SCCM系统管理方案

1、香港思百吉（中国）有限公司 SCCM系统管理方案文档信息：一般信息细节公司名称北京信诺时代科技发展有限公司公司地址北京市海淀区知春路甲48号盈都大厦技术热线（010）58732828文档版本1.0时间2008年10月目录一、概述4二、标准化终端系统42.1.桌面硬件配置标准化52.2.桌面软件配置标准化6三、详细设计63.1.资产管理63.2.软件测量73.3.报告83.4.远程管理及远程控制83.5.远程控制管理93.6.远程协助103.7.远程桌面113.8.办公局域网管理123.9.网络边界管理12与活动目录站点边界集成123.11.应用软件分发123.12.补丁管理143.13.桌面系

2、统的补丁管理143.14.服务器系统的补丁管理173.15.操作系统部署173.16.网络访问保护18四、总结18软、硬件配置清单19 一、 概述建议采用部署微软系统管理服务器（SCCM2007），以降低对基于Windows的桌面和服务器系统进行更改、配置管理所需成本，并使系统最具高可伸缩性。SCCM 2007内含详细的硬件清单、软件清单、系统测量工具、软件分发安装工具和远程故障处理工具。SCCM的开发基于业界标准的管理协议，确保了与其他相关管理工具的兼容性。并与SQL Server和Windows Server操作系统紧密集成，在很大程度上降低了SCCM 2007在各种类型网络上的安装、配置

3、和维护成本。建议以微软的SCCM系统对计算机资源进行自动化管理，实现“终端设备的标准化”管理，并在第一阶段主要实现计算机资源管理、补丁管理、软件分发和远程控制等几项主要功能。二、 标准化终端系统实施桌面计算机软硬件配置标准化主要针对以下问题：1) 桌面计算机用户随意安装软件带来的潜在的软件法律风险和信息安全的隐患 ；2) 桌面计算机硬件采购的随意性带来的配置超过需求，增加了企业成本；3) 桌面计算机系统软硬件的不统一带来的支持维护工作量增加；4) 多种硬件配置，多种软件版本为信息安全管理带来了很多问题，增加了信息安全的隐患；5) 软件版本的升级以及关键更新很难统一、有效地管理和实施。另一方面，

4、桌面计算机软硬件配置标准化还可以带来其他一些好处：1) 统一软硬件配置，实现集中采购可以进一步降低采购成本；2) 缩短桌面计算机故障维护时间，从而减小对员工办公的影响，提高员工的工作效率；3) 减少因为桌面计算机配置原因而导致的时间、效率、资源的损失；4) 增强桌面计算机安全性保护；5) 降低IT维护部门的运营成本；6) 提高员工服务满意度。桌面计算机软硬件标准化工作具体包括：1) 桌面计算机硬件配置标准化2) 桌面计算机软件配置标准化2.1.桌面硬件配置标准化确定思百吉（中国）统一的桌面计算机硬件配置标准，其内容包括规范思百吉（中国）内部桌面计算机硬件使用的最小配置要求和新购置主机的配置范围

5、。硬件配置标准的制订将参照各个岗位所使用的应用系统以及各应用系统的资源、配置要求，充分考虑未来几年的发展趋势，并适当考虑不同职位的要求。具体内容有三点：1) 思百吉（中国）综合考虑桌面计算机硬件现状和信息化发展的要求，规范内部桌面计算机硬件使用的最小配置要求；2) 规范思百吉（中国）新购置主机的硬件配置标准。依据“从实际出发，满足工作需要”的原则，思百吉（中国）根据内部使用桌面计算机员工的职位级别和工作类型等多方面因素，制定相应的桌面计算机硬件配置标准，内容包括台式机、笔记本电脑和打印机；3) 思百吉（中国）每年或半年更新桌面计算机配置标准中的内容。桌面计算机硬件配置标准产生之后，所有的新办公

6、硬件系统的购置和升级将严格按照标准执行，最终实现思百吉（中国）桌面计算机硬件配置标准化。2.2.桌面软件配置标准化确定思百吉（中国）统一的桌面计算机软件配置标准，其内容包括规范化、正版化桌面计算机操作系统软件、办公系统软件、杀毒软件等多种允许在思百吉（中国）桌面计算机上安装和使用的软件种类和版本。建议思百吉（中国）选定Microsoft Windows XP 中文专业版为思百吉（中国）的桌面计算机操作系统标准，选定Microsoft Office中文专业版作为桌面计算机办公软件标准。同时，思百吉（中国）制定有关的桌面计算机软件配置规范，限定思百吉（中国）内部员工允许在桌面计算机上安装和使用的软

