25、配置管理器进阶：从基础到高级应用

配置管理器进阶：从基础到高级应用

1. 配置管理器安全实验室实践

在配置管理器（ConfigMgr）的管理中，安全角色和权限的正确分配至关重要。作为完全管理员，在为安全范围分配可保护对象时，容易出现疏忽，导致某些重要对象未被正确分配权限。为了避免这种情况，我们可以通过以下实验室实践来加深理解：
1. 创建新的安全角色 ：基于内置的操作系统部署管理器和软件更新管理器角色，创建两个新的安全角色。
2. 创建AD组 ：在Active Directory中创建两个新组，分别为“ConfigMgr OSD Managers – Desktops”并分配用户Marcus，以及“ConfigMgr Software Update Managers – Desktops”并分配用户Mathilda。
3. 创建管理用户 ：在ConfigMgr中为每个组创建新的管理用户，并进行如下限制：
- 范围：MoL – Desktops
- 集合：All Windows Workstation Clients和All Users and User Groups
4. 设置安全范围 ：在软件库的软件更新和操作系统部分，将每个可保护项的安全范围设置为MoL – Desktops。
5. 用户操作测试 ：以每个用户身份登录控制台并进行操作，如创建新的软件更新组、修改现有组、尝试编辑现有操作系统任务序列以及尝试向客户端部署内容。用户Mathilda将能够与软件更新进行交互，但无法操作操作系统相关内容；而用户Marcus则相反。

这个实验室实践有助于我们更好地理解安全权限的分配，避免因疏忽导致的权限问题。

2. 高级配置管理器项目

我们已经创建的实验室环境为进一步探索更高级的ConfigMgr功能奠定了基础。以下是一些值得尝试的高级项目：

2.1 扩展基础设施

当前的实验室环境相对简单，仅由一台服务器为一个IP子网提供服务。在更复杂的环境中，可能存在多个地理区域的不同子网，需要专门的ConfigMgr服务。可以通过以下步骤扩展实验室环境：
1. 准备服务器 ：配置另一台加入域的Windows Server实例。
2. 安装角色 ：使用ConfigMgr控制台在远程服务器上安装分发点角色。
3. 分发内容 ：仅将某些内容分发到远程分发点，并确保受管理的客户端能够访问这些内容。

2.2 使用HTTPS

在实验室环境中，ConfigMgr的服务器角色通常使用未加密的HTTP进行通信。但在某些情况下，需要使用HTTPS，这需要内部证书颁发机构颁发的SSL证书。可以按以下步骤在ConfigMgr环境中启用HTTPS：
1. 准备证书颁发机构 ：DC01已经安装了必要的Active Directory证书服务角色，可作为证书颁发机构使用。
2. 获取证书创建指南 ：阅读TechNet上的逐步指南（https://technet.microsoft.com/en-us/library/gg682023.aspx），了解创建支持ConfigMgr所需证书的方法。
3. 配置证书 ：将正确的证书添加到CM01的IIS服务器和分发点角色中，并使用站点配置的客户端计算机通信设置来配置HTTPS通信。
4. 部署客户端证书 ：将客户端证书部署到受管理的客户端（如CLIENT01），重启ConfigMgr客户端，然后检查属性以确保客户端现在使用PKI证书（HTTPS）进行通信。

2.3 云分发点

如果不想在本地环境中添加另一个分发点，可以考虑在云中部署。ConfigMgr可以与Microsoft Azure订阅进行交互，为受管理的客户端提供云分发点。具体步骤如下：
1. 注册Azure订阅 ：在https://azure.microsoft.com上注册试用Azure订阅。
2. 创建云分发点 ：使用ConfigMgr控制台的管理 - 云服务 - 云分发点选项，在Azure试用环境中创建云分发点。
3. 分发应用内容 ：创建一个小负载的应用程序（如7 - Zip），并将内容分发到云分发点。
4. 启用客户端设置 ：启用客户端设置，允许客户端从云分发点访问内容。
5. 监控日志 ：监控客户端上的DataTransferService.log文件，确保内容正在从Azure下载。

