Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
- Herausgeber: Carl Hanser Verlag GmbH & Co. KG
- Kategorie: Wissenschaft und neue Technologien
- Sprache: Deutsch
- Veröffentlichungsjahr: 2018
Der schnelle Einstieg in die automatisierte Bereitstellung und Verwaltung von Anwendungen und Geräten im Unternehmen
Netzwerk-Spezialist Thomas Joos bietet Ihnen in diesem Buch einen übersichtlichen Einstieg in die Arbeit mit System Center Configuration Manager (SCCM). Lernen Sie, wie Sie in zunehmend komplexeren Netzwerken mit SSCM Ihre Server- und Client-Computer effizient verwalten, Betriebssysteme installieren und Software-Patches bereitstellen.
Nach der Lektüre des Buches können Sie Pakete professionell erstellen und verteilen sowie Verwaltungsaufgaben durchführen. Lernen Sie auch, wie Sie eine SCCM-Umgebung planen und mit Endpoint Protection absichern. Der Schwerpunkt liegt immer auf dem praktischen Einsatz. Profitieren Sie von zahlreichen Tipps, den Anleitungen zur Fehlerbehebung und den Hinweisen, welche Zusatzwerkzeuge Sie am besten nutzen.
AUS DEM INHALT
• Erste Schritte
• Betriebssysteme bereitstellen und verwalten
• Updates mit WSUS verteilen
• Anwendungen bereitstellen
• SCCM-Umgebung planen
• Standorte und Hierarchien konfigurieren
• Clients verwalten und inventarisieren
• SSCM mit Endpoint Protection absichern
• Weiterführende Links
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 212
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Ähnliche
Thomas Joos
Microsoft System Center Configuration Manager Current Branch
Der schnelle Einstieg in die automatisierte Client- und Serververwaltung von Windows-Netzwerken
Der Autor:
Thomas Joos, Bad Wimpfenthomasjoos.wordpress.com
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht.
Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen und MarkenschutzGesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information der Deutschen Nationalbibliothek: Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) – auch nicht für Zwecke der Unterrichtsgestaltung – reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
© 2018 Carl Hanser Verlag Münchenwww.hanser-fachbuch.de
Lektorat: Sylvia Hasselbach Copy editing: Sandra Gottmann, Münster-Nienberge Umschlagdesign: Marc Müller-Bremer, München, www.rebranding.de Umschlagrealisation: Stephan Rönigk Gesamtherstellung: Kösel, Krugzell
ISBN 978-3-446-45058-5 E-Book ISBN 978-3-446-45249-7
Verwendete Schriften: SourceSansPro und SourceCodePro (Lizenz) CSS-Version: 1.0
Inhalt
Titelei
Impressum
Inhalt
Vorwort
1 SCCM Current Branch kennenlernen und vorbereiten
1.1 Einführung in System Center Configuration Manager
1.1.1 Grundlagen zu SCCM
1.1.2 Anwendungskatalog, Softwarecenter und Unternehmensportal
1.1.3 Neuerungen im Vergleich zu SCCM 2012/2012 R2
1.1.4 Neuerungen in SCCM 1710
1.1.5 Verschiedene Configuration Manager-Branches
1.2 Netzwerk für SCCM Current Branch vorbereiten
1.2.1 Active Directory für SCCM vorbereiten
1.2.2 Neuen Container zur Verwaltung anlegen
1.2.3 Active Directory-Schema für SCCM erweitern
1.2.4 Gruppenrichtlinien für Firewalleinstellungen im SCCM-Netzwerk konfigurieren und testen
1.3 Benutzerkonten anlegen und weitere Vorbereitungen durchführen
1.3.1 Notwendige Benutzerkonten für SCCM anlegen
1.3.2 WSUS im SCCM-Netzwerk verwenden
1.4 SCCM-Server für die Installation vorbereiten
1.4.1 Notwendige Serverrollen für SCCM installieren
1.4.2 Windows ADK installieren
1.5 Datenbankserver für SCCM installieren und einrichten
1.5.1 Neuen Datenbankserver installieren
1.5.2 Installierte Datenbankserver für SCCM anpassen
1.5.3 SQL-Verbindung zwischen SCCM und SQL verstehen
1.5.4 Portfreigaben und Firewallregeln definieren
1.5.5 Einstellungen für SQL Server anpassen
2 SCCM Current Branch installieren und einrichten
2.1 Voraussetzungen für SCCM prüfen
2.1.1 Voraussetzungen für Systemrollen überprüfen
2.1.2 Voraussetzungsüberprüfung erweitert nutzen und skripten