7、件。跟随软件技术的发展和更新以及企业内部软件使用需求变化，思百吉（中国）会对桌面计算机系统软件标准作适当调整，以满足业务发展的进一步需要。三、 详细设计SCCM 2007提供了强大的软、硬件的资产信息管理功能：3.1.资产管理自动收集精确信息，而无需亲临桌面计算机现场。管理员可以使用这些数据来规划硬件升级，或标识出能够运行新软件和操作系统的机器。报告安装在每台 PC 上的每种应用程序，帮助管理员标识出有问题的机器，这些机器装有存在过时的或未经许可的软件。l 了解公司硬件配置l 确定公司拥有什么样的应用程序l 知道有多少应用软件被使用l 管理授权l 可以清楚的进行业务决定l 正确的识别资产l 记

8、录并且跟踪资产信息l 可靠的和可扩展的目录 l 更好的控制l 减少网络流量l 更小的控制单位l 集成化软件测量l 使用跟踪l Data roll-upl 强大报告l 授权使用情况跟踪 l 自定义报告数据仪表板3.2.软件测量根据应用程序的名称、用户、时间和份额，追踪并控制应用程序的使用。l 软件测量提供对应用程序的使用跟踪l 使购买决策时更明白l 允许管理员跟踪当时许可l 在企业中减少复杂性l 管理员可控制l 指定那些应用程序被测量l 摘要工作减少数据存储 3.3.报告l 可扩展的基于Web的报告工具l 基于自动维护，高性能的SQL视图l 其结构基于SCCM 提供者l 160 预定义报告 l

9、数字仪表板功能可以容易的自定报告 l 在单视图中的多报告l 集成安全特性l 支持多语言l 输出报告l 可以导入导出报告3.4.远程管理及远程控制Microsoft Systems Management Server 2007针对微软桌面客户端系统提供了多种远程管理工具：如远程控制管理、远程协助、远程桌面等，将极大地提高桌面管理系统维护人员的服务满意度。3.5.远程控制管理3.6.远程协助3.7.远程桌面3.8.办公局域网管理3.9.网络边界管理通过采用Microsoft SCCM 2007的桌面管理产品，可以在指定周期的时间间隔，进行定期的全网扫描，能够发现新加入局域网的终端计算机，判断是否已

10、经安装了客户端程序，从而清楚地了解网内计算机的“被管理”状态，防止非法计算机接入破坏网络，有效地对网络边界进行管理。3.10.SCCM与活动目录站点边界集成1) 与A D站点边界集成的SCCM站点2) SCCM 2007 允许利用活动目录站点名称定义SCCM站点边界3) IP 网络只需要定义在一个地方并 被SCCM利用4) 混合IP网络和活动目录站点边界定义SCCM站点3.11.应用软件分发目前的桌面计算机软件安装主要通过人工安装，这种方式一方面费时、费力；另一方面很难实现软件版本统一，最终造成安装、支持复杂，管理成本高等问题。SCCM特性集的一项关键优势一直是该产品针对基于Windows操作

11、系统之桌面计算机、笔记本电脑和服务器的强大而灵活的软件部署支持。管理人员可基于中央控制台在将软件包部署至遍布网络系统的目标计算机时对它们执行封装、复制、定位、推荐和跟踪。软件包还可在允许最终用户干预或无需最终用户干预的情况下实现部署，而任何IT支持人员均不必亲身前往目标系统。无论软件产品是像Windows XP Professional这样的操作系统、像Microsoft Office这样的完整应用套件，还是由第三方厂商提供或自行编写的日常商务应用，亦或较为重要的Windows系统更新，SCCM 2007均可借助简单易用的界面、向导以及与操作系统服务之间的高度集成大幅降低确保软件处于即时更新状

12、态所需付出的工作量。通过软件分发的机制，可以实现桌面计算机标准化支撑平台内部多种软件分发的功能，其内容包括：l 软件分发：通过软件分发机制，从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器，消除对桌面计算机和服务器的访问等人为因素导致的错误。 l 完整的清单信息：通过使用完整的、最新的硬件和软件清单信息，保证软件只被安装在兼容的系统上。精确的清单信息使得软件分发更加可靠、更加精确。 l 基于规则的软件分发：根据管理员制定的规则制定软件分发策略，在规则中可以动态的添加和删除机器、用户或者用户组，这种方法降低了管理负担。软件的安装和删除都随在活动目录中的用户和计算机

13、加入或退出管理组自动完成。 l 预定软件发布：管理员可以通过工具指定在某一特殊时间部署应用程序，这样可以避免网络堵塞，或者在一定的时间之后分发软件，以确保用户在使用前已得到相关培训。 l 软件、应用安装：提供安装工具，支持管理员重新打包或更改信息，编写脚本，为任何基于Windows的应用程序创建包。无需编程的专业知识即可实现软件的高效分发。 l 无人值守的软件安装：通过软件分发工具安装系统可以不需要用户值守，也可以允许权限较低的已登录用户使用管理员的权限安装软件。l 完整的状态信息：报告软件安装和操作系统升级的状态，这样管理员可以知道软件是否已经正确安装。3.12.补丁管理思百吉（中国）桌面系

14、统使用操作系统和应用软件版本多，用户经常流动办公，集中管理难度很大。因此针对桌面的软件更新管理主要是为最终用户提供最为便利的手段，保持桌面系统的更新而不改变用户现有的使用习惯。业务系统是企业的核心生命系统。因此，对服务器的更新需要非常小心。并且需要严格的变更控制来保证系统的可靠性和可用性。所以，服务器系统的更新需要非常小心而且经过严格的测试和评估才能实施。通常情况下，服务器系统只需要更新确实或者可能造成系统错误的更新。3.13.桌面系统的补丁管理通常意义上的桌面系统补丁管理的方式有以下两种手段：1) 用户自助。用户通过客户端工具检查需要的更新，从微软补丁网站下载软件进行安装。管理员通过电子邮件

15、通知用户及时安装安全补丁。2) 系统自动更新。用户无需参与，实现系统自动的检测、自动分发和安装。桌面系统的补丁类型有：1) 操作系统补丁。及时安装操作系统更新补丁，避免成为黑客和病毒的攻击对象。2) 应用程序的补丁。及时安装应用程序的补丁，减少安全隐患，增加应用程序稳定性和功能。应用程序包括了Office的补丁和其它专用应用程序的补丁。针对思百吉（中国）公司目前的信息技术环境的桌面系统，通过Systems Management Server 2007定制设置可以实现用户自助及系统自动更新。安装了Software Update Services Feature Pack的SCCM为安全补丁的安装

16、提供了一种定制解决方案，为IT经理提供了一些选择，有助于他们决定如何最好地管理环境中的安全补丁。 对补丁进行授权 在得到管理员的授权之前，补丁不会安装在计算机上。这确保了企业的个人计算机保有一个一致和得到授权的工作环境。安装时间是强制性的，无论它来自管理员进行授权的日期，还是来自对受控系统进行的必需检测。对于必须在特定日期进行应用的重要安全补丁，前者十分有用；对于重要但是不是十分关键的补丁，后者则十分有用。 最终用户通知 最终用户通知是可选的，并且包括了弹出窗口，提醒用户使用Windows Update。但是，这些提醒信息也可以定制，以便为最终用户提供更有帮助的信息，并且让他们对于安全弱点、将

17、被安装的补丁具有清醒的认识，同时还能够在消息中加入企业徽标和企业品牌。 日程计划 SCCM强大的日程计划能力也能够用于补丁的检测和安装。 有关已安装补丁和可应用补丁的情况可以自动汇集到SCCM Web Reporting站点。 示例： l 仅仅在晚上并且用户回家时才安装补丁（从下午7:00 到上午6:00） l 每隔5小时，或者每隔12小时，任何日程 l 每隔7天，下午5:00以后 l 仅仅在用户注销时 安全补丁升级和信息获知 l 自动扫描Microsoft最新发布的安全补丁，以及自动或手动更新Microsoft发布的安全目录（Security Catalog） l 最终用户不需要登录，或者作

18、为本地计算机上的管理员，因为可以通过SCCM部署安全补丁。 l 能够强行关闭应用程序；或者，在计算机重启之前，不强迫用户关闭程序。 l 能够通过强制进行安全补丁的部署，设定安装升级的最后期限。 l 提供了针对Windows NT 4.0 SP6以后的所有Microsoft操作系统的安全补丁。 l 为Office安装安全补丁的能力。 l 为IIS、Internet Explorer 5.5以及更高版本、SQL Sever 2000、Windows Media Player、Exchange 5.5以及更高版本。 l 能够推迟服务器或工作站的自动重启，同时推迟二者的重启，或者立即重新启动这二者。

19、l 如果用户在，允许用户将安装最多推迟99分钟，无论是用户没有对安装补丁做出响应，还是取消了补丁的安装。 l 安全的等待时间，如果用户在指定的时间期限内没有完成安装，允许用户选择发生失败的安装。 l 强制用户立即安装安全补丁。 l 允许用户无限期推迟安全补丁的安装。 l 允许用户将安全补丁的安装推迟几小时或几天。 l 如果使用了“授权于”（Authorized on）和“截止于”（Due by）日期条件，能够强制用户安装必需的升级，并且不安装那些仍然被推迟的补丁。 l 自动提供可应用的安全补丁选择，允许根据条件部署安全补丁。 l 将所选的安全补丁自动或手动下载到一台得到授权的中央存储库中。 l

20、 允许按照特定时间线高度定制安全补丁的目标应用和交付。例如：服务器可以在维护工作所需的重启操作之前就安装补丁，而工作站可以被设置为每隔12小时，或者每隔1-2天。 l 防止已经打开了Microsoft Outlook®或者有其它应用程序仍然在运行的系统自动重启。 l 手动解决方案，或者100%的自动下载方案（如果需要）。 3.14.服务器系统的补丁管理服务器系统是思百吉（中国）公司信息系统运行核心业务应用的服务器，因此，对服务器系统的补丁需要经过评估对现有系统的影响，避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术，通过人工的评估，再实现自动分发和手工安装。服务器系统补丁类型有：1) 服务器操作系统补丁。在评估更新对系统的影响后，有选择的更新服务器的操作系统补丁。