Windows Embedded 장치의 System Center Configuration Manager 클라이언트 배포 및 관리에 대한 예제 시나리오

 

적용 대상: System Center Configuration Manager (current branch)

이 시나리오에서는 System Center Configuration Manager을 통해 쓰기 필터를 사용하는 Windows Embedded 장치를 관리하는 방법을 보여 줍니다. Embedded 장치가 쓰기 필터를 지원하지 않는 경우 표준 Configuration Manager 클라이언트로 동작하므로 쓰기 필터를 관리하는 데 필요한 이 시나리오의 단계를 수행하지 않아도 됩니다.

Coho Vineyard & Winery에서는 방문자 센터를 개설할 예정이며 Windows Embedded를 실행하여 대화형 프레젠테이션을 실행하는 키오스크에 관심을 가지고 있습니다. 새 방문자 센터로 사용할 건물은 IT 부서에서 가깝지 않으므로 원격으로 키오스크를 관리할 수 있는 것이 중요합니다. 대화형 프레젠테이션을 실행하는 소프트웨어를 설치하는 것 외에도 이러한 장치에서 최신 맬웨어 방지 소프트웨어를 실행하여 회사 보안 정책을 준수해야 합니다. 방문자가 대화형 프레젠테이션을 항상 사용할 수 있도록 하기 위해 방문객 센터가 운영 중인 동안 가동 중지 시간 없이 키오스크를 매일 실행해야 합니다.

Coho Vineyard & Winery에서는 이미 Configuration Manager을 실행하여 네트워크 장치를 관리하고 있습니다.Configuration Manager는 Endpoint Protection을 실행하고 소프트웨어 업데이트와 응용 프로그램을 설치하도록 구성되어 있습니다. 그러나 IT 팀에서는 이전에 Windows Embedded 장치를 관리해 본 적이 없기 때문에 Configuration Manager 관리자인 Jane이 파일럿을 실행하여 회사의 리셉션 로비에 있는 두 키오스크를 관리하고 있습니다. 이러한 장치를 원격으로 관리하는 파일럿이 성공할 경우 방문자 센터 키오스크에 대한 구매 주문이 승인될 수 있습니다.

쓰기 필터를 지원하는 이러한 Windows Embedded 장치를 관리하기 위해 Jane은 Configuration Manager 클라이언트를 설치하고, Endpoint Protection을 사용하여 클라이언트를 보호하고, 대화형 프레젠테이션 소프트웨어를 설치하는 다음과 같은 단계를 수행합니다.

프로세스참조
Jane은 Windows Embedded 장치에서 쓰기 필터를 사용하는 방식과 Configuration Manager에서 자동으로 쓰기 필터를 사용하도록 설정한 후 다시 사용하지 않도록 설정하는 방식으로 쓰기 필터 사용을 간편하게 하여 소프트웨어 설치 상태를 유지하는 방식에 대해 읽습니다.System Center Configuration Manager에서 Windows Embedded 장치에 클라이언트 배포 계획
Configuration Manager 클라이언트를 설치하기 전에 Jane은 Windows Embedded 장치를 위한 새로운 쿼리 기반 장치 컬렉션을 만듭니다. 회사에서는 표준 명명 형식을 사용하여 컴퓨터를 식별하기 때문에 Jane은 컴퓨터 이름의 첫 6자로 Windows Embedded 장치를 고유하게 식별할 수 있습니다. WEMDVC Jane은 다음 WQL 쿼리를 사용하여 이 컬렉션을 만듭니다. select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%"

이 컬렉션을 통해 다른 장치와 다른 구성 옵션을 갖는 Windows Embedded 장치를 관리할 수 있습니다. Jane은 이 컬렉션을 사용하여 다시 시작을 제어하고, 클라이언트 설정을 갖는 Endpoint Protection을 배포하고, 대화형 프레젠테이션 응용 프로그램을 배포하게 됩니다.
System Center Configuration Manager에서 컬렉션을 만드는 방법
Jane은 프레젠테이션 응용 프로그램 설치와 업그레이드에 필요할 수 있는 다시 시작이 방문자 센터 운영 시간 동안 발생하지 않도록 컬렉션의 유지 관리 기간을 구성합니다. 운영 시간은 월요일부터 일요일 09:00부터 18:00이므로 유지 관리 기간을 매일 18:30부터 06:00까지로 구성합니다.System Center Configuration Manager에서 유지 관리 기간을 사용하는 방법
그런 다음 Jane은 다음 설정에 대해 를 선택하여 Endpoint Protection 클라이언트를 설치하도록 사용자 지정 장치 클라이언트 설정을 구성하고 이 사용자 지정 클라이언트 설정을 Windows Embedded 장치 컬렉션에 배포합니다.

