第1章 SMS 2003概述

1.1 概述

Microsoft Systems Management Server是微軟公司推出的基于ITIL（IT Infrastructure Library，IT基礎(chǔ)架構(gòu)庫）的變更和配置管理解決方案。Systems Management Server（下文統(tǒng)一簡稱為SMS）從最初的雛形到現(xiàn)在的第四版，已經(jīng)發(fā)布了六個版本。從最初的SMS 1.0版到現(xiàn)在的SCCM 2007，可以說無論是功能還是報表，無論是用戶體驗還是系統(tǒng)穩(wěn)定性，都有了相當大的飛躍，尤其是在融合了ITIL的變更和配置管理方面的功能后更是如此。

SMS為企業(yè)提供了軟硬件資產(chǎn)管理、軟件分發(fā)、補丁管理、遠程診斷和排錯、操作系統(tǒng)部署等主要功能。所以很多IT管理人員一直用SMS對企業(yè)內(nèi)基于Windows操作系統(tǒng)的桌面計算機和服務(wù)器進行有效的管理。近幾年，隨著這些企業(yè)中基于Windows系統(tǒng)平臺的計算機部署數(shù)量的大幅增長，SMS在幫助IT管理人員在支持PC和應(yīng)用部署規(guī)模持續(xù)擴張的同時，還能有效控制分布程度非常高的系統(tǒng)的管理成本，并將總體擁有成本保持在較低水平。

當然，隨著新技術(shù)不斷得到采用，以及PC應(yīng)用配置的日趨復雜化，基于Windows操作系統(tǒng)的PC設(shè)備部署環(huán)境也處在持續(xù)變化之中。Systems Management Server 2003（下文統(tǒng)一簡稱為SMS 2003或SMS）可以用來對這些發(fā)生在PC系統(tǒng)中的相關(guān)變更進行跟蹤，并提供支持。現(xiàn)在越來越多的企業(yè)開始在網(wǎng)絡(luò)系統(tǒng)內(nèi)部署Windows 20003 Server的Active Directory服務(wù)，Active Directory可以用于管理企業(yè)內(nèi)部的桌面計算機，因此桌面計算機的安全管理也顯得尤為重要。SMS 2003可對這種技術(shù)手段加以充分利用，從而進一步簡化客戶端與用戶管理程序的管理操作。許多Active Directory特性都與SMS的目標概念相對應(yīng)，這樣就可以讓IT管理人員借助Active Directory結(jié)構(gòu)和容器對軟件和目錄任務(wù)進行定位。

企業(yè)IT環(huán)境中的軟硬件資產(chǎn)管理與應(yīng)用程序部署，以及補丁更新管理等相關(guān)工作一直都是IT管理人員最頭疼的問題。許多在中大型企業(yè)工作的IT管理人員都希望能夠有一套完整的管理解決方案，來幫助他們減少日常的繁重工作，并提高工作效率。如果要靠傳統(tǒng)管理的方式進行資產(chǎn)盤點、系統(tǒng)補丁更新、軟件安裝，以及手動來制作相關(guān)報表等工作，這樣即使有再多的IT管理人員也忙不過來。

到目前為止，IT領(lǐng)域已經(jīng)有相當多的廠商開發(fā)出各式各樣的資產(chǎn)管理與軟件分發(fā)功能的產(chǎn)品，主要是為了在解決許多企業(yè)實現(xiàn)信息化的同時，不斷添購新的軟硬件設(shè)備時所投入的人力資源與管理成本的問題。

那么相比其他同類產(chǎn)品，微軟的SMS又有什么優(yōu)勢？

SMS 2003可以提供如下優(yōu)勢：

智能的軟硬件資產(chǎn)管理，以及相關(guān)的分析報告。

客戶端計算機與服務(wù)器弱點管理，以及相關(guān)的分析報告。

一般軟件與微軟補丁程序的分發(fā)管理、非微軟產(chǎn)品的更新管理。

對企業(yè)使用的軟件計量和評估分析。

對企業(yè)中移動設(shè)備的集中管理。

軟件部署以及相關(guān)的分析報告。

桌面計算機遠程協(xié)助支持

網(wǎng)絡(luò)流量的監(jiān)控、對指定計算機之間的文件包傳輸監(jiān)測。

操作系統(tǒng)部署

與Active Directory緊密結(jié)合、用戶和用戶組，以及計算機資源的收集。

1.2 SMS 2003基本功能演示

如圖1-1所示的是SMS 2003管理控制臺，通過這個單一的接口，管理員將可以管理分布在各地區(qū)的SMS 2003服務(wù)器，并且可以借助網(wǎng)絡(luò)和Active Directory發(fā)現(xiàn)功能，將所有被管理的客戶端計算機集中分類在各自所屬的類別清單之中，隨后還可以進行后續(xù)的代理程序安裝、應(yīng)用程序的部署，以及系統(tǒng)補丁更新項目的分發(fā)等工作。對于分發(fā)的結(jié)果、軟件數(shù)據(jù)包的狀態(tài)、站點的狀態(tài)。

SMS管理員或企業(yè)的管理者可以通過SMS的報表功能，根據(jù)實際查詢的需求，選擇適當?shù)念悇e進行條件的設(shè)置，然后進行查詢（如圖1-2所示）。例如，可以查詢的內(nèi)容包括：軟硬件資產(chǎn)統(tǒng)計信息、軟件分發(fā)與補丁分發(fā)的狀態(tài)報告等。

雖然SMS系統(tǒng)已經(jīng)內(nèi)置了190多種報表，但這仍然不能滿足企業(yè)的實際需求，好在管理員還可以通過SMS管理控制臺中的“報表”節(jié)點設(shè)置一些相關(guān)的篩選條件，自己定義出符合需求的報表。同時SMS也支持通過SMS管理控制臺中的“報表”節(jié)點，依照需求新增所要查看的各種報告類別的儀表板功能，如圖1-3所示。

在實現(xiàn)了應(yīng)用程序部署后，SMS更關(guān)注應(yīng)用程序的部署能力。凡是被安裝了SMS代理程序的計算機，只要目前在正常連接的狀態(tài)下，隨時都有可能接收到管理端依照向?qū)гO(shè)置分發(fā)下來的應(yīng)用程序。而管理者只需要預先將這些安裝程序，例如Office、Acrobat、Service Pack，以及各類應(yīng)用程序置放在任何可存取的網(wǎng)絡(luò)共享文件夾中，便可以輕松地將這些程序自動安裝在客戶端計算機上。

另外，管理人員還可以通過SMS提供的Installer程序?qū)F(xiàn)有的應(yīng)用程序重新安裝，讓客戶端的用戶完全不需要手動設(shè)置每一個安裝步驟的頁面，就能自動完成安裝。對于后續(xù)的應(yīng)用程序部署狀態(tài)查詢，除了可以通過SMS控制臺來進行查看之外，還可以進一步通過SMS提供的報表服務(wù)來進行高級的統(tǒng)計分析。

在系統(tǒng)補丁更新管理部分，SMS有別于免費的WSUS。首先，SMS 2003可以輕松地將任何客戶端所需的補丁更新（如圖1-4所示），并通過向?qū)Ｊ椒职l(fā)到Active Directory中或工作組中的計算機上，而且SMS可以支持Windows 98以上的所有操作系統(tǒng)。

1.3 SMS 2003 SP3簡介

目前SMS 2003的最新Service Pack版本為Service Pack 3，本節(jié)會介紹SMS 2003 SP3的一些新特性。

1.3.1 應(yīng)用程序部署

在安裝SP3之后，SMS 2003在應(yīng)用程序部署方面將包含下列增強的功能：

更詳細的軟件清單：SP3提供了詳細的應(yīng)用程序部署信息，以及相關(guān)的群組信息、硬件信息、已存在的用程序、版本信息、補丁更新狀態(tài)與Service Pack信息。

