Часть 2. Продолжение

 

Создание элемента конфигурации

Данный элемент создаётся следующим образом: заходим в “Assets and Compliance->Overview->Compliance Settings->Configuration Item”, в контекстном меню выбираем пункт “Create Configuration Item”. В появившемся мастере вводим требуемую информацию. В разделе “General” (общие) это: имя, тип элемента (мобильное устройство, ОС Windows, MAC OS) и категорию (сервер, клиент, ИТ-инфраструктуру или другую).

Если активировать флажок “This configuration item contains application settings”, то включим дополнительный раздел – “Detection Methods” (методы обнаружения), который содержит правила обнаружения приложения. Наличие какой-либо программы определяется по присутствию у неё установочного msi-файла (узнаётся код и версия продукта), а также использовать скрипт или всегда производить такое определение, выбрав первый вариант “Always assume application is installed”.

При проверке операционных систем в разделе “Supported Platforms”, нужно определиться с версией ОС. В “Settings” выбираем тип проверки, а это может быть значение или целиком ветка реестра, скрипт, файловая система, метабаза IIS, запросы SQL, Active Directory, WMI или другое. “Compliance Rules” предоставляет возможность создать и настроить условия для проверки соответствий элементов конфигурации относительно Value (значения) и Existential (существования).

В нашем случае создаём Configuration Item для архиватора, выбираем File System (файловая система), File (файл) и путь к файлу. Правило проверки создаётся по умолчанию, которое можно отредактировать (если потребуется) или дополнить новым.

При необходимости создаем дочерний Configuration Item, где будут общие (родительские) параметры применяться на выбранную группу и дополнительные - для специальных устройств, которые к общей массе не относятся. Для этого на панели задач нажимаем кнопку “Create Child Configuration Item” и добавляем готовый элемент с необходимыми условиями проверки.

Основное отличие по настройке соответствий для мобильных устройств располагается в разделе “Mobile Device Setting groups”. А количество вводимых параметров будет зависеть от того, сколько групп в нём было для этого выбрано. Здесь предлагается активировать следующее: Password, Email Management, Security, Peak Synchronization, Roaming, Encryption, Wireless Communication, Certificates, и внести нужные данные, создавая таким образом встроенные правила проверки соответствия, а дополнить их собственными условиями можно во вкладке “Compliance Rules”, зайдя в свойства элемента.

SCCM поддерживает несколько типов Configuration Items: Operating System (относится к ОС), Application (назначается программам), Software Updates (для обновлений), General (общие, не относящиеся ни к одному из предыдущих 3-х типов) (см. рис. 2).

После того, как создан Configuration Item, над ним можно произвести некоторые действия. Например, экспортировать (кнопка “Export”) и выгрузить в CAB-файл для дальнейшего переноса и импорта на другой сервер. Также доступно: просмотреть исходный XML-файл (кнопка “View XML Notification”) или историю ревизий (кнопка “History Revision”), скопировать (кнопка “Copy”) или удалить (кнопка “Delete”) элемент. Ещё стоит обращать внимание на панель критерий, которая отображает полезную информацию (Type, Revision, Date Modified, Categories, Model Name, Status, Group by и многие другие) (см. рис. 2). А для удобства предусмотрен поиск элементов по критериям, нажав кнопку “Add Criteria”, и возможность сохранения этих результатов (кнопка “Saved Searches”).

Рисунок 2. Результат создания Configuration Item.

 

Создание базового показателя конфигурации

Последовательность создания Configuration Baseline состоит из нескольких шагов: заходим в “Assets and Compliance->Overview->Compliance Settings->Configuration Baselines”, по нажатию правой кнопкой мыши требуется выбрать пункт “Create Configuration Baselines”. В появившемся мастере вводим необходимые данные, к которым относятся: имя, коллекция, единица конфигурации либо другие базовые показатели, либо обновления.

В нашем случае мы сначала выбираем Configuration Item, а вторым действием -  добавляем обновления для MS Excel 2013 (см. рис. 3).

Рисунок 3. Результат создания Configuration Baseline.

При добавлении Configuration Item в Configuration Baseline определяются Purpose (назначения) и находятся во вкладке “Evaluation Conditions”. Но при редактировании элементов необходимо знать и различать их возможные варианты присвоения, а именно:

  • Required (требуемый) используется по умолчанию и означает, что если Configuration Item не был найден, то Configuration Baseline определяется как non-compliance (несоответствующий). А иначе будет производиться процесс оценки последнего на достоверность.
  • Optional (опциональный) применяется только для приложений. При наличии программы Configuration Item оценивается на соответствие, а если же она отсутствует, то Configuration Baseline оценивается как неудовлетворяющий.
  • Prohibited (запрещённый) присваивается тем приложениям, работу которых необходимо заблокировать. В этом случае Configuration Baseline определяется как несоответствующий, если Configuration Item будет найден на компьютере.

После создания Configuration Baseline с ним можно проделать такие действия, как отключениевключение, копированиеэкспортимпорт, просмотр исходного XML, а также запуск элемента сразу, выбрав кнопку “Run Summarization” на панели инструментов или пункт в контекстном меню.

 

Пакет настроек

Configuration Pack (пакет настроек) – это созданные производителем или сообществом рекомендуемые наборы проверок параметров устройств. То есть предлагаются уже готовые упакованные (имеют MSI-расширение, а после развёртывания - .cab) Configuration Item и Configuration Baseline. 

Мы скачаем из Microsoft Download Center [http://www.microsoft.com/en-us/download/details.aspx?id=30710] для сервера SCCM 2012 набор правил и настроек, предназначенные для контроля следующих ролей: Management Point (точка управления), Site Server, (сайт сервер) и Software Update Point (точка обновления программного обеспечения) [http://stephanwibier.blogspot.com/2013/02/system-center-2012-configuration.html]. После загрузки и установки Configuration Pack на сервере SCCM, нужно импортировать CAB-файл в раздел “Compliance Settings”. В результате имеющиеся уже элементы дополнятся 1-м Configuration Baseline и 4-мя Configuration Item (см. рис. 2 и 4).

Рисунок 4. Результат импортирования Configuration Pack.

На этом подготовительные действия завершены, а заключительным этапом будет доставка единиц конфигурации на пользовательские компьютеры.

Некоторые примеры настроек Compliance Settings на блогах:

разрешение рабочего стола - http://masyan.ru/2014/02/vmware-view-sccm-2012-r2/ ;

работа с PowerShell - http://www.petervanderwoude.nl/post/tag/compliance-settings/;

отключение обновления Adobe Flash Player -http://blogs.technet.com/b/brandonlinton/archive/2013/03/30/how-to-create-a-configuration-item-and-baseline-to-disable-adobe-flash-player-automatic-updates.aspx ;

использование SCM (GPO) - http://www.verboon.info/2013/02/how-to-create-a-sccm-2012-sp1-configuration-baseline-with-security-compliance-manager-scm-3-0/ .

 

Продолжение следует...