Главная System Center, Без рубрики, Новое ConfigMgr 2012, ConfigMgt, SCCM, SCSM 2012
  • Обновляем ConfigMgr 2012 до ConfigMgr 2012 SP1

    updateПозади предновогодняя суматоха и сами новогодние праздники. Самое время начать заниматься созидательным трудом и установить Service Pack 1 для System Center 2012 Configuration Manager. Тем более что совсем скоро он будет публично анонсирован и станет доступен для загрузки на http://download.microsoft.com, однако уже сейчас он доступен для загрузки подписчикам TechNet и MSDN.

    SCCM 2012 SP1 это конечно не новая версия продукта, но и далеко не пакет «багфиксов».

    • Управление мобильными устройствами в SCCM 2012 Beta 2

      С выходом новой версии публичной беты, в SCCM 2012 немного изменились возможности по управлению мобильными устройствами. В этом посте я расскажу что появилось нового и что осталось таким же, как и было в первой бете.

      Для тех, кого утомляет читать «много буквов» и «смотреть много картинков», короткая выжимка изложенного ниже:

      • Изменения в консоли;
      • Изменения в создании профиля инициализации;
      • Изменения в создании конфигурации;
      • Изменения в создании пакетов;
      • Интеграция с Exchange Server.
      • SCCM SUP. Журнал WUAHandler.log

        TroubleОписание журнала WUAHandler.log в TechNet весьма краткое «Содержит информацию о том, когда Windows Update Agent ищет обновления программного обеспечения на клиентах».

        Предлагаю вам более полное описание.

        • ConfigMgr 2012 Beta 2 – User Device Affinity

          В отличие от предыдущей версии SCCM 2012 больше сфокусирован на пользователей. Тому пример, наличие портала Application Catalog, где пользователь может сам выбрать, что ему ставить. Software Center позволяет определить важные параметры индивидуально для каждого пользователя – бизнес-часы, выходные дни,  параметры оповещения, настройки удаленного доступа и другое.

          • ConfigMgr 2012 Beta 2 — OS Deployment

            Ну что ж, приступим к развертыванию ОС с помощью System Center Configuration Manager 2012 Beta 2. Устанавливать будем Windows 7. Сам процесс подготовки к развертыванию практически не изменился, если не брать в расчет интерфейс и перенос роли PXE в дополнительную опцию Distribution Point.

            • ConfigMgr 2012 Beta 2 – (Part 02) – Distribution Point

              2642.KB_2D40C961В ConfigMgr 2012 Beta 2 существенным изменениям подверглась роль Distribution Point. Если в SCCM 2007 для точки распространения у нас было три режима функционирования:

              • 1. Standard DP
              • 2. Server Share DP
              • 3. Branch DP

              То в ConfigMgr 2012 у нас остается только одна DP, которая включает в себя все три типа.

            • Главная System Center, Без рубрики, Новое ConfigMgt, Remote Assistance, Remote Desktop, Remote Tools, SCCM
              • Remote Tools и Windows 7

                pc-remote-supportПервоначально я хотел в этой статье рассказать только о Remote Tools, но по мере написания статьи я понял, что нужно осветить и остальные способы удаленного управления клиентом в ConfigMgr 2007.

                В рамках статьи я буду придерживаться следующей терминологии:

                · Администратор – сотрудник, который подключается удаленно для выполнения каких-либо действий на компьютере пользователя, например сотрудник техподдержки. Не обязательно, чтобы этот человек обладал административными полномочиями на удаленной станции.

                · Пользователь – любой человек, который работает в локальном сеансе за компьютером и которому требуется оказать помощь.

                И так, в SCCM 2007 существует три варианта предоставления удаленного доступа к клиентской системе:

                · Remote Desktop

                · Remote Assistance

                · Remote Tools

                Первые два – штатные способы предоставления удаленного доступа в Windows. Механизм Remote Assistance рекомендуется использовать для оказания помощи пользователю. Например, необходимо понаблюдать за действиями пользователя, которые приводят к ошибке или наоборот показать пользователю что-то. Remote Desktop целесообразно использовать когда необходимо выполнить какие-либо административные задачи, не требующие участия пользователя. Например: установить приложение, обновление безопасности, изменить системные настройки Windows. Поскольку клиентские системы Windows могут быть использованы одновременно только одним пользователем, то подключение с помощью Remote Desktop вызовет отключение текущего пользователя. Рассмотрим, что же происходит при попытке подключения по RDP к машине, на которую выполнен локальный вход.

                В тот момент, когда администратор инициирует подключение к рабочей станции с помощью Remote Desktop, ему отображается уведомление о том, что обнаружен активный пользователь.

                clip_image001

                Если администратор выбирает вариант «Да», то на рабочей станции текущему пользователю отображает сообщение о попытке подключения к удаленному рабочему столу.

                clip_image002

                Скажу сразу, пользователь может отклонить подключение, выбрав вариант «Отмена» и тогда администратор увидит следующее сообщение:

                clip_image003

                Обойти данный механизм нельзя, и в таком случае правильнее всего будет прибегнуть к административно-организационным мерам.

                Если пользователь выбрал вариант «Да» или в течение 30 секунд не выбрал ни один из вариантов, происходит подключение удаленного сеанса, при этом сеанс текущего пользователя отходит в фон и пользователь видит экран приветствия Ctrl-Alt-Delete.

                clip_image004

                Пользователь может попробовать войти в свой сеанс, при этом он будет уведомлен о том, что с компьютером работает удаленный пользователь

                clip_image005

                Администратору в сеансе RDP отобразится запрос о подключении

                clip_image006

                Администратор, точно так же как и пользователь, может отклонить запрос.

                Еще раз хочу акцентировать внимание на том, что сеанс пользователя не завершается, а отходит в фон. Таким образом, все запущенные пользователем приложения будут продолжать работать.

                Remote Tools это механизм предоставления удаленного доступа в ConfigMgr 2007. Для работы Remote Tools могут использовать свой собственный видеодрайвер ConfigMgr. При использовании Windows 7 больше не требуется, чтобы служба Remote Desktop на клиентском компьютере была запущена. Кроме того, Remote Tools накладывает некоторые ограничения при своей работе. Во-первых, вы можете использовать Remote Tools только для подключения к активной сессии. Если вам нужно подключиться к рабочему столу, в тот момент, когда пользователь вышел из системы – используйте механизм Remote Desktop. Во-вторых, на клиентском компьютере сеанс работы Remote Tools запускается в контексте и с правами текущего пользователя, таким образом, пользователь может по своему желанию прервать сеанс Remote Tools. Сделать он это может двумя способами: штатным, если вы в настройках Remote Agent указали отображение клиента Remote Tools, либо завершив процесс RT.exe с помощью диспетчера задач. Рекомендую оставить значения по умолчанию и на клиенте отображать значок уведомления об использовании Remote Tools.

                clip_image007

                clip_image008

                По консоли в каждый дом!

                Подключение к клиентскому компьютеру с помощью всех трех методов (Remote Tools, Remote Assistance, Remote Desktop) возможно при использовании консоли администрирования ConfigMgr Management Console. Помимо доступа к удаленному управлению, при использовании консоли специалисты службы поддержки могут получать так же информацию инвентаризации через Resource Explorer. Конечно, если служба поддержки насчитывает большое количество сотрудников, которым необходим только функционал удаленного доступа, установка консоли администрирования SCCM в таком сценарии может показаться не совсем удобным решением. Есть несколько способ решения этой проблемы.

                Remote Desktop
                Я думаю, не секрет, что доступ к Remote Desktop вы можете получить, запустив штатное средство: Remote Desktop Connection или выполнив команду: mstsc. Подробнее о параметрах RDC можно узнать из статьи: Use command line parameters with Remote Desktop Connection.

                clip_image009

                Remote Assistance

                Доступ к Remote Assistance возможен при запуске мастера: Windows Remote Assistance (%windir%\system32\msra.exe)

                clip_image010

                Если перейти в режим расширенных настроек (Advance connection option for help desk), то будет запущен мастер выбора компьютера по IP адресу или имени компьютера.

                clip_image011

                Этот же мастер можно запустить, выполнив команду: %windir%\system32\msra.exe /offerra

                clip_image012

                Remote Tools

                Использование консоли администрирования ConfigMgr Management Console является единственным рекомендованным и поддерживаемым способом получения доступа через Remote Tools. Однако, если вы не хотите устанавливать консоль SCCM только для того, чтобы позволить сотрудникам поддержки подключаться к клиентам, вы можете вручную перенести файлы, необходимые для работы. Для запуска Remote Tools необходимы файлы: rdpencom.dll и rc.exe расположенные в папке %Console_Path%\AdminUI\bin\i386.

                clip_image013

                Права

                Для того чтобы средства удаленной помощи работали необходимо на межсетевом экране открыть определенных набор портов. Для простоты изложения, в таблице ниже, под сервером понимается любой компьютер, на котором администратор запускает средство удаленной помощи, а под клиентом – компьютер, к которому подключаются.

                Средство

                Порт

                Remote Desktop

                TCP port 135

                TCP port 3389

                Remote Assistance

                TCP port 135

                TCP port 3389

                Remote Tools

                TCP port 135

                TCP port 2701

                TCP port 2702

                Для того чтобы сотрудник поддержки мог подключиться к клиентскому компьютеру, его учетная запись должна быть членом одной из локальных групп на этом компьютере.

                Средство

                Локальная группа

                Remote Desktop

                «Remote Desktop Users»

                Remote Assistance

                «Offer Remote Assistance Helpers»

                Remote Tools

                «Remote Desktop Users»

                Если определенные сотрудники поддержки отвечают за поддержку клиентов только в определенных подразделениях или филиалах целесообразно добавлять учетные записи этих сотрудников в группы безопасности только на тех компьютерах, на которых это действительно необходимо. Для этого можно использовать групповые политики и в частности, механизм Restricted Groups.