2.2 System Center Configuration Manager installieren
2.2.1 Voraussetzungen für SCCM herunterladen
2.2.2 Installation von SCCM durchführen
2.2.3 Fehler beheben
2.2.4 Unbeaufsichtigte Installation von SCCM
2.2.5 Optionen für die Installation von SCCM in der Eingabeaufforderung
2.2.6 Installieren eines sekundären Standorts
2.3 Updates und neue Versionen für SCCM Current Branch installieren
2.3.1 Update zu SCCM Build 1710/18xx starten
2.3.2 Installation von Updates überwachen
2.3.3 Updates bei Problemen deinstallieren und Installationsprobleme beheben
2.3.4 Configuration Manager Trace Log Tool nutzen
2.3.5 Aufgaben nach der Installation von Updates
2.3.6 SCCM-Clients aktualisieren
2.4 Ermittlungsmethoden, Grenzen und Begrenzungsgruppen konfigurieren
2.4.1 Konfigurieren der Ermittlungsmethoden zum Anbinden von Clients
2.4.2 Verwalten der Standorte und angebundener Active Directory-Gesamtstrukturen
2.4.3 Begrenzungsgruppen definieren
2.5 Notwendige SCCM-Systemrollen zuweisen
2.6 Mit Richtlinien Clienteinstellungen setzen
3 Erste Schritte mit SCCM
3.1 Clients an SCCM anbinden
3.1.1 SCCM-Agent automatisch installieren
3.1.2 Die Installation des SCCM-Agents verwalten
3.1.3 SCCM-Client manuell installieren
3.1.4 Geräte und Gerätesammlungen verwalten
3.1.5 Sammlungen erstellen
3.1.6 Sammlungen für das Bereitstellen von Anwendungen erstellen
3.2 Warnungen im SCCM-Netzwerk
3.3 Selbstwartung in SCCM
3.3.1 Wartungstasks erstellen
3.3.2 SCCM-Konfiguration manuell sichern
4 Betriebssysteme mit SCCM bereitstellen und verwalten
4.1 Betriebssysteme mit SCCM bereitstellen
4.1.1 Voraussetzungen für das Bereitstellen von Betriebssystemen
4.1.2 Bootimages konfigurieren
4.1.3 Treiber in SCCM einbinden
4.2 Mit SCCM eigene Installations-Images für Windows 10 erstellen
4.2.1 Erstellen einer neuen Tasksequenz für die Erfassung eines Images
4.2.2 Quell-PC mit Windows 10 als Image auf dem SCCM-Server speichern
4.3 Windows 10 über SCCM bereitstellen
4.3.1 Betriebssysteme in SCCM einbinden
4.3.2 Zu Windows 10 aktualisieren
4.3.3 Betriebssystem mit Startmedium installieren
4.3.4 Windows Assessment and Deployment Kit (ADK)
4.4 Schneller und sicherer Windows 10 installieren
4.4.1 Automatisierte Installation von Windows 10
4.4.2 Windows 10 aktivieren
4.4.3 ISO-Dateien mit dem Media Creation Tool kostenlos bei Microsoft herunterladen
4.4.4 Microsoft-Tools für die Anpassung nutzen
4.4.5 ISO-Datei mit WinReducer bearbeiten
4.4.6 Eigene Patch-CDs für Windows und Office erstellen
4.5 Windows 10-Wartung mit SCCM
4.5.1 Windows 10-Rechner optimal verwalten
4.5.2 Wartungspläne anpassen
5 Updates über SCCM mit WSUS verteilen
5.1 WSUS mit SCCM verbinden
5.1.1 SCCM an WSUS anbinden
5.1.2 Überwachen der Update-Installation
5.2 Mit Gruppenrichtlinien die Windows 10-Updates steuern
5.2.1 Vorlagen für Gruppenrichtlinien herunterladen
5.2.2 Nicht alle Gruppenrichtlinien sind in Windows 10 Pro verfügbar
5.2.3 Windows 10 Updates mit WSUS bereitstellen
5.2.4 Windows 10 an WSUS anbinden
5.2.5 Microsoft Store ist nur in den Editionen Enterprise und Education deaktivierbar
5.2.6 Updates steuern mit Windows Update for Business
5.2.7 Update-Funktionen effizient nutzen
5.2.8 Datenschutz verbessern
5.2.9 Sicherheitseinstellungen für das Netzwerk steuern
5.2.10 Ordnerzugriff überwachen
5.2.11 Exploit-Schutz per Gruppenrichtlinie steuern
5.2.12 Windows Defender Security Center mit Gruppenrichtlinien steuern
5.2.13 Sprach-Assistent Cortana zügeln
5.3 Skripte in Gruppenrichtlinien nutzen
5.3.1 Anmelde- und Abmeldeskripte für Benutzer und Computer definieren
5.3.2 Klassische Anmeldeskripte weiter nutzen
5.3.3 Skripte in Gruppenrichtlinien integrieren
5.3.4 Skripte kombinieren und parallel ausführen
5.3.5 Einstellungen für Skripte in den Gruppenrichtlinien steuern
5.3.6 Loopbackverarbeitung von Gruppenrichtlinien berücksichtigen
5.3.7 Sicherheitseinstellungen für Skripte in der PowerShell beachten
