microsoft

معرفی و آشنایی با System Center Configuration Manager R2 2012

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

یکی از مهمترین اعضای مجموعه مدیریتی و مانیتورینگ System Center به شمار می آید و سبب می شود بهره وری و اثربخشی دپارتمان IT سازمان ها و زیرساخت IT سازمان ها افزایش یابد. با استفاده از این راهکار عملیات دستی کاهش چشمگیری می یابد و سبب می گردد تا بودجه IT سازمان ها صرف بهبود و توسعه زیرساخت IT سازمان گردد به جای آنکه هزینه چشمگیری صرف نگه داری های روزمره و پشتیبانی کاربران نهایی گردد.

از سوی دیگر، کاربران نهایی از آنجایی که سرویس های مورد نیاز خود با سرعت بیشتری دسترسی پیدا می کنند و سبب افزایش بهره وری سازمان می گردد. این راهکار جامع یک ابزار برای مدیریت تنظیمات روی پلتفرم مایکروسافت ایجاد می کند. عملکرد های اصلی این ابزار عبارت اند از:

توزیع سیستم عامل ها، نرم افزار ها و به روز رسانی های نرم افزاری
مانیتور و اصلاح تنظیمات compliance
مانیتور دارایی های نرم افزاری و سخت افزاری
مدیریت مصرف power روی کلاینت ها
مانیتور استفاده از نرم افزار ها
تولید پروفایل های مختلف برای دسترسی Remote به منابع سازمانی
مدیریت از راه دور
این راهکار اطلاعات جمع آوری شده را روی یک Microsoft SQL database نگه داری می کند. همچنین با Microsoft SQL Server Reporting Services (SSRS) برای تولید گزارش و خدمات شبکه مانیتور کردن فعالیت های مدیریتی یکپارچه است. بسیاری از Site System Role های System Center Configuration Manager با IIS برای فراهم آوردن قابلیت های مدیریتی تحت وب یکپارچه است. Background Intelligent Transfer Service (BITS) و BranchCache کمک می کنند تا مدیریت پهنای باند صورت گیرد. System Center Configuration Manager با Active Directory Domain Services یکپارچه شده است و برای مکانیزم های امنیتی، یافتن سرویس ها، کاربران و دیوایس ها از آن بهره می برد. علاوه بر این موارد؛ امکان یکپارچه سازی با سرویس های زیر وجود دارد:

Windows Server Update Services (WSUS), Network Access Protection (NAP), Certificate Services, Exchange Server, Exchange Online, Group Policy, DNS Server, Windows Automated Installation Kit (Windows AIK), User State Migration Tool (USMT), Windows Deployment Services (WDS), Remote Desktop and Remote Assistance.

همچنین با استفاده از یکپارچگی با Intel AMT امکان مدیریت کامپیوتر ها به صورت غیر وابسته به Configuration Manager Client امکان شده است. Configuration Manager دارای سیستم پیشرفته مدیریت دسترسی کاربران می باشد که از دو فاکتور Scope و وظایف، حقوق کاربران Configuration Manager معین می گردد.

۱- سایت ها
معماری Configuration Manager جهت مقیاس پذیری، یک معماری سلسله مراتبی می باشد. به صورتی کلی یکی از رهیافت های زیر در طراحی سایت ها امکان پذیر است:

یک سایت اصلی (Primary Site)
یک سایت اصلی و چند سایت ثانویه (Secondary Site)
سایت مرکزی مدیریت و وجود چند سایت اصلی. هر سایت اصلی می تواند شامل سایت های سایت های ثانویه باشد.
این معماری پیشرفته سبب می گردد System Center Configuration Manager برای سازمان ها با ابعاد گوناگون یک راهکار با توجیه اقتصادی و از سوی دیگر منعطف بدل گردد. در هر سایت برای پشتیبانی شبکه از اعمال مدیریتی، لازم است Site System Role های مختلف بر حسب نیاز آن سایت راه اندازی شبکه شود. برخی از Site System Role ها نیاز دارند تا فقط یک instance از آن ها روی ساختار سلسله مراتبی راه اندازی گردد (همانند End Point Protection) از سوی دیگر برخی از Site System Role ها شامل Application Catalog web service point لازم است در هر سایتی که نیازمند دریافت سرویس از آن هستند راه اندازی گردند. در نهایت برخی از Site System role ها امکان نصب چند instance در یک سایت را دارند همانند distribution point. به عنوان مثال؛ در Central Administration site می توان Site System role هایی را نصب کرد که جهت مانیتورینگ تمام ساختار سلسله مراتبی Configuration Manager مفید است همانند Reporting Services Point و یا می توان Site System هایی را که به تمام ساختار سلسله مراتبی سرویس می دهند را راه اندازی کرد همانند Endpoint protection point. همچنین برای فراهم آوردن synchronization بین Software Update point های مختلف، لازم است روی central administration وجود داشته باشد. لازم Primary site ها دارای Management Point و یا در صورت لزوم Software Update Point ها جهت سرویس دهی به کلاینت ها باشند. در بیشتر سناریو ها Secondary Site ها دارای Site System Role های کمتری در مقایسه با سایر سایت ها اند.

