在 Configuration Manager 中,基準是用來定義在特定時間點建立的產品或系統組態。 Configuration Manager 中的設定基準包含一組定義的所需組態,這些組態會評估為群組的合規性。
設定基準
設定基準包含一或多個具有相關聯規則的設定專案,並透過集合指派給計算機,以及合規性評估排程。
注意事項
雖然您可以將設定基準指派給包含使用者的集合,但設定基準只會由集合中的計算機進行評估。
您可以使用 Configuration Manager 主控台建立自己的設定基準,並可從下列來源匯入設定基準:
來自Microsoft或其他廠商的最佳做法設定基準
自定義自定義組織內的組態基準,但 Configuration Manager
另一個 Configuration Manager 網站
匯入設定基準時,除非它們原本是在相同的 Configuration Manager 站台中建立,否則您無法直接在 Configuration Manager 控制台中修改它們。 如果您需要精簡設定專案以符合您的商務需求,建議的路徑如下:
使用您的自定義值建立子組態專案。
複製設定基準。
編輯重複的基準,並將設定專案取代為您編輯的子設定專案。
設定基準規則
設定基準規則可用來指定如何評估組態基準中所包含的設定專案是否符合用戶端計算機的合規性。 有固定類型的設定基準規則無法在 Configuration Manager 中變更。 設定專案可以新增至下列設定基準規則:
必須存在並正確設定下列其中一個作系統設定專案。
這些應用程式和一般設定專案是必要的,必須正確設定。
如果偵測到這些選擇性應用程式組態專案,則必須正確設定它們。
這些軟體更新必須存在。
這些應用程式組態專案不能存在。
這些設定基準也必須經過驗證。
設定基準指派
用戶端計算機必須先透過計算機集合,將設定基準指派給用戶端計算機,才能評估其是否符合 Configuration Manager 組態基準。
指定下列屬性:
組態基準本身
合規性評估的目標集合,以及是否包含任何已定義的子集合
合規性評估排程,最初是使用預設合規性評估排程設定,但可以針對每個指派變更
設定基準指派是設定基準的選擇性屬性。 您可以藉由定義多個設定基準指派,將單一設定基準指派給多個集合。
相依組態基準
其中一個設定基準規則是包含另一個設定基準。 此巢狀功能提供一個分層方法,可定義適用於各種計算機的基準設定基準,然後使用具有類似角色之計算機具有更特定設定的其他設定基準來精簡此基本組態。
當您想要結合自己的商務需求與匯入的設定基準 (,例如無法直接編輯之Microsoft) 的最佳做法設定基準時,也會使用相依基準。 使用新版本升級最佳做法設定基準時,您可以匯入更新版本,而不需要建立新的設定基準。
相依組態基準會在 Configuration Manager 控制台中顯示為設定基準的屬性。
重複的設定基準
Configuration Manager 中重複的組態基準是現有設定基準的確切復本,不會保留與原始組態的任何關聯性。 如果您想要建立一些類似但不相關的設定基準,而且您有一個設定基準做為範本,則建立重複的設定基準可能很適合。 另一個案例是,如果您需要在匯入的設定基準中重新定義規則或設定專案。
如果匯入的設定基準包含 Configuration Manager 無法解譯的組態數據,您就無法複製它。
設定專案
設定專案會定義不同的設定單位,以評估合規性。 它們可以包含一或多個元素及其驗證準則,而且通常會定義您想要在獨立變更層級監視的組態單位。
設定專案是設定基準的建置組塊,因此相同的設定專案可以用於多個設定基準。
Configuration Manager 支援下列設定項目類型:
作系統設定專案 組態專案,用來判斷與作系統版本和組態相關的設定合規性。
應用程式設定專案 用來判斷應用程式相容性的組態專案。 這可能包括是否已安裝應用程式,以及其設定的詳細數據。
一般設定專案 組態專案,用來判斷一般設定和物件的相容性,其中它們的存在並不取決於作系統、應用程式或軟體更新。
