SCCM Client Exclude Machines

6 בDecember 2011

היי לצופים! כאן תמיר לוי מ-Agile IT

ניהול הארגון באמצעות Microsoft System Center Configuration Manager מוסיף אתגרים חדשים סביב תחנות הקצה.
ברוב הפעמים נקבל בברכה את SCCM Client על כלל התחנות לצורכי מעקב, בקרה,מצאי, הפצת יישומים ועדכונים ועוד. אך ישנם מקרים בהם על שרתים מסוימים בשום פנים באופן לא נרצה לבצע שום התקנה, או תחנות בדיקה שצריכות להיות נקיות מכל מה שרץ ברקע. קחו לדוגמא אפילו תחנת App-V Sequencer שמבחינת הדרישות אסור שיהיה עליה Client שעלול לבצע פעולות בזמן הקלטה.
אין לנו כוונה להוסיף לעצמנו עוד עבודת ניהול ותחזוקה על ה-SCCM ומצד שני גם לא נרצה לוותר בקלות על הפצה אוטומטית של Client Push Installations ולכן רצוי לדעת להתמודד עם אתגר זה בצורה אוטומטית.

בפוסט זה אלמד אתכם טריקים כיצד ניתן לדלג על ה-Client Push Installation עבור תחנות מסויימות

1. OU Exclude

ברגע שאנחנו מבצעים System Discovery אחת לכמה זמן נמשכות כל ההחנות שמוגדרות תחת ה-LDAP Query שלנו.
לצערנו אין אפשרות דרך ממשק זה לבצע סריקה על כל ה-AD פרט ל-OU ספציפי , אבל ניתן לבצע חסימה מה-AD עצמו:

יש להיכנס ל-AD, לקבוע OU שבו יהיו כל התחנות ל-Exclude.
כניסה לחלון ה-Security עבור אותו OU, משם ללחוץ על Advanced > Add > Object Types ולסמן את Computers
כעת נוסיף את שם המחשב של עמדת ה-SCCM שלנו ונאשר
בחלון שייפתח יש לסמן Deny תחת List Contents כפי שנראה בתמונה
Active Directory

ניתן לבצע את החסימה על כל OU ובכך לחסום כמה OU’s שונים. שיטה זו יעילה במיוחד לכמויות גדולות של תחנות שנרצה לחסום.
חשוב לזכור שבשיטה זו המחשבים כלל לא ייכנסו ל-Collections ולא נוכל לראות עליהם גם את ה-Inventory הבסיסי ביותר מה-SCCM.

2. Policy

לתזכורת, Client Push Installation מופץ ע”י חשבון שאנחנו קבענו תחת Accounts
Client Push Installation

דרך “אלימה” קצת פחות היא ע”י קביעת מדיניות עבור אותן תחנות.
לביצוע הפעולה עלינו ליצור קבוצה ב-AD שתחיל את כל המשתמשים או המחשבים שעליהם לא נרצה לבצע הפצה
משם הדרך סלולה. עבור ה-GPO  בהתאם למחשבים/משתמשים יש לגשת ל-Policies | Windows Settings | File System > קליק ימני ו-Add File
בחלון הבא יש לבחור את תיקיית C:\Windows ובאפשרויות להוסיף את החשבון של הSCCM ולסמן ב-Deny את Read
image

בכך התחנות כן יופיעו ב-Collections אך כאשר ה-Client Push Installation ינסה להתקין את עצמו – ייכשל בגלל חסימת גישה.

3. הוספת קובץ ccmsetup

הדרך האהובה עלי והקלילה ביותר.
נוכל “לעבוד” על המערכת בכך שעל התחנות שנרצה לדלג נוסיף תחת C:\Windows\System32 קובץ ריק ללא סיומת בשם CCMSETUP
ובמערכות הפעלה 64 ביט תחת C:\windows
בכך בכל ניסיון של ה-Client Push Installation לבצע את זממו – הוא ידע שהוא יכול לדלג על התחנה בזכות קיומו של קובץ זה

ניתן לבצע או בצורה ידנית ופרטנית או הדרך המומלצת – בעזרת Group Policy Preferences

4. Registry

דרך אחרונה המומלצת בעיקר אם מדובר במספר מצומצם מאוד של תחנות היא חסימה דרך ה-Registry ע”ג שרת ה-SCCM:
כניסה ל-Regedit וניתוב אל:
מערכות הפעלה 64: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SMS\Components\SMS_DISCOVERY_DATA_MANAGER
מערכות הפעלה 32: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\Components\SMS_DISCOVERY_DATA_MANAGER
image
תחת הערך ExcludeServers תוכלו לרשום ע”י הפרדה ברווחים את כל שמות התחנות שברצונכם שה-SCCM יתעלם מהם.

מבין עוד אין סוף אפשרויות שאפשר עוד לבצע, הצגתי בפניכם את הנפוצות ביותר.
המשך ניהול תחנות נעים Smile

תמיר לוי

הוסף תגובה
facebook linkedin twitter email

Leave a Reply

Your email address will not be published. Required fields are marked *