Microsoft System Center: Il nuovo aspetto di SCCM

  • Articolo

Microsoft System Center Configuration Manager è in corso di aggiornamento per riflettere il nuovo approccio di gestione degli utenti piuttosto che dei sistemi.

Paul Schnackenburg

La gestione dei sistemi aziendali sta cambiando, pertanto anche gli strumenti da utilizzare devono adeguarsi. System Center Configuration Manager (SCCM), la solida soluzione di gestione di Microsoft, è in linea con questa tendenza.

Una delle principali modifiche, almeno all'interno di SCCM, è il passaggio alla gestione UCM (User Centric Management) che predilige l'utente rispetto ai sistemi. È disponibile inoltre un nuovo modello di sicurezza basata sui ruoli, una nuova console e le potenzialità per un'infrastruttura semplificata.

La famiglia di prodotti System Center è fondamentale per il costante successo di Microsoft in un mercato aziendale in mutamento. Per diversi aspetti, SCCM è il membro più importante della famiglia. SCCM 2012 è oggi disponibile nella prima versione beta, con una seconda versione beta prevista per la prima metà del 2011. È possibile che alcune funzionalità verranno modificate dalla versione attuale alla versione RTM.

Per chi non ha familiarità con SCCM, ecco come funziona: esamina e rileva tutti i dispositivi (server, computer client e smartphone) connessi alla rete tramite Active Directory e installa il software client in ciascun nodo. Crea un database di inventario con i record relativi a ciascuna risorsa, al software installato e alle specifiche hardware. Utilizza tali dati per indirizzare le distribuzioni di applicazioni a gruppi di dispositivi o utenti.

Una volta completato il rilevamento dei dispositivi, la gestione è essenzialmente automatizzata. La gestione delle patch è basata su Windows Server Update Services (WSUS) ed è integrata. È possibile fare in modo che l'hardware appena installato riceva le distribuzioni del sistema operativo o che le macchine esistenti vengano selezionate per un aggiornamento di sistema. È possibile applicare criteri aziendali tramite la gestione delle impostazioni. SCCM può essere integrato con Protezione accesso alla rete di Windows Server 2008 per verificare l'integrità dei client prima di consentire l'accesso completo alla rete.

Attenzione all'utente

Il progressivo scivolamento dell'informatica verso il mercato di consumo è una realtà. La resistenza a questa tendenza si rivelerà probabilmente controproducente nel lungo termine. In conseguenza di ciò, vanno considerati una vasta gamma di dispositivi e piattaforme da supportare. La maggior parte dei dispositivi mobili vengono utilizzati da una generazione più giovane che spesso è più tecnicamente esperta rispetto ai propri colleghi più anziani.

SCCM è sempre stato incentrato sulla gestione dei sistemi. Il cambiamento del panorama, giustamente pone gli utenti in un un ruolo centrale. Questa nuova filosofia fornisce loro maggiore controllo sul software installato e su quando installarlo. Ad esempio, l'utente può definire il proprio orario di lavoro in modo che le installazioni e gli aggiornamenti vengano eseguiti al di fuori di tale orario (vedere la Figura 1).

Figura 1 La gestione UCM (User Centric Management) consente agli utenti di controllare aspetti del proprio ambiente applicativo

Figura 1 La gestione UCM (User Centric Management) consente agli utenti di controllare aspetti del proprio ambiente applicativo

Ciascun utente potrà disporre di uno o più dispositivi principali (ovvero un computer desktop, un computer portatile o un dispositivo smartphone). Possono esistente più di un utente principale per dispositivo specifico (ad esempio, durante la turnazione all'interno di uno stabilimento). Tali relazioni vengono definite grazie al supporto UDA (User Device Affinity). Esistono diversi metodi per creare il collegamento: mediante l'importazione di file, manualmente da parte dell'amministratore, da parte dell'utente finale o tramite statistiche di utilizzo.

Per coinvolgere ulteriormente gli utenti nella gestione dei sistemi, è disponibile una nuova interfaccia denominata Software Center, che impiega un'interfaccia basata su browser e carrello acquisti per consentire agli utenti di cercare e richiedere applicazioni. A seconda dell'applicazione, è possibile installarla immediatamente o richiedere prima l'approvazione dell'amministratore.

