第1章 SMS 2003概述

1.1 概述

Microsoft Systems Management Server是微軟公司推出的基于ITIL（IT Infrastructure Library，IT基礎架構庫）的變更和配置管理解決方案。Systems Management Server（下文統一簡稱為SMS）從最初的雛形到現在的第四版，已經發布了六個版本。從最初的SMS 1.0版到現在的SCCM 2007，可以說無論是功能還是報表，無論是用戶體驗還是系統穩定性，都有了相當大的飛躍，尤其是在融合了ITIL的變更和配置管理方面的功能后更是如此。

SMS為企業提供了軟硬件資產管理、軟件分發、補丁管理、遠程診斷和排錯、操作系統部署等主要功能。所以很多IT管理人員一直用SMS對企業內基于Windows操作系統的桌面計算機和服務器進行有效的管理。近幾年，隨著這些企業中基于Windows系統平臺的計算機部署數量的大幅增長，SMS在幫助IT管理人員在支持PC和應用部署規模持續擴張的同時，還能有效控制分布程度非常高的系統的管理成本，并將總體擁有成本保持在較低水平。

當然，隨著新技術不斷得到采用，以及PC應用配置的日趨復雜化，基于Windows操作系統的PC設備部署環境也處在持續變化之中。Systems Management Server 2003（下文統一簡稱為SMS 2003或SMS）可以用來對這些發生在PC系統中的相關變更進行跟蹤，并提供支持?，F在越來越多的企業開始在網絡系統內部署Windows 20003 Server的Active Directory服務，Active Directory可以用于管理企業內部的桌面計算機，因此桌面計算機的安全管理也顯得尤為重要。SMS 2003可對這種技術手段加以充分利用，從而進一步簡化客戶端與用戶管理程序的管理操作。許多Active Directory特性都與SMS的目標概念相對應，這樣就可以讓IT管理人員借助Active Directory結構和容器對軟件和目錄任務進行定位。

企業IT環境中的軟硬件資產管理與應用程序部署，以及補丁更新管理等相關工作一直都是IT管理人員最頭疼的問題。許多在中大型企業工作的IT管理人員都希望能夠有一套完整的管理解決方案，來幫助他們減少日常的繁重工作，并提高工作效率。如果要靠傳統管理的方式進行資產盤點、系統補丁更新、軟件安裝，以及手動來制作相關報表等工作，這樣即使有再多的IT管理人員也忙不過來。

到目前為止，IT領域已經有相當多的廠商開發出各式各樣的資產管理與軟件分發功能的產品，主要是為了在解決許多企業實現信息化的同時，不斷添購新的軟硬件設備時所投入的人力資源與管理成本的問題。

那么相比其他同類產品，微軟的SMS又有什么優勢？

SMS 2003可以提供如下優勢：

智能的軟硬件資產管理，以及相關的分析報告。

客戶端計算機與服務器弱點管理，以及相關的分析報告。

一般軟件與微軟補丁程序的分發管理、非微軟產品的更新管理。

對企業使用的軟件計量和評估分析。

對企業中移動設備的集中管理。

軟件部署以及相關的分析報告。

桌面計算機遠程協助支持

網絡流量的監控、對指定計算機之間的文件包傳輸監測。

操作系統部署

與Active Directory緊密結合、用戶和用戶組，以及計算機資源的收集。

1.2 SMS 2003基本功能演示

如圖1-1所示的是SMS 2003管理控制臺，通過這個單一的接口，管理員將可以管理分布在各地區的SMS 2003服務器，并且可以借助網絡和Active Directory發現功能，將所有被管理的客戶端計算機集中分類在各自所屬的類別清單之中，隨后還可以進行后續的代理程序安裝、應用程序的部署，以及系統補丁更新項目的分發等工作。對于分發的結果、軟件數據包的狀態、站點的狀態。

SMS管理員或企業的管理者可以通過SMS的報表功能，根據實際查詢的需求，選擇適當的類別進行條件的設置，然后進行查詢（如圖1-2所示）。例如，可以查詢的內容包括：軟硬件資產統計信息、軟件分發與補丁分發的狀態報告等。

雖然SMS系統已經內置了190多種報表，但這仍然不能滿足企業的實際需求，好在管理員還可以通過SMS管理控制臺中的“報表”節點設置一些相關的篩選條件，自己定義出符合需求的報表。同時SMS也支持通過SMS管理控制臺中的“報表”節點，依照需求新增所要查看的各種報告類別的儀表板功能，如圖1-3所示。

在實現了應用程序部署后，SMS更關注應用程序的部署能力。凡是被安裝了SMS代理程序的計算機，只要目前在正常連接的狀態下，隨時都有可能接收到管理端依照向導設置分發下來的應用程序。而管理者只需要預先將這些安裝程序，例如Office、Acrobat、Service Pack，以及各類應用程序置放在任何可存取的網絡共享文件夾中，便可以輕松地將這些程序自動安裝在客戶端計算機上。

另外，管理人員還可以通過SMS提供的Installer程序將現有的應用程序重新安裝，讓客戶端的用戶完全不需要手動設置每一個安裝步驟的頁面，就能自動完成安裝。對于后續的應用程序部署狀態查詢，除了可以通過SMS控制臺來進行查看之外，還可以進一步通過SMS提供的報表服務來進行高級的統計分析。

在系統補丁更新管理部分，SMS有別于免費的WSUS。首先，SMS 2003可以輕松地將任何客戶端所需的補丁更新（如圖1-4所示），并通過向導模式分發到Active Directory中或工作組中的計算機上，而且SMS可以支持Windows 98以上的所有操作系統。

1.3 SMS 2003 SP3簡介

目前SMS 2003的最新Service Pack版本為Service Pack 3，本節會介紹SMS 2003 SP3的一些新特性。

1.3.1 應用程序部署

在安裝SP3之后，SMS 2003在應用程序部署方面將包含下列增強的功能：

更詳細的軟件清單：SP3提供了詳細的應用程序部署信息，以及相關的群組信息、硬件信息、已存在的用程序、版本信息、補丁更新狀態與Service Pack信息。

更靈活多樣的分發策略：通過軟件的分發及管理工作，SMS管理員可以針對特定的計算機和用戶，以及它們各自多樣的屬性內容進行分發。例如：活動目錄組織單位、群組成員、硬件型號、IP地址段等。

站點和分發點服務器間的差異性更新：對于SMS 2003站點服務器與分發點服務器間的應用程序部署的更新，如果源文件發生改變，系統會將改變的部分自動更新到分發點服務器。

提高權限的Windows Installer服務：由于SMS 2003本身支持了Windows Installer（.msi）的安裝方法，因此它可以讓該程序在安裝的過程中切換執行用戶憑據。

添加刪除程序的支持：SMS除了支持傳統的直接分發到客戶端上安裝方式外，還可以發布到客戶端的控制臺中的“添加刪除程序”中，讓用戶自行選擇需要的軟件安裝。

1.3.2 軟硬件資產管理

隨著大多數企業機構所部署的軟件產品與服務范圍年復一年地擴大，企業的IT管理人員針對此類應用的整個生命周期實施管理的重要性也在不斷提高。根據當前許可授權等級的要求，對軟件實際使用情況進行跟蹤的做法可確保年度許可授權成本與軟件使用狀況保持同步，從而成為最簡單卻最直接的節約成本的手段。管理人員不僅對安裝在每臺計算機上的應用實施監控，而且還要對已安裝應用軟件的使用頻率進行跟蹤，以便為企業提供較為準確的軟件使用情況需求預測。此外，只有了解使用范圍最廣的應用軟件，測試情境和升級項目才能更加準確地反映出真實的部署環境，從而降低在整個企業范圍內進行調整的成本。

管理人員可以通過SMS中的軟件分發的報表功能，對客戶端計算機的應用程序的安裝情況實施跟蹤，并將其與實際應用狀況相結合，從而提供適當的解決方案。SMS在2.0版本中采用的軟件計數方法已經適合大型組織機構規模了，而SMS 2003對軟件計數方法作了較大的調整，來幫助大型企業實現這些功能：哪些應用程序正在使用，這些應用程序的使用頻率有多高，這些應用程序的最大并發有多少等實際用戶需求。如此一來，管理員就可以更準確地掌握企業的軟件需求情況，并可對本企業實際所需軟件許可證進行更加準確地評估。SMS 2003中的軟件計數功能可以實現：

