utökar Active Directory-schemat för System Center 2012 Configuration Manager kan du publicera System Center 2012 Configuration Manager-platser till Active Directory Domain Services, så att Active Directory-datorer kan hämta System Center 2012 Configuration Manager-platser från en betrodd källa. Publicering av platsinformation till Active Directory Domain Services är inte ett krav för grundläggande Configuration Manager-funktion, men med den här konfigurationen förbättras säkerheten i System Center 2012 Configuration Manager-hierarkin, som också blir lättare att administrera.

Du kan utöka Active Directory-schemat innan eller efter det att du installerar System Center 2012 Configuration Manager. Innan du kan publicera platsinformation måste du även skapa en Active Directory-behållare med namnet System Management i varje domän som innehåller en System Center 2012 Configuration Manager-plats. Du måste även konfigurera Active Directory-behörigheterna, så att platsen kan publicera information till Active Directory-behållaren. Som med andra scheman, kan schemat för System Center 2012 Configuration Manager utökas endast en gång per skog.

Mer information finns i följande avsnitt i Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Avgöra om du ska utöka Active Directory-schemat för Configuration Manager

• Planera publicering av platsdata i Active Directory Domain Services

• Konfigurera platser för att publicera i Active Directory Domain Services

Platssystemservrar och platssystemroller

I Configuration Manager används platssystemroller för att ge befogenhet att utföra hanteringsåtgärder på varje plats. När du installerar en Configuration Manager-plats, installeras vissa platssystemroller automatiskt, och tilldelas den server där Configuration Manager-installationen har utförts. En av dessa platssystemroller är platsservern, som du inte kan överföra till en annan server. Du kan inte heller ta bort den utan att avinstallera platsen. Du kan använda andra servrar om du vill köra flera platssystemroller eller överföra vissa platssystemroller från platsservern genom att installera och konfigurera Configuration Manager-platssystemservrar.

Varje platssystemroll har stöd för olika hanteringsfunktioner. I följande tabell beskrivs platssystemroller som ger grundläggande hanteringskapacitet.

Platssystemroll	Beskrivning
Platsserver	En dator där du startar Configuration Manager-installationen och som tillhandahåller grundläggande funktioner för platsen.
Platsdatabasserver	En server som är värd för SQL Server-databasen, som lagrar information om Configuration Manager-tillgångar och platsdata.
Komponentserver	En server som kör Configuration Manager-tjänster. När du installerar alla platssystemroller, utom distributionsplatsrollen, installeras komponentservern automatiskt i Configuration Manager.
Hanteringsplats	En platssystemroll som förser klienter med information om principer och tjänstplatser och som tar emot konfigurationsdata från klienter.
Distributionsplats	En platssystemroll som innehåller källfiler som klienter kan ladda ned: programinnehåll, programpaket, programuppdateringar, operativsystemavbildningar och startavbildningar.
Rapporteringstjänstpunkt	En platssystemroll som integreras med SQL Server Reporting Services för att skapa och hantera rapporter för Configuration Manager.

Ett företag som distribuerar Configuration Manager i en produktionsmiljö första gången, brukar köra flera platssystemroller på platsservern och använda andra platssystemservrar för distributionsplatserna. Sedan installerar företaget fler platssystemservrar och lägger till nya platssystemroller, beroende på företagskraven och nätverksinfrastrukturen.

I följande tabell beskrivs platssystemroller som du kanske måste lägga till för att få tillgång till specifika funktioner.