Gestione più efficiente delle applicazioni

In SCCM 2012 sono ancora presenti pacchetti e programmi delle precedenti versioni, ma sono integrati dal nuovo modello basato sugli stati che funziona per l'intero ciclo di vita delle applicazioni. Ciascuna applicazione include uno scopo (Obbligatoria o Disponibile), regole dei requisiti e uno o più tipi di distribuzione (vedere la Figura 2). È possibile impostare la modalità di distribuzione su Microsoft Application Virtualization, Script Installer, Microsoft Windows Installer (MSI), Remote Desktop App o Windows Mobile Cabinet.

Figura 2 Ciascuna applicazione può includere più modalità di distribuzione

Figura 2 Ciascuna applicazione può includere più modalità di distribuzione

La capacità di utilizzare più metodi di distribuzione delle applicazioni comporta un notevole aumento della flessibilità. È possibile, ad esempio, installare Adobe Reader come applicazione nativa nel dispositivo principale, come applicazione Desktop remoto se è presente un utente che accede a un server e come programma App-V in eventuali altri dispositivi. Nelle situazioni in cui un'applicazione dipende da un'altra, è possibile creare dipendenze in modo tale che l'applicazione X venga installata se non presente prima della distribuzione dell'applicazione Y.

In SCCM viene utilizzata ora una funzionalità di "ritiro" per disinstallare le applicazioni, disponibile solo per i programmi App-V in SCCM 2007. In SCCM 2012, è possibile utilizzare tale funzionalità in tutte le modalità di distribuzione.

Molte aziende mantengono un laboratorio di test della distribuzione di applicazioni per eliminare qualsiasi problema prima di passare all'ambiente di produzione. È possibile adesso utilizzare SCCM per esportare un'applicazione (compresi i file dipendenti) dal laboratorio e importarla nella rete di distribuzione. SCCM consente di monitorare tutte le distribuzioni di software nel nodo di monitoraggio, piuttosto che nel visualizzatore di messaggi di stato separato come avveniva in SCCM 2007. Le funzionalità di creazione report sono avanzate e semplificano l'individuazione di problemi.

In SCCM 2007 è uso comune creare query complesse da indirizzare a programmi in base a requisiti tecnici e aziendali. Le regole relative ai requisiti sono una nuova funzionalità volta a ridurre al minimo la quantità di modifiche delle query necessarie. È possibile rendere tali regole globali e applicarle a tutte le modalità di distribuzione relative a una particolare applicazione o applicarle solo a una modalità di distribuzione.

L'aspetto positivo è il fatto che tali regole vengono valutate nel client in fase di installazione e non sono basate su dati potenzialmente obsoleti provenienti dal database (vedere la Figura 3). Il test preventivo della distribuzione di un'applicazione senza doverla effettivamente installare verrà introdotto nella versione beta 2.

Figura 3 Le regole relative ai requisiti dovrebbero ridurre al minimo l'esigenza di query complesse, poiché sono molto più semplici da definire.

Figura 3 Le regole relative ai requisiti dovrebbero ridurre al minimo l'esigenza di query complesse, poiché sono molto più semplici da definire.

La funzionalità OSD (Operating System Deployment) è da sempre uno dei punti forti di SCCM. In SCCM 2012 è stato introdotto un supporto avviabile gerarchico, che elimina l'esigenza di gestire supporti di avvio OSD separati per ciascun sito e integra la versione 4 del toolkit USMT (User State Migration Toolkit) nell'interfaccia. Il supporto PXE (Pre-Boot eXecution Environment) è adesso un semplice attributo DP (Distribution Point) che utilizza lo stesso certificato del DP. Sono stati inoltre introdotti miglioramenti significativi alla scalabilità PXE.

La funzionalità di installazione offline di immagini in formato WIM o Windows Imaging Format, (Windows Vista SP1 o versioni successive) consente attività di aggiornamento e applicazione delle patch di livello nettamente superiore. È possibile semplicemente pianificare le installazioni nella raccolta immagini. Le nuove distribuzioni del sistema operativo saranno aggiornate senza dover distribuire un'immagine di riferimento ai dispositivi hardware e successivamente acquisirla dopo aver completato l'applicazione delle patch.

La tecnologia Intel vPro/AMT (Active Management Technology) consente di accedere all'hardware senza un sistema operativo attivo. SCCM 2012 supporta questa funzionalità, ma probabilmente non supporterà la versione 6 che includerà un server VNC (Virtual Network Computing) proprietario.

