Sccm сценарий не подписан

When I use the custom script to detect the presence of the deployment, I receive the above listed error message when it runs the detection method. I went back and signed my script as you can see below and it still gives that error message. The only fix I have seen on the net is to use VBscript as a wrapper to execute the powershell script. Is this a know issue? Thanks.
  • Remove From My Forums

  • Question

  • When I use the custom script to detect the presence of the deployment, I receive the above listed error message when it runs the detection method. I went back and signed my script as you can see below and it still gives that error message. The only fix I
    have seen on the net is to use VBscript as a wrapper to execute the powershell script. Is this a know issue? Thanks.

    $Global:OS

Function GetOSArchitecture{
	$Global:OS=Get-WMIObject win32_operatingsystem
	$Global:OS.OSArchitecture
	#Answers: 32-bit, 64-bit
}

GetOSArchitecture
If ($Global:OS -eq "32-bit") {
	$Exists = Test-Path "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionUninstallAdobe Flash Player ActiveX"
}
If ($Global:OS -eq "64-bit") {
	$Exists = Test-Path "HKLM:SOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallAdobe Flash Player ActiveX"
}
Write-Host $Exists
If ($Exists -eq "True") {
	exit 1
} else {
	exit 0
}
# SIG # Begin signature block
# MIIIjgYJKoZIhvcNAQcCoIIIfzCCCHsCAQExCzAJBgUrDgMCGgUAMGkGCisGAQQB
# gjcCAQSgWzBZMDQGCisGAQQBgjcCAR4wJgIDAQAABBAfzDtgWUsITrck0sYpfvNR
# AgEAAgEAAgEAAgEAAgEAMCEwCQYFKw4DAhoFAAQUb+mzf/w5VJ7QViouK7eJB8TH
# vFCgggYPMIIGCzCCBPOgAwIBAgIKFEhnSAABAABRKDANBgkqhkiG9w0BAQUFADA6
# MRMwEQYKCZImiZPyLGQBGRYDR1NQMRYwFAYKCZImiZPyLGQBGRYGZ2xvYmFsMQsw
# CQYDVQQDEwJQMzAeFw0xMzAzMTkxOTAzMTRaFw0yMzAzMTcxOTAzMTRaMHsxEzAR
# BgoJkiaJk/IsZAEZFgNHU1AxFjAUBgoJkiaJk/IsZAEZFgZnbG9iYWwxDDAKBgNV
# BAsTA0dTUDEVMBMGA1UECxMMVE4tTmFzaHZpbGxlMQ4wDAYDVQQLEwVVc2VyczEX
# MBUGA1UEAxMOUGxldGNoZXIsIE1pY2swggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
# ggEKAoIBAQCsjP1RVb1Vk3QyOgbyUAYIVuVKG5q5dJwtW05JrT3pk7EKqjJLGiBV
# rmSoQx6h7kyu0UOSsa/oz8k6ZXeN2GSqWlrAJw8TFJRf2mcyy7N5ylMkaZ8dQURh
# Cab6/KbLcCHhaEJz/iDT33e09DZ/GHWXxxmzwBT2QEsZ2ByXjaWG8lODL55dHCZZ
# zAkhzer0uPZBq7eUs+XvrRgM+iYwGcFQVNUIvIAJMmY2PhhaAT50WnFKeOVEqpN5
# ORktZBoZbKHV7HQ7be1ogfdVW+LwHKFr8sv5bLV5X6IdDKjq12OpHjY89divmaCV
# 7j3nmWRo/C7kmMMMEC2F27LHDLsITMlJAgMBAAGjggLQMIICzDALBgNVHQ8EBAMC
# B4AwPAYJKwYBBAGCNxUHBC8wLQYlKwYBBAGCNxUIhJzNUIGU+UGBmZcrgczaEdmZ
# W4EPgprnS6/kDAIBZAIBAjAdBgNVHQ4EFgQUgAZOZgeevSZiI92GgGRG9XUBzMow
# HwYDVR0jBBgwFoAUl1GPX0+AHSi9Tl8NOkJRpHSDXyAwgeIGA1UdHwSB2jCB1zCB
# 1KCB0aCBzoaBo2xkYXA6Ly8vQ049UDMsQ049cDMsQ049Q0RQLENOPVB1YmxpYyUy
# MEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24sREM9
# Z2xvYmFsLERDPUdTUD9jZXJ0aWZpY2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U/b2Jq
# ZWN0Q2xhc3M9Y1JMRGlzdHJpYnV0aW9uUG9pbnSGJmh0dHA6Ly9wMy5nbG9iYWwu
# Z3NwL0NlcnRFbnJvbGwvUDMuY3JsMIH4BggrBgEFBQcBAQSB6zCB6DCBoAYIKwYB
# BQUHMAKGgZNsZGFwOi8vL0NOPVAzLENOPUFJQSxDTj1QdWJsaWMlMjBLZXklMjBT
# ZXJ2aWNlcyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPWdsb2JhbCxE
# Qz1HU1A/Y0FDZXJ0aWZpY2F0ZT9iYXNlP29iamVjdENsYXNzPWNlcnRpZmljYXRp
# b25BdXRob3JpdHkwQwYIKwYBBQUHMAKGN2h0dHA6Ly9wMy5nbG9iYWwuZ3NwL0Nl
# cnRFbnJvbGwvcDMuZ2xvYmFsLkdTUF9QMygxKS5jcnQwEwYDVR0lBAwwCgYIKwYB
# BQUHAwMwGwYJKwYBBAGCNxUKBA4wDDAKBggrBgEFBQcDAzAtBgNVHREEJjAkoCIG
# CisGAQQBgjcUAgOgFAwScGxldGNoZ0BnbG9iYWwuZ3NwMA0GCSqGSIb3DQEBBQUA
# A4IBAQBb/b8NZZxLBaJBNBdzqJDiSvlJo3oCuC1GB/jU1NYF7SrRdCLG/dBiGkn2
# EnhT2BOrxgz0spBH5JkUCSgJ6Ops6xX8dL/BWjDI6tvEE2f3Pu8FjuTCNwZmK2H/
# 3mP/Z+g/L+biPyUnItTRD7lxJLo5KLyjku8ftlBy1hDBPNV7lCDJIYY2dtJVhzC6
# GlEKu2uRHkzFNv6h8s9kouOrjZYW12gEZI0omxk1ZUL9H6dwDPQnvFB4Cp6qCZoA
# 8hvVhK1KpV3NDzF5HHUulz3ZtP0ggkV+y1I7DSNPm2oVPi//IEUQQ2DurERz0fgM
# 4KvNoJyJP1uTJCrLDBW2nhtcjLLkMYIB6TCCAeUCAQEwSDA6MRMwEQYKCZImiZPy
# LGQBGRYDR1NQMRYwFAYKCZImiZPyLGQBGRYGZ2xvYmFsMQswCQYDVQQDEwJQMwIK
# FEhnSAABAABRKDAJBgUrDgMCGgUAoHgwGAYKKwYBBAGCNwIBDDEKMAigAoAAoQKA
# ADAZBgkqhkiG9w0BCQMxDAYKKwYBBAGCNwIBBDAcBgorBgEEAYI3AgELMQ4wDAYK
# KwYBBAGCNwIBFTAjBgkqhkiG9w0BCQQxFgQUI5zv1yJr2CJ0Rt5WsTnRF44RHy8w
# DQYJKoZIhvcNAQEBBQAEggEAdzGyHcJoXkSRsjthGIx1jXJyBuGpqmj4PjsqRXWm
# OF/OLY+tqwHaI+bblMk+m0ongwD/UlbYAcb7dEN2EUAclOBNXFK01vjD3C5wTjB+
# cpbQ9JYL7CJR6f4OlAraw7tH3/8CaN0pJAQ9vj7gu7zbAHOkBfsNr2+zgY3/VGPG
# aaoG2LbHVp1u0mIdzTHcrwTDhSfR986q/RzM+YUDnoTDFdO7K7SsgXyaecQXPIQ2
# 4f5owuOisrxx0Tsy0ImVCdLL7ntMPkq8IGTel2y1ipSROvqw0hdHTLSKd8UKGljr
# xfGz1gbhtSxoepf7B9OP3IFSOUGXUNvQ1SOy2tYXPc7tLg==
# SIG # End signature block

    Mick

Answers

  • There is no such thing as «remotesigned» using ConfigMgr client settings. The reason it’s important to use client settings is because it sets the system account’s execution policy. Setting the execution policy interactively is not good enough as that simply
    sets the user’s execution policy. You can also use group policy to set the whole system’s execution policy.

    Jason | http://blog.configmgrftw.com

    • Proposed as answer by

      Friday, May 17, 2013 5:19 PM

    • Marked as answer by
      Eric MattoonMicrosoft employee
      Saturday, May 25, 2013 11:57 PM

  • Depends upon whether you signed it with a trusted cert or not.

    Jason | http://blog.configmgrftw.com

    • Marked as answer by
      Eric MattoonMicrosoft employee
      Saturday, May 25, 2013 11:57 PM

Источник

Configuration Manager Script is not signed error 0x87D00327. When using the PowerShell feature in Compliance Settings to run a script, client may return errors with a description of “Script is not signed“. Below is an example of a baseline deployment status where clients are returning errors.

Solution

This is due to the current execution policy for PowerShell on client machines. In the Client Settings, under Computer Agent, there is an option to configure the PowerShell execution policy. The only pitfall in here is that it means something different then someone might think. These are the options:

  • Bypass: The ConfigMgr client bypasses the PowerShell configuration on the local system so that unsigned scripts can run.
  • Restricted (default in ConfigMgr 2012): The ConfigMgr client uses the current PowerShell configuration on the local system, which determines whether, or not, unsigned scripts can run.
  • All Signed (default in ConfigMgr 2012 SP1):The ConfigMgr client runs scripts only if they are signed by a trusted publisher and applies independently from the current PowerShell configuration on the local system.

1. Open SCCM Console, click “Administration” and go to “Client Settings“;

2. Select settings and click “Properties” in upper menu or Right Mouse Button click and select “Properties“;

3. Go to “Computer Agent“;

4. Scroll down and find option “PowerShell execution policy” – set “Bypass” and click “OK“;

The best places to look at the results are the log files. In this case, there is no log file that shows the current setting of the PowerShell execution policy. So the best place to look at that is the Policy Spy. In this case it will show PowerShellExecutionPolicy = 1 as a setting under, Machine CCM_ClientAgentConfig. The meaning of the different possible values are:

  • 0 = All signed
  • 1 = ByPass
  • 2 = Restricted
Источник
  • Remove From My Forums

locked

Global Conditions — Powershell Script — Script is not signed (Error: 87D00327; Source: CCM)

  • Question

  • I failed to use any Powershell script in Global Conditions with error 87D00327. The script is signed and tested without problem. Setting execution policy doesn’t change the result at all.

    Error message as below:

        In-line script returned error output: File C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1 cannot 
be loaded. The file C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c4
5de.ps1 is not digitally signed. The script will not execute on the system. Ple
ase see "get-help about_signing" for more details..
At line:1 char:2
+ & <<<<  'C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1'
    + CategoryInfo          : NotSpecified: (:) [], PSSecurityException
    + FullyQualifiedErrorId : RuntimeException
 
	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
ScriptProvider::CreateInstanceEnumAsync - Script Execution Returned :1, Error Message:File C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1 cannot 
be loaded. The file C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c4
5de.ps1 is not digitally signed. The script will not execute on the system. Ple
ase see "get-help about_signing" for more details..
At line:1 char:2
+ & <<<<  'C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1'
    + CategoryInfo          : NotSpecified: (:) [], PSSecurityException
    + FullyQualifiedErrorId : RuntimeException
 
	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed in discovering instance. 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed to do HandleExecQueryAsync(). 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed to process CScriptProvider::GExecQueryAsync. 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)

    I can’t figure out a way to capture the temp script file mentioned in the error message so I can’t verify the script locally.

    Any help will be appreciated.

    Sean

    Regards, Sean

Источник
  • Remove From My Forums

locked

Global Conditions — Powershell Script — Script is not signed (Error: 87D00327; Source: CCM)

  • Question

  • I failed to use any Powershell script in Global Conditions with error 87D00327. The script is signed and tested without problem. Setting execution policy doesn’t change the result at all.

    Error message as below:

        In-line script returned error output: File C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1 cannot 
be loaded. The file C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c4
5de.ps1 is not digitally signed. The script will not execute on the system. Ple
ase see "get-help about_signing" for more details..
At line:1 char:2
+ & <<<<  'C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1'
    + CategoryInfo          : NotSpecified: (:) [], PSSecurityException
    + FullyQualifiedErrorId : RuntimeException
 
	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
ScriptProvider::CreateInstanceEnumAsync - Script Execution Returned :1, Error Message:File C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1 cannot 
be loaded. The file C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c4
5de.ps1 is not digitally signed. The script will not execute on the system. Ple
ase see "get-help about_signing" for more details..
At line:1 char:2
+ & <<<<  'C:WindowsCCMSystemTempe7001c04-3966-46a7-9622-26c36d9c45de.ps1'
    + CategoryInfo          : NotSpecified: (:) [], PSSecurityException
    + FullyQualifiedErrorId : RuntimeException
 
	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed in discovering instance. 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed to do HandleExecQueryAsync(). 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)
Failed to process CScriptProvider::GExecQueryAsync. 
Script is not signed (Error: 87D00327; Source: CCM)	ScriptProvider	6/23/2014 1:45:06 PM	2516 (0x09D4)

    I can’t figure out a way to capture the temp script file mentioned in the error message so I can’t verify the script locally.

    Any help will be appreciated.

    Sean

    Regards, Sean

Источник

imageВ предыдущей заметке был рассмотрен принцип простого выполнения сценариев, но что, если выполняемый скрипт должен возвращать некие значения, которые для нас важны? Попробуем немного усложнить задачу с выполнением скриптов через клиентов System Center 2012 Configuration Manager (SCCM).

Для примера будем использовать тот же скрипт для изменения RDP файлов, внеся в него некоторые изменения. В этом скрипте отличаются только выходные данные скрипта, которые будет ловить SCCM.

# $NewString - Строка адреса подключения которую хотим установить
# $OldString - Массив вариантов старых значений строк адреса подключения, которые хотим заменить на $NewString
#
$NewString = "full address:s:KOM-AD01-RDSNLB.HOLDING.COM"
$OldStrings = @( `
"full address:s:KOM-AD01-TS02.HOLDING.COM", `
"full address:s:KOM-AD01-RDSCB.HOLDING.COM", `
"full address:s:KOM-AD01-TS02", `
"full address:s:KOM-AD01-SRV-RDSH", `
"full address:s:10.160.0.140"
)
#
$DesktopPath = [Environment]::GetFolderPath("Desktop")
$RDPFiles = Get-ChildItem -Path $DesktopPath -Recurse -Include *.RDP
$Changed = 0
ForEach ($RDPFile in $RDPFiles) {
   
    $FileChanged = 0
    $LinesArray = Get-Content $RDPFile
    $LinesCount = $LinesArray.Count
    For($i=0; $i -lt $LinesCount; $i++){
          
        ForEach ($OldString in $OldStrings) {
                       
            If ($LinesArray[$i] -like $OldString) {
                  
                $LinesArray[$i] = $LinesArray[$i] -replace $OldString, $NewString
                Write-Host "Change File:" $RDPFile.FullName "`nline" $i "had a value of:"$OldString ", set new value:" $LinesArray[$i] "`n"
                $FileChanged = 1

            }

        }

    }
    If ($FileChanged -eq 1) {
        $LinesArray > $RDPFile
        $Changed = $Changed + 1
    }

}

If ($Changed -eq 0) {
Write-Host "There was no change"
} Else {
Write-Host "Found RDP-files:" $RDPFiles.Count
Write-Host "Change RDP-files:" $Changed
}

На этот раз мы не будет использовать какие-либо сетевые расположения для хранения скрипта, всё будет хранится непосредственно в SCCM.

Открываем консоль SCCM и переходим на панель Активы и соответствие (Assets and Compliance) в раздел параметров соответствия (Compliance Settings) и вызовем создание нового элемента конфигурации (Configuration Items). Присвоим имя элементу конфигурации, тип элемента оставим по умолчанию, потому как исполнятся он должен на ОС Windows.

image

На следующем шаге укажем мастеру операционные системы к которым будет применяться элемент конфигурации.

image

Далее переходим к шагу “параметры”, где нужно нажать кнопку создать, откроется новое окно в котором необходимо настроить создаваемый параметр. Присвоим имя параметру и выберем тип “Сценарий”, т.к. сценарий нам будет возвращать строковые данные выберем тип “Строка”. Эта задача так же исполнятся от имени вошедшего пользователя, поэтому нужно установить соответствующую галку.

image

Пришло время добавить наш сценарий в параметр, жмём на “Добавить сценарий”, перед нами вновь появляется новое окно, куда мы просто копируем скрипт.

image

Язык сценария по умолчанию PowerShell, но так же доступны JScript и VBScript.

Как видно из скриншота, разработчики SCCM предлагают разделение скриптов, один — для обнаружения, второй — для исправления, но мы решили не мудрить и выполнить его в обнаружении. Возможно в каких-то других и более серьёзных задачах разделение скрипта будет полезным.

После того как скрипт добавлен, появляется возможность перейти на вкладку “Правила соответствия”. Присвоим правилу соответствия имя, выберем тип “Значение” и укажем параметр соответствия.

image

В правиле укажем следующий смысл – компьютер соответствует требованиям, если возвращаемая строка скриптом равна “There was no change”.

Степень важности несоответствия установим как “сведения”, потому как в нашем случае несоответствие не является ошибкой.

После проделанных действий параметр будет добавлен.

image

На следующем шаге, мы увидим уже добавленный ранее параметр соответствия, его можно добавлять и здесь, но мне удобнее с предыдущего мастера.

image

Осталось нажать несколько раз далее, чтобы завершить работу мастера создания элемента конфигурации.

image

Для развёртывания этого элемента нам потребуется создать шаблон базовой конфигурации (Configurations Baselines). В Мастере создания необходимо только присвоить имя и выбрать необходимый элемент конфигурации.

image

Вызовем контекстное меню на созданном шаблоне

image

Выберем пункт “Развернуть”, откроется мастер развёртывания шаблонов базовой конфигурации.

image

В настройках выберем коллекцию, на которую хотим выполнить развёртывание и укажем периоды выполнения. Для примера, я буду выполнять скрипт каждые 30 минут.

После получения SCCM клиентом развёртывания, возможно вы обнаружите, что состояние соответствия после выполнения имеет статус ошибки.

image

Такую же ошибку можно увидеть и на клиенте SCCM перейдя в вкладку “Конфигурации”.

image

Можно вызвать отчёт и посмотреть более детально.

image

Для того чтобы избежать этой ошибки, необходимо на клиентских компьютерах разрешить выполнение PS-скриптов. Сделать это можно, например, через Групповые политики.

Параметр в редакторе групповых можно найти по расположению: Конфигурация компьютера –> Политики –> Административные шаблоны –> Компоненты Windows –> Windows PowerShell –> Включить выполнение сценариев.
Необходимо установить политику “Разрешать локальные сценарии и удалённые подписанные сценарии”.

Дождёмся автоматического выполнения сценария, либо выберем шаблон на клиенте SCCM и нажмём кнопку “Оценить”.

image

Увидим новый статус “Не соответствует”, посмотрим отчёт:

image

Сортировка в отчёте клиента отображает значения почему-то не по порядку, но в отчётах запускаемых с консоли такой проблемы нет:

image

В любом из представленных отчётов можно увидеть, какие значения и файлы были заменены.

Если выполнить оценку ещё раз, то статус отображаемый на клиенте изменится на “Соответствует”, потому как скрипт возвратит строку соответствия – “There was no change”.

image

В отчёте на клиенте:

image

На мой взгляд, выполнять разворачивать скрипты PS/JS/VBS на рабочие станции пользователей более удобно используя шаблоны базовой конфигурации, так как у нас появляется возможность отслеживать статус выполняемых действий.

Источник

Обновлено 08.10.2015

Чтобы настроить клиента идем  Администрирование щелкните Параметры клиентов.

На вкладке Главная в группе Создать щелкните Определить настраиваемые параметры клиента и затем выберите один из предложенных вариантов: создание настраиваемых параметров для устройств или для пользователей.

  • Создание настраиваемых параметров клиента для устройств
  • Создание настраиваемых параметров клиента для пользователя
  • Либо можно выбрать уже преднастроенный по умолчанию

Как настроить клиента sccm2012R2-03

Как настроить клиента sccm2012R2-03

Как настроить клиента sccm2012R2-04

Как настроить клиента sccm2012R2-04

Перейдем в свойства Параметры клиента по умолчанию

Как настроить клиента sccm2012R2-05

Как настроить клиента sccm2012R2-05

На вкладке Фоновая интеллектуальная передача

Имя параметра Дополнительные сведения
Ограничить максимальную пропускную способность сети для фоновой передачи BITS Если этот параметр настроен со значением True или Yes, клиенты Configuration Manager будут использовать регулирование пропускной способности сети BITS.
Время запуска окна регулирования Укажите время (локальное) начала окна регулирования BITS.
Конечное время окна регулирования Укажите время (локальное) окончания окна регулирования BITS. Если это значение равно значению параметра Время запуска окна регулирования, регулирование BITS всегда включено.
Максимальная скорость передачи во время использования периода регулирования (Кбит/с) Укажите максимальную скорость передачи (Кбит/с), которую могут использовать клиенты Configuration Manager во время указанного окна регулирования BITS.
Разрешить загрузки BITS вне периода регулирования Выберите этот параметр, чтобы разрешить загрузки BITS за рамками окна регулирования. Данный параметр позволяет клиентам Configuration Manager использовать отдельные настройки BITS за рамками указанного окна.
Максимальная скорость передачи вне периода регулирования (Кбит/с) Укажите максимальную скорость передачи (Кбит/с), которую могут использовать клиенты Configuration Manager за рамками указанного окна регулирования BITS. Этот параметр можно настроить, только если вы разрешили регулирование BITS за пределами указанного окна.

Как настроить клиента sccm2012R2-06

Как настроить клиента sccm2012R2-06

Вкладка облачные службы позволяет включить их или оставить выключенными

Как настроить клиента sccm2012R2-07

Как настроить клиента sccm2012R2-07

Политика клиента

Имя параметра Дополнительные сведения
Интервал опроса политики клиента (в минутах) Для Configuration Manager без пакета обновления: Укажите, как часто клиентские компьютеры будут загружать политику клиента.Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager. Укажите, как часто следующие клиенты Configuration Manager будут загружать политику клиента:

  • компьютеры под управлением Windows (например, настольные компьютеры, серверы, ноутбуки);
  • мобильные устройства, зарегистрированные с помощью Configuration Manager;
  • компьютеры Mac;
  • компьютеры под управлением UNIX или Linux.
Включить опрос политики пользователя на клиентах Если этот параметр установлен равным True или Yes, и пользователь был обнаружен Configuration Manager, клиенты Configuration Manager на компьютерах будут получать приложения и программы, предназначенные вошедшему в систему пользователю.Поскольку каталог приложений получает список доступного программного обеспечения для пользователей от сервера сайта, необязательно присваивать этому параметру значение True или Да, чтобы пользователи могли просматривать, запрашивать и устанавливать приложения из каталога. Но если этот параметр имеет значение False или Нет, часть функциональности каталога приложений будет недоступна пользователям.

  • Только в System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager пользователи не могут устанавливать приложения, которые они видят в каталоге приложений.
  • Пользователи не будут видеть уведомления о своих запросах на одобрение приложений. Вместо этого пользователям придется обновлять каталог и проверять состояние одобрения.
  • Пользователи не будут получать новые редакции и обновления для приложений, опубликованных в каталоге. При этом они смогут увидеть измененные сведения о приложениях в каталоге.
  • Если удалить развертывание приложения после того, как это приложение было установлено клиентом из каталога, клиенты будут проверять установку этого приложения еще на протяжении двух дней (но не дольше).

Кроме того, если этот параметр имеет значение False или Нет, пользователи не будут получать обязательные приложения, настроенные для развертывания среди пользователей, а также не будут выполняться никакие другие операции управления, которые предписаны политиками пользователя.

Данный параметр действует для пользователей, компьютеры которых подключены к интрасети и Интернету. Если требуется, чтобы политики пользователя действовали в Интернете, необходимо установить этот параметр равным True или Да.
Включить запросы политик пользователей с интернет-клиентов Если, во-первых, клиент и сайт настроены для управления клиентами через Интернет, во-вторых, данный параметр установлен равным True или Да, а в-третьих, соблюдены оба указанных ниже условия, то пользователи будут получать политики пользователя, когда их компьютеры будут подключены к Интернету:

  • параметр клиента Включить опрос политики пользователя на клиентах настроен со значением True или параметрВключить политику пользователя на клиентах настроен со значением Да;
  • пользователь должен успешно пройти проверку подлинности Windows (Kerberos или NTLM) в интернет-точке управления.

Если для этого параметра оставлено значение False или Нет или какое-либо из двух условий не соблюдено, компьютер в Интернете будет получать только политики компьютера. В этом сценарии пользователи по-прежнему могут просматривать, запрашивать и устанавливать приложения из интернет-каталога приложений. Если этому параметру задано значение False илиНет, а параметру Включить опрос политики пользователя на клиентах задано значение True, либо параметру Включить политику пользователя на клиентах задано значение Да, пользователи не будут получать пользовательские политики до тех пор, пока компьютер не будет подключен к интрасети.

Как настроить клиента sccm2012R2-08

Как настроить клиента sccm2012R2-08

Параметры соответствия

Имя параметра Дополнительные сведения
Запланировать анализ соответствия Щелкните Расписание, чтобы создать расписание по умолчанию, которое будет показано пользователям при развертывании шаблона базовой конфигурации. Это значение можно настроить для каждого шаблона в диалоговом окнеРазвертывание шаблона базовой конфигурации.
Включить данные и профили пользователей Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager:Выберите значение Да, если вы хотите развернуть данные и элементы конфигурации профилей пользователей на компьютерах Windows 8 в вашей иерархии.

Как настроить клиента sccm2012R2-09

Как настроить клиента sccm2012R2-09

Агент компьютера

Имя параметра Дополнительные сведения
Точка веб-сайта каталога приложений по умолчанию Configuration Manager использует этот параметр для подключения пользователей к каталогу приложений из центра программного обеспечения. Можно указать сервер, на котором размещается точка веб-сайта каталога приложений, по NetBIOS-имени или полному доменному имени, задать автоматическое обнаружение или указать URL-адрес для настраиваемого развертывания. В большинстве случаев автоматическое обнаружение является наилучшим выбором, поскольку предоставляет следующие преимущества:

  • автоматическая выдача клиентам точки веб-сайта каталога приложений с их сайта, если этот сайт содержит такую точку;
  • защита от вредоносных серверов, т. к. точкам веб-сайта каталога приложений в интрасети, настроенным на использование протокола HTTPS, отдается предпочтение по сравнению с точкам, не использующим этот протокол;
  • если клиенты настроены для управления через интрасеть и Интернет, им будет выдаваться точка веб-сайта каталога приложений в Интернете, когда они находятся в Интернете, и соответствующая точка в интрасети, когда они находятся в интрасети.

Автоматическое обнаружение не дает гарантии, что клиентам будет выдана ближайшая к ним точка веб-сайта каталога приложений. Есть ряд обстоятельств, в которых может быть целесообразно не использовать параметрАвтоматическое обнаружение:

  • требуется вручную указать для клиентов ближайший сервер или позаботиться о том, чтобы они не подключались к серверу по медленному каналу связи;
  • требуется контроль над тем, какие клиенты к какому серверу подключаются; (это может быть в целях тестирования, из соображений производительности или по причинам делового характера);
  • нежелательность ожидания в течение длительного промежутка времени (до 25 часов) или до смены сети, пока клиенты будут настроены для использования другой точки веб-сайта каталога приложений.

Если вместо автоматического обнаружения задается точка веб-сайта каталога приложений, следует указывать NetBIOS-имя, а не полное доменное имя в интрасети — это снизит вероятность того, что у пользователей будет запрашиваться учетные данные при подключении к каталогу приложений в интрасети. NetBIOS-имя может использоваться при выполнении следующих условий:

  • NetBIOS-имя задано в свойствах точки веб-сайта каталога приложений;
  • используется служба WINS или все клиенты находятся в том же домене, что и точка веб-сайта каталога приложений;
  • точка веб-сайта каталога приложений настроена для клиентских подключений по протоколу HTTP или HTTPS (в последнем случае соответствующее NetBIOS-имя должно содержаться в сертификате веб-сервера).

Обычно учетные данные запрашиваются у пользователей, когда URL-адрес содержит полное доменное имя, и не запрашиваются, не когда он представляет собой NetBIOS-имя. При подключении пользователей из Интернета следует ожидать, что у них всегда будут запрашиваться ученые данные, поскольку такое подключение должно использовать полное доменное имя в Интернете. При запросе учетных данных у пользователей из Интернета следует проследить за тем, чтобы сервер, на котором работает точка веб-сайта каталога приложений, мог подключаться к контроллеру домена, содержащего учетную запись соответствующего пользователя — это даст возможность выполнить проверку подлинности пользователя по протоколу Kerberos.