Platssystemroll	Beskrivning
Webbservicepunkt för programkatalog	En platssystemroll som förser programkatalogwebbplatsen med programinformation från Programbiblioteket.
Webbplatspunkt för programkatalog	En platssystemroll som förser användare med en lista över tillgängliga program från programkatalogen.
Plats för synkronisering av tillgångsinformation	En platssystemroll som ansluter till Microsoft för att ladda ned kataloginformation för tillgångsinformation och överföra ej kategoriserade titlar för eventuellt framtida införande i katalogen.
Certifikatregistreringsplats	En platssystemroll som kommunicerar med en server som kör registreringstjänsten för nätverksenheter för att hantera förfrågningar om enhetscertifikat som använder SCEP (Simple Certificate Enrollment Protocol).
Plats för slutpunktsskydd	En platssystemroll som används av Configuration Manager för att godkänna licensvillkor för slutpunktsskydd och konfigurera standardmedlemskap för Microsoft Active Protection Service.
Registreringsplats	En platssystemroll som använder PKI-certifikat för Configuration Manager för att registrera mobila enheter och Mac-datorer och för att etablera Intel AMT-baserade datorer.
Registreringsproxyplats	En platssystemroll som hanterar Configuration Manager-registreringsförfrågningar från mobila enheter och Mac-datorer.
Status för återställningsplats	En platssystemroll som hjälper dig att övervaka klientinstallationer och identifiera klienter som inte hanteras på grund av att de inte kan kommunicera med hanteringsplatsen.
Out-of-band-servicepunkt	En platssystemroll som etablerar och konfigurerar Intel AMT-baserade datorer för out-of-band-hantering.
Programuppdateringsplats	En platssystemroll som integreras med WSUS (Windows Server Update Services) för att ge programvaruuppdateringar till Configuration Manager-klienter.
Tillståndsmigreringsplats	En platssystemroll som lagrar information om användartillstånd när en dator migreras till ett nytt operativsystem.
Systemhälsoverifierarpunkt	En platssystemroll som validerar NAP-principer (Network Access Protection) för Configuration Manager. Den måste vara installerad på en NAP-hälsoprincipserver.
Microsoft Intune-anslutning	En platssystemroll i Configuration Manager SP1 som använder Microsoft Intune för att hantera mobila enheter i Configuration Manager-konsolen.

I följande diagram visas grundläggande och extra platssystemroller som du kan lägga till på platsserverdatorn eller distribuera genom att installera fler platssystemservrar.

Mer information finns i följande avsnitt i Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Planera platssystem i Configuration Manager

• Installera och konfigurera platssystemroller för Configuration Manager

Klienter

System Center 2012 Configuration Manager-klienter är enheter som arbetsstationer, bärbara datorer, servrar och mobila enheter som har installerad Configuration Manager-klientprogramvara, vilket innebär att du kan hantera dem. Hantering är alla åtgärder, exempelvis rapportering om befintliga maskinvaru- och programvarutillgångar, installation av programvara och konfigurering av inställningar, som behövs för kompatibilitet. Configuration Manager har identifieringsfunktioner som du kan använda för att hitta enheter i nätverket, så att du kan installera klientprogramvara på dem.

Configuration Manager har flera alternativ för att installera klientprogramvara på enheter. Till exempel kan du utföra push-installationer, programuppdateringsbaserade installationer, installation enligt grupprincip eller manuella installationer. Du kan även ange att klienten ska ta emot en operativsystemavbildning.

I Configuration Manager grupperar du enheter till samlingar, så att du kan utföra hanteringsuppgifter på flera enheter samtidigt. Till exempel kanske du vill installera en mobilenhetsapplikation på samtliga mobila enheter som registreras av Configuration Manager. I så fall använder du samlingen Alla mobila enheter, vilket innebär att inga datorer inkluderas när du utför åtgärden. Genom att skapa egna samlingar kan du gruppera enheter som ska hanteras enligt dina krav.

Mer information finns i följande avsnitt i Distributionsklienter för System Center 2012 Configuration Manager-handboken och Tillgångar och efterlevnad i System Center 2012 Configuration Manager-handboken:

• Introduktion till klientdistribution i Configuration Manager

• Bestämma vilken klientinstallationsmetod som ska användas för Windows-datorer i Configuration Manager

• Bestämma hur mobila enheter ska hanteras i Configuration Manager

• Introduktion till samlingar i Configuration Manager

Användarcentrerad hantering

Du kan gruppera enheter i samlingar, men du kan även använda samlingar av användare från Active Directory Domain Services. Med hjälp av användarsamlingar kan du installera programvara på alla datorer som en användare loggar in på eller så kan du konfigurera tillhörighet mellan användare och enheter, så att programvara installeras endast på användarens huvudenheter. Sådana huvudenheter kallas för primära enheter. En användare kan ha en eller flera primära enheter.

Användarna kan påverka sin programdistributionsupplevelse genom att använda Software Center, som är ett nytt klientgränssnitt. Software Center installeras automatiskt på klientdatorerna och öppnas via Start-menyn. I klientgränssnittet kan användarna hantera sina egna programvaror och utföra följande:

• Installera programvara

• Schemalägga att programvara ska installeras automatiskt efter kontorstid

• Ange när Configuration Manager ska installera programvara på den egna enheten

• Konfigurera åtkomstinställningar för fjärrstyrning, om fjärrstyrning har aktiverats i Configuration Manager

• Konfigurera alternativ för energisparfunktioner om en administrativ användare har aktiverat detta

Genom att använda en länk i Software Center kan användarna ansluta till programkatalogen där de kan bläddra efter, installera och begära programvara. I programkatalogen kan användarna också ange vissa inställningar och utföra rensning av sina mobila enheter. Eftersom programkatalogen är en webbplats som finns i IIS, kan användarna också ansluta till programkatalogen direkt i en webbläsare, från intranätet eller från Internet.

