第1章 SMS 2003概述

1.1 概述

Microsoft Systems Management Server是微軟公司推出的基于ITIL（IT Infrastructure Library，IT基礎(chǔ)架構(gòu)庫）的變更和配置管理解決方案。Systems Management Server（下文統(tǒng)一簡稱為SMS）從最初的雛形到現(xiàn)在的第四版，已經(jīng)發(fā)布了六個版本。從最初的SMS 1.0版到現(xiàn)在的SCCM 2007，可以說無論是功能還是報(bào)表，無論是用戶體驗(yàn)還是系統(tǒng)穩(wěn)定性，都有了相當(dāng)大的飛躍，尤其是在融合了ITIL的變更和配置管理方面的功能后更是如此。

SMS為企業(yè)提供了軟硬件資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、遠(yuǎn)程診斷和排錯、操作系統(tǒng)部署等主要功能。所以很多IT管理人員一直用SMS對企業(yè)內(nèi)基于Windows操作系統(tǒng)的桌面計(jì)算機(jī)和服務(wù)器進(jìn)行有效的管理。近幾年，隨著這些企業(yè)中基于Windows系統(tǒng)平臺的計(jì)算機(jī)部署數(shù)量的大幅增長，SMS在幫助IT管理人員在支持PC和應(yīng)用部署規(guī)模持續(xù)擴(kuò)張的同時(shí)，還能有效控制分布程度非常高的系統(tǒng)的管理成本，并將總體擁有成本保持在較低水平。

當(dāng)然，隨著新技術(shù)不斷得到采用，以及PC應(yīng)用配置的日趨復(fù)雜化，基于Windows操作系統(tǒng)的PC設(shè)備部署環(huán)境也處在持續(xù)變化之中。Systems Management Server 2003（下文統(tǒng)一簡稱為SMS 2003或SMS）可以用來對這些發(fā)生在PC系統(tǒng)中的相關(guān)變更進(jìn)行跟蹤，并提供支持。現(xiàn)在越來越多的企業(yè)開始在網(wǎng)絡(luò)系統(tǒng)內(nèi)部署Windows 20003 Server的Active Directory服務(wù)，Active Directory可以用于管理企業(yè)內(nèi)部的桌面計(jì)算機(jī)，因此桌面計(jì)算機(jī)的安全管理也顯得尤為重要。SMS 2003可對這種技術(shù)手段加以充分利用，從而進(jìn)一步簡化客戶端與用戶管理程序的管理操作。許多Active Directory特性都與SMS的目標(biāo)概念相對應(yīng)，這樣就可以讓IT管理人員借助Active Directory結(jié)構(gòu)和容器對軟件和目錄任務(wù)進(jìn)行定位。

企業(yè)IT環(huán)境中的軟硬件資產(chǎn)管理與應(yīng)用程序部署，以及補(bǔ)丁更新管理等相關(guān)工作一直都是IT管理人員最頭疼的問題。許多在中大型企業(yè)工作的IT管理人員都希望能夠有一套完整的管理解決方案，來幫助他們減少日常的繁重工作，并提高工作效率。如果要靠傳統(tǒng)管理的方式進(jìn)行資產(chǎn)盤點(diǎn)、系統(tǒng)補(bǔ)丁更新、軟件安裝，以及手動來制作相關(guān)報(bào)表等工作，這樣即使有再多的IT管理人員也忙不過來。

到目前為止，IT領(lǐng)域已經(jīng)有相當(dāng)多的廠商開發(fā)出各式各樣的資產(chǎn)管理與軟件分發(fā)功能的產(chǎn)品，主要是為了在解決許多企業(yè)實(shí)現(xiàn)信息化的同時(shí)，不斷添購新的軟硬件設(shè)備時(shí)所投入的人力資源與管理成本的問題。

那么相比其他同類產(chǎn)品，微軟的SMS又有什么優(yōu)勢？

SMS 2003可以提供如下優(yōu)勢：

智能的軟硬件資產(chǎn)管理，以及相關(guān)的分析報(bào)告。

客戶端計(jì)算機(jī)與服務(wù)器弱點(diǎn)管理，以及相關(guān)的分析報(bào)告。

一般軟件與微軟補(bǔ)丁程序的分發(fā)管理、非微軟產(chǎn)品的更新管理。

對企業(yè)使用的軟件計(jì)量和評估分析。

對企業(yè)中移動設(shè)備的集中管理。

軟件部署以及相關(guān)的分析報(bào)告。

桌面計(jì)算機(jī)遠(yuǎn)程協(xié)助支持

網(wǎng)絡(luò)流量的監(jiān)控、對指定計(jì)算機(jī)之間的文件包傳輸監(jiān)測。

操作系統(tǒng)部署

與Active Directory緊密結(jié)合、用戶和用戶組，以及計(jì)算機(jī)資源的收集。

1.2 SMS 2003基本功能演示

如圖1-1所示的是SMS 2003管理控制臺，通過這個單一的接口，管理員將可以管理分布在各地區(qū)的SMS 2003服務(wù)器，并且可以借助網(wǎng)絡(luò)和Active Directory發(fā)現(xiàn)功能，將所有被管理的客戶端計(jì)算機(jī)集中分類在各自所屬的類別清單之中，隨后還可以進(jìn)行后續(xù)的代理程序安裝、應(yīng)用程序的部署，以及系統(tǒng)補(bǔ)丁更新項(xiàng)目的分發(fā)等工作。對于分發(fā)的結(jié)果、軟件數(shù)據(jù)包的狀態(tài)、站點(diǎn)的狀態(tài)。

SMS管理員或企業(yè)的管理者可以通過SMS的報(bào)表功能，根據(jù)實(shí)際查詢的需求，選擇適當(dāng)?shù)念悇e進(jìn)行條件的設(shè)置，然后進(jìn)行查詢（如圖1-2所示）。例如，可以查詢的內(nèi)容包括：軟硬件資產(chǎn)統(tǒng)計(jì)信息、軟件分發(fā)與補(bǔ)丁分發(fā)的狀態(tài)報(bào)告等。

雖然SMS系統(tǒng)已經(jīng)內(nèi)置了190多種報(bào)表，但這仍然不能滿足企業(yè)的實(shí)際需求，好在管理員還可以通過SMS管理控制臺中的“報(bào)表”節(jié)點(diǎn)設(shè)置一些相關(guān)的篩選條件，自己定義出符合需求的報(bào)表。同時(shí)SMS也支持通過SMS管理控制臺中的“報(bào)表”節(jié)點(diǎn)，依照需求新增所要查看的各種報(bào)告類別的儀表板功能，如圖1-3所示。

在實(shí)現(xiàn)了應(yīng)用程序部署后，SMS更關(guān)注應(yīng)用程序的部署能力。凡是被安裝了SMS代理程序的計(jì)算機(jī)，只要目前在正常連接的狀態(tài)下，隨時(shí)都有可能接收到管理端依照向?qū)гO(shè)置分發(fā)下來的應(yīng)用程序。而管理者只需要預(yù)先將這些安裝程序，例如Office、Acrobat、Service Pack，以及各類應(yīng)用程序置放在任何可存取的網(wǎng)絡(luò)共享文件夾中，便可以輕松地將這些程序自動安裝在客戶端計(jì)算機(jī)上。

另外，管理人員還可以通過SMS提供的Installer程序?qū)F(xiàn)有的應(yīng)用程序重新安裝，讓客戶端的用戶完全不需要手動設(shè)置每一個安裝步驟的頁面，就能自動完成安裝。對于后續(xù)的應(yīng)用程序部署狀態(tài)查詢，除了可以通過SMS控制臺來進(jìn)行查看之外，還可以進(jìn)一步通過SMS提供的報(bào)表服務(wù)來進(jìn)行高級的統(tǒng)計(jì)分析。

在系統(tǒng)補(bǔ)丁更新管理部分，SMS有別于免費(fèi)的WSUS。首先，SMS 2003可以輕松地將任何客戶端所需的補(bǔ)丁更新（如圖1-4所示），并通過向?qū)Ｊ椒职l(fā)到Active Directory中或工作組中的計(jì)算機(jī)上，而且SMS可以支持Windows 98以上的所有操作系統(tǒng)。

1.3 SMS 2003 SP3簡介

目前SMS 2003的最新Service Pack版本為Service Pack 3，本節(jié)會介紹SMS 2003 SP3的一些新特性。

1.3.1 應(yīng)用程序部署

在安裝SP3之后，SMS 2003在應(yīng)用程序部署方面將包含下列增強(qiáng)的功能：

更詳細(xì)的軟件清單：SP3提供了詳細(xì)的應(yīng)用程序部署信息，以及相關(guān)的群組信息、硬件信息、已存在的用程序、版本信息、補(bǔ)丁更新狀態(tài)與Service Pack信息。

更靈活多樣的分發(fā)策略：通過軟件的分發(fā)及管理工作，SMS管理員可以針對特定的計(jì)算機(jī)和用戶，以及它們各自多樣的屬性內(nèi)容進(jìn)行分發(fā)。例如：活動目錄組織單位、群組成員、硬件型號、IP地址段等。

站點(diǎn)和分發(fā)點(diǎn)服務(wù)器間的差異性更新：對于SMS 2003站點(diǎn)服務(wù)器與分發(fā)點(diǎn)服務(wù)器間的應(yīng)用程序部署的更新，如果源文件發(fā)生改變，系統(tǒng)會將改變的部分自動更新到分發(fā)點(diǎn)服務(wù)器。

提高權(quán)限的Windows Installer服務(wù)：由于SMS 2003本身支持了Windows Installer（.msi）的安裝方法，因此它可以讓該程序在安裝的過程中切換執(zhí)行用戶憑據(jù)。

添加刪除程序的支持：SMS除了支持傳統(tǒng)的直接分發(fā)到客戶端上安裝方式外，還可以發(fā)布到客戶端的控制臺中的“添加刪除程序”中，讓用戶自行選擇需要的軟件安裝。

1.3.2 軟硬件資產(chǎn)管理

隨著大多數(shù)企業(yè)機(jī)構(gòu)所部署的軟件產(chǎn)品與服務(wù)范圍年復(fù)一年地?cái)U(kuò)大，企業(yè)的IT管理人員針對此類應(yīng)用的整個生命周期實(shí)施管理的重要性也在不斷提高。根據(jù)當(dāng)前許可授權(quán)等級的要求，對軟件實(shí)際使用情況進(jìn)行跟蹤的做法可確保年度許可授權(quán)成本與軟件使用狀況保持同步，從而成為最簡單卻最直接的節(jié)約成本的手段。管理人員不僅對安裝在每臺計(jì)算機(jī)上的應(yīng)用實(shí)施監(jiān)控，而且還要對已安裝應(yīng)用軟件的使用頻率進(jìn)行跟蹤，以便為企業(yè)提供較為準(zhǔn)確的軟件使用情況需求預(yù)測。此外，只有了解使用范圍最廣的應(yīng)用軟件，測試情境和升級項(xiàng)目才能更加準(zhǔn)確地反映出真實(shí)的部署環(huán)境，從而降低在整個企業(yè)范圍內(nèi)進(jìn)行調(diào)整的成本。

管理人員可以通過SMS中的軟件分發(fā)的報(bào)表功能，對客戶端計(jì)算機(jī)的應(yīng)用程序的安裝情況實(shí)施跟蹤，并將其與實(shí)際應(yīng)用狀況相結(jié)合，從而提供適當(dāng)?shù)慕鉀Q方案。SMS在2.0版本中采用的軟件計(jì)數(shù)方法已經(jīng)適合大型組織機(jī)構(gòu)規(guī)模了，而SMS 2003對軟件計(jì)數(shù)方法作了較大的調(diào)整，來幫助大型企業(yè)實(shí)現(xiàn)這些功能：哪些應(yīng)用程序正在使用，這些應(yīng)用程序的使用頻率有多高，這些應(yīng)用程序的最大并發(fā)有多少等實(shí)際用戶需求。如此一來，管理員就可以更準(zhǔn)確地掌握企業(yè)的軟件需求情況，并可對本企業(yè)實(shí)際所需軟件許可證進(jìn)行更加準(zhǔn)確地評估。SMS 2003中的軟件計(jì)數(shù)功能可以實(shí)現(xiàn)：

應(yīng)用程序使用監(jiān)控：管理者可以很輕易地知道哪些用戶或計(jì)算機(jī)曾經(jīng)使用過哪些應(yīng)用程序，以及同一時(shí)間應(yīng)用程序的使用情況比較。

更新微軟件列表的文件層級的發(fā)現(xiàn)：管理者可以自定義所要從客戶端清查的文件信息。

更詳盡的軟硬件信息清單：通過使用功能強(qiáng)大Windows管理規(guī)范（簡稱WMI），提高了對客戶端資產(chǎn)收集效率，同時(shí)也支持通過WMI對于客戶端計(jì)算機(jī)BIOS信息的收集。