更靈活多樣的分發(fā)策略：通過軟件的分發(fā)及管理工作，SMS管理員可以針對特定的計算機和用戶，以及它們各自多樣的屬性內(nèi)容進行分發(fā)。例如：活動目錄組織單位、群組成員、硬件型號、IP地址段等。

站點和分發(fā)點服務(wù)器間的差異性更新：對于SMS 2003站點服務(wù)器與分發(fā)點服務(wù)器間的應(yīng)用程序部署的更新，如果源文件發(fā)生改變，系統(tǒng)會將改變的部分自動更新到分發(fā)點服務(wù)器。

提高權(quán)限的Windows Installer服務(wù)：由于SMS 2003本身支持了Windows Installer（.msi）的安裝方法，因此它可以讓該程序在安裝的過程中切換執(zhí)行用戶憑據(jù)。

添加刪除程序的支持：SMS除了支持傳統(tǒng)的直接分發(fā)到客戶端上安裝方式外，還可以發(fā)布到客戶端的控制臺中的“添加刪除程序”中，讓用戶自行選擇需要的軟件安裝。

1.3.2 軟硬件資產(chǎn)管理

隨著大多數(shù)企業(yè)機構(gòu)所部署的軟件產(chǎn)品與服務(wù)范圍年復一年地擴大，企業(yè)的IT管理人員針對此類應(yīng)用的整個生命周期實施管理的重要性也在不斷提高。根據(jù)當前許可授權(quán)等級的要求，對軟件實際使用情況進行跟蹤的做法可確保年度許可授權(quán)成本與軟件使用狀況保持同步，從而成為最簡單卻最直接的節(jié)約成本的手段。管理人員不僅對安裝在每臺計算機上的應(yīng)用實施監(jiān)控，而且還要對已安裝應(yīng)用軟件的使用頻率進行跟蹤，以便為企業(yè)提供較為準確的軟件使用情況需求預測。此外，只有了解使用范圍最廣的應(yīng)用軟件，測試情境和升級項目才能更加準確地反映出真實的部署環(huán)境，從而降低在整個企業(yè)范圍內(nèi)進行調(diào)整的成本。

管理人員可以通過SMS中的軟件分發(fā)的報表功能，對客戶端計算機的應(yīng)用程序的安裝情況實施跟蹤，并將其與實際應(yīng)用狀況相結(jié)合，從而提供適當?shù)慕鉀Q方案。SMS在2.0版本中采用的軟件計數(shù)方法已經(jīng)適合大型組織機構(gòu)規(guī)模了，而SMS 2003對軟件計數(shù)方法作了較大的調(diào)整，來幫助大型企業(yè)實現(xiàn)這些功能：哪些應(yīng)用程序正在使用，這些應(yīng)用程序的使用頻率有多高，這些應(yīng)用程序的最大并發(fā)有多少等實際用戶需求。如此一來，管理員就可以更準確地掌握企業(yè)的軟件需求情況，并可對本企業(yè)實際所需軟件許可證進行更加準確地評估。SMS 2003中的軟件計數(shù)功能可以實現(xiàn)：

應(yīng)用程序使用監(jiān)控：管理者可以很輕易地知道哪些用戶或計算機曾經(jīng)使用過哪些應(yīng)用程序，以及同一時間應(yīng)用程序的使用情況比較。

更新微軟件列表的文件層級的發(fā)現(xiàn)：管理者可以自定義所要從客戶端清查的文件信息。

更詳盡的軟硬件信息清單：通過使用功能強大Windows管理規(guī)范（簡稱WMI），提高了對客戶端資產(chǎn)收集效率，同時也支持通過WMI對于客戶端計算機BIOS信息的收集。

內(nèi)容豐富的Web報表：SMS內(nèi)置包括軟件資產(chǎn)信息，硬件資產(chǎn)信息，軟件計數(shù)，軟件分發(fā)狀態(tài)等各類報表，內(nèi)置報表超過190種。

1.3.3 安全補丁更新管理

在安全補丁管理方面，SMS 2003可以實現(xiàn)下列功能。

系統(tǒng)漏洞掃描：基于微軟標準的安全分析工具，功能類似于MBSA與Office更新清單工具，可以用于自動完成客戶端系統(tǒng)漏洞的自動發(fā)現(xiàn)和收集工作。

補丁更新部署向?qū)В和ㄟ^補丁更新部署向?qū)В梢詭椭芾韱T快速地部署更新程序到指定的客戶端。

弱點評估與評估報告：對于已經(jīng)完成弱點識別后的更新遺失，這些相關(guān)的報告與更新目標信息將會儲存在數(shù)據(jù)庫中，管理者依舊可以選擇性的立即更新遺漏的更新項目。

1.3.4 移動設(shè)備管理

現(xiàn)代化的企業(yè)中，除了傳統(tǒng)的臺式機、筆記本外，還有越來越多的員工在使用移動設(shè)備，例如智能手機、PDA、POS機等。為了對這些新設(shè)備提供支持，SMS 2003增強了對移動設(shè)備的管理。并且根據(jù)移動設(shè)備的一些特性進行了充分的優(yōu)化。基本上，SMS 2003在管理移動設(shè)備方面可以實現(xiàn)下列功能。

客戶端帶寬感知：在SMS 2003高級客戶端的功能中，支持了結(jié)合服務(wù)器端BITS服務(wù)的文件傳送機制，讓客戶端可以自動檢測目前網(wǎng)絡(luò)帶寬情況，并實現(xiàn)最佳文件傳輸效率。

斷點續(xù)傳：許多軟件的分發(fā)可能會因為文件數(shù)量較多或較大，因而在自動化部署的過程中，會因為移動用戶的斷線而需要重新下載安裝。如今SMS 2003中已經(jīng)支持續(xù)傳下載更新。

向?qū)?zhí)行下載程序：對于應(yīng)用程序的部署，在預先下載到客戶端后可以處于緩存模式，直到所設(shè)置的向?qū)О惭b時間到時再開始進行安裝。

漫游位置感知：對于移動用戶來說，可能需要經(jīng)常性的變更臨時的辦公位置，因此SMS 2003的客戶端代理程序能夠自動檢測到最佳的應(yīng)用程序安裝來源。

1.3.5 Windows管理服務(wù)整合

Active Directory支持與SMS 2003之間的高度集成可以讓管理人員根據(jù)組織單元的成員、用戶組、計算機組甚至與Microsoft Exchange分配列表等非安全對象為對象進行軟件部署定位。

這種Active Directory支持的實現(xiàn)方法為：發(fā)現(xiàn)Active Directory中的所有用戶和計算機相對應(yīng)的對象成員資格，并將這些成員資格作為屬性添加到由SMS 2003數(shù)據(jù)庫存儲的目錄數(shù)據(jù)當中。管理人員可以通過與硬件或軟件目錄屬性使用方法完全相同的方法借助這些Active Directory屬性創(chuàng)建目標集合。

管理人員還可以對Active Directory搜索過程進行自定義配置，例如選擇不同的時間計劃，并將所需執(zhí)行搜索的Active Directory層級組成部分納入定位范圍。這種力度控制將確保Active Directory整體性能不會受到搜索進程的重大影響。

SMS 2003還可借助Active Directory向網(wǎng)絡(luò)上的客戶端發(fā)布特定SMS服務(wù)與服務(wù)器所處位置。SMS 2003能夠?qū)ctive Directory用作定位服務(wù)，并在此基礎(chǔ)上簡化客戶端操作，并盡可能地降低客戶端服務(wù)搜索時產(chǎn)生的網(wǎng)絡(luò)流量。

此外，SMS 2003站點邊界可以在邏輯上與Active Directory站點定義相對應(yīng)。Active Directory站點定義特性可以讓管理人員使用子網(wǎng)通配符定義站點邊界，這樣可以將覆蓋面較大的IP地址輕松集成到SMS站點界限集合當中。

在這方面，SMS 2003的功能主要表現(xiàn)在：

Active Directory收集支持：目前SMS 2003已經(jīng)可以用于收集保存在Active Directory中的用戶與系統(tǒng)的屬性信息，包含組織單位容器、組成員。而軟件數(shù)據(jù)包的分發(fā)目標則可以同樣按照這一些屬性來部署。

結(jié)合Active Directory站點的邊界管理：有關(guān)邊界的設(shè)置目前已經(jīng)可以依照Active Directory站點的部署來規(guī)劃，而非只是按照IP子域的方式完成。

高級安全模式支持：本機計算機賬戶和本機系統(tǒng)賬戶的使用，可以有助于所有服務(wù)器間的運作（例如，數(shù)據(jù)庫的讀寫），并且可以大幅簡化許多賬戶與密碼的管理，節(jié)省管理者對于各類系統(tǒng)賬戶權(quán)限配置的安全性問題。

改善了狀態(tài)監(jiān)控工具：狀態(tài)數(shù)據(jù)提供了有關(guān)SMS 2003系統(tǒng)實時的操作處理過程，并且包含了服務(wù)器端和客戶端。

Windows XP遠程協(xié)助支持：通過SMS 2003的控制臺結(jié)合Windows XP遠程協(xié)助功能，管理員可以快速地協(xié)助遠程使用者計算機問題的故障排除。

SMS 2003的更新中除了包含以上介紹的所有新增加和完善的功能外，還添加了許多最新公告的修補程序，而且也同時新增一些管理上的功能以及操作性能上的改善。

SMS管理控制臺使用上的改變：

● 采用FQDN查詢方式聯(lián)系SMS的管理站點以及分發(fā)站點，而不是NetBIOS。

● SMS各站點服務(wù)器的命名可以使用FQDN輸入方式，取代了以前必須要求15個字符的NetBIOS計算機名稱。

● 增加了Active Directory安全組發(fā)現(xiàn)這一方法。

● 在軟件更新節(jié)點上的操作，支持管理員自行建立文件夾來作為群組分類的管理。

● SMS高級客戶端可以支持三種架構(gòu)的平臺，分別是IA64、x64、x86。

● 增加傳送客戶端刪除記錄到SMS父站點，以及傳送這些通知到整個層次式架構(gòu)的SMS服務(wù)器上的功能。

SMS提供了基于Microsoft Update引擎的更新管理工具ITMU（Inventory Tool for Microsoft Updates），只要安裝ITMU就可以實現(xiàn)Windows系統(tǒng)、Office，以及其他微軟產(chǎn)品的補丁更新管理。

多線程的軟件資產(chǎn)清單處理。

SMS負責軟件清單處理的核心服務(wù)SMS Executive組件采用了多線程的處理機制，可以讓資產(chǎn)管理過程中的大量數(shù)據(jù)處理更有效率。

1.3.6 WBEM和WMI

WBEM是一種統(tǒng)一了企業(yè)計算環(huán)境的第一個公開標準，WBEM提供了一系列標準的管理工具，這些工具都是基于XML的。使用這類工具的意義在于桌面管理任務(wù)使得企業(yè)需要一系列標準的工具，以便支持數(shù)據(jù)模型以及通用信息模型（CIM）。

那么到底什么是WBEM？其實WBEM是一個開放的標準，可以讓供應(yīng)商和制造商以一個統(tǒng)一的標準配合，提供有關(guān)軟硬件的通用數(shù)據(jù)。這些信息可以保存在類似“容器”的數(shù)據(jù)庫中。