Användarna kan ange sina primära enheter från programkatalogen, om du tillåter det. Andra sätt att konfigurera tillhörighet mellan användare och enheter är att importera informationen från en fil eller att generera användningsdata automatiskt.

Mer information finns i följande avsnitt i Distributionsprogramvara och operativsystem i System Center 2012 Configuration Manager-handboken:

• Introduktion till programhantering i Configuration Manager

• Konfigurera programkatalogen och Software Center i Configuration Manager

Klientinställningar

När du har installerat System Center 2012 Configuration Manager, är alla klienter i hierarkin konfigurerade med standardklientinställningar. Dessa kan du ändra. Klientinställningarna är alternativ för exempelvis hur ofta enheterna kommunicerar med platsen, om klienten är aktiverad för programuppdateringar och andra hanteringsåtgärder och om användarna kan registrera sina mobila enheter för hantering i Configuration Manager. Om du vill använda andra klientinställningar för grupper av användare eller enheter kan du skapa egna klientinställningar och sedan koppla dem till samlingar. Användare eller enheter som finns i samlingen konfigureras med de anpassade inställningarna. Du kan skapa flera anpassade klientinställningar och aktivera dem i önskad ordning. Om du har flera anpassade klientinställningar används de efter deras ordningsnummer. Om inställningarna krockar med varandra används inställningen med det lägsta ordningsnumret först.

I följande diagram visas ett exempel på hur du kan skapa och aktivera anpassade klientinställningar.

Mer information finns i följande avsnitt i Distributionsklienter för System Center 2012 Configuration Manager-handboken:

• Så här konfigurerar du klientinställningar i Configuration Manager

• Om klientinställningar i Configuration Manager

Begränsad hantering utan klienter

System Center 2012 Configuration Manager-klientprogramvaran har kompletta hanteringsfunktioner för användare och enheter. Men det finns också två scenarier där du kan hantera enheter oberoende av klientprogramvaran: out-of-band-hantering, där Intel AMT (Active Management Technology) används och mobila enheter som är anslutna till en lokal Exchange Server eller till Exchange Online (Office 365).

Configuration Manager använder klientprogramvaran till att etablera och konfigurera datorer för AMT, men när du utför AMT-hanteringsåtgärder används inte klientprogramvaran. I stället ansluter Configuration Manager direkt till AMT-hanteringsstyrenheten. Det innebär att du fortsätter att ha viss hanteringskontroll över datorer som inte har startats eller som inte svarar på driftsystemnivå. Du kan exempelvis starta om de här datorerna, avbilda dem igen eller köra diagnosverktyg för att felsöka dem.

När du inte kan installera Configuration Manager-klientprogramvaran på mobila enheter kan du ändå hantera dem med Exchange Server-kopplingen. Med kopplingen kan du konfigurera inställningarna i standardprincipen för Exchange ActiveSync-postlådor. Alla inställningar som definieras i den här principen kan konfigureras med Configuration Manager och kopplingen stödjer också fjärrensning Exchange-åtkomstregler för blockering och karantän. Alla mobila enheter som du hanterar med Exchange Server-kopplingen visas i samlingen Alla mobila enheter, även om System Center 2012 Configuration Manager-klienten inte är installerad på enheten. Eftersom klienten inte är installerad kan du inte distribuera programvara på de här enheterna.

Mer information finns i följande avsnitt i Tillgångar och efterlevnad i System Center 2012 Configuration Manager-handboken och Distributionsklienter för System Center 2012 Configuration Manager-handboken:

• Introduktion till out-of-Band-hantering i Configuration Manager

• Checklista för administratörer: Out-of-Band-hantering i Configuration Manager

• Hantera mobila enheter med Configuration Manager och Exchange

Klienthanteringsuppgifter

När du har installerat Configuration Manager-klienter kan du utföra olika klienthanteringsuppgifter, bland annat följande:

• Distribuera program, programuppdateringar, underhållsskript och operativsystem. Du kan konfigurera dem så att de installeras på ett angivet datum eller en angiven tidpunkt, eller göra dem tillgängliga för användare att installera på begäran. Du kan även konfigurera program för avinstallation.

