概述
问题分析
随着企业应用规模和用户规模的不断扩大,IT日常运维的工作量和压力也急剧攀升。目前IT运维部门必须花费大量的精力来做计算机软硬件的资产管理、配置管理、软件和补丁的分发和其他许多相关的桌面端技术支持工作。由于桌面端的用户数量非常大,用户办公地点比较分散,移动用户较多,如果采用传统的人工管理手段,效率非常低且无法取得最佳的效果。并且IT部门无法准确了解和掌控桌面端系统运行状况,比如软硬件配置、安全补丁的部署情况、许可证使用情况等等,也不能统一分发安全策略,从而给整个办公网络系统运行带来许多现实和潜在的风险。此外,IT运维人员的大量时间和精力都用于应付这些日常的重复性的管理维护工作,也不利于集中精力从更高和更宏观的层次来研究和推动办公网络系统的进一步发展,一定程度上减缓了办公网络系统不断迈上新台阶的步伐。
总体功能需求
SCCM 2007提供了集中式修改与配置管理解决方案,以帮助组织机构针对由基于Windows操作系统的PC设备构成的各种规模的部署方式进行管理。SCCM 2007将可从一个或多个集中式管理员控制台为下列功能提供支持:
资产目录:硬件资产管理与配置跟踪
应用部署和补丁更新:软件与配置修改部署
软件计量:监控软件使用情况
故障排除:远程技术支持
报告:针对详细系统与服务报告的访问调用能力
技术支持将可在无需与最终用户进行交涉或向远程位置派遣IT人员的前提下实现提交。这就允许在将IT支持人数控制在最低水平的前提下针对大量基于Windows操作系统的PC设备实施集中管理。
以下章节将对已被添加到SCCM 2007中的每种关键特性进行详细介绍,主要描述它们在先前设定的情境中所能解决的问题。
1.1 资产目录
基于所有受控计算机的软件和硬件均可被SCCM 2007尽数收入目录。各种各样的报告将基于结果数据生成,以帮助组织机构制定软件升级计划,跟踪计算机与软件资产,或检查软件许可证的有效性。
举例来说,在部署某个新软件包之前,管理人员可能需要编制一份报告,以便显示具备足以为相关应用提供支持的内存与磁盘空间的目标PC设备数量。这就允许那些不符合要求的系统在部署开始前得到升级,从而,确保实现较高的项目整体成功率。
从Windows 98开始就已被内建于Windows操作系统的Windows管理规范(WMI)提供了组成扩展使用情况的信息。SCCM 2007将借助最新版本的WMI(1.5版)提供内容尽可能丰富的系统数据集(包含BIOS、主板和封装数据)。管理人员可从700多个系统数据类别中自行指定需要在目录扫描期间被记录下来的对象,以便帮助组织机构在性能表现与目录深度两者间做出权衡。
SCCM 2007中的新选项为管理人员提供了针对所需接受扫描的文件加以控制的更多手段,允许每个组织机构在扫描操作过程中对软件目录范围与客户端处理器工作负载之间做出权衡:
通配符可供用来将目录搜索控制在特定文件或文件根范围内,以尽可能降低所需检索的数据量,并减轻对受控设备造成的影响。
软件目录可对指定文件夹和驱动器执行扫描,并使用环境变量在不同计算机之间划定搜索范围,以便对数据收集进程实施优化。
目录可将安装状态与重要更新数据库进行对比,以便指示出那些确需安装但尚未部署到特定计算机的重要软件修补程序。|||
目录可报出已在添加/删除程序中注册或已由Windows安装服务安装的软件产品。这是一个基于文件目录的理想检查点,可提供关于已安装应用程序的精确描述,而不仅限于计算机上存在的文件。
SCCM 2007目录引擎还可由那些希望扩充本地WMI数据集的管理人员实施扩展。管理人员能够编写脚本或可执行文件,以便将源自Windows注册表、配置文件或应用接口的更多信息添加至目录扫描范围。与非Windows项目有关的资产信息(如计算机租赁、扫描仪、复印机、传真机或人力资源数据)还将被作为SCCM 2007目录数据集的组成部分加以存储。
1.2 软件分发