Примечание
Принцип работы автоматического обнаруженияКлиент запрашивает обнаружение службы у точки управления. Если на том же сайте, к которому подключен клиент, есть точка веб-сайта каталога приложений, этот сервер выдается клиенту в качестве сервера каталога приложений, который надлежит использовать. Если на сайте доступно более одной точки веб-сайта каталога приложений, сервер с включенным доступом по протоколу HTTPS имеет приоритет над сервером, который не настроен для использования HTTPS. После этой фильтрации всем клиентам выдается один из серверов для использования в качестве каталога приложений; Configuration Manager не балансирует нагрузку между несколькими серверами. Если сайт клиента не содержит точки веб-сайта каталога приложений, точка управления недетерминированным образом возвращает точку веб-сайта каталога приложений из иерархии.При этом, если клиенты находятся в интрасети, и у выбранной точки веб-сайта каталога приложений в качестве URL-адреса каталога приложений указано NetBIOS-имя, это имя выдается клиентам вместо полного доменного имени в интрасети. Если же определено, что клиент находится в Интернете, ему выдается только полное доменное имя в Интернете.Клиент делает такой запрос обнаружения службы каждые 25 часов или всякий раз, когда он обнаруживает смену сети. Например, если клиент переместится из интрасети в Интернет и найдет точку управления в Интернете, эта точка будет выдавать клиенту интернет-серверы точки веб-сайта каталога приложений.
Добавьте веб-сайт каталога приложений, используемый по умолчанию, в зону надежных узлов в Internet Explorer. Если этому параметру задано значение True или Да, текущий URL-адрес веб-сайта каталога приложений по умолчанию автоматически добавляется в зону надежных узлов браузера Internet Explorer на клиентах.Этот параметр гарантирует, что защищенный режим Internet Explorer не будет включен. Если включен защищенный режим, установка приложений клиентом Configuration Manager из каталога приложений может оказаться невозможной. По умолчанию зона надежных узлов поддерживает вход пользователей из каталога приложений, для которого требуется проверка подлинности Windows.

Если оставить этот параметр равным False, клиенты Configuration Manager, возможно, не смогут устанавливать приложения из каталога, кроме случаев, когда соответствующие параметры Internet Explorer для URL-адреса каталога приложений, используемого клиентами, настроены для другой зоны.

Примечание
Всякий раз, когда Configuration Manager добавляет каталог приложений по умолчанию в зону надежных узлов, Configuration Manager предварительно предыдущий URL-адрес каталога приложений по умолчанию, добавленный ранее Configuration Manager.Configuration Manager не сможет добавить URL-адрес, если такой адрес уже указан в одной из зон безопасности. В этой ситуации необходимо либо удалить этот URL-адрес из другой зоны, или вручную задать надлежащие параметры Internet Explorer.
Разрешить приложениям Silverlight запускаться в режиме повышенного доверия Только для System Center 2012 R2 Configuration Manager и System Center 2012 Configuration Manager с пакетом обновления 1 (SP1).Для этого параметра необходимо задать значение Да, если пользователи работают с Configuration Manager с пакетом обновления 1 (SP1) или клиентом System Center 2012 R2 Configuration Manager и используют каталог приложений.

Если изменить этот параметр, изменение вступит в силу, когда пользователи в следующий раз загрузят браузер или обновят открытое окно браузера.
Название организации, отображаемое в центре программного обеспечения Введите имя, которое будет отображаться для пользователей в центре программного обеспечения. Эта информация поможет пользователям опознать данное приложение как происходящее из надежного источника.
Установка разрешений
Предупреждение
Этот параметр применяется к каталогу приложений и центру программного обеспечения. Этот параметр не действует при работе пользователей с порталом компании.

Этот параметр определяет, как пользователи могут запускать установку программного обеспечения, обновлений к нему и последовательностей задач.

  • Все пользователи: запускать установку программного обеспечения, обновлений к нему и последовательностей задач могут пользователи, вошедшие на клиентский компьютер, с любыми разрешениями, кроме разрешений «Гость».
  • Только администраторы: запускать установку программного обеспечения, обновлений к нему и последовательностей задач могут вошедшие на клиентский компьютер пользователи, входящие в локальную группу «Администраторы».
  • Только администраторы и основные пользователи: запускать установку программного обеспечения, обновлений к нему и последовательностей задач могут вошедшие на клиентский компьютер пользователи, входящие в локальную группу «Администраторы», или основной пользователь компьютера.
  • Никто из пользователей: никто из пользователей, вошедшие на клиентский компьютер, не может запускать установку программного обеспечения, обновлений к нему и последовательностей задач. Обязательное развертывание всегда производится в крайний срок, и пользователи не могут инициировать установку программного обеспечения из каталога приложений или центра программного обеспечения.
Не требовать ввода ПИН-кода BitLocker при перезапуске Если компьютеры настроены для ввода ПИН-кода Bitlocker, этот параметр позволяет обходить требование ПИН-кода, когда компьютер перезапускается после установки программного обеспечения.

  • Всегда: Configuration Manager временно снимает требование вводить ПИН-код Bitlocker при перезагрузке компьютера после установки программного обеспечения, требующего перезагрузки. Этот параметр действует только в случае, если перезагрузка компьютера была инициирована Configuration Manager, и не снимает требование вводить ПИН-код Bitlocker PIN, если компьютер был перезагружен пользователем. Требование ввода ПИН-кода Bitlocker возобновляется после запуска Windows.
  • Никогда: Configuration Manager ни снимает требование вводить ПИН-код Bitlocker при перезагрузке компьютера после установки программного обеспечения, требующего перезагрузки. В этой ситуации установка программного обеспечения не может завершиться, пока пользователь не введет ПИН-код для завершения стандартного процесса загрузки и запуска Windows.
Расширения агента управляют развертыванием приложений и обновлений программного обеспечения(Configuration Manager без пакета обновления)Дополнительное программное обеспечение управляет развертыванием приложений и обновлений программного обеспечения(System Center 2012 R2 Configuration Manager и Configuration Manager с пакетом обновления 1 (SP1)) Включать этот параметр следует только при одном из следующих условий:

  • используется решение стороннего поставщика, которое требует включение данного параметра;
  • для управления агентским уведомлением клиентов, а также установкой приложений и обновлений программного обеспечения используется пакет SDK System Center 2012 Configuration Manager.
Предупреждение
Если включить этот параметр, когда ни одно из этих условий не выполняется, обновления программного обеспечения и обязательные приложения не будут устанавливаться на клиентах. Данный параметр не запрещает пользователям устанавливать приложения из каталога приложений, а также не запрещает установку пакетов, программ и последовательностей задач на клиентские компьютеры.
Политика выполнения PowerShell Укажите, как клиенты Configuration Manager могут запускать скрипты Windows PowerShell. Эти скрипты часто используются для обнаружения параметров соответствия в элементах конфигурации, но их также можно отправить в развертывание в качестве стандартного скрипта.

  • Обход: клиент Configuration Manager игнорирует конфигурацию Windows PowerShell на клиентском компьютере, чтобы обеспечить возможность выполнения неподписанных скриптов.
  • Ограниченно: клиент Configuration Manager использует текущую конфигурацию Windows PowerShell на клиентском компьютере, определяющую, могут ли выполняться неподписанные скрипты.
  • Все подписаны (только для System Center 2012 R2 Configuration Manager и System Center 2012 Configuration Manager с пакетом обновления 1 (SP1)): клиент Configuration Manager запускает скрипты, только если они подписаны доверенным издателем. Это ограничение применяется независимо от текущей конфигурации Windows PowerShell на клиентском компьютере.

Для применения этого параметра требуется по крайней мере Windows PowerShell версии 2.0. Значения по умолчанию: Ограниченно в Configuration Manager без пакета обновления и Все подписано в System Center 2012 R2 Configuration Manager и System Center 2012 Configuration Manager с пакетом обновления 1 (SP1).

Совет
Если неподписанные скрипты не удается запустить из-за этого параметра клиента, Configuration Manager сообщает об этой ошибке следующими способами:

  • Код ошибки 0X87D00327 и сообщение Сценарий не подписан в качестве ошибки состояния развертывания в рабочей области Мониторинг консоли Configuration Manager.
  • Коды ошибок и описания 0X87D00327 и Сценарий не подписан или 0X87D00320 and Узел сценариев еще не установлен с типом ошибки Ошибка обнаружения в отчетах, таких как Сведения об ошибках элементов конфигурации в шаблонах базовых конфигураций для актива.
  • Сообщение Script is not signed (Error: 87D00327; Source: CCM) в файле DcmWmiProvider.log.
Запретить случайный выбор срока Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager.Этот параметр определяет, использует ли клиент задержку активации до двух часов для установки необходимых обновлений ПО и приложений после достижения крайнего срока. По умолчанию задержка активации отключена.

Для сценариев инфраструктуры виртуальных рабочих столов (VDI) эта задержка помогает распределить ресурсы ЦП и передачу данных с компьютера с несколькими виртуальными машинами, на которых работает клиент Configuration Manager. Даже если вы не используете VDI, если многие клиенты устанавливают одинаковое ПО одновременно, это может увеличить потребление ресурсов ЦП на сервере сайта, замедлить точки распространения и значительно сократить доступную пропускную способность сети.

Если требуемые обновления ПО и приложения должны быть установлены без задержки после достижения заданного срока, выберите значение Да для этого параметра.

Как настроить клиента sccm2012R2-10

Как настроить клиента sccm2012R2-10

Перезагрузка компьютера

При указании этих параметров перезагрузки убедитесь, что значения интервала временного оповещения перезапуска и интервала окончательного обратного отсчета меньше по длительности, чем самый короткий период обслуживания, примененный на компьютере.

Как настроить клиента sccm2012R2-11

Как настроить клиента sccm2012R2-11

Endpoint Protection

Имя параметра Дополнительные сведения
Управление клиентом Endpoint Protection на клиентских компьютерах Выберите True или Да, если требуется управлять существующими клиентами Endpoint Protection на компьютерах в иерархии.

Выберите этот параметр, если клиент Endpoint Protection уже установлен и требуется управлять им с помощью Configuration Manager.

Кроме того, этот параметр следует выбрать, если необходимо создать сценарий удаления существующего решения для защиты от вредоносных программ, установить клиент Endpoint Protection и развернуть указанный сценарий с помощью приложения Configuration Manager или пакета и программы.
Установить клиент Endpoint Protection на клиентских компьютерах Выберите True или Да, чтобы установить и включить клиент Endpoint Protection на клиентских компьютерах, на которых он отсутствует.

Примечание
Если клиент Endpoint Protection уже установлен, при выборе значения False или No он удален не будет. Чтобы удалить клиент Endpoint Protection, сначала необходимо задать клиентскому параметруУправление клиентом Endpoint Protection на клиентских компьютерах значение False или No, а затем развернуть пакет и программу, чтобы удалить клиент Endpoint Protection.
Автоматически удалять ранее установленное ПО для защиты от вредоносных программ перед установкой Endpoint Protection Выберите True или Да, чтобы удалить существующее программное обеспечение для защиты от вредоносных программ.

Примечание
Endpoint Protection удаляет только следующее антивредоносное программное обеспечение.

  • Symantec AntiVirus Corporate Edition версии 10
  • Symantec Endpoint Protection версии 11
  • Symantec Endpoint Protection Small Business Edition версии 12
  • McAfee VirusScan Enterprise версии 8
  • Trend Micro OfficeScan
  • Microsoft Forefront Codename Stirling Beta 2
  • Microsoft Forefront Codename Stirling Beta 3
  • Microsoft Forefront Client Security v1
  • Microsoft Security Essentials v1
  • Microsoft Security Essentials 2010
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Center Online v1

Если вы пытаетесь установить на компьютере клиент Endpoint Protection и удаление существующего решения для защиты от вредоносных программ не поддерживается, установка клиента Endpoint Protection не будет выполнена. В этом случае можно использовать функцию управления приложениями, чтобы удалить существующее решение для защиты от вредоносных программ, установить клиент Endpoint Protection, а затем выбрать параметр клиента Управление клиентом Endpoint Protection на клиентских компьютерах для управления установленным клиентом Endpoint Protection с помощью Configuration Manager.
Для устройств Windows Embedded с фильтрами записи сохранить установку клиентов Endpoint Protection (требуется перезагрузка) Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager.

Выберите параметр Да, чтобы отключить фильтр записи на устройстве с Windows Embedded, и перезагрузите устройство. После этого установка на устройстве будет зафиксирована.

Если указано значение Нет, клиент устанавливается во временном оверлее, который очищается после перезагрузки устройства. В этом сценарии клиент Endpoint Protection не будет зафиксирован, пока другая установка не подтвердит изменения на устройстве. Этот параметр используется по умолчанию.
Подавлять обязательную перезагрузку компьютера после установки клиента Endpoint Protection Выберите True или Да, чтобы подавлять перезагрузку компьютера, если это требуется после установки клиента Endpoint Protection.

Важно!
Если для клиента Endpoint Protection требуется перезагрузка компьютера и этот параметр настроен со значением Нет, перезагрузка будет выполнена независимо от любых периодов обслуживания, которые были настроены.
Период времени, на который пользователи могут откладывать необходимую перезагрузку для завершения установки Endpoint Protection (в часах) Укажите количество времени (в часах), на которое пользователи могут отложить перезагрузку компьютера, если это требуется после установки клиента Endpoint Protection. Этот параметр можно настроить, только если значение параметра Подавлять обязательную перезагрузку компьютера после установки клиента Endpoint Protection соответствует Нет.
Отключить альтернативные источники (такие как Центр обновления Windows, службы Microsoft Windows Server Update Services или UNC-папки) для исходного обновления определений на клиентских компьютерах Выберите True или Да, если требуется, чтобы Configuration Manager установил только исходное обновление определений на клиентских компьютерах. Этот параметр рекомендуется использовать, чтобы избежать нежелательных сетевых подключений и сократить полосу пропускания сети во время первоначальной установки обновления определений.

Как настроить клиента sccm2012R2-12

Как настроить клиента sccm2012R2-12

Инвентаризация оборудования

Имя параметра Дополнительные сведения
Максимальный размер пользовательского MIF-файла (КБ) Укажите максимальный размер в килобайтах (КБ) для всех пользовательских MIF-файлов, которые будут приниматься от клиента во время цикла инвентаризации оборудования. Если размер MIF-файла будет превышать указанный, он не будет обрабатываться функцией инвентаризации оборудования Configuration Manager. Можно указать размер от 1 до 5 000 КБ. По умолчанию устанавливается значение 250 КБ. Этот параметр не влияет на размер обычного файла данных инвентаризации оборудования.

Примечание
Этот параметр доступен только в параметрах клиента по умолчанию.
Классы инвентаризации оборудования В System Center 2012 Configuration Manager можно расширить набор сведений об оборудовании, собираемых с клиентов, без необходимости редактировать файл sms_def.mof вручную. Чтобы расширить набор данных инвентаризации оборудования Configuration Manager, нажмите кнопку Задать классы.
Сбор MIF-файлов Используйте этот параметр, чтобы указать, требуется ли осуществлять сбор MIF-файлов с клиентов System Center 2012 Configuration Manager во время инвентаризации оборудования.

Чтобы осуществлять сбор MIF-файлов во время инвентаризации оборудования, они должны находиться в надлежащем расположении на клиентском компьютере. По умолчанию файлы должны располагаться в следующих местах.

  • IDMIF-файлы должны находиться в папке WindowsSystem32CCMInventoryIdmif.
  • NOIDMIF-файлы должны находиться в папке WindowsSystem32CCMInventoryNoidmif.

Как настроить клиента sccm2012R2-13

Как настроить клиента sccm2012R2-13

Методы подключения к Интернету

олько в System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager можно указывать, как клиентские компьютеры под управлением Windows 8 взаимодействуют с сайтами Configuration Manager, если они используют лимитное подключение к Интернету. Иногда поставщики интернет-услуг взимают плату по объему передаваемых данных, если вы используете лимитное подключение к Интернету.

Примечание
Заданный параметр клиента не применяется к клиентским компьютерам под управлением Windows 8 в следующих сценариях.

  • Компьютер находится в роуминге: клиент Configuration Manager не выполняет никаких операций, для которых требуется передача данных на сайты Configuration Manager.
  • В свойствах сетевого подключения Windows оно задано как безлимитное: клиент Configuration Manager действует так, будто это безлимитное подключение к Интернету, и передает данные на сайты Configuration Manager.
Имя параметра Дополнительные сведения
Укажите параметры связи клиентов в сетях с лимитными тарифными планами (Configuration Manager SP1)

Параметры связи клиентов в Интернете с лимитными тарифными планами (System Center 2012 R2 Configuration Manager)

 В раскрывающемся списке выберите одно из следующих значений для клиентских компьютеров под управлением Windows 8.

  • Разрешить. Все клиентские операции разрешены при лимитном подключении к Интернету, если клиентское устройство не использует подключение в роуминге.
  • Ограничить. Только следующие клиентские операции разрешены при лимитном подключении к Интернету:
    • получение клиентской политики;
    • сообщения о состоянии клиента для отправки на сайт;
    • запросы установки программного обеспечения с использованием каталога приложения;
    • обязательные развертывания (при достижении крайнего срока установки).
    Важно!
    Если пользователь инициирует установка ПО из центра программного обеспечения или каталога приложений, эти операции всегда разрешены независимо от настроек лимитного подключения к Интернету.

    При достижении ограничения объема передаваемых данных для лимитного подключения к Интернету клиент больше не пытается связаться с сайтами Configuration Manager.

  • Блокировать. Клиент Configuration Manager не пытается связаться с сайтами Configuration Manager при лимитном подключении к Интернету. Это значение используется по умолчанию.

Как настроить клиента sccm2012R2-14

Как настроить клиента sccm2012R2-14

Защита доступа к сети (NAP)

Имя параметра Дополнительные сведения
Включить защиту доступа к сети для клиентов. Если для этого параметра выбрано значение True или Да, клиенты Configuration Manager, поддерживающие защиту доступа к сети (NAP), оценивают состояние работоспособности обновлений программного обеспечения и отправляют результаты точке средства проверки работоспособности системы.

Совет
Перед выбором значения True или Да для этого параметра убедитесь, что на клиентах запущена и настроена на автоматический запуск служба агента защиты доступа к сети Windows, а также убедитесь в наличии инфраструктуры защиты доступа к сети Windows.

Значение по умолчанию — False или Нет.
Требуется новое сканирование для каждой оценки Если выбрать значение True или Да для этого параметра, будет обеспечен наиболее высокий уровень безопасности, однако это приведет к задержкам, поскольку подключающиеся клиенты будут дожидаться оценки защиты доступа к сети. Если для этого параметра выбрано значение False или Нет, клиенты будут возвращать кэшированные результаты наиболее поздней оценки защиты доступа к сети. Актуальность этих сведений зависит от значения параметра клиента Расписание повторной оценки защиты доступа к сети. Значение по умолчанию — False или Нет.
Расписание повторной оценки защиты доступа к сети По умолчанию клиенты, поддерживающие защиту доступа к сети, повторно оценивают свои состояния работоспособности в соответствии с простым расписанием на каждый день. Это поведение можно изменить, если щелкнуть Расписание и настроить частоту и интервал; также можно создать свое собственное расписание.

Важно!
При изменении расписания оценки по умолчанию убедитесь, что настраиваемое значение меньше срока действия, настроенного для точки средства проверки работоспособности систем. Если оценка соответствия на клиенте будет производиться реже, чем период действия, то точка проверки работоспособности системы будет считать клиенты несоответствующими.В этом случае обновление даст клиентам команду переоценить свое соответствие и сформировать новое состояние работоспособности. Этот процесс может занять несколько минут, поэтому, если сервер политики работоспособности защиты доступа к сети настроен на обязательное соответствие при ограниченном доступе к сети, компьютеры не смогут получить доступ к ресурсам сети в течение периода повторной оценки.

Как настроить клиента sccm2012R2-15

Как настроить клиента sccm2012R2-15

Управление питанием

Имя параметра Дополнительные сведения
Разрешить пользователям исключать их устройства из политики управления питанием В раскрывающемся списке выберите True или Да, чтобы разрешить пользователям центра программного обеспечения исключать свои компьютеры из любых настроенных схем управления питанием.
Включить прокси-сервер пробуждения Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager:

Укажите значение Да, чтобы дополнить параметр Wake On LAN сайта, если он настроен для передачи пакетов одноадресной рассылки.

Предупреждение
Не включайте прокси-сервер пробуждения в рабочей сети, сначала не поняв, как он работает, и не проверив его в тестовой среде.
Номер порта прокси-сервера пробуждения (UDP) Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager:

Оставьте значение порта по умолчанию, используемое компьютерами диспетчера для отправки пакетов пробуждения компьютерам в спящем режиме, или выберите значение на свое усмотрение.

Номер порта, указанный здесь, автоматически настраивается для клиентов, которые используют брандмауэр Windows, при настройке параметра Исключение брандмауэра Windows для прокси-сервера пробуждения. Если клиенты используют другой брандмауэр, необходимо вручную настроить его, чтобы включить UDP-порт, указанный для этого параметра.
Номер порта (UDP) пробуждения по локальной сети Только для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager:

Оставьте значение по умолчанию (9), если только вы не изменили номер порта пробуждения по локальной сети (UDP) в разделе Свойства на вкладке Порты сайта.

Важно!
Этот номер должен соответствовать номеру в Свойствах сайта. Если изменить этот номер в одном месте, он не будет автоматически изменяться в другом месте.

Как настроить клиента sccm2012R2-17

Как настроить клиента sccm2012R2-17

Удаленные средства

Имя параметра Дополнительные сведения
Включить удаленное управление на клиентах

Профили исключений брандмауэра

 Выберите, требуется ли включить удаленное управление Configuration Manager для всех клиентских компьютеров, получающих эти параметры клиента. Нажмите кнопку Настроить, чтобы включить удаленное управление и дополнительно настроить параметры брандмауэра для работы удаленного управления на клиентских компьютерах.

Важно!
Если не настроить параметры брандмауэра, функция удаленного управления может не работать.
Примечание
Удаленное управление отключено по умолчанию.
В центре программного обеспечения пользователи могут изменять политику или параметры уведомления Выберите, могут ли пользователи изменять параметры удаленного управления с помощью центра программного обеспечения.
Разрешить удаленное управление компьютером при отсутствии пользователей Укажите, может ли администратор использовать функцию удаленного управления для доступа к заблокированному клиентскому компьютеру или компьютеру, на котором выполнен выход из сеанса работы. Если этот параметр отключен, удаленное управление применяется только к разблокированным и активным компьютерам.
Запрашивать согласие пользователя на удаленное управление Укажите, будет ли клиентский компьютер выводить сообщение с запросом разрешения пользователя, прежде чем будет разрешено открыть сеанс удаленного подключения.
Дать локальной группе администраторов разрешение на удаленное управление Укажите, смогут ли локальные администраторы на сервере, инициирующем подключение удаленного управления, устанавливать сеансы удаленного подключения к клиентским компьютерам.
Разрешенный уровень доступа Установите разрешенный уровень удаленного управления доступом.
Разрешенные наблюдатели Нажмите кнопку Задать пользователей, чтобы открыть диалоговое окно Настроить параметр клиента, и укажите имена пользователей Windows, которые могут устанавливать сеансы удаленного управления клиентскими компьютерами.
Показывать на панели задач значок уведомления о сеансе Установите этот флажок, чтобы отображать в панели задач клиентских компьютеров значок, уведомляющий о наличии активного сеанса удаленного управления.
Показать панель подключения сеанса Установите этот флажок, чтобы отображать в панели задач клиентских компьютеров более крупную панель подключений сеанса, уведомляющую о наличии активного сеанса удаленного управления.
Воспроизводить звук на клиенте Установите этот флажок, чтобы использовать звуковой сигнал, уведомляющий о наличии активного сеанса удаленного управления на клиентском компьютере. Звуковой сигнал может подаваться при установке и разрыве подключения сеанса или периодически воспроизводиться, пока сеанс остается активным.
Управлять параметрами незапрошенного удаленного помощника Установите этот флажок, чтобы разрешить Configuration Manager управление незапрошенными сеансами удаленного помощника.

Незапрошенные сеансы удаленного помощника — это такие сеансы, которые инициируются без запроса помощи со стороны пользователя клиентского компьютера.
Управлять параметрами запрашиваемого удаленного помощника Установите этот флажок, чтобы разрешить Configuration Manager управление запрошенными сеансами удаленного помощника.

Запрошенные сеансы удаленного помощника — это такие сеансы, которые инициируются при отправке пользователем клиентского компьютера запроса удаленной помощи администратору.
Уровень доступа удаленного помощника Выберите уровень доступа, который будет предоставлен сеансам удаленного помощника, инициируемым из консоли Configuration Manager.

Примечание
Пользователь клиентского компьютера всегда должен давать разрешение на запуск сеанса удаленного помощника.
Управлять параметрами удаленного рабочего стола Установите этот флажок, чтобы разрешить Configuration Manager управление сеансами подключения к удаленному рабочему столу.
Разрешить наблюдателям с соответствующим разрешением подключаться через подключение к удаленному рабочему столу Установите этот флажок, чтобы разрешить добавление пользователей, указанных в списке разрешенных наблюдателей, в локальную группу пользователей удаленного рабочего стола клиентского компьютера.
Требовать проверку подлинности на уровне сети на компьютерах под управлением ОС Windows Vista и последующих версий Выберите этот параметр, обеспечивающий дополнительную безопасность, если хотите использовать проверку подлинности на сетевом уровне для установки подключений к удаленным рабочим столам на клиентских компьютерах, работающих под управлением ОС Windows Vista или более поздних версий. Проверка подлинности на сетевом уровне использует меньше ресурсов удаленного компьютера, так как проверка подлинности пользователя выполняется до установки подключения к удаленному рабочему столу. Этот метод более надежен, так как позволяет защитить компьютер от действий злоумышленников или вредоносных программ, уменьшая вероятность атак типа «отказ в обслуживании».

Как настроить клиента sccm2012R2-18

Как настроить клиента sccm2012R2-18

Развертывание программного обеспечения

Имя параметра Дополнительные сведения
Расписание повторной оценки развертываний Настройте расписание повторной оценки Configuration Manager правил требований для всех развертываний. Значение по умолчанию – каждые 7 дней.

Важно!
Не рекомендуется изменять это значение по умолчанию в меньшую сторону, так как это может отрицательно повлиять на производительность сети и клиентских компьютеров.

Также можно инициировать это действие с клиентского компьютера Configuration Manager, выбрав действие Цикл оценки развертывания приложения на вкладке Действия оснастки Configuration Manager в панели управления.

Как настроить клиента sccm2012R2-19

Как настроить клиента sccm2012R2-19

Инвентаризация программного обеспечения

Имя параметра Дополнительные сведения
Уровень детализации отчетов об инвентаризации Задайте уровень детализации отчетов об инвентаризации. Включать в инвентаризацию можно сведения только о файле, сведения о продукте, связанном с файлом, или все сведения о файле.
Проводить инвентаризацию файлов этих типов Если требуется указать типы файлов для инвентаризации, выберите Задать типы и настройте следующие значения в диалоговом окне Настройка параметра клиента.

Примечание
Если на компьютере применяются несколько настраиваемых клиентских параметров, инвентарные данные, полученные по каждому параметру, будут объединены.
  • Щелкните значок «Создать», чтобы добавить в инвентаризацию новый тип файлов, а затем в диалоговом окнеСвойства внесенного в опись файла укажите следующую информацию.
  • Имя — укажите имя файла, который необходимо добавить в инвентаризацию. Можно использовать знак * для представления любой текстовой строки и знак ? для представления любого отдельного символа. Например, если вы хотите проверить все файлы с расширением DOC, укажите имя файла *.doc.
  • Расположение — щелкните Задать, чтобы открыть диалоговое окно Свойства пути. Инвентаризацию программного обеспечения можно настроить для поиска указанного файла на всех клиентских жестких дисках, поиска по указанному пути (например, C:папка) или указанной переменной (например, %windir%), а также можно выполнять поиск во всех вложенных папках по указанному пути.
  • Исключить зашифрованные и сжатые файлы — при выборе этого параметра все сжатые или зашифрованные файлы не будут включены в инвентаризацию.
  • Исключить файлы в папке Windows — при выборе этого параметра все файлы в папке Windows и ее вложенных папках не будут включены в инвентаризацию.
  • Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства внесенного в опись файла.
  • Добавьте в инвентаризацию все требуемые файлы, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окноНастройка параметра клиента.
Собирать файлы Если требуется получать файлы с клиентских компьютеров, щелкните Задать файлы и настройте следующие параметры.

Примечание
Если на компьютере применяются несколько настраиваемых клиентских параметров, инвентарные данные, полученные по каждому параметру, будут объединены.
  • В диалоговом окне Настройка параметра клиента щелкните значок «Создать», чтобы добавить файл, который должен быть получен.
  • В диалоговом окне Свойства собранного файла укажите следующие сведения.
  • Имя — укажите имя файла, который необходимо получить. Можно использовать знак * для представления любой текстовой строки и знак ? для представления любого отдельного символа.
  • Расположение — щелкните Задать, чтобы открыть диалоговое окно Свойства пути. Инвентаризацию программного обеспечения можно настроить для поиска файла, который требуется получить, на всех клиентских жестких дисках, поиска по указанному пути (например, C:папка) или указанной переменной (например, %windir%), а также можно выполнять поиск во всех вложенных папках по указанному пути.
  • Исключить зашифрованные и сжатые файлы — при выборе этого параметра все сжатые или зашифрованные файлы не будут собираться.
  • Прекратить сбор файлов, если их размер в совокупности превышает (КБ) — укажите размер файлов (в КБ), при превышении которого больше не будут собираться файлы, указанные в разделе Имя.
    Примечание
    Сервер сайта собирает пять последних измененных версий собранных файлов и хранит их в каталоге <каталог установки ConfigMgr>InboxesSinv.boxFilecol. Если в файл не вносились изменения со времени последнего сбора инвентаризации программного обеспечения, данный файл не будет повторно собираться.Файлы, размер которых превышает 20 МБ, не собираются при инвентаризации программного обеспечения.Значение параметра Максимально допустимый размер всех собранных файлов (КБ) в диалоговом окнеНастройка параметра клиента отображает максимальный размер всех собранных файлов. При достижении этого размера сбор файлов будет остановлен. Все собранные файлы сохраняются и отправляются на сервер сайта.
    Важно!
    Если инвентаризация программного обеспечения настроена для сбора большого количества крупных файлов, это может отрицательно повлиять на производительность сети и сервера сайта.
  • Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства собранного файла.
  • Добавьте все файлы, которые требуется собрать, а затем нажмите кнопку ОК, чтобы закрыть диалоговое окноНастройка параметра клиента.
Задать имена Во время инвентаризации программного обеспечения наименования продуктов и компаний-производителей извлекаются из заголовков файлов, установленных на клиентах сайта. Поскольку указанные наименования в заголовках файлов не всегда стандартизованы, при просмотре сведений об инвентаризации программного обеспечения в обозревателе ресурсов или выполнении запросов в некоторых случаях могут отображаться другие версии аналогичного наименования продукта или производителя. Если требуется стандартизация отображаемых имен, выберите пункт Задать имена и настройте следующие параметры в диалоговом окне Настройка параметра клиента.

  • Тип имени: функция инвентаризации программного обеспечения собирает сведения о производителях и продуктах. В раскрывающемся списке выберите, для какой категории требуется настроить отображаемые имена: для категорииПроизводитель или Продукт.
  • Отображаемое имя: указание отображаемого имени, которое требуется использовать вместо наименований в спискеИмена, внесенные в опись. Чтобы указать новое отображаемое имя, можно щелкнуть значок «Создать».
  • Имена, внесенные в опись: щелкните значок «Создать», чтобы добавить в инвентарную опись программного обеспечения новое имя, заменяемое именем, выбранным в списке Отображаемое имя. Можно добавить несколько имен, которые будут заменены.

Как настроить клиента sccm2012R2-20

Как настроить клиента sccm2012R2-20

Обновления программного обеспечения

Имя параметра Дополнительные сведения
Включить обновления программного обеспечения для клиентов Используйте этот параметр, чтобы включить обновление программного обеспечения на клиентах Configuration Manager. Если его отключить, то Configuration Manager удалит все политики развертывания на стороне клиента. При повторном включении параметра клиент загружает текущую политику развертывания.

Важно!
Кроме того, при выключении этого параметра NAP и параметры соответствия, зависящие от устройства, на котором обновляется ПО, перестанут действовать.
Расписание проверки обновлений программного обеспечения Используйте этот параметр, чтобы указать, как часто клиент запускает проверку соответствия обновлений ПО требованиям. Проверка соответствия требованиям определяет состояние обновлений ПО на клиенте (например, требуются или установлены).

По умолчанию используется простое расписание, а проверка соответствия требованиям запускается через каждые 7 дней. Можно создать настраиваемое расписание, чтобы указать точную дату и время запуска, выбрать использование времени в формате UTC или местного времени, а также настроить интервал повтора для определенного дня недели.

Примечание
Можно указать интервал меньше 1 дня, но в Configuration Manager будет по умолчанию использован 1 день.
Предупреждение
Фактическое время запуска на клиентских компьютерах равно сумме заданного времени запуска и случайного промежутка времени продолжительностью до 2 часов. Это позволяет избежать одновременного запуска проверки и подключения клиентских компьютеров к службам WSUS на сервере активной точки обновления.
Расписание повторной оценки развертывания Используйте этот параметр, чтобы указать, насколько часто агент клиента обновлений повторно проверяет состояние установки обновлений на клиентских компьютерах Configuration Manager. Если установленные ранее обновления отсутствуют на клиентских компьютерах, но по-прежнему требуются, они будут переустановлены. Расписание повторной оценки развертывания следует настраивать с учетом действующей в компании политики соответствия обновлений ПО требованиям, наличия у пользователей возможности удалять обновления ПО и т. п. При составлении расписания следует помнить, что цикл повторной оценки каждого развертывания связан с определенной нагрузкой на сеть и на ЦП клиентских компьютеров. По умолчанию используется простое расписание, а повторная оценка развертывания запускается через каждые 7 дней.

Примечание
Можно указать интервал меньше 1 дня, но в Configuration Manager будет по умолчанию использован 1 день.
Когда наступит крайний срок развертывания обновления программного обеспечения, установите все другие развертывания обновления программного обеспечения, крайний срок которых наступает в течение указанного периода Используйте этот параметр, чтобы установить все обновления ПО в обязательные развертывания, крайний срок которых приходится на указанный период времени. При наступлении крайнего срока для обязательного развертывания обновлений ПО на клиентах запускается установка обновлений, содержащихся в этом развертывании. Этот параметр определяет, следует ли также начинать установку обновлений ПО, определенных в других обязательных развертываниях, крайний срок которых приходится на указанный период времени.

Используйте этот параметр для срочной установки обновлений, для обеспечения более высокого уровня безопасности, для снижения количества отображаемых уведомлений и для возможного снижения количества перезапусков клиентских компьютеров. По умолчанию этот параметр отключен.
Период, в течение которого также будут установлены все ожидающие развертывания, крайний срок которых наступает в это время Используйте этот параметр, чтобы указать диапазон времени для предыдущего параметра. Можно ввести значение, равное от 1 до 23 часов и от 1 до 365 дней. По умолчанию для этого параметра используется значение 7 дней.

Как настроить клиента sccm2012R2-21

Как настроить клиента sccm2012R2-21

Как настроить клиента sccm2012R2-22

Как настроить клиента sccm2012R2-22

Сопоставление пользователей и устройств

Имя параметра Дополнительные сведения
Порог использования сопоставления пользователей и устройств (в минутах) Укажите время в минутах перед тем, как Configuration Manager будет создавать сопоставление пользователя и устройства.
Порог использования сопоставления пользователей и устройств (в днях) Укажите число дней, через которое будет измеряться пороговое значение сопоставления на основе использования.

Примечание
Например, если для параметра Порог сопоставления пользователя и устройства (минуты) указано значение 60 минут, а параметр Порог сопоставления пользователя и устройства (дни) имеет значение 5дней, для автоматического создания сопоставления пользователя и устройства необходимо, чтобы данный пользователь использовал устройство в течение 60 минут за период, составляющий 5 дней.
Автоматически настроить сопоставление пользователей и устройств на основе данных об использовании Выберите True или Да, чтобы разрешить Configuration Manager автоматически создавать сопоставления пользователей и устройств на основе собранных данных об использовании.

Как настроить клиента sccm2012R2-23

Как настроить клиента sccm2012R2-23

Параметры клиента для пользователей

Как настроить клиента sccm2012R2-24

Как настроить клиента sccm2012R2-24

Если щелкнуть допустим по новой созданной политике то ее можно развернуть на конкретную коллекцию

Как настроить клиента sccm2012R2-25

Как настроить клиента sccm2012R2-25

Как настроить клиента sccm2012R2-26

Как настроить клиента sccm2012R2-26

Источник

Виталий Якоб показывает, как выполнять Powershell-скрипты с помощью SCCM2012.

После создания скрипта для изменения строки подключения к RDS-ферме в RDP файлах пользователей нам нужно этот скрипт как-то доставить и выполнить на нескольких сотнях компьютеров. В этом непростом деле нам вновь поможет System Center 2012 Configuration Manager (SCCM).

Первым делом сохраним сценарий PowerShell в доступном сетевом расположении.

Перейдём к консоль SCCM и вызовем мастер создания пакета (Package). Присвоим имя создаваемому пакету, например “KOM Package Change Server name On RDP”. Укажем, что пакет имеет исходные файлы и укажем путь к каталогу с скриптом.

image_thumb243

Следующий шаг оставим по умолчанию. Потому как нам необходима стандартная программа для выполнения на компьютерах.

image_thumb244

Далее мастер переходит в меню создания программы, которая и будет разворачиваться на компьютерах. Присвоим программе имя, например “KOM Program Change Server name On RDP”

image_thumb245

Так как выполнение программы подразумевает выполнение чего-либо в командной строке (CMD), нам необходимо указать вызов PowerShell с политикой выполнения скриптов RemoteSigned.

PowerShell ExecutionPolicy RemoteSigned .ChangeServerNameOnRDPFiles.ps1

Указать политику выполнения весьма желательно, иначе скрипт может быть не выполнен на клиентских компьютерах. Проверить отработку скрипта всегда можно с командной строки на компьютере:

image_thumb246

Так как в данной задаче нам необходимо изменить сервер подключения в RDP файлах на рабочем столе пользователей, указываем требование для запуска “Только после входа пользователя” и режим выполнения “Запустить с правами пользователя”.

Завершающим этапом создания программы укажем операционные системы, на которых должна работать программа.

image_thumb247

Понятно, что в данной задаче выбираем только клиентские операционные системы.

На этом создание программы закончено.

Распространим пакет по точкам распространения и развернём на необходимую коллекцию компьютеров.

Развёртывание выполняем с обязательным намерением.

image_thumb248

В расписании создадим тип “Как можно скорее”.

image_thumb249

Повторный запуск оставляем по умолчанию, в данной задаче нам это подходит. Оставшиеся шаги мастера можно оставить по умолчанию.