- 클라이언트 컴퓨터에 Endpoint Protection 클라이언트 설치
- 쓰기 필터를 지원하는 Windows Embedded 장치에 Endpoint Protection 클라이언트 설치 커밋(다시 시작 필요)
- 유지 관리 기간 외에 Endpoint Protection 클라이언트 설치 및 다시 시작이 수행될 수 있도록 허용

 Configuration Manager 클라이언트가 설치될 때 이러한 설정으로 인해 Endpoint Protection 클라이언트가 설치되고 오버레이에만 기록되지 않고 설치의 일부로 운영 체제에 유지됩니다. 회사 보안 정책에 따라 맬웨어 방지 소프트웨어가 항상 설치되어 있어야 하며 Jane은 키오스크가 다시 시작될 경우 잠깐이라도 보호되지 않는 위험에 처하기를 원치 않습니다. Note: Endpoint Protection 클라이언트를 설치하는 데 필요한 다시 시작은 방문자 센터가 운영되기 전에 장치 설치 기간 동안 한 번만 이루어집니다. 응용 프로그램 또는 소프트웨어 정의 업데이트가 정기적으로 배포되는 것과 달리, 동일한 장치에 Endpoint Protection 클라이언트가 설치되는 다음 시기는 회사에서 차기 버전의 Configuration Manager로 업그레이드하는 때가 될 것입니다.
System Center Configuration Manager에서 Endpoint Protection 구성
이제 클라이언트에 대한 구성 설정이 갖추어졌으므로 Jane은 Configuration Manager 클라이언트 설치를 준비합니다. 클라이언트를 설치하려면 먼저 Windows Embedded 장치에서 쓰기 필터를 사용하지 않도록 수동으로 설정해야 합니다. Jane은 키오스크에 대한 OEM 문서를 읽고 해당 지침에 따라 쓰기 필터를 사용하지 않도록 설정합니다.

Jane은 회사 표준 명명 형식을 사용하도록 장치의 이름을 바꾼 후에 클라이언트 원본 파일이 있는 매핑된 드라이브에서 다음 명령을 사용하여 CCMSetup을 실행함으로써 수동으로 클라이언트를 설치합니다. CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

이 명령은 클라이언트를 설치하고 mpserver.cohovineyardandwinery.com의 인트라넷 FQDN을 갖는 관리 지점에 클라이언트를 할당한 후에 CO1이라는 기본 사이트에 클라이언트를 할당합니다.

Jane은 클라이언트가 설치되고 사이트에 상태를 보내기까지 항상 약간의 시간이 걸린다는 것을 알고 있으므로 기다렸다가 클라이언트가 성공적으로 설치되고 사이트에 할당되어 Windows Embedded 장치용으로 만든 컬렉션의 클라이언트로 표시되는 것을 확인합니다.

추가적인 확인으로, Windows Embedded 장치에서 제어판의 Configuration Manager 속성을 확인하고 사이트에서 관리되는 표준 Windows 컴퓨터와 이러한 속성을 비교합니다. 예를 들어 구성 요소 탭의 하드웨어 인벤토리 에이전트에는 사용이 표시되고, 작업 탭에는 응용 프로그램 배포 평가 주기검색 데이터 컬렉션 주기를 포함한 11개의 작업을 사용할 수 있습니다.

클라이언트가 성공적으로 설치 및 할당되어 배포 지점에서 클라이언트 정책을 받는다는 것을 확인한 후에 Jane은 OEM의 지침을 따라 수동으로 쓰기 필터를 사용하도록 설정합니다.
System Center Configuration Manager에서 Windows 컴퓨터에 클라이언트를 배포하는 방법

 System Center Configuration Manager에서 사이트에 클라이언트를 할당하는 방법
이제 Windows Embedded 장치에 Configuration Manager 클라이언트가 설치되었으므로 Jane은 표준 Windows 클라이언트를 관리하는 것과 같은 방식으로 이러한 장치를 관리할 수 있다는 것을 확인합니다. 예를 들어 Configuration Manager 콘솔에서 원격 제어를 사용하여 원격으로 장치를 관리하고 장치에 대한 클라이언트 정책을 시작하고 클라이언트 속성 및 하드웨어 인벤토리를 볼 수 있습니다.

이러한 장치는 Active Directory 도메인에 추가되어 있기 때문에 신뢰할 수 있는 클라이언트로 수동 승인하지 않아도 되며, Configuration Manager 콘솔에서 승인되어 있는 것을 확인합니다.
System Center Configuration Manager에서 클라이언트를 관리하는 방법
대화형 프레젠테이션 소프트웨어를 설치하기 위해 Jane은 소프트웨어 배포 마법사를 실행하고 필수 응용 프로그램을 구성합니다. 마법사의 사용자 환경 페이지에 있는 Windows Embedded 장치에 대한 쓰기 필터 처리 섹션에서 기본 옵션인 최종 기한에 또는 유지 관리 기간 동안 변경 내용 커밋(다시 시작해야 함)을 적용합니다.