RBAC (Role-Based Access Control)

Esiste una tendenza nei prodotti aziendali Microsoft, nonché nel settore in generale, ad adottare un approccio basato sui ruoli in merito alla sicurezza amministrativa. In SCCM 2012, ciò significa che i siti prima non rappresentano più limiti di sicurezza. La nuova console è controllata dalla funzionalità RBAC (Role-Based Access Control), che nasconde gli elementi dell'interfaccia se l'utente non dispone delle autorizzazioni di accesso. Le attività amministrative sono raggruppate in ruoli di sicurezza e combinate con ambiti di sicurezza per controllare esattamente gli utenti che possono eseguire determinate attività, da quale posizione e quando. Sono disponibili 13 ruoli nella versione beta 1. Possono essere integrati con i ruoli e gli ambiti specifici dell'azienda (vedere la Figura 4).

Figura 4 Potrebbero essere disponibili più degli attuali 13 ruoli al momento del rilascio della versione RTM

Figura 4 Potrebbero essere disponibili più degli attuali 13 ruoli al momento del rilascio della versione RTM

Questo approccio multilivello consente di sfruttare la potenza del cloud proteggendo al contempo il client locale da eventuali minacce provenienti da Internet:

Introduzione alla nuova console di SCCM

Essendo basato sul framework di System Center, SCCM 2012 dispone di una console totalmente nuova che non dipende più dalla console MMC (Microsoft Management Console) e offre un modo più semplice per gestire SCCM. Include funzionalità eccezionali, tra cui collegamenti alle voci relative alle risorse e alla conformità, al monitoraggio, all'amministrazione e alla libreria software. Sono necessari un minor numero di passaggi per accedere alle strutture grazie alle schede presenti nella parte inferiore del riquadro principale (vedere la Figura 5).

Figura 5 Con la nuova console, i problemi relativi alle prestazioni della console MMC (Microsoft Management Console) della versione 2007 sono solo un ricordo

Figura 5 Con la nuova console, i problemi relativi alle prestazioni della console MMC (Microsoft Management Console) della versione 2007 sono solo un ricordo

Supporto per dispositivi smartphone

System Center Mobile Device Manager 2008 non si è rivelato esattamente un successo. Tuttavia, le relative funzionalità per Windows Mobile saranno incorporate SCCM 2012. Verrà inoltre introdotto il supporto (più probabilmente nella versione beta 2) per la gestione di dispositivi Symbian e Nokia. L'obiettivo dichiarato consiste nel supporto nella gestione di tutti i dispositivi (server, desktop, computer portatili e dispositivi smartphone) direttamente in SCCM 2012.

Le funzionalità mancanti sono più importanti di quelle già incluse. Il supporto per i sistemi iPhone, Android e Windows Phone 7 viene garantito solo parzialmente da un connettore Exchange Active Sync. La gestione avanzata (e il controllo remoto per i dispositivi smartphone) è al momento prevista solo dopo la versione RTM.

Semplificazione dell'infrastruttura

Sono state introdotte diverse modifiche sostanziali in SCCM 2012, ma nessuna di esse richiederà una maggiore pianificazione e un maggior numero di attività preparatorie rispetto ai miglioramenti alla gerarchia. L'obiettivo consiste nell'avere una struttura più lineare con un minor numero di server di sistema nel sito. I requisiti di sistema rappresentano un altro fattore importante nella fase di pianificazione. SCCM 2012 è disponibile solo a 64 bit e potrà essere eseguito solo in Windows Server 2008 o Windows Server 2008 R2 con SQL Server 2008 SP1 (x64) o versioni successive nel back-end. Tuttavia, i DP possono essere ancora eseguiti in una versione di Windows a 32 bit.

Per ottenere queste gerarchie più lineari, è stato introdotto un nuovo sito Amministrazione centrale a cui non è possibile assegnare client e che può essere utilizzato solo per l'amministrazione e la creazione di report (tramite la relativa funzionalità di SQL Server).

Non è necessario disporre di un sito Amministrazione centrale a meno che non siano presenti più siti primari. Ciascun sito primario supporta circa 100.000 client. È possibile ne sia necessario più di uno per garantire la ridondanza anche in ambienti più piccoli. Non è possibile creare siti primari a più livelli come in SCCM 2007. È possibile con i siti secondari, ma probabilmente sarebbe possibile trasformarne molti in DP poiché adesso offrono il controllo dell'ampiezza di banda.