應用程序使用監控：管理者可以很輕易地知道哪些用戶或計算機曾經使用過哪些應用程序，以及同一時間應用程序的使用情況比較。

更新微軟件列表的文件層級的發現：管理者可以自定義所要從客戶端清查的文件信息。

更詳盡的軟硬件信息清單：通過使用功能強大Windows管理規范（簡稱WMI），提高了對客戶端資產收集效率，同時也支持通過WMI對于客戶端計算機BIOS信息的收集。

內容豐富的Web報表：SMS內置包括軟件資產信息，硬件資產信息，軟件計數，軟件分發狀態等各類報表，內置報表超過190種。

1.3.3 安全補丁更新管理

在安全補丁管理方面，SMS 2003可以實現下列功能。

系統漏洞掃描：基于微軟標準的安全分析工具，功能類似于MBSA與Office更新清單工具，可以用于自動完成客戶端系統漏洞的自動發現和收集工作。

補丁更新部署向導：通過補丁更新部署向導，可以幫助管理員快速地部署更新程序到指定的客戶端。

弱點評估與評估報告：對于已經完成弱點識別后的更新遺失，這些相關的報告與更新目標信息將會儲存在數據庫中，管理者依舊可以選擇性的立即更新遺漏的更新項目。

1.3.4 移動設備管理

現代化的企業中，除了傳統的臺式機、筆記本外，還有越來越多的員工在使用移動設備，例如智能手機、PDA、POS機等。為了對這些新設備提供支持，SMS 2003增強了對移動設備的管理。并且根據移動設備的一些特性進行了充分的優化。基本上，SMS 2003在管理移動設備方面可以實現下列功能。

客戶端帶寬感知：在SMS 2003高級客戶端的功能中，支持了結合服務器端BITS服務的文件傳送機制，讓客戶端可以自動檢測目前網絡帶寬情況，并實現最佳文件傳輸效率。

斷點續傳：許多軟件的分發可能會因為文件數量較多或較大，因而在自動化部署的過程中，會因為移動用戶的斷線而需要重新下載安裝。如今SMS 2003中已經支持續傳下載更新。

向導執行下載程序：對于應用程序的部署，在預先下載到客戶端后可以處于緩存模式，直到所設置的向導安裝時間到時再開始進行安裝。

漫游位置感知：對于移動用戶來說，可能需要經常性的變更臨時的辦公位置，因此SMS 2003的客戶端代理程序能夠自動檢測到最佳的應用程序安裝來源。

1.3.5 Windows管理服務整合

Active Directory支持與SMS 2003之間的高度集成可以讓管理人員根據組織單元的成員、用戶組、計算機組甚至與Microsoft Exchange分配列表等非安全對象為對象進行軟件部署定位。

這種Active Directory支持的實現方法為：發現Active Directory中的所有用戶和計算機相對應的對象成員資格，并將這些成員資格作為屬性添加到由SMS 2003數據庫存儲的目錄數據當中。管理人員可以通過與硬件或軟件目錄屬性使用方法完全相同的方法借助這些Active Directory屬性創建目標集合。

管理人員還可以對Active Directory搜索過程進行自定義配置，例如選擇不同的時間計劃，并將所需執行搜索的Active Directory層級組成部分納入定位范圍。這種力度控制將確保Active Directory整體性能不會受到搜索進程的重大影響。

SMS 2003還可借助Active Directory向網絡上的客戶端發布特定SMS服務與服務器所處位置。SMS 2003能夠將Active Directory用作定位服務，并在此基礎上簡化客戶端操作，并盡可能地降低客戶端服務搜索時產生的網絡流量。

此外，SMS 2003站點邊界可以在邏輯上與Active Directory站點定義相對應。Active Directory站點定義特性可以讓管理人員使用子網通配符定義站點邊界，這樣可以將覆蓋面較大的IP地址輕松集成到SMS站點界限集合當中。

