Hintergrund:
Ich war der Hauptadministrator / -benutzer einer SCCM 2012 SP1-Implementierung in unserer Organisation, die aus etwa 500 Arbeitsstationen (Windows 7) und 120 Servern (Windows Server 2008 R2) besteht. Ich bin auch noch am Anfang meiner Karriere und habe hauptsächlich Hintergrundwissen und Leidenschaft für Netzwerke und Linux. Daher ist das Windows-Endpoint-Management etwas Neues und etwas unangenehmes für mich. Ich habe nur Erfahrung mit SCCM 2012, daher kann ich nicht mit älteren Versionen sprechen. Unsere Organisation befindet sich am Ende der Wirtschaftlichkeitskurve und unsere (mehr oder weniger) erfolgreiche Implementierung von SCCM ist größtenteils auf die Tatsache zurückzuführen, dass wir unseren Anforderungen weit genug voraus sind, um proaktiv sein zu können. Viele Standardaufgaben werden von übernommen andere Gruppen (Active Directory, E-Mail, Netzwerk, Sicherheit).
Der Preis der Funktionen: Komplexität
SCCM 2012 hat viele bewegliche Teile und wenn sie brechen, brechen sie aus Gründen, die nicht immer sofort offensichtlich oder intuitiv sind. SCCM 2012 verhält sich wie ein Aufseher, der eine Reihe vorhandener zugrunde liegender Technologien über ein einziges Framework verwaltet und nutzt. Das ist nicht einfach und bricht gelegentlich. Um eine Vorstellung davon zu bekommen, wie viele verschiedene zugrunde liegende Elemente beteiligt sind, sehen Sie sich die Anzahl der Protokolldateien an . Ich denke, bei einer groben Zählung gibt es etwa 240 Protokolldateien. Auch hier ist es (zumindest aus meiner Sicht) schwierig, die Komplexität von SCCM (oder wirklich jedem Endpoint-Management-System) zu überschätzen.
Verwalten von Endpunkten wie ein Boss
Weißt du was wirklich nervt? Gehen (oder RDPing) Sie zu jedem einzelnen Computer, um immer wieder dieselbe Aufgabe auszuführen. Das ist langweilig und Zeitverschwendung. Wenn Sie sich wirklich dazu verpflichten, dieses Werkzeug zu verwenden, kann es ein unglaublicher Kraftmultiplikator sein. Hier sind die Funktionen, mit denen Sie dies tun können:
- Software-Updates - Dies ist im Grunde nur WSUS auf Steroiden. Über die standardmäßigen WSUS-Angebote erhalten Sie eine hervorragende Berichterstellung, Granularität und Konformitätsprüfung. Wenn Sie WSUS ausführen können, können Sie Softwareupdates mit SCCM ausführen.
- Compliance-Einstellungen - Ich war sehr aufgeregt zu sehen, dass dieses Feature aus dem Land der Dinge wie Puppet stammt. Konfigurationselemente bestehen aus einer Einstellung zur Bewertung und einer Konformitätsregel, die festlegt, ob eine Korrektur durchgeführt werden soll oder nicht. Als Beispiel haben wir eine organisationsweite Anwendung gepushtDadurch wurde ein Komprimierungsdienstprogramm entfernt und durch ein anderes ersetzt. Dies hatte leider zur Folge, dass die Dateizuordnung für ZIP-Dateien nicht korrekt eingestellt wurde. Ein auf einem Registrierungsschlüssel basierendes Konfigurationselement später hatten wir die Dateizuordnung für die gesamte Flotte festgelegt. Sie können eine Vielzahl von Einstellungen bewerten - Registrierungsschlüssel / -werte, Active Directory-Abfragen, WQL- und SQL-Abfragen sowie PowerShell-Skripts. Stellen Sie sich Compliance-Einstellungen wie eine sehr flexible, granulare Version von Gruppenrichtlinienobjekten mit ( endgültiger ) Versionskontrolle und Berichterstellung vor. Der Nachteil ist, dass Sie für alles, was auch nur geringfügig komplex ist, Skripte schreiben und wir uns immer noch nicht der Schwierigkeit entziehen, das Konfigurationsmanagement eines API-orientierten Verwaltungsmodells durchzuführen .
- Anwendungen - Hiermit können Sie Software von Drittanbietern bereitstellen und verwalten. Die gesamte Logik soll in der "Anwendung" enthalten sein - der Erkennungslogik (woher weiß ich, ob $ APPLICATION installiert ist), der Anforderungslogik (erfüllt der Client die Voraussetzungen), der Installationslogik und der Deinstallationslogik. Bei ordnungsgemäß erstellten Anwendungen funktioniert dies sehr , sehr gut für die Verwaltung von Software von Drittanbietern. Die neuere Version wird bereitgestellt, ersetzt automatisch die ältere Version, deinstalliert sie und installiert dann die neuere Version. Wie bereits erwähnt, haben wir über Nacht einen Versorger durch einen anderen in unserer gesamten Flotte ersetzt. Sie können dieses Modell noch weiterentwickeln und den "AppStore" verwenden.Funktion, mit der Benutzer ihre eigene Software installieren können, die sich außerhalb des Basis-Images befindet.
Sie sollten Dinge wie Adobe Flash, Acrobat / Reader und Java JRE verwalten, da sie so häufig das Ziel von Malware sind, aber versuchen Sie nicht , dies selbst zu tun. Kaufen Sie einfach einen Abonnementdienst, der sie über SCUP bereitstellt . Der Installationsprozess für diese Produkte ist so beweglich, dass es den Anschein hat, als würde jede Version etwas anderes tun (siehe hier , hier , hier und hier)). Bestenfalls finde ich, dass ich in etwa fünf Stunden eine neue Anwendung von so etwas wie Java JRE oder Flash entwickeln kann. Wenn Sie Reader, Acrobat, Flash und Java JRE verwenden, müssen Sie mindestens 20 Stunden pro Monat arbeiten. Das ist fast die gesamte Woche eines FTE für Verpackungen - sparen Sie sich diese Stunden und Mühen für interne oder spezielle Anwendungen. (Warum Adobe und Oracle so weit gehen, um mir das Leben zu erschweren, weiß ich nicht.)
- Berichterstellung / Softwaremessung - Fast alles in Windows befindet sich entweder in WMI oder in der Registrierung. Die Registrierung ist mit Konfigurationselementen leicht zu erreichen und fast alles in WMI wird im Inventarzyklus aufgesaugt. Sie können dann die integrierten oder benutzerdefinierten Berichte verwenden, um daraus schöne, von Managern genehmigte (TM) Informationen zu erstellen. Als Beispiel haben wir einen benutzerdefinierten Bericht, in dem die Seriennummer aller unserer Workstations angegeben ist. Wir senden ihn an unseren Dell-Vertreter und erhalten eine Liste der Maschinen zurück, deren Garantie in diesem Quartal abläuft. Ordentlich.
Die benutzerorientierte Installation von Anwendungen aus einem "AppStore" habe ich bereits erwähnt. Wenn Benutzer Acrobat also selbst installieren, wie verwalten Sie die Lizenzen? Sie können einen Bericht zur tatsächlichen Betriebszeit ausführen, um zu sehen, wer die betreffende Software hat, und dann nachsehenSoftwaremessung, die angibt , wie oft diese bestimmte Software auf einer bestimmten Workstation verwendet wird. Wir verwenden dies, um die Lizenzen jeder Abteilung für Acrobat in einer einzigen Vereinbarung zusammenzufassen, damit wir bessere Lizenzkosten erzielen und sie dann für zusätzliche Maßnahmen von Arbeitsstationen entfernen können, auf denen sie selten verwendet werden.
- Betriebssystembereitstellung - Dies sind im Wesentlichen MDT, WAIK und DISM. Der Mehrwert, den SCCM bietet, sind Tasksequenzen sowie Erstellen und Erfassen. Sie automatisieren im Wesentlichen den Prozess der Erstellung Ihrer Referenzmaschine. Um Ihr Basisimage zu aktualisieren, aktualisieren Sie Ihre Tasksequenz und führen Sie sie erneut aus. Dies reduziert die Zeit, die zum Erstellen eines neuen Basis-Images benötigt wird, erheblich.
Richtige Größe - oder wie ich SCCM-Administrator wurde
Das ganze Zeug hört sich gut an, oder? Hier ist das Problem. Es ist nicht einfach zu tun. Unser Tier-1-Typ hat fast sechs Wochen damit verbracht, Build and Capture für Basisimages zu entwickeln. Es dauerte mindestens einen Monat, bis ich eine Wäscheliste mit den behobenen Problemen erhalten hatte. Ich kann Java JRE noch nicht erstellen, testen und bereitstellen, bevor eine neue Version veröffentlicht wird. Unser DBA musste unsere benutzerdefinierten Berichte schreiben, da ich SSRS nicht herausfinden konnte . Ich finde, dass ich viele PowerShell-Skripte schreibe, um bestimmte Dinge zusammenzufügen oder eine Art "Logik" auszuführen. Ich kann immer noch keine WQL-Abfragen schreibenfür die Anwendungslogik. Nach sechs Monaten, die ich fast den ganzen Tag mit SCCM verbracht habe, habe ich das Gefühl, dass ich gerade anfange, die Lernkurve zu überwinden. Unsere Tier-1- und Tier-2-Mitarbeiter lösen die meisten SCCM-Probleme (die wirklich Endpoint- / Desktop-Support-Probleme sind) für mich, da sie (noch!) Nicht über die erforderlichen Fähigkeiten verfügen, um sie zu lösen. Mit Fähigkeiten - ich meine, Dinge wie Vertrautheit mit WMI / WQL, WSUS, ProcMon, Windows Installer, PowerShell und der Registrierung. Um die ZIP-Zuordnungsdatei Configuration Item fix ausführen zu können, müssen Sie wissen, welche Konfigurationsdaten in der Registrierung gespeichert sind und wo sie sich befinden. Wenn Sie SCCM zu Ihrer Organisation machen 'brutale Lernkurve für Ihre Tier-1-Mitarbeiter, 3) Widerstand und die Tendenz der Mitarbeiter, die "alte Schule manuell" zu erledigen, weil es "so viel einfacher" ist.
Passt SCCM gut zu Ihrer Organisation? Hier sind einige Fragen zu berücksichtigen.
- Befinden Sie sich in einem reaktiven oder einem proaktiven Modus?
- Wie vielfältig sind die beruflichen Aufgaben Ihrer Mitarbeiter bereits? Führen sie nur die Endpunktverwaltung durch oder tun Sie alles?
- Wie tief und vielfältig sind die Fähigkeiten Ihrer Mitarbeiter?
- Besteht unter Ihren Mitarbeitern der Wunsch und die Bereitschaft, diese Lernkurve zu überwinden?
- Wie vielfältig sind Ihre Flotte und die Anforderungen Ihrer Endbenutzer?
- Sind leitende Angestellte bereit, sich um Desktop-Support-Probleme zu kümmern und Ihre Tier-1- und Tier-2-Mitarbeiter zu betreuen, bis sie sich mit SCCM besser auskennen?
- Bietet Ihr Management Schulungen an (Hinweis: Wenn Sie einen Microsoft Premier-Vertrag haben, verfügen diese über einige hervorragende PFEs, die Vor-Ort-Seminare durchführen können).
- Ist Ihr Management bereit, sich für Sie einzumischen, während Sie ein oder zwei Wochen damit verbringen, etwas auf die "SCCM-Art" zu untersuchen, anstatt es einfach auf die "Old School Manual-Art" zu tun?