Jane은 다시 시작 후에 응용 프로그램이 유지되고 키오스크를 이용하는 방문자가 항상 응용 프로그램을 사용할 수 있도록 하기 위해 쓰기 필터에 대한 이 기본 옵션을 유지합니다. 일상적인 유지 관리 기간에 설치 및 업데이트를 위한 다시 시작이 안전하게 이루어질 수 있습니다.

Jane은 Windows Embedded 장치 컬렉션에 응용 프로그램을 배포합니다.
System Center Configuration Manager에서 응용 프로그램을 배포하는 방법
Jane은 Endpoint Protection에 대한 정의 업데이트를 구성하도록 소프트웨어 업데이트를 사용하고 자동 배포 규칙 만들기 마법사를 실행하고정의 업데이트 템플릿을 선택하여 Endpoint Protection에 적합한 설정으로 마법사를 미리 채웁니다.

이는 마법사의 사용자 환경 페이지에서 다음과 같은 설정입니다.

- 최종 기한 동작: 소프트웨어 설치 확인란을 선택하지 않습니다.
- Windows Embedded 장치에 대한 쓰기 필터 처리: 최종 기한에 또는 유지 관리 기간 동안 변경 내용 커밋(다시 시작해야 함) 확인란을 선택하지 않습니다.

Jane은 이러한 기본 설정을 유지합니다. 이 구성을 갖는 이러한 두 옵션은 Endpoint Protection에 대한 소프트웨어 업데이트 정의가 유지 관리 기간 동안 설치 및 커밋되도록 기다리지 않고 업무 시간 동안 오버레이에 설치되도록 허용합니다. 이 구성은 컴퓨터가 최신 맬웨어 방지 보호를 실행하도록 하는 회사의 보안 정책을 가장 잘 충족합니다. Note: 응용 프로그램에 대한 소프트웨어 설치와 달리, Endpoint Protection에 대한 소프트웨어 업데이트 정의는 하루에도 몇 번씩 매우 자주 이루어질 수 있습니다. 소프트웨어 업데이트 정의는 대개 작은 파일입니다. 이러한 유형의 보안 관련 배포의 경우 유지 관리 기간까지 기다리기보다 항상 오버레이에 설치하는 것이 좋은 경우가 많습니다.Configuration Manager 클라이언트에서는 장치가 다시 시작될 경우 소프트웨어 정의 업데이트를 신속히 다시 설치합니다. 이 작업은 예정된 다음 평가까지 기다리지 않고 평가 확인을 시작하기 때문입니다.

Jane은 자동 배포 규칙을 위해 Windows Embedded 장치 컬렉션을 선택합니다.
System Center Configuration Manager에서 Endpoint Protection 구성의 3단계: 클라이언트 컴퓨터에 정의 업데이트를 제공하도록 Configuration Manager 소프트웨어 업데이트 구성
Jane은 모든 변경 내용을 오버레이에 정기적으로 커밋하는 유지 관리 작업을 구성하기로 결정합니다. 이 작업은 소프트웨어 업데이트 정의 배포를 지원하며, 누적되어 장치가 다시 시작될 때마다 다시 설치해야 하는 업데이트 수를 줄입니다. Jane의 경험상 이렇게 하면 맬웨어 방지 프로그램이 더욱 효율적으로 실행되는 데 도움이 됩니다. Note: 이러한 소프트웨어 업데이트 정의는 Embedded 장치가 변경 내용 커밋을 지원하는 다른 관리 작업을 실행한 경우 이미지에 자동으로 커밋됩니다. 예를 들어 새로운 버전의 대화형 프레젠테이션 소프트웨어를 설치하는 경우에도 소프트웨어 업데이트 정의에 대한 변경 내용이 커밋됩니다. 또는 매월 유지 관리 기간 동안 표준 소프트웨어 업데이트를 설치하는 경우에도 소프트웨어 업데이트 정의에 대한 변경 내용이 커밋될 수 있습니다. 그러나 표준 소프트웨어 업데이트가 실행되지 않고 대화형 프레젠테이션 소프트웨어가 그리 자주 업데이트되지 않는 이 시나리오에서는 소프트웨어 정의 업데이트가 수개월 만에 이미지에 자동으로 커밋될 수 있습니다.

Jane은 먼저 이름 외에 설정이 없는 사용자 지정 작업 순서를 만듭니다. 이를 위해 작업 순서 만들기 마법사를 실행합니다.