SCCM 2007特性集的一项关键优势一直是该产品针对基于Windows操作系统之桌面计算机、笔记本电脑和服务器的强大而灵活的软件部署支持。管理人员可基于中央控制台在将软件包部署至遍布网络系统的目标计算机时对它们执行封装、复制、定位、推荐和跟踪。软件包还可在允许最终用户干预或无需最终用户干预的情况下实现部署,而任何IT支持人员均不必亲身前往目标系统。
无论软件产品是像Windows XP Professional这样的操作系统、像Microsoft Office这样的完整应用套件,还是由第三方厂商提供或自行编写的日常商务应用,亦或较为重要的Windows系统更新,SCCM 2007均可借助简单易用的界面、向导以及与操作系统服务之间的高度集成大幅降低确保软件处于即时更新状态所需付出的工作量。
举例来说,管理人员可借助SCCM 2007将一个新的服务软件包部署至公司范围内基于Windows NT操作系统的所有服务器。安装服务软件包所必需的源文件被首先复制到遍布全球的SCCM 2007站点,这有可能借助非高峰时段内的网络WAN链接得以实现。而软件包的实际安装则可被安排在非高峰时段分别针对全球范围内的每个办公机构执行。每台计算机均可利用网络系统上距离最近的拷贝执行服务软件包安装操作,并将由此产生的网络流量控制在最低水平。
在战略位置以本地方式部署SCCM 2007并配备多种带宽管理特性的分布式体系结构允许在不会导致网络超负荷运转、关键业务通讯中断或为用户带来不便的前提下轻而易举地将软件部署至规模极大的应用环境。状态报告允许管理人员在任何安装问题发生的第一时间对它们做出突出标识,并在此基础上迅速采取补救措施避免出现类似故障,从而,为大规模部署方式提供更高水平的援助支持。
在借助SCCM 2007实施软件分发之前,管理人员必须首先生成包含所需部署文件、目标系统配置集合以及安装过程中所需执行之任何脚本化操作在内的软件软件包。
SCCM 2007针对软件部署需求提供了大量应用程序封装选项。其中,最简单的选择就是针对已借助Windows安装服务技术完成封装的应用程序加以运用。数以千计的第三方软件应用程序都采用了Windows安装服务技术,并可供SCCM 2007直接运用。不仅如此,SCCM 2007管理人员既可直接对Windows安装服务定义加以修改,又可从多种第三方工具中任选其一对应用安装选项进行定制化处理。
将Windows安装服务软件包用于部署任务的某些关键优势如下:
自我修复:在已安装文件受损或遭到删除的情况下,应用程序将自动获得修复。
适时安装:管理人员通常希望最初只提交某一应用程序的核心组件,除核心组件外的其它特性则将在用户首次发出调用请求时补充到位。管理人员将通过这种方式尽量降低初始安装操作对网络系统的影响,并将每台目标计算机上的客户端磁盘占用量控制在最低水平。
转出/重启:在某些情况下,安装操作将在完成之前以失败告终,这可能归因于计算机系统状态在安装过程中发生的变化。如果这种故障发生,Windows安装服务将明确保留已经完成的安装步骤,撤消部分安装操作,并将目标系统返回到某个已知工作状态。
Windows安装服务将为这些特性提供本地支持。当然,在与SCCM 2007配合使用的情况下,Windows安装服务功能还将提供下列安装特性:
添加/删除程序集成。推荐软件将在“添加/删除程序”中得到注册,以便为希望安装可选软件包的用户提供简单明了的应用界面。
增强权限安装。个别应用程序还可在安装过程中借助多个安全账户环境实现安装。需要具备本地管理权限的操作步骤(如安装驱动程序)将凭借增强权限得到执行,而与用户相关的步骤(如创建快捷方式、修改个人配置)则应在目标用户安装环境中得到执行。|||
