对于中型组织来说 SCCM 是否过于必要？

我不会将 800 多台计算机称为“中型”。我成功地在一家拥有 850 名员工的银行部署了 SCCM 的后继者。就你的情况而言，问题很可能在于你不了解你的工具 - 不知何故，我无法想象学校里由 3 人组成的团队是公司以高薪聘请的高素质人才。学习曲线对你来说将是残酷​​的。

但是一旦你克服了它，它会有很大的帮助 - 整个系统中心套件。800 多台机器太大了，无法到处安装东西。

背景：

我是我们组织中 SCCM 2012 SP1 实施的主要管理员/用户，该组织由大约 500 个工作站（Windows 7）和 120 个服务器（Windows Server 2008 R2）组成。我的职业生涯才刚刚开始，主要有网络和 Linux 背景，并且对它们充满热情，因此 Windows 端点管理对我来说是新鲜且有点令人反感的东西。我只使用过 SCCM 2012，所以我无法谈论旧版本。我们的组织处于规模经济曲线的底部，我们（或多或少）成功实施 SCCM 很大程度上是因为我们远远领先于我们的要求，因此我们可以积极主动，许多标准职责由其他组（Active Directory、电子邮件、网络、安全）处理。

功能的代价：复杂性

SCCM 2012 具有很多移动部件，当它们发生故障时，原因并不总是显而易见或直观的。SCCM 2012 就像一个监督者，通过一个框架管理和利用一堆现有的底层技术。这并不简单，而且偶尔会出问题。要了解涉及多少不同的底层部件，请查看日志文件，我认为粗略计算一下，日志文件大约有 240 个。同样，很难（至少在我看来）夸大 SCCM（或任何端点管理系统）的复杂性。

像老板一样管理端点

您知道什么最烦人吗？走到（或通过 RDP 连接）每台机器上一遍又一遍地执行相同的任务。这很无聊，而且浪费时间。如果您真的致力于使用此工具，它可以成为令人难以置信的力量倍增器。以下是让您做到这一点的功能：

• 软件更新- 这基本上就是强化版的 WSUS。与标准 WSUS 产品相比，您可以获得出色的报告、粒度和合规性检查。如果您可以使用 WSUS，那么您就可以使用 SCCM 进行软件更新。
  
  
• 合规性设置- 我很高兴看到这项功能来自 Puppet 之类的领域。配置项由要评估的设置和决定是否进行补救的合规性规则组成。例如，我们推动了一项组织范围的应用删除了一个压缩实用程序并将其替换为另一个。这导致了无法正确设置 ZIP 文件的文件关联的不幸后果。后来，我们通过一个基于注册表项的配置项在整个机群中设置了文件关联。您可以评估相当广泛的设置 - 注册表项/值、Active Directory 查询、WQL 和 SQL 查询以及 PowerShell 脚本。将合规性设置视为具有修订控制的非常灵活、细粒度的 GPO 版本（最后）和报告。缺点是，对于任何稍微复杂的事情，您都需要编写脚本，而且我们仍然无法摆脱对配置进行管理的困难面向API的管理模式。
  
  
• 应用- 这是用于部署和管理第三方软件。所有逻辑都应该包含在“应用程序”中 - 检测逻辑（如何知道 $APPLICATION 是否已安装）、需求逻辑（客户端是否满足先决条件）、安装逻辑和卸载逻辑。使用正确构建的应用程序，这可以正常工作真的，真的非常适合管理第三方软件。部署新版本后，它会自动取代旧版本，卸载旧版本，然后安装新版本。正如我上面提到的那样 - 我们一夜之间就将整个车队的一个实用程序替换为另一个实用程序。您可以进一步采用此模型并使用“应用商店”允许用户安装基础映像之外的自己的软件的功能。
  
  您需要管理 Adob​​e Flash、Acrobat/Reader 和 Java JRE 等软件，因为它们经常成为恶意软件的目标，但不是尝试自己做这件事。只需购买通过南加州大学。这些产品的安装过程变化多端，似乎每个版本的做法都不一样（参见这里，这里，这里和这里）。我发现，最多只需要 5 个小时就能开发出一个类似于 Java JRE 或 Flash 的新应用程序。如果您使用 Reader、Acrobat、Flash 和 Java JRE，则每月至少需要 20 个小时的工作时间。这几乎相当于 FTE 的整个星期的打包时间 - 将这些时间和精力留给内部或专业应用程序。（我不知道 Adob​​e 和 Oracle 为什么要如此不遗余力地让我的生活变得更加艰难。）
  
