none
Processo CCmexec.exe RRS feed

  • Pergunta

  • Quando o cliente do SCCM é instalado na estação, consultamos o gerenciador de tarefas e nele consta o processo CCmexec.exe. Como fazer para que esse processo não seja finalizado pelo usuário na estação??? Ou se caso ele for finalizado ele automaticamente é reiniciado??
    quarta-feira, 8 de abril de 2009 14:36

Respostas

  • Corrijam-me se eu estiver errado, mas se o usuário parar o processo ou o computador for reiniciado lá no servidor SCCM a instalação do cliente fica em Retry não é mesmo? e eu acredito que esta instalação fica insistindo durante sete dias. Porém não tenho como consultar agora, mas é mais ou menos isso que acontece. Logo, você vai ter sim o cliente instalado hehe J

     

    Raphael, você tem alguma opinião sobre isso?

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    quinta-feira, 9 de abril de 2009 10:39
    Moderador
  • Bom dia,

    caraca..acredita que li e pensei outra coisa..:):):)

    putz..acho que vou ter que trocar de oculos e tirar uns dias de folga..ainda bem que amanha e segunda eh feriado aqui!!!...

    o processo eh o seguinte...

    se por algum motivo o sccm n conseguir instalar o cliente via metodo push (isso n vale pra GPO), um arquivo vai ser criado em Inboxes\CcrRetry.Box...se u nao me engano o nome do arquivo eh o netbios.dominio.ccr..

    o sccm vai ficar tentando instalar o cliente por 7 dias mesmo e vai tentar 1x por hora...ateh conseguir..

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    quinta-feira, 9 de abril de 2009 12:51
    Moderador
  • Olá pessoal!

    Exatamente, o ccmsetup, na primeira fase da instalação de um client, se copia para a pasta %windir%\system32\ccmsetup e então se registra como um serviço do Windows, que em caso de reset do equipamento irá efetuar o retry mencionado acima.

    Isto não irá ocorrer somente se por alguma razão optarem por utilizar o parâmetro /noservice após o ccmsetup.exe

    Com isto, o ccmsetup irá ser executado como um executável independente, sob a conta de usuário que iniciou o arquivo naquele momento.

    Um abraço e boa páscoa pessoal!


    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    sábado, 11 de abril de 2009 12:51
  • Gislaine,

    Este não é o processo via GPO que mencionei, mas dê uma olhada:

    http://aperazza.spaces.live.com/blog/cns!5980EAF5D2695CBF!463.entry

    Quem sabe te ajuda de outra forma. :)

    O processo da GPO vou tentar te resumir.

    Abraço
    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    segunda-feira, 13 de abril de 2009 18:00
  • Bom dia,

    se o usuario pode parar servicos, a melhor forma eh a consientizacao...uma tarefa agendada, como o Alexandre falou, com cert vai ajudar, mas n vai resolver o teu problema...

    se o cliente sccm n estiver carregado, infelizmente vc n poderah fazer nada, acesso remoto, software update, etc...

    n sei como eh o ambiente, mas veja a possibilidade de retirar os usuarios do grupo local admin e aplicar uma GPO para nao permitir que qquer um possa desabilitar o servico

    da 1 olhada de como fazer isso via gpo
    http://www.windowsecurity.com/articles/Controlling-Server-Service-Security-Group-Policy.html

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    terça-feira, 14 de abril de 2009 07:51
    Moderador

Todas as Respostas

  • Boa noite,

    o processo responsavel por esse arquivo eh o SMS Agent Host, o q vc pode fazer eh criar uma gpo para nao permitir os usuarios a pararem este processo...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    quarta-feira, 8 de abril de 2009 19:53
    Moderador
  • Corrijam-me se eu estiver errado, mas se o usuário parar o processo ou o computador for reiniciado lá no servidor SCCM a instalação do cliente fica em Retry não é mesmo? e eu acredito que esta instalação fica insistindo durante sete dias. Porém não tenho como consultar agora, mas é mais ou menos isso que acontece. Logo, você vai ter sim o cliente instalado hehe J

     

    Raphael, você tem alguma opinião sobre isso?

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    quinta-feira, 9 de abril de 2009 10:39
    Moderador
  • Bom dia,

    ateh onde eu sei o retry count eh para qdo cliente nao consegue acessar o servidor ou para o WSUS, n sei se aplica nesse caso...posso estar errado..

    nesse teu caso, acho que o mais provavel de acontecer eh o cliente ser marcado como ativo ou ser deletado por inatividade..isso eh, se o cliente n tiver conectividade com o servidor por mais de x dias (Site maintenance->tasks->Delete Inactive Client Discovery Data)

    bom...isso tbem me deixou 1 pco "encucado", nao achei muita coisa no material que eu tenho...vou fazer 1 post no forum internacional pra ver se o Wally nos da 1 luz..

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    quinta-feira, 9 de abril de 2009 11:34
    Moderador
  • Blz, se puder confirma lá, por favor. Pois eu acredito que se eu tento fazer a instalação de um client via Client Push e por algum motivo a instalação não é concluída o processo fica em retry por algum tempo J

     

    Abraços.

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    quinta-feira, 9 de abril de 2009 12:11
    Moderador
  • Bom dia,

    caraca..acredita que li e pensei outra coisa..:):):)

    putz..acho que vou ter que trocar de oculos e tirar uns dias de folga..ainda bem que amanha e segunda eh feriado aqui!!!...

    o processo eh o seguinte...

    se por algum motivo o sccm n conseguir instalar o cliente via metodo push (isso n vale pra GPO), um arquivo vai ser criado em Inboxes\CcrRetry.Box...se u nao me engano o nome do arquivo eh o netbios.dominio.ccr..

    o sccm vai ficar tentando instalar o cliente por 7 dias mesmo e vai tentar 1x por hora...ateh conseguir..

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    quinta-feira, 9 de abril de 2009 12:51
    Moderador
  • Eh cara, reponsa chegando, a idade, em breve pai, isso deve realmente te deixar mais velhor ssss. Brincadeira. Tranqüilo então cara, confirmada a idéia J

     

    Abraços.

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    quinta-feira, 9 de abril de 2009 12:58
    Moderador
  • Boa noite,

    minha mae sempre disse que algum dia a responsabilidade chegava..mas n sabia que a visao ia embora junto :):):)

    soh completando..
    o .exe responsavel pela instalacao eh o ccmsetup.exe, dai sim entra essa historia de entrar novamente de 1 em 1 hora durante 7 dias...

    depois de instalado, o SMS Agent Host (ccmexec.exe) eh o responsavel pelas tarefas do sccm..por exemplo, instalacao de software, software metering, etc...

    se durante a instalacao, por algum motivo o ccmsetup.exe for parado, dai sim o .ccr vai ser criado, existem algums codigo de retorno de erro, basicamente eh se a instalacao nao foi concluida, etc..

    num dia "normal", se o usuario parar o ccmexec.exe, infelizmente nao vai ter mto o que fazer, o que vai acontecer eh que o computador nao vai comunicar com o sccm, e dai pode ter o problema de se tornar 1 computador inativo..nesse caso, o melhor eh configurar o servico para "ninguem" poder parar...

    mas vale sempre lembrar, se o usuario for um adm local, ele vai ter mtos direitos e poder dar um jeito...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    quinta-feira, 9 de abril de 2009 20:31
    Moderador
  • Olá pessoal!

    Exatamente, o ccmsetup, na primeira fase da instalação de um client, se copia para a pasta %windir%\system32\ccmsetup e então se registra como um serviço do Windows, que em caso de reset do equipamento irá efetuar o retry mencionado acima.

    Isto não irá ocorrer somente se por alguma razão optarem por utilizar o parâmetro /noservice após o ccmsetup.exe

    Com isto, o ccmsetup irá ser executado como um executável independente, sob a conta de usuário que iniciou o arquivo naquele momento.

    Um abraço e boa páscoa pessoal!


    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    sábado, 11 de abril de 2009 12:51
  • Bom dia pessoal,

    Poxa, tivemos outra "aula" com esse post... hehe. Dei uma pesquisada e realmente os amigos estão corretos. O processo de instalação é esse mesmo. Quero ver se consigo montar um lab durante a tarde para forçar esse comportamento e verificar os resultados. Se conseguir posto os resultados aqui.

    Abraços e bom feriado a todos.
    Att, Daniel Schaeffer
    sábado, 11 de abril de 2009 14:56
  • Bem, minha dúvida é: Após o cliente ser instalado, no micro do usuário consta o processo CCmexec.exe. Se o usuário finalizar esse processo, por exemplo eu conseguirei acessar esse micro remotamente? conseguirei fazer o envio de atualizações??? Como fazer para não deixar o usuário finalizar esse processo ou se o mesmo finalizar o processor restartar automaticamente??
    segunda-feira, 13 de abril de 2009 14:05
  • Olá Gislaine, para a sua pergunta eu tenho duas dicas:

     

    1.    Se os usuários logados nas estações da sua empresa possuem permissão para pararem processos você tem um grande problema com segurança e eu sugiro que você reveja a suas políticas no AD.

     

    2.    Se apenas administradores possuem este tipo de permissão nas estações e servidores eu sugiro que você confie neles ara que não façam isso, pois se não puder confiar em seus administradores há algo de errado.

     

    Existe uma parte importante ao adotar melhores práticas que é a definição de processos, logo a tecnologia virá apenas para complementar seus processo bem definidos, não pense que encontrará apenas na tecnologia a solução destes problemas, sendo assim, pense que o SCCM vai te ajudar muito se você definir os processos da organização e educar as pessoas que se beneficiarão destes processos. Tudo bem?

     

    Abraços e boa sorte.

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    segunda-feira, 13 de abril de 2009 15:48
    Moderador
  • Cleber, muitos dos usuarios da empresa possuem permissão para parar processos... Como que eu posso configurar o AD para que isso não ocorra???

    segunda-feira, 13 de abril de 2009 16:58
  • Olá Gislaine,

    Um conselho é reavaliar os processos de governança em TI, principalmente os que se referem a segurança (permissões, delegação de controle, etc)

    Com isto bem claro e definido, você pode utilizar-se de diversos meios para alcançar seu objetivo:

    - Pode alterar todos os acessos admin em suas máquinas através de GPO
    - Pode bloquear o acesso a serviços especificos através de GPO também
    - Pode implementar scripts de incialização que forçam que o ccmexec.exe seja inicializado
    - Pode utilizar a estratégia de scripts através de tarefas agendadas, por exemplo para cada 4 horas validar se o serviço está iniciado e caso contrário iniciá-lo.

    Como pode ver, covê tem muitas opções, e estas são apenas algumas das que são válidas. Porém, nada valerá se um trabalho de concientização dos usuários e principalmente admins de sua empresa não for feito. O ambiente só funcionará de forma correta e agregará valor para sua TI se todos caminharem em prol disto.

    Um abraço,
     


    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    segunda-feira, 13 de abril de 2009 17:28
  • Bem, somente eu sou admin da rede. Gostaria que você me detalhasse como que faria através de GPO...
    segunda-feira, 13 de abril de 2009 17:31
  • Gislaine,

    Este não é o processo via GPO que mencionei, mas dê uma olhada:

    http://aperazza.spaces.live.com/blog/cns!5980EAF5D2695CBF!463.entry

    Quem sabe te ajuda de outra forma. :)

    O processo da GPO vou tentar te resumir.

    Abraço
    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    segunda-feira, 13 de abril de 2009 18:00
  • Bom dia,

    se o usuario pode parar servicos, a melhor forma eh a consientizacao...uma tarefa agendada, como o Alexandre falou, com cert vai ajudar, mas n vai resolver o teu problema...

    se o cliente sccm n estiver carregado, infelizmente vc n poderah fazer nada, acesso remoto, software update, etc...

    n sei como eh o ambiente, mas veja a possibilidade de retirar os usuarios do grupo local admin e aplicar uma GPO para nao permitir que qquer um possa desabilitar o servico

    da 1 olhada de como fazer isso via gpo
    http://www.windowsecurity.com/articles/Controlling-Server-Service-Security-Group-Policy.html

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    terça-feira, 14 de abril de 2009 07:51
    Moderador
  • Olha, devido as politicas da empresa não posso retirar os usuários de serem administradores locais dos micros... qto a conscientização é complicado pois não conseguimos conscientizar nem nossos filhos, imagine usuário....
    terça-feira, 14 de abril de 2009 12:27
  • Boa tarde,

    nesse caso fica complicado, mas pode ser resolvido com uma politica interna...mas alguem mto forte dentro da empresa tem que assinar (tipo dono ou um gerente, mostre pra eles que se esse processo nao existir, a empresa pode estar a merce dos hackers, ou coisa desse tipo, coloque medo neles :):):) )...

    cria-se uma politica de que ninguem pode parar/matar o processo com pena de ser demitido, ou algo assim...

    uma outra forma eh como o Alexandre falou...cria uma tarefa agendada para iniciar o servico...

    espero ter ajudado,
    Raphael - MCP/MCSA Security/MCSE Security/MCTS: SCCM & MDOP & W2k8/MCITP - http://www.dotnetwork.com.br
    terça-feira, 14 de abril de 2009 12:32
    Moderador
  • Por isso que gosto da nossa área!

    Sempre temos que convencer quem está de fora de que o que estamos dizendo/propondo é a melhor alternativa :-)

    E como o Raphael disse, o negócio é colocar medo, ou falar que vai perder dinheiro, sempre dá certo.

    Mas Gislaine, quando você diz que é dificil concientizar usuários, eu tenho que discordar totalmente. O usuário não tem que achar fácil ou dificil se adpatar a algum processo organizacional. Infelizmente aqui no Brasil todo mundo trabalha achando que está fazendo favor para a empresa o que não é verdade. Se o corpo diretor de uma empresa define uma política, digamos de uso de internet, todos devem assinar e segui-la.

    Sugiro que para seu caso, se utilize algumas das várias opções propostas aqui, que serão opções de contorno, e que com calma e tempo junte argumentos para tentar mudar algumas particularidades do seu ambiente. Este é o desafio do profissional de TI hoje, mudar paradigmas.

    Um abraço e boa sorte!


    Alexandre Perazza - Caso a resposta lhe ajude, não esqueça de validá-la. http://aperazza.spaces.live.com
    terça-feira, 14 de abril de 2009 13:28
  • Alexandre, estou analisando as opções  que vocês sugeriram e logo postarei o resultado. Quanto a conscientização, aqui é empresa pública, é muito complicado essas questões.... Já se tentaram fazer muitas mudanças porém nunca obtiveram sucesso. Bom, vou me virando na medida que posso....
    terça-feira, 14 de abril de 2009 14:18
  • Ah... desde já agradeço muito a ajuda de todos vocês...
    terça-feira, 14 de abril de 2009 14:20
  • Pessoal, tópico fechado para controle. Caso exista ainda algum problema sugiro a abertura de um novo tópico.

     

    Abraços,

     

    Cleber Marques
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    www.mof.com.br | www.clebermarques.com | www.clebermarques.com.br
    sexta-feira, 17 de abril de 2009 02:59
    Moderador