在這方面，SMS 2003的功能主要表現在：

Active Directory收集支持：目前SMS 2003已經可以用于收集保存在Active Directory中的用戶與系統的屬性信息，包含組織單位容器、組成員。而軟件數據包的分發目標則可以同樣按照這一些屬性來部署。

結合Active Directory站點的邊界管理：有關邊界的設置目前已經可以依照Active Directory站點的部署來規劃，而非只是按照IP子域的方式完成。

高級安全模式支持：本機計算機賬戶和本機系統賬戶的使用，可以有助于所有服務器間的運作（例如，數據庫的讀寫），并且可以大幅簡化許多賬戶與密碼的管理，節省管理者對于各類系統賬戶權限配置的安全性問題。

改善了狀態監控工具：狀態數據提供了有關SMS 2003系統實時的操作處理過程，并且包含了服務器端和客戶端。

Windows XP遠程協助支持：通過SMS 2003的控制臺結合Windows XP遠程協助功能，管理員可以快速地協助遠程使用者計算機問題的故障排除。

SMS 2003的更新中除了包含以上介紹的所有新增加和完善的功能外，還添加了許多最新公告的修補程序，而且也同時新增一些管理上的功能以及操作性能上的改善。

SMS管理控制臺使用上的改變：

● 采用FQDN查詢方式聯系SMS的管理站點以及分發站點，而不是NetBIOS。

● SMS各站點服務器的命名可以使用FQDN輸入方式，取代了以前必須要求15個字符的NetBIOS計算機名稱。

● 增加了Active Directory安全組發現這一方法。

● 在軟件更新節點上的操作，支持管理員自行建立文件夾來作為群組分類的管理。

● SMS高級客戶端可以支持三種架構的平臺，分別是IA64、x64、x86。

● 增加傳送客戶端刪除記錄到SMS父站點，以及傳送這些通知到整個層次式架構的SMS服務器上的功能。

SMS提供了基于Microsoft Update引擎的更新管理工具ITMU（Inventory Tool for Microsoft Updates），只要安裝ITMU就可以實現Windows系統、Office，以及其他微軟產品的補丁更新管理。

多線程的軟件資產清單處理。

SMS負責軟件清單處理的核心服務SMS Executive組件采用了多線程的處理機制，可以讓資產管理過程中的大量數據處理更有效率。

1.3.6 WBEM和WMI

WBEM是一種統一了企業計算環境的第一個公開標準，WBEM提供了一系列標準的管理工具，這些工具都是基于XML的。使用這類工具的意義在于桌面管理任務使得企業需要一系列標準的工具，以便支持數據模型以及通用信息模型（CIM）。

那么到底什么是WBEM？其實WBEM是一個開放的標準，可以讓供應商和制造商以一個統一的標準配合，提供有關軟硬件的通用數據。這些信息可以保存在類似“容器”的數據庫中。

那么WMI是否滿足這一標準呢？WMI是一種實用技術，可以讓腳本通過網絡，以及WBEM容器監控和管理資源。這些資源可能是硬件，不過有些則可能是事件日志，或者基于事件類型的數據。WMI可以用于Windows 2000以上的操作系統中，并且可以安裝到任何32位Windows客戶端中。

SMS 2003可以利用這些資源實現自己的操作和清單功能。我們可以借助腳本通過WMI觸發SMS事件，而可以使用SMS從客戶端系統的WBEM容器中借助WMI查詢清單信息。這些功能以及互相之間的緊密結合出現在至少兩個SMS 2003的功能中。

1.3.7 資產智能

“資產智能”功能擴展了SMS 2003的軟硬件清單功能，可以方便地跟蹤微軟軟件應用程序許可證，而且可以向管理員提供合規性跟蹤報告，并有助于企業控制盜版軟件的使用?！百Y產智能”以易于理解的格式提供準確的軟件安裝和使用數據，從而可以更好地評估組織中的許可需求和使用情況。

新功能包括增強的軟件標識、硬件升級跟蹤，以及帶有鉆取功能的多種新報告。鉆取報告使管理員可以輕松了解組織的硬件或軟件概況，并且鉆取到后續報告直到獲得所需的詳細信息，甚至可以鉆取到單臺計算機的完整信息（包括硬件、軟件和許可證狀態）。