2.4 数据库管理

ConfigMgr数据库非常敏感，如果数据库出现问题，可能会导致各种故障。数据库管理责任可能由专门的DBA团队承担，但如果没有，就需要自己进行管理。可以采取以下步骤：
1. 配置维护脚本 ：获取Ola Hallengren的最新MaintenanceSolution.sql脚本（https://ola.hallengren.com/），并在ConfigMgr数据库服务器上进行配置，同时配置IndexOptimize、DatabaseIntegrityCheck和DatabaseBackup作业。
2. 使用工具包 ：注册Brent Ozar的First Responder Kit（www.brentozar.com/first - aid/），并查看其中的内容，特别是sp_Blitz工具，这些工具可以帮助我们更好地管理数据库。

2.5 高级客户端配置

ConfigMgr允许对受管理的客户端进行细粒度配置，例如部署证书配置文件、Wi - Fi配置文件和VPN配置文件，使客户端能够连接到企业网络。如果有足够的勇气，可以尝试在实验室中设置网络设备注册服务（NDES）和VPN，并使用ConfigMgr部署这些配置文件。详细信息可参考TechNet文章（https://technet.microsoft.com/en - au/library/dn261205.aspx）。

3. 从社区学习

ConfigMgr社区有许多优秀的资源，以下是一些值得关注的核心资源：
- www.jamesbannanit.com ：这里会提供相关内容的更新、配套视频、脚本更改的博客文章以及Git链接。
- http://deploymentresearch.com ：Johan Arwidmark在此博客上分享关于Windows部署和MDT的深入信息，在设置实验室环境时我们已经使用过他的一些内容。
- www.windows - noob.com ：Niall Brady撰写了一些关于ConfigMgr的最佳操作指南，对于Windows部署方面的知识非常精通。
- http://blog.configmgrftw.com ：Jason Sandys提供了丰富的资源，可用于优化ConfigMgr环境。
- http://deploymentbunny.com ：Mikael Nystrom的博客是高级部署场景和PowerShell的优秀资源。
- http://blog.coretech.dk ：丹麦的Coretech公司拥有众多MVP，他们分享了关于ConfigMgr和PowerShell的精彩博客内容。

不要犹豫与ConfigMgr社区的个人进行交流，他们都活跃在社交媒体上，乐于提供建议或介绍相关的专业人士。

4. 其他关键知识点总结

在ConfigMgr的使用过程中，还有许多其他重要的知识点：

4.1 集合管理

• 创建集合 ：可以创建设备集合和用户集合，创建过程涉及定义成员资格规则，如直接成员资格、包含集合、排除集合和基于查询的成员资格。
• 集合更新 ：可以定期更新集合，包括全量更新和增量更新。
• 文件夹使用 ：使用文件夹来组织集合，方便管理和查找。可以创建、编辑和删除文件夹。

4.2 客户端配置

• 探索客户端设置 ：了解默认客户端设置，并在需要时进行更改。可以创建自定义的设备和用户设置，并将其部署到客户端。
• 强制策略更新 ：可以通过控制台或本地客户端强制客户端更新策略。

4.3 内容管理

• 内容分发 ：将内容分发到分发点，确保客户端能够访问所需的内容。
• 内容验证 ：验证内容的完整性，可自动化此过程，及时发现验证过程中的错误。

4.4 部署应用和Windows

• 应用部署 ：可以将应用部署到设备和用户，包括创建应用、定义部署类型、分发内容和安装应用等步骤。
• Windows部署 ：涉及创建新的客户端系统、自定义部署任务序列、安装Windows、集成MDT等过程。

4.5 环境问题

需要关注一些环境问题，如Active Directory配置、管理权限、磁盘空间、域名解析和互联网访问等，这些问题可能会影响ConfigMgr的正常运行。

通过不断学习和实践这些高级项目和知识点，我们可以逐步成为ConfigMgr的专家。

配置管理器进阶：从基础到高级应用

5. 详细操作流程与图表展示

5.1 集合创建与管理流程

创建集合是ConfigMgr管理中的重要环节，以下是详细的操作流程：
1. 选择集合类型 ：确定是创建设备集合还是用户集合。
2. 定义成员资格规则 ：
- 直接成员资格 ：手动添加成员。
- 包含集合 ：将其他集合的成员包含进来。
- 排除集合 ：从现有集合中排除某些成员。
- 基于查询的成员资格 ：通过编写查询语句来确定成员。
3. 设置集合更新方式 ：可以选择全量更新或增量更新。
4. 使用文件夹组织集合 ：创建、编辑或删除文件夹，方便管理。

下面是一个集合创建与管理的mermaid流程图：

graph LR
    A[开始] --> B[选择集合类型]
    B --> C{定义成员资格规则}
    C --> C1[直接成员资格]
    C --> C2[包含集合]
    C --> C3[排除集合]
    C --> C4[基于查询的成员资格]
    C1 --> D[设置集合更新方式]
    C2 --> D
    C3 --> D
    C4 --> D
    D --> E[使用文件夹组织集合]
    E --> F[结束]

5.2 客户端配置流程

客户端配置对于确保客户端正常运行至关重要，其操作流程如下：
1. 探索默认客户端设置 ：了解默认设置的内容和作用。
2. 创建自定义设置 ：根据需求创建自定义的设备和用户设置。
3. 部署自定义设置 ：将自定义设置部署到客户端。
4. 验证部署结果 ：检查客户端是否应用了新的设置。
5. 强制策略更新 ：在必要时，通过控制台或本地客户端强制客户端更新策略。

以下是客户端配置流程的表格展示：
|步骤|操作内容|
| ---- | ---- |
|1|探索默认客户端设置|
|2|创建自定义设备和用户设置|
|3|部署自定义设置到客户端|
|4|验证部署结果|
|5|强制策略更新|

6. 代码与脚本示例

6.1 数据库维护脚本配置

在数据库管理部分，配置Ola Hallengren的MaintenanceSolution.sql脚本是关键步骤。以下是大致的操作步骤：
1. 下载脚本 ：从https://ola.hallengren.com/下载最新的MaintenanceSolution.sql脚本。
2. 执行脚本 ：在ConfigMgr数据库服务器上执行脚本，创建必要的存储过程和作业。
3. 配置作业 ：配置IndexOptimize、DatabaseIntegrityCheck和DatabaseBackup作业，确保数据库的正常维护。

以下是一个简单的示例代码，用于执行IndexOptimize作业：

EXECUTE dbo.IndexOptimize
@Databases = 'ConfigMgrDB',
@FragmentationLow = NULL,
@FragmentationMedium = 'INDEX_REORGANIZE,INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE',
@FragmentationHigh = 'INDEX_REBUILD_ONLINE,INDEX_REBUILD_OFFLINE',
@FragmentationLevel1 = 5,
@FragmentationLevel2 = 30;

6.2 客户端策略更新脚本

在客户端配置中，有时需要通过脚本强制客户端更新策略。以下是一个使用PowerShell脚本强制客户端更新策略的示例：

# 强制客户端更新策略
Invoke-WmiMethod -Namespace root\ccm -Class SMS_Client -Name RequestMachinePolicy -ComputerName "CLIENT01"

7. 总结与展望

通过对ConfigMgr安全实验室实践、高级项目、社区学习以及各种关键知识点的深入探讨，我们对ConfigMgr的使用有了更全面的认识。从安全权限的分配到数据库管理，从客户端配置到应用和Windows的部署，每个环节都相互关联，共同构成了ConfigMgr的管理体系。

在未来的学习和实践中，我们可以进一步深入研究这些高级项目和知识点，结合实际环境进行优化和改进。同时，积极参与ConfigMgr社区，与其他专业人士交流经验，不断提升自己的技能水平，最终成为ConfigMgr领域的专家，为企业的信息化建设提供更有力的支持。

总之，ConfigMgr的学习是一个不断探索和实践的过程，只有不断积累和总结，才能在这个领域取得更好的成绩。