实施所需的配置管理的示例方案
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
以下几节提供了如何在 Configuration Manager 2007 中实施所需的配置管理以解决下列业务要求的示例方案:
将计算机的配置与 Microsoft 及其他供应商的最佳方案配置进行比较
使用由报告不符合性的计算机自动填充的集合修正与以带软件包或脚本的计算机为目标的软件分发的不符合性
将计算机的配置与 Microsoft 及其他供应商的最佳方案配置进行比较
该方案演示了客户端如何将其 Microsoft Exchange Server 配置与 Microsoft System Center Configuration Manager 2007 配置包中指定的最佳方案进行比较,以及如何在潜在不利配置对服务级别协议 (SLA) 带来负面影响之前检测到它。
Woodgrove Bank 已将 Microsoft Exchange Server 部署为其关键任务电子邮件系统。最近,银行出现多次系统中断,在此期间,Microsoft Exchange 信息存储服务意外关闭。经过几天的调查,Woodgrove Bank 的 Exchange Server 管理员 Jason Warren 发现系统中断是由许多不正确的设置导致的。为了减少将来非计划性停机时间,Woodgrove Bank 必须找到一种方法以检测 Microsoft Exchange Server 在何时配置不正确。
John Woods 是 Woodgrove Bank 的 IT 系统经理。他了解到 Microsoft 针对 Microsoft Exchange Server 2003,以配置包的形式发布了多个推荐配置,这些配置包适用于 Configuration Manager 2007 中的所需配置管理。他决定采用下表中的操作过程。
| 过程 | 参考 |
|---|---|
Jason 和 John 查看 Microsoft 配置数据下载网页,下载 Exchange Server 2003 的配置包。 |
|
查看使用配置包创建配置基线的过程。 |
|
检查是否为所需的配置管理启用了银行的 Configuration Manager 2007 站点,以及所有客户端是否有 Microsoft .NET Framework 2.0 版或更高版本。 |
|
识别与银行自身的服务器环境最匹配的 Exchange Server 2003 的配置项目,然后将其导入 Configuration Manager 2007。 |
|
创建配置基线,将配置项目添加到下列配置基线规则:
|
|
将配置基线分配到仅包含运行 Microsoft Exchange Server 2003 的服务器的集合,将评估计划配置为每天午夜运行。 |
|
将符合性评估结果报告到站点时,查看符合性报告并确认业务需求没有解释银行服务器的配置不同于 Microsoft 最佳方案配置的原因。 |
|
John 指示 Jason 让所有 Microsoft Exchange Server 符合配置基线并继续监视符合性结果。 |
公司特定过程。 |
Jason 每天早上检查符合性报告并在不符合性结果影响性能之前或导致银行的服务器处于非计划性停机风险之前调查这些结果。 |
公司特定过程。 |
以此方式实施所需的 Configuration Manager 的可能结果是:
- 3 个月后,John 确认非计划性停机事件数极大减少。
使用由报告不符合性的计算机自动填充的集合修正与以带软件包或脚本的计算机为目标的软件分发的不符合性
该方案演示了客户端如何使用所需的配置管理修正安全设置的不符合性。
A. Datum Corporation 拥有大量销售人员,这些销售人员经常外出拜访客户,为其提供演示并与客户协作以帮助解决技术问题。销售人员离开公司网络时,通常会重新配置其便携式计算机以连接客户网络并共享数据。当销售人员返回办公室时,他们的便携式计算机则通常不符合公司标准。特别是,为了方便信息交换,他们常常会更改防火墙设置和 Microsoft Windows 安全权限。
安全小组需要花大量时间以识别不符合性更改、确保这些便携式计算机没有运行恶意软件以及没有危及公司网络安全。A. Datum Corporation 需要一种自动机制以对这些便携式计算机进行评估,该机制还可以使用纠正脚本进行修正,以确保它们被带回公司时符合公司标准。
Ellen Adams 在 A. Datum Corporation 的安全小组工作。她和 Configuration Manager 管理员 Tommy Hartono 一起负责完成下表中的操作过程。
| 过程 | 参考 |
|---|---|
Ellen 创建多个配置项目,然后创建一个包含这些配置项目的配置基线。 此配置数据统一定义了公司网络上便携式计算机所需的安全配置,Ellen 为这些计算机分配一个名为“安全”的新配置类别,以便将来需要修改时可以轻松找到。 根据这些计算机的不符合性严重程度,为设置配置不同的不符合性严重级别,以便在计算机出现不符合情况时可以更容易地识别对网络构成最大威胁的设置。 |
|
Tommy 将配置基线分配给包含便携式计算机的集合,并将计划配置为比其他不检查安全设置的配置基线运行更频繁。 |
|
安全小组已有客户端脚本,该脚本用于检查是否存在恶意软件,然后配置所有所需的安全设置。如果检测到恶意软件,脚本就会生成电子邮件以通知安全小组。 Ellen 将此脚本交给 Tommy,Tommy 在 Configuration Manager 中为脚本创建一个包并将它宿主在 Configuration Manager 分发点上。 |
|
随后,Tommy 创建查询集合,而报告不符合最高不符合性严重性级别的计算机将自动填充该集合。 Tommy 将集合的成员身份更新计划配置为每小时运行,然后,向该集合播发打包脚本。 |
|
Tommy 使用所需的配置管理主页监视便携式计算机的符合性。他还确认集合由不符合计算机自动填充、脚本在这些计算机上运行,以及随后将从集合中删除这些计算机。 使用不符合性严重性级别和安全的配置基线类别可以很轻易地识别报告安全基线不符合性的便携式计算机。 |
|
如果检测到恶意软件,系统会通过电子邮件通知安全小组成员,使其认识到必须找到需要删除恶意软件的便携式计算机,并执行进一步检查以确认便携式计算机上数据的完整性。 安全小组成员定期检查便携式计算机,以确保成功修正引发 Windows 事件并因此造成与安全设置不符合的计算机。 |
公司特定的过程。 |
以此方式实施所需的 Configuration Manager 的可能结果是:
不符合的便携式计算机返回公司网络时自动修正。
某销售人员访问客户后回到公司。在便携式计算机上运行的配置管理客户端以前连接到公司网络时下载了安全配置基线,客户端持续评估该计算机是否符合分配的配置基线。
该销售人员曾遇到一些连接问题,并尝试通过禁用防火墙解决问题且没有再次启用防火墙。一旦此便携式计算机重新连接到公司网络,它的不符合性结果就会发送到 Configuration Manager 站点。
随后,该便携式计算机将被自动添加到已播发脚本的集合。由于修正脚本在便携式计算机上自动运行且没有检测到恶意软件,那么安全小组也不需要采取进一步的措施。
使便携式计算机恢复到符合性状态无需管理员的干预。
另请参阅
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。