最新SCCM技术解决方案.doc

《最新SCCM技术解决方案.doc》由会员分享，可在线阅读，更多相关《最新SCCM技术解决方案.doc（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateSCCM技术解决方案SCCM技术解决方案SCCM2007解决方案建议书 XXXXXX公司2010年X月X日目 录一项目背景3二 . 目前终端管理现状分析4三项目目标43.1. 客户需求的技术要求43.2 需求技术详解53.2.1 实现全面的终端安全配置管理63.2.2终端远程管理83.2.3终端自动化安装部署管理93.2.4终端补丁管理113.2.5 终端资产管理13

2、3.2.6. 终端内网接入保护133.2.7 软件分发153.2.8终端管理数据报表管理16四部署架构18五SCCM成功案例20一 项目背景XXX经过多年的信息化建设，已经取得了较有成效的建设， 包括基本的IT基础架构建设，包括基础网络、安全防病毒、基本的补丁管理、数据备份等，以及一系列内部应用系统。但是，随着XXX的信息化建设成熟度提升，随之而来的系统管理问题已经成为占用信息中心相关的信息人员较大工作量以及花费了大量维护成本的问题了。系统管理的问题包括了，终端桌面的维护和管理以及服务器的维护管理。对于终端管理，信息中心相关人员往往都忙于对于客户端发生的故障进行故障处理，对于终端的安装工作，花

3、费大量的时间，而且对于最终用户的满意度也无法做到最好。对于客户端的故障往往都是用户对于终端的使用行为管理不当引起。此外，终端的安装问题，也困扰着信息中心的工作。对于服务器的维护，目前也基本依靠人为的方式来实现管理，由于目前的服务器数量还不是太多，所以维护人员的工作量还可以有所保障。对于目前的问题，需要全面规划一套系统管理平台来统一考虑解决困扰XXX日常的系统管理的问题。二 .目前终端管理现状分析XXX目前总部设在北京,上海有公司，另还有其他规模较小的分公司。分公司通过2M的VPN与总部网络进行连接。网络环境中已经部署了域环境，并根据地理位置划分了站点。管辖范围大概有800左右的客户端，包括台式

4、机和笔记本，且客户端均已经加入域.目前，XXX对于终端没有实现任何管理的功能。对于服务器管理上，没有任何自动管理平台，基本依靠个人手工维护管理。三项目目标3.1. 客户需求的技术要求根据分析，目前XXX的IT基础架构大多属于基本阶段，只有身份管理和访问管理属于了标准化阶段。所以目前的项目阶段，我们需要将XXX的IT基础架构除了身份管理部分，要从基本阶段上升为标准化阶段。目前企业希望通过一个集中的管理平台实现如下需求：1、 补丁分发管理（客户端、服务器端）2、 桌面计算机安全策略管理（如：不允许修改桌面端机器网络配置，不允许安装公司不允许安装的软件或公司未购买许可的软件等如：qq ； 桌面计算机

5、端口屏蔽，如：usb、刻录机；桌面计算机远程协助）3、 IT设备资产管理4、 桌面计算机系统分发部署；5、 网络准入控制6 、法规符合性针对目前的问题和挑战，微软认为最迫切需要实现的终端管理的方面：1 实现全面的终端安全配置管理2 实现自动化的终端远程管理3 实现自动化终端安装部署管理4 终端补丁管理5 终端资产统计管理6 终端内网安全接入管理7 终端软件分发管理8 终端信息报表管理所以，微软建议建设一套基于微软System Center Configuration Manager 2007为基础的全面终端管理平台。3.2 需求技术详解如何实现如上技术目标，SCCM2007具体通过如下技术方案

6、满足企业的终端管理的要求：3.2.1 实现全面的终端安全配置管理安全配置管理是SCCM2007 中另一个非常显著的功能。图 1 描述了显示两个安全配置基线符合性的“所需配置管理”主页：图1通过SCCM 2007，微软提供了终端安全配置漏洞的扫描的基准文件，软件安装错误和错误的配置危及安全性和稳定性，导致支持成本不断增多。用于安全配置弱点评估的基准文件有助于防止错误，从而增加了企业的正常运行时间，并帮助您构建更加安全的基础架构 设想场景扫描企业因配置错误而产生的弱点检测实例:l 是否安装并运行没必要的服务l 文件共享是否需要适当的许可l 是否启动 Windows 防火墙l 是否启动自动更新l 是