软件包自动生成。由于Windows安装服务格式包含与软件安装方式相关的丰富信息,因此,SCCM 2007将可轻而易举地导入所需全部信息,以便生成上述软件包逻辑。管理人员目前只需将SCCM 2007指向某个Windows安装服务文件,即可凭借SCCM 2007完成部署。
如果Windows安装服务软件包格式并不适用于某个应用程序,那么,还有多种替代选项可供使用:
1) 重新封装为MSI文件。SCCM 2007 Installer工具可供用来对基于某台参照计算机的非Windows安装服务进程实施监控,并相应生成可提交相同最终结果的Windows安装服务软件包。
2)重新封装为SCCM 2007 Installer文件。虽然管理人员可选用与上述方法相似的操作程序,但仍可生成一个本地SCCM 2007 Installer可执行文件包(setup.exe),以便在提供增强型SCCM 2007状态报告支持的前提下重新实现初始安装。
3)创建定制化安装脚本。管理人员可借助SCCM 2007 Installer工具从头编写利用本地脚本支持特性的安装操作脚本。这种供选方式还提供了较为丰富的SCCM 2007状态集成特性。
4)使用旧版安装系统。SCCM 2007可供用来将初始软件包传输至所有位置,并在每台目标计算机上启动所需命令行(如“setup.exe /s /u”)。
SCCM 2007配备了多种选项,可供对某个软件包应被定位于哪些用户或计算机进行精确设定。管理人员可对下列属性进行有机组合,以便生成目标计算机和用户定义:
5)确切的用户、计算机或组名
6)硬件目录数据
7)软件目录和使用情况数据
举例来说,SCCM 2007可供用于将一个新的企业电子表格模板分发给计算机上已安装了Microsoft Excel 2000(或更高版本)并具备足以为新模板加载提供支持的可用磁盘空间及内存容量的全体财务部门成员。
图1. 以工作组为目标的软件分发
1.3 Active Directory集成
Active Directory支持与SCCM 2007之间的高度集成将允许管理人员根据组织单位成员资格、用户组、计算机组乃至Microsoft Exchange 2000分发列表等非安全对象进行软件部署定位。
这种Active Directory支持的实现途径为:发现与目录附带之所有用户和计算机相对应的对象成员资格,并将这些成员资格作为属性添加到由SCCM 2007数据库存储的目录数据当中。管理人员将可通过与硬件或软件目录属性使用方法完全相同的途径借助这些Active Directory属性创建目标集合。|||
管理人员可对Active Directory搜索进程实施定制化处理,选择不同日程计划,并将所需执行搜索的Active Directory层级组成部分纳入定位范围。这种粒度控制将确保目录整体性能不会受到搜索进程的重大影响。
SCCM 2007还可借助Active Directory面向网络系统上的客户端发布特定SCCM 2007服务与服务器所处位置。SCCM 2007能够将Active Directory用作定位服务,并在此基础上简化客户端操作,并尽可能降低客户端服务搜索期间产生的网络流量。
此外,SCCM 2007站点界限可在逻辑上与Active Directory站点定义相对应。Active Directory站点定义特性允许管理人员使用子网通配符定义站点边界,这就允许将覆盖面较大的IP地址轻松集成到SCCM 2007站点界限集合当中。
图2. 基于Active Directory组织单元的SCCM 2007集合(或组)。
1.4 网络管理
网络管理选项一直是SCCM 2007早期版本的关键特性。用户可凭借早已获得支持的站点间广域网(WAN)带宽管理特性对客户端与服务器之间的最新网络流量控制功能加以充分利用。尽管固定式局域网(LAN)环境具备自身优势,然而,在由通过低速拨号连接方式上网的用户使用的情况下,这些新式带宽管理功能却可显示出极其强劲的效能。
举例来说,出差在外的员工可利用传输速率为56Kbps的拨号调制解调器连入企业网络,并查找最近更新且必须立即下载并安装的公司销售数据库。刚刚更新的数据库软件包可能具有10 MB容量,而用户还需要在下载过程中将RAS链接用于电子邮件收发或Web浏览等其它目的。由于每个应用程序都将使用RAS链接,因此,软件下载进程将被挤到后台,其所占用的带宽资源也会相应降低。
如果用户在下载进程完成前终止拨号会话,那么,这个下载进程就会在用户下一次与企业网络建立连接时接续执行。最后,整个数据库软件都将被下载至本地计算机,而下载进程则可能跨越若干天中的多次拨号会话期。下载进程一旦完成,SCCM 2007便会启动与销售数据库软件相关的安装指令。
后台智能传输服务(BITS)已被内建于Windows XP,并可被添加至基于Windows 2000操作系统的计算机。而针对这种技术手段的实际应用则促使Advanced Client带宽管理功能得到了显著增强。BITS文件转换器基于符合行业标准的HTTP协议,可为服务器与客户端之间的文件下载或上载提供检查点重启机制。这种技术手段主要以Windows Update服务所使用的框架为基础,该框架目前正以每月6,000万次的调用频率为网络下载请求提供伺服。由BITS添加到SCCM 2007 Advanced Client当中的关键功能特性包括:
检查点/重启。一度被中断的客户端文件下载进程将可随网络连接的重建实现断点续传。
后台传输。SCCM 2007客户端-服务器流量将随其它应用程序流量的启用被挤到后台,与之相关的带宽占用量也将在所有传输进程执行期间接受大幅度调整。|||
下载与执行模式。许多客户希望将源软件包下载至本地计算机。这就允许检查点/重启特性在安装开始前对已存在于客户端计算机上的软件组成部分进行检测,并帮助用户充分利用Windows安装服务效能执行自我修复和适时安装。SCCM 2007将允许管理人员以这种方式操作软件包,从而,为分散在不同地点的用户提供适当的软件。
管理人员应注意,在Advanced Client与SCCM 2007之间任一方向上的所有网络流量均处于带宽控制之下。这将确保目录数据、软件使用状况数据和状态信息不会在向SCCM 2007传送的过程中发生梗阻。
SCCM 2007站点服务器之间的带宽管理
SCCM 2007还有助于改善站点服务器之间的通信效果。需要特别指出的是,针对SCCM 2007站点之间的所有通信流量进行的节流与调度将确保指定带宽资源只会在一天当中的指定时段接受调用。虽然SCCM 2007的早期版本就已为这种特性提供支持,但是,SCCM 2007却以名为增量软件包复制的新特性对这种功能进行了扩展。增量软件包复制特性可在无需再次传送整个更新软件包映象的前提下,在站点间对软件包修改内容进行复制。
与早期发布版本相似,SCCM 2007 200可为由跨越远程地理位置的多个SCCM 2007站点组成的分层式体系结构提供支持。这种层级化方法可实现“扇出式”软件分发,也就是可将站点间重复传输控制在最低水平的跨WAN链接软件包路由操作。
1.5 报表
SCCM 2007提供了包含120多种预建报告模板在内的Web报告服务,以及在管理人员控制下利用自定义报告对上述预建报告进行扩展的选择。已经提供的标准报告涉及多种目录、软件使用活动和SCCM 2007操作选项。
SCCM 2007还可为仪表板特性提供支持,从而,允许IT支持人员将最具实用价值或工作效能的报告插入SCCM 2007操作的单一“智能化显示”。
SCCM 2007 Web报告服务还提供了深层挖掘特性,用户只需在自己感兴趣的报告中点击某一行,即可进一步调阅底层报告。每个底层报告均可为管理人员提供更多详细信息,直到关于单个计算机或用户的完整目录信息被全部显示出来。
图3. 从Web浏览器中查看计算机目录
一个菜单将显示所有预定义报告,其内容涉及从Windows XP升级就绪状态到那些需要一或多个关键更新软件包的计算机。
1.6 软件计量|||
管理人员可将SCCM 2007配置为针对软件应用程序使用情况进行跟踪的状态。这里所说的软件应用程序是指由处于联网和脱机状态的全部受控计算机用户使用的对象。管理人员将通过SCCM 2007 Administrator Console(管理员控制台)创建计量规则,以便对其希望跟踪的任何可执行文件实施监控。这样一来,即使在与企业网络断开连接的情况下,受控计算机仍可记录软件使用状况,并按预先设定的日程计划或在下一次建立连接时将使用情况报告上载至SCCM 2007站点。
图4. 应用程序使用情况可以接受跟踪。
来自网络上所有计算机的软件使用情况数据将被存储在站点数据库当中,并可供与软件目录数据进行校对。为防止软件使用情况数据充塞SQL数据库,这种数据将定期接受精简处理,以便将个别使用情况记录合并为汇总应用程序记录。SCCM 2007站点管理员具备针对上述进程加以配置的完整权限。
软件计量子系统已在SCCM 2007中接受了全面重建,其性能表现已得到显著改善,并实现了计量用户界面与SCCM 2007管理控制台和报告系统的全面集成。
1.7 故障排除
管理人员和技术支持人员可借助SCCM 2007配备的工具和特性以远程方式排除发生在受控系统上的故障。除诊断工具外,基于Web的报告服务还可提供针对当前系统配置数据和近期修改调整的访问调用服务,这一点是非常难能可贵的。
此外,SCCM 2007的软件分发功能将允许管理人员在无需最终用户干预的前提下卸载并重装应用程序。
故障排除工具主要包括:
资源管理器。这种工具允许管理人员在目录数据库中查询受控系统当前配置状态,即使目标计算机处于脱机状态。针对目标计算机配置的近期修改将可被检测到。
远程控件。SCCM 2007固化远程控件主要以选项方式包含在两种SCCM 2007客户端代理中,允许管理人员轻而易举地同远程SCCM 2007客户端屏幕、键盘和鼠标建立连接。SCCM 2007还可借助该平台所具备的远程援助特性为通往基于Windows XP之远程计算机的连接提供支持。SCCM 2007远程控制客户端还可被用于下层受控客户端。针对上述远程控制特性的访问调用服务将通过用户安全权限接受控制,以确保只有授权操作人员才能对远程计算机执行访问调用。
远程对话。管理人员可通过远程工具应用程序启动与任何用户之间的文本对话进程。
文件传输器。在使用SCCM 2007 Remote Tools(远程工具)的情况下,文件对象将可直接基于远程系统接受管理。文件既可被复制到基于远程系统的特定位置,又能从基于远程系统的特定位置实现下载。常规操作系统用户安全权限在此适用。|||
远程执行。需要在远程系统上执行的指令将可从SCCM 2007 Remote Tools(远程工具)中实现发送。
网络监视器。网络监视器可从本地和远程受控系统的网络适配器上捕捉、解码并显示数据包。
网络跟踪。网络跟踪工具可迅速生成一张简单图表,以显示围绕SCCM 2007 Administrator Console(管理员控制台)所选受控SCCM 2007站点服务器展开的网络拓朴结构。网络跟踪工具还可通过展现设备依赖关系的方式简化调试任务。
产品优势
SCCM 2007的分布式、层级化设计理念允许该产品针对规模最大的分布式Windows环境实施管理。SCCM 2007已在众多由数十万个受控节点组成的机构中得到采用。
每个受控环境均可通过SCCM 2007站点层次结构接受管理,而它们中每一个则是由一或多个运行SCCM 2007软件的服务器组成。软件包等内容可借助前述带宽管理特性被复制到站点服务器之间的层级结构。全局伸缩性(远程地理分布站点管理)可通过从战略角度出发将SCCM 2007站点置于受控客户端所处任何位置的途径得以实现。而添加服务器以便在单个站点位置上共享大规模客户端群体负荷的做法则有助于实现本地伸缩性。
