SCCM 2007 - что нового

Что изменилось по сравнению с SMS 2003

Изменилось мало или совсем не изменилось:

• Консоль администратора
• Коллекции
• Распространение софта
  
• Мониторинг софта(Software Metering)
  
• Remote Tools
• Бекап и восстановление
• Discovery
• Инвентаризация
• Запросы
• Отчеты

Ранее нижеперечисленное было доступно в виде Feature Pack:

• OSD
• Mobile device management
• Transfer site settings wizard
• Manage site accounts tool (MSAC)
  

Следующее появилось в SCCM 2007:

• Desired configuration management
• Network Access Protection for Configuration Manager - фича, основанная на функционале Windows Vista и Windows Server "Longhorn". Суть - настраиваем политику, т.н. SMS NAP policies, и теперь клиенты, которые ей не удовлетворяют, в сеть не пускаются, пока удовлетворять не станут. Т.е. приходит чел с ноутом, ноут в сеть, на него агент SCCM, проверяет - видит не все патчи стоят. Он их доустонавливает, и пока не закончит - не дает челу в сети работать с этого ноута. (пока мне встречался только пример с обновлениями)
• Wake On LAN

Появилась такая система сайта, как Branch Distribution Point - DP, которая может стоять на не серверной версии ОС, и при закачке на нее пакетов есть возможность управлять нагрузкой на канал. Нужна для того, чтобы в простых случаях(маленьких филиалах) не поднимать Secondary Site. Похоже, безопастность этой системы ниже, поэтому клиенты будут скачивать пакеты к себе, проверять их хеш перед запуском.

SCCM поддерживает базу как на clustered SQL Server virtual instance так и на SQL Server 2005 named instances.

Если SMS 2003 поддерживал 2 типа клиентов - Advanced и Legasy, то SCCM только один, аналог Advanced. Как следствие - операционки старше Win2000 не поддерживаются. Плюс немного изменился набор методов установки клиента, в частности, добавился некий software update point client installation. Метод установки Client Push теперь использует учетную запись COMPUTER$ SCCM сервера. Т.е. для успеха установки клиентов эта учетка должна обладать правами админа на клиентских компах. Т.е. делаем его домен админом или см.Microsoft KB article 320065.

В SMS 2003 было два режима безопасности, остался только аналог Advanced Security. Но - у сайта теперь есть два режима работы - native и mixed. Эти режимы оказывают влияние в том числе на секьюрность SCCM сайта. Native требует существования Public Key Infrastructure (PKI) , и позволяет обеспечить взаимную аутентификацию между клиентами и серверами SCCM 2007 .Native режим требуется для поддержки Internet-based client - новой фишки, которая позволяет управлять клиентами без прямого их подключения к сайту SCCM. Mixed менее безопастный, и в нем есть градации -мы можем выбирать, что делать с вновь найденными клиентами - просто пускать(approve) всех, пускать тех кто из нашего домена, пускать тех, кого админ ручками проапрувил.

C границами сайта все в целом по старому, единственное, что остались только границы для Advanced клиентов, то, что в SMS 2003 называлось Roaming boundaries. В качестве границ сайта могут использоваться IP подсети, диапазоны IP адресов, сайты AD и IPv6 Prefix.
Для каждого элемента границ мы указываем доступность сети для клиентов в этой границе - медленная до них сеть или быстрая. Как и раньше, это оказывает влияние на политики установки софта.

Ранее, в мастере Client Push Installation код сайта указывался как Auto. Теперь там явно указан код Primary сайта.

SCCM 2007 поддерживает FQDN и IPv6.

Используемые учетные записи:
Все они опциональны в большинстве случаев. Все они создаются и настраиваются ручками.

1. Site System Configuration account - Если укажем, то для конфигурирования систем сайта используется она, а не COMPUTER% сайт сервера SCCM.
2. Health State Reference Publishing account - используется для публикации информации о SMS Network Access Protection в AD. В некоторых случаях может оказаться обязательной - если у учетки COMPUTER$ не будет необходимых привелегий. Должна иметь права(Full on this and all child objects) на контейнер System Management.
3. Health State Reference Querying - используется системой сайта System Health Validator point для получения из AD настроек SMS Network Access Protection. Если ее не укажем - используется учетка COMPUTER$ машины, на которой стоит System Health Validator point. В некоторых ситуациях - несколько доменов и нет трастов - без Windows учетной записи не обойтись для этих целей.

Software Update
Software Update - по сути почти не поменялось. Описаны элементы, которые задействованы для процесса обновления.

Software update point устанавливается на машину, где стоит WSUS 3.0, и ее задачей является управление взаимодействием SCCM со WSUS, и получение катога обновлений с Microsoft Update.

Software Updates Client Agent - включен по умолчанию. Как и раньше, отвечает за получение политик с сервера, сканирование компа, установку обновлений и отчет обо всем этом.

Теперь инфа про апдейты не относится к hardware inventory. В SCCM клиент генерирует статусные сообщения, в которых содержится информация об отсутствующих заплатках, посылает их на MP, которая кладет ее в базу, где она становиться доступна через консоль и систему отчетов.

Теперь сами обновления не являются обычным advertisment'ом. Они распространяются через Software update deployments.

Также отдельно существуют т.н. Deployment packages - они содержат в себе сами обновления. Какое то отличие вроде есть от проcтых пакаджей, но я еще не разобрался. Клиент обновления с DP скачивает, но скачивает только те, которые лично ему нужны.

Еще существуют т.н. Deployment templates - это, похоже, шаблоны настроек распространения обновлений.

Появился такой элемент, как update list. Благодаря ему администратор может оперировать не отдельными обновлениями, а их списками.