Compliance Settings – Items

Całkiem niedawno zakończyłem projekt migracji z Windows 7 do Windows 10. W trakcie projektu Klient poprosił o skonfigurowanie sprawdzania poprawności konfiguracji komputerów z Windows 10.

W projekcie oprócz migracji do Windows 10 należało utworzyć polityki GPO dla nowo wdrażanego systemu operacyjnego. Jednym ze sposobów jest wykorzystanie istniejącej od dawna funkcji serwera ConfigMgr, czyli Compliance Settings.

Konfiguracja Compliance Settings składa się z trzech kroków:

  • konfiguracja Compliance Items
  • Konfiguracji Comliance Baseline
  • wdrożeniu Compliance Baseline na wybranej kolekcji komputerów.

Poniżej przykład Compliance Settings. Do instalacji aktualizacji publikowanych samodzielnie na serwerze WSUS jest potrzebny certyfikat, którym zostały podpisane te aktualizacje oraz odpowiednie wpisy w rejestrze komputera.

Dla komputerów w domenie zmiany dokonujemy poprzez GPO, natomiast na komputerach pracujących w grupie roboczej musimy zastosować plik reg. Po dokonaniu zmian dobrze jest sprawdzać czy konfiguracja komputera nadal jest poprawna. Poniżej pokazałem poprawną konfigurację gałęzi rejestru odpowiedzialnej za pozwolenie instalacji certyfikatów opublikowanych samodzielnie na serwerze WSUS, nie pochodzących od Microsoftu.

Rysunek 1. Wpis AllowTrustedPusblisherCerts pozwalający na wdrażanie aktualizacji spoza witryny Microsoft Update.
Rysunek 1. Wpis AllowTrustedPusblisherCerts pozwalający na wdrażanie aktualizacji spoza witryny Microsoft Update.

Compliance Items to konfiguracja trzech rzeczy: tego, co sprawdzamy, jak sprawdzamy oraz jaki stan ma zostać zaraportowany do serwera ConfigMgr.

Rysunek 2. Widok konsoli na Compliance Settings Items.
Rysunek 2. Widok konsoli na Compliance Settings Items.

Konfigurację Compliance Items rozpoczynamy od wpisania nazwy oraz wskazania, jakich systemów operacyjnych będzie dotyczyć ta konfiguracja.

Rysunek 3. Konfiguracja nazwy Compliance Items oraz systemu operacyjnego, którego ma ona dotyczyć.

Kolejny krok to wskazania na jakich wersjach systemu operacyjnego będzie wykonywane sprawdzanie.

Rysunek 4. Wskazanie wersji systemu operacyjnego, którego ma dotyczyć Compliance Items.

Następnie przechodzimy do ustawień tego, co ma być sprawdzane. Wybieramy przycisk New, by stworzyć nową regułę.

Rysunek 5. Tworzenie nowych reguł Comilance Settings Items.
Rysunek 5. Tworzenie nowych reguł Comilance Items.

Nadajemy nazwę naszej regule, wybieramy typ ustawień, jakie będziemy sprawdzać. W celu sprawdzenia wartości w rejestrze wybieramy Registry value w Settings type.

Rysunek 6. Wybór typu ustawień, które będziemy sprawdzać.
Rysunek 6. Wybór typu ustawień, które będziemy sprawdzać.

Korzystając z przycisku Browse może w łatwy sposób wybrać interesujące nas wartości w rejestrze, które będą podlegały sprawdzeniu. Rejestr możemy przeglądać zarówno na komputerze, na którym jest uruchomiona konsola serwera ConfigMgr, jak również podłączyć się zdalnie do innego komputera. Po wyborze wartości rejestru trzeba ustawić sprawdzanie czy jest ona ustawiona na komputerze, czy też nie jest ustawiona.

Rysunek 7. Przeglądarka rejestru dostępna podczas konfiguracji Compliance Settings Items.
Rysunek 7. Przeglądarka rejestru dostępna podczas konfiguracji Compliance Items.

Kolejny krok to zapisanie wprowadzonych zmian.

Rysunek 8. Konfiguracja reguły sprawdzającej obecność wpisu w rejestrze.

Na razie konfiguracja Compliance Items pozwala na sprawdzenie, czy dany wpis w rejestrze istnieje na komputerze, czy też nie. Trzeba jeszcze stworzyć regułę sprawdzającą konkretną wartość wskazanego przez nas wcześniej wpisu w rejestrze. Zrobimy to poprzez ustawienia Compliance Rules. Wybieramy przycisk New, by stworzyć nową regułę.

Rysunek 9. Konfiguracja reguł sprawdzających stan komputera.

Nadajemy jej nazwę i wybieramy ustawienia, które będziemy konfigurować.

Rysunek 10. Konfiguracja reguł sprawdzającej wartość wpisaną w rejestrach komputera.
Rysunek 10. Konfiguracja reguł sprawdzającej wartość wpisaną w rejestrach komputera.

Wybieramy stworzoną wcześniej regułę AlloInstallUpdatesSCUP.

Rysunek 11. Wybór reguły.

Następnie wpisujemy wartość, która oznacza poprawną konfigurację. W tym wypadku ma to być wartość 1, która pozwala na instalację aktualizacji publikowanych na serwerze WSUS przy pomocy Update Publisher. Warto też ustawić, jaki stan będzie raportowany do serwera ConfigMgr w przypadku niezgodności konfiguracji. W tym wypadku, jeśli konfiguracja nie będzie poprawna, stan zostanie zaraportowany jako Critical.

Rysunek 11. Konfiguracja sprawdzania wartości w rejestrze.

Po skończeniu konfiguracji można obejrzeć ustawienia.

Rysunek 12. Dwie reguły skonfigurowane w Compliance Items.

Konfiguracja Compliance Itmes opiera na wiedzy o konfiguracji systemu operacyjnego oraz tym co i gdzie należy sprawdzać. Późniejsza konfiguracja na serwerze ConfigMgr nie jest trudna.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *