分享方式:


關於設定基準和設定專案

在Configuration Manager中,基準是用來定義在特定時間點建立的產品或系統組態。 Configuration Manager中的設定基準包含一組定義的所需組態,這些組態會評估為群組的合規性。

設定基準

設定基準包含一或多個具有相關聯規則的設定專案,並透過集合指派給電腦,以及合規性評估排程。

注意事項

雖然您可以將設定基準指派給包含使用者的集合,但設定基準只會由集合中的電腦進行評估。

您可以使用 Configuration Manager 主控台建立自己的設定基準,並可從下列來源匯入設定基準:

  • 來自Microsoft或其他廠商的最佳做法設定基準

  • 自訂自訂群組織內的組態基準,但Configuration Manager

  • 另一個Configuration Manager網站

    匯入設定基準時,除非它們原本是在相同的Configuration Manager月臺中建立,否則您無法直接在 Configuration Manager 主控台中修改它們。 如果您需要精簡設定專案以符合您的商務需求,建議的路徑如下:

  1. 使用您的自訂值建立子組態專案。

  2. 複製設定基準。

  3. 編輯重複的基準,並將設定專案取代為您編輯的子設定專案。

設定基準規則

組態基準規則可用來指定如何評估組態基準中所包含的設定專案是否符合用戶端電腦的合規性。 有固定類型的設定基準規則無法在Configuration Manager中變更。 設定專案可以新增至下列設定基準規則:

  • 必須存在並正確設定下列其中一個作業系統設定專案。

  • 這些應用程式和一般設定專案是必要的,必須正確設定。

  • 如果偵測到這些選擇性應用程式組態專案,則必須正確設定它們。

  • 這些軟體更新必須存在。

  • 這些應用程式組態專案不得存在。

  • 這些設定基準也必須經過驗證。

設定基準指派

用戶端電腦必須先透過電腦集合來指派設定基準,用戶端電腦才能在Configuration Manager中評估其與設定基準的相容性。

指派包含下列屬性:

  • 組態基準本身

  • 合規性評估的目標集合,以及是否包含任何已定義的子集合

  • 合規性評估排程,最初是使用預設合規性評估排程設定,但可以針對每個指派變更

    設定基準指派是設定基準的選擇性屬性。 您可以藉由定義多個設定基準指派,將單一設定基準指派給多個集合。

相依組態基準

其中一個設定基準規則是包含另一個設定基準。 此巢狀功能提供一個分層方法,可定義適用于各種電腦的基準設定基準,然後使用具有類似角色之電腦具有更特定設定的其他設定基準來精簡此基本設定。

當您想要結合自己的商務需求與匯入的設定基準 (,例如無法直接編輯之Microsoft) 的最佳做法設定基準時,也會使用相依基準。 使用新版本升級最佳做法設定基準時,您可以匯入更新版本,而不需要建立新的設定基準。

相依組態基準會顯示在Configuration Manager主控台中,做為設定基準的屬性。

重複的設定基準

Configuration Manager中重複的組態基準是現有設定基準的確切複本,不會保留與原始組態的任何關聯性。 如果您想要建立一些類似但不相關的設定基準,而且您有一個設定基準做為範本,則建立重複的設定基準可能很適合。 另一個案例是,如果您需要在匯入的設定基準中重新定義規則或設定專案。

如果匯入的組態基準包含Configuration Manager無法解譯的組態資料,您就無法複製它。

設定專案

設定專案會定義不同的設定單位,以評估合規性。 它們可以包含一或多個元素及其驗證準則,而且通常會定義您想要在獨立變更層級監視的組態單位。

設定專案是設定基準的建置組塊,因此相同的設定專案可以用於多個設定基準。

Configuration Manager支援下列設定專案類型:

作業系統設定專案
組態專案,用來判斷與作業系統版本和組態相關的設定合規性。

應用程式設定專案
用來判斷應用程式相容性的組態專案。 這可能包括是否已安裝應用程式,以及其設定的詳細資料。

一般設定專案
組態專案,用來判斷一般設定和物件的相容性,其中它們的存在並不取決於作業系統、應用程式或軟體更新。

軟體更新設定專案
設定專案,用以判斷在 Configuration Manager 中使用軟體更新功能的軟體更新合規性。

您無法匯入、建立或設定 Desired Configuration Management 節點中的軟體更新設定專案。 而是在下載軟體更新時,透過軟體更新功能將這些專案提供給設定基準。 這表示軟體更新設定專案雖然不會顯示在 [設定專案] 節點下,但可選取要包含在設定基準中。

您可以使用 Configuration Manager 主控台匯入、建立及設定其他設定專案。 這些設定專案會顯示一些屬性,包括下列各項:

  • 一般

  • 物件

  • 設定

  • Windows 版本

  • 適用性

  • 偵測方法

    每個組態專案可用的屬性取決於組態專案類型。 例如,您可以設定作業系統設定專案來檢查作業系統的確切版本。 此屬性不適用於其他設定專案,因此您不會看到其他設定專案可用的 Windows 版本屬性。 下表列出Configuration Manager中組態專案的可設定屬性,並顯示每個設定專案類型是否可設定屬性。

組態專案類型 一般 Windows 版本 物件 設定 偵測方法 適用性 安全性
一般 Ø Ø
應用程式 Ø
作業系統 Ø Ø
軟體更新 Ø Ø Ø Ø Ø

關鍵:

  • √ = Available 屬性

  • Ø = 屬性無法使用

除了軟體更新設定專案,您可以在 Configuration Manager 主控台的 [Desired Configuration Management] 底下的 [設定專案] 節點中檢視和編輯每個設定專案的屬性。 使用 [軟體更新節點來檢視和編輯軟體更新設定專案。

除了 Desired Configuration Management 節點中組態專案的可設定屬性之外,您也會在 [一 ] 屬性中看到顯示的稽核資訊,其中顯示組態專案的建立時間、上次編輯的時間,以及由誰編輯。 此外,[ 關聯性 ] 屬性索引標籤會顯示設定專案與其他設定專案和組態基準的關聯性。

子設定專案

子組態專案是組態專案的複本,會繼續繼承原始組態專案的屬性。 您無法使用其驗證準則來修改子設定專案的繼承物件和設定,但您可以將其他驗證準則新增至繼承的物件和設定,也可以將新的物件和設定新增至子組態專案。 建立和編輯子設定專案的一般用途是,它會精簡原始設定專案以符合您的商務需求。

由於繼承自父系的屬性與子組態專案的相依性關聯性,因此修改原始組態專案會影響子設定專案。

當您已從最佳做法組態基準匯入設定資料,而且您想要在新版本發行時能夠更新設定資料,以繼續將其屬性傳遞至子設定專案時,子設定專案便是適當的。

另一個使用子組態專案的案例是當您需要保留繼承以進行精確管理時。 例如,如果您的設定專案定義了所有電腦都必須遵守的公司安全性原則,但您的財務部門電腦受限於其他安全性需求,則可以使用子設定專案。 在此情況下,您可以從公司安全性原則設定專案建立子設定專案。 子設定專案會繼承公司安全性原則中的所有屬性,但會加以編輯以包含額外的安全性需求。 如果公司安全性原則變更,則可以修改原始設定專案,而不需要同時修改財務部門中電腦的設定專案。 同樣地,如果財務部門電腦的需求變更,則只需要修改子設定專案,而不需要修改定義公司安全性原則的原始設定專案。

重複的設定專案

重複的組態專案是另一個設定專案的確切複本,不會保留與原始設定專案的任何關聯性。 因此,您可以使用重複的組態專案做為範本,只修改幾個屬性,並獨立保留這兩個設定專案,或者您可以在匯入唯讀組態專案時使用它 (例如,從最佳做法組態基準) ,並想要使用組態專案進行修改,而不要保留原始設定專案的任何繼承。

此外,如果您想要使用匯入的設定專案,但從中刪除物件或設定 (或其相關的驗證準則) ,您唯一的編輯選擇是建立重複的組態專案,並據此編輯該重複的設定專案。