Через некоторое время можно посмотреть мониторинг по развёртыванию, чтобы убедиться об успешном выполнении программы.

image_thumb250

Если в развёртывании пакетов что-то пойдёт не так, более детальную информацию можно всегда получить с клиентского лога execmrg.log (как правило расположен в каталоге %windir%CCMLogs).
В данном примере, распространение и выполнение прошло успешно, но раз заговорили о клиентских логах, посмотрим что там:

image_thumb251

С небольшого куска лога видно, какая команда будет запущена в контексте пользователя, видны идентификаторы развёртывания и пакета, также видно расположение контента. В завершении представленного куска лога мы видим, что выполнение команды завершается с кодом 0, т.е. без ошибки.

Такую доставку и выполнение выполнение PS/VBS скриптов с помощью SCCM мы находим более удобной, чем использование logon-скриптов в групповых политиках и причина тому – возможность мониторинга статуса выполнения задачи.

Источник

У меня не было проблем с развертыванием приложений сценариев SCCM 2007, но SCCM 2012 заставляет меня рвать на себе волосы, и у меня осталось совсем немного. У нас, как правило, установка с большим количеством сценариев, и в большинстве случаев установка завершается сбоем в SCCM 2012, последний сбой — это Symantec Enterprise Vault. Я написал сценарий, который проверяет версию основного подключаемого модуля DLL и использует правильную строку удаления для удаления предыдущей версии. , перед установкой последней версии.

Мой сценарий очень прост и отлично работает вне SCCM, но внутри SCCM он дает сбой.

Если я воссоздаю приложение как развертывание MSI и использую файл MSI, тогда оно устанавливается нормально, поэтому SCCM правильно работает с клиентом. Удаление, которое SCCM вставляет из MSI, не удалось, но это описано ниже в примере. Я проверил все файлы журнала на стороне клиента и не могу найти никаких проблем.

Я даже возвращаю код возврата успешной установки 1707 и 0 в конце сценария, чтобы попытаться заставить SCCM добиться успеха. Сначала я написал сценарий на VB.net как консольное сервисное приложение, а затем переписал его в сценарии vb. оба скрипта не работают. Раньше я использовал AutoIT для написания сценариев, но это тоже не сработало, поэтому я решил переключиться на что-то более Microsoft.

Для обнаружения я использую выбор установщика Windows и указываю на файл msi, где он подхватывает код продукта.

Тип развертывания — сценарий.

Единственное, о чем я могу думать, это то, что SCCM 2012 не любит сны, которые есть в сценариях.

Или ему просто не нравятся скрипты. :-(

Удаление MSI не удалось, потому что его нужно было запустить от имени администратора, как видно из приведенного ниже сценария, я запускаю от имени администратора, и это работает вне SCCM, но не в SCCM. установка использует почти тот же код, но больше логики и гораздо больше строк удаления.

Даже удаление не удается, и вот насколько прост сценарий удаления;

Set WshShell = WScript.CreateObject("WScript.Shell")
If WScript.Arguments.length = 0 Then
    Set ObjShell = CreateObject("Shell.Application")
    ObjShell.ShellExecute "wscript.exe", """" & 
          WScript.ScriptFullName & """" & "RunAsAdministrator", , "runas", 1
    Else
end if

Set objShell = CreateObject("WScript.Shell")
Set objExec = objShell.Exec("MsiExec.exe /x{ADEBB592-4986-4FD1-868C-D59DB32F0BC2} /q")

WScript.Sleep 8000
returnValue = 1707
WScript.Quit(returnValue)

5 ответов

Что-то вроде этого, вам может понадобиться убедиться, что Outlook.exe закрыт, вы можете добавить Taskkill в свой скрипт, а затем попробовать:

taskkill /IM outlook.exe /T
msiexec /a "path to file" /qn

Может работать как простой файл .cmd


0

Toby Speight
6 Июл 2018 в 17:26

Это старая тема, но, возможно, это полезно для людей, которые ищут в Интернете:

  1. Приложения SCCM обычно запускаются как SYSTEM, нет необходимости «запускать от имени администратора» (вы можете настроить это в типе развертывания).

  2. Вы не можете «вырваться» из контекста SYSTEM и выполнить «запуск от имени». runas и системная учетная запись.
    Попробовал это один раз и, наконец, нашел уродливый обходной путь, создав запланированную задачу, которая запускается под определенным пользователем, а затем запустил эту задачу из моего сценария, который работает как SYSTEM.

  3. Как уже упоминалось, тестируйте свои скрипты в интерактивном режиме, используя учетную запись SYSTEM:
    psexec.exe \localhost -s cmd
    Проверьте с помощью whoami, что вы используете cmd с SYSTEM.
    Убедитесь, что вы добавили учетную запись COMPUTER вашего тестового клиента в ACL общего ресурса/папки вашей сетевой папки сценариев, в противном случае системная учетная запись НЕ имеет прав доступа.
    Если запуск сценария от имени SYSTEM работает, но SCCM по-прежнему сообщает об ошибке, велика вероятность того, что сбой метода обнаружения, а НЕ фактической установки!
    Проверьте следующие журналы здесь: C:WindowsCCMLogs
    (См. 4. ниже, как использовать службу индексирования для ускорения журналов устранения неполадок.)

    • Журнал AppDiscovery.
    • AppEnforce.log
    • AppIntentEval.log

  4. Откройте параметры службы индексирования Windows. Настройте *.log для индексации содержимого файлов. Затем добавьте путь C:WindowsCCMLogs в файл index. Инструкции.
    Таким образом, вы можете легко найти имя приложения и найти все файлы журналов, связанные с этим приложением. Вы также найдете соответствующий идентификатор AppDT, так что вы можете выполнить поиск по этому идентификатору и найти еще больше информации о вашем пакете/приложении.
    На вашей машине администратора создайте новую папку для сбора журналов, добавьте эту папку в файл index. Это позволяет вам скопировать всю папку журнала клиента в вашу папку администратора. Через несколько минут он будет проиндексирован и полностью доступен для поиска на вашем локальном компьютере!
    Microsoft предлагает инструмент, который может собирать полный пакет журналов на клиенте: Центр поддержки ConfigMgr


0

Fabian S.
26 Июл 2019 в 11:34

У вас есть настройка SCCM для запуска от имени администратора в программе, которую вы определили?


-1

Raged
25 Мар 2014 в 18:27

Тот факт, что он работает вне SCCM, не имеет большого значения, если вам нужно заставить его работать с SCCM! люди делают это сравнение все время, и это ничего не значит, что вам нужно сделать, это включить подробное ведение журнала в MSI, командная строка, это что-то вроде этого msiexec /x {xyz-code} /l*vc:somelogpath .log, попробуйте, вы можете найти что-то столь же странное, например, ошибку 1303 в файлах журнала.


0

fuzzybear
19 Мар 2014 в 20:21

Используйте PSEXEC и выполните команду под системной учетной записью. Я обнаружил, что некоторые установки/установщики не любят выполняться без графического интерфейса или другой учетной записи, отличной от пользователя.

Другое дело, что в SCCM 2012 есть пакеты, которые просто запускают программу с проверкой только кода выхода. И есть приложения, которые могут иметь правила обнаружения, которые можно использовать для действительной проверки правильности установки / выполнения программы.

Также всегда проверяйте советы по ITninja.


0

DeDenker
4 Июл 2016 в 13:12

Источник

Всем привет.

MS SCCM имеет полезную фишку в библиотеке — Scripts. SCCM позволяет выполнять Powershell script-ы на целевых коллекциях или хостах без выгрузки кода скрипта в виде файла и  последующего запуска. Т.е. в таком случае можно оперативно выполнить запрос или задать параметр в ОС хоста, даже если выполнение Powershell-скриптов запрещено политикой компании. Простой пример: удалим софт по имени, который был установлен некорректно. Т.е. штатно его удалить невозможно.

Пишем код: 

Param (

[string]$Prgname

)

$PSVersionTable.PSVersion

$app = Get-WmiObject -Class Win32_Product -Filter «Name like ‘%$Prgname%'»

$app.Uninstall()

утверждаем (approve) его и пытаемся выполнить в нужной коллекции.

Результат выполнения смотрим, как обычно, в Мониторинге. Вывод работы скрипта, если таковой предусмотрен, можно получить в формате Raw или JSON.

У такого подхода есть пара недостатков. Первый это то что несмотря на наличие приложения в системе WMI-запрос может его не найти. Это главный недостаток в работе с классом Win32_Product.

Поэтому есть смысл проверить вывод явно: 

Get-WmiObject -Query «SELECT * FROM Win32_Product WHERE Name like ‘%7-Zip%'»

Или выбрать весь список установленного софта: 

Get-WmiObject -Query «SELECT * FROM Win32_Product» | Select Name 

Можете софт проверить и другим запросом:

Get-WmiObject -Query «SELECT * FROM Win32Reg_AddRemovePrograms WHERE DisplayName like ‘%7-Zip%'» 

Но, к сожалению, класс Win32Reg_AddRemovePrograms не имеет метода Uninstall().

Второй недостаток — это возникающий запрос пользователю на разрешение выполнения самого удаления. Сообщение может быть таким «PowerShell is in NonInteractive mode. Read and Prompt functionality is not available.» В коде можно пробовать бороться с этим указанием флага -Recurse. 

Тогда команда выглядит так:

$app.Uninstall() -Recurse

Этого не всегда бывает достаточно. Интерактивный режим означает, что необходимо взаимодействовать со скриптами и давать какие-то ответы на вопросы формата yes/no. Это можно отключить так:

$app.Uninstall() -Recurse -Force

Такой вариант позволять избегать вопросов от powershell о подтверждении того или иного действия. Но даже этого иногда бывает недостаточно. В таком случае необходимо проставить флаг -Confirm:$false. Можно рискнуть и использовать все варианты сразу, чтобы точно обойти эту неприятную ошибку:

$app.Uninstall() -Recurse -Confirm:$false -Force

Успехов.

Источник

Понравилась статья? Поделить с друзьями:
  • Saints day праздник когда
  • Sainte catherine праздник
  • Saint valentines day праздник
  • Saint valentine s day сценарий
  • Saint sylvestre во франции праздник