• Skydda datorer mot skadlig kod och säkerhetshot samt få meddelanden när problem identifieras.

• Definiera klientkonfigurationsinställningar som du vill övervaka och åtgärda om de inte är kompatibla.

• Samla in inventeringsinformation om maskin- och programvara, bland annat övervakning och avstämning av licensinformation från Microsoft.

• Felsöka datorer med fjärrstyrning eller med AMT-åtgärder för AMT-baserade datorer som inte svarar.

• Implementera energisparinställningar för att hantera och övervaka datorernas energiförbrukning.

Med Configuration Manager-konsolen kan du övervaka de här åtgärderna nära nog i realtid, genom att använda aviseringar och statusinformation. Med de integrerade rapportfunktionerna i SQL Reporting Services kan du fånga data och historiska trender.

Du kan se till att du fortsätter hantera System Center 2012 Configuration Manager-klienterna genom att använda klientstatusinformationen som ger data om hälsotillståndet för klienten och klientaktivitet. Med dessa data kan datorer som inte svarar identifieras och i vissa fall kan problemen åtgärdas automatiskt.

Mer information finns i följande avsnitt i Distributionsklienter för System Center 2012 Configuration Manager-handboken och Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Hantera klienter i Configuration Manager

• Introduktion till rapportering i Configuration Manager

Configuration Manager (Kontrollpanelen i Windows)

När du installerar Configuration Manager-klienten så installeras Configuration Manager-klientprogrammet i Kontrollpanelen. Till skillnad från Software Center har det här programmet utformats för supportavdelningen snarare än för slutanvändare. Vissa konfigurationsalternativ kräver lokal administratörsbehörighet och de flesta alternativen kräver teknisk kunskap om hur Configuration Manager fungerar. Med det här programmet kan du utföra följande uppgifter för en klient:

• Visa egenskaper om klienten, till exempel versionsnummer, dess tilldelade plats, hanteringsplatsen den kommunicerar med och huruvida klienten använder ett PKI-certifikat eller ett självsignerat certifikat.

• Bekräfta att klienten har laddat ned klientprincipen när klienten installeras för första gången, och att klientinställningarna är aktiverade eller inaktiverade som förväntat, enligt de klientinställningar som har konfigurerats i Configuration Manager-konsolen.

• Starta klientåtgärder, till exempel ladda ned klientprincipen om det nyligen har skett en konfigurationsändring i Configuration Manager-konsolen och om du inte vill vänta till nästa schemalagda tid.

• Manuellt tilldela en klient till en Configuration Manager-plats eller försöka hitta en plats och ange DNS-suffixet för hanteringsplatser som publicerar i DNS.

• Konfigurera klientcachen som tillfälligt lagrar filer och tar bort filer i cachen om du behöver mer diskutrymme för att installera programvara.

• Konfigurera inställningar för internetbaserad klienthantering.

• Visa konfigurationsbaslinjer som har distribuerats till klienten, starta kompatibilitetsutvärdering och visa kompatibilitetsrapporter.

Säkerhet

Säkerheten för System Center 2012 Configuration Manager består av flera lager. Först och främst har Windows många säkerhetsfunktioner för både operativsystemet och nätverket, till exempel följande:

• Fildelning för överföring av filer mellan System Center 2012 Configuration Manager-komponenter

• Åtkomstkontrollistor för att säkra filer och registernycklar

• IPsec för att säkra kommunikationen

• Grupprincip för inställning av säkerhetsprincipen

• DCOM-behörighet för distribuerade program, till exempel Configuration Manager-konsolen

• Active Directory Domain Services för lagring av säkerhetsobjekt

• Windows-kontosäkerhet, inklusive vissa grupper som skapas vid installationen av System Center 2012 Configuration Manager

Sedan finns det ytterligare säkerhetskomponenter, till exempel brandväggar och intrångsidentifiering, som utgör ett djupgående försvar för hela miljön. Certifikat som utfärdas av PKI-implementeringar med branschstandard ger autentisering, signering och kryptering.

System Center 2012 Configuration Manager kontrollerar åtkomst till Configuration Manager-konsolen på flera olika sätt. Som standard har bara lokala administratörer behörighet till de filer och registernycklar som krävs för att köra Configuration Manager-konsolen på datorer där den är installerad.

Nästa säkerhetslager baseras på åtkomst via WMI (Windows Management Instrumentation), specifikt SMS-providern. SMS-providern begränsas som standard till medlemmar i den lokala SMS-administratörsgruppen. Först innehåller den här gruppen bara användaren som installerade System Center 2012 Configuration Manager. Om du vill bevilja andra konton behörighet till CIM-databasen (Common Information Model) och SMS-providern lägger du till de andra kontona i gruppen SMS-administratörer.

Det sista säkerhetslagret baseras på behörighet till objekt i platsdatabasen. Som standard kan det lokala systemkontot och användarkontot som du använde vid installationen av System Center 2012 Configuration Manager administrera alla objekt i platsdatabasen. Du kan ge och begränsa behörighet för ytterligare administrativa användare i Configuration Manager-konsolen med rollbaserad administration.

Mer information finns i Säkerhet och sekretess för System Center 2012 Configuration Manager-handboken.

Rollbaserad administration

System Center 2012 Configuration Manager använder rollbaserad administration för att säkra objekt som samlingar, distributioner och platser. Den här administrationsmodellen definierar och hanterar centralt säkerhetsåtkomstinställningar i hela hierarkin för alla platser och platsinställningar. Säkerhetsroller tilldelas till administrativa användare och gruppbehörighet till olika Configuration Manager-objekttyper, till exempel behörighet att skapa eller ändra klientinställningar. Säkerhetsomfattningar grupperar specifika instanser av objekt som en administrativ användare ansvarar för att hantera, till exempel ett program som installerar Microsoft Office 2010. Kombinationen av säkerhetsroller, säkerhetsomfattningar och samlingar definierar vilka objekt en administrativ användare kan visa och hantera.System Center 2012 Configuration Manager installerar vissa standardsäkerhetsroller för vanliga hanteringsuppgifter. Men du kan skapa dina egna säkerhetsroller för att stödja dina specifika affärsbehov.

Mer information finns i följande avsnitt i Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Planera säkerhet i Configuration Manager

• Konfigurera säkerhet för Configuration Manager

Säkra klientslutpunkter

Klientkommunikationen till platssystemroller säkras med självsignerade certifikat eller PKI-certifikat (Public Key Infrastructure). Datorklienter på internet som Configuration Manager identifierar och klienter för mobila enheter måste använda PKI-certifikat, så att klientslutpunkterna kan säkras med HTTPS. Platssystemrollerna som klienterna ansluter till kan konfigureras för HTTPS- eller HTTP-klientkommunikation. Klientdatorer kommunicerar alltid med den säkraste metoden som är tillgänglig och använder bara den mindre säkra kommunikationsmetoden HTTP på intranätet om det finns platssystemroller som tillåter HTTP-kommunikation.

Mer information finns i följande avsnitt i Webbplatsadministration för System Center 2012 Configuration Manager-handboken:

• Planera säkerhet i Configuration Manager

• Konfigurera säkerhet för Configuration Manager

• Teknisk referens för kryptografiska kontroller som används i Configuration Manager

Konton och grupper i Configuration Manager

System Center 2012 Configuration Manager använder det lokala systemkontot för de flesta platsåtgärderna. Men för vissa hanteringsuppgifter kan det krävas att ytterligare konton skapas och underhålls. Flera standardgrupper och SQL Server-roller skapas vid installationen. Men du måste kanske manuellt lägga till dator- och användarkonton i standardgrupperna och -rollerna.

Mer information finns i Teknisk referens för konton som används i Configuration Manager i handboken för Webbplatsadministration för System Center 2012 Configuration Manager.

Sekretess

Även om företagshanteringsprodukter erbjuder många fördelar eftersom de effektivt kan hantera många klienter måste du också tänka på hur det här programmet kan påverka sekretessen för användarna i din organisation.System Center 2012 Configuration Manager innehåller många verktyg för insamling av data och övervakning av enheter, vilket kan ge upphov till frågor om sekretessen.

När du installerar System Center 2012 Configuration Manager-klienten aktiveras till exempel många hanteringsinställningar som standard. Det leder till att klientprogramvaran skickar information till Configuration Manager-platsen. Klientinformationen lagras i Configuration Manager-databasen och informationen skickas inte till Microsoft. Innan du implementerar System Center 2012 Configuration Manager bör du tänka igenom dina sekretesskrav.

Mer information finns i Säkerhet och sekretess för System Center 2012 Configuration Manager-handboken.

Se även

Komma i gång med System Center 2012 Configuration Manager