» Microsoft Systems Management Server 2003 R2 (MS SMS 2003)

Может кто знает, может ли microsoft system center essentials 2007 обновлять машины без участия пользователя и как. Обновления скачиваются, но пока вручную не запустишь их установку, они не поставятся. Поэтому пока приходится вручную устанавливать.

Но это слишком много проблем создает, в этом случае мне проще настроить групповые политики и с помощью скрипта обновлять автоматом.

В Configuration Manager это называется Assign program, т.е. принцдительным назначением программы. В отличие от публикации (publishing) назначенные программы ставятся принудительно в то время когда указано

Цитата:

В Configuration Manager это называется Assign program

Не очень понял где находится этот манагер? Мы говорим про MSCE2007 sp1 ?
Может администрирование?
Там есть раздел Обновления, через который утверждаются и заполняются обновления, но где там можно включить возможность автоматической установки я не нашел.

Можно поподробней расказать где найти эту возможность?
Спс.

Всем привет. Такая проблема... Ставлю клиент-агенты MSCCM2007 на компы. Когда смотрю в панели управления - Configuration manager в закладке Actions есть только две позиции:

Machine policy retrieval&evaluation cycle
User policy retrieval&evaluation cycle


Судя по книге там должны быть еще всякие software inventory; hardware inventory и прочее. Но у меня их нет - никак не пойму как сделать, чтобы они появились.

Такой вопрос - есть ли возможность установить консоль управления сервером на машину с WinXP? Каким образом?

Реально ли с помощью SMS2003 узнать, является ли текущий пользователь на клиентской машине локальным администратором?

Cristoff1
про назначения и публикацию программ эт я вобщем говорил, эти понятия относятся как к установке программ через групповые политики, так и к System Center Essintials и Configuration Manager

azkii
жди - скорее всего политики не обновились, все появится

APir
запускаешь установку сервера на ХР - из доступнх опций будет только консоль

kapiton1
Можно с помощью SCCM вытянуть информацию о составе локальной группы "администраторы" любого компьютера. Но для ограничения прав пользователей есть такая штука в групповых политиках как Restricted Groups если речь шла про это...

ITeXPert

Цитата:

Можно с помощью SCCM вытянуть информацию о составе локальной группы "администраторы" любого компьютера

Нет, ограничение прав не нужно, только информация. А SMS2003 тоже может это или только SCCM?

kapiton1
и SMS может, все через WMI делается, тебе самому ничего не мешает написать vb скрипт, либо поискать в Инете готовый, ибо не ты первый таким вопросом задаешься

Поставил лицензионный SMS 2003 SP1, потом накатил SP3. Щас заметил что не поставил Remote agent. Пытался, как написано в книге по SMSу запустить установку с дистриба, установить этот компонент. Пишет версия отличается от установленной ((. На сайте мелкософта дистриба полного с SP3 нет. Как лечить подскажите, плиз.

Подскажите кто-нибудь, переставили сервак на новое железо, все работает отлично. Но вот вопрос.
Те машины которые в моем домене, нормально подцепились клиенты, обновились сертификаты и все накатывается без проблем. А те клиенты которые в другом домене, с ними проблема никак не хочет обновляться сертификат, результат соответственно такой, что никакой софт не ставиться. А клиентов на компьютеры в другом домене ставили руками с указанием названия сайта SMS и до переустановки все работало отлично. Вопрос такой надо ли на wins сервере того домена прописытать свои Wins. Почему спрашиваю, потому что в логах где то упоминается про винсы второго домена и айпи адреса того домена пользователи которого не могут обновить сертификат, я тоже вижу.

Добрые люди! Засада-методом push -не ставятся клиенты, я думаю
1) закрыты порт 445,135 на клиентах(ipseccmd)
2) запрещен доступ по сети локальному админу

Добавлено:
чуть погодя допишу

Добавлено:
давал доступ на чтение-для доменных юзеров на шары sccm(кстати такого доступа-достаточно?)-пофиг не идет установка, пишет
ошибки типа
"SMS Client Configuration Manager cannot connect to the machine "EI1811133". The operating system reported error 5:отказано в доступе

Possible cause: The client is not accessible.
Solution: Verify that the client is connected to the network and that the SMS Service account or (if specified) the SMS Client Remote Installation account has the required privileges, as specified in the SMS documentation.

Possible cause: A remote client installation account was not specified in the SMS Admin console, the account is not valid, is disabled, or has an expired password.
Solution: Ensure one or more valid and active remote client installation accounts are specified in the SMS Admin console, that the account names and passwords are correct, and that the account has the required administrator rights on the target machines."

как известно права локального админа у группы Domain admin есть, учетка под которой push хочу провести, в эту группу входит-хотя явно на клиентах не прописана.
Х.з . в чем дело.

НЕ подгоните образец логон-скрипта, чтоб инсталлировал клиента с проверкой, если уже установлен-то не ставить.

и еще вопрос-такой набор закрытых портов 135,445-повлекет еще какие либо проблемы

pitblack
Проверь чтобы открыты были админские шары и у учетки точно были права локального админа. Если логон скриптом ставить то можно просто расшарить папку C:\Program Files\Microsoft Configuration Manager\Client и в логон скрипт повесить ccmsetup.exe

to ITeXPert
Можете ответить еще на пару вопросов? Если не лень ответить конечно-сижу неделю все свободное от семьи и на работе-от текучки время-сдвигов ноль.
На сервере открыл 445 порт (на клиентах закрыт) -с сервера \\клиент\Admin$ подрубается руками. Запись входит в группу Доменных админов и в группу SCCM админов-но явно на компе не прописана-так ведь пойдет?
Теперь вопросы

1) И главный. Не поделитесь образцом такого логон -скрипта? Дело осложняется следующим-в vbs пока-ни бум-бум, а батником не отделаешься-во-первых
пользователи у нас сидят под доменными юзерами, а логон-скрипт должен ставить агента SCCM 2007 (не sms) c правами админа, во-вторых локальному админу (требование безопасников)-т.е. записи Администратор запрещен доступ по сети групповой политикой, в третьих должна быть проверка -если скажем служба ccmexec
уже запущена -то по новой не ставить. так что если скрипта не жаль-в студию, пожалуйста.


2) вопрос два -наш домен AD-дочерний от домена Управляющей компании, на нашем
сайте прописана подсеть 10.50.x.x/16, мы в свою очередь бьем ее на подсети вида,
10.50.1.x/24 и т.д.(бьются третьим битом), но такая адресация еще не вездене все перевели-много подсетей вида
10.1.x.0/16,10.2.x.0/16(бьются вторым битом) и т.д. -сеть большая и разбросанная. Я указал метод обнаружения AD SYSTEM DISCOVERY- и у меня много клиентов assign и код сайта виден,
много no assign и кода нет(но клиет push методом не ставится никуда). Так что решил включить еще и network discovery, по этому методу вопросы тоже есть, достаточно ли указать две укрупненные подсети-10.x.x.x/8 и 10.50.x.x/16 или тупо бить все подсети?

3) После того как начал пробивать подсети к ошибкам из предыдущего поста(отказано в доступе), прибавились-

"SMS Discovery Data Manager failed to process the discovery data record (DDR) "", because it cannot update the data source.

Possible cause: On a Primary site, it is probably a SQL Server problem.
Solution:
1. Review the immediately preceding status messages from this component about SQL Server errors.
2. Verify that this computer can reach the SQL Server computer.
3. Verify that SQL Server services are running.
4. Verify that SMS can access the SMS site database.
5. Verify that the SMS site database, transaction log, and tempdb are not full.
6. Verify that there are at least 50 SQL Server user connections, plus 5 for each SMS Administrator console.

If the problem persists, check the SQL Server error logs.

Possible cause: On a secondary site, SMS Discovery Data Manager probably cannot write to a file on the site server, so check for low disk space on the site server.
Solution: Make more space available on the site server."
Сайт один, в SQL ни бум-бум -на сервере места очень много свободного это точно могу сказать, а как это сделать пп.2,4,6 -х.з. И по ошибкам отказано в доступе -я ж точно знаю на шары клиента с сервера вручную зайти можно.

Ладно еще есть пара вопросов-но посижу еще сам поэкспериментирую прежде чем задавать их.

c ошибками sql-разобрался, исчезли

Добавлено:
И еще -как проверить расширена схема или нет. Права sxema admin-в управляющей компании(родительский домен). С их слов -расширяли, но это в другом городе за 1000 верст. Как удостоверится

По поводу логон скрипта, когда тестил, вроде получалось что заново инсталляция клиента не происходит если он уже стоит. Либо сделай отдельную групповую политику в ней логон скприпт, повесь нужный OU, и в фильтрации поставь применять на все машины, именно все компьютерные учетки добавь. Через пару дней заходишь в Queries - Non-Client Systems - делаешь Export в текстовый файл, потом малеха редактируешь его в комнить тестовом редакторе чтобы компы были разделены очкой с запятой и втягиваешь этот список в ту политику в которой логин скприпт для установки клиента.

По разбивке на подсети, гораздо удобней если у тебя все этов AD на сайты разбито, то подобавлять сайты из AD. По поводу как лучше сразу всю сеть класса B или куча мелких C - если забешь кучу мелких, сможешь указать для каждой быстрая это сеть или медленная (WAN link). Я обычно включаю все возможные методы обнаружения. Кроме DHCP (ибо небезопасно)

по поводу расширения схемы обратимся к первоисточнику
http://technet.microsoft.com/en-us/library/bb693614.aspx
http://technet.microsoft.com/en-us/library/bb633121.aspx

Через пару дней заходишь в Queries - Non-Client Systems - делаешь Export в текстовый файл, потом малеха редактируешь его в комнить тестовом редакторе чтобы компы были разделены очкой с запятой и втягиваешь этот список в ту политику в которой логин скприпт для установки клиента.

Честно сказать башка работает после рабочего дня % на 5- не понял как это
чтобы компы были разделены очкой с запятой и втягиваешь этот список в ту политику в которой логин скприпт для установки клиента.
весь логон-скрипт стало быть такой
ccmsetup.exe /mp:test-mgmt01 /logon SMSSITECODE=A01?

Вопросец, MP -надо как нибудь в DNS или WINS публиковать ручками?
И как это сделать правильно(допустим mp называется test-mgmt01)

Добавлено:
А сети слава богу все быстрые-uplink 1 Gb между кучей зданий, лишь мест 20 по модемам сидят из 3000 портов

Добавлено:
спасиб за ссылки, обнаружил приятную вещь -если en-us заменить на ru-ru-то можно и на нашем почитать. Надыбал кстати книжку Карчмарека про SCCM сегодня-40 метров
что хочу сказать-ни книги, ни текнет такого форума как этот не заменят. Гладко на бумаге-но дьявол в ньюансах, как всегда

нда, работаю с SMS/SCCM уже 2 года и все равно есть вещи в которые даже не лез (AMT Management).

по поводу скрипта - если в АД все правильно опубликовано после расширение схемы достаточно просто ccmsetup.exe
По поводу политики:
любая политика по умолчанию применяется на Authenticated Users, а ты удалишь эту группу из политики и применишь ее на компьютерные учетки. делается все через GPMC

Никто не сталкивался с такой проблемой:
После установки SMS агента невозможно стало сделать восстановление системы.
Пишет, что восстановление сделать не удалось...

to pitblack

скрипт по установке может быть таким

Код:
Option Explicit

Dim strSiteCode
Dim strMode

strSiteCode = "MK1"
If WScript.arguments.count > 0 Then
    strSiteCode = WScript.arguments(0)
End If

Dim WshShell, lngExitCode
Set WshShell = CreateObject("WScript.Shell")

If ClientInstalledAndAuto("") = False Then
    Dim oExec, strCmdLine
    strCmdLine = ScriptDir & "\Ccmsetup.exe /service SMSSITECODE=" & strSiteCode
    lngExitCode = WshShell.Run(strCmdLine, 0, True)
    WshShell.LogEvent 0, "Started SMS Advanced Client Install: """ & strCmdLine & """" & CHR(10) & "Exit code was " & CSTR(lngExitCode)
Else
    WshShell.LogEvent 0, "SMS Advanced Client service (ccmexec) is installed and set to Automatic. No action required."
End If

Function ScriptDir
    ScriptDir = Left(WScript.ScriptFullName,Len(WScript.ScriptFullName) - Len(WScript.ScriptName) -1)
End Function

Function ClientInstalledAndAuto(strComputerName)
    ClientInstalledAndAuto = False
    On Error Resume Next
    
    If Len(strComputerName) = 0 Then
        strComputerName = "."
    End If
    
    Dim objWMI, objList, objItem
    
    Set objWMI = GetObject("winmgmts://" & strComputerName & "/root/cimv2")
    If err.number <> 0 Then
        Exit Function    
    End If

    strMode = ""
    
    Set objList = objWMI.ExecQuery("Select StartMode from Win32_Service where Name=""CcmExec""")
    For Each objItem In objList
        strMode = objItem.StartMode
        Exit For
    Next
    
    If strMode = "Auto" Then
        ClientInstalledAndAuto = True
    Else
        ClientInstalledAndAuto = False
        If Len(strMode) = 0 Then
            WshShell.LogEvent 0, "SMS Advanced Client service not found."
        Else
            WshShell.LogEvent 0, "SMS Advanced Client service (CCMEXEC) is set to " & strMode
        End If
    End If

End Function

спасибо, дорогой товарищ! 3 недели было не до sccm и не до форума-захожу сюда -а тут подарок для незнайки

елки-палки-sysadmins.ru накрылся вместе с темой по sccm! Может , оклемается?

pitblack - не пинайте труп. Нужна тема по SCCM с того форума - скачайте ветку себе на комп, хотя там же все по SMS вроде? Врятли там что-о новое появиться с его постоянными падениями.
Из известных мне мест, где актинво обсуждают SCCM пожалуй только форумы МС. Там помимо обычных форумчан, даже саппорт МС иногда проскакивает.

Папку клиента расшаривать специально не надо, она и так уже расшарена.
\\sccm_server\site_code\client

Помимо скрипта, можно еще прибегнуть к установки клиента через групповую политику, а вообще, я бы разбирался почему у вас push установка не работает нормально.

Чтобы проверить - расширена схема АД или нет, легче всего попросить их выслать лог adexc.log, который появляется в корне диска С, сервера хозяина схемы при расширении схемы. Либо просто зайдите в остнастку АД пользователи и компьюетры - включите доп. отображение - контейнер System там должен быть контейнер ConfigManager (по моему так)

а вообще, я бы разбирался почему у вас push установка не работает нормально.
А я разобрался -пообщавшись с Вами и посмотрев вебкасты Ефремова на techdays.ru -весьма рекомендую занести их в шапку
1) Закрыт порт 445 на клиентах, на коммутаторах
2) В GPO висел скрипт(выдержка)
'Отключение стандартных общедоступных ресурсов системы
strKeyPath = "SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
strValue = "AutoShareWKS"
oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValue
dwValue = 1
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValue,dwValue
коллега повесил -т.е. шара Admin$ закрыта на клиентах.
Причем ставил dwValue = в 0 , чтоб вернуть все назад-нифига не применяется.
Да как то это и неплохо-что админские шары прикрыты-с точки зрения вирусологии
Через GPO пробовал-с административным шаблоном, тоже болт, wsus стоит на другом сервере-тоже болт(или как то можно-не нашел)поставить как обновление через WSUS,
скрипт товарища bvvtver(см. выше-спасибо ему) частично помог. Т.е. клиента в netlogon
и фильтрация GPO -на компы домена. Из нескольких тысяч клиентов-у третьей части не поставились агенты, в логах что-то типа "Не удалось выполнить скрипт такой-то-не найдена сетевая папка" или вообще нифига. Три недели не занимался SCCM-некогда было. Теперь вот чешу репу-чего бы еще придумать кроме как обзванивать всю эту бесклиентную орду и ставить руками(((
Кстати при распространении софта-отсутствие шары Admin$ на клиентах не будет помехой

Добавлено:
кстати вот еще-добрый человек давал совет
"Через пару дней заходишь в Queries - Non-Client Systems - делаешь Export в текстовый файл, потом малеха редактируешь его в комнить тестовом редакторе чтобы компы были разделены очкой с запятой и втягиваешь этот список в ту политику в которой логин скприпт для установки клиента."
Экспорт возможен в файл MOF-а чем его смотреть?
Если в текстовик переименовываешь-только запрос виден

Добавлено:
Прошу прощения -с queries затупил-разобрался

чем больше учусь работе с продуктом SCCM, тем чаще возникает вопрос-как бы поучиться на курсах . Жаль что бабло на обучение в фирме в этом году не выделено-кризис, типа. Постоянно возникают вопросы и затыки. В частности такие.

1)Как сделать так, чтобы определенный репорт отсылался на мыло боссу раз в неделю?

2)На AD у юзеров в поле department стоит место их работы(примерно сто подразделений есть в организации-это поле хитрым способом автозаполняется при создании учетки). Сейчас сделано так -в logon -скрипте при регистрации прописано кидать текстовый файлик %computername%.txt и в этом файле куча разной инфы, в том числе и данные
поля department. Затем оттуда скриптом выдирается инфа и выводится в html-отчет.
Как такое замутить с помощью SMS? Голову сломал
В AD user discovery забил собирать demartment, инфа собралась-как такой отчет сделать???

3) Далее-распространение софта. При создании Distribution Point папочка никакая не шарится для пакетов. Есть книга Карчмарека по SMS правда-там пишут что должна создаваться папка SMSPСGx-что то типа такого. На SCCM такое явление не наблюдается

4) Ну и последний пока -на компах с помощью скрипта были закрыты админские шары.
Попробовал открыть их групповой политикой-кинул в NETLOGON reg-файл.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]
"AutoShareWks"=dword:00000001
;Включить автоматическое создание общих (share) папок
;AutoShareWks для рабочих станций или AutoShareServer для серверов
"""""""""""""""""""
ну и в логон-%systemroot%\regedit /S autosharewks.reg
Эффекта не возымело
Ну и теперь вот думаю -как бы через software distribution -запустить ентот reg-файл.
Надо же указывать запускной файл SCCM-у -а в случае с рег-файлом как быть?

Заранее благодарен местным знахарям!

pitblack
1) Если поднят SQL Reporing Services и отчеты на нем, то в консоли SCCM идешь в Reporting - Reporting Services - в свойства любого отчета - там на вклабке Subscripions выставляешь куда и чего сохранять

2)Поройся на тему создания отчетов из Queris в Инете (в книге Качмарека по SCCM и в видеоуроках от CBT Nuggets такое описано)

3)Шара может сразу и не создаться, в люом паке те нажми Manage Distribution Point и скопируй пакет на ту точку раздачи куда тебе надо - шара должна появится через некоторое время

4)Сделай это групповыми политиками

4)Сделай это групповыми политиками
Хоть убейся -я ж написал что через GPO не работает
Вопрос остается -как с помощью распространения софта запустить на клиентах reg-файл или vbs-скрипт?

тогда юзай psexec из pstools, думаю так проще всего будет, если политиками не работает

psexec
Спасибо, мимо кассы . Шара Admin$ закрыта-ее открытость-основное условие работы ps
утилит Руссиновича.
Вопрос-как сделать с помощью SCCM -в силе остается

Народ, помогите пож., никак не могу понять где ошибка. Расширил АД, настроил смс как описывал micigun. Вроде все проверил перепроверил, не могу становить клиентов (advanced), в статусе assigned = no

Что с этим делать ума не приложу.

В логе следующее

Install on DC: False    SMS_CLIENT_CONFIG_MANAGER    01.01.1601 0:00:00    3608 (0x0E18)