SCCM技术解决方案.docx

SCCM技术解决方案.docx

《SCCM技术解决方案.docx》由会员分享，可在线阅读，更多相关《SCCM技术解决方案.docx（16页珍藏版）》请在冰点文库上搜索。

SCCM技术解决方案

SCCM2007

解决方案建议书

XXXXXX公司

2021年X月X日

一．工程背景

XXX经过多年的信息化建立，已经取得了较有成效的建立，包括根本的IT根底架构建立，包括根底网络、平安防病毒、根本的补丁管理、数据备份等，以及一系列内部应用系统。

但是，随着XXX的信息化建立成熟度提升，随之而来的系统管理问题已经成为占用信息中心相关的信息人员较大工作量以及花费了大量维护本钱的问题了。

系统管理的问题包括了，终端桌面的维护和管理以及效劳器的维护管理。

对于终端管理，信息中心相关人员往往都忙于对于客户端发生的故障进展故障处理，对于终端的安装工作，花费大量的时间，而且对于最终用户的满意度也无法做到最好。

对于客户端的故障往往都是用户对于终端的使用行为管理不当引起。

此外，终端的安装问题，也困扰着信息中心的工作。

对于效劳器的维护，目前也根本依靠人为的方式来实现管理，由于目前的效劳器数量还不是太多，所以维护人员的工作量还可以有所保障。

对于目前的问题，需要全面规划一套系统管理平台来统一考虑解决困扰XXX日常的系统管理的问题。

二.目前终端管理现状分析

XXX目前总部设在北京,上海有公司，另还有其他规模较小的分公司。

分公司通过2M的VPN与总部网络进展连接。

网络环境中已经部署了域环境，并根据地理位置划分了站点。

管辖范围大概有800左右的客户端，包括台式机和笔记本，且客户端均已经参加域.

目前，XXX对于终端没有实现任何管理的功能。

对于效劳器管理上，没有任何自动管理平台，根本依靠个人手工维护管理。

三．工程目标

3.1.客户需求的技术要求

根据分析，目前XXX的IT根底架构大多属于根本阶段，只有身份管理和访问管理属于了标准化阶段。

所以目前的工程阶段，我们需要将XXX的IT根底架构除了身份管理局部，要从根本阶段上升为标准化阶段。

目前企业希望通过一个集中的管理平台实现如下需求：

1、补丁分发管理〔客户端、效劳器端〕

2、桌面计算机平安策略管理〔如：

不允许修改桌面端机器网络配置，不允许安装公

司不允许安装的软件或公司未购置许可的软件等如：

qq；桌面计算机端口屏蔽，如：

usb、刻录机；桌面计算机远程协助〕

3、IT设备资产管理

4、桌面计算机系统分发部署；

5、网络准入控制

6、法规符合性

针对目前的问题和挑战，微软认为最迫切需要实现的终端管理的方面：

1．实现全面的终端平安配置管理

2．实现自动化的终端远程管理

3．实现自动化终端安装部署管理

4．终端补丁管理

5．终端资产统计管理

6．终端内网平安接入管理

7．终端软件分发管理

8．终端信息报表管理

所以，微软建议建立一套基于微软SystemCenterConfigurationManager2007为根底的全面终端管理平台。

3.2．需求技术详解

如何实现如上技术目标，SCCM2007具体通过如下技术方案满足企业的终端管理的要求：

3.2.1．实现全面的终端平安配置管理

平安配置管理是SCCM2007中另一个非常显著的功能。

图1描述了显示两个平安配置基线符合性的“所需配置管理〞主页：

图1

通过SCCM2007，微软提供了终端平安配置漏洞的扫描的基准文件，软件安装错误和错误的配置危及平安性和稳定性，导致支持本钱不断增多。

用于平安配置弱点评估的基准文件有助于防止错误，从而增加了企业的正常运行时间，并帮助您构建更加平安的根底架构

✧设想场景

扫描企业因配置错误而产生的弱点

检测实例:

是否安装并运行没必要的效劳

文件共享是否需要适当的许可

是否启动Windows防火墙

是否启动自动更新

是否强制要求强大的口令

是否启动不平安的客户账户

是否在单一计算机上安排了过多的本地管理员

ConfigurationManager中平安配置管理的关键来自对Microsoft客户的大量研究，大局部效劳停用是由关键任务效劳器和桌面上的操作系统或应用程序配置错误导致。

使用ConfigurationManager中平安配置管理功能，管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。

这些基线使用配置项（CI）创立，并提供组织中计算机集合的符合性信息。

除了捕获配置偏差，平安配置管理还可以帮助实现法规符合性报告和更改验证。

在大局部组织中，都有可能需要法规符合性报告，如萨班斯·奥克斯利法案（SOX）、支付卡行业数据平安标准（PCIDSS）和安康保险可携性与责任法案（HIPAA）。

ConfigurationManager2007可通过所需配置管理帮助您获得所需的报告。

下面是平安配置管理的工作原理。

管理员将定义配置项—可以在计算机中检测、应用和删除的配置单位。

定义这些配置项后，即可创立由一个或多个配置项组成的配置基线。

随后，这些基线将被分配到SCCM集合进展符合性监视和法规报告。

配置项可以查看计算机的几个不同方面以收集信息，包括ActiveDirectory、文件元数据、脚本结果、存储在SQLServer?

中的数据、软件更新数据、WMI、XML、注册表值、IIS元数据以及MicrosoftInstaller显示和配置。

从不同位置收集的信息将存储在ConfigurationManager数据库中，并用于验证系统是否符合要求。

现在平安配置管理过程和通过ConfigurationManager2007发布新更新的过程已完全集成。

与新的软件更新引擎一样，所有平安配置管理数据将使用基于状态的高优先级通道。

这两种关键任务功能的集成使管理员可以定义新的平安配置管理基线或通过新更新来更新现有基线〔作为更新部署过程的一局部〕。

并且通过定制，可以实现对于终端用户变动了相关设置后的自动复原，这样可以大大降低由于终端用户有意或无意修改了关键设置，例如：

IE浏览器设置等，而造成的大量维护工作。

结合组策略进展终端管理，主要的管理内容:

●管理模板：

用来管理注册表的设置

●平安设置：

定义本地计算机、用户密码策略和网络的平安性设置等

●软件安装限制策略：

可以制定用户使用软件的列表

●对外设使用限制策略：

可以控制用户对一些外设，例如移动存储设备的使用限制

●启动脚本：

计算机启动时进展必要的检查

●网络浏览器的定制和维护

●文件夹重定向：

在微软提供的功能根底上进展扩展

3.2.2．终端远程管理

SCCM2007可以启用远程控制工具，帮助管理员远程登陆终端桌面进展管理配置工作。

此外，SCCM2007与远程桌面（RemoteDesktop），远程协助〔RemoteAssistance〕无缝整合，可以更加快捷，方便的实现远程操作。

而且SCCM2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式，SCCM的远程控制功能可以实现：

1．远程控制，通过在SCCM管理员控制台上可以远程控制终端用户的桌面。

2．远程重启，帮助重新启动远程终端。

3．远程聊天，可以和远程终端用户进展聊天，帮助用户解决问题。

4．可以实现远程文件传输，可以实现在SCCM效劳器和终端之间的文件传送。

5．远程执行，可以在远程终端上执行命令，脚本等任务。

包括执行程序或脚本，启动/停顿效劳，中断非法进程，修改注册表，修改文件等。

6．SCCM客户端诊断，可以在终端上进展故障诊断。

通用过远程工具，IT管理和故障排除可以在网络任何一个位置进展处理，集中管理的目标得到表达。

并且，通过远程处理终端故障和帮助用户，有效降低了IT支持的本钱。

通过远程终端维护管理，可以让信息中心的相关维护人员降低维护的本钱以及提升维护的效率，无需到现场进展故障恢复。

3.2.3．终端自动化安装部署管理

操作系统部署功能是SCCM2007最大的重点领域。

Microsoft已将ConfigurationManager设计为部署效劳器和工作站平台操作系统的主要方式。

从根本上更改管理操作系统部署的方法。

WindowsXP,Windows7为操作系统部署引入了新的Windows映像（WIM）格式。

使用此格式有不少好处，首要的一个好处是ConfigurationManager2007本机导入了WIM映像格式，这样管理员就可以直接从控制台使用这些映像并对其进展部署。

ConfigurationManager中另一个重要的新功能是集成的部署任务排序器。

通过利用任务排序器，操作系统部署过程完全不需要任何干预。

任务排序器可以帮助安排部署操作系统需要执行的所有步骤，包括进展部署前要在较旧的操作系统中执行的步骤〔用户状态迁移和应用程序设置转移〕，部署新操作系统的步骤〔设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装〕，以及部署完新系统后要求执行的步骤〔其他应用程序安装、更新安装、用户状态迁移〕。

作为此功能的一个例如，图2显示了任务序列编辑器，突出显示了在WindowsXP,Windows7部署中您可以利用的一些功能。

图2

除了任务排序器，ConfigurationManager2007中还有假设干用于操作系统部署的其他增强功能，例如，ConfigurationManager支持通过设备驱动程序管理对x86和x64平台的预引导执行环境（PXE）进展裸机部署。

通过此设备驱动程序管理选项，您的组织可以显著减少需要为各类硬件维护的映像数。

通过与WindowsWIM映像格式引入的单一映像支持结合，在执行操作系统部署时您无疑会节省时间和资金。

整个客户端自动部署实现流程如下：

1.按照企业终端的实际情况，安装需要作镜像的参考对象桌面系统，准备核心镜像

3.按照企业不同的业务需求，配置软件分发包。

〔在系统部署时动态加载〕

3.使用桌面管理系统SCCM2007,

4.通过SCCM2007的镜像打包向导，对参考对象桌面系统进展镜像打包。

5.通过SCCM2007的软件分发向导，对不同应用程序打包。

6.配置自动部署策略，定制管理信息数据库，将用户名、工作部门〔或者需要安装的软件包〕、产品密钥、域信息、硬件网卡MAC地址信息进展配置。

7.通过SCCM2007的同步功能，将镜像文件同步到在各分支机构的远程安装效劳器上，

8.客户端计算机网卡启动，进展网络安装；或者将镜像文件通过制作分发光盘在每个桌面计算机上安装。

3.2.4．终端补丁管理

如同ConfigurationManager2007中的其他功能，软件更新管理已得到显著改良。

软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关，因此不再需要当前的InventoryToolforMicrosoftUpdates（ITMU）和扫描目录。

相反，ConfigurationManager将使用运行WindowsServerUpdateServices（WSUS）的新软件更新点（SUP）效劳器角色在后端作为软件更新引擎和数据库。

通过为所有软件更新和平安配置管理信息创立一个新的基于状态的高优先级通道，ConfigurationManager将向托管代理推出更新和定期程序包的方法别离出来。

推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或效劳器接收修补程序状态。

在ConfigurationManager中，WSUS使您能够在一个集中位置进展所有更新管理。

这使您可以下载MicrosoftUpdate上所有可用的内容，包括非关键更新、驱动程序和Microsoft平台的其他软件包。

此外，Microsoft还会鼓励其合作伙伴通过此方法发布软件更新。

很多公司当前为SCCM2007R2中的自定义更新清单工具（ITCU）发布了清单，并方案对接下来的ConfigurationManager也采取同样的行动，Adobe和Citrix就是其中的两家。

此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。

通过这些自定义的视图，您可以快速了解整个IT根底构造或特定计算机集合的修补程序状态。

图3显示了通过为软件更新管理自定义的某个新主页视图查看特定公告的修补程序符合性数据的过程有多简单。

图3

通过SCCM2007的补丁管理的特性，大大增强了目前XXX仅仅利用WSUS来完成补丁管理的功能。

首先，SCCM2007的补丁管理完全利用了原来的WSUS的根底架构，节省了原来的投资。

其次，SCCM2007的补丁管理可以帮助企业加强对补丁管理的控制，例如：

可以定制客户端安装补丁的策略，何时安装，何时重启，是否可以延迟重启，是否设置强行重启的最后期限等。

并且SCCM2007的补丁管理和AD的严密整合后，可以灵活地制定针对不同的对象计算机的补丁管理策略。

最后通过SCCM2007的补丁管理可以及时查看补丁的最新状况，而且SCCM2007的补丁管理，可以结合其他的功能，例如：

平安配置管理，SCCM2007可以把某一些关键补丁，作为终端平安配置的基准之一。

另外SCCM2007还有客户端内网接入保护功能，可以制定关键补丁作为接入安康条件。

3.2.5．终端资产管理

SCCM2007的资产管理是基于标准的硬件清单，即通过利用WindowsManagementInstrumentation（WMI），SCCM2007提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据，其中包括BIOS和机架外壳数据。

目前可以支持超过130种WMI的类型，可以获取丰富和准确地信息。

而且SCCM2007可以提供灵活细致的清单。

尽管SCCM2007使企业能跟踪其系统上几乎全部的软件资产，但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。

通过使用通配符、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能，SCCM2007使企业可以专注于他们所需的信息。

通过跳过压缩和加密的文件，还可以减少系统资源的消耗。

为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关，SCCM2007包括一款强大、高度灵活且可完全扩展的Web报告引擎，其中预置了120多种现成的报告。

其中包含了图形类的报表和数据类型的报表。

也可以自定义或创立报告，还可以使用导入和导出功能将这些报告传输到其他的SCCM2007环境中。

当然，在没有安装SMS客户端软件的终端设备，也可以通过SMS的网络进展发现，并且可以让系统管理员能够对其进展跟踪和维护。

3.2.6.终端内网接入保护

SCCM2007可以对内网的终端接入到企业内网进展全面的平安安康状态检查能力，例如：

可以制定特定的补丁，特定的需要安装的软件等，作为终端接入企业内网的安康指标，如果不符合企业标准，将会把此客户端接入到隔离网络进展修补管理，然后直到客户端符合企业安康要求，才让客户端接入内网。

此解决方案叫做网络接入保护—NetworkAccessProtection（NAP）,在Windows7Vista,XPSp3,WindowsServer2021中以及在操作系统默认安装中包含了安康策略客户端，SCCM2007就利用了此客户端，在效劳器端集中制定规那么，通过和网络控制设备〔803.1x网络设备，WindowsServer2021DHCP,VPN,IPsec等〕可以实现对客户端的网络接入进展控制。

SCCM2007提供了持续的对客户端接入的策略制定，以及对不符合要求的客户端进展修补管理。

微软提供的安康状态检查网络接入保护系统是针对企业终端接入网络而实施的保护系统。

根据企业平安策略去限制非平安终端接入内部网，和其他终端平安方案结合将构成完整的终端平安系统。

因此将企业网络划分为两个互相隔离的区域：

平安区域，可以访问企业内部资源

控制区域，将不能访问企业内部资源，可以访问Internet，可以安装补丁和最新的病毒库

终端接入平安策略

企业平安策略是根据企业平安需求而设定的，包括终端补丁安装情况，终端防病毒软件安装以及版本更新情况，病毒代码库的更新情况。

例如和主流防病毒软件Symantec联动，可以对其防病毒软件版本和病毒库进展监测。

个人防火墙的配置情况，屏幕保护的配置情况，特定效劳的运行状况，计算机或者用户所属的组，以及接入时间控制等等。

这些平安策略由企业信息化建立的平安部门进展制定，系统支持在线更新策略，终端接入检查开场之前刷新平安策略的机制。

终端平安检查和网络控制效劳

终端实施接入时进展平安检查，当终端检查结果符合企业平安策略时，允许终端接入到企业网络，可以访问内部资源：

文件、应用、内部网站等。

否那么终端一直处于与企业内部网络隔离的控制区域，承受修补。

直到修补完成，具备安康接入的条件后，重新接入。

非平安终端管理策略

可以与其他平安方案配合，在网络控制区内部署补丁分发和病毒库更新效劳器，使得进入控制区的非平安终端可以在局域网就可以修补系统到达符合平安策略。

另外，在特殊情况下，管理员可以手动配置网络端口临时性进入网络平安区域。

3.2.7．软件分发

SCCM2007的软件分发功能有了较为增强的功能：

灵活性——基于不同对象，例如：

在活动目录中定义的组织单位，站点等进展分发可以灵活地根据不同需求给不同的对象群组分发软件。

准确性——基于SCCMGUID的分发，即使计算机改名也能准确发布。

自动性——新增的机器，只要满足集合的条件，就能自动安装指定的软件，而无需二次分发。

可追踪性——详尽的状态报表可以跟踪应用程序部署的进展

节省带宽——SCCM的软件分发具有智能后台传输技术，可以自动调整软件分发传输的带宽，并且可以设定阀值上限。

对于分支机构的软件分发传输，可以利用本地的文件效劳器作为本地的代表进展本地对等分发，同时在SCCM2007中，还可以让客户端担任本地分发对等下载得角色，大大降低了分支机构的硬件投资。

软件包本身的更新是增量式的复制。

只有更改局部在网络上传输。

并且，SCCM具有智能带宽传输技术，它可以自动根据业务网络的带宽占用情况作出自动的带宽使用调整，在不影响正常业务在网络的运行下，实现对应用程序的部署。

可靠性——对慢速及不稳定网络的支持，以及断点续传的功能，保证了应用程序部署可以可靠的完成。

SCCM2007还可以设定软件分发的窗口期，可以控制客户端在某个具体时间点才能完成相关的软件分发，补丁分发的维护工作。

降低对一些关键客户端，因为日常维护而带来的影响正常工作业务的开展。

3.2.8．终端管理数据报表管理

SCCM2007中的报表能够有效准确地将SCCM管理的结果直观地表达出来，如资产信息，补丁管理信息，应用程序部署状态，整个SCCMSite的安康状况。

在SCCM2007安装完后，就已经可以直接使用内置的120以上的报表模版。

已有的报表分为以下几类：

硬件信息

软件信息

软件更新信息〔补丁管理〕

应用程序部署信息

SCCMSite信息

具体客户端的报表

除了以上的根本报表，为了便于领导查询所需的信息，SCCM2007还新增了仪表盘（Dashboard）。

它的好处是：

将常用的几个报表汇总一处并给予权限设置。

这样，只需一个统一的界面，可以同时查看多个报表而无需同时翻开多个页面。

SCCM中的报表的查询是基于SQL的视图的。

用户无需了解整个数据库的详细架构就可以方便地进展二次开发。

此外，SCCM2007的报表是基于Web方式的，只要有浏览器和连接，就可以随时随地查看。

也易于与其他Web效劳整合在一起。

所有收集到的数据和信息都集中保存在站点效劳器的数据库里，也包括一定时期的历史纪录。

一个优秀的操作小组能够根据需要制作报表来帮助管理层进展现状分析，提出改善建议。

四．部署架构

根据XXX的网络环境建议如下部署架构：

1．以北京为中心站点，上海为二级主站点。

另外有五个分公司部署为辅助站点,并且设置为北京主站点的子站点,另有三个子公司也部署为辅助站点,,并且设置为上海主站点的子站点.

2．在上海分公司部署SCCM2007的二级站点效劳器。

二级站点效劳器和北京的中心站点效劳器一样有自己的站点数据库.

3．二级站点效劳器是连接到层次构造中其上站点的站点。

此站点向北京一级站点效劳器报告。

ConfigurationManager2007将从二级站点收集的所有数据复制到北京一级站点效劳器,各个辅助站点收集客户端信息,并发送到各自的上一级站点。

4．北京一级站点包含二级站点的相关信息，如计算机清单数据和ConfigurationManager2007系统状态信息，并且可以控制二级站点上的很多操作。

5．由于上海有一定数量的客户端需要运维且本地有IT人员进展维护，所以建议在分公司部署二级站点，使得本地IT人员可以对二级站点内的客户端进展管理。

五．SCCM成功案例

【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注，我们将会做得更好】