SCCM 2007的关键优势之一,就是将该产品投入实际应用所需花费的计划、部署和启动时间相当短暂。IT部门在从产品部署中看到实际价值之前,并不需要进行广泛的定制化工作。
这种快速投资回报在很大程度上归功于SCCM 2007与其所管理操作系统之间的高度集成化水平。由于SCCM 2007自开发伊始就以管理基于Windows的系统为目标,因此,该产品将可对内建于Windows操作系统的大量功能特性(如Microsoft管理控制台和Internet Information Server)加以充分利用。
当然,任何管理系统的部署都需要一定的规划工作;IT环境的规模越大、复杂程度越高,系统规划阶段所需占用的时间就越长。然而,SCCM 2007在典型环境下所需占用的规划与部署时间明显短于同一领域内的其它软件产品。
图形化安装向导将带领管理人员完成SCCM 2007安装进程,并自动检测所需服务和前提条件是否齐备(例如,是否已存在适用服务软件包或SQL Server™ 2000数据库系统)。举例来说,如果Active Directory已经存在,那么,SCCM 2007便会对其执行检测,并提示对所需定位服务加以配置。
SCCM 2007将对Microsoft管理控制台加以全面利用,并通过与其它Windows管理工具相一致的格式提供管理功能。管理人员可逐级展开树状界面,以便对高级或低级选项执行访问调用。针对每个用户界面(UI)节点的访问调用将通过安全凭据接受控制,以便针对不同管理角色创建定制化控制台。
向导程序可供用来简化像软件包生成与分发这样的关键专用进程。Web报告服务还降低了针对SCCM 2007数据库所提供之丰富数据实施访问调用的难度。
SCCM 2007基于管理用户界面实现的所有功能和任务还可通过脚本方式得到执行。这就允许创建一个脚本库,以实现常规业务与管理进程的自动化(例如,每周向全体销售人员分发经过更新的公司销售价目表)。
SCCM 2007虽然简化了为受控系统和软件提供安全保障所涉及的管理任务,但却在提高系统整体安全保障水平方面配备了了大量增强特性。|||
SCCM 2007对内建于Windows操作系统的用户安全子系统加以全面运用,并在此基础上提供了针对误用行为的深层防御能力。管理权限还可通过粒度化方式委派,以确保IT支持人员仅仅具备执行各自任务所必需的权限。
不仅如此,SCCM 2007还能在可选“高级安全”模式下运行。在这种模式下,所有SCCM 2007服务都将在“网络系统”安全环境下运行,以便通过主机账户对网络上的其它资源实施访问调用。这将消除在每个站点上维护多个账户口令的必要性,以确保遵循本地安全策略。为实现高级安全模式,Active Directory必须在所有网络位置可供使用。
SCCM 2007的早期安全模式主要将置于多重防火墙保护下的账户应用于所有服务器端操作;在Active Directory可供使用的前提下,这种方式仍可作为一种选择获得支持。
最新功能特性还赋予了SCCM 2007一个帮助任何组织机构确保自身安全的重要角色。SCCM 2007的安全修补程序管理特性将参照记录着已发布重要更新的Microsoft在线数据库对所有受控系统上的已安装软件进行检验,并就每台受控计算机所需安全修补程序做出报告。(说明:上述特性的早期版本已通过针对企业安全性的SCCM 2007 2.0 Value Pack的形式面向SCCM 2007 2.0客户发布。)管理人员可借助一个向导程序自动下载最新修补程序,并将其部署至需要它们的目标系统,从而,实现根据实际需要安排部署计划、定位部署对象。
本文转自legendfu51CTO博客,原文链接:http://blog.51cto.com/legendfu/1072366 ,如需转载请自行联系原作者