Фон:
Я был основным администратором / пользователем реализации SCCM 2012 SP1 в нашей организации, которая состоит из около 500 рабочих станций (Windows 7) и 120 серверов (Windows Server 2008 R2). Я также начинаю свою карьеру и, прежде всего, имею опыт работы и увлечен сетевыми технологиями и Linux, поэтому управление конечными точками Windows - это что-то новое и немного неприятное для меня. У меня есть только опыт работы с SCCM 2012, поэтому я не могу говорить со старыми версиями. Наша организация находится в нижней части кривой экономии от масштаба, и наше (более или менее) успешное внедрение SCCM во многом объясняется тем фактом, что мы достаточно далеко опережаем наши требования, что мы можем быть активными, многие стандартные обязанности выполняются другие группы (Active Directory, электронная почта, сеть, безопасность).
Цена Особенности: Сложность
У SCCM 2012 есть много движущихся частей, и когда они ломаются, они ломаются по причинам, которые не всегда очевидны или интуитивны. SCCM 2012 ведет себя как надзиратель, управляя и используя множество существующих базовых технологий в единой среде. Это не просто и иногда ломается. Чтобы получить представление о том, сколько разных базовых частей задействовано, посмотрите на количество файлов журнала , я думаю, что, по приблизительным подсчетам, есть что-то вроде ~ 240 файлов журнала. Опять же, трудно (по крайней мере, с моей точки зрения) преувеличивать сложность SCCM (или действительно любой системы управления конечными точками).
Управление конечными точками как босс
Вы знаете, что действительно раздражает? Ходьба (или RDPing) к каждой отдельной машине, чтобы выполнить одну и ту же задачу снова и снова. Это скучно и трата времени. Если вы действительно берете на себя обязательство использовать этот инструмент, это может быть невероятным умножителем силы. Вот функции, которые позволяют вам сделать это:
- Обновления программного обеспечения - это в основном только WSUS на стероидах. Вы получаете отличные отчеты, детализацию и проверку соответствия стандартным предложениям WSUS. Если вы можете делать WSUS, вы можете делать обновления программного обеспечения с SCCM.
- Настройки соответствия - я был действительно взволнован, увидев эту функцию, пришедшую из таких стран, как Puppet. Элементы конфигурации состоят из параметра для оценки и затем правила соответствия, которое определяет, следует ли его исправить. Как пример, мы выдвинули приложение для всей организацииэто удалило одну утилиту сжатия и заменило ее другой. Это имело печальное следствие неправильной установки ассоциации файлов для файлов ZIP. Один элемент конфигурации на основе ключа реестра позже мы установили ассоциацию файлов по всему флоту. Вы можете оценить довольно широкий диапазон параметров - ключи / значения реестра, запросы Active Directory, запросы WQL и SQL и сценарии PowerShell. Думайте о параметрах соответствия как о очень гибкой, детализированной версии объектов групповой политики с контролем версий ( наконец ) и отчетами. Недостатком является то, что для чего-то даже немного сложного вы будете писать сценарии, и мы все еще не избежим трудностей при управлении конфигурацией модели управления, ориентированной на API .
- Приложения - это для развертывания и управления сторонним программным обеспечением. Предполагается, что вся логика содержится в «Приложении» - логике обнаружения (как мне узнать, установлен ли $ APPLICATION), логике требований (соответствует ли клиент требованиям), логике установки и логике удаления. При правильно построенных приложений это работает на самом деле , очень хорошо для управления программным обеспечением 3 участника. Новая версия развернута, она автоматически заменяет старую версию, удаляет ее, а затем устанавливает более новую версию. Как я упоминал выше - мы за одну ночь заменили одну утилиту на всю нашу автопарк. Вы можете взять эту модель еще дальше и использовать «AppStore»функциональность, позволяющая пользователям устанавливать свое собственное программное обеспечение, которое находится за пределами базового образа.
Вы захотите управлять такими вещами, как Adobe Flash, Acrobat / Reader и Java JRE, поскольку они часто являются целью вредоносного ПО, но не пытаются делать это самостоятельно. Просто купите подписку на сервис, который предоставляет их через SCUP . Процесс установки этих продуктов является такой движущейся целью, что кажется, что каждая версия делает вещи по-разному (см. Здесь , здесь , здесь и здесь). В лучшем случае я обнаружил, что могу создать новое приложение, например Java JRE или Flash, примерно за пять часов. Если вы используете Reader, Acrobat, Flash и Java JRE, вы можете рассчитывать на 20 часов работы в месяц как минимум. Это почти целая неделя FTE для упаковки - сэкономьте эти часы и усилия для домашнего или специального применения. (Почему Adobe и Oracle делают все возможное, чтобы сделать мою жизнь сложнее, я понятия не имею.)
- Отчетность / программный учет - почти все в Windows находится либо в WMI, либо в реестре. Реестр легко доступен с помощью элементов конфигурации, и почти все в WMI засасывается в цикле инвентаризации. Затем вы можете использовать встроенные или настраиваемые отчеты, чтобы превратить их в полезную информацию, одобренную менеджером (TM). Например, у нас есть специальный отчет, в котором содержится серийный номер всех наших рабочих станций, мы отправляем его нашему представителю Dell и возвращаем список компьютеров, срок гарантии которых истекает в этом квартале. Ухоженная.
Ранее я упоминал установку приложений, ориентированную на пользователя, из «AppStore» - поэтому, если пользователи устанавливают Acrobat самостоятельно, как вы управляете лицензиями? Вы можете запустить отчет в нужное время, чтобы узнать, у кого имеется соответствующее программное обеспечение, а затем посмотреть наSoftware Metering, который покажет вам, как часто этот конкретный программный продукт используется на конкретной рабочей станции. Мы используем это, чтобы свести лицензии каждого отдела для Acrobat в одно соглашение, чтобы мы могли получить лучшую цену за каждую лицензию, а затем, в качестве дополнительной меры, удалить ее с рабочих станций, где она редко используется.
- Развертывание операционной системы - это в основном MDT, WAIK и DISM. Значение, которое получает SCCM, - это «Последовательности задач», «Сборка и захват». По сути, вы автоматизируете процесс построения своей эталонной машины. Чтобы обновить базовый образ, обновите последовательность задач и повторно запустите ее. Это значительно сокращает время, необходимое для создания нового базового образа.
Правильный размер - или Как я стал администратором SCCM
Все это звучит хорошо, а? Здесь проблема. Это не просто сделать. Наш парень первого уровня потратил почти шесть недель на то, чтобы понять, как создать и захватить базовые изображения. Мне потребовался как минимум месяц, чтобы получить список разрешенных проблем. Я до сих пор не могу собрать, протестировать и развернуть Java JRE до выпуска новой версии. Наш администратор БД должен был написать наши собственные отчеты, так как я не мог понять SSRS . Я обнаружил, что пишу много скриптов PowerShell, чтобы склеивать определенные вещи или выполнять какую-то «логику». Я до сих пор не могу писать WQL-запросыдля логики приложения. После шести месяцев, проведенных почти весь день, каждый день с SCCM, я чувствую, что только начинаю преодолевать кривую обучения. Наши сотрудники уровня 1 и уровня 2 доводят до меня большинство проблем SCCM (которые на самом деле относятся к поддержке конечных точек / десктопов), поскольку у них (пока!) Нет навыков для их решения. Под набором навыков - я имею в виду такие вещи, как знакомство с WMI / WQL, WSUS, ProcMon, установщиком Windows, PowerShell и реестром. Чтобы выполнить такие вещи, как исправление элемента конфигурации файла ассоциации ZIP, необходимо знать, какие данные конфигурации хранятся в реестре и где их найти. Если вы сделаете SCCM своей организациейкривая жестокого обучения для сотрудников первого уровня, 3) сопротивление и склонность персонала делать вещи «по-старому», потому что это «намного проще».
SCCM хорошо подходит для вашей организации? Вот несколько вопросов для рассмотрения.
- Вы находитесь в реактивном режиме или в проактивном режиме?
- Насколько разнообразны рабочие обязанности вашего персонала? Они просто управляют конечными точками или вы все делаете?
- Насколько глубоки и разнообразны навыки вашего персонала?
- Есть ли у ваших сотрудников желание и желание подняться по этой кривой обучения?
- Насколько разнообразен ваш флот и требования вашего конечного пользователя?
- Готовы ли старшие сотрудники справиться с проблемами поддержки настольных компьютеров и наставлять своих сотрудников уровня 1 и уровня 2, пока им не станет более комфортно с SCCM?
- Будет ли ваше руководство проводить обучение (подсказка: если у вас есть контракт с Microsoft Premier, у них есть несколько отличных PFE, которые могут проводить семинары на месте).
- Готово ли ваше руководство к вмешательству для вас, пока вы тратите неделю или две на то, чтобы придумать что-то «путем SCCM» вместо того, чтобы просто делать это «способом старой школы»?