目前XXXX在终端管理上遇到的问题主要来源于终端用户对于终端的配置更改的随意性,以及对于一些强制性的软件,例如:安全补丁、防病毒软件等,没有一些强制性的手段来保证。而引起的安全配置漏洞,从而产生一些异常的故障。信息人员对于此类问题的解决,只能到用户现场,并且发现最终原因的时间较长,有时往往需要重新安装系统等,浪费大量人力,财力。
针对XXXX目前的问题和挑战,微软认为最迫切需要实现的终端管理的方面:
1. 实现全面的终端安全配置管理
2. 实现自动化的终端远程管理
3. 实现自动化终端安装部署管理
另外,对于终端管理的其他方面,微软也建议XXXX采用,从而可以大大降低今后的终端维护工作量:
4. 终端补丁管理
5. 终端资产统计管理
6. 终端内网安全接入管理
7. 终端软件分发管理
8. 终端信息报表管理
所以,微软建议建设一套基于微软System Center Configuration Manager 2007为基础的全面终端管理平台。
System Center Configuration Manager 2007 (SCCM2007) 是微软终端管理解决方案SCCM 2007的下一代解决方案。 System Center 是一系列微软系统管理解决方案,旨在相互协作使复杂 IT 基础结构的日常管理变得更加容易、更加经济高效。System Center 解决方案基于从 Microsoft? Operations Framework (MOF) 和信息技术基础结构库 (ITIL) 派生的自动化和最佳实践,并可用于组织的所有级别。
Configuration Manager 2007 只是System Center 系列的一部分。System Center Data Protection Manager 提供企业系统备份和恢复。System Center Operations Manager 为您提供前瞻性的系统监视和自动化。System Center Capacity Planner 可用于容量规划和基础结构部署的假设性分析。此外还有很多相关信息(有关更多信息,请查看 www.microsoft.com/systemcenter)。
4.2终端安全配置管理安全配置管理是SCCM2007 中另一个非常显著的功能。图 1 描述了显示两个安全配置基线符合性的“所需配置管理”主页:
通过SCCM 2007,微软提供了终端安全配置漏洞的扫描的基准文件,软件安装错误和错误的配置危及安全性和稳定性,导致支持成本不断增多。用于安全配置弱点评估的基准文件爱女有助于防止错误,从而增加了企业的正常运行时间,并帮助您构建更加安全的基础架构。设想场景:
| ? | 扫描企业因配置错误而产生的弱点。 | ||||||||||||||
| ? | 检测实例:
|
Configuration Manager 中安全配置管理的关键来自对 Microsoft 客户的大量研究,大部分服务停用是由关键任务服务器和桌面上的操作系统或应用程序配置错误导致。使用 Configuration Manager 中安全配置管理功能,管理员可以通过对系统运行定期基线扫描快速捕获配置偏差。这些基线使用配置项 (CI) 创建,并提供组织中计算机集合的符合性信息。
除了捕获配置偏差,安全配置管理还可以帮助实现法规符合性报告和更改验证。在大部分组织中,都有可能需要法规符合性报告,如萨班斯·奥克斯利法案 (SOX)、支付卡行业数据安全标准 (PCI DSS) 和健康保险可携性与责任法案 (HIPAA)。Configuration Manager 2007 可通过所需配置管理帮助您获得所需的报告。
下面是安全配置管理的工作原理。管理员将定义配置项 — 可以在计算机中检测、应用和删除的配置单位。定义这些配置项后,即可创建由一个或多个配置项组成的配置基线。随后,这些基线将被分配到 SCCM集合进行符合性监视和法规报告。
配置项可以查看计算机的几个不同方面以收集信息,包括 Active Directory?、文件元数据、脚本结果、存储在 SQL Server? 中的数据、软件更新数据、WMI、XML、注册表值、IIS 元数据以及 Microsoft Installer 显示和配置。从不同位置收集的信息将存储在 Configuration Manager 数据库中,并用于验证系统是否符合要求。
有趣的是,现在安全配置管理过程和通过 Configuration Manager 2007 发布新更新的过程已完全集成。与新的软件更新引擎相同,所有安全配置管理数据将使用基于状态的高优先级通道。这两种关键任务功能的集成使管理员可以定义新的安全配置管理基线或通过新更新来更新现有基线(作为更新部署过程的一部分)。
并且通过定制,可以实现对于终端用户变动了相关设置后的自动还原,这样可以大大降低由于终端用户有意或无意修改了关键设置,例如:IE浏览器设置等,而造成的大量维护工作。
4.3终端远程管理SCCM2007可以启用远程控制工具,帮助管理员远程登陆终端桌面进行管理配置工作。此外,SCCM 2007与远程桌面 (Remote Desktop),远程协助(Remote Assistance)无缝整合,可以更加快捷,方便的实现远程操作。而且SCCM 2007可以灵活设置远程控制是否可以由客户端授权或不需要授权等不同的远程管理模式,SCCM的远程控制功能可以实现:
1. 远程控制,通过在SCCM管理员控制台上可以远程控制终端用户的桌面。
2. 远程重启,帮助重新启动远程终端。
3. 远程聊天,可以和远程终端用户进行聊天,帮助用户解决问题。
4. 可以实现远程文件传输,可以实现在SCCM服务器和终端之间的文件传送。
5. 远程执行,可以在远程终端上执行命令,脚本等任务。包括执行程序或脚本,启动/停止服务,中断非法进程,修改注册表,修改文件等。
6. SCCM客户端诊断,可以在终端上进行故障诊断。
通用过远程工具,IT 管理和故障排除可以在网络任何一个位置进行处理,集中管理的目标得到体现。并且,通过远程处理终端故障和帮助用户,有效降低了IT 支持的成本。
通过远程终端维护管理,可以让信息中心的相关维护人员降低维护的成本以及提升维护的效率,无需到现场进行故障恢复。
4.4终端自动化安装部署管理操作系统部署功能是 SCCM 2007 最大的重点领域。Microsoft 已将 Configuration Manager 设计为部署服务器和工作站平台操作系统的主要方式。从根本上更改管理操作系统部署的方法。
Windows XP, Vista 为操作系统部署引入了新的 Windows 映像 (WIM) 格式。使用此格式有不少好处,首要的一个好处是 Configuration Manager 2007 本机导入了 WIM 映像格式,这样管理员就可以直接从控制台使用这些映像并对其进行部署。
Configuration Manager 中另一个重要的新功能是集成的部署任务排序器。通过利用任务排序器,操作系统部署过程完全不需要任何干预。
任务排序器可以帮助安排部署操作系统需要执行的所有步骤,包括进行部署前要在较旧的操作系统中执行的步骤(用户状态迁移和应用程序设置转移),部署新操作系统的步骤(设置格式、磁盘分区、产品密钥、用户名、公司、许可证设置、驱动程序安装),以及部署完新系统后要求执行的步骤(其他应用程序安装、更新安装、用户状态迁移)。作为此功能的一个示例,图 4 显示了任务序列编辑器,突出显示了在 Windows XP, Vista 部署中您可以利用的一些功能。
除了任务排序器,Configuration Manager 2007 中还有若干用于操作系统部署的其他增强功能,如图 5 所述。例如,Configuration Manager 支持通过设备驱动程序管理对 x86 和 x64 平台的预引导执行环境 (PXE) 进行裸机部署。通过此设备驱动程序管理选项,您的组织可以显著减少需要为各类硬件维护的映像数。通过与 Windows Vista WIM 映像格式引入的单一映像支持结合,在执行操作系统部署时您无疑会节省时间和资金。
整个客户端自动部署实现流程如下:
1. 按照企业终端的实际情况,安装需要作镜像的参考对象桌面系统,准备核心镜像
2. 按照企业不同的业务需求,配置软件分发包。(在系统部署时动态加载)
3. 使用桌面管理系统SCCM 2007,
4. 通过SCCM 2007的镜像打包向导,对参考对象桌面系统进行镜像打包。
5. 通过 SCCM 2007的软件分发向导,对不同应用程序打包。
6. 配置自动部署策略,定制管理信息数据库,将用户名、工作部门(或者需要安装的软件包)、产品密钥、域信息、硬件网卡MAC地址信息进行配置。
7. 通过SCCM 2007的同步功能,将镜像文件同步到在各分支机构的远程安装服务器上,
8. 客户端计算机网卡启动,进行网络安装;或者将镜像文件通过制作分发光盘在每个桌面计算机上安装。
转载于:https://blog.51cto.com/prain/243031
扫一扫
180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
