Compliance Settings Items

Compliance Settings Items

W artykule Update Publisher - Konfiguracja certyfikatów jak poprawnie skonfigurować komputer do wdrażania aktualizacji opublikowanych na serwerze WSUS przy pomocy System Center Update Publisher. Compliance Settings może posłużyć do sprawdzenia, czy na wszystkich komputerach konfiguracja jest poprawna. Bardzo istotną właściwością Compliance Settings jest fakt, że sprawdzanie konfiguracji jest zawsze wykonywana przez klienta ConfigMgr lokalnie na komputerze.

Do instalacji aktualizacji z Update Publisher potrzebujemy oprócz certyfikatu zainstalowanego na komputerze jeszcze jedno ustawienie w rejestrze. Dla komputerów w domenie zmiany dokonujemy poprzez polisie GPO, natomiast na komputerach pracujących w grupie roboczej musimy zastosować pliko dokonnaiu zmian dobrze jest sprawdzać czy konfiguracja komputera nadal jest poprawna. Poniżej pokazałem poprawną konfigurację gałęzi rejestru odpowiedzialnej za pozwolenie na instalację certyfikatów spoza witryny Microsoft Update.

Rysunek 1. Wpis AllowTrustedPusblisherCerts pozwalający na wdrażanie aktualizacji spoza wiryny Microsoft Update.

Rysunek 1. Wpis AllowTrustedPusblisherCerts pozwalający na wdrażanie aktualizacji spoza wiryny Microsoft Update.

Compliance Settings Items to konfiguracja trzech rzeczy: tego, co sprawdzamy, jak sprawdzamy oraz jaki stan ma zostać zaraportowany do serwera ConfigMgr.

Rysunek 2. Widok konsoli na Compliance Settings Items.

Rysunek 2. Widok konsoli na Compliance Settings Items.

Konfigurację Compliance Settings Items rozpoczynamy od wpisania nazwy oraz wskazania, jakich systemów operacyjnych będzie dotyczyć ta konfiguracja.

Rysunek 3. Konfiguracja nazwy Compliance Settings Items oraz system operacyjnego, którego ma ona dotyczyć.

Rysunek 3. Konfiguracja nazwy Compliance Settings Items oraz systemu operacyjnego, którego ma ona dotyczyć.

Kolejny krok to wskazania na jakich wersjach systemu operacyjnego będzie wykonywane sprawdzanie.

Rysunek 4. Wskazanie wersji systemu operacyjnego którego ma dotyczyć Compliance Settings Items.

Rysunek 4. Wskazanie wersji systemu operacyjnego, którego ma dotyczyć Compliance Settings Items.

Następnie przechodzimy do ustawień tego, co ma być sprawdzane. Wybieramy przycisk New, by stworzyć nową regułę.

Rysunek 5. Tworzenie nowych reguł Comilance Settings Items.

Rysunek 5. Tworzenie nowych reguł Comilance Settings Items.

Nadajemy nazwę naszej regule, wybieramy typ ustawień, jakie będziemy sprawdzać. W celu sprawdzenia wartości w rejestrze wybieramy Registry value w Settings type.

Rysunek 6. Wybór typu ustawień, które będziemy sprawdzać.

Rysunek 6. Wybór typu ustawień, które będziemy sprawdzać.

Korzystając z przycisku Browse można wybrać interesujące nas wartości w rejestrze, które będą podlegały sprawdzeniu. Rejestr możemy przeglądać zarówno na komputerze, na którym jest uruchomiona konsola serwera ConfigMgr, jak również podłączyć się zdalnie do innego komputera. Po wyborze wartości rejestru trzeba ustawić sprawdzanie czy jest ona ustawiona na komputerze, czy też nie jest ustawiona.

Rysunek 7. Przeglądarka resjetru dostępna podczas konfiguracji Compliance Settings Items.

Rysunek 7. Przeglądarka rejestru dostępna podczas konfiguracji Compliance Settings Items.

Kolejny krok to zapisanie wprowadzonych zmian.

Rysunek 8. Konfiguracja reguły sprawdzającej obecność wpisu w rejestrze.

Rysunek 8. Konfiguracja reguły sprawdzającej obecność wpisu w rejestrze.

Na razie konfiguracja Compliance Settings Items pozwala na sprawdzenie, czy dany wpis w rejestrze istnieje na komputerze, czy też nie. Trzeba jeszcze stworzyć regułę sprawdzającą konkretną wartość wskazanego przez nas wcześniej wpisu w rejestrze. Zrobimy to poprzez ustawienia Compliance Rules. Wybieramy przycisk New, by stworzyć nową regułę.

Rysunek 9. Konfiguracja reguł sprawdzających stan komputera.

Rysunek 9. Konfiguracja reguł sprawdzających stan komputera.

Nadajemy jej nazwę i wybieramy ustawienia, które będziemy konfigurować.

Rysunek 10. Konfiguracja reguł sprawdzającej wartość wpisana w rejstrach komputera.

Rysunek 10. Konfiguracja reguł sprawdzającej wartość wpisaną w rejestrach komputera.

Wybieramy stworzoną wcześniej regułę AlloInstallUpdatesSCUP.

Rysunek 11. Wybór reguły.

Rysunek 11. Wybór reguły.

Nastepnie wpisujemy wartość, która oznacza poprawną konfigurację. W tym wypadku ma to być wartość 1, która pozwala na instalację aktualizacji publikowanych na serwerze WSUS przy pomocy Update Publisher. W tym miejscy możemy zdecydować, czy klient serwera ConfigMgr będzie poprawiał wpisy w rejestrze w przypadku złej konfiguracji na poprawną wartość. Warto też ustawić, jaki stan będzie raportowany do serwera ConfigMgr w przypadku niezgodności konfiguracji. W tym wypadku, jeśli konfiguracja nie będzie poprawna, stan zostanie zaraportowany jako Critical.

Rysunek 11. Konfiguracja sprawdzania wartości w rejstrze.

Rysunek 11. Konfiguracja sprawdzania wartości w rejestrze.

Po skończeniu konfiguracji można obejrzeć ustawienia.

Rysunek 12. Dwie reguły skonfigurowane w Compliance Settings Items.

Rysunek 12. Dwie reguły skonfigurowane w Compliance Settings Items.

Konfiguracja Comliance Setting opiera na wiedzi na temat systemu operacyjnego oraz tym co i gdzie należy sprawdzać. Pózniejsza konfiguracja na serwerze ConfigMgr nie jest trudna. Drugi przykład zastosowania Compliance Settings opisałem w artykule Configuration Manager Company Portal.

Niektóre z opisanych procedur konfiguracyjnych zawartych na tej stronie znacząco ingerują w konfigurację sytemów czy serwera ConfigMgr.

Proszę o rozważne korzystanie z informacji zawartych w moich artykułach.

Administratorzy stosują opisane procedury na własną odpowiedzialność.