軟體更新設定專案使用 Configuration Manager 中的軟體更新功能來判斷軟體更新合規性的設定專案。
您無法匯入、建立或設定 Desired Configuration Management 節點中的軟體更新設定專案。 而是在下載軟體更新時,透過軟體更新功能將這些專案提供給設定基準。 這表示軟體更新設定項目雖然不會顯示在 [設定專案] 節點下,但可選取要包含在設定基準中。
您可以使用 Configuration Manager 主控台匯入、建立及設定其他設定專案。 這些設定項目會顯示一些屬性,包括下列各項:
一般
物件
設定
Windows 版本
適用性
偵測方法
每個組態專案可用的屬性取決於組態項目類型。 例如,您可以設定作系統設定項目來檢查作系統的確切版本。 此屬性不適用於其他設定專案,因此您不會看到其他設定專案可用的 Windows 版本屬性。 下表列出 Configuration Manager 中組態專案的可設定屬性,並顯示每個組態專案類型是否可設定屬性。
| 組態項目類型 | 一般 | Windows 版本 | 物件 | 設定 | 偵測方法 | 適用性 | 安全性 |
|---|---|---|---|---|---|---|---|
| 一般 | √ | Ø | √ | √ | Ø | √ | √ |
| 應用程式 | √ | Ø | √ | √ | √ | √ | √ |
| 作業系統 | √ | √ | √ | √ | Ø | Ø | √ |
| 軟體更新 | √ | Ø | Ø | Ø | Ø | Ø | √ |
鑰匙:
√ = Available 屬性
Ø = 屬性無法使用
除了軟體更新設定專案,您可以在 Configuration Manager 控制台的 [Desired Configuration Management] 底下的 [設定專案] 節點中檢視和編輯每個設定項目的屬性。 使用 [軟體 匯報 節點來檢視和編輯軟體更新設定專案。
除了 Desired Configuration Management 節點中組態專案的可設定屬性之外,您也會在 [一 般 ] 屬性中看到顯示的稽核資訊,其中顯示組態專案的建立時間、上次編輯的時間,以及由誰編輯。 此外,[ 關聯性 ] 屬性索引標籤會顯示設定專案與其他設定專案和組態基準的關聯性。
子設定專案
子組態專案是組態專案的複本,會繼續繼承原始組態項目的屬性。 您無法使用其驗證準則來修改子設定專案的繼承對象和設定,但您可以將其他驗證準則新增至繼承的對象和設定,也可以將新的物件和設定新增至子組態專案。 建立和編輯子設定專案的一般用途是,它會精簡原始設定專案以符合您的商務需求。
由於繼承自父系的屬性與子組態專案的相依性關聯性,因此修改原始設定專案會影響子設定專案。
當您已從最佳做法組態基準匯入設定數據,而且您想要在新版本發行時能夠更新設定數據,以繼續將其屬性傳遞至子設定專案時,子設定專案便是適當的。
另一個使用子組態專案的案例是當您需要保留繼承以進行精確管理時。 例如,如果您的設定項目定義了所有計算機都必須遵守的公司安全策略,但您的財務部門計算機受限於其他安全性需求,則可以使用子設定專案。 在此情況下,您可以從公司安全策略設定專案建立子設定專案。 子設定專案會繼承公司安全策略中的所有屬性,但會加以編輯以包含額外的安全性需求。 如果公司安全策略變更,則可以修改原始設定專案,而不需要同時修改財務部門中計算機的設定專案。 同樣地,如果財務部門計算機的需求變更,則只需要修改子設定專案,而不需要修改定義公司安全策略的原始設定專案。
重複的設定專案
重複的組態專案是另一個設定專案的確切複本,不會保留與原始設定專案的任何關聯性。 因此,您可以使用重複的組態專案做為範本,只修改幾個屬性,並獨立保留這兩個設定專案,或者您可以在匯入只讀組態專案時使用它 (例如,從最佳做法組態基準) ,並想要使用組態專案進行修改,而不要保留原始設定專案的任何繼承。
此外,如果您想要使用匯入的設定專案,但從中刪除物件或設定 (或其相關的驗證準則) ,您唯一的編輯選擇是建立重複的組態專案,並據此編輯該重複的設定專案。