《SCCM技术解决方案》由会员分享,可在线阅读,更多相关《SCCM技术解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、SCCM2007解决方案建议书XXXXX)公司2010年X月X日目录一项目背景3二.目前终端管理现状分析4三项目目标43.1.客户需求的技术要求4需求技术详解53.2.1实现全面的终端安全配置管理6终端远程管理8终端自动化安装部署管理9终端补丁管理11终端资产管理133.2.6.终端内网接入保护133.2.7软件分发153.2.8终端管理数据报表管理16四部署架构18五SCCM成功案例19项目背景XXX经过多年的信息化建设,已经取得了较有成效的建设,包括基本的IT基础架构建设,包括基础网络、安全防病毒、基本的补丁管理、数据备份等,以及一系列内部应用系统。但是,随着XXX的信息化建设成熟度提升,
2、随之而来的系统管理问题已经成为占用信息中心相关的信息人员较大工作量以及花费了大量维护成本的问题了。系统管理的问题包括了,终端桌面的维护和管理以及服务器的维护管理。对于终端管理,信息中心相关人员往往都忙于对于客户端发生的故障进行故障处理,对于终端的安装工作,花费大量的时间,而且对于最终用户的满意度也无法做到最好。对于客户端的故障往往都是用户对于终端的使用行为管理不当引起。此外,终端的安装问题,也困扰着信息中心的工作。对于服务器的维护,目前也基本依靠人为的方式来实现管理,由于目前的服务器数量还不是太多,所以维护人员的工作量还可以有所保障。对于目前的问题,需要全面规划一套系统管理平台来统一考虑解决困
3、扰XXX日常的系统管理的问题。二.目前终端管理现状分析XXX目前总部设在北京,上海有公司,另还有其他规模较小的分公司。分公司通过2M的VPN与总部网络进行连接。网络环境中已经部署了域环境,并根据地理位置划分了站点。管辖范围大概有800左右的客户端,包括台式机和笔记本,且客户端均已经加入域.目前,XXX对于终端没有实现任何管理的功能。对于服务器管理上,没有任何自动管理平台,基本依靠个人手工维护管理。三项目目标3.1.客户需求的技术要求根据分析,目前XXX的IT基础架构大多属于基本阶段,只有身份管理和访问管理属于了标准化阶段。所以目前的项目阶段,我们需要将XXX的IT基础架构除了身份管理部分,要从
4、基本阶段上升为标准化阶段。目前企业希望通过一个集中的管理平台实现如下需求:、补丁分发管理(客户端、服务器端)、桌面计算机安全策略管理(如:不允许修改桌面端机器网络配置,不允许安装公司不允许安装的软件或公司未购买许可的软件等如:qq;桌面计算机端口屏蔽,如:usb、刻录机;桌面计算机远程协助)、IT设备资产管理、桌面计算机系统分发部署;、网络准入控制、法规符合性针对目前的问题和挑战,微软认为最迫切需要实现的终端管理的方面:实现全面的终端安全配置管理实现自动化的终端远程管理实现自动化终端安装部署管理终端补丁管理终端资产统计管理终端内网安全接入管理终端软件分发管理终端信息报表管理所以,微软建议建设一
5、套基于微软SystemCenterConfigurationManager2007为基础的全面终端管理平台。需求技术详解如何实现如上技术目标,SCCM2007具体通过如下技术方案满足企业的终端管理的要求:321.实现全面的终端安全配置管理安全配置管理是SCCM2007中另一个非常显著的功能。图1描述了显示两个安全配置基线符合性的“所需配置管理”主页:IfliMltMLRFAM通过SCCM2007,微软提供了终端安全配置漏洞的扫描的基准文件,软件安装错误和错误的配置危及安全性和稳定性,导致支持成本不断增多。用于安全配置弱点评估的基准文件有助于防止错误,从而增加了企业的正常运行时间,并帮助您构建更
6、加安全的基础架构设想场景扫描企业因配置错误而产生的弱点检测实例: 是否安装并运行没必要的服务- 文件共享是否需要适当的许可一是否启动Windows防火墙心:是否启动自动更新已!是否强制要求强大的口令卍是否启动不安全的客户账户是否在单一计算机上安排了过多的本地管理员ConfigurationManager中安全配置管理的关键来自对Microsoft客户的大量研究,大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用ConfigurationManager中安全配置管理功能,管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项(CI)创建,并提供组织中
7、计算机集合的符合性信息。除了捕获配置偏差,安全配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中,都有可能需要法规符合性报告,如萨班斯奥克斯利法案(SOX)、支付卡行业数据安全标准(PCDSS)和健康保险可携性与责任法案(HIPAA)。ConfigurationManager2007可通过所需配置管理帮助您获得所需的报告。下面是安全配置管理的工作原理。管理员将定义配置项可以在计算机中检测、应用和删除的配置单位。定义这些配置项后,即可创建由一个或多个配置项组成的配置基线。随后,这些基线将被分配到SCCM集合进行符合性监视和法规报告。配置项可以查看计算机的几个不同方面以收集信息,包括A
8、ctiveDirectory、文件元数据、脚本结果、存储在SQLServer?中的数据、软件更新数据、WMI、XML、注册表值、IIS元数据以及MicrosoftInstaller显示和配置。从不同位置收集的信息将存储在ConfigurationManager数据库中,并用于验证系统是否符合要求。现在安全配置管理过程和通过ConfigurationManager2007发布新更新的过程已完全集成。与新的软件更新引擎相同,所有安全配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的安全配置管理基线或通过新更新来更新现有基线(作为更新部署过程的一部分)。并且通过定
