SCCM 对中型组织来说是否太过分了？

Question

我是一所高中的 IT 技术人员，拥有大约 1600 名学生、250 名员工和 800 多台主要运行 Windows 7 的客户端计算机。我们的团队由三名成员组成。我的老板似乎对一个有效的网络（几乎）感到满意，不一定是一个易于运行和维护的高效维护良好的网络。我的 IT 职业生涯还处于起步阶段，所以我无法跟上所有可用的不同端点管理解决方案的速度。

我正在寻找一种更好的方式来管理客户（部署软件、跟踪变更、库存等） 我喜欢 SCCM 2012 功能的外观，但案例研究似乎针对大型多站点基础设施而不是单个中型站点.

SCCM 适合中型单一站点还是针对更大的公司？我如何确定像 SCCM 这样的端点管理解决方案是否适合我们的组织？

编辑：感谢所有的帮助，我会看看 SCE 和 SCCM 并起草一些建议给我的老板/副主管

Answer 1

背景：

我一直是我们组织中 SCCM 2012 SP1 实施的主要管理员/用户，该实施由大约 500 个工作站（Windows 7）和 120 个服务器（Windows Server 2008 R2）组成。我的职业生涯也很早，主要有网络和 Linux 的背景和热情，所以 Windows 端点管理对我来说是新的，有点反感。我只有 SCCM 2012 的经验，所以我不能说旧版本。我们的组织处于规模经济曲线的底部，我们（或多或少）成功实施 SCCM 很大程度上是因为我们远远超前于我们的要求，我们可以积极主动，许多标准职责由其他组（Active Directory、电子邮件、网络、安全）。

功能的代价：复杂性

SCCM 2012 有很多活动部件，当它们损坏时，它们会由于并不总是立即明显或直观的原因而损坏。SCCM 2012 有点像监督者，通过单一框架管理和利用一堆现有的底层技术。这并不简单，它偶尔会中断。要了解涉及多少不同的底层部分，请查看日志文件的数量，我认为粗略计算大约有 240 个日志文件。同样，很难（至少在我看来）夸大 SCCM（或任何端点管理系统）的复杂性。

像老板一样管理端点

你知道什么是真正令人讨厌的吗？步行（或 RDPing）到每台单独的机器上，一遍又一遍地执行相同的任务。那很无聊而且浪费时间。如果你真的致力于使用这个工具，它可以是一个令人难以置信的力量倍增器。以下是可让您做到这一点的功能：

• 软件更新- 这基本上只是类固醇上的 WSUS。您可以通过标准 WSUS 产品获得出色的报告、粒度和合规性检查。如果您可以执行 WSUS，则可以使用 SCCM 执行软件更新。
  
  
• 合规性设置- 我真的很高兴看到这个功能来自 Puppet 之类的东西。配置项由要评估的设置和确定是否对其进行修复的合规性规则组成。例如，我们推送了一个组织范围的应用程序删除了一个压缩实用程序并用另一个替换了它。这会导致没有正确设置 ZIP 文件的文件关联的不幸后果。一个基于注册表项的配置项后来我们在整个机群中设置了文件关联。您可以评估相当广泛的设置 - 注册表项/值、Active Directory 查询、WQL 和 SQL 查询以及 PowerShell 脚本。将合规性设置视为具有修订控制 ( finally ) 和报告功能的非常灵活、精细的 GPO 版本。不利的一面是，对于任何稍微复杂的事情，您都将编写脚本，而且我们仍然无法摆脱对面向 API 的管理模型进行配置管理的困难。
  
  
• 应用程序- 用于部署和管理 3rd 方软件。所有的逻辑都应该包含在“应用程序”中——检测逻辑（我怎么知道是否安装了 $APPLICATION）、需求逻辑（客户端是否满足先决条件）、安装逻辑和卸载逻辑。搭配不当构建的应用程序这个作品真的，真的很好管理第三方软件。部署新版本后，它会自动取代旧版本，卸载旧版本，然后安装新版本。正如我上面提到的 - 我们在一夜之间将整个车队的一个公用事业替换为另一个。您可以更进一步地使用此模型并使用“AppStore”功能，让用户安装他们自己的基础镜像之外的软件。
  
  您将要管理的事情如Adobe Flash，Acrobat中/阅读器和Java JRE，因为它们经常恶意软件的目标，但也没有尝试这种自己动手做。只需购买通过SCUP提供它们的订阅服务。这些产品的安装过程是一个不断变化的目标，似乎每个版本的功能都不同（请参阅此处、此处、此处和此处））。我发现我最多可以在大约五个小时内开发出一个新的应用程序，例如 Java JRE 或 Flash。如果您使用 Reader、Acrobat、Flash 和 Java JRE，您每月至少可以工作 20 小时。这几乎是 FTE 包装的整整一周 - 为内部或专业应用节省这些时间和精力。（为什么 Adob​​e 和 Oracle 会如此深入地让我的生活变得更艰难，我不知道。）
  
