Развертывание программного обеспечения SCCM - пользователь должен быть зарегистрирован, или только в сети?
У меня есть несколько вопросов использования SCCM для развертывания программного обеспечения для пользователя на ноутбуке Windows:
- Пользователь должен быть зарегистрирован к целевому ноутбуку, или действительно ли достаточно, что это находится в корпоративной сети?
- Или было бы достаточно, что целевой ноутбук просто онлайн? Значение, не обязательно на корпоративном домене, но возможно в пользовательской домашней сети (для пользователей, которые работают дома). Это, вероятно, потребовало бы некоторого компонента, работающего на пользовательском ноутбуке, но SCCM обеспечивает эту функциональность?
- Нужно ли пользователю входить в систему на целевом портативном компьютере или достаточно, чтобы он был в корпоративной сети?
В общем, ответ - нет, пользователю не нужно войти в систему, за исключением того, что если в модели «Приложение-программа» тип развертывания, который вы используете в этом случае, требует присутствия пользователя (Тип развертывания - Взаимодействие с пользователем - Требование входа в систему). Я не очень хорошо знаком с моделью «пакет-программа», но считаю, что она не позволяет провести это различие.
Все, что требуется для развертывания программного обеспечения, - это то, что клиент SCCM может успешно извлечь политику компьютера, загрузить содержимое из точки распространения в локальный ccmcache через BITS, имейте рабочее окно службы (либо окно обслуживания, либо истекший срок) и вперед.
Точка управления и точка распространения должны быть доступны для клиента по HTTP и HTTPS. Для обновлений программного обеспечения (например, SUP / WSUS) вам потребуется HTTP / HTTPS или 8530/8531, если вы используете альтернативные порты.
Подробности см. здесь .
Вам также необходимо назначить соответствующие граничные группы и точку распространения. Естественно, вам также потребуются свежие записи DNS и сетевой путь от клиента к рассматриваемым MP и DP. Обычно, если ваш портативный компьютер входит в корпоративную сеть и находится в корпоративной сети достаточно долго, чтобы «нормализоваться», у вас все должно быть в порядке без какой-либо дополнительной настройки инфраструктуры SCCM.
- Или будет достаточно, чтобы целевой ноутбук был просто подключен к сети? Это означает, что не обязательно в корпоративном домене, но, возможно, в домашней сети пользователя (для пользователей, которые работают дома). Для этого, вероятно, потребуется какой-то компонент, работающий на портативном компьютере пользователя, но предоставляет ли SCCM эту функцию?
Это не будет работать ... без некоторой работы. :)
Функция, которую вы ищете, называется Интернет-управление клиентами , что в двух словах означает, что вы настраиваете или используете иерархию PKI, чтобы ваши клиенты SCCM могли выполнять аутентификацию клиента в своих согласованиях HTTPS. , настройте точки управления, точки распространения и точки обновления программного обеспечения для использования HTTPS и сделайте MP и DP доступными для Интернета в вашей DMZ.
Клиенты смогут определять, когда они находятся вне сети и будут использовать любое соединение, которое они имеют, чтобы попытаться связаться с MP и DP в Интернете. SCCM - это полностью вытягивающая технология, так что пока ваши клиенты могут подключаться к этим серверам и портам, они могут получать свои обновления и отправлять сообщения о состоянии обратно. Довольно чертовски мило.
Это PiTA для настройки, особенно для получения правильных сертификатов, поскольку IBCM требует определенных OID, но это довольно аккуратно, когда все готово.
Я рекомендую Сценарий 3 без реплики SQL Server. для общего компромисса между безопасностью и сложностью, но, очевидно, ваши потребности будут различаться в зависимости от вашей организации.