  
• 报告/软件计量- Windows 中的几乎所有内容都在 WMI 或注册表中。注册表很容易通过配置项进入，而 WMI 中的几乎所有内容都会被卷入库存周期。然后，您可以使用内置或自定义报告将其转换为精美的 Manager-Approved (TM) 信息。例如，我们有一份自定义报告，可获取所有工作站的序列号，我们将它发送给我们的戴尔代表，然后我们会收到一份保修期在该季度到期的机器列表。简洁。
  
  我之前提到过以用户为中心的应用程序安装来自“AppStore” - 因此，如果用户自行安装 Acrobat，您如何管理许可证？您可以在实际启动时运行报告，查看谁拥有相关软件，然后查看软件计量它将告诉您特定软件在特定工作站上的使用频率。我们利用它将每个部门的 Acrobat 许可证汇总到单个协议中，以便我们可以获得更优惠的每许可证成本，然后采取额外措施将其从很少使用的工作站中删除。
  
  
• 操作系统部署- 这基本上是 MDT、WAIK 和 DISM。SCCM 为您带来的附加价值是任务序列和构建与捕获。您基本上可以自动化构建参考机器的过程。要刷新基础映像，请更新任务序列并重新运行它。这大大减少了构建新基础映像所需的时间。
  
  

正确规模 - 或者我如何成为 SCCM 管理员

这些东西听起来不错吧？但问题是，这并不容易做到。我们的一级人员花了将近六周的时间才搞清楚基础镜像的构建和捕获。我花了至少一个月的时间才解决一长串的中断/修复问题。在新版本发布之前，我仍然无法构建、测试和部署 Java JRE。我们的 DBA 不得不编写自定义报告，因为我无法弄清楚安全响应系统我发现我写了很多 PowerShell 脚本来将某些东西粘合在一起或执行某种“逻辑”。我仍然无法编写WQL 查询针对应用程序逻辑。在花了几乎整天、每天都使用 SCCM 六个月之后，我感觉自己才刚刚开始克服学习曲线。我们的一级和二级人员最终将大部分 SCCM 问题（实际上是端点/桌面支持内容）推给我，因为他们（目前）还没有解决这些问题的技能。所谓技能，是指熟悉 WMI/WQL、WSUS、ProcMon、Windows Installer、PowerShell 和注册表等。要执行诸如 ZIP 关联文件配置项修复之类的操作，您需要知道注册表中存储的配置数据的类型以及在哪里可以找到它。如果您将 SCCM 作为组织管理端点的工具，您需要做好准备：1) 很多桌面支持内容需要由支持链上层人员处理，因为它需要如此多样化的技能；2)野蛮一级员工的学习曲线，3）员工抵制并倾向于以“老式的手动方式”做事，因为这样“容易得多”。

SCCM 是否适合您的组织？以下是一些需要考虑的问题。

• 您是处于被动模式还是主动模式？
• 您的员工的工作职责已经有多多样化了？他们只负责终端管理吗？还是你们包揽了所有工作？
• 您的员工的技能有多深厚和多样化？
• 您的员工是否有意愿并渴望攀登这一学习曲线？
• 您的车队和最终用户的要求有何不同？
• 高级职员是否愿意处理桌面支持问题并指导您的一级和二级员工直到他们更加熟悉 SCCM？
• 您的管理层是否会提供培训（提示：如果您有 Microsoft Premier 合同，他们有一些很棒的 PFE 可以进行现场研讨会）。
• 您的管理层是否愿意为您干预，而您花一两周的时间弄清楚“SCCM 方式”而不是仅仅按照“老式的手动方式”去做？

忘记你是一所学校，认真看待你的数字。你有 800 台电脑和近 2000 名用户。这不是一家小公司，我也不会说它是“中型”公司。学校 IT 经常被忽视，但事实上你应该使用优质的企业硬件和软件。

事实上，这包括 SCCM。我们很难说哪种方法在你的环境中一定有效，但你肯定会选择更糟糕的起点。

当然，这一切说起来容易做起来难，但请相信我，我几乎掌握了教育 IT 的所有“级别”。

对于这种规模的网络来说，很少有东西真正过度使用 - 尽管有很多东西太昂贵了！

我会使用重做和备份，以及 wpkg，简单（需要一点研究和组织），最重要的是它有效。您可以对一台机器进行映像处理，然后 WPKG 将（令人惊讶的是）安装该软件。这是我们过去在多个校园使用的 2000 多台机器的系统，直到我们被另一所大学接管。我们现在使用 SCCM。除了速度、可靠性、简单性、安装软件、安装操作系统、报告和为您提供准确数据之外，它在各方面都很棒。除此之外，它还不错。