1. 새 작업 순서 만들기 페이지에서 새 사용자 지정 작업 순서 만들기를 선택하고 다음을 클릭합니다.
2. 작업 순서 정보 페이지에서 작업 순서 이름으로 Maintenance task to commit changes on embedded devices를 입력하고 다음을 클릭합니다.
3. 요약 페이지에서 다음을 선택하여 마법사를 완료합니다.

그런 다음 Jane은 이 사용자 지정 작업 순서를 Windows Embedded 장치 컬렉션에 배포하고 매월 실행되는 일정을 구성합니다. 배포 설정 과정에서 최종 기한에 또는 유지 관리 기간 동안 변경 내용 커밋(다시 시작해야 함) 확인란을 선택하여 다시 시작 후에 변경 내용을 유지합니다. 이 배포를 구성하기 위해 방금 만든 사용자 지정 작업 순서를 선택하고 탭의 배포 그룹에서 배포를 클릭하여 소프트웨어 배포 마법사를 시작합니다.

1. 일반 페이지에서 Windows Embedded 장치 컬렉션을 선택한 후에 다음을 클릭합니다.
2. 배포 설정 페이지에서 용도필수로 선택하고 다음을 클릭합니다.
3. 일정 페이지에서 새로 만들기를 클릭하여 유지 관리 기간 동안의 주별 일정을 지정한 후에 다음을 클릭합니다.
4. Jane은 더 이상 변경하지 않고 마법사를 완료합니다.
System Center Configuration Manager에서 작업을 자동화하는 작업 순서 관리
Jane은 키오스크가 자동으로 실행되도록 다음 설정으로 장치를 구성하는 스크립트를 작성합니다.

- 암호가 없는 게스트 계정을 사용하여 자동으로 로그온합니다.
- 시작 시 자동으로 대화형 프레젠테이션 소프트웨어를 실행합니다.

Jane은 패키지와 프로그램을 사용하여 이 스크립트를 Windows Embedded 장치 컬렉션에 배포합니다. 소프트웨어 배포 마법사를 실행할 때 다시 최종 기한에 또는 유지 관리 기간 동안 변경 내용 커밋(다시 시작해야 함) 확인란을 선택하여 다시 시작 후에 변경 내용을 유지합니다.
System Center Configuration Manager의 패키지 및 프로그램
다음 날 아침 Jane은 Windows Embedded 장치에 대해 다음을 확인합니다.

- 키오스크가 게스트 계정을 사용하여 자동으로 로그온되어 있습니다.
- 대화형 프레젠테이션 소프트웨어가 실행 중입니다.
- Endpoint Protection 클라이언트가 설치되어 있고 최신 소프트웨어 업데이트 정의를 갖추고 있습니다.
- 장치가 유지 관리 기간 동안 다시 시작되었습니다.
System Center Configuration Manager에서 Endpoint Protection을 모니터링하는 방법

 System Center Configuration Manager에서 응용 프로그램 모니터링

Jane은 키오스크를 모니터링하여 성공적으로 관리되고 있음을 상사에게 보고합니다. 결과적으로 방문자 센터에 20개의 키오스크를 주문했습니다.

쓰기 필터를 수동으로 사용하지 않도록 설정했다가 다시 사용하도록 설정해야 하는 Configuration Manager 클라이언트의 수동 설치를 방지하기 위해 Jane은 Configuration Manager 클라이언트의 설치와 사이트 할당이 이미 들어 있는 사용자 지정 이미지를 주문에 포함합니다. 또한 회사의 이름 지정 형식에 따라 장치의 이름을 지정했습니다.

키오스크는 방문자 센터 개장 일주일 전에 배송되었습니다. 이 기간 동안 키오스크를 네트워크에 연결하고 로컬 관리자가 필요 없도록 키오스크의 모든 장치 관리를 자동화했습니다. Jane은 키오스크가 다음과 같이 필요한 대로 작동하는지 확인합니다.

  • 키오스크의 클라이언트가 사이트 할당을 완료하고 Active Directory 도메인 서비스에서 신뢰할 수 있는 루트 키를 다운로드합니다.

  • 키오스크의 클라이언트가 Windows Embedded 장치 컬렉션에 자동으로 추가되고 유지 관리 기간을 사용하도록 구성됩니다.

  • Endpoint Protection 클라이언트가 설치되어 있고 맬웨어 방지를 위한 최신 소프트웨어 업데이트 정의를 갖추고 있습니다.

  • 대화형 프레젠테이션 소프트웨어가 설치되어 있고 자동으로 실행되어 방문자가 사용할 수 있는 상태입니다.

이 초기 설치 후에 업데이트를 위해 다시 시작이 필요할 경우 방문자 센터가 운영되지 않는 시간에만 이루어집니다.

System Center Configuration Manager에 대한 예제 시나리오
System Center Configuration Manager에 대한 클라이언트 관리 기술 참조

표시: