SCCM 2012法规遵从性设置
如果您使用过SCCM 2007,那么配置管理器2007所需的配置管理现在在系统中心2012配置管理器中称为SCCM 2012合规设置。SCCM 2012遵从性设置包含帮助您评估用户和客户端设备对许多配置的遵从性的工具,例如是否正确安装和配置了正确的Windows操作系统版本,是否正确安装和配置了所有必需的应用程序,是否正确配置了可选应用程序,以及是否安装了禁止的应用程序。配置管理器中的Windows Management Instrumentation (WMI)、注册表、脚本和所有移动设备设置类型的配置项设置允许您在发现不合规设置时自动修复它们。
SCCM 2012法规遵从性设置
通过定义一个配置基线来评估遵从性,该基线包含您想要评估的配置项,以及描述您必须具有的遵从性级别的设置和规则。您可以在Microsoft System Center configuration Manager配置包中从web导入此配置数据,作为Microsoft和其他供应商在配置管理器中定义的最佳实践,然后将其导入到配置管理器中。管理员可以创建新的配置项和配置基线。定义了配置基线后,您可以通过集合将其部署到用户和设备,并在计划中评估其设置的合规性。客户端设备可以部署多个配置基线。
配置项:一组设置、值和标准,用于定义在目标系统上比较、检查或评估什么.
配置基线:这是多个配置项的分组。配置项必须是配置基线的一部分,以便在系统集合上进行评估。
在配置管理器中进行合规设置的前提条件
1)必须启用并配置客户端以进行合规性评估要启用它,请在CM控制台点击政府,客户端设置.右击自定义客户端设备设置并选择属性.选择合规的设置.
注意:如果要在所有设备上启用遵从性,请选择默认客户端设置。在这个例子中,我创建了一个自定义客户端设备设置和合规性设置被选中并设置为true。
在左侧窗格中,选择合规的设置及以下设备的设置集在客户端上启用合规性评估作为真正的.
2)必须安装和配置报告点站点系统角色.要安装报告点站点角色,请单击政府,网站配置,网站,添加站点系统角色,选择报告服务点.
作为一个例子,我们将从一个供应商下载配置管理器包,并将其导入我们的配置管理器。我们将把配置基线部署到一个集合并测试遵从性。在本例中,我们将下载System Center 2012配置管理器的配置包。此配置包包含用于使用配置管理器2012中的所需配置管理组件管理您的配置管理器2012站点系统角色的配置项。这个配置包监视以下站点系统角色:管理分,网站服务器,华体会体育系列软件更新点.
下载配置包后,在SCCM机器上安装msi文件。还要注意文件安装的路径。
在CM控制台中,单击Under资产和遵从性,合规的设置右键单击配置基线然后选择导入配置数据.
单击Add。
浏览到安装配置包的路径。选择配置管理器配置包(。Cab文件),然后点击打开。在下一个屏幕上单击next。
点击关闭。
导入配置包后,单击Configuration Items。我们看到有四个配置项。右键单击其中一个,然后单击属性。
每个配置项都有这些属性。该配置项根据Microsoft推荐的最佳实践评估CM 2012管理点角色的配置。
在下一个标签中,设置,有很少的脚本执行测试管理点与微软的最佳实践。
要部署此配置基线,请在配置基线上单击deploy。
点击在支持的情况下修复不合规的规则而且允许在维护窗口之外进行修复.通过单击选择集合浏览.在本例中,我创建了一个名为SCCM Server的设备集合,并将我的SCCM添加到其中。单击自定义并设置所选的时间表。
我们现在看到了变化。配置基线已部署到集合。几分钟后,我们看到下面不服从计数该值被转换为1从0.让我们找出原因。
在SCCM机器上,单击控制面板,配置管理器,配置-我们看到有一个基线存在。这与我们在上述步骤中应用的配置基线相同。点击评估然后查看报告.
在这4个配置项中,有一个项报告了我们的SCCM服务器不兼容。
让我们看看为什么它不合规。在不合规规则下,我们看到管理点的BGB防火墙端口是开放的。根据脚本,警告设置为生成,如果发现BGB端口关闭在MP上。其余的配置项报告我们的服务器是合规的。
什么是BGB(绿色大按钮)-管理员可以通过快速扫描或全面扫描等方式在大量客户端之间推出紧急操作,以对抗特定感染。
右键单击配置项Microsoft System Center 2012配置管理器管理点中,选择属性,选择遵守规则中,选择BGB防火墙端口并点击编辑.
此处定义的设置检查防火墙上的BGB端口是否开放。如果它没有打开,则会生成一个警告。
下一步我们将修改BGB防火墙端口的合规规则。根据合规条件,BGB防火墙端口应该在管理点上开放。在本实验中,我们不需要打开BGB端口,因此我们将修改脚本from返回的值=“不等于”。这意味着如果管理点关闭BGB端口,则不会产生警告。
几分钟后,我们在SCCM服务器上评估并运行遵从性报告,我们看到我们的SCCM服务器完全符合微软推荐的最佳实践。
在CM控制台中,遵从性计数值从0更改为1。
我用了一些应用程序一天,就是今天,当我重新启动系统时,它恢复正常状态,SCCM中有什么特性吗
是否可以使用遵从性报告自动安装应用程序的软件包?华体会体育系列我们有一些默认的应用程序,需要在系统上,我正在检查是否有一种方法来自动安装应用程序,如果它是丢失的。
Prajwal,
我想先告诉你,你是全世界管理员和工程师的救星。
现在回答我的问题。我有几个正在运行的遵从性基线,每个基线都包含几个配置项。我使用分层域,但在部署报告中,域不是一个显示选项,并且我们有在不同域中具有相同名称的设备对遗留软件执行此操作。华体会体育系列我从一个配置基线部署中的不合规设备中创建了一个设备集合,但是SCCM没有告诉我哪个配置项是不合规的原因。我已经在集合视图中添加了“遵从性错误细节”列,但是它是空白的。你有什么建议可以帮助我解决这个问题吗?
