我对使用 SCCM 为 Windows 笔记本电脑上的用户部署软件有几个问题:
- 用户是否需要登录到目标笔记本电脑,或者只要它在公司网络上就足够了?
- 或者目标笔记本电脑只要在线就足够了?意思是不一定在公司域中,但可能在用户家庭网络中(对于在家工作的用户)。这可能需要在用户笔记本电脑上运行某种组件,但 SCCM 是否提供此功能?
答案1
- 用户是否需要登录到目标笔记本电脑,或者只要它在公司网络上就足够了?
一般来说,答案是否定的,用户不需要登录,唯一的例外是,如果在应用程序模型中,您在此实例中使用的部署类型需要用户在场(部署类型 - 用户体验 - 登录要求)。我不太熟悉包程序模型,但我认为它没有能力做出这种区分。
软件部署所需的只是 SCCM 客户端能够成功拉取机器策略、通过 BITS 将内容从分发点下载到本地 ccmcache、有一个可操作的服务窗口(维护窗口或过期期限),然后就可以开始了。
客户端需要通过 HTTP 和 HTTPS 访问管理点和分发点。对于软件更新(即 SUP/WSUS),如果您使用备用端口,则需要 HTTP/HTTPS 或 8530/8531。
看这里了解详情。
您还需要分配适当的边界组和分发点。当然,您还需要新的 DNS 记录和从客户端到相关 MP 和 DP 的网络路径。通常,如果您的笔记本电脑接入公司网络并停留在公司网络上足够长的时间以“正常化”,那么您应该不需要任何额外的 SCCM 基础设施配置。
- 或者目标笔记本电脑只要在线就足够了?意思是不一定在公司域中,但可能在用户家庭网络中(对于在家工作的用户)。这可能需要在用户笔记本电脑上运行某种组件,但 SCCM 是否提供此功能?
如果不做些工作的话,这是行不通的。:)
您要查找的功能称为基于互联网的客户管理,简而言之,这意味着您设置或使用 PKI 层次结构,以便您的 SCCM 客户端可以在其 HTTPS 协商中进行客户端身份验证,配置您的管理点、分发点和软件更新点以使用 HTTPS,并使 MP 和 DP 在您的 DMZ 中可用于 Internet。
客户端将能够知道他们何时脱离网络,并将利用他们拥有的任何连接尝试访问基于 Internet 的 MP 和 DP。SCCM 完全是一种拉动技术,因此只要您的客户端可以访问这些服务器和端口,他们就可以获取更新并发回状态消息。非常棒。
设置起来很麻烦,尤其是获取正确的证书,因为 IBCM 需要特定的 OID,但完成后就非常简洁了。
我建议场景 3 无 SQL Server 副本在安全性和复杂性之间进行一般权衡,但显然您的需求将根据您的组织而有所不同。