新的微軟許可證功能能夠保持和微軟許可報表的一致，可以更好地促進許可證管理。這些報告中呈現的信息可指示多項參數，例如特定產品的安裝數目、每臺計算機和每個軟件項的許可證狀態，以及軟件許可證的銷售渠道。

為運行Windows Vista的計算機新增的支持功能包括用于監視作為密鑰管理服務器（KMS）的計算機和即將過期許可證的報告。此外，SMS 2003還可以提供標準報告，可指示升級到Windows Vista的準備情況，并標識每臺計算機需要在磁盤、內存和處理器方面做出哪些改進。

1.3.8 Windows Vista支持

SMS 2003 SP3提供了對Windows Vista的支持，其中可以支持安裝：Windows Vista Business Edition、Windows Vista Enterprise Edition和Windows Vista Ultimate Edition版本的操作系統，不過無法支持安裝Windows Vista Home Basic和Windows Vista Home Premium版本的操作系統。

1.3.9 64位支持

SMS 2003還提供了對在64位處理器上，以32位模式運行的客戶端的支持。SMS 2003通過添加一個新類“Add Remove Programs（64）”以便從使用64位處理器的計算機中收集64位軟件庫存清單信息，從而擴展了上述支持。

1.3.10 文件大小庫存清單的改進

虛擬機和其他高級計算功能越來越依賴于大型文件。在SMS 2003 SP3之前，庫存文件大小為32Bit整數。因此，如果文件大小超過2GB，則報告的文件大小信息會出錯。SMS 2003 SP3已將此限制增大為64Bit，從而增加了對2GB以上文件庫存清單的支持。

1.4 SMS 2003 R2新功能介紹

SMS 2003 R2需要部署在SMS SP2以上版本中，R2可以提供針對微軟平臺下功能更強大的變更與狀態管理，在這個版本中同時也賦予管理人員可以同時進行企業中所有非微軟所發行的應用程序進行軟件更新，例如企業中的ERP系統程序補丁，或者第三方所發行的應用程序，這樣可以進一步降低企業的IT運營成本。

SMS在企業的IT管理中扮演著極為重要的變更管理與安全管理的角色，國內外有許多大中型企業選擇使用它來幫助企業解決在IT管理上所遭遇到的難題與瓶頸，例如，無法有效地盤點企業的軟硬件資產、難以落實所擬定的信息化使用條例、各種應用程序的大量部署費時又費力、難以準確地掌握各類合法版權軟件的使用情形，以及補丁更新的管理無法達到全面自動化部署等。

1.4.1 系統弱點掃描工具

客戶端許多軟件安裝上的錯誤或各種系統配置設置上的不當，可能會造成系統安全上與穩定上的問題，如此一來將會導致IT部門在支持成本上的逐漸攀升。在SMS 2003 R2中，我們可以通過Scan Tool for Vulnerability Assessment工具（簡稱STVA）幫助IT管理人員在客戶端計算機的集中管理過程中避免這些可能的錯誤。而在該工具成功執行后，IT人員可以獲得一份完整的客戶端系統弱點評估報告，該功能使用的掃描引擎是Microsoft Baseline Security Analyzer 2.0（簡稱MSBA），該引擎可以檢測的項目主要包括：

是否有系統不需要的服務被安裝或正在執行當中。

客戶端計算機上所設置的文件共享是否有設置適當的權限配置。

Windows XP或Windows Vista中內置的防火墻功能是否已啟用。

客戶端計算機上的自動更新功能是否已啟用。

用戶的密碼配置原則是否有強制采用符合密碼復雜度原則。

操作系統默認中未啟用的Guest賬戶是否有被啟用。

本機計算機中是否有太多用戶屬于Administrators組成員。

軟件安裝錯誤和錯誤的配置會危及安全性和穩定性，導致支持成本不斷增多。用于弱點評估的掃描工具有助于防止錯誤，從而增加了企業的正常運行時間，并幫助我們構建更加安全的基礎架構。該工具使用MBSA 2.0引擎針對普通軟件錯誤配置，提供弱點評估報告。

該工具可以掃描下列問題：

掃描企業因配置錯誤而產生的安全漏洞。

STVA檢測實例。

是否安裝并運行不必要的服務？

文件共享是否需要適當的許可？

系統是否啟動Windows防火墻？

系統是否啟動自動更新？

系統是否強制要求復雜的用戶口令？

系統是否存在不安全的用戶賬戶？

客戶端計算機上是否有多個本地管理員？

1.4.2 自定義更新清單工具

在SMS 2003 R2中提供了可以讓管理員管理所有非微軟應用程序更新的工具：Inventory Tool for Custom Updates（簡稱為ITCU），ITCU主要包括下列兩個部分：

掃描工具：掃描工具用來針對客戶端情況進行掃描和評估應用程序狀況。

發布工具：管理員可以通過發布工具將定義好的應用程序補丁導入到SMS中，通過原有的軟件更新管理來自動為客戶端的應用程序進行修補工作。

1.4.3 操作系統部署

SMS 2003在R2分發中提供了操作系統部署功能包。如今我們也可以通過它來部署企業客戶端的操作系統，只是這些功能默認并沒有安裝在具有SMS代理程序的計算機上。那么到底要如何使用SMS部署全新的操作系統？如何進行現有Windows XP自動升級至Windows Vista？

事實上這部分功能是在SMS 2003服務器上安裝OS組件部署功能包（OSD）之后提供的功能。通過使用SMS 2003的OS部署功能包，我們可以結合RIS服務來進行操作系統的大量部署，另外還可以將它所產生的WIM（Windows Imaging Format）格式的鏡像文件刻錄成可引導的光盤，然后用這樣的引導光盤直接進行安裝。

該功能可以部署的操作系統版本包含了大部分主流客戶端與服務器端操作系統。而對于要部署的目標計算機來說，我們還可以選擇采用升級或全新安裝的部署方式。本書中會同時介紹如何通過OS部署功能包進行Windows Vista的大量部署，以及如何將現有的Windows XP全面自動化大量升級為Windows Vista。

以下讓我們了解一下采用OSD部署方式從客戶端到服務器端的系統的一些要求。

OSD部署方式對于環境有一些要求，具體的要求如下：

1．DHCP與RIS服務器

無論是進行Windows XP或Windows Vista部署，對于新的部署安裝來說，都需要預先在網絡上確認DHCP服務是在正常工作狀態下。如果目前網絡中尚未有DHCP服務，則需要額外從“Windows添加/刪除”組件程序中安裝。而安裝RIS組件，則是目前使用OSD組件進行大量網絡部署Windows系統的重要條件。

2．SMS 2003站點服務器

部署SMS 2003站點服務器所需要的最低硬盤空間為175MB，并且必須確認已經啟用了管理點，并正確設置了高級客戶端的網絡訪問賬戶。如果想要部署Windows NT 4.0 SP6的操作系統，則必須確認正確配置了舊版客戶端網絡訪問賬戶設置。

整個OS部署功能包安裝如圖1-5所示，只要單擊SMS 2003 R2安裝菜單中的“OS部署功能包”選項，即可立即自動連接到微軟公司的網站上，下載最新版本的OS部署功能包。這個過程中沒有什么需要特別注意的設置，不過如果在安裝過程中遇到問題，則可以參考SMS\Logs目錄下的兩個日志文件，這兩個文件分別是OSDeploymentsetup.log和OSDeploymentmsi.log。

3．模板計算機

安裝了Windows 2000以上版本的操作系統，需要安裝SMS 2003高級客戶端，但不需要分配到SMS站點中，無須加入域工作組狀態即可。

4．磁盤與IP地址分配

使用DHCP方式獲得IP地址分配。

系統引導分區為“C:”，并且必須使用NTFS文件系統。

在C:\中創建Sysprep，并且將對應模板系統版本的Deploy.cab中的文件復制到Sysprep文件夾中。

5．目標計算機

如果要部署的目標計算機是全新的，則對于操作系統版本，以及SMS客戶端代理程序的安裝沒有什么要求。如果是要進行升級部署安裝，則這些計算機必須至少安裝了Windows NT 4.0 SP6以上的系統，并且已經安裝了SMS 2003 SP1以上的客戶端代理程序，“C:”盤為引導盤，使用NTFS文件系統。