La distribuzione del contenuto è adesso responsabilità della replica di SQL Server, benché nei pacchetti software, nelle patch e nelle immagini del sistema operativo venga ancora utilizzato il modello basato su file. I dati replicati si suddividono in dati globali (generati dall'amministratore, tra cui raccolte, ruoli RBAC e simili) e dati relativi ai siti (generati dal sistema). In conseguenza di ciò, per ciascun sito secondario sarà necessario disporre di SQL Server (è incluso SQL Server Express).

Le impostazioni degli agenti client vengono ora definiti a livello di raccolta piuttosto che a livello di sito. È possibile fare in modo che ciascun client riceva le impostazioni da più raccolte. Le estensioni dello schema di Active Directory sono le stesse presenti in SCCM 2007, pertanto la pubblicazione delle informazioni relative ai siti funzioneranno senza ulteriori modifiche dello schema. Se si dispone di Windows Server 2008 R2 con Windows 7 (Ultimate o Enterprise) in un ramo, SCCM 2012 potrà sfruttare la funzionalità BranchCache.

I punti di distribuzione secondari consentono di archiviare i pacchetti in una workstation: tale soluzione è ottimale in sedi con meno di 100 dispositivi, in cui è sufficiente il servizio di controllo dell'ampiezza di banda Background Intelligent Transfer System (BITS). Benché siano presenti gruppi di DP in SCCM 2007, rappresentato principalmente un supporto amministrativo puramente visivo. Quando si aggiunge del contenuto a un gruppo di DP in SCCM 2012, tutti i membri ricevono tali dati. Quando si aggiunge un altro DP, anche quest'ultimo riceve tutto il contenuto del gruppo. SCCM 2012 consente inoltre di copiare manualmente il contenuto sia ai DP secondari che standard. SCCM 2007 lo consente solo per i DP secondari.

Pianificazione della migrazione

La migrazione da Systems Management Server (SMS) 2003 a SCCM 2007 offriva due opzioni: la migrazione diretta o l'aggiornamento in locale. Microsoft non forniva alcuno strumento come supporto per la prima modalità. Per la migrazione da SCCM 2007 a SCCM 2012, non è possibile l'aggiornamento in locale (a causa del passaggio all'architettura a 64 bit). Tuttavia, sono disponibili strumenti di migrazione incorporati nella console. Per effettuare la migrazione, SCCM 2007 dovrà essere aggiornato al Service Pack 2.

SCCM 2012 viene installato in parallelo (con nuovi codici dei siti). Partendo dal sito centrale, viene eseguito il mapping dei metadati dall'ambiente precedente a quello nuovo. Ciascun sito viene associato alla propria controparte. Tale attività di sincronizzazione viene inoltre pianificata in modo tale che eventuali modifiche applicate durante la migrazione vengano replicate nel passaggio dall'ambiente precedente a quello nuovo. Una volta creata la struttura in SCCM 2012, vengono copiati gli oggetti veri e propri tramite processi di migrazione eseguibili su richiesta o pianificati per essere eseguiti successivamente.

Nelle raccolte di SCCM 2012 non è possibile combinare utenti e computer. Se nell'ambiente preesistente sono presenti raccolte miste, dovranno essere modificate prima della migrazione. I pacchetti rimangono tali in SCCM 2012. Per sfruttare i vantaggi derivanti dai miglioramenti dell'applicazione, sarà necessario convertirli manualmente.

I DP vengono condivisi durante la fase di migrazione. È possibile utilizzare sia client di SCCM 2007 che di SCCM 2012 per accedere ai DP. I client SCCM vengono aggiornati tramite il metodo di distribuzione software prescelto. La migrazione prosegue per l'intera gerarchia fino al completamento della conversione; successivamente, le sincronizzazioni pianificate vengono disattivate a partire dal basso.

La funzionalità di gestione desiderata (DCM) di SCCM 2007 è stata ridenominata in Settings Management o Gestione delle impostazioni raggiungendo la completezza. Piuttosto che segnalare solo modifiche della configurazione, è adesso presente un'opzione per effettuare il monitoraggio e l'aggