Contexte:
J'ai été le principal administrateur / utilisateur d'une implémentation SCCM 2012 SP1 dans notre organisation qui est composée d'environ 500 postes de travail (Windows 7) et 120 serveurs (Windows Server 2008 R2). Je suis également au début de ma carrière et j'ai principalement une formation et une passion pour les réseaux et Linux, donc la gestion des points de terminaison Windows est quelque chose de nouveau et un peu désagréable pour moi. Je n'ai qu'une expérience avec SCCM 2012, donc je ne peux pas parler des anciennes versions. Notre organisation est au bas de la courbe d'économie d'échelle et notre mise en œuvre réussie (plus ou moins) du SCCM est largement due au fait que nous sommes suffisamment en avance sur nos exigences pour être proactifs, de nombreuses tâches standard sont gérées par d'autres groupes (Active Directory, e-mail, réseau, sécurité).
Le prix des fonctionnalités: la complexité
SCCM 2012 a beaucoup de pièces mobiles et lorsqu'elles se cassent, elles se cassent pour des raisons qui ne sont pas toujours immédiatement évidentes ou intuitives. SCCM 2012 agit comme un superviseur, gérant et exploitant un ensemble de technologies sous-jacentes existantes à travers un cadre unique. Ce n'est pas simple et ça casse parfois. Pour avoir une idée du nombre de pièces sous-jacentes différentes, regardez le nombre de fichiers journaux , je pense qu'en gros, il y a quelque chose comme ~ 240 fichiers journaux. Encore une fois, il est difficile (du moins mon point de vue) d'exagérer la complexité de SCCM (ou vraiment de tout système de gestion de point final).
Gérer les terminaux comme un boss
Tu sais ce qui est vraiment ennuyeux? Marcher (ou RDP) vers chaque machine individuelle pour effectuer la même tâche encore et encore. C'est ennuyeux et une perte de temps. Si vous vous engagez vraiment à utiliser cet outil, il peut être un incroyable multiplicateur de force. Voici les fonctionnalités qui vous permettent de le faire:
- Mises à jour logicielles - Il s'agit essentiellement de WSUS sur les stéroïdes. Vous obtenez d'excellents rapports, une granularité et une vérification de la conformité des offres WSUS standard. Si vous pouvez faire WSUS, vous pouvez faire des mises à jour logicielles avec SCCM.
- Paramètres de conformité - J'étais vraiment excité de voir cette fonctionnalité venir du pays des choses comme Puppet. Les éléments de configuration sont composés d'un paramètre à évaluer, puis d'une règle de conformité qui détermine s'il faut ou non y remédier. Par exemple, nous avons poussé une application à l' échelle de l'organisationqui a supprimé un utilitaire de compression et l'a remplacé par un autre. Cela a eu la conséquence malheureuse de ne pas définir correctement l'association de fichiers pour les fichiers ZIP. Un élément de configuration basé sur une clé de registre plus tard, nous avions défini l'association de fichiers sur l'ensemble du parc. Vous pouvez évaluer un assez grand nombre de paramètres - Clés / valeurs de registre, requêtes Active Directory, requêtes WQL et SQL et scripts PowerShell. Considérez les paramètres de conformité comme une version très flexible et granulaire des objets de stratégie de groupe avec contrôle de révision ( enfin ) et rapports. L'inconvénient est que pour tout ce qui est même légèrement complexe, vous écrirez des scripts et nous n'échappons toujours pas à la difficulté de gérer la configuration d'un modèle de gestion orienté API .
- Applications - Il s'agit du déploiement et de la gestion de logiciels tiers. Toute la logique est censée être contenue dans l '"Application" - la logique de détection (comment savoir si $ APPLICATION est installée), la logique des exigences (le client satisfait-il aux prérequis), dans la logique d'installation et la logique de désinstallation. Avec des applications bien construit cela fonctionne vraiment , vraiment bien pour la gestion des logiciels 3ème partie. La nouvelle version est déployée, elle remplace automatiquement l'ancienne version, la désinstalle puis installe la nouvelle version. Comme je l'ai mentionné ci-dessus - nous avons remplacé un service public par un autre sur l'ensemble de notre flotte pendant la nuit. Vous pouvez pousser ce modèle encore plus loin et utiliser l ' "AppStore"fonctionnalité permettant aux utilisateurs d'installer leur propre logiciel en dehors de l'image de base.
Vous voudrez gérer des choses comme Adobe Flash, Acrobat / Reader et Java JRE car ils sont si souvent la cible de logiciels malveillants mais n'essayez pas de le faire vous-même. Il suffit d'acheter un service d'abonnement qui les fournit via SCUP . Le processus d'installation de ces produits est une cible tellement mouvante qu'il semble que chaque version fait les choses différemment (voir ici , ici , ici et ici). Au mieux, je trouve que je peux produire une nouvelle application de quelque chose comme Java JRE ou Flash en environ cinq heures. Si vous utilisez Reader, Acrobat, Flash et Java JRE, vous pouvez vous attendre à un minimum de 20 heures de travail par mois. C'est presque toute la semaine d'un ETP pour l'emballage - économisez ces heures et ces efforts pour des applications internes ou spécialisées. (Pourquoi Adobe et Oracle vont à de telles profondeurs pour rendre ma vie plus difficile, je n'en ai aucune idée.)
- Reporting / Software Metering - Presque tout dans Windows se trouve dans WMI ou dans le Registre. Le registre est facile à atteindre avec les éléments de configuration et à peu près tout dans WMI est aspiré dans le cycle d'inventaire. Vous pouvez ensuite utiliser les rapports intégrés ou personnalisés pour en faire de belles informations sophistiquées approuvées par le gestionnaire (TM). Par exemple, nous avons un rapport personnalisé qui nous donne le numéro de série de tous nos postes de travail, nous l'envoyons à notre représentant Dell et nous récupérons une liste des machines dont la garantie expire ce trimestre. Soigné.
J'ai mentionné l'installation d'applications centrée sur l'utilisateur à partir d'un "AppStore" plus tôt - donc si les utilisateurs installent Acrobat par eux-mêmes, comment gérez-vous les licences? Vous pouvez exécuter un rapport en temps réel pour voir qui a le logiciel en question, puis regarderContrôle logiciel qui vous indiquera à quelle fréquence ce logiciel particulier est utilisé sur un poste de travail particulier. Nous l'utilisons pour regrouper les licences d'Acrobat de chaque département dans un accord unique afin que nous puissions obtenir un meilleur coût par licence, puis pour une mesure supplémentaire, le supprimer des postes de travail où il est rarement utilisé.
- Déploiement du système d'exploitation - Il s'agit essentiellement de MDT, WAIK et DISM. La valeur ajoutée que SCCM vous apporte est les séquences de tâches et la génération et la capture. Vous automatisez essentiellement le processus de construction de votre machine de référence. Pour actualiser votre image de base, vous mettez à jour votre séquence de tâches et la réexécutez. Cela réduit considérablement le temps nécessaire pour créer une nouvelle image de base.
Dimensionnement à droite - ou comment je suis devenu administrateur SCCM
Tout ça sonne bien hein? Voici le problème. Ce n'est pas simple à faire. Notre gars de niveau 1 a passé près de six semaines à déterminer la construction et la capture d'images de base. Il m'a fallu au moins un mois pour obtenir une liste de blanchisserie des problèmes de pause / correction résolus. Je n'arrive toujours pas à construire, tester et déployer Java JRE avant la sortie d'une nouvelle version. Notre DBA a dû rédiger nos rapports personnalisés car je ne pouvais pas comprendre SSRS . Je trouve que j'écris beaucoup de scripts PowerShell pour coller certaines choses ensemble ou pour exécuter une sorte de "logique". Je ne peux toujours pas écrire de requêtes WQLpour la logique d'application. Après six mois passés presque toute la journée, tous les jours avec SCCM, j'ai l'impression que je commence à peine à franchir la courbe d'apprentissage. Nos gens de niveau 1 et de niveau 2 finissent par me proposer la majorité des problèmes SCCM (qui sont vraiment des supports de point de terminaison / de bureau) car ils n'ont pas (encore!) Les compétences nécessaires pour les résoudre. Par ensemble de compétences - je veux dire, des choses comme la familiarité avec WMI / WQL, WSUS, ProcMon, Windows Installer, PowerShell et le registre. Pour faire des choses comme le correctif d'élément de configuration du fichier d'association ZIP, vous devez savoir que ce type de données de configuration est stocké dans le registre et où les trouver. Si vous faites du SCCM votre organisation »courbe d'apprentissage brutale pour votre personnel de niveau 1, 3) résistance et tendance du personnel à faire des choses "à l'ancienne" car c'est "beaucoup plus facile".
Le SCCM convient-il à votre organisation? Voici quelques questions à considérer.
- Êtes-vous en mode réactif ou en mode proactif?
- Quelle est déjà la diversité des tâches de votre personnel? Font-ils simplement la gestion des terminaux ou faites-vous tout?
- Quelle est la profondeur et la diversité des compétences de votre personnel?
- Y a-t-il un désir et une volonté parmi votre personnel de gravir cette courbe d'apprentissage?
- Quelle est la diversité de votre flotte et des exigences de votre utilisateur final?
- Les cadres supérieurs sont-ils disposés à gérer les problèmes de support informatique et à encadrer vos employés de niveau 1 et de niveau 2 jusqu'à ce qu'ils deviennent plus à l'aise avec SCCM?
- Votre direction fournira-t-elle une formation (indice: si vous avez un contrat Microsoft Premier, ils ont d'excellents PFE qui peuvent faire des séminaires sur place).
- Votre direction est-elle disposée à gérer des interférences pour vous, pendant que vous passez une semaine ou deux à trouver quelque chose de la "manière SCCM" au lieu de simplement la faire "à la manière de la vieille école"?