  
• 报告/软件计量- 几乎 Windows 中的所有内容都在 WMI 或注册表中。使用配置项可以轻松访问注册表，并且 WMI 中的几乎所有内容都被纳入库存周期。然后，您可以使用内置或自定义报告将其转换为精美的经理批准 (TM) 信息。例如，我们有一份自定义报告，其中包含我们所有工作站的序列号，我们将其发送给我们的戴尔代表，然后我们会返回一份保修期在该季度到期的机器列表。整洁的。
  
  我之前提到过从“AppStore”安装以用户为中心的应用程序 - 那么如果用户自己安装 Acrobat，您如何管理许可证？您可以在真正的正常运行时间运行报告以查看谁拥有有问题的软件，然后查看软件计量，它将告诉您在特定工作站上使用该特定软件的频率。我们正在使用它来将每个部门的 Acrobat 许可证汇总到一个单一的协议中，这样我们可以获得更好的每个许可证成本，然后作为额外措施，将其从很少使用的工作站中删除。
  
  
• 操作系统部署- 这基本上是 MDT、WAIK 和 DISM。SCCM 为您带来的附加值是任务序列以及构建和捕获。您基本上可以自动化构建参考机的过程。要刷新基本映像，请更新任务序列并重新运行它。这大大减少了构建新基础映像所需的时间。
  
  

调整规模 - 或者我如何成为 SCCM 管理员

所有这些东西听起来不错吧？这就是问题所在。做起来并不简单。我们的第 1 层人员花了将近六周的时间来弄清楚基本映像的构建和捕获。我至少花了一个月的时间才得到解决/修复问题的清单。在新版本发布之前，我仍然无法构建、测试和部署 Java JRE。我们的 DBA 不得不编写我们的自定义报告，因为我无法弄清楚SSRS。我发现我编写了很多 PowerShell 脚本来将某些东西粘合在一起或执行某种“逻辑”。我还是不会写WQL 查询用于应用程序逻辑。经过六个月几乎一整天，每天都在 SCCM 上，我觉得我才刚刚开始克服学习曲线。我们的第 1 层和第 2 层人员最终将大部分 SCCM 问题（实际上是端点/桌面支持问题）推给了我，因为他们（还！）不具备解决这些问题的技能。技能组合 - 我的意思是，诸如熟悉 WMI/WQL、WSUS、ProcMon、Windows Installer、PowerShell 和注册表之类的东西。要执行诸如 ZIP 关联文件配置项修复之类的操作，您需要知道这种配置数据存储在注册表中以及在哪里可以找到它。如果您将 SCCM 设为您的组织”一级员工的残酷学习曲线，3) 阻力和员工倾向于“老派手工方式”做事，因为它“容易得多”。

SCCM 是否适合您的组织？这里有一些问题需要考虑。

• 您处于被动模式还是主动模式？
• 您员工的工作职责已经有多多样化？他们只是做端点管理还是你做所有事情？
• 您员工的技能组合有多深入和多样化？
• 您的员工是否愿意并愿意攀登这条学习曲线？
• 您的车队和最终用户的要求有多多样化？
• 高级员工是否愿意处理桌面支持问题并指导您的第 1 层和第 2 层人员，直到他们对 SCCM 更加适应？
• 您的管理层是否会提供培训（提示：如果您有 Microsoft Premier 合同，他们有一些很棒的 PFE，可以举办现场研讨会）。
• 您的管理层是否愿意为您进行干预，而您需要花费一两个星期的时间来找出“SCCM 方式”而不是“老派手动方式”来解决问题？

Answer 2

我不会称 800 多台计算机为“中型”。我在一家拥有 850 名员工的银行中成功部署了 SCCM 的继任者。在您的情况下，现在更有可能不知道您的工具将是问题所在 - 不知何故，我无法想象学校中的 3 人团队是公司雇用的高素质人才以获取更多资金。学习曲线对你来说将是残酷​​的。

但是一旦你完成它，它将有很大帮助 - 整个 System Center 套件。800 多台机器太大了，无法到处安装东西。

Answer 3

忘记你是一所学校，批判性地看待你的数字。您有 800 台计算机和近 2000 名用户。那不是一家小公司，我也不会说“中型”。学校 IT 经常被忽视，但事实是您应该使用优质的企业硬件和软件。

事实上，这包括 SCCM。我们中的任何人都很难说什么肯定会在您的环境中起作用，但您当然可以选择更糟糕的地方开始。

当然，这说起来容易做起来难，但是当我说我几乎拥有教育 IT 的每个“级别”时，请相信我。

对于这种规模的网络来说，真正矫枉过正的东西很少——不过，很多都太贵了！