Criar itens de configuração personalizados para computadores de secretária e servidores Windows geridos com o cliente Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Utilize o item de configuração Configuration Manager Servidores e Ambientes de Trabalho do Windows personalizados para gerir as definições de computadores e servidores Windows que são geridos pelo cliente Configuration Manager.

Iniciar o assistente

1. Na consola Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade e selecione o nó Itens de Configuração.

2. No separador Base do friso, no grupo Criar , selecione Criar Item de Configuração.

3. Na página Geral do Assistente para Criar Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.

4. Em Especificar o tipo de item de configuração que pretende criar, selecione Ambientes de Trabalho e Servidores do Windows (personalizados).

   • Se quiser fornecer definições do método de deteção que marcar para a existência de uma aplicação, selecione Este ficheiro de configuração contém as definições da aplicação.

5. Para ajudá-lo a procurar e filtrar itens de configuração na consola do Configuration Manager, selecione Categorias para criar e atribuir categorias.

Métodos de deteção

Utilize este procedimento para fornecer informações do método de deteção para o item de configuração.

Observação

Estas informações só se aplicam se selecionar Este item de configuração contém as definições da aplicação na página Geral do assistente.

Um método de deteção no Configuration Manager contém regras que são utilizadas para detetar se uma aplicação está instalada num computador. Esta deteção ocorre antes de o cliente avaliar a conformidade do item de configuração. Para detetar se uma aplicação está instalada, pode detetar a presença de um ficheiro do Windows Installer para a aplicação, utilizar um script personalizado ou selecionar Assumir sempre que a aplicação está instalada para avaliar o item de configuração relativamente à conformidade, independentemente de a aplicação estar instalada.

Para detetar uma instalação de aplicação com o ficheiro do Windows Installer

1. Na página Métodos de Deteção do Assistente para Criar Item de Configuração, selecione a opção Utilizar a deteção do Windows Installer.

2. Selecione Abrir, navegue até ao ficheiro do Windows Installer (.msi) que pretende detetar e, em seguida, selecione Abrir.

3. O campo Versão é preenchido automaticamente com o número da versão do ficheiro do Windows Installer. Se o valor apresentado estiver incorreto, introduza um novo número de versão aqui.

4. Se quiser detetar cada perfil de utilizador no computador, selecione Esta aplicação está instalada para um ou mais utilizadores.

Para detetar uma aplicação e um tipo de implementação específicos

1. Na página Métodos de Deteção do Assistente para Criar Item de Configuração, selecione Para Detetar uma aplicação específica e tipo de implementação. Escolha Selecionar.

2. Na caixa de diálogo Especificar Aplicação , selecione a aplicação e um tipo de implementação associado que pretende detetar.

Para detetar uma instalação de aplicação com um script personalizado

Quando um script Windows PowerShell é executado como um método de deteção, o cliente Configuration Manager chama o PowerShell com o -NoProfile parâmetro . Esta opção inicia o PowerShell sem perfis. Um perfil do PowerShell é um script que é executado quando o PowerShell é iniciado.

1. Na página Métodos de Deteção do Assistente para Criar Item de Configuração, selecione a opção Utilizar um script personalizado para detetar esta aplicação.

2. Na lista, selecione o idioma do script. Escolha entre os seguintes formatos:

   • VBScript

   • JScript

   • PowerShell

3. Selecione Abrir, navegue para o script que pretende utilizar e, em seguida, selecione Abrir.

   Importante

   Ao utilizar um script do PowerShell assinado, certifique-se de que seleciona Abrir. Não pode utilizar copiar e colar para um script assinado.

Especificar plataformas suportadas

Na página Plataformas Suportadas do Assistente para Criar Item de Configuração, selecione as versões do Windows nas quais pretende que o item de configuração seja avaliado relativamente à compatibilidade ou selecione Selecionar tudo.

Também pode Especificar a versão do Windows manualmente. Selecione Adicionar e especifique cada parte do número de compilação do Windows.

Observação

Ao especificar Windows Server 2016, a seleção para All Windows Server 2016 and higher 64-bit) também inclui Windows Server 2019. Para especificar apenas Windows Server 2016, utilize a opção para Especificar manualmente a versão do Windows.

Definir configurações

Utilize este procedimento para configurar as definições no item de configuração.

As definições representam as condições empresariais ou técnicas utilizadas para avaliar a conformidade em dispositivos cliente. Pode configurar uma nova definição ou navegar para uma definição existente num computador de referência.

1. Na página Definições do Assistente para Criar Item de Configuração, selecione Novo.

2. No separador Geral da caixa de diálogo Criar Definição , forneça as seguintes informações:

   • Nome: introduza um nome exclusivo para a definição. Pode utilizar um máximo de 256 carateres.

   • Descrição: introduza uma descrição para a definição. Pode utilizar um máximo de 256 carateres.

   • Tipo de definição: na lista, selecione e configure um dos seguintes tipos de definição a utilizar para esta definição:

     • Consulta do Active Directory
     • Assembly
     • Sistema de arquivos
     • Metabase do IIS
     • Chave do Registro
     • Valor do Registro
     • Script
     • Consulta SQL
     • Consulta WQL
     • Consulta XPath

   • Tipo de dados: selecione o formato no qual a condição devolve os dados antes de serem utilizados para avaliar a definição. A lista Tipo de dados não é apresentada para todos os tipos de definições.

     Dica

     O tipo de dados Vírgula flutuante suporta apenas três dígitos após a vírgula decimal.

3. Configure detalhes adicionais sobre esta definição na lista Tipo de definição . Os itens que pode configurar variam consoante o tipo de definição que selecionou.

4. Selecione OK para guardar a definição e fechar a caixa de diálogo Criar Definição .

Consulta do Active Directory

• Prefixo LDAP: especifique um prefixo válido para a consulta Active Directory Domain Services para avaliar a compatibilidade em computadores cliente. Para fazer uma pesquisa de catálogo global, utilize LDAP:// ou GC://.

• Nome Único (DN): especifique o nome único do objeto Active Directory Domain Services que é avaliado relativamente à compatibilidade em computadores cliente.

• Filtro de pesquisa: especifique um filtro LDAP opcional para refinar os resultados da consulta Active Directory Domain Services para avaliar a compatibilidade em computadores cliente. Para devolver todos os resultados da consulta, introduza (objectclass=*).

• Âmbito de pesquisa: especifique o âmbito de pesquisa no Active Directory Domain Services

  • Base: consulta apenas o objeto especificado

  • Um Nível: esta opção não é utilizada nesta versão do Configuration Manager

  • Subárvore: consulta o objeto especificado e a respetiva subárvore completa no diretório

• Propriedade: especifique a propriedade do objeto Active Directory Domain Services utilizado para avaliar a compatibilidade em computadores cliente.

  Por exemplo, se quiser consultar a propriedade do Active Directory que armazena o número de vezes que um utilizador introduz incorretamente uma palavra-passe, introduza badPwdCount neste campo.

• Consulta: apresenta a consulta construída a partir das entradas no prefixo LDAP, Nome único (DN),Filtro de Pesquisa (se especificado) e Propriedade.

Assembly

Uma assemblagem é um bloco de código que pode ser partilhado entre aplicações. As assemblagens podem ter a extensão de nome de ficheiro .dll ou .exe. A cache de assemblagem global é a pasta %SystemRoot%\Assembly em computadores cliente. Esta cache é onde o Windows armazena todas as assemblagens partilhadas.

• Nome da assemblagem: Especifica o nome do objeto de assemblagem que pretende procurar. O nome não pode ser o mesmo que outros objetos de assemblagem do mesmo tipo. Primeiro, registe-o na cache de assemblagem global. O nome da assemblagem pode ter até 256 carateres.

Sistema de arquivos

• Tipo: na lista, selecione se pretende procurar um Ficheiro ou uma Pasta.

• Caminho: especifique o caminho do ficheiro ou pasta especificado nos computadores cliente. Pode especificar variáveis de ambiente do sistema e a variável de %USERPROFILE% ambiente no caminho.

  • O tipo de definição Sistema de ficheiros não suporta a especificação de um caminho UNC para uma partilha de rede na caixa Caminho .

  • Se utilizar a %USERPROFILE% variável de ambiente nas caixas Caminho, Ficheiro ou nome da pasta, o cliente Configuration Manager procura todos os perfis de utilizador no computador cliente. Este comportamento pode resultar na localização de várias instâncias do ficheiro ou pasta.

