关于配置基线和配置项目
在Configuration Manager,基线用于定义在特定时间点建立的产品或系统的配置。 Configuration Manager中的配置基线包含一组已定义的所需配置,这些配置作为一个组进行符合性评估。
配置基线
配置基线包含一个或多个具有关联规则的配置项目,它们通过集合以及符合性评估计划分配给计算机。
注意
虽然可以将配置基线分配给包含用户的集合,但只有集合中的计算机才能评估配置基线。
可以使用 Configuration Manager 控制台创建自己的配置基线,并且可以从以下源导入配置基线:
来自Microsoft或其他供应商的最佳做法配置基线
自定义创作的配置基线,从你自己的组织内部,但外部Configuration Manager
另一个Configuration Manager站点
导入配置基线时,除非它们最初在同一Configuration Manager站点中创建,否则不能直接在 Configuration Manager 控制台中修改它们。 如果需要优化配置项以满足业务要求,建议的路径如下所示:
使用自定义值创建子配置项目。
复制配置基线。
编辑重复的基线,并将配置项目替换为已编辑的子配置项目。
配置基线规则
配置基线规则用于指定如何在客户端计算机上评估配置基线中包含的配置项的符合性。 Configuration Manager中无法更改的固定类型的配置基线规则。 可将配置项目添加到以下配置基线规则:
以下操作系统配置项目之一必须存在并正确配置。
这些应用程序和常规配置项目是必需的,必须正确配置。
如果检测到这些可选的应用程序配置项,则必须正确配置它们。
这些软件更新必须存在。
这些应用程序配置项不得存在。
还必须验证这些配置基线。
配置基线分配
必须先通过计算机集合将配置基线分配给客户端计算机,然后才能评估其与Configuration Manager中的配置基线的符合性。
该赋值包含以下属性:
配置基线本身
要针对哪个集合进行合规性评估,以及它是否包括任何定义的子集合
合规性评估计划,最初使用默认合规性评估计划进行配置,但可针对每个分配进行更改
配置基线分配是配置基线的可选属性。 通过定义多个配置基线分配,可以将单个配置基线分配给多个集合。
依赖配置基线
配置基线规则之一是包含另一个配置基线。 此嵌套功能提供了一种分层方法,用于为各种计算机定义基本配置基线,然后使用针对具有类似角色的计算机具有更具体配置的其他配置基线来优化此基本配置。
如果要将自己的业务需求与导入的配置基线 ((例如无法直接编辑的Microsoft) 的最佳做法配置基线)组合在一起时,也会使用依赖基线。 使用新版本升级最佳做法配置基线时,可以导入更高版本,而无需创建新的配置基线。
依赖配置基线在 Configuration Manager 控制台中显示为配置基线的属性。
重复配置基线
Configuration Manager 中的重复配置基线是现有配置基线的确切副本,该基线不保留与原始配置的任何关系。 如果要创建许多类似但不相关的配置基线,并且有一个用作模板的配置基线,则创建重复的配置基线可能很合适。 另一种情况是,如果需要在导入的配置基线中重新定义规则或配置项目。
如果导入的配置基线包含Configuration Manager无法解释的配置数据,则不能复制该基线。
配置项目
配置项目定义要评估符合性的离散配置单元。 它们可以包含一个或多个元素及其验证条件,并且通常定义要在独立更改级别监视的配置单元。
配置项是配置基线的构建基块,因此,同一配置项目可以在多个配置基线中使用。
Configuration Manager支持以下配置项目类型:
操作系统配置项目
一个配置项目,用于确定与操作系统版本和配置相关的设置的符合性。
应用程序配置项
用于确定应用程序符合性的配置项目。 这可以包括是否安装了应用程序以及有关其配置的详细信息。
常规配置项目
一个配置项目,用于确定常规设置和对象的符合性,这些设置和对象的存在不依赖于操作系统、应用程序或软件更新。
软件更新配置项目
一个配置项目,用于使用 Configuration Manager 中的软件更新功能确定软件更新的符合性。
无法在 “所需配置管理” 节点中导入、创建或配置软件更新配置项目。 相反,在下载软件更新时,这些内容通过软件更新功能提供给配置基线。 这意味着可以选择软件更新配置项目以包含在配置基线中,尽管它们不显示在“ 配置项目” 节点下。
可以使用 Configuration Manager 控制台导入、创建和配置其他配置项目。 这些配置项显示许多属性,其中包括:
常规
对象
设置
Windows 版本
适用性
检测方法
每个配置项可用的属性取决于配置项目类型。 例如,可以配置操作系统配置项目来检查操作系统的确切版本。 此属性不适用于其他配置项目,因此看不到可用于其他配置项目的 Windows 版本属性。 下表列出了 Configuration Manager 中配置项目的可配置属性,并显示了可配置属性是否可用于每种配置项目类型。
| 配置项目类型 | 常规 | Windows 版本 | 对象 | 设置 | 检测方法 | 适用性 | 安全性 |
|---|---|---|---|---|---|---|---|
| 常规 | √ | Ø | √ | √ | Ø | √ | √ |
| Application | √ | Ø | √ | √ | √ | √ | √ |
| 操作系统 | √ | √ | √ | √ | Ø | Ø | √ |
| 软件更新 | √ | Ø | Ø | Ø | Ø | Ø | √ |
关键:
√ = Available 属性
Ø = 属性不可用
除了软件更新配置项目外,可以在Configuration Manager控制台的“所需配置管理”下的“配置项目”节点中查看和编辑每个配置项目的属性。 使用“软件汇报”节点查看和编辑软件更新配置项目。
除了 “所需配置管理 ”节点中配置项目的可配置属性外,还可以在 “常规 ”属性中看到显示的审核信息,该属性显示配置项目的创建时间、上次编辑时间以及由谁编辑。 此外, “关系” 属性选项卡显示配置项目与其他配置项目和配置基线的关系。
子配置项目
子配置项目是配置项目的副本,它将继续继承原始配置项目的属性。 不能使用其验证条件修改子配置项的继承对象和设置,但可以向继承的对象和设置添加其他验证条件,还可以向子配置项目添加新的对象和设置。 创建和编辑子配置项目的通常用途是优化原始配置项目以满足业务需求。
由于从父级继承的属性与子配置项的依赖关系,因此修改原始配置项目会影响子配置项目。
如果已从最佳做法配置基线导入配置数据,并且希望能够在新版本发布时更新配置数据,以便继续将其属性传递到子配置项目,则子配置项目是合适的。
使用子配置项目的另一种方案是需要保留继承进行精确管理。 例如,如果你有一个配置项目,该配置项目定义了所有计算机都必须遵守的公司安全策略,但财务部门的计算机受其他安全要求的约束,则可以使用子配置项目。 在这种情况下,可以从公司安全策略配置项目创建子配置项目。 子配置项目继承公司安全策略中的所有属性,但会对其进行编辑以包含其他安全要求。 如果公司安全策略发生更改,可以修改原始配置项目,而无需修改财务部门中计算机的配置项目。 同样,如果财务部门计算机的要求发生更改,则只需要修改子配置项目,而不需要修改定义公司安全策略的原始配置项目。
重复配置项目
重复配置项目是另一个配置项的精确副本,它不保留与原始配置项目的任何关系。 因此,可以使用重复的配置项目作为模板来仅修改几个属性并独立保留这两个配置项目,或者,在导入只读配置项目 (例如,从最佳做法配置基线) 想要使用配置项目进行修改,并且不保留原始配置项目的任何继承时,可以使用它。
此外,如果要使用导入的配置项目,但从中删除对象或设置 (或其相关验证条件) ,则唯一的编辑选择是创建重复的配置项目并相应地编辑该重复的配置项目。