                User Account Control (UAC)

                UAC впервые появился в Windows Vista, а затем был доработан в Windows 7. В идеале, UAC должен быть настроен таким образом, чтобы не позволять пользователю повышать свои права. К сожалению, реальность далека от идеала. Меньшим злом (по сравнению с отключением UAC) будет настройка UAC на запрос учетных данных. При этом желательно использовать Secure Desktop – это как раз то затенение, которое появляется при всплытии окна UAC с запросом учетных данных. Использование Security Desktop позволяет успешно защищаться от некоторого набора спуфинг-атак, поскольку сам вывод окна UAC при использовании Secure Desktop происходит с правами системы и в отдельном пространстве от программ пользователя.

                В групповой политике существует несколько параметров, которые задают поведение UAC (подробнее):

                · User Account Control: Admin Approval Mode for the built-in Administrator account

                · User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop

                · User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

                · User Account Control: Behavior of the elevation prompt for standard users

                · User Account Control: Detect application installations and prompt for elevation

                · User Account Control: Only elevate executables that are signed and validated

                · User Account Control: Only elevate UIAccess applications that are installed in secure locations

                · User Account Control: Run all administrators in Admin Approval Mode

                · User Account Control: Switch to the secure desktop when prompting for elevation

                · User Account Control: Virtualize file and registry write failures to per-user locations

                Выделены параметры, которые вам, возможно, придется изменить. Дело в том, что Remote Assistance и Remote Tools, в силу своих особенностей, не могут отобразить окно запроса UAC, если используется Secure Desktop.

                Если сотрудник поддержки попытается выполнить действия, которые требуют повышения прав и отображения UAC (в режиме Secure Desktop), то он увидит черный экран в случае с Remote Assistance и предложение, воспользоваться Remote Desktop, в случае использования Remote Tools.

                Правильным и безопасным способом решения этой проблемы будет использование Remote Desktop, для всех случаев, когда необходимы повышенные привилегии. Remote Desktop полностью поддерживает работу UAC во всех режимах. Кроме того, использование Remote Desktop является безопасным способом работы с повышением права на клиенте, с той точки зрения, что конечный пользователь не может отключить удаленный сеанс и таким образом, не сможет даже временно получить повышенные привилегии на компьютере. В случае использования Remote Assistance или Remote Tools пользователь в любой момент времени может отключить администратора от системы, и остаться один на один, например с запущенной с административными правами командной строкой. Поэтому старайтесь использовать Remote Desktop всегда, когда это возможно.

                Если вам все же необходимо использовать Remote Assistance\Remote Tools для работы с UAC существует два способа сделать это.

                Для Remote Tools

                Необходимо настроить следующие параметры

                Параметр

                Значение

                Описание

                Behavior of the elevation prompt for standard users

                Prompt for credentials

                Настраивает UAC на запрос учетных данных, при попытке повышения прав

                Switch to the secure desktop when prompting for elevation

                Enabled

                Указывает UAC, что необходимо переходить в режим Secure Desktop, перед запросом о повышении прав

                ConfigMgr Agent, при подключении по Remote Tools, самостоятельно временно отключает Secure Desktop. Таким образом, во время сеанса работы сотрудник технической поддержки может повышать права. После того, как сеанс Remote Tools завершен, ConfigMgr Agent снова включает Secure Desktop. Минус данного подхода состоит в том, что при нештатном завершении (пользователь завершил процесс через диспетчер задач) Secure Desktop останется выключенным до следующего применения политики.

                Для Remote Assistance

                В групповой политике есть параметр «Allow UIAccess applications to prompt for elevation without using the secure desktop», который в случае включения позволяет Remote Assistance временно отключать Secure Desktop. Плюс данного подхода в том, что даже если пользователь завершит процесс remote assistance на своем компьютере, система автоматически включит Secure Desktop.

                Собственно на этом все. Надеюсь, что эта статья поможет вам лучше понимать те способы оказания удаленной помощи, которые вы можете использовать.

                Alexey

                • Развертывание клиентов SCCM 2007 в Native Mode

                  .2009

                  Редакция: 2

                  Развертывание клиентов SCCM 2007 в Native Mode

                  Опубликовано: Август 2010

                  Владислав Артюков

                  Vladislav@Artukov.com

                • Главная System Center, Без рубрики, Новое Active Directory, Client, SCCM, Secondary site
                  • ConfigMgr 2007 – идем в регионы!

                    pict_filials По моему, большинство компаний которые так или иначе используют ConfigMgr имеют хотя бы один филиал. А раз есть филиал и скорее всего он не один, то появляется большое желание развернуть ConfigMgr и в филиалах. Желание понятно, теперь давайте рассмотрим какие же у нас есть варианты для его осуществления:

                    • Primary site
                    • Secondary site
                    • Branch DP
                    • SCCM vNext Beta 1. Обзор возможностей MDM

                      В начале прошлой недели на Microsoft Connect стала доступна первая бета-версия нового продукта по управлению конфигурацией System Center Configuration Manager с предварительным названием «v.Next». Я никогда не был большим специалистом по SMS/SCCM, но эту версию ждал с момента ее объявления по одной простой причине – именно в нее интегрировался пакет по управлению мобильными устройствами SCMDM. Вчера я развернул SCCM на своем стенде, и теперь хочу поделиться увиденным. Но перед этим хочу предупредить о трех двух вещах: