CM: На заметку администраторам Configuration Manager

InformationalВозможно, данная статья будет выглядеть, как навязывание чего-то своего, но в любом случае приведу несколько ошибок, советов и решений. Начну с самых грубых ошибок, которые доводилось встречать на просторах интернета.

Никогда… Совсем никогда не давайте учетной записи Network Access Account права Domain Admin. На это есть несколько причин – его совершенно легко получить, а о последствиях обнародования данного аккаунта в руках третьих лиц можно только догадываться. Данному аккаунту достаточно прав аутентифицированного пользователя.

Также не давайте права Domain Admins и учетной записи Join Account. Это также небезопасно, т.к. пароль этой учетной записи лежит в открытом виде. Достаточно делегировать данной учетной записи права на добавление компьютеров в Active Directory.

Прежде чем что-то нажать, будьте уверены в том, что делаете. Не знаете – не лезьте. Лучше прочитайте инструкции или спросите у знающего коллеги, иначе, велик шанс откатить все компьютеры компании к дефолтной операционной системе, а Вас откатить к бирже труда.

Если Вы подумали «спасибо, Кэп», то это хорошо 🙂 Страшилки закончились и дальше пойдут удобняшки.

Начну с самого простого. Создайте группу в AD, в которую Вы будете помещать все сайт-серверы Configuration Manager. Имея несколько сайт-серверов, вам не придется постоянно добавлять в список ACL контейнера System Management новый сервер и назначать ему права, достаточно один раз дать эти права группе. Это удобно и красиво.

Используйте UNC пути при создании пакетов… Даже если вы храните весь свой софт на одном единственном сервере Configuration Manager, создайте на нем шару и используйте UNC пути.

Две строки назад я писал про UNC пути? Так вот, используйте UNC пути на основе Domain Based DFS-N. Это офигительно удобно, а в нашем случае это еще и функционально. Нам не нужно что-то придумывать в случае, если закончится место на диске – достаточно создать виртуальный каталог и добавить новую шару нового сервера… В конце концов, можно просто всё скопировать на сервер с большими объемами дискового пространства и поменять целевой сервер в оснастке DFS.

Разработайте политику именования папок, коллекций, списков обновлений и т.д.. Вам же будет проще. Я стараюсь использовать следующую модель для пакетов программного обеспечения: \\<DOMAIN>\ConfigMgr\Software\<Software Developer>\<Product Name>\<Language>. Можно добавить версию, убрать язык – это не меняет сути подхода. Старайтесь указывать всё буква в букву. Возможно, это Вам же пригодится при использовании очередного скрипта.

Не забывайте про возможность использовать в строке запуска программ системные переменные. Ведь лучше создать один пакет (если его размер имеет вменяемые размеры) и одну программу для двух разных процессорных архитектур, чем два пакета с меткой x86 и x64, собственной программой, назначением и фильтрами. Пакет с двумя папками AMD64 и x86, в каждой из которых лежит программа setup.exe и строка запуска %PROCESSOR_ARCHITECTURE%\Setup.exe /s выглядит более профессионально и требует меньших настроек.

Ну и напоследок. Старайтесь использовать в удаленных филиалах Secondary Sites, если это возможно. Опять же, это удобно, а с использованием Bing Maps в ConfigMgr 2012 еще и красиво. Помните! Высшему руководству нравятся картинки :).

Естественно, это далеко не всё, но надеюсь, что-то из этого  пригодится и что именно – решать в первую очередь Вам!

Реклама

Детали bobgreen84
System Center Products Specialist

One Response to CM: На заметку администраторам Configuration Manager

  1. Radik says:

    Хорошая статья, уже из опыта, сделал такие выводы тоже,а про архитектуру очень полезно.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: