SCCM技术解决方案知识讲解

SCCM2007 解决方案建议书

XXXXXX公司

2010年X月X日

目录

一．项目背景 (3)

二 . 目前终端管理现状分析 (4)

三．项目目标 (4)

3.1. 客户需求的技术要求 (4)

3.2．需求技术详解 (5)

3.2.1．实现全面的终端安全配置管理 (6)

3.2.2．终端远程管理 (8)

3.2.3．终端自动化安装部署管理 (9)

3.2.4．终端补丁管理 (11)

3.2.5．终端资产管理 (13)

3.2.6. 终端内网接入保护 (13)

3.2.7．软件分发 (15)

3.2.8．终端管理数据报表管理 (16)

四．部署架构 (18)

五．SCCM成功案例 (20)

一．项目背景

XXX经过多年的信息化建设，已经取得了较有成效的建设，包括基本的IT基础架构建设，包括基础网络、安全防病毒、基本的补丁管理、数据备份等，以及一系

列内部应用系统。但是，随着XXX的信息化建设成熟度提升，随之而来的系统管理问

题已经成为占用信息中心相关的信息人员较大工作量以及花费了大量维护成本的问题

了。系统管理的问题包括了，终端桌面的维护和管理以及服务器的维护管理。

对于终端管理，信息中心相关人员往往都忙于对于客户端发生的故障进行故障处理，对于终端的安装工作，花费大量的时间，而且对于最终用户的满意度也无法做

到最好。

对于客户端的故障往往都是用户对于终端的使用行为管理不当引起。此外，终端的安装问题，也困扰着信息中心的工作。

对于服务器的维护，目前也基本依靠人为的方式来实现管理，由于目前的服务器数量还不是太多，所以维护人员的工作量还可以有所保障。

对于目前的问题，需要全面规划一套系统管理平台来统一考虑解决困扰XXX日常的系统管理的问题。

二 .目前终端管理现状分析

XXX目前总部设在北京,上海有公司，另还有其他规模较小的分公司。分公司通过2M的V PN与总部网络进行连接。网络环境中已经部署了域环境，并根据地理位置划分了站点。管辖范围大概有800左右的客户端，包括台式机和笔记本，且客户端均已经加入域.

目前，XXX对于终端没有实现任何管理的功能。对于服务器管理上，没有任何自动管理平台，基本依靠个人手工维护管理。

三．项目目标

3.1. 客户需求的技术要求

根据分析，目前XXX的IT基础架构大多属于基本阶段，只有身份管理和访问管理属于了标准化阶段。所以目前的项目阶段，我们需要将XXX的IT基础架构除了身份管理部分，要从基本阶段上升为标准化阶段。目前企业希望通过一个集中的管理平台实现如下需求：

1、补丁分发管理（客户端、服务器端）

2、桌面计算机安全策略管理（如：不允许修改桌面端机器网络配置，不允许安装公

司不允许安装的软件或公司未购买许可的软件等如：qq ；桌面计算机端口屏蔽，如：usb、刻录机；桌面计算机远程协助）

3、IT设备资产管理

4、桌面计算机系统分发部署；

5、网络准入控制

6 、法规符合性

针对目前的问题和挑战，微软认为最迫切需要实现的终端管理的方面：

1．实现全面的终端安全配置管理

2．实现自动化的终端远程管理

3．实现自动化终端安装部署管理

4．终端补丁管理

5．终端资产统计管理

6．终端内网安全接入管理

7．终端软件分发管理

8．终端信息报表管理

所以，微软建议建设一套基于微软System Center Configuration Manager 2007为基础的全面终端管理平台。

3.2．需求技术详解

如何实现如上技术目标，SCCM2007具体通过如下技术方案满足企业的终端管理的要求：

3.2.1．实现全面的终端安全配置管理

安全配置管理是SCCM2007 中另一个非常显著的功能。图1 描述了显示两个安全配置基线符合性的“所需配置管理”主页：

图1

通过SCCM 2007，微软提供了终端安全配置漏洞的扫描的基准文件，软件安装错误和错误的配置危及安全性和稳定性，导致支持成本不断增多。用于安全配置弱点评估的基准文件有助于防止错误，从而增加了企业的正常运行时间，并帮助您构建更加安全的基础架构

设想场景

扫描企业因配置错误而产生的弱点

检测实例:

是否安装并运行没必要的服务

文件共享是否需要适当的许可

是否启动Windows 防火墙

是否启动自动更新

是否强制要求强大的口令

是否启动不安全的客户账户

是否在单一计算机上安排了过多的本地管理员

Configuration Manager 中安全配置管理的关键来自对Microsoft 客户的大量研究，大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用Confi guration Manager 中安全配置管理功能，管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项(CI) 创建，并提供组织中计算机集合的符合性信息。

除了捕获配置偏差，安全配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中，都有可能需要法规符合性报告，如萨班斯·奥克斯利法案(SOX)、支付卡行业数据安全标准(PC I DSS) 和健康保险可携性与责任法案(HIPAA)。Configuration Manager 2007 可通过所需配置管理帮助您获得所需的报告。

下面是安全配置管理的工作原理。管理员将定义配置项—可以在计算机中检测、应用和删除的配置单位。定义这些配置项后，即可创建由一个或多个配置项组成的配置基线。随后，这些基线将被分配到SCCM集合进行符合性监视和法规报告。

配置项可以查看计算机的几个不同方面以收集信息，包括Active Directory、文件元数据、脚本结果、存储在SQL Server? 中的数据、软件更新数据、WMI、XML、注册表值、IIS 元数据以及Microsoft Installer 显示和配置。从不同位置收集的信息将存储在Configuration Ma nager 数据库中，并用于验证系统是否符合要求。

现在安全配置管理过程和通过Configuration Manager 2007 发布新更新的过程已完全集成。与新的软件更新引擎相同，所有安全配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的安全配置管理基线或通过新更新来更新现有基线（作为更新部署过程的一部分）。并且通过定制，可以实现对于终端用户变动了相关设置后的

自动还原，这样可以大大降低由于终端用户有意或无意修改了关键设置，例如：IE浏览器设置等，而造成的大量维护工作。

结合组策略进行终端管理，主要的管理内容:

●管理模板：用来管理注册表的设置

●安全设置：定义本地计算机、用户密码策略和网络的安全性设置等

●软件安装限制策略：可以制定用户使用软件的列表

●对外设使用限制策略：可以控制用户对一些外设，例如移动存储设备的使用限制

●启动脚本：计算机启动时进行必要的检查

●网络浏览器的定制和维护

●文件夹重定向：在微软提供的功能基础上进行扩展

3.2.2．终端远程管理

SCCM2007可以启用远程控制工具，帮助管理员远程登陆终端桌面进行管理配置工作。此外，SCCM 2007与远程桌面(Remote Desktop)，远程协助（Remote Assistance）无缝整合，可以更加快捷，方便的实现远程操作。而且SCCM 2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式，SCCM的远程控制功能可以实现：1．远程控制，通过在SCCM管理员控制台上可以远程控制终端用户的桌面。

2．远程重启，帮助重新启动远程终端。

3．远程聊天，可以和远程终端用户进行聊天，帮助用户解决问题。

4．可以实现远程文件传输，可以实现在SCCM服务器和终端之间的文件传送。

5．远程执行，可以在远程终端上执行命令，脚本等任务。包括执行程序或脚本，启动/停止服务，中断非法进程，修改注册表，修改文件等。

6．SCCM客户端诊断，可以在终端上进行故障诊断。

通用过远程工具，IT 管理和故障排除可以在网络任何一个位置进行处理，集中管理的目标得到体现。并且，通过远程处理终端故障和帮助用户，有效降低了IT 支持的成本。

通过远程终端维护管理，可以让信息中心的相关维护人员降低维护的成本以及提升维护的效率，无需到现场进行故障恢复。

3.2.3．终端自动化安装部署管理

操作系统部署功能是SCCM 2007 最大的重点领域。Microsoft 已将Configuration Manager 设计为部署服务器和工作站平台操作系统的主要方式。从根本上更改管理操作系统部署的方法。

Windows XP, Windows7 为操作系统部署引入了新的Windows 映像(WIM) 格式。使用此格式有不少好处，首要的一个好处是Configuration Manager 2007 本机导入了WIM 映像格式，这样管理员就可以直接从控制台使用这些映像并对其进行部署。Configuration Manager 中另一个重要的新功能是集成的部署任务排序器。通过利用任务排序器，操作系统部署过程完全不需要任何干预。

任务排序器可以帮助安排部署操作系统需要执行的所有步骤，包括进行部署前要在较旧的操作系统中执行的步骤（用户状态迁移和应用程序设置转移），部署新操作系统的步骤（设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装），以及部署完新系统后

要求执行的步骤（其他应用程序安装、更新安装、用户状态迁移）。作为此功能的一个示例，图2 显示了任务序列编辑器，突出显示了在Windows XP, Windows7 部署中您可以利用的一些功能。

图2

除了任务排序器，Configuration Manager 2007 中还有若干用于操作系统部署的其他增强功能，例如，Configuration Manager 支持通过设备驱动程序管理对x86 和x64 平台的预引导执行环境(PXE) 进行裸机部署。通过此设备驱动程序管理选项，您的组织可以显著减少需要为各类硬件维护的映像数。通过与Windows WIM 映像格式引入的单一映像支持结合，在执行操作系统部署时您无疑会节省时间和资金。

整个客户端自动部署实现流程如下：

1. 按照企业终端的实际情况，安装需要作镜像的参考对象桌面系统，准备核心镜像

3. 按照企业不同的业务需求，配置软件分发包。（在系统部署时动态加载）

3. 使用桌面管理系统SCCM 2007,