Site System role های اصلی عبارت اند از:

Site system role توضیحات
Site server اجرای وظایف core
Site database server ذخیره سازی اطلاعات
Component server ارائه سرویس Configuration Manager به کلاینت ها
Management point فراهم آوردن سیاست ها و تنظیمات برای کلاینت ها و دریافت اطلاعات از کلاینت ها
Distribution point این رول شامل فایل های منبع نرم افزار ها و سیستم عامل ها و… است که کلاینت ها می توانند آن ها را دریافت کنند.
Reporting services point این site system role امکان گزارش گیری و تولید گزارش را با یکپارچه شدن با SQL Server Reporting Services ایجاد می کند.

و Site System role های جانبی عبارت اند از:

Site system role توضیحات
Application Catalog web service point یک سایت سیستم رول که اطلاعات نرم افزاری را به وب سایت کاتالوگ اپلیکیشن ها از کتابخانه ی نرم افزار ها وارد می سازد.
Application Catalog website point فراهم آوردن لیست نرم افزار های موجود برای کاربران از کاتالوگ اپلیکیشن ها
Asset Intelligence synchronization point اتصال به نقطه سرویس مایکروسافت جهت دانلود کاتالوگ Asset Intelligence و آپلود عناوین دسته بندی نشده
Certificate registration point این Site System که به یک سرور Network Device Enrollment Service متصل است، برای مدیریت درخواست های دیوایس هایی که از Simple Certificate Enrollment Protocol (SCEP) استفاده می کنند به کار گرفته می شود.
Endpoint Protection point تنظیمات کلاینت ها برای Microsoft Active Protection Service
Enrollment point امکان enroll کردن دیوایس های موبایل با استفاده از زیرساخت کلید عمومی
Enrollment proxy point مدیریت enrollment ها از دیوایس های موبایل
Fallback status point یافتن کلاینت هایی که unmanaged مانده اند به دلیل آنکه نتوانسته اند به management point متصل شوند.
Out of band service point مدیریت سیستم های Intel AMT-based
Software update point یکپارچگی با WSUS برای فراهم آوردن سرویس به روز رسانی های نرم افزاری
State migration point این سایت سیستم اطلاعات user state را برای زمانی که کاربر به یک سیستم عامل جدید مهاجرت می کند نگه داری می کند.
System Health Validator point تصدیق سیاست های Network Access Protection (NAP) توسط این سایت سیستم صورت می گیرد و لازم است روی یک NAP health policy server راه اندازی گردد.
Windows Intune connector با استفاده از Windows Intune امکان مدیریت دستگاه های mobile از طریق کنسول Configuration Manager ایجاد می گردد.[SCCM Site System Roles]SCCM Site System Roles

۲- کلاینت ها
کلاینت های System Center Configuration Manager شامل کامپیوتر ها، لپ تاپ ها، سرور ها و دستگاه های موبایل است که نرم افزار System Center Configuration Manager Client را نصب کرده اند لذا امکان مدیریت روی آن ها حاصل شده است. متد های گسترده ای برای نصب نرم افزار کلاینت در دسترس است این موارد شامل client push installation، software update-based installation، Group Policy و نصب دستی است. Configuration Manager برای دسته بندی دیوایس ها و اعمال مدیریت روی آن ها از کالکشن ها (Collection) استفاده می کند. علاوه بر Collection ها برای دیوایس ها، Collection ها بر اساس کاربران هم در دسترس است. با استفاده از Collection های برای Active Directory Users این امکان حاصل می گردد تا مدیریت های متداول بر اساس کاربران صورت پذیرد. به عنوان مثال نصب یک نرم افزار روی تمام کامیپوتر هایی که گروهی از کاربران معین روی آن logon می کنند. این نرم افزار که برای دسترسی به آن کافی است به Control Panel مراجعه شود، بیشتر در خدمت پشتیبانی سازمان ها است تا کاربران نهایی.
علارقم آنکه برای تحت مدیریت قرار گرفتن به صورت کامل نرم افزار کلاینت لازم است، System Center Configuration Manager به صورت محدود می تواند برخی از قابلیت های خود را برای دیوایس های فاقد نرم افزار کلاینت فراهم کند. با استفاده از Intel Active Management Technology (AMT) و یا دستگاهی به Exchange service متصل هستند این امکان برای سایر دیوایس ها فراهم می گردد.

۳- کالکشن ها
Collection دسته هایی از منابع سازمانی است که جهت مدیریت روی آن منابع ایجاد می گردند. استفاده از Collection ها سبب می گردد که یک ساختار منطقی بر اساس نوع عملیات مورد انجام ایجاد گردد. بیشتر وظایف مدیریتی به بیش از یک Collection نیازمند است. در اغلب سناریو ها لازم است، در پیاده سازی SCCM علاوه بر تکیه بر Built-in Collection از Custom Collection بر اساس معماری سازمان بهره گرفته شود. عضویت منابع در collection ها بر اساس rule هایی تنظیم می گردد که می تواند به صورت ثابت و یا پویا باشند. در Direct Rules این قوانین به صورت ثابت اعمال شده و عضویت ها در collection به صورت خودکار تغییر نخواهد کرد مگر با حذف آن منبع معین از Configuration Manager. با استفاده از Query Rule ها، Collection ها کاملا پویا و منعطف بوده و با تغییرات سازمان به صورت خودکار به روز می گردند. از سوی دیگر با استفاده از Incremental Collection Update امکان اسکن کردن در بازه های زمانی معین جهت منابعی که از زمان اسکن قبلی دچار تغییر شده اند ایجاد می گردد. به صورت پیش فرض، هر ۱۰ دقیقه یک بار این عملیات صورت می گیرد. توجه گردد قابلیت Incremental Collection Updateبه صورت پیش فرض غیر فعال است.

۴- امنیت
راهکار System Center Configuration Manager شامل یک معماری امنیتی چند لایه ای است و در سطح ابتدایی آن سرویس های متداول ویندوز قرار دارد شامل:

File Sharing برای انتقال فایل بین مولفه های مختلف SCCM
ACL
IPsec برای ایمن سازی ارتباطات
Group Policy جهت اعمال تنظیمات امنیتی
DCOM permissions برای نرم افزار های توزیع شده همانند کنسول SCCM
AD DS برای ذخیره مولفه های امنیتی
Windows Account Security شامل گروه هایی که در زمان راه اندازی سرویس ایجاد می گردند
علاوه بر مولفه های فوق، مولفه هایی همانند firewall و IDS/IPS می تواند سبب فراهم آوردن استراتژی های دفاع در عمق در معماری های امنیتی سازمانی گردند و در نتیجه آن، محیط اجرایی SCCM را امن تر سازد. استفاده از زیرساخت PKIs برای رمزنگاری و تشخیص هویت فاکتوری قابل توجه در امنیت SCCM است. لایه بعدی امنیتی، بر اساس Windows Management Instrumentation (WMI) و به طور خاص SMS Provide صورت می گیرد. در نهایت بر اساس Permission های موجود روی اشیاء در پایگاه داده سایت، که امکان مدیریت دسترسی های کاربران مختلف به اشیاء را حاصل می کند. این سرویس پیشرفته برای مدیریت دسترسی ها از یک سیستم Role-Based استفاده می کند. به این صورت، به صورت مرکزی دسترسی ها برای تمام ساختار سلسله مراتبی معین شده و به ساده ترین روش ممکن دسترسی ها بر اساس وظایف و حوزه وظیفه معین می گردد. ابتدا Security role ها به کاربران مدیریت تخصیص می یابد و سپس حوزه (Scope) مدیریت آن ها معین می گردد.


ارتباطات بین Client و Site System ها با استفاده از Certificate های self-signed یا با بهره گرفتن از PKI ایمن تر می شوند. Site System ها می تواند برای HTTP و HTTPS تنظیم گردند و به صورت پیش فرض کلاینت به امن ترین روش امکان پذیر متصل می گردد و فقط زمانی که از HTTP استفاده می کند که در Site System مجوز استفاده از HTTP وجود داشته باشد. برخی از وظایف مدیریت در SCCM نیاز به ایجاد و نگه داری اکانت های کاربری به غیر از اکانت Local System که به صورت پیش فرض از آن استفاده می شود دارند. تعداد قابل توجهی گروه پیش فرض و role های SQL Server در زمان نصب سرویس ایجاد می گردند با این وجود ممکن است لازم باشد به صورت دستی اکانت هایی به این گروه ها و role های پیش فرض تخصیص یابد.

۵- حریم شخصی
با آنکه محصولات مانیتورینگ و مدیریتی گسترده، مزایای بسیاری را ایجاد می کنند، ممکن است حریم شخصی کاربران نهایی را تحت تاثیر قرار دهند.

 

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد