none
SCCM 2012 R2. Approve клиентов RRS feed

  • Вопрос

  • Доброго времени суток, коллеги!

    Хочу сделать так:

    • Если машина разливается через OSD: происхдит автоматический аппрув клиента
    • Если клиент устанавливается из консоли: тоже клиент апрувится автоматически
    • Любой другой способ установки: approve только по отдельному пинку

    Это вообще возможно, или я хочу страшного?

    Благодарю!

    2 октября 2015 г. 8:12

Ответы

  • Добрый день.

    Описание самой настройки есть в документации Configure Settings for Client Approval and Conflicting Client Records

    В OSD я вижу это вызов powershell после установки клиента в последовательности задач:

    ApproveClients Method in Class SMS_Collection

    Invoke-WmiMethod -Namespace root/SMS/site_$($SiteCode) -Class SMS_Collection `
    -Name ApproveClients -ArgumentList @($True,$ClientsArray) -ComputerName $SiteServer

    BlockClients Method in Class SMS_Collection

    Invoke-WmiMethod -Namespace root/SMS/site_$($SiteCode) -Class SMS_Collection `
    -Name BlockClients -ArgumentList @($True,$ClientsArray) -ComputerName $SiteServer



    2 октября 2015 г. 9:57
    Модератор
  • другого из коробки нет.

    и это не сайт узнал о клиенте, а клиент узнал о сайте и отправил данные. Используйте PKI, переводите mp и dp на https и выдавайте сертификаты только тем, кому надо. Это еще один из вариантов.

    ну у вас уже есть учетная запись с добавлением в домен, в вашем же TS и вас это не беспокоит. ) 

    В остальном смысл такой - есть бесплатно и весело, а есть нативные решения от МС, но надо платить. ) Как говорится, хотите решить/автоматизировать бизнес/айти потребоность - платите. )

    • Предложено в качестве ответа EugeneLeitanMVP, Moderator 2 октября 2015 г. 10:49
    • Помечено в качестве ответа cryman 2 октября 2015 г. 11:14
    2 октября 2015 г. 10:36
    Модератор

Все ответы

  • Добрый день.

    Описание самой настройки есть в документации Configure Settings for Client Approval and Conflicting Client Records

    В OSD я вижу это вызов powershell после установки клиента в последовательности задач:

    ApproveClients Method in Class SMS_Collection

    Invoke-WmiMethod -Namespace root/SMS/site_$($SiteCode) -Class SMS_Collection `
    -Name ApproveClients -ArgumentList @($True,$ClientsArray) -ComputerName $SiteServer

    BlockClients Method in Class SMS_Collection

    Invoke-WmiMethod -Namespace root/SMS/site_$($SiteCode) -Class SMS_Collection `
    -Name BlockClients -ArgumentList @($True,$ClientsArray) -ComputerName $SiteServer



    2 октября 2015 г. 9:57
    Модератор
  • либо я бы сделал через orchestrator, там можно еще и рассылку замутить, что %machine_name approove%, но там либо нативно вызывать внутри MDT, либо пинать через powershell ранбук на сервере, но в этом случае столько вариантов открывается по автоматизации.

    Почитайте описание классов по ссылкам, дальше функцию можно написать и подставлять все, что надо.

    2 октября 2015 г. 10:05
    Модератор
  • Указанная в документации (и на скриншоте) настройка не делает различий между тем, как именно сайт узнал о появлении клиента. Мне же нужна в этом вопросе определённая вариативность.

    Что касается ps в ts, то в моём понимаении такое решение предполагает использование на разворачиваемом ПК учётной записи, обладающей определёнными привелении в инфраструктуре SCCM, чего хотелось бы избежать

    Оркестратора нет, увы

    За ссылки спасибо, ознакомлюсь

    2 октября 2015 г. 10:24
  • другого из коробки нет.

    и это не сайт узнал о клиенте, а клиент узнал о сайте и отправил данные. Используйте PKI, переводите mp и dp на https и выдавайте сертификаты только тем, кому надо. Это еще один из вариантов.

    ну у вас уже есть учетная запись с добавлением в домен, в вашем же TS и вас это не беспокоит. ) 

    В остальном смысл такой - есть бесплатно и весело, а есть нативные решения от МС, но надо платить. ) Как говорится, хотите решить/автоматизировать бизнес/айти потребоность - платите. )

    • Предложено в качестве ответа EugeneLeitanMVP, Moderator 2 октября 2015 г. 10:49
    • Помечено в качестве ответа cryman 2 октября 2015 г. 11:14
    2 октября 2015 г. 10:36
    Модератор
  • "другого из коробки нет"

    Благодарствую, это примерно то, что я ожидал услышать )

    ЗЫ

    Именно сайт узнал о клиенте. Сами же написали "клиент узнал о сайте и отправил данные" - то есть пока не отправил, сайт ни сном ни духом :-D

    PKI не вариант в нашем случае. Есть объективные причины, увы

    Учётка для добавления в домен да, есть. Но ей ACLы закручены по самое небалуйся. Другое дело, что, полагаю, и для апрува тоже можно что-то похожее подкрутить, но честно говоря очень не хотелось в дебри секурити влезать.

    2 октября 2015 г. 11:14