那么WMI是否滿足這一標準呢？WMI是一種實用技術(shù)，可以讓腳本通過網(wǎng)絡(luò)，以及WBEM容器監(jiān)控和管理資源。這些資源可能是硬件，不過有些則可能是事件日志，或者基于事件類型的數(shù)據(jù)。WMI可以用于Windows 2000以上的操作系統(tǒng)中，并且可以安裝到任何32位Windows客戶端中。

SMS 2003可以利用這些資源實現(xiàn)自己的操作和清單功能。我們可以借助腳本通過WMI觸發(fā)SMS事件，而可以使用SMS從客戶端系統(tǒng)的WBEM容器中借助WMI查詢清單信息。這些功能以及互相之間的緊密結(jié)合出現(xiàn)在至少兩個SMS 2003的功能中。

1.3.7 資產(chǎn)智能

“資產(chǎn)智能”功能擴展了SMS 2003的軟硬件清單功能，可以方便地跟蹤微軟軟件應(yīng)用程序許可證，而且可以向管理員提供合規(guī)性跟蹤報告，并有助于企業(yè)控制盜版軟件的使用。“資產(chǎn)智能”以易于理解的格式提供準確的軟件安裝和使用數(shù)據(jù)，從而可以更好地評估組織中的許可需求和使用情況。

新功能包括增強的軟件標識、硬件升級跟蹤，以及帶有鉆取功能的多種新報告。鉆取報告使管理員可以輕松了解組織的硬件或軟件概況，并且鉆取到后續(xù)報告直到獲得所需的詳細信息，甚至可以鉆取到單臺計算機的完整信息（包括硬件、軟件和許可證狀態(tài)）。

新的微軟許可證功能能夠保持和微軟許可報表的一致，可以更好地促進許可證管理。這些報告中呈現(xiàn)的信息可指示多項參數(shù)，例如特定產(chǎn)品的安裝數(shù)目、每臺計算機和每個軟件項的許可證狀態(tài)，以及軟件許可證的銷售渠道。

為運行Windows Vista的計算機新增的支持功能包括用于監(jiān)視作為密鑰管理服務(wù)器（KMS）的計算機和即將過期許可證的報告。此外，SMS 2003還可以提供標準報告，可指示升級到Windows Vista的準備情況，并標識每臺計算機需要在磁盤、內(nèi)存和處理器方面做出哪些改進。

1.3.8 Windows Vista支持

SMS 2003 SP3提供了對Windows Vista的支持，其中可以支持安裝：Windows Vista Business Edition、Windows Vista Enterprise Edition和Windows Vista Ultimate Edition版本的操作系統(tǒng)，不過無法支持安裝Windows Vista Home Basic和Windows Vista Home Premium版本的操作系統(tǒng)。

1.3.9 64位支持

SMS 2003還提供了對在64位處理器上，以32位模式運行的客戶端的支持。SMS 2003通過添加一個新類“Add Remove Programs（64）”以便從使用64位處理器的計算機中收集64位軟件庫存清單信息，從而擴展了上述支持。

1.3.10 文件大小庫存清單的改進

虛擬機和其他高級計算功能越來越依賴于大型文件。在SMS 2003 SP3之前，庫存文件大小為32Bit整數(shù)。因此，如果文件大小超過2GB，則報告的文件大小信息會出錯。SMS 2003 SP3已將此限制增大為64Bit，從而增加了對2GB以上文件庫存清單的支持。

1.4 SMS 2003 R2新功能介紹

SMS 2003 R2需要部署在SMS SP2以上版本中，R2可以提供針對微軟平臺下功能更強大的變更與狀態(tài)管理，在這個版本中同時也賦予管理人員可以同時進行企業(yè)中所有非微軟所發(fā)行的應(yīng)用程序進行軟件更新，例如企業(yè)中的ERP系統(tǒng)程序補丁，或者第三方所發(fā)行的應(yīng)用程序，這樣可以進一步降低企業(yè)的IT運營成本。

