Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 129, СЕНТЯБРЬ 2009 г.

Оружие массового управления. Оптимизируем работу IT-инфраструктуры компании с помощью SCCM 2007

Сергей «grinder» Яремчук (grinder@synack.ru)

System Center Configuration Manager 2007 обладает рядом полезных возможностей, позволяющих на порядок упростить жизнь IT-шнику. Сегодня рассмотрим самые интересные из них: научимся производить инвентаризацию аппаратных комплектующих и установленных программ, выполнять массовое развертывание приложений и удаленно управлять компьютерами сети.

Детальный учет комплектующих и ПО

Инвентаризация подчиненных компов – одна из ключевых функций SCCM, которая позволяет иметь под рукой актуальную информацию о состоянии компьютерного парка (тип процессора, количество ОЗУ, диски, периферия, ОС, установленные приложения и т.д.), а также полную историю изменений. На основе собранных данных очень просто создавать коллекции, например, отобрать только системы с определенным объемом ОЗУ. Напомню, что под коллекцией в SCCM понимается группа объектов (компьютеры, пользователи, ОС), объединенная по некоторому признаку (версия, значение, принадлежность к группе или типу т.п.) После установки в SCCM уже есть несколько коллекций, где объединены системы в зависимости от установленной версии ОС.

Доступно большое количество готовых отчетов, они дадут ответ практически на любой вопрос по текущему состоянию серверов и рабочих станций (начальство будет в восторге).

Все возможности по сбору данных реализованы в агентах аппаратной и программной инвентаризации, которые должны быть активированы во время установки системы. Агенты собирают информацию с клиентских компьютеров, опрашивая разные источники - реестр и классы WMI (может сообщать до 1500 свойств оборудования). Просмотреть текущее состояние агентов и настроить их работу можно, перейдя в «Параметры сайта - Агенты клиента» (Site Settings - Client Agents). Дважды щелкаем по ярлыку нужного агента, убеждаемся, что активирован флажок «Включить инвентаризацию ...», и указываем расписание.

По умолчанию инвентаризация производится раз в неделю; в зависимости от конкретных условий, можно уменьшить или увеличить этот интервал. В агенте аппаратной инвентаризации также присутствует вкладка «Коллекция MIF-файлов», – такие файлы используются для расширения возможностей агента. Правда, админы со стажем активировать ее не рекомендуют, так как в этом случае SCCM будет получать непроверенные данные, а значит, есть риск нарушения безопасности.

В настройках агента программной инвентаризации чуть больше пунктов. Так, во вкладке «Сбор данных инвентаризации» (Inventory Collection) указываются расширения файлов и детализация отчетов (сведения о файле, продукте). По умолчанию на удаленной системе производится поиск исполняемых exe-файлов на всех жестких дисках компьютера, исключение составляют лишь зашифрованные и сжатые файлы. При необходимости легко добавить любой другой тип файла и критерии поиска. Во вкладке «Сбор файлов» (File Collection) указываются типы файлов, которые будут скопированы на сервер. Активировать этот параметр нужно осторожно и только в том случае, если это действительно необходимо, так как передача файлов может генерировать большой трафик.

Во вкладке «Инвентарные имена» (Inventory Names) задаются названия продуктов. Назначение у нее очень простое. Например, в разных программах может быть записан один производитель, но со своими сокращениями - Microsoft, Microsoft Corp. и т.д. В отчетах это будут разные организации, что создает неудобства. Вот в этой вкладке и можно задать единое имя для отчетов. На клиентской системе настройки агента доступны в «Панели управления», где после его установки создается новый пункт «Диспетчер конфигурации» (Configuration Manager). Настроек немного. Так, перейдя во вкладку «Действия» (Actions), можно вручную инициировать ту или иную процедуру, например инвентаризации софта.

Собранную агентами информацию (текущую и историю) можно просмотреть с помощью «Обозревателя ресурсов» (Resource Explorer). Он запускается из контекстного меню «Запустить - Обозреватель ресурсов», вызываемого по щелчку на выбранной системе в меню «Коллекции», или из командной строки (resourceexplorer.msc). Обозреватель содержит три основных вкладки, назначение которых понятно из названия: «Оборудование», «Журнал оборудования», «Программное обеспечение». Просто отмечаем нужный пункт и получаем данные.
В SCCM реализовано большое количество отчетов. Все они доступны из одноименной вкладки, находящейся в «Управление компьютером».

Для удобства выбора отчеты можно отсортировать по столбцу «Категории». Теперь выбираем любой подходящий шаблон отчета. Например, можно выбрать «Компьютеры с определенными видеоадаптерами» или «Компьютеры с недостаточным свободным местом на дисках». Чтобы сформировать отчет, следует выбрать в контекстном меню пункт «Запустить», после чего в IE откроется страничка с полным раскладом. Если в меню такой пункт отсутствует, вероятно, роль сайта «Точка формирования отчетов» не установлена. Чтобы просмотреть список ролей и активировать нужные, переходим в «Параметры сайта - Системы сайта» и выбираем в списке сайт. В окне консоли будут показаны все роли, которые выполняет сайт. Для добавления роли используем ссылку «Новая роль» и в окне мастера просто отмечаем ее флажком.

Возможности инвентаризации оборудования и ПО расширяет функция «Аналитики активов» (Asset Intelligence) (ранее – «Управление ресурсами»), призванная упростить управление лицензиями и используемым ПО. После ее активации увеличивается диапазон собираемых данных, за счет чего получаем более 50-ти новых связанных между собой отчетов.

Ранее для включения «Аналитики активов» нужно было править файл SMS_def.mof. Начиная с SP1, эта функция активируется из консоли SCCM. После выбора в контекстном меню пункта «Включить аналитику активов» появится запрос на включение дополнительных классов отчетов инвентаризации. Необходимо задать хотя бы один из них. Подробную информацию о доступных классах можно почерпнуть в документации TechNet (technet.microsoft.com/ru-ru/library/cc161933.aspx). Например, SMS_AutoStartSoftware отслеживает все программы, запускающиеся вместе с ОС.

Собранные данные можно просмотреть в подменю «Отчеты аналитики активов» и в меню «Отчеты». Еще одна функция, которая расширяет возможности агентов инвентаризации – «Контроль использования программных продуктов». Она позволяет проводить наблюдение и собирать данные о программах, установленных на клиентах. Сбор данных производится на основе правил, задаваемых администратором, после получения от агентов информации. На их основе можно создавать коллекции и получать различные отчеты. Например, админ легко может узнать, сколько копий определенной программы установлено на клиентских системах.

Управление требуемой конфигурацией

«Управление требуемой конфигурацией» (Desired Configuration) - очередная интересная возможность SCCM. Эта функция позволяет оценить соответствие парка систем ряду условий, которые задает администратор - аппаратная часть, версия ОС, наличие обновлений и сервис-паков, параметры защиты, установленные приложения (и правильно ли они сконфигурированы), настройки реестра, наличие файлов и каталогов и т.д. В терминологии SCCM такие составляющие, по которым производится проверка, называются «Элементами конфигурации» (Configuration Items). Сверка производится с шаблонным показателем конфигурации («Базовые показатели конфигурации», Configuration Baseline), который состоит из элементов и может быть создан с эталонной системы, получен от поставщика ПО или другого ресурса в интернете. К примеру, по адресу go.microsoft.com/fwlink/?LinkId=71837 находится архив с бесплатными шаблонами. Применив шаблон, клиент, сверившись с набором показателей, отправляет на сайт SCCM отчет. В результате, администратор может узнать, какой из компонентов системы не соответствует требуемой конфигурации.

Зачем это может понадобиться? Например, нужно развернуть на рабочих станциях новое ПО, к которому разработчики предъявляют жесткие требования. Администратор создает Baseline и применяет его к определенной коллекции. Мы получаем четкое представление, на каких системах можно развернуть программу, а на каких нет, и что именно и насколько не соответствует «норме».

Настройка шаблона Desired Configuration производится в одноименном подменю в разделе «Управление компьютером» (Computer Management). Здесь две ветки – «Элементы конфигурации» и «Базовые показатели конфигурации». Вначале необходимо создать элементы. Переходим в «Элементы конфигурации», где нажимаем ссылку для создания нового документа и выбираем один из подпунктов в соответствии с задачами - Applications («Приложения»), General («Общая»), Operating System («ОС»). После выбора любого пункта появится мастер настройки. Для примера выберем «Элемент конфигурации приложения». Вводим название и описание элемента. Нажав кнопку «Категория», можно назначить метку для упрощения отбора и поиска при большом количестве элементов. Указываем объекты и параметры, включаемые в элемент конфигурации. После этого отмечаем версии ОС, к которым можно применить эти элементы конфигурации, и при необходимости активируем флажок внизу окна «Это приложение работает только на 64-разрядных компьютерах». Просматриваем настройки еще раз и выполняем их.

Настройки в двух остальных пунктах производятся по аналогии. Если есть подготовленный пакет настройки рекомендаций, поставляемый в формате cab (файл msi следует сначала установить), его можно импортировать, выбрав пункт «Импорт конфигурационных данных». Затем при помощи мастера просто указываем на расположение cab-файла и нажимаем кнопку «Готово». Чтобы просмотреть или изменить настройки, выбираем элемент; кроме этого, будут доступны пункты, позволяющие создать дочерний элемент (копию), просмотреть XML-представление, изменить категорию и переместить элементы.

Теперь переходим в «Базовые показатели конфигурации», где выбираем ссылку «Новые базовые показатели конфигурации». На первом шаге заполняем название и описание, выбираем категорию. Второй шаг является основным. Здесь, нажимая ссылки, указываем условия сравнения, состоящие из созданных ранее элементов конфигурации. Условия разбиты на подгруппы: OC, приложения и общие настройки, обновления и различные их комбинации. Отметив все, что необходимо, нажимаем «Готово». Осталось применить созданную конфигурацию на одну из коллекций: отмечаем Baseline и выбираем ссылку «Назначить к коллекции» (Assign to a Collection). Появится очередной мастер. Выбираем нужные Baseline и затем в списке коллекцию, к которой будем назначать. Заключительный этап: задаем расписание и нажимаем «Готово». Через некоторое время в окне «Управление требуемой конфигурацией» начнут появляться отчеты.

Настройки агента Desired Configuration можно просмотреть в «Агенты клиента - Агент клиента управления требуемой конфигурацией» (Desired Configuration Management Client Agent). В свойствах всего одна вкладка, где можно активировать/деактивировать эту функцию и установить расписание. По умолчанию проверка производится раз в неделю.

Подробнее о Desired Configuration можно узнать в документах TechNet (technet.microsoft.com/ru-ru/library/bb680553.aspx).

Централизованная установка приложений

Благодаря заранее подготовленным пакетам и интуитивным средствам удаленного развертывания SCCM, массовая установка клиентских программ осуществляется в считанные минуты. Это позволит существенно снизить нагрузку на IT-отдел. Рассмотрим сценарий подробнее.
Перед началом развертывания программы следует создать пакет, который будет содержать все необходимое для установки на удаленной системе, в том числе и сам дистрибутив программы. Для этого переходим в «Управление компьютером - Распространение программного обеспечения - Пакеты» (Software Distribution — Package).

В появившемся окне пусто, так как готовых пакетов мы еще не создали. Нажимаем ссылку «Новый документ» и выбираем из списка Пакет. На первом шаге мастера заполняем свойства пакета (название, версия, производитель, описание). Рекомендуется указывать все поля, – упрощает поиск и обновление. На следующем шаге при помощи файлового менеджера отмечаем каталог, в котором расположен дистрибутив программы. Это может быть сетевая папка или локальный диск. Дополнительные параметры позволяют изменить расписание для точек обновления, разрешить хранить пакет в клиентском кэше, а также задать использование разностной репликации. Дальнейшие шаги (доступ к папке распространения, параметры распространения (приоритет, распространитель), отчеты и права доступа) можно пропустить, оставив значения по умолчанию, для чего просто нажимаем «Готово».

Созданный пакет становится доступным как поддерево меню «Пакеты». Если его развернуть, получим доступ к нескольким подпунктам: «Учетные записи доступа», «Точки распространения», «Программы», «Состояния пакета». Хотя пакет уже содержит все файлы и сведения, необходимые для применения на клиентских компьютерах, сам способ использования приложения определяется программой. В программе описаны действия, выполняемые на клиенте после получения пакета. Каждый пакет должен содержать, как минимум, одну программу, но администратор может создать любое количество программ для пакета (например, для установки пакета в разных ОС). Выбираем подпункт «Программы», нажимаем «Новый документ -> Программа». Появляется очередной мастер, заполняем все предложенные поля (имя, комментарий, режим запуска, действие после выполнения и т.д.). Особое внимание удели пункту «Командная строка», ведь в большинстве случаев установка должна проходить в тихом режиме, без вмешательства пользователя. Здесь все зависит от особенностей устанавливаемой программы. Например, если установка производится при помощи msiexec, можно вписать так:

msiexec /I install.msi /quiet /qn

Для сложных программ понадобится создать файл ответов. Некоторые рекомендации по автоматической установке можно найти в документе technet.microsoft.com/ru-ru/library/bb693561.aspx.

Следующий шаг мастера позволяет указать требования к системе - наличие свободного места на диске, максимальное время выполнения, поддерживаемые платформы. Далее отмечаем условия для запуска. Это может быть запуск после входа пользователя в систему, или пока никто не зарегистрирован. Задаем права, с которыми будет запущена программа: текущий пользователь либо администратор. Если выбран первый вариант, пользователь на удаленной системе может влиять на процесс установки. В поле «Режим диска» (Drive mode) указываем метод доступа к точке распространения программы: UNC-путь или подключение сетевого диска. Шаг «Дополнительно» позволяет задать дополнительные критерии для запуска программы. Например, для работы одной программы требуется, чтобы в системе была установлена другая программа или библиотека. Вот здесь и отмечаем, что нужно проверить и при необходимости установить.

Дополнительные флажки позволяют отключить уведомления программы; флажок «Disable this program on computers where it is advertised» скроет программу из оснастки «Установка и удаление программ». Затем можем указать файл и код установщика Windows (GUID), который является главным идентификатором приложения (предназначен для установки/удаления с помощью msi). Нажимаем «Готово», – программа создана. Можно вызвать окно свойств и изменить основные настройки приложения.

Для хранения исходных файлов используются точки распространения, которым и нужно отправить новый пакет. Переходим в меню «Управление точками распространения». Так как пока ни одной точки у нас нет, выбираем в контекстном меню «Новые точки распространения» и действуем по подсказкам мастера. Собственно, основной шаг один - «Копирование пакета», в котором следует отметить наш SCCM-сайт. После копирования пакета получаем отчет. Теперь нужно сделать так, чтобы клиенты на удаленных системах узнали о новой программе. Через контекстное меню, вызываемое при щелчке по нашей программе, выбираем пункт «Распространение -> Программное обеспечение» (Distribute -> Software). Запустившийся мастер распространения пакетов снова предложит отметить точки распространения.

Далее достаточно убедиться, что мы выбрали именно ту программу, и что активирован параметр, разрешающий ее объявление. Наконец, выбираем или создаем коллекцию, для которой нужно объявить о программе, указываем описание и вложенную коллекцию. При выборе расписания объявления указывается дата, с которой должна быть доступна программа, и опционально срок окончания распространения программы. Этап назначения программы позволяет сделать ее обязательной. Здесь можно указать дату, когда будет производиться обязательная установка, и такие параметры, как включение хостов по WakeOnLan, разрешение перезапуска системы, игнорирование окон обслуживания. Через некоторое время клиент скачает программу и начнет установку. В зависимости от настроек, пользователь получает предупреждение в виде значка и Pop-up сообщения о доступности новой программы. Если щелкнуть по значку, появится окно «Запуск объявленных программ»; в нем будет доступна информация по программе. Если установку должен производить пользователь, ему достаточно будет нажать кнопку «Запустить».

Результаты по последним 10 объявлениям программ доступны в виде сводных графиков в окне «Распространение программного обеспечения». Более подробно работу системы установки программ можно просмотреть в отчетах, где содержится более 20 объявлений в четырех категориях: «Объявления», «Состояние объявления», «Пакеты» и «Коллекции».

Удаленное управление

При наличии соответствующих прав доступа функция удаленных средств позволяет подключаться и управлять удаленной системой для решения возникших проблем - устранения неполадок и помощи пользователям. То есть, SCCM способен заменить привычный Radmin. Чтобы такая возможность была доступна, на клиентской системе должен быть активен «Агент клиента удаленных средств» (Remote Tools Client Agent). В основе агента лежит используемая в Vista технология совместной работы, работающая по протоколу RDP. Агент поддерживает три уровня доступа: нет доступа, только просмотр (отсутствует в агенте для Win2k) и полный доступ. Не поддерживаются функции перезагрузки, передачи файлов, удаленное выполнение.

В окне настроек удаленных средств доступны параметры, позволяющие: указать степень доступа для агентов в разных ОС; настроить вывод запроса пользователю, при попытке админа обратиться к клиенту; задать уведомление (сообщение, звуковой сигнал), выдаваемое при удаленном подключении. Чтобы иметь возможность удаленного управления клиентским компьютером, обязательно указываем учетные записи, используемые для доступа, в списке «Разрешенные наблюдатели» (вкладка «Безопасность»). Теперь, чтобы подключиться к удаленной системе, выбираем клиентский компьютер в разделе «Коллекции» и щелкаем в контекстном меню «Запустить -> Удаленное управление».

На клиентский хост передаются все действия с мышью и нажатия клавиш на клавиатуре, за исключением комбинаций: <CTRL+ALT+DEL>, <CTRL+ESC>, <ALT+TAB> и <ALT+клавиша>. Чтобы их использовать, необходимо подключиться к системе через удаленный рабочий стол. В режиме помощника пользователь может управлять своей системой без ограничений.

Галопом по отчетам

К сожалению, рамки журнальной статьи не позволяют рассмотреть эти и другие возможности SCCM более подробно. Мы лишь галопом промчались по отчетам - весьма мощному и гибкому инструменту, позволяющему получить любую информацию по любой системе в сети. Ничего не сказано об обновлении ПО, развертывании ОС, защите доступа к сети, управлении мобильными устройствами, обеспечении безопасности и конфиденциальности в Configuration Manager 2007. Ответы на эти вопросы можно найти самостоятельно, изучив документацию, поставляемую с SCCM и на сайте TechNet.

INFO

  • Внедрение SCCM 2007 позволит IT-отделам сократить время на обслуживание новых приложений, рабочих станций и серверов.
  • Подробнее об WDS читай в статье «Ставим Windows по сети», опубликованной в июньском номере ][ за 2007 год.
  • Как использовать WAIK для создания WIM-образов, читай в статье «Самосборные окна» в январском номере ][ за 2009 год.
  • Обзор возможностей SCCM 2007, установка сайта и распространение агентов смотри в статье «Начальник сети» в августовском номере ][ за 2009 год.

WWW

Содержание
ttfb: 7.8258514404297 ms