  • Se as definições de compatibilidade não tiverem acesso ao caminho especificado, é gerado um erro de deteção. Além disso, se o ficheiro que está a procurar estiver atualmente em utilização, é gerado um erro de deteção.

    Dica

    Selecione Procurar para configurar a definição a partir de valores num computador de referência.

• Nome do ficheiro ou pasta: especifique o nome do objeto de ficheiro ou pasta a procurar. Pode especificar variáveis de ambiente do sistema e a variável de %USERPROFILE% ambiente no nome do ficheiro ou da pasta. Também pode utilizar os carateres universais * e ? o nome do ficheiro.

  • Se especificar um nome de ficheiro ou pasta e utilizar carateres universais, esta combinação poderá produzir um elevado número de resultados. Também pode resultar numa utilização elevada de recursos no computador cliente e num tráfego de rede elevado ao comunicar resultados a Configuration Manager.

• Incluir subpastas: procure também as subpastas no caminho especificado.

• Este ficheiro ou pasta está associado a uma aplicação de 64 bits: se estiver ativada, procure apenas localizações de ficheiros de 64 bits, como %ProgramFiles% em computadores de 64 bits. Se esta opção não estiver ativada, procure localizações de 64 bits e localizações de 32 bits, como %ProgramFiles(x86)%.

  • Se existir o mesmo ficheiro ou pasta nas localizações de ficheiros do sistema de 64 bits e de 32 bits no mesmo computador de 64 bits, vários ficheiros são detetados pela condição global.

Metabase do IIS

• Caminho da metabase: especifique um caminho válido para a metabase dos Serviços de Informação Internet (IIS). Por exemplo, /LM/W3SVC/.

• ID da Propriedade: especifique a propriedade numérica da definição de metabase do IIS.

Chave do Registro

• Hive: selecione o ramo de registo que pretende pesquisar

  • Selecione Procurar para configurar a definição a partir de valores num computador de referência. Para navegar para uma chave de registo num computador remoto, ative o serviço registo remoto no computador remoto.

• Chave: especifique o nome da chave de registo que pretende procurar. Utilize o formato key\subkey.

• Esta chave de registo está associada a uma aplicação de 64 bits: pesquisar chaves de registo de 64 bits, além das chaves de registo de 32 bits nos clientes que estão a executar uma versão de 64 bits do Windows.

  • Se existir a mesma chave de registo nas localizações de registo de 64 bits e de 32 bits no mesmo computador de 64 bits, ambas as chaves de registo são detetadas pela condição global.

Valor do Registro

• Hive: selecione o ramo de registo a pesquisar.

  • Selecione Procurar para configurar a definição a partir de valores num computador de referência. Para navegar para um valor de registo num computador remoto, ative o serviço Registo Remoto no computador remoto. Também precisa de permissões de administrador para aceder ao computador remoto.

• Chave: especifique o nome da chave de registo a procurar. Utilize o formato key\subkey.

• Valor: especifique o valor que tem de estar contido na chave de registo especificada.

• Esta chave de registo está associada a uma aplicação de 64 bits: pesquise as chaves de registo de 64 bits, além das chaves de registo de 32 bits nos clientes que estão a executar uma versão de 64 bits do Windows.

  • Se existir a mesma chave de registo nas localizações de registo de 64 bits e de 32 bits no mesmo computador de 64 bits, ambas as chaves de registo são detetadas pela condição global.

Script

O valor devolvido pelo script é utilizado para avaliar a compatibilidade da condição global. Por exemplo, ao utilizar o VBScript, pode utilizar o comando WScript.Echo Result para devolver o valor da variável Result à condição global. Quando utiliza Windows PowerShell como um script de deteção ou remediação, o cliente Configuration Manager chama o PowerShell com o -NoProfile parâmetro . Esta opção inicia o PowerShell sem perfis. Um perfil do PowerShell é um script que é executado quando o PowerShell é iniciado.

• Script de deteção: selecione Adicionar Script e introduza ou navegue para um script. Este script é utilizado para localizar o valor. Pode utilizar scripts Windows PowerShell, VBScript ou Microsoft JScript.

• Script de remediação (opcional): selecione Adicionar Script e introduza ou navegue para um script. Este script é utilizado para remediar valores de definição não conformes. Pode utilizar scripts Windows PowerShell, VBScript ou Microsoft JScript.

  Importante

  • Para comunicar corretamente uma falha de remediação, os scripts têm de emitir exceções em vez de um código de saída diferente de zero.

• Executar scripts com as credenciais de utilizador com sessão iniciada: se ativar esta opção, o script é executado em computadores cliente que utilizam as credenciais do utilizador com sessão iniciada.

Importante

• Ao utilizar um script do PowerShell assinado, certifique-se de que seleciona Abrir. Não pode utilizar copiar e colar para um script assinado.
• A partir do 2207, pode definir um Tempo Limite de Execução do Script (segundos) ao configurar as definições de cliente para definições de compatibilidade.

Consulta SQL

• SQL Server instância: escolha se pretende que a consulta SQL seja executada na instância predefinida, em todas as instâncias ou num nome de instância de base de dados especificado. O nome da instância tem de se referir a uma instância local de SQL Server. Para fazer referência a uma SQL Server Always On instância de cluster de ativação pós-falha ou grupo de disponibilidade, utilize uma definição de script.

• Base de dados: especifique o nome da base de dados do Microsoft SQL Server na qual pretende executar a consulta SQL.

• Coluna: especifique o nome da coluna devolvido pela instrução Transact-SQL utilizada para avaliar a conformidade da condição global.

• Instrução Transact-SQL: especifique a consulta SQL completa que pretende utilizar para a condição global. Para utilizar uma consulta SQL existente, selecione Abrir.

  Importante

  As definições de consulta SQL não suportam quaisquer comandos SQL que modifiquem a base de dados. Só pode utilizar comandos SQL que leem informações da base de dados.

Consulta WQL

• Espaço de nomes: especifique o espaço de nomes WMI que é avaliado relativamente à compatibilidade em computadores cliente. O valor padrão é root\cimv2.

• Classe: especifique a classe WMI de destino no espaço de nomes acima.

• Propriedade: especifique a propriedade WMI de destino na classe acima.

• Cláusula WHERE da consulta WQL: especifique uma cláusula de qualificação para reduzir os resultados. Por exemplo, para consultar apenas o serviço DHCP na classe Win32_Service, a cláusula WHERE pode ser Name = 'DHCP' and StartMode = 'Auto'.

Consulta XPath

• Caminho: especifique o caminho do ficheiro .xml em computadores cliente que é utilizado para avaliar a compatibilidade. Configuration Manager suporta a utilização de todas as variáveis de ambiente do sistema Windows e a variável de %USERPROFILE% utilizador no nome do caminho.

• Nome do ficheiro XML: especifique o nome do ficheiro que contém a consulta XML no caminho acima.

• Incluir subpastas: ative esta opção para procurar subpastas no caminho especificado.

• Este ficheiro está associado a uma aplicação de 64 bits: pesquise a localização %Windir%\System32 do ficheiro de sistema de 64 bits para além da localização %Windir%\Syswow64 do ficheiro de sistema de 32 bits em clientes Configuration Manager que executem uma versão de 64 bits do Windows.

• Consulta XPath: especifique uma consulta XPath (full XPath) de linguagem de caminho XML válida.

• Espaços de nomes: identifique os espaços de nomes e prefixos a utilizar durante a consulta XPath.

Se tentar detetar um ficheiro .xml encriptado, as definições de compatibilidade encontram o ficheiro, mas a consulta XPath não produz resultados. O cliente Configuration Manager não gera um erro.

Se a consulta XPath não for válida, a definição é avaliada como não conforme nos computadores cliente.

Configurar regras de conformidade

As regras de conformidade especificam as condições que definem a conformidade de um item de configuração. Para que uma definição possa ser avaliada relativamente à conformidade, tem de ter, pelo menos, uma regra de conformidade. As definições de WMI, registo e script permitem-lhe remediar valores que são considerados não conformes. Pode criar novas regras ou navegar para uma definição existente em qualquer item de configuração para selecionar regras na mesma.

Para criar uma regra de conformidade

1. Na página Regras de Conformidade do Assistente para Criar Item de Configuração, selecione Novo.

2. Na caixa de diálogo Criar Regra , forneça as seguintes informações:

   • Nome: introduza um nome para a regra de conformidade.

   • Descrição: introduza uma descrição para a regra de conformidade.

   • Definição selecionada: selecione Procurar para abrir a caixa de diálogo Selecionar Definição . Selecione a definição para a qual pretende definir uma regra ou selecione Nova Definição. Quando tiver terminado, selecione Selecionar.

     Dica

     Para ver informações sobre a definição atualmente selecionada, selecione Propriedades.

   • Tipo de regra: selecione o tipo de regra de conformidade que pretende utilizar:

     • Valor: crie uma regra que compare o valor devolvido pelo item de configuração com um valor que especificar. Para obter mais informações sobre as definições adicionais, veja Regras de valor.

     • Existencial: crie uma regra que avalie a definição consoante exista num dispositivo cliente ou no número de vezes que é encontrada. Para obter mais informações sobre as definições adicionais, veja Existencial rules (Regras existenciais).

3. Selecione OK para fechar a caixa de diálogo Criar Regra .

Regras de valor

• Propriedade: a propriedade do objeto para marcar varia consoante a definição selecionada. As propriedades disponíveis variam com base no tipo de definição.

• A definição tem de estar em conformidade com o seguinte...: as regras ou permissões disponíveis variam consoante o tipo de definição.

• Remediar regras incompatíveis quando suportado: selecione esta opção para Configuration Manager para remediar automaticamente regras incompatíveis. Configuration Manager suporta esta ação com os seguintes tipos de regra:

  • Valor do registo: se não estiver em conformidade, o cliente define o valor do registo. Se não existir, o cliente cria o valor.

  • Script: o cliente utiliza o script de remediação que especificou com a definição.

  • Consulta WQL

  Importante

  • Para comunicar corretamente uma falha de remediação, os scripts têm de emitir exceções em vez de um código de saída diferente de zero.
  • Só pode remediar regras incompatíveis quando o operador de regra está definido como Igual a.

• Comunicar não conformidade se esta instância de definição não for encontrada: se esta definição não for encontrada em computadores cliente, ative esta opção para que o item de configuração comunique não conformidade.

• Gravidade de não conformidade para relatórios: especifique o nível de gravidade comunicado no Configuration Manager relatórios se esta regra de compatibilidade falhar. Estão disponíveis os seguintes níveis de gravidade:

  • Nenhum
  • Information
  • Aviso
  • Crítico
  • Crítico com evento: os computadores que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha crítica. Este nível de gravidade também é registado como um evento do Windows no registo de eventos da aplicação.

Regras existenciais

Observação

As opções apresentadas podem variar consoante o tipo de definição para o qual está a configurar uma regra.

• A definição tem de existir em dispositivos cliente

• A definição não pode existir em dispositivos cliente

• A definição ocorre o seguinte número de vezes:

• Gravidade de não conformidade para relatórios: especifique o nível de gravidade comunicado no Configuration Manager relatórios se esta regra de compatibilidade falhar. Estão disponíveis os seguintes níveis de gravidade:

  • Nenhum
  • Information
  • Aviso
  • Crítico
  • Crítico com evento: os computadores que não cumpram esta regra de compatibilidade comunicam uma gravidade de falha crítica. Este nível de gravidade também é registado como um evento do Windows no registo de eventos da aplicação.

Controlar remediações de itens de configuração

(Introduzido na versão 2002)

A partir do Configuration Manager versão 2002, pode Controlar o histórico de remediação quando suportado nas regras de conformidade do item de configuração. Quando esta opção está ativada, qualquer remediação que ocorra no cliente do item de configuração gera uma mensagem de estado. O histórico é armazenado na base de dados Configuration Manager.

Crie relatórios personalizados para ver o histórico de remediação com a vista pública v_CIRemediationHistory. A RemediationDate coluna é a hora em QUE, em UTC, o cliente executou a remediação. O ResourceID identifica o dispositivo. Criar relatórios personalizados com a vista de v_CIRemediationHistory ajuda-o:

• Identificar possíveis problemas com os scripts de remediação
• Encontre tendências em remediações, como um cliente que não está consistentemente em conformidade com cada ciclo de avaliação.

Ativar a opção Controlar o histórico de remediação quando suportado

• Para novos itens de configuração, adicione a opção Controlar o histórico de remediação quando suportado no separador Regras de Conformidade quando criar uma nova definição na página Definições do assistente.
• Para itens de configuração existentes, adicione a opção Controlar histórico de remediação quando suportado no separador Regras de Conformidade no item de configuração Propriedades.

Próximas etapas

Configuração e linhas de base