SMS在企業(yè)的IT管理中扮演著極為重要的變更管理與安全管理的角色，國內(nèi)外有許多大中型企業(yè)選擇使用它來幫助企業(yè)解決在IT管理上所遭遇到的難題與瓶頸，例如，無法有效地盤點企業(yè)的軟硬件資產(chǎn)、難以落實所擬定的信息化使用條例、各種應(yīng)用程序的大量部署費時又費力、難以準確地掌握各類合法版權(quán)軟件的使用情形，以及補丁更新的管理無法達到全面自動化部署等。

1.4.1 系統(tǒng)弱點掃描工具

客戶端許多軟件安裝上的錯誤或各種系統(tǒng)配置設(shè)置上的不當，可能會造成系統(tǒng)安全上與穩(wěn)定上的問題，如此一來將會導致IT部門在支持成本上的逐漸攀升。在SMS 2003 R2中，我們可以通過Scan Tool for Vulnerability Assessment工具（簡稱STVA）幫助IT管理人員在客戶端計算機的集中管理過程中避免這些可能的錯誤。而在該工具成功執(zhí)行后，IT人員可以獲得一份完整的客戶端系統(tǒng)弱點評估報告，該功能使用的掃描引擎是Microsoft Baseline Security Analyzer 2.0（簡稱MSBA），該引擎可以檢測的項目主要包括：

是否有系統(tǒng)不需要的服務(wù)被安裝或正在執(zhí)行當中。

客戶端計算機上所設(shè)置的文件共享是否有設(shè)置適當?shù)臋?quán)限配置。

Windows XP或Windows Vista中內(nèi)置的防火墻功能是否已啟用。

客戶端計算機上的自動更新功能是否已啟用。

用戶的密碼配置原則是否有強制采用符合密碼復雜度原則。

操作系統(tǒng)默認中未啟用的Guest賬戶是否有被啟用。

本機計算機中是否有太多用戶屬于Administrators組成員。

軟件安裝錯誤和錯誤的配置會危及安全性和穩(wěn)定性，導致支持成本不斷增多。用于弱點評估的掃描工具有助于防止錯誤，從而增加了企業(yè)的正常運行時間，并幫助我們構(gòu)建更加安全的基礎(chǔ)架構(gòu)。該工具使用MBSA 2.0引擎針對普通軟件錯誤配置，提供弱點評估報告。

該工具可以掃描下列問題：

掃描企業(yè)因配置錯誤而產(chǎn)生的安全漏洞。

STVA檢測實例。

是否安裝并運行不必要的服務(wù)？

文件共享是否需要適當?shù)脑S可？

系統(tǒng)是否啟動Windows防火墻？

系統(tǒng)是否啟動自動更新？

系統(tǒng)是否強制要求復雜的用戶口令？

系統(tǒng)是否存在不安全的用戶賬戶？

客戶端計算機上是否有多個本地管理員？

1.4.2 自定義更新清單工具

在SMS 2003 R2中提供了可以讓管理員管理所有非微軟應(yīng)用程序更新的工具：Inventory Tool for Custom Updates（簡稱為ITCU），ITCU主要包括下列兩個部分：

掃描工具：掃描工具用來針對客戶端情況進行掃描和評估應(yīng)用程序狀況。

發(fā)布工具：管理員可以通過發(fā)布工具將定義好的應(yīng)用程序補丁導入到SMS中，通過原有的軟件更新管理來自動為客戶端的應(yīng)用程序進行修補工作。

1.4.3 操作系統(tǒng)部署

SMS 2003在R2分發(fā)中提供了操作系統(tǒng)部署功能包。如今我們也可以通過它來部署企業(yè)客戶端的操作系統(tǒng)，只是這些功能默認并沒有安裝在具有SMS代理程序的計算機上。那么到底要如何使用SMS部署全新的操作系統(tǒng)？如何進行現(xiàn)有Windows XP自動升級至Windows Vista？

事實上這部分功能是在SMS 2003服務(wù)器上安裝OS組件部署功能包（OSD）之后提供的功能。通過使用SMS 2003的OS部署功能包，我們可以結(jié)合RIS服務(wù)來進行操作系統(tǒng)的大量部署，另外還可以將它所產(chǎn)生的WIM（Windows Imaging Format）格式的鏡像文件刻錄成可引導的光盤，然后用這樣的引導光盤直接進行安裝。

該功能可以部署的操作系統(tǒng)版本包含了大部分主流客戶端與服務(wù)器端操作系統(tǒng)。而對于要部署的目標計算機來說，我們還可以選擇采用升級或全新安裝的部署方式。本書中會同時介紹如何通過OS部署功能包進行Windows Vista的大量部署，以及如何將現(xiàn)有的Windows XP全面自動化大量升級為Windows Vista。

以下讓我們了解一下采用OSD部署方式從客戶端到服務(wù)器端的系統(tǒng)的一些要求。

OSD部署方式對于環(huán)境有一些要求，具體的要求如下：

1．DHCP與RIS服務(wù)器

無論是進行Windows XP或Windows Vista部署，對于新的部署安裝來說，都需要預先在網(wǎng)絡(luò)上確認DHCP服務(wù)是在正常工作狀態(tài)下。如果目前網(wǎng)絡(luò)中尚未有DHCP服務(wù)，則需要額外從“Windows添加/刪除”組件程序中安裝。而安裝RIS組件，則是目前使用OSD組件進行大量網(wǎng)絡(luò)部署Windows系統(tǒng)的重要條件。

2．SMS 2003站點服務(wù)器

部署SMS 2003站點服務(wù)器所需要的最低硬盤空間為175MB，并且必須確認已經(jīng)啟用了管理點，并正確設(shè)置了高級客戶端的網(wǎng)絡(luò)訪問賬戶。如果想要部署Windows NT 4.0 SP6的操作系統(tǒng)，則必須確認正確配置了舊版客戶端網(wǎng)絡(luò)訪問賬戶設(shè)置。

整個OS部署功能包安裝如圖1-5所示，只要單擊SMS 2003 R2安裝菜單中的“OS部署功能包”選項，即可立即自動連接到微軟公司的網(wǎng)站上，下載最新版本的OS部署功能包。這個過程中沒有什么需要特別注意的設(shè)置，不過如果在安裝過程中遇到問題，則可以參考SMS\Logs目錄下的兩個日志文件，這兩個文件分別是OSDeploymentsetup.log和OSDeploymentmsi.log。

3．模板計算機

安裝了Windows 2000以上版本的操作系統(tǒng)，需要安裝SMS 2003高級客戶端，但不需要分配到SMS站點中，無須加入域工作組狀態(tài)即可。

4．磁盤與IP地址分配

使用DHCP方式獲得IP地址分配。

系統(tǒng)引導分區(qū)為“C:”，并且必須使用NTFS文件系統(tǒng)。

在C:\中創(chuàng)建Sysprep，并且將對應(yīng)模板系統(tǒng)版本的Deploy.cab中的文件復制到Sysprep文件夾中。

5．目標計算機

如果要部署的目標計算機是全新的，則對于操作系統(tǒng)版本，以及SMS客戶端代理程序的安裝沒有什么要求。如果是要進行升級部署安裝，則這些計算機必須至少安裝了Windows NT 4.0 SP6以上的系統(tǒng)，并且已經(jīng)安裝了SMS 2003 SP1以上的客戶端代理程序，“C:”盤為引導盤，使用NTFS文件系統(tǒng)。