5.3.8 Fehler mit Group Policy Log beheben
5.3.9 Wichtige Informationen immer im Blick: BGInfo auch in Skripten hinterlegen
6 Anwendungen mit SCCM bereitstellen
6.1 Rollout und die Verwaltung von Office 2016 in Unternehmen
6.1.1 Grundlagen zur Installation
6.1.2 Office mobil auf dem Tablet und Smartphone nutzen
6.1.3 Office Click-to-Run-(C2R-)Setup anpassen
6.1.4 Installationsdateien von Office 365/2016 automatisiert herunterladen und Installation durchführen
6.2 Office 2016 mit SCCM im Netzwerk verteilen
6.2.1 Office Customization Tool in der Praxis
6.2.2 Office 2016 mit SCCM im Netzwerk automatisiert verteilen
6.3 Von Office 2010/2013 zu Office 2016 wechseln
6.3.1 Profileinstellungen und E-Mail-Konten in Outlook 2010/2013/2016 sichern
6.4 Office 2016 mit Richtlinien steuern
6.4.1 Grundlegende Einstellungen für Office 2016
6.4.2 Sicherheitseinstellungen für Office 2016 konfigurieren
6.4.3 Telemetrie mit Office 2016
6.5 Anwendungen bereitstellen
6.5.1 Bereitstellung von Anwendungen simulieren
6.5.2 Anwendungen bereitstellen
6.6 Pakete verteilen
6.6.1 Paketverteilung am Beispiel von .NET Framework
7 SCCM-Umgebung planen
7.1 Grundlagen zum Aufbau einer SCCM-Umgebung
7.1.1 Standorte der zentralen Verwaltung
7.1.2 Eigenständiger primärer Standort
7.1.3 Sekundäre Standorte
7.2 SCCM-Standorte installieren
7.2.1 Grundlagen zum Standortsystemserver
7.2.2 Standortinformationen in Active Directory veröffentlichen
7.3 Eine Standorthierarchie entwerfen
7.3.1 Eigenständige primäre Standorte verwenden
7.3.2 Standort der zentralen Verwaltung definieren
7.3.3 Primäre Standorte verwenden
7.3.4 Sekundäre Standorte verwenden
8 Standorte und Hierarchien konfigurieren
8.1 Standortsystemrollen verwalten
8.1.1 Standortsystemrollen auf neuen Standortsystemserver installieren
8.1.2 Dienstverbindungspunkt in SCCM
8.1.3 Erforderliche Berechtigungen für den Internetzugriff
8.2 Datenbankreplikate für Verwaltungspunkte
8.2.1 Standortdatenbankserver für die Veröffentlichung des Datenbankreplikats vorbereiten
8.2.2 Datenbankreplikatserver konfigurieren
8.2.3 Verwaltungspunkte für die Verwendung des Datenbankreplikats konfigurieren
8.2.4 SQL Server Service Broker konfigurieren
8.3 Standortdaten veröffentlichen
9 Clients verwalten und inventarisieren
9.1 Hardwareinventur in SCCM
9.1.1 Einstieg in die Hardwareinventur
9.1.2 Hardwareinventar mit dem Ressourcen-Explorer anzeigen
9.1.3 Hardwareinventur für Linux
9.2 Softwareinventur nutzen
9.2.1 Softwareinventur konfigurieren
9.2.2 Softwareinventar anzeigen
9.3 Lizenzverwaltung mit SCCM (Asset Intelligence)
9.4 Remotesteuerung nutzen
9.4.1 Remotesteuerung konfigurieren
9.4.2 Remoteverwaltung aktiv nutzen
10 Endpoint Protection mit SCCM
10.1 Endpoint Protection verwalten
10.1.1 Endpoint Protection konfigurieren
10.2 Windows 10 mit Bordmitteln vor Ransomware schützen
10.2.1 Überwachten Ordnerzugriff aktivieren
10.2.2 Überwachten Ordnerzugriff konfigurieren
10.2.3 Grundlagen zum Ransomware-Schutz
10.2.4 Erweiterte Einstellungen für Administratoren und Gruppenrichtlinien festlegen
10.2.5 Exploit-Schutz konfigurieren
10.2.6 Exploit Guard-Richtlinien in SCCM definieren
10.2.7 Vorlagen für Gruppenrichtlinien herunterladen
10.2.8 Windows Defender Security Center mit Gruppenrichtlinien steuern
11 Weiterführende Informationen
11.1 Internetseiten von Microsoft zum Thema SCCM
11.2 Schritt-für-Schritt-Anleitungen
11.3 Deutsche Internetseiten für SCCM
11.4 YouTube-Videos zu SCCM
Liebe Leserin, lieber Leser,
dieses Buch soll Ihnen einen einfachen und leichten Einstieg in System Center Configuration Manager (SCCM) bieten. Die jeweiligen Erläuterungen beziehen sich dabei auf SCCM 2016 sowie die aktuelle Version mit der Bezeichnung SCCM Current Branch. In diesem Buch werden bewusst nicht alle Funktionen von SCCM in vollem Umfang behandelt. SCCM bietet so viele Möglichkeiten, dass sich der gesamte Leistungsumfang dieser Software kaum in einem einzigen Buch behandeln lässt.
Mit dem vorliegenden Buch erhalten Sie einen ersten Einstieg in SCCM und lernen, wie Sie die Software installieren und an Ihre Anforderungen anpassen. Zusätzlich erfahren Sie, wie Betriebssysteme sowie Software verteilt werden und eventuell auftretende Probleme zu lösen sind. Das hier erlangte Wissen bildet die Basis, um tiefer in die Materie einzusteigen.
In den verschiedenen Kapiteln dieses Buchs erfahren Sie außerdem, wie Sie Windows 10 und die jeweils aktuelle Microsoft Office-Version sowie weitere in Ihrem Unternehmen eingesetzte Programme mit SCCM im Netzwerk verteilen können. Auch die Verteilung von Updates, die Verwaltung von angebundenen Clients und vieles mehr sind Bestandteil des Buchs.
Abgerundet wird dieses Buch mit Hinweisen zu Quellen für weiterführende Informationen und Anleitungen zu SCCM.
Thomas Joos
Bad Wimpfen, Hof Erbach, im Mai 2018.
System Center Configuration Manager (SCCM Current Branch) erfordert einige Vorbereitungen für die Integration im Netzwerk. In diesem Kapitel erfahren Sie, welche Aktionen Sie durchführen müssen, um SCCM optimal im Netzwerk zu integrieren. Dazu sind einige Vorbereitungen in Active Directory notwendig.
SCCM Current Branch unterstützt Administratoren bei der Verwaltung von lokalen Geräten im Netzwerk, aber auch von mobilen Geräten und Geräten, die mit der Cloud verbunden sind. Mit SCCM können Sie vor allem Anwendungen und Betriebssysteme automatisiert im Netzwerk bereitstellen, konfigurieren und bei Bedarf wieder entfernen.
SCCM arbeitet eng mit Active Directory zusammen und muss in einem vorhandenen Active Directory installiert werden. Zusätzlich stellt SCCM seine Funktionen durch die Zusammenarbeit mit anderen Serverdiensten optimal zur Verfügung:
Microsoft Intune zur Verwaltung von mobilen Geräten
Windows Server Update Services (WSUS) zur Verwaltung von Softwareupdates
Windows Automated Deployment Kit (Windows ADK) und Migrationstool für den Benutzerstatus (USMT) zur automatischen Bereitstellung von Windows
Windows-Bereitstellungsdienste (WDS)
Remotedesktop und Remoteunterstützung
Durch die Integration in SQL Server Reporting Services (SSRS) lassen sich auch Berichte zur Überwachung und Nachverfolgung erstellen. Über die zentrale Konsole können Sie weitere Konsolen starten, die bestimmte Aufgaben zur Clientverwaltung bieten:
Ressourcen-Explorer: Anzeige von Informationen zur Hardware- und Softwareinventur
Remotesteuerung: Herstellen einer Remoteverbindung mit einem Clientcomputer
Sie können die Configuration Manager-Konsole auch auf Computern installieren, auf denen keine anderen Systemrollen von SCCM installiert sind.
Bild 1.1In SCCM verwalten Sie Geräte im Netzwerk und können auch eine Inventarisierung durchführen.
Der Anwendungskatalog ist eine Website, über die Benutzer nach Software suchen und diese bei SCCM anfordern können.
Beim Softwarecenter handelt es sich um eine Anwendung, die bei der Installation des Configuration Manager-Clients installiert wird. Benutzer verwenden das Softwarecenter, um Software anzufordern und die Software zu verwalten, die ihnen vom Konfigurations-Manager zur Verfügung gestellt wird.
Bild 1.2Das Softwarecenter ist die Schnittstelle zwischen dem SCCM-Server und den Anwendern.
Das Unternehmensportal ist eine Website, die wie der Anwendungskatalog funktioniert, aber für mobile Geräte optimiert ist, die wiederum mit Microsoft Intune verbunden sind.