9、制,可以实现对于终端用户变动了相关设置后的等,而造成的大量维护工作。结合组策略进行终端管理,主要的管理内容:管理模板:用来管理注册表的设置安全设置:定义本地计算机、用户密码策略和网络的安全性设置等软件安装限制策略:可以制定用户使用软件的列表对外设使用限制策略:可以控制用户对一些外设,例如移动存储设备的使用限制启动脚本:计算机启动时进行必要的检查网络浏览器的定制和维护3.2.2 文件夹重定向:在微软提供的功能基础上进行扩展终端远程管理SCCM2007可以启用远程控制工具,帮助管理员远程登陆终端桌面进行管理配置工作。此外,SCCM2007与远程桌面(RemoteDesktop),远程协助(Remo
10、teAssistance)无缝整合,可以更加快捷,方便的实现远程操作。而且SCCM2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式,SCCM的远程控制功能可以实现:1远程控制,通过在SCCM管理员控制台上可以远程控制终端用户的桌面。2 远程重启,帮助重新启动远程终端。3 远程聊天,可以和远程终端用户进行聊天,帮助用户解决问题。4 可以实现远程文件传输,可以实现在SCCM服务器和终端之间的文件传送。务,中断非法进程,修改注册表,修改文件等。6SCCM客户端诊断,可以在终端上进行故障诊断。通用过远程工具,IT管理和故障排除可以在网络任何一个位置进行处理,集中管理的目
11、标得到体现。并且,通过远程处理终端故障和帮助用户,有效降低了IT支持的成本。通过远程终端维护管理,可以让信息中心的相关维护人员降低维护的成本以及提升维护的效率,无需到现场进行故障恢复。3.2.3 终端自动化安装部署管理操作系统部署功能是SCCM2007最大的重点领域。Microsoft已将ConfigurationManager设计为部署服务器和工作站平台操作系统的主要方式。从根本上更改管理操作系统部署的方法。Windows映像(WIM)格式。使用此格式有不少好处,首要的一个好处是ConfigurationManager2007本机导入了WindowsXP,Windows7为操作系统部署引入了
12、新的WIM映像格式,这样管理员就可以直接从控制台使用这些映像并对其进行部署。ConfigurationManager中另一个重要的新功能是集成的部署任务排序器。通过利用任务排序器,操作系统部署过程完全不需要任何干预。任务排序器可以帮助安排部署操作系统需要执行的所有步骤,包括进行部署前要在较旧的操作系统中执行的步骤(用户状态迁移和应用程序设置转移),部署新操作系统的步骤(设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装),以及部署完新系统后him要求执行的步骤(其他应用程序安装、更新安装、用户状态迁移)。作为此功能的一个示例,图2显示了任务序列编辑器,突岀显示了在Window
13、sXP,Windows7部署中您可以利用的一些功能。左响”jb:叭*W.曹jreTjjrtjn.*-F-r(Kid除了任务排序器,ConfigurationManager2007中还有若干用于操作系统部署的其他增强功能,例如,ConfigurationManager支持通过设备驱动程序管理对x86和x64平台的预引导执行环境(PXE)进行裸机部署。通过此设备驱动程序管理选项,您的组织可以显著减少需要为各类硬件维护的映像数。通过与WindowsWIM映像格式引入的单一映像支持结合,在执行操作系统部署时您无疑会节省时间和资金。整个客户端自动部署实现流程如下:3. 1.按照企业终端的实际情况,安装需
14、要作镜像的参考对象桌面系统,准备核心镜像按照企业不同的业务需求,配置软件分发包。(在系统部署时动态加载)3.使用桌面管理系统SCCM2007,通过SCCM2007的镜像打包向导,对参考对象桌面系统进行镜像打包。4. 通过SCCM2007的软件分发向导,对不同应用程序打包。5. 配置自动部署策略,定制管理信息数据库,将用户名、工作部门(或者需要安装的软件包)、产品密钥、域信息、硬件网卡MAC地址信息进行配置。6. 通过SCCM2007的同步功能,将镜像文件同步到在各分支机构的远程安装服务器上,客户端计算机网卡启动,进行网络安装;或者将镜像文件通过制作分发光盘在每个桌面计算机上安装。3.2.4 终
15、端补丁管理如同ConfigurationManager2007中的其他功能,软件更新管理已得到显著改进。软件更新管理的基于状态的方法还意味着修补程序和更新状态不再与硬件清单扫描相关,因此不再需要当前的InventoryToolforMicrosoftUpdates(ITMU)和扫描目录。相反,ConfigurationManager将使用运行WindowsServerUpdateServices(WSUS)的新软件更新点(SUP)服务器角色在后端作为软件更新引擎和数据库。通过为所有软件更新和安全配置管理信息创建一个新的基于状态的高优先级通道,ConfigurationManager将向托管代理
16、推出更新和定期程序包的方法分离出来。推出其他软件包不会防碍推出软件更新或从托管的工作站、笔记本电脑或服务器接收修补程序状态。在ConfigurationManager中,WSUS使您能够在一个集中位置进行所有更新管理。这使您可以下载MicrosoftUpdate上所有可用的内容,包括非关键更新、驱动程序和Microsoft平台的其他软件包。此外,Microsoft还会鼓励其合作伙伴通过此方法发布软件更新。下来的ConfigurationManager也采取同样的行动,Adobe和Citrix就是其中的两家。此新的软件更新引擎还提供接近实时的更新状态以启用更好的报告和增强的主页视图。通过这些自定义的视图,您可以快速了解整个IT基