7、否强制要求强大的口令l 是否启动不安全的客户账户l 是否在单一计算机上安排了过多的本地管理员Configuration Manager 中安全配置管理的关键来自对 Microsoft 客户的大量研究，大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用 Configuration Manager 中安全配置管理功能，管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项 (CI) 创建，并提供组织中计算机集合的符合性信息。除了捕获配置偏差，安全配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中，都有可能需要法规符合性报告，如萨班斯奥克斯利

8、法案 (SOX)、支付卡行业数据安全标准 (PCI DSS) 和健康保险可携性与责任法案 (HIPAA)。Configuration Manager 2007 可通过所需配置管理帮助您获得所需的报告。下面是安全配置管理的工作原理。管理员将定义配置项 可以在计算机中检测、应用和删除的配置单位。定义这些配置项后，即可创建由一个或多个配置项组成的配置基线。随后，这些基线将被分配到 SCCM集合进行符合性监视和法规报告。配置项可以查看计算机的几个不同方面以收集信息，包括 Active Directory、文件元数据、脚本结果、存储在 SQL Server? 中的数据、软件更新数据、WMI、XML、注册

9、表值、IIS 元数据以及 Microsoft Installer 显示和配置。从不同位置收集的信息将存储在 Configuration Manager 数据库中，并用于验证系统是否符合要求。现在安全配置管理过程和通过 Configuration Manager 2007 发布新更新的过程已完全集成。与新的软件更新引擎相同，所有安全配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的安全配置管理基线或通过新更新来更新现有基线（作为更新部署过程的一部分）。并且通过定制，可以实现对于终端用户变动了相关设置后的自动还原，这样可以大大降低由于终端用户有意或无意修改了关键

10、设置，例如：IE浏览器设置等，而造成的大量维护工作。结合组策略进行终端管理，主要的管理内容:l 管理模板：用来管理注册表的设置l 安全设置：定义本地计算机、用户密码策略和网络的安全性设置等l 软件安装限制策略：可以制定用户使用软件的列表l 对外设使用限制策略：可以控制用户对一些外设，例如移动存储设备的使用限制 l 启动脚本：计算机启动时进行必要的检查 l 网络浏览器的定制和维护l 文件夹重定向：在微软提供的功能基础上进行扩展3.2.2终端远程管理SCCM2007可以启用远程控制工具，帮助管理员远程登陆终端桌面进行管理配置工作。此外，SCCM 2007与远程桌面 (Remote Desktop)

11、，远程协助（Remote Assistance）无缝整合，可以更加快捷，方便的实现远程操作。而且SCCM 2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式，SCCM的远程控制功能可以实现：1 远程控制，通过在SCCM管理员控制台上可以远程控制终端用户的桌面。2 远程重启，帮助重新启动远程终端。3 远程聊天，可以和远程终端用户进行聊天，帮助用户解决问题。4 可以实现远程文件传输，可以实现在SCCM服务器和终端之间的文件传送。5 远程执行，可以在远程终端上执行命令，脚本等任务。包括执行程序或脚本，启动/停止服务，中断非法进程，修改注册表，修改文件等。6 SCCM客户

12、端诊断，可以在终端上进行故障诊断。通用过远程工具，IT 管理和故障排除可以在网络任何一个位置进行处理，集中管理的目标得到体现。并且，通过远程处理终端故障和帮助用户，有效降低了IT 支持的成本。通过远程终端维护管理，可以让信息中心的相关维护人员降低维护的成本以及提升维护的效率，无需到现场进行故障恢复。3.2.3终端自动化安装部署管理操作系统部署功能是 SCCM 2007 最大的重点领域。Microsoft 已将 Configuration Manager 设计为部署服务器和工作站平台操作系统的主要方式。从根本上更改管理操作系统部署的方法。Windows XP, Windows7 为操作系统部署引

13、入了新的 Windows 映像 (WIM) 格式。使用此格式有不少好处，首要的一个好处是 Configuration Manager 2007 本机导入了 WIM 映像格式，这样管理员就可以直接从控制台使用这些映像并对其进行部署。Configuration Manager 中另一个重要的新功能是集成的部署任务排序器。通过利用任务排序器，操作系统部署过程完全不需要任何干预。任务排序器可以帮助安排部署操作系统需要执行的所有步骤，包括进行部署前要在较旧的操作系统中执行的步骤（用户状态迁移和应用程序设置转移），部署新操作系统的步骤（设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装）

14、，以及部署完新系统后要求执行的步骤（其他应用程序安装、更新安装、用户状态迁移）。作为此功能的一个示例，图 2 显示了任务序列编辑器，突出显示了在 Windows XP, Windows7 部署中您可以利用的一些功能。图2除了任务排序器，Configuration Manager 2007 中还有若干用于操作系统部署的其他增强功能，例如，Configuration Manager 支持通过设备驱动程序管理对 x86 和 x64 平台的预引导执行环境 (PXE) 进行裸机部署。通过此设备驱动程序管理选项，您的组织可以显著减少需要为各类硬件维护的映像数。通过与 Windows WIM 映像格式引入的

15、单一映像支持结合，在执行操作系统部署时您无疑会节省时间和资金。整个客户端自动部署实现流程如下：1. 按照企业终端的实际情况，安装需要作镜像的参考对象桌面系统，准备核心镜像3. 按照企业不同的业务需求，配置软件分发包。（在系统部署时动态加载）3. 使用桌面管理系统SCCM 2007,4. 通过SCCM 2007的镜像打包向导，对参考对象桌面系统进行镜像打包。5. 通过 SCCM 2007的软件分发向导，对不同应用程序打包。6. 配置自动部署策略，定制管理信息数据库，将用户名、工作部门（或者需要安装的软件包）、产品密钥、域信息、硬件网卡MAC地址信息进行配置。7. 通过SCCM 2007的同步功能

16、，将镜像文件同步到在各分支机构的远程安装服务器上，8. 客户端计算机网卡启动，进行网络安装；或者将镜像文件通过制作分发光盘在每个桌面计算机上安装。3.2.4终端补丁管理 如同 Configuration Manager 2007 中的其他功能，软件更新管理已得到显著改进。软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关，因此不再需要当前的 Inventory Tool for Microsoft Updates (ITMU) 和扫描目录。相反，Configuration Manager 将使用运行 Windows Server Update Services (WS

17、US) 的新软件更新点 (SUP) 服务器角色在后端作为软件更新引擎和数据库。通过为所有软件更新和安全配置管理信息创建一个新的基于状态的高优先级通道，Configuration Manager 将向托管代理推出更新和定期程序包的方法分离出来。推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或服务器接收修补程序状态。在 Configuration Manager 中，WSUS 使您能够在一个集中位置进行所有更新管理。这使您可以下载 Microsoft Update 上所有可用的内容，包括非关键更新、驱动程序和 Microsoft 平台的其他软件包。此外，Microsoft 还会鼓励

18、其合作伙伴通过此方法发布软件更新。很多公司当前为 SCCM 2007 R2 中的自定义更新清单工具 (ITCU) 发布了清单，并计划对接下来的 Configuration Manager 也采取同样的行动，Adobe 和 Citrix 就是其中的两家。此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。通过这些自定义的视图，您可以快速了解整个 IT 基础结构或特定计算机集合的修补程序状态。图 3 显示了通过为软件更新管理自定义的某个新主页视图查看特定公告的修补程序符合性数据的过程有多简单。图3通过SCCM 2007的补丁管理的特性，大大增强了目前XXX仅仅利用WSUS来

19、完成补丁管理的功能。首先，SCCM2007的补丁管理完全利用了原来的WSUS的基础架构，节省了原来的投资。其次，SCCM 2007的补丁管理可以帮助企业加强对补丁管理的控制，例如：可以定制客户端安装补丁的策略，何时安装，何时重启，是否可以延迟重启，是否设置强行重启的最后期限等。并且SCCM 2007的补丁管理和AD的紧密整合后，可以灵活地制定针对不同的对象计算机的补丁管理策略。最后通过SCCM 2007的补丁管理可以及时查看补丁的最新状况，而且SCCM2007的补丁管理，可以结合其他的功能，例如：安全配置管理， SCCM 2007可以把某一些关键补丁，作为终端安全配置的基准之一。另外SCCM

20、2007还有客户端内网接入保护功能，可以制定关键补丁作为接入健康条件。3.2.5 终端资产管理SCCM 2007的资产管理是基于标准的硬件清单，即通过利用 Windows Management Instrumentation (WMI)，SCCM 2007提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据，其中包括 BIOS 和机架外壳数据。目前可以支持超过130种WMI的类型，可以获取丰富和准确地信息。而且SCCM 2007可以提供灵活细致的清单。尽管 SCCM 2007 使企业能跟踪其系统上几乎全部的软件资产，但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。通过使用通配符

21、、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能，SCCM 2007 使企业可以专注于他们所需的信息。通过跳过压缩和加密的文件，还可以减少系统资源的消耗。为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关，SCCM 2007 包括一款强大、高度灵活且可完全扩展的 Web 报告引擎，其中预置了 120 多种现成的报告。其中包含了图形类的报表和数据类型的报表。也可以自定义或创建报告，还可以使用导入和导出功能将这些报告传输到其他的 SCCM 2007 环境中。当然，在没有安装SMS客户端软件的终端设备，也可以通过SMS的网络进行发现，并且可以让系统管理员能够对其进行跟踪和维护。3.2.

22、6. 终端内网接入保护SCCM 2007可以对内网的终端接入到企业内网进行全面的安全健康状态检查能力，例如：可以制定特定的补丁，特定的需要安装的软件等，作为终端接入企业内网的健康指标，如果不符合企业标准，将会把此客户端接入到隔离网络进行修补管理，然后直到客户端符合企业健康要求，才让客户端接入内网。此解决方案叫做网络接入保护Network Access Protection (NAP), 在Windows7 Vista, XP Sp3, Windows Server 2008中以及在操作系统默认安装中包含了健康策略客户端，SCCM 2007就利用了此客户端，在服务器端集中制定规则，通过和网络控制

23、设备（803.1x网络设备，Windows Server 2008 DHCP, VPN, IPsec等）可以实现对客户端的网络接入进行控制。SCCM2007提供了持续的对客户端接入的策略制定，以及对不符合要求的客户端进行修补管理。微软提供的健康状态检查网络接入保护系统是针对企业终端接入网络而实施的保护系统。根据企业安全策略去限制非安全终端接入内部网，和其他终端安全方案结合将构成完整的终端安全系统。因此将企业网络划分为两个互相隔离的区域：l 安全区域，可以访问企业内部资源l 控制区域，将不能访问企业内部资源，可以访问Internet，可以安装补丁和最新的病毒库终端接入安全策略企业安全策略是根据企

24、业安全需求而设定的，包括终端补丁安装情况，终端防病毒软件安装以及版本更新情况，病毒代码库的更新情况。例如和主流防病毒软件Symantec联动，可以对其防病毒软件版本和病毒库进行监测。个人防火墙的配置情况，屏幕保护的配置情况，特定服务的运行状况，计算机或者用户所属的组，以及接入时间控制等等。这些安全策略由企业信息化建设的安全部门进行制定，系统支持在线更新策略，终端接入检查开始之前刷新安全策略的机制。终端安全检查和网络控制服务终端实施接入时进行安全检查，当终端检查结果符合企业安全策略时，允许终端接入到企业网络，可以访问内部资源：文件、应用、内部网站等。否则终端一直处于与企业内部网络隔离的控制区域，

25、接受修补。直到修补完成，具备健康接入的条件后，重新接入。非安全终端管理策略可以与其他安全方案配合，在网络控制区内部署补丁分发和病毒库更新服务器，使得进入控制区的非安全终端可以在局域网就可以修补系统达到符合安全策略。另外，在特殊情况下，管理员可以手动配置网络端口临时性进入网络安全区域。3.2.7 软件分发SCCM 2007的软件分发功能有了较为增强的功能：l 灵活性基于不同对象，例如：在活动目录中定义的组织单位，站点等进行分发可以灵活地根据不同需求给不同的对象群组分发软件。l 准确性基于 SCCM GUID的分发，即使计算机改名也能准确发布。l 自动性新增的机器，只要满足集合的条件，就能自动安装

26、指定的软件，而无需二次分发。l 可追踪性详尽的状态报表可以跟踪应用程序部署的进展l 节省带宽SCCM的软件分发具有智能后台传输技术，可以自动调整软件分发传输的带宽，并且可以设定阀值上限。对于分支机构的软件分发传输，可以利用本地的文件服务器作为本地的代表进行本地对等分发，同时在SCCM2007中，还可以让客户端担任本地分发对等下载得角色，大大降低了分支机构的硬件投资。软件包本身的更新是增量式的复制。只有更改部分在网络上传输。并且，SCCM具有智能带宽传输技术，它可以自动根据业务网络的带宽占用情况作出自动的带宽使用调整，在不影响正常业务在网络的运行下，实现对应用程序的部署。l 可靠性对慢速及不稳定

27、网络的支持，以及断点续传的功能，保证了应用程序部署可以可靠的完成。SCCM 2007还可以设定软件分发的窗口期，可以控制客户端在某个具体时间点才能完成相关的软件分发，补丁分发的维护工作。降低对一些关键客户端，因为日常维护而带来的影响正常工作业务的开展。3.2.8终端管理数据报表管理SCCM 2007中的报表能够有效准确地将SCCM管理的结果直观地体现出来，如资产信息，补丁管理信息，应用程序部署状态，整个SCCM Site的健康状况。在SCCM2007安装完后，就已经可以直接使用内置的120以上的报表模版。已有的报表分为以下几类：l 硬件信息l 软件信息l 软件更新信息（补丁管理）l 应用程序部

28、署信息l SCCM Site信息l 具体客户端的报表除了以上的基本报表，为了便于领导查询所需的信息，SCCM2007还新增了仪表盘 (Dashboard)。它的好处是：将常用的几个报表汇总一处并给予权限设置。这样，只需一个统一的界面，可以同时查看多个报表而无需同时打开多个页面。SCCM中的报表的查询是基于SQL的视图的。用户无需了解整个数据库的详细架构就可以方便地进行二次开发。此外，SCCM2007的报表是基于Web方式的，只要有浏览器和连接，就可以随时随地查看。也易于与其他Web服务整合在一起。所有收集到的数据和信息都集中保存在站点服务器的数据库里，也包括一定时期的历史纪录。一个优秀的操作小

29、组能够根据需要制作报表来帮助管理层进行现状分析，提出改善建议。四部署架构根据XXX的网络环境建议如下部署架构：1 以北京为中心站点，上海为二级主站点。另外有五个分公司部署为辅助站点,并且设置为北京主站点的子站点,另有三个子公司也部署为辅助站点,并且设置为上海主站点的子站点.2 在上海分公司部署SCCM2007的二级站点服务器。二级站点服务器和北京的中心站点服务器一样有自己的站点数据库.3 二级站点服务器是连接到层次结构中其上站点的站点。此站点向北京一级站点服务器报告。Configuration Manager 2007 将从二级站点收集的所有数据复制到北京一级站点服务器,各个辅助站点收集客户端信息,并发送到各自的上一级站点。4 北京一级站点包含二级站点的相关信息，如计算机清单数据和 Configuration Manager 2007 系统状态信息，并且可以控制二级站点上的很多操作。5 由于上海有一定数量的客户端需要运维且本地有IT人员进行维护，所以建议在分公司部署二级站点，使得本地IT人员可以对二级站点内的客户端进行管理。五 SCCM成功案例-