none
Как сделать, чтобы компьютеры из определенной OU в AD не попадали в базу данных SCCM RRS feed

  • Вопрос

  • Коллеги, добрый день. Возник такой вопрос: в Active Directory имеется контейнер (OU), в котором находятся определенные компьютеры. Данные компьютеры не должны попадать в базу данных SCCM. Ими я управлять не должен. В "Конфигурация иерархии" - "Методы обнаружения" включены следующие методы: Heartbeat-обнаружение, Обнаружение в лесах Active Directory, Обнаружение пользователей Active Directory, Обнаружение систем Active Directory. Метод "Обнаружение групп Active Directory" отключен, так как в AD хранятся имена компьютеров, которых давно уже нет. Если данный метод включить, то эти "мертвые души" (порядка 200 - 250) попадут в базу SCCM, что совсем не нужно.

    Можно ли как-то реализовать такое поведение?

    Среда: System Center 2012 R2 Configuration Manager SP1, 1 Primary Site.

    8 сентября 2015 г. 5:21

Ответы

  • А в чем проблема то? В методе обнаружения Систем АД указываете все нужные вам ОЮшки, кроме той где низя ничего трогать. Конечно если полностью указать лес или домен, то он везде будеть лазить. У меня тоже полно продакшн ОЮшек, соотв. я указал только нужные.
    8 сентября 2015 г. 8:39
  • 1. Если вы не планируете использовать в дальнейшем развертывание на группы, включая группы пользователей, то нет, т.к. Group Discovery обнаруживает все ресурсы, как пользователей, так и компьютеры.

    2. "Выполнять рекурсивный поиск в дочерних контейнерах Active Directory" - будет искать в той ОУ, которую укажите и под-OU, которые ниже по структуре. "Обнаруживать объекты в группах Active Directory" - если у вас в этой OU есть группы с компьютерами, то они будут попадать.

    3. да

    9 сентября 2015 г. 11:18
    Модератор

Все ответы

  • А в чем проблема то? В методе обнаружения Систем АД указываете все нужные вам ОЮшки, кроме той где низя ничего трогать. Конечно если полностью указать лес или домен, то он везде будеть лазить. У меня тоже полно продакшн ОЮшек, соотв. я указал только нужные.
    8 сентября 2015 г. 8:39
  • Это всё понятно. Проблема в том, что AD я не управляю (этим занимаются другие люди). Там полно ОЮшек, в которых очень много ресурсов (и не все актуальные). В методе "Обнаружение систем Active Directory" у меня не стоит галочка "Обнаруживать объекты в группах Active Directory". Т.е., по сути, я использую один метод обнаружения компьютеров - это "Heartbeat-discovery".

    8 сентября 2015 г. 10:29
  • Ваш метод не позволяет дифференцировать или масштабировать границы обнаружения. Или руками выделяйте все нужные компы в коллекцию или активируйте System AD discovery... Мне так видется во всяком случае... Сейчас гуру меня поправят думаю)
    8 сентября 2015 г. 10:41
  • Вы написали, что указали только нужные OUшки. А у вас Heartbeat-descovery активирован? Просто если активирован, то насколько я понимаю, SCCM должен обнаружить компы в других OUшках (которые вы не отметили) этим методом.
    8 сентября 2015 г. 11:04
  • Насколько я понимаю, хэртбит актуальна для уже существующих клиентов и определяет частоту опроса именно их, тем самым просто дополняя уже существующие методы обнаружения. Масштабы задаются именно в System discovery

    https://technet.microsoft.com/en-us/library/gg712308.aspx#BKMK_HeartbeatDisc

    Вот тут как всегда скользко написано про это)

    8 сентября 2015 г. 11:17
  • У меня тогда возникает вопрос: каким образом у меня новые компьютеры попадают в базу данных?
    8 сентября 2015 г. 12:10
  • все, что у вас попадает в устройства есть в логе adsysdis.log

    дальше происходит следующее, вы выбрали дискаверить все оушки, у вас туда попали все машины, потом вы решили оставить только нужные, машины при этом у вас остались в базе, либо удаляйте ручками, либо ждите пока не пройдут задания в "site maintenance" (найдете на уровне сайта в риббоне), там обычно это до 90 дней. Кроме этого в system discovery вы можете не дискаверить устройства, которое например не аутентифицировались в домене такое-то кол-во дней.

    Объясните вашему администратору AD, что надо навести порядок. Я как то 2 недели сражался с DBA, чтобы он мне выдал права sysadmin на кластере sql, после копи пасты из одного топика, он сдался: "The site server account requires sysadmin in the SQL instance and local admin in the Windows OS hosting the SQL instance. Nothing less. That is the only thing that is supported. So, no you cannot get away with anything else. Basically, tell your DBA to "suck eggs" and deal with it. :-) Sorry, you can ignore that attempt at humor if you wish, but the end result is the same."

    Heartbeat Discovery применяется для Configuration Manager Clients, то есть для клиентов SCCM.

    8 сентября 2015 г. 13:52
    Модератор
  • С другой стороны, какое вам дело до мертвых учетных записей компьютеров в AD? Ну какое-то время будет много мусора в консоли. Выберите дискаверить машины с логон штампом не старше 30 дней, закинете push install агента (при условии, что вам дадут локальную админскую учетку на машинах), и все, дальше крутите, что хотите, вам адэшные админы уже не нужны. 

    8 сентября 2015 г. 13:57
    Модератор
  • Антон, хотел уточнить. В моём случае можно поступить следующим образом:

    1) Метод "обнаружение групп Active Directory" можно и не включать, а всё, что мне нужно, настроить в методе "Обнаружение систем Active Directory"?

    2) В методе "Обнаружение систем Active Directory" я добавляю все те OUшки, которые мне нужны. Причем, обе галочки "Выполнять рекурсивный поиск в дочерних контейнерах Active Directory" и "Обнаруживать объекты в группах Active Directory" должны стоять? И поступаю таким образом для всех OUшек, кроме той, компьютеры которой не должны попадать в базу SCCM?

    3) Также ставлю галочку "Обнаруживать только те компьютеры, которые подключались к домену в течение указанного периода времени", к примеру, 30 дней.

    9 сентября 2015 г. 10:24
  • 1. Если вы не планируете использовать в дальнейшем развертывание на группы, включая группы пользователей, то нет, т.к. Group Discovery обнаруживает все ресурсы, как пользователей, так и компьютеры.

    2. "Выполнять рекурсивный поиск в дочерних контейнерах Active Directory" - будет искать в той ОУ, которую укажите и под-OU, которые ниже по структуре. "Обнаруживать объекты в группах Active Directory" - если у вас в этой OU есть группы с компьютерами, то они будут попадать.

    3. да

    9 сентября 2015 г. 11:18
    Модератор