提前谢谢!
你好,
我读到sccm通过设计为客户端的基线评估计划增加了2小时的随机延迟。我找不到任何微软文档说明这一点,但我确实目睹了这种行为。你是否有任何官方链接让我可以确认这个信息?
你好Prajwal
早上好。
你能告诉我为什么在SCCM中关于收款的%符合率突然上升和下降吗?
嗨Prajwal /,
有没有人能帮我做客户合规评估。我没有看到Windows服务器(客户端机器)上的配置选项卡和合规策略选项卡(在配置项页面)。任何我错过启用。
早上好,普拉杰瓦尔,
一如既往,这篇文章信息量很大。有一件事,我抓我的头,并有麻烦在网上找到这是-你在哪里寻找为什么你的补救脚本不工作?我已经成功地为没有启用BitLocker的计算机创建了一个配置项/基线,并且我有一个快速的PowerShell补救脚本来打开BitLocker,如果它不是。它报告了正确的遵从状态,但没有修复不遵从的设备。提前感谢你的帮助!
这是一个非常有用的帖子。请告诉我在哪里可以买到CB 1806。
嗨Prajawal,
您能否指导我,我们可以创建一个配置项(CI)与有更多的设置。例如-我想我的配置项读取3注册表项,所以我必须创建一个CI或3个CI。
你真的可以做任何一件事。您可以为每个注册表项执行一个CI,但是使用多个设置执行单个CI可能更简单。每个注册表项都有一个设置和符合CI的规则。
这么好的帖子,谢谢分享
我在评估阶段有一个问题,当我试图返回退出“0”信号来触发补救时,它一直返回错误。
我在做什么傻事吗?或者不应该通过合规来完成?
我试图禁用NetBIOS,需要通过SCCM到多个客户端这样做。
我有以下的地方(他们工作时,本地运行)
发现脚本
$adapter=(gwmi win32_networkadapterconfiguration | where{$_。Ipenabled -eq " 1 "})
Foreach($适配器中的$nic) {if($适配器。tcpipnetbioosoptions -ne " 2 ") {[System.Environment]::Exit(1)}} [System.Environment]::Exit(0)
修复脚本
$adapter=(gwmi win32_networkadapterconfiguration | where{$_。Ipenabled -eq " 1 "})
Foreach ($ adapter中的$nic) {
美元adapter.settcpipnetbios (2)
}
因此,在本地的每台机器上运行脚本,如果已经兼容,SCCM就会给出正确的响应
但
如果注册表值返回为$adapter。TcpIPNetBiosOptions -ne“2”,则配置遵从性在配置管理器中评估时显示“错误”,并且不会自动触发补救措施。如果我自己运行该脚本,则配置返回为兼容的。
我看到报告了以下错误
设置发现错误0x80070001功能错误。窗户
PS很好,如何在这里和在TechNet文档
在服务器2016和SCCM CB“1706”上,我得到了Microsoft.updateservices.admindataaccessproxy.dll存在检查和microsoft.updateservices.baseapi.dll存在检查失败。
这正常吗?
嗨Prajwal。好的文章!
有没有最新版本的SCCM包?我一直在搜索,但只找到了这个包,我不确定它是否与最新版本兼容…
欢呼,
佩德罗
我无法为你附上链接。是的,CB所有版本都有,>
如果你注意到我也有同样的问题,并且是从SCCM社区得到的。
你好Prajwal,
请讲,我有一个问题,我们总是要点击评估
配置管理器执行电源脚本?
我有一个PS安装网络打印机作为默认运行通过合规sccm2012,但没有部署在客户端(笔记本电脑),我必须去配置管理器,点击评估安装打印机。
非常感谢。
问候
F
找不到R2的更新包。有人知道这个基线对SCCM 2012 R2是否仍然有效吗?
不,它可能不适用于SCCM 2012 R2。我还没有找到任何SCCM 2012 R2的包。
不错的文章,配置基线是一个强大的工具,人们经常丢弃,但它在很多方面都有帮助。再次感谢!
我知道这是一个老帖子,但链接到包不再有效。你还有其他的来源吗?
@Joshua -谢谢你指出…您可以下载SCCM 2012配置包
@Joshua -我更新了帖子中的链接。
如果配置项没有在我的某个服务器上下载,我应该参考哪个日志文件?(对不起,新手)
您可以查看DCMAgent.log,该日志记录了配置项和应用程序的评估、冲突报告和修复等高级信息。
更多日志文件-
CIAgent.log—记录有关法规遵循设置、软件更新和应用程序管理的修复和法规遵循过程的详细信息。华体会体育系列
CITaskManager.log -记录配置项任务调度的相关信息。
log—记录关于报告策略平台结果的信息到配置项的状态消息中。
DcmWmiProvider.log -记录从WMI (Windows Management Instrumentation)读取配置项synclets的相关信息。
嗨Prajwal,
你能把我的邮箱添加到订阅者列表中吗?
提前谢谢!
Yes I will do that Thank you
谢谢你的帖子。你能把我添加到你的分发列表吗?
谢谢你!是的,我会将您的电子邮件ID添加到订阅者列表中。
嗨,兄弟,
你能不能给我解释一下,有些机器的组件是安装的,但没有启用,
哪些机器组件未启用?请详细说明…