О проблемах установки обновлений


Своевременная установка обновлений это хорошая профилактика от вирусных атак. Это ещё раз подтверждает последння волна червей, начавшаяся с WannaCry.

И вот вроде бы все нужные обновления регулярно ставим, но червь как-то просочился на несколько компьютеров. По совокупности защитных мер ничего страшного не произошло, тем не менее выводы на будущее надо было сделать. Читать далее

Реклама

SCCM — меняем рабочий диск для offline servicing


У SCCM есть историческая особенность – количество неведомых настроек бесконечно. Вот конкретная ситуация: сколько не выносили различные рабочие папки SCCM с диска C: на другие диски, всё равно находится хоть что-то что упорно пишет на диск C: — речь в данном случае об offline servicing установочных образов систем. Как только запустил offline servicing, SCCM тут же смонтировал образ – правильно – на диске C:. Сначала скопировал его туда с шары источника, потом смонтировал, пропатчил, отмонтировал и скопировал обратно. Но почему же на системный диск C:?! Читать далее

SCCM – контроль здоровья дисков


Существует немало утилит, которые показывают состояние диска по технологии S.M.A.R.T. Все они не пригодны для использования в командной строке и скриптах, и, соответственно, в SCCM. Читать далее

ESD — новая функция в SCCM


В последних предварительных версиях SCCM TP появилась новая функция — Enterprise data protection (EDP).

Приятно, что функция доступна не только в Облаке, но в локальных версиях SCCM.

На практике мы видим объективный процесс: все больше информации пользователи выносят за пределы компании на различных мобильных устройствах, все больше информации попадает на Облачные сервисы. Поэтому не удивительно, что продолжают развиваться технологии защиты и контроля подобных процессов. На это и нацелено появление EDP. Читать далее

SCCM – новое обозначение версий


Майкрософт поменял обозначение версий SCCM в сентябре 2015 года. После этого сходу нелегко понять что есть что.

  1. Теперь есть две основные линейки Current branch и Technical Preview.
  2. В каждой линейке обновления нумеруются по году и месяцу выхода: CB 1511, 1601 и т.д. TP 1511, 1601 и т.д. Никакой маркировки RTM или по полному году (SCCM 2012) теперь нет.
  3. В каждой линейке обновления свои и линейки не пересекаются: нельзя преобразовать CB в TP и наоборот.
  4. Внутренняя нумерация продолжается как и раньше (например, для 1511 это 5.0.8325.1000) и для TP нет никакой особой маркировки в номере.
  5. В каждой линейке есть base line версия – версия которую можно использовать для установки с нуля, upgrade SCCM 2012 и на которую можно накатывать последующие обновления через консоль.
  6. Первая базовая версия TP была с номером 1511. Сейчас 1603. Видимо через полгода появится следующая базовая версия. Базовая версия CB 1511 на текущий день.
  7. Новые наработки появляются в версии Technical Preview, затем в последующих обновлениях они переносятся в Current branch.
  8. Триальный период версии Technical Preview – 60 дней, а базовой 90 дней. После этого периода установка очередного обновления обязательна.
  9. Technical Preview ограничена установкой 10 клиентов, нет поддержки сайтов – предназначена только для небольшой тестовой среды.

Полезные ссылки:

Updates for System Center Configuration Manager

https://buildnumbers.wordpress.com/sccm/

SCCM,Application,Powershell – software restriction policy


Все начиналось с простого: потребовалось раскатать на пользователей сертификат. С помощью групповых политик на пользователей можно распространить только корневые сертификаты. Этот вариант отпал. Т.к. под раздачу попадали древние компьютеры с Windows XP, то пришлось протестировать несколько других различных способов. Оказалось, например, что certutil на разных версиях ОС имеет разные наборы ключей, и от этого варианта пришлось отказаться. Powershell подошел, но с оговоркой – пришлось тестировать под версией 2, которая работает на Windows XP. После танцев с бубном (как беден Powershell стрых версий!) скрипт был отлажен на тестовой машине. Для его исполнения решили использовать SCCM. Сделали приложение, сделали распространение на коллекцию пользователей и … началось – мониторинг закраснел ошибками выполнения скрипта. Читать далее

SCCM – методы обнаружения


SCCM должен определить неким способом запускать ему установку приложения или это приложение уже установлено. Поэтому при настройке развертывания приложения всегда нужно задать как минимум один метод обнаружения.

Существует несколько видов обнаружения: Windows Installer, файл, папка, реестр и скрипт.

Обнаружение типа Windows Installer

При использовании развертывания приложения типа Windows Installer или MSI для идентификации приложения используется GUID:

Этот же GUID используется для обнаружения установленного приложения:

Обнаружение типа Файл

Если приложение использует другой тип установки, а не MSI, то найти приложение на целевой системе можно проверив наличие файла и/или значений его атрибутов. Вот, например, находим файл Notepad++.exe и проверяем значение атрибута Version:

Можно также проверить размер файла, дату создания и дату изменения файла. При этом доступна проверка не только на равенство – есть ещё целый ряд операций.

Можно задать несколько вариантов обнаружения и объединить их условиями AND и OR. Например, можно одновременно проверить дату создания и размер файла.

Не забываем про возможность использования системной переменной %ProgramFiles% и опции «This file or folder is associated with a 32-bit application on 64-bit systems».

Обнаружение типа Папка

Аналогично обнаружению типа Файл. Только проверка более простая – существование, либо дата создания, либо дата изменения.

Обнаружение типа Реестр

Для обнаружения установленного приложения можно использовать проверку существования веток реестра и ключей, а также значений ключей.

Не забываем про удаление WOW6432Node в пути и использовании опции «This registry key is associated with a 32-bit application on 64-bit systems».

Обнаружение типа Скрипт

Если ни один из вышеприведенных способов не работает и для идентификации приложения нужно выполнить сложные действия, то можно выполнить нужные проверки с помощью скрипта. Если скрипт выполняется успешно (возвращает True), то приложение считается установленным.

В том же окне создания метода обнаружения выбираем нижнюю опцию:

Нажимаем Edit:

Скрипт может быть – Powershell, VBScript или JScript.

Скрипт можно запустить как 32-битный процесс «Run script as 32-bit process on 64-bit clients»

Пример. «Приложение», которое прописывает на компьютере пользователя кастомные классы WMI. Обнаружить их в реестре или в виде файла в общем случае не получится. Тут и пригодится обнаружение в виде скрипта.

Другой пример. «Приложение», которое прописывает определенные настройки в конфигурационные файлы или выставляет права.

Полезные ссылки:

http://blogs.technet.com/b/hhoy/archive/2012/06/09/configuration-manager-2012-application-model-part-1.aspx