Antecedentes:
He sido el administrador / usuario principal de una implementación de SCCM 2012 SP1 en nuestra organización que se compone de aproximadamente 500 estaciones de trabajo (Windows 7) y 120 servidores (Windows Server 2008 R2). También estoy al principio de mi carrera y principalmente tengo experiencia y pasión por las redes y Linux, por lo que la administración de puntos finales de Windows es algo nuevo y un poco desagradable para mí. Solo tengo experiencia con SCCM 2012, así que no puedo hablar con las versiones anteriores. Nuestra organización se encuentra en la parte inferior de la curva de economía de escala y nuestra implementación (más o menos) exitosa de SCCM se debe en gran parte al hecho de que estamos lo suficientemente adelantados a nuestros requisitos para que podamos ser proactivos, muchas tareas estándar son manejadas por otros grupos (Active Directory, correo electrónico, redes, seguridad).
El precio de las características: complejidad
SCCM 2012 tiene muchas partes móviles y cuando se rompen se rompen por razones que no siempre son inmediatamente obvias o intuitivas. SCCM 2012 actúa como un supervisor, administrando y aprovechando un montón de tecnologías subyacentes existentes a través de un solo marco. Esto no es simple y ocasionalmente se rompe. Para tener una idea de cuántas piezas subyacentes diferentes están involucradas, observe el número de archivos de registro , creo que, en términos generales , hay algo como ~ 240 archivos de registro. Nuevamente, es difícil (al menos desde mi perspectiva) exagerar la complejidad de SCCM (o realmente cualquier sistema de administración de punto final).
Administrar puntos finales como un jefe
¿Sabes lo que es realmente molesto? Caminar (o RDPing) a cada máquina individual para realizar la misma tarea una y otra vez. Eso es aburrido y una pérdida de tiempo. Si realmente te comprometes a usar esta herramienta, puede ser un increíble multiplicador de fuerza. Estas son las características que le permiten hacer eso:
- Actualizaciones de software : esto es básicamente solo WSUS con esteroides. Obtiene excelentes informes, granularidad y verificación de cumplimiento sobre las ofertas estándar de WSUS. Si puede hacer WSUS, puede hacer actualizaciones de software con SCCM.
- Configuración de cumplimiento : estaba realmente emocionado de ver esta característica venir de la tierra de cosas como Puppet. Los elementos de configuración se componen de una configuración para evaluar y luego una regla de cumplimiento que determina si se debe corregir o no. Como ejemplo, promocionamos una aplicación para toda la organizacióneso eliminó una utilidad de compresión y la reemplazó por otra. Esto tuvo la desafortunada consecuencia de no establecer correctamente la asociación de archivos para archivos ZIP. Un elemento de configuración basado en la clave de registro más tarde establecimos la asociación de archivos en toda la flota. Puede evaluar un grado bastante amplio de Configuración: claves / valores del registro, consultas de Active Directory, consultas WQL y SQL y scripts de PowerShell. Piense en la Configuración de cumplimiento como una versión granular muy flexible de GPO con control de revisión ( finalmente ) e informes. La desventaja es que para cualquier cosa, incluso un poco compleja, estará escribiendo scripts y todavía no escapamos de la dificultad de administrar la configuración de un modelo de administración orientado a la API .
- Aplicaciones : esto es para implementar y administrar software de terceros. Se supone que toda la lógica está contenida en la "Aplicación": la lógica de detección (¿cómo sé si $ APPLICATION está instalada?), La lógica de requisitos (el cliente cumple los requisitos previos), la lógica de instalación y la lógica de desinstalación. Con aplicaciones compiladas correctamente, esto funciona muy , muy bien para administrar software de terceros. Se implementa la versión más nueva, reemplaza automáticamente la versión anterior, la desinstala y luego instala la versión más nueva. Como mencioné anteriormente, reemplazamos una utilidad por otra en toda nuestra flota durante la noche. Puede llevar este modelo aún más lejos y usar la "AppStore"funcionalidad para permitir a los usuarios instalar su propio software que está fuera de la imagen base.
Querrá administrar cosas como Adobe Flash, Acrobat / Reader y Java JRE, ya que a menudo son el objetivo del malware, pero no intente hacerlo usted mismo. Simplemente compre un servicio de suscripción que los proporcione a través de SCUP . El proceso de instalación de estos productos es un objetivo tan dinámico que parece que cada versión hace las cosas de manera diferente (ver aquí , aquí , aquí y aquí) En el mejor de los casos, encuentro que puedo producir una nueva aplicación de algo como Java JRE o Flash en aproximadamente cinco horas. Si hace Reader, Acrobat, Flash y Java JRE, puede esperar un mínimo de 20 horas de trabajo al mes. Eso es casi toda la semana de un FTE para empaque: ahorre esas horas y esfuerzo para aplicaciones internas o especializadas. (No sé por qué Adobe y Oracle llegan a tales profundidades para hacerme la vida más difícil).
- Informes / Medición de software : casi todo en Windows está en WMI o en el Registro. Es fácil acceder al Registro con los Elementos de configuración y casi todo en WMI se absorbe en el Ciclo de inventario. A continuación, puede usar los informes incorporados o personalizados para convertir esto en información agradable y sofisticada aprobada por el administrador (TM). Como ejemplo, tenemos un informe personalizado que nos da el número de serie de todas nuestras estaciones de trabajo, lo enviamos a nuestro representante de Dell y recuperamos una lista de máquinas cuya garantía vence ese trimestre. Ordenado.
Mencioné la instalación de la aplicación centrada en el usuario desde un "AppStore" anteriormente, así que si los usuarios instalan Acrobat por su cuenta, ¿cómo administran las licencias? Puede ejecutar un informe en tiempo real para ver quién tiene el software en cuestión y luego verMedición de software que le indicará con qué frecuencia se utiliza ese software en particular en una estación de trabajo en particular. Lo estamos utilizando para agrupar las licencias de Acrobat de cada departamento en un solo acuerdo para que podamos obtener un mejor costo por licencia y luego, por una medida adicional, eliminarlo de las estaciones de trabajo donde rara vez se usa.
- Implementación del sistema operativo : esto es básicamente MDT, WAIK y DISM. El valor agregado que SCCM le brinda es Secuencias de tareas y Construir y capturar. Básicamente, automatizas el proceso de construcción de tu máquina de referencia. Para actualizar su imagen base, actualice su secuencia de tareas y vuelva a ejecutarla. Esto reduce en gran medida el tiempo que lleva construir una nueva imagen base.
Dimensionamiento correcto, o cómo me convertí en administrador de SCCM
Todo eso suena bien ¿eh? Aquí está el problema. No es simple de hacer. Nuestro chico de nivel 1 pasó casi seis semanas descifrando la construcción y captura de imágenes base. Me llevó al menos un mes obtener una lista completa de problemas de solución / interrupción resueltos. Todavía no puedo construir, probar e implementar Java JRE antes de que se lance una nueva versión. Nuestro DBA tuvo que escribir nuestros informes personalizados ya que no pude entender SSRS . Me parece que escribo muchos scripts de PowerShell para unir ciertas cosas o para realizar algún tipo de "lógica". Todavía no puedo escribir consultas WQLpara la lógica de la aplicación Después de seis meses de pasar casi todo el día, todos los días con SCCM, siento que estoy comenzando a superar la curva de aprendizaje. Nuestras personas de nivel 1 y nivel 2 terminan empujándome la mayoría de los problemas de SCCM (que en realidad son cosas de soporte de punto final / escritorio) ya que todavía no tienen la habilidad para resolverlos. Por conjunto de habilidades, quiero decir, cosas como familiaridad con WMI / WQL, WSUS, ProcMon, Windows Installer, PowerShell y el Registro. Para hacer cosas como la corrección del Elemento de configuración del archivo de asociación ZIP, debe saber qué tipo de datos de configuración se almacenan en el Registro y dónde encontrarlos. Si hace de SCCM su organización 'curva de aprendizaje brutal para su personal de nivel 1, 3) resistencia y una tendencia para que el personal haga cosas a la "manera manual de la vieja escuela" porque es "mucho más fácil".
¿Es SCCM una buena opción para su organización? Aquí hay algunas preguntas para considerar.
- ¿Estás en modo reactivo o en modo proactivo?
- ¿Cuán diversas son las obligaciones laborales de su personal? ¿Simplemente hacen gestión de puntos finales o estás haciendo todo?
- ¿Cuán profundo y diverso es el conjunto de habilidades de su personal?
- ¿Hay algún deseo y voluntad entre su personal para subir esa curva de aprendizaje?
- ¿Cuán diversa es su flota y los requisitos de su usuario final?
- ¿El personal superior está dispuesto a manejar los problemas de soporte de escritorio y asesorar a sus amigos de nivel 1 y nivel 2 hasta que se sientan más cómodos con SCCM?
- ¿Proporcionará capacitación su gerencia (pista: si tiene un contrato Microsoft Premier, tienen algunos PFE excelentes que pueden hacer seminarios en el sitio).
- ¿Está su gerencia dispuesta a hacer interferencia por usted, mientras pasa una o dos semanas descubriendo algo a la "manera SCCM" en lugar de hacerlo simplemente a la "manera manual de la vieja escuela"?