內(nèi)容豐富的Web報(bào)表：SMS內(nèi)置包括軟件資產(chǎn)信息，硬件資產(chǎn)信息，軟件計(jì)數(shù)，軟件分發(fā)狀態(tài)等各類報(bào)表，內(nèi)置報(bào)表超過190種。

1.3.3 安全補(bǔ)丁更新管理

在安全補(bǔ)丁管理方面，SMS 2003可以實(shí)現(xiàn)下列功能。

系統(tǒng)漏洞掃描：基于微軟標(biāo)準(zhǔn)的安全分析工具，功能類似于MBSA與Office更新清單工具，可以用于自動完成客戶端系統(tǒng)漏洞的自動發(fā)現(xiàn)和收集工作。

補(bǔ)丁更新部署向?qū)В和ㄟ^補(bǔ)丁更新部署向?qū)В梢詭椭芾韱T快速地部署更新程序到指定的客戶端。

弱點(diǎn)評估與評估報(bào)告：對于已經(jīng)完成弱點(diǎn)識別后的更新遺失，這些相關(guān)的報(bào)告與更新目標(biāo)信息將會儲存在數(shù)據(jù)庫中，管理者依舊可以選擇性的立即更新遺漏的更新項(xiàng)目。

1.3.4 移動設(shè)備管理

現(xiàn)代化的企業(yè)中，除了傳統(tǒng)的臺式機(jī)、筆記本外，還有越來越多的員工在使用移動設(shè)備，例如智能手機(jī)、PDA、POS機(jī)等。為了對這些新設(shè)備提供支持，SMS 2003增強(qiáng)了對移動設(shè)備的管理。并且根據(jù)移動設(shè)備的一些特性進(jìn)行了充分的優(yōu)化。基本上，SMS 2003在管理移動設(shè)備方面可以實(shí)現(xiàn)下列功能。

客戶端帶寬感知：在SMS 2003高級客戶端的功能中，支持了結(jié)合服務(wù)器端BITS服務(wù)的文件傳送機(jī)制，讓客戶端可以自動檢測目前網(wǎng)絡(luò)帶寬情況，并實(shí)現(xiàn)最佳文件傳輸效率。

斷點(diǎn)續(xù)傳：許多軟件的分發(fā)可能會因?yàn)槲募?shù)量較多或較大，因而在自動化部署的過程中，會因?yàn)橐苿佑脩舻臄嗑€而需要重新下載安裝。如今SMS 2003中已經(jīng)支持續(xù)傳下載更新。

向?qū)?zhí)行下載程序：對于應(yīng)用程序的部署，在預(yù)先下載到客戶端后可以處于緩存模式，直到所設(shè)置的向?qū)О惭b時(shí)間到時(shí)再開始進(jìn)行安裝。

漫游位置感知：對于移動用戶來說，可能需要經(jīng)常性的變更臨時(shí)的辦公位置，因此SMS 2003的客戶端代理程序能夠自動檢測到最佳的應(yīng)用程序安裝來源。

1.3.5 Windows管理服務(wù)整合

Active Directory支持與SMS 2003之間的高度集成可以讓管理人員根據(jù)組織單元的成員、用戶組、計(jì)算機(jī)組甚至與Microsoft Exchange分配列表等非安全對象為對象進(jìn)行軟件部署定位。

這種Active Directory支持的實(shí)現(xiàn)方法為：發(fā)現(xiàn)Active Directory中的所有用戶和計(jì)算機(jī)相對應(yīng)的對象成員資格，并將這些成員資格作為屬性添加到由SMS 2003數(shù)據(jù)庫存儲的目錄數(shù)據(jù)當(dāng)中。管理人員可以通過與硬件或軟件目錄屬性使用方法完全相同的方法借助這些Active Directory屬性創(chuàng)建目標(biāo)集合。

管理人員還可以對Active Directory搜索過程進(jìn)行自定義配置，例如選擇不同的時(shí)間計(jì)劃，并將所需執(zhí)行搜索的Active Directory層級組成部分納入定位范圍。這種力度控制將確保Active Directory整體性能不會受到搜索進(jìn)程的重大影響。

SMS 2003還可借助Active Directory向網(wǎng)絡(luò)上的客戶端發(fā)布特定SMS服務(wù)與服務(wù)器所處位置。SMS 2003能夠?qū)ctive Directory用作定位服務(wù)，并在此基礎(chǔ)上簡化客戶端操作，并盡可能地降低客戶端服務(wù)搜索時(shí)產(chǎn)生的網(wǎng)絡(luò)流量。

此外，SMS 2003站點(diǎn)邊界可以在邏輯上與Active Directory站點(diǎn)定義相對應(yīng)。Active Directory站點(diǎn)定義特性可以讓管理人員使用子網(wǎng)通配符定義站點(diǎn)邊界，這樣可以將覆蓋面較大的IP地址輕松集成到SMS站點(diǎn)界限集合當(dāng)中。

在這方面，SMS 2003的功能主要表現(xiàn)在：

Active Directory收集支持：目前SMS 2003已經(jīng)可以用于收集保存在Active Directory中的用戶與系統(tǒng)的屬性信息，包含組織單位容器、組成員。而軟件數(shù)據(jù)包的分發(fā)目標(biāo)則可以同樣按照這一些屬性來部署。

結(jié)合Active Directory站點(diǎn)的邊界管理：有關(guān)邊界的設(shè)置目前已經(jīng)可以依照Active Directory站點(diǎn)的部署來規(guī)劃，而非只是按照IP子域的方式完成。

高級安全模式支持：本機(jī)計(jì)算機(jī)賬戶和本機(jī)系統(tǒng)賬戶的使用，可以有助于所有服務(wù)器間的運(yùn)作（例如，數(shù)據(jù)庫的讀寫），并且可以大幅簡化許多賬戶與密碼的管理，節(jié)省管理者對于各類系統(tǒng)賬戶權(quán)限配置的安全性問題。

改善了狀態(tài)監(jiān)控工具：狀態(tài)數(shù)據(jù)提供了有關(guān)SMS 2003系統(tǒng)實(shí)時(shí)的操作處理過程，并且包含了服務(wù)器端和客戶端。

Windows XP遠(yuǎn)程協(xié)助支持：通過SMS 2003的控制臺結(jié)合Windows XP遠(yuǎn)程協(xié)助功能，管理員可以快速地協(xié)助遠(yuǎn)程使用者計(jì)算機(jī)問題的故障排除。

SMS 2003的更新中除了包含以上介紹的所有新增加和完善的功能外，還添加了許多最新公告的修補(bǔ)程序，而且也同時(shí)新增一些管理上的功能以及操作性能上的改善。

SMS管理控制臺使用上的改變：

● 采用FQDN查詢方式聯(lián)系SMS的管理站點(diǎn)以及分發(fā)站點(diǎn)，而不是NetBIOS。

● SMS各站點(diǎn)服務(wù)器的命名可以使用FQDN輸入方式，取代了以前必須要求15個字符的NetBIOS計(jì)算機(jī)名稱。

● 增加了Active Directory安全組發(fā)現(xiàn)這一方法。

● 在軟件更新節(jié)點(diǎn)上的操作，支持管理員自行建立文件夾來作為群組分類的管理。

● SMS高級客戶端可以支持三種架構(gòu)的平臺，分別是IA64、x64、x86。

● 增加傳送客戶端刪除記錄到SMS父站點(diǎn)，以及傳送這些通知到整個層次式架構(gòu)的SMS服務(wù)器上的功能。

SMS提供了基于Microsoft Update引擎的更新管理工具ITMU（Inventory Tool for Microsoft Updates），只要安裝ITMU就可以實(shí)現(xiàn)Windows系統(tǒng)、Office，以及其他微軟產(chǎn)品的補(bǔ)丁更新管理。

多線程的軟件資產(chǎn)清單處理。

SMS負(fù)責(zé)軟件清單處理的核心服務(wù)SMS Executive組件采用了多線程的處理機(jī)制，可以讓資產(chǎn)管理過程中的大量數(shù)據(jù)處理更有效率。

1.3.6 WBEM和WMI

WBEM是一種統(tǒng)一了企業(yè)計(jì)算環(huán)境的第一個公開標(biāo)準(zhǔn)，WBEM提供了一系列標(biāo)準(zhǔn)的管理工具，這些工具都是基于XML的。使用這類工具的意義在于桌面管理任務(wù)使得企業(yè)需要一系列標(biāo)準(zhǔn)的工具，以便支持?jǐn)?shù)據(jù)模型以及通用信息模型（CIM）。

那么到底什么是WBEM？其實(shí)WBEM是一個開放的標(biāo)準(zhǔn)，可以讓供應(yīng)商和制造商以一個統(tǒng)一的標(biāo)準(zhǔn)配合，提供有關(guān)軟硬件的通用數(shù)據(jù)。這些信息可以保存在類似“容器”的數(shù)據(jù)庫中。

那么WMI是否滿足這一標(biāo)準(zhǔn)呢？WMI是一種實(shí)用技術(shù)，可以讓腳本通過網(wǎng)絡(luò)，以及WBEM容器監(jiān)控和管理資源。這些資源可能是硬件，不過有些則可能是事件日志，或者基于事件類型的數(shù)據(jù)。WMI可以用于Windows 2000以上的操作系統(tǒng)中，并且可以安裝到任何32位Windows客戶端中。

SMS 2003可以利用這些資源實(shí)現(xiàn)自己的操作和清單功能。我們可以借助腳本通過WMI觸發(fā)SMS事件，而可以使用SMS從客戶端系統(tǒng)的WBEM容器中借助WMI查詢清單信息。這些功能以及互相之間的緊密結(jié)合出現(xiàn)在至少兩個SMS 2003的功能中。

1.3.7 資產(chǎn)智能

“資產(chǎn)智能”功能擴(kuò)展了SMS 2003的軟硬件清單功能，可以方便地跟蹤微軟軟件應(yīng)用程序許可證，而且可以向管理員提供合規(guī)性跟蹤報(bào)告，并有助于企業(yè)控制盜版軟件的使用。“資產(chǎn)智能”以易于理解的格式提供準(zhǔn)確的軟件安裝和使用數(shù)據(jù)，從而可以更好地評估組織中的許可需求和使用情況。

新功能包括增強(qiáng)的軟件標(biāo)識、硬件升級跟蹤，以及帶有鉆取功能的多種新報(bào)告。鉆取報(bào)告使管理員可以輕松了解組織的硬件或軟件概況，并且鉆取到后續(xù)報(bào)告直到獲得所需的詳細(xì)信息，甚至可以鉆取到單臺計(jì)算機(jī)的完整信息（包括硬件、軟件和許可證狀態(tài)）。

新的微軟許可證功能能夠保持和微軟許可報(bào)表的一致，可以更好地促進(jìn)許可證管理。這些報(bào)告中呈現(xiàn)的信息可指示多項(xiàng)參數(shù)，例如特定產(chǎn)品的安裝數(shù)目、每臺計(jì)算機(jī)和每個軟件項(xiàng)的許可證狀態(tài)，以及軟件許可證的銷售渠道。

為運(yùn)行Windows Vista的計(jì)算機(jī)新增的支持功能包括用于監(jiān)視作為密鑰管理服務(wù)器（KMS）的計(jì)算機(jī)和即將過期許可證的報(bào)告。此外，SMS 2003還可以提供標(biāo)準(zhǔn)報(bào)告，可指示升級到Windows Vista的準(zhǔn)備情況，并標(biāo)識每臺計(jì)算機(jī)需要在磁盤、內(nèi)存和處理器方面做出哪些改進(jìn)。

1.3.8 Windows Vista支持

SMS 2003 SP3提供了對Windows Vista的支持，其中可以支持安裝：Windows Vista Business Edition、Windows Vista Enterprise Edition和Windows Vista Ultimate Edition版本的操作系統(tǒng)，不過無法支持安裝Windows Vista Home Basic和Windows Vista Home Premium版本的操作系統(tǒng)。

1.3.9 64位支持

SMS 2003還提供了對在64位處理器上，以32位模式運(yùn)行的客戶端的支持。SMS 2003通過添加一個新類“Add Remove Programs（64）”以便從使用64位處理器的計(jì)算機(jī)中收集64位軟件庫存清單信息，從而擴(kuò)展了上述支持。

1.3.10 文件大小庫存清單的改進(jìn)

虛擬機(jī)和其他高級計(jì)算功能越來越依賴于大型文件。在SMS 2003 SP3之前，庫存文件大小為32Bit整數(shù)。因此，如果文件大小超過2GB，則報(bào)告的文件大小信息會出錯。SMS 2003 SP3已將此限制增大為64Bit，從而增加了對2GB以上文件庫存清單的支持。

1.4 SMS 2003 R2新功能介紹

SMS 2003 R2需要部署在SMS SP2以上版本中，R2可以提供針對微軟平臺下功能更強(qiáng)大的變更與狀態(tài)管理，在這個版本中同時(shí)也賦予管理人員可以同時(shí)進(jìn)行企業(yè)中所有非微軟所發(fā)行的應(yīng)用程序進(jìn)行軟件更新，例如企業(yè)中的ERP系統(tǒng)程序補(bǔ)丁，或者第三方所發(fā)行的應(yīng)用程序，這樣可以進(jìn)一步降低企業(yè)的IT運(yùn)營成本。

SMS在企業(yè)的IT管理中扮演著極為重要的變更管理與安全管理的角色，國內(nèi)外有許多大中型企業(yè)選擇使用它來幫助企業(yè)解決在IT管理上所遭遇到的難題與瓶頸，例如，無法有效地盤點(diǎn)企業(yè)的軟硬件資產(chǎn)、難以落實(shí)所擬定的信息化使用條例、各種應(yīng)用程序的大量部署費(fèi)時(shí)又費(fèi)力、難以準(zhǔn)確地掌握各類合法版權(quán)軟件的使用情形，以及補(bǔ)丁更新的管理無法達(dá)到全面自動化部署等。

1.4.1 系統(tǒng)弱點(diǎn)掃描工具

客戶端許多軟件安裝上的錯誤或各種系統(tǒng)配置設(shè)置上的不當(dāng)，可能會造成系統(tǒng)安全上與穩(wěn)定上的問題，如此一來將會導(dǎo)致IT部門在支持成本上的逐漸攀升。在SMS 2003 R2中，我們可以通過Scan Tool for Vulnerability Assessment工具（簡稱STVA）幫助IT管理人員在客戶端計(jì)算機(jī)的集中管理過程中避免這些可能的錯誤。而在該工具成功執(zhí)行后，IT人員可以獲得一份完整的客戶端系統(tǒng)弱點(diǎn)評估報(bào)告，該功能使用的掃描引擎是Microsoft Baseline Security Analyzer 2.0（簡稱MSBA），該引擎可以檢測的項(xiàng)目主要包括：

是否有系統(tǒng)不需要的服務(wù)被安裝或正在執(zhí)行當(dāng)中。

客戶端計(jì)算機(jī)上所設(shè)置的文件共享是否有設(shè)置適當(dāng)?shù)臋?quán)限配置。

Windows XP或Windows Vista中內(nèi)置的防火墻功能是否已啟用。

客戶端計(jì)算機(jī)上的自動更新功能是否已啟用。

用戶的密碼配置原則是否有強(qiáng)制采用符合密碼復(fù)雜度原則。

操作系統(tǒng)默認(rèn)中未啟用的Guest賬戶是否有被啟用。

本機(jī)計(jì)算機(jī)中是否有太多用戶屬于Administrators組成員。

軟件安裝錯誤和錯誤的配置會危及安全性和穩(wěn)定性，導(dǎo)致支持成本不斷增多。用于弱點(diǎn)評估的掃描工具有助于防止錯誤，從而增加了企業(yè)的正常運(yùn)行時(shí)間，并幫助我們構(gòu)建更加安全的基礎(chǔ)架構(gòu)。該工具使用MBSA 2.0引擎針對普通軟件錯誤配置，提供弱點(diǎn)評估報(bào)告。

該工具可以掃描下列問題：

掃描企業(yè)因配置錯誤而產(chǎn)生的安全漏洞。

STVA檢測實(shí)例。

是否安裝并運(yùn)行不必要的服務(wù)？

文件共享是否需要適當(dāng)?shù)脑S可？

系統(tǒng)是否啟動Windows防火墻？

系統(tǒng)是否啟動自動更新？

系統(tǒng)是否強(qiáng)制要求復(fù)雜的用戶口令？

系統(tǒng)是否存在不安全的用戶賬戶？

客戶端計(jì)算機(jī)上是否有多個本地管理員？

1.4.2 自定義更新清單工具

在SMS 2003 R2中提供了可以讓管理員管理所有非微軟應(yīng)用程序更新的工具：Inventory Tool for Custom Updates（簡稱為ITCU），ITCU主要包括下列兩個部分：

掃描工具：掃描工具用來針對客戶端情況進(jìn)行掃描和評估應(yīng)用程序狀況。

發(fā)布工具：管理員可以通過發(fā)布工具將定義好的應(yīng)用程序補(bǔ)丁導(dǎo)入到SMS中，通過原有的軟件更新管理來自動為客戶端的應(yīng)用程序進(jìn)行修補(bǔ)工作。