System Center Configuration Manager trägt in der aktuellen Version keine Jahreszahl mehr im Namen, sondern eine Buildnummer. Die offizielle Bezeichnung lautet daher SCCM Current Branch und nicht SCCM 2016.
Die erste Buildnummer war 1511, veröffentlicht im Dezember 2015. Current Branch bedeutet, dass es sich um eine Version handelt, die ständig weiterentwickelt wird. Dieses Buch ist auf Basis von Build 1710 entstanden.
Bild 1.3Updates lassen sich in SCCM direkt in der Konsole installieren.
Microsoft veröffentlicht mehrmals jährlich Updates mit neuen Funktionen für SCCM. Baseline-Versionen werden zur Installation eines neuen System Center Configuration Manager-Standorts und einer neuen Hierarchie verwendet. Dabei handelt es sich um spezielle Versionen, die Microsoft als Baseline definiert, zum Beispiel Build 1511 oder 1702. Die Updates werden über die SCCM-Konsole durchgeführt. Wie das funktioniert, lesen Sie in Kapitel 2. Eine Updateversion wird in regelmäßigen Abständen als neue Baseline-Version veröffentlicht.
Der Microsoft Intune-Connector wird durch die Standortsystemrolle Dienstverbindungspunkt ersetzt. Die Systemrolle dient als Kontaktpunkt für Geräte und ist für die Updates von SCCM in der Konsole zuständig. Mehr dazu lesen Sie in Kapitel 2.
Sie können in SCCM Current Branch eine Präproduktionssammlung einrichten, in der ein neuer Client als Pilot getestet wird. Aus dieser Sammlung kann der Client in der Umgebung bereitgestellt werden.
Eine weitere Neuerung ist die Möglichkeit, Tasksequenzen zu erstellen, mit denen Sie Betriebssysteme zu Windows 10 aktualisieren können (siehe Kapitel 4).
Sie können in SCCM Current Branch den Zustand von Windows as a Service (WaaS) in der Umgebung anzeigen und Wartungspläne erstellen. Diese können Bereitstellungsringe bilden und so sicherstellen, dass Rechner mit Windows 10 Current Branch auf dem neuesten Stand gehalten werden, wenn neue Builds veröffentlicht werden.
System Center Configuration Manager ermöglicht das Bereitstellen von Apps für die Universelle Windows-Plattform (UWP) für Geräte mit Windows 10. Das Softwarecenter wurde ebenfalls modernisiert. Bereitstellungen sind leichter auffindbar als bei SCCM 2012/2012 R2. Außerdem ist kein Browser mit Silverlight-Unterstützung mehr erforderlich.
Bild 1.4Für Windows 10-Rechner lassen sich eigene Einstellungen definieren.
Wenn Sie eine Anwendung für eine unternehmensinterne iOS-App bereitstellen, müssen Sie nur die Installationsdatei (.ipa) für die App angeben. In System Center Configuration Manager Current Branch können Sie in der Configuration Manager-Konsole den Store nach Apps durchsuchen.
System Center Configuration Manager erkennt Unterschiede zwischen den Methoden der Softwareupdateverwaltung für Computer. Dadurch kann Windows Update for Business (WUfB) verwendet werden, und SCCM kann erkennen, ob ein Computer für die Verwaltung von Softwareupdates mit Windows Server Update Services (WSUS) verbunden ist. Das UseWUServer-Attribut gibt an, ob der Computer mit WUfB verwaltet wird. Sie können diese Einstellung in einer Sammlung verwenden, um diese Computer aus der Verwaltung von Softwareupdates zu entfernen.
Bild 1.5Windows Update for Business kann in SCCM ebenfalls gesteuert werden.
Sie können die WSUS-Bereinigungsaufgabe über die Configuration Manager-Konsole ausführen. Wenn Sie in den Eigenschaften des Softwareupdatepunkts die Ausführung der WSUS-Bereinigungsaufgabe aktivieren, wird sie bei der nächsten Synchronisierung von Softwareupdates ausgeführt.
Das Build 1710 für System Center Configuration Manager (Current Branch) ist als Update für installierte Standorte verfügbar, die eine der Builds 1610, 1702 oder 1706 nutzen.
Sie können ab Build 1710 cloudbasierte Verteilungspunkte in der Azure Government Cloud nutzen. Ab Build 1710 können Sie Windows 10-Geräte mit Fall Creators Update (1709) per Configuration Manager und Intune gleichzeitig verwalten.
Ebenfalls ab Build 1710 können Sie die Configuration Manager-Konsole verwenden, um zu prüfen, ob Clientgeräte einen Neustart erfordern. Sie können diese Geräte über die Konsole neu starten.
Sie können einen neuen Tasksequenzschritt hinzufügen, der eine andere Tasksequenz ausführt. Dadurch können Sie flexible und wiederverwendbare Tasksequenzen erstellen (siehe Kapitel 4).
Im Softwarecenter können Sie Grafiken Ihres Unternehmens hinzufügen und die Sichtbarkeit von Registerkarten steuern. Sie können den im Softwarecenter verwendeten Namen des Unternehmens anpassen und auch das Farbschema für die Softwarecenter-Konfiguration steuern.
Auch möglich ist die Erstellung von Richtlinien, die alle Komponenten von Windows Defender Exploit Guard verwalten, einschließlich der Verkleinerung der Angriffsfläche, des kontrollierten Ordnerzugriffs, des Schutzes vor Exploits und des Netzwerkschutzes. Die Funktionen wurden mit Windows 10 Build 1709 eingeführt. SCCM Current Branch kann außerdem Richtlinien für Windows Defender Application Guard bereitstellen. Mehr dazu lesen Sie in Kapitel 10.
Bild 1.6Neue Sicherheitsfunktionen von Windows 10 Version 1709 lassen sich in SCCM ebenfalls umsetzen.
System Center Configuration Manager ist in drei Branches verfügbar. Alle Standorte in einer Hierarchie müssen den gleichen Branch verwenden. Current Branch von System Center Configuration Manager sollten Sie verwenden, wenn Sie über eines der folgenden Abonnements verfügen: System Center Datacenter, System Center Standard, System Center Configuration Manager oder entsprechende Abonnementrechte.
Current Branch kann auch als Evaluierungsversion installiert werden. Die Evaluierungsversion lässt sich 180 Tage verwenden und anschließend auf eine lizenzierte Version von Current Branch aktualisieren.
Current Branch wird mehrmals pro Jahr aktualisiert und erhält jeweils neue Features. Jede Updateversion wird nach der Veröffentlichung ein Jahr lang unterstützt. Bis zum Ablauf dieses Jahres müssen Sie Current Branch auf eine neuere Version aktualisieren. Die Aktualisierung lässt sich schnell und einfach über die SCCM-Konsole durchführen (siehe Kapitel 2).
Current Branch-Builds können mit Microsoft Intune und anderen cloudbasierten Diensten zusammenarbeiten. Außerdem wird die Migration von Daten zu und von anderen Configuration Manager-Umgebungen unterstützt. Das erste Release von Current Branch hatte die Buildnummer 1511. Danach folgen Updates mit den Builds 1602, 1606 bis hin zu 1702, 1710 und 1803. Microsoft empfiehlt, nach der Veröffentlichung eines Updates auf den jeweils neuesten Build zu aktualisieren.
Überspringen Sie ein Update, haben Sie trotzdem Zugriff auf alle Features und Verbesserungen von älteren Versionen, da alle Versionen kumulativ sind.
Die sogenannte Long-Term Servicing Branch-Version (LTSB) basiert auf Version 1606. Mit diesem Branch erhalten Sie zwar keine Updates in der SCCM-Konsole, aber weiterhin Sicherheitsupdates. Für die Installation von LTSB müssen Sie die Baseline-Medien der Version 1606 verwenden. LTSB unterstützt ein Upgrade auf Current Branch.
In einer Testumgebung ist die Verwendung der Technical Preview-Version vorgesehen. In einer Produktionsumgebung wird die Technical Preview-Version nicht unterstützt. Die Version basiert auf aktuellen Baseline-Versionen von Current Branch und erhält über die SCCM-Konsole Updates, mit denen die Installation auf die neueste Technical Preview-Version aktualisiert werden kann.
Allerdings lässt sich mit der Technical Preview nur ein primärer Standort mit bis zu zehn Clients betreiben. Ein Upgrade auf eine Current Branch- oder der LTSB-Version ist auf Basis der Technical Preview nicht möglich.
Den Branch für einen Configuration Manager-Standort können Sie in den Versionsinformationen ermitteln. Um die Version Ihres Standorts zu überprüfen, klicken Sie oben links in der Konsole auf die blaue Schaltfläche mit dem Pfeil nach unten und wählen Info. Anschließend erhalten Sie umfassende Informationen zum Standort angezeigt.
Bild 1.7Anzeigen von Informationen zur Version eines SCCM-Standorts
Um den Branch Ihres Standorts zu überprüfen, wechseln Sie in der Konsole zu Verwaltung/Standortkonfiguration/Standorte. Klicken Sie auf Hierarchieeinstellungen und öffnen Sie die Registerkarte Lizenzierung. Sollte die Möglichkeit angeboten werden, den Standort zu Current Branch zu konvertieren, handelt es sich bei dem Standort um die LTSB-Version. Andernfalls wird Current Branch als Standort bereits verwendet und diese Option abgeblendet dargestellt.
Bild 1.8Überprüfen des Branch eines SCCM-Standorts
Um SCCM in ein Netzwerk zu integrieren, müssen Sie dazu vorab einige Vorbereitungen durchführen.
Bevor Sie SCCM im Netzwerk installieren können, ist es wichtig, Active Directory für die Aufnahme vorzubereiten.
Bis SCCM 2012 R2 mussten Sie zunächst einen neuen Container in Active Directory anlegen. Dies ist zwar in SCCM Current Branch generell nicht mehr notwendig, aber empfehlenswert. Erfahren Sie daher nachfolgend, wie das Anlegen des Containers funktioniert, da es in manchen Umgebungen sinnvoll sein kann, den Container anzulegen. Dies gilt vor allem dann, wenn in der Umgebung zusätzlich noch Server mit SCCM 2012 R2 in Betrieb sind oder Sie die fehlerfreie Installation von SCCM Current Branch sicherstellen wollen.
Mit dem ADSI-Editor legen Sie für den Einsatz von SCCM 2012 R2 oder in bestimmten Umgebungen mit SCCM Current Branch einen neuen Container an, der wichtige Daten der SCCM-Infrastruktur verwaltet. Starten Sie dazu den ADSI-Editor über das Menü Tools im Server-Manager und klicken Sie links in der Konsole mit der rechten Maustaste auf den Eintrag ADSI-Editor. Wählen Sie danach Verbindung herstellen aus. Im Verbindungsfenster aktivieren Sie die Option Bekannten Namenskontext auswählen und wählen im Listenfeld den Eintrag Standardmäßiger Namenskontext aus.
Bild 1.9Mit ADSI-Edit verbinden Sie sich mit Active Directory.
Navigieren Sie im Fenster zu Standardmäßiger Namenskontext/<Name der Domäne>/System. Klicken Sie mit der rechten Maustaste auf System und wählen Sie Neu/Objekt. Wählen Sie im Fenster die Option container aus und geben Sie diesem den Namen „System Management“. Lassen Sie den Container mit den Standardoptionen erstellen.
Bild 1.10SCCM Current Branch benötigt einen neuen Container in Active Directory.
Öffnen Sie danach mit Dsa.msc das Snap-in Active Directory-Benutzer und -Computer und aktivieren Sie im Menü Ansicht die Option Erweiterte Features. Öffnen Sie danach auf der linken Seite des Baums die neue OU System/System Management. Klicken Sie diese mit der rechten Maustaste an und wählen Sie Objektverwaltungzuweisen.
Im Fenster müssen Sie zunächst über die Schaltfläche Objekttypen die Option Computer aktivieren. Danach nehmen Sie das Computerkonto des Servers in der Liste auf, auf dem Sie SCCM installieren wollen.
Auf der nächsten Seite des Assistenten aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen. Danach aktivieren Sie auf der nächsten Seite die Option Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekten in diesem Ordner.
Auf der nächsten Seite aktivieren Sie alle drei Kontrollkästchen im oberen Bereich und zusätzlich noch das Kontrollkästchen Vollzugriff. Schließen Sie danach den Assistenten ab. Sie können diese Rechte auch in ADSI-Edit eintragen, indem Sie die Eigenschaften des Containers aufrufen.
Bild 1.11Zuweisen der Rechte des SCCM für die neue Organisationseinheit „System Management“
Damit Sie SCCM in Active Directory installieren können, müssen Sie das Schema erweitern. Dies ist auch in SCCM Current Branch weiterhin erforderlich. Es ist durchaus sinnvoll, die Schemaerweiterung einige Zeit vor der Installation durchzuführen, damit die Änderungen auf alle Domänencontroller repliziert werden. Die Schemaerweiterung sollten Sie auf einem Domänencontroller durchführen, am besten auf demjenigen, der auch der Schemamaster ist.
Den Schemamaster können Sie sich in der Eingabeaufforderung anzeigen lassen:
In jeder Gesamtstruktur gibt es nur einen Schemamaster. Nur auf diesem Schemamaster können Änderungen am Schema vorgenommen werden. Steht der Schemamaster nicht mehr zur Verfügung, können auch keine Erweiterungen des Schemas stattfinden und die Installation von SCCM wird scheitern. Der erste installierte Domänencontroller der ersten Domäne und der Struktur einer Gesamtstruktur erhält zunächst die Rolle des Schemamasters. Der Schemamaster hat ansonsten keine Auswirkungen auf den laufenden Betrieb.
Bild 1.12Anzeigen des Schemamasters
Damit der Schemamaster angezeigt werden kann, müssen Sie zunächst ein Snap-in für die Anzeige des Schemas registrieren. Aus Sicherheitsgründen wird dieses Snap-in zwar installiert, aus Sicherheitsgründen jedoch nicht angezeigt. Rufen Sie in der Eingabeaufforderung den Befehl Regsvr32 schmmgmt.dll auf, um so die Konsole verfügbar zu machen.
Anschließend integrieren Sie über Datei/Snap-In hinzufügen/entfernen das Snap-in Active Directory-Schema in eine MMC. Mit einem Klick der rechten Maustaste auf den Konsoleneintrag Active Directory-Schema und der Auswahl von Betriebsmaster öffnet sich ein neues Fenster, in dem der Betriebsmaster angezeigt wird.
Legen Sie in diesen Domänencontroller die Installations-DVD von SCCM ein oder stellen Sie die ISO-Datei bereit. Wechseln Sie in das Verzeichnis \SMSSETUP\BIN\X64 und suchen Sie das Tool Extadsch.exe. Das Tool führen Sie am besten in der Eingabeaufforderung aus.
Das Schema wird jetzt erweitert. Die Angabe zusätzlicher Optionen wie beispielsweise bei Exchange ist nicht notwendig. Vor der Installation von SCCM sollten Sie einige Zeit warten, bis die Schemaänderung auf alle Domänencontroller im Netzwerk repliziert wurde.
Den Status der Schemaänderung einsehen können Sie auch in der Datei ExtADSch.log im Stammverzeichnis des Servers, auf dem Sie die Erweiterung durchgeführt haben. Sie sehen in der Datei auch die erfolgreiche Erweiterung des Schemas sowie ausführliche Hinweise, falls die Schemaerweiterung nicht funktioniert hat.
Treten während der Schemaerweiterung Fehler auf, liegt dies häufig an der Replikation von Active Directory. Überprüfen Sie daher, ob die Replikation der Domänencontroller fehlerfrei funktioniert, und rufen Sie dann das Tool für die Erweiterung des Schemas erneut auf. Sie können die Erweiterung des Schemas jederzeit neu starten, ohne bereits durchgeführte Änderungen rückgängig zu machen.
Bild 1.13Vor der Installation von SCCM müssen Sie noch das Schema erweitern.
Erst nach der Meldung, dass die Schemaerweiterung funktioniert hat, können Sie mit der Installation von SCCM fortfahren. Funktioniert die Schemaerweiterung nicht, überprüfen Sie die Domänencontroller und stellen Sie fest, ob diese online sind. Stellen Sie sicher, dass die Betriebsmaster zur Verfügung stehen und auch der Schemamaster funktioniert. Dies können Sie ebenfalls über das Snap-in zur Verwaltung von Active Directory-Schema durchführen.
Bild 1.14Überprüfen der fehlerfreien Erweiterung des Active Directory-Schemas
Auch die Standorte von Active Directory sowie die Replikation zwischen den Domänencontrollern sollten Sie überprüfen. Active Directory muss sauber konfiguriert sein, bevor sich das Schema erweitern lässt. Die wichtigsten Befehle zur Diagnose sind Dcdiag und Repadmin/showreps. Auch Nltest /dsgetsite ist ein wichtiger Befehl zur Überprüfung der Replikation.
Beim Einsatz von SCCM im Netzwerk müssen auf den Clientcomputern und Servern verschiedene Firewallregeln erstellt werden. Damit diese Konfiguration konsistent und sicher umgesetzt wird, verwenden Sie am besten eine Gruppenrichtlinie:
Erstellen Sie zunächst in der Gruppenrichtlinienverwaltungskonsole auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools ein neues Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit der Bezeichnung „SCCM“.
Öffnen Sie die Bearbeitung dieser Richtlinie und navigieren Sie zu Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewallmit erweiterter Sicherheit.
Erstellen Sie über das Kontextmenü von Eingehende Regel eine neue Regel.
Wählen Sie als Option Vordefiniert und wählen Sie Datei- und Druckerfreigabe.
Bild 1.15Firewallregeln für SCCM erstellen Sie am besten auf Basis von Gruppenrichtlinien.
Bestätigen Sie die weiteren Fenster des Assistenten und wählen Sie Verbindung zulassen. Erstellen Sie die gleiche Regel auch über Ausgehende Regeln.
Erstellen Sie eine weitere eingehende Regel und wählen dieses Mal Vordefiniert/Windows-Verwaltungsinstrumentation. Schließen Sie die Richtlinie und verknüpfen Sie diese mit dem Container, in dem sich die Computerkonten der Rechner befinden, die Sie mit SCCM verwalten. Oder am besten gleich mit der ganzen Domäne.
Erstellen Sie danach eine weitere Richtlinie. In dieser nehmen Sie ebenfalls Firewalländerungen vor. Diese gelten aber nur für die beteiligten SCCM- und Datenbankserver:
