我已经在我的环境中实施了 SCCM 2012,并一直在尝试让所有端点都及时更新。出于某种奇怪的原因,以前的管理层认为修补计算机并不是首要任务。我想知道你们中的一些 SCCM 专家会如何处理这种情况:您刚刚设置了 SCCM 2012,而您的端点可能一年多没有修补过!我为每一款我在线检查时显示需要更新的软件创建了软件更新组,例如 Visual Studio 2008、Office 2010、Windows 补丁等。我已将软件更新组部署到由所有健康客户端组成的测试集合中。
问题是我的终端没有获得所有更新。它们收到一些更新然后停止。我想说 50% 的补丁已经应用。我尝试进行软件更新扫描,但当我知道它们在软件更新组中并且已经下载时,它们仍然看不到更新。我是否应该按日期将这些更新组细分为更小的组。目前,我有一个名为“所有 Office 2010 更新”的更新组。这是通过搜索和筛选 product=office2010、superseded =no 和 expired =no 创建的。
我是否应该按日期、自产品发布以来的每个季度将更新分组?我没有找到有关此主题的任何明确信息。我一直在使用 SCCM 2012 释放手册。
答案1
我仍在实施 SCCM 2012 的过程中,但我已经对此主题做了一些研究,并制定了实施软件更新的良好计划。
首先,单个部署中可以包含的补丁数量是有限的。我认为在 2012 年,这个数字增加到了 1000,所以这通常不是一个问题。不过,我认为补丁数量过多仍然存在一些缺点 - 每次对部署进行更改(添加新补丁)时,都需要进行大量处理来重新评估合规性。除非您有大量补丁或大量客户端(50,000-100,000+),否则我认为这个数字可以忽略不计。
话虽如此,这是我的计划。它在某种程度上特定于我的环境,但我认为它可以适用于大多数环境。
- 进行一次大型部署,其中包含标准映像中包含的所有产品的所有补丁(如果您的映像在 2013 年 2 月之前已完全修补,则仅包含实际需要的补丁)。
- 每月创建二新的更新组部署:一个为所有人批判的补丁,一个为所有人非关键补丁。这样,我们的 QA 部门就可以独立测试它们,并专注于首先发布关键补丁。
- 每 6 个月到一年更新一次基础映像 WIM 源文件,以包含在该时间段内发布的所有补丁。
- 将 6 个月的补丁移入“基础”补丁部署组。
需要注意的一点是,如果您还不知道,SCCM 只会下载适用于每台计算机的更新,即使您部署了 150 个补丁,它也只会复制文件并安装所需的补丁。通过这种方法,我们应该能够保持系统完全修补,并使映像保持最新,这样就不需要额外花费 45 分钟来对机器进行映像。
另请注意,我们不会修补服务器,而且我们有一个相当标准化的环境。如果我们有多个映像/操作系统需要支持,我可能会对上述计划进行一些更改(多个“基线”补丁组,每个映像一个)。