1.4.3 操作系統(tǒng)部署

SMS 2003在R2分發(fā)中提供了操作系統(tǒng)部署功能包。如今我們也可以通過它來部署企業(yè)客戶端的操作系統(tǒng)，只是這些功能默認(rèn)并沒有安裝在具有SMS代理程序的計(jì)算機(jī)上。那么到底要如何使用SMS部署全新的操作系統(tǒng)？如何進(jìn)行現(xiàn)有Windows XP自動升級至Windows Vista？

事實(shí)上這部分功能是在SMS 2003服務(wù)器上安裝OS組件部署功能包（OSD）之后提供的功能。通過使用SMS 2003的OS部署功能包，我們可以結(jié)合RIS服務(wù)來進(jìn)行操作系統(tǒng)的大量部署，另外還可以將它所產(chǎn)生的WIM（Windows Imaging Format）格式的鏡像文件刻錄成可引導(dǎo)的光盤，然后用這樣的引導(dǎo)光盤直接進(jìn)行安裝。

該功能可以部署的操作系統(tǒng)版本包含了大部分主流客戶端與服務(wù)器端操作系統(tǒng)。而對于要部署的目標(biāo)計(jì)算機(jī)來說，我們還可以選擇采用升級或全新安裝的部署方式。本書中會同時(shí)介紹如何通過OS部署功能包進(jìn)行Windows Vista的大量部署，以及如何將現(xiàn)有的Windows XP全面自動化大量升級為Windows Vista。

以下讓我們了解一下采用OSD部署方式從客戶端到服務(wù)器端的系統(tǒng)的一些要求。

OSD部署方式對于環(huán)境有一些要求，具體的要求如下：

1．DHCP與RIS服務(wù)器

無論是進(jìn)行Windows XP或Windows Vista部署，對于新的部署安裝來說，都需要預(yù)先在網(wǎng)絡(luò)上確認(rèn)DHCP服務(wù)是在正常工作狀態(tài)下。如果目前網(wǎng)絡(luò)中尚未有DHCP服務(wù)，則需要額外從“Windows添加/刪除”組件程序中安裝。而安裝RIS組件，則是目前使用OSD組件進(jìn)行大量網(wǎng)絡(luò)部署Windows系統(tǒng)的重要條件。

2．SMS 2003站點(diǎn)服務(wù)器

部署SMS 2003站點(diǎn)服務(wù)器所需要的最低硬盤空間為175MB，并且必須確認(rèn)已經(jīng)啟用了管理點(diǎn)，并正確設(shè)置了高級客戶端的網(wǎng)絡(luò)訪問賬戶。如果想要部署Windows NT 4.0 SP6的操作系統(tǒng)，則必須確認(rèn)正確配置了舊版客戶端網(wǎng)絡(luò)訪問賬戶設(shè)置。

整個OS部署功能包安裝如圖1-5所示，只要單擊SMS 2003 R2安裝菜單中的“OS部署功能包”選項(xiàng)，即可立即自動連接到微軟公司的網(wǎng)站上，下載最新版本的OS部署功能包。這個過程中沒有什么需要特別注意的設(shè)置，不過如果在安裝過程中遇到問題，則可以參考SMS\Logs目錄下的兩個日志文件，這兩個文件分別是OSDeploymentsetup.log和OSDeploymentmsi.log。

3．模板計(jì)算機(jī)

安裝了Windows 2000以上版本的操作系統(tǒng)，需要安裝SMS 2003高級客戶端，但不需要分配到SMS站點(diǎn)中，無須加入域工作組狀態(tài)即可。

4．磁盤與IP地址分配

使用DHCP方式獲得IP地址分配。

系統(tǒng)引導(dǎo)分區(qū)為“C:”，并且必須使用NTFS文件系統(tǒng)。

在C:\中創(chuàng)建Sysprep，并且將對應(yīng)模板系統(tǒng)版本的Deploy.cab中的文件復(fù)制到Sysprep文件夾中。

5．目標(biāo)計(jì)算機(jī)

如果要部署的目標(biāo)計(jì)算機(jī)是全新的，則對于操作系統(tǒng)版本，以及SMS客戶端代理程序的安裝沒有什么要求。如果是要進(jìn)行升級部署安裝，則這些計(jì)算機(jī)必須至少安裝了Windows NT 4.0 SP6以上的系統(tǒng)，并且已經(jīng)安裝了SMS 2003 SP1以上的客戶端代理程序，“C:”盤為引導(dǎo)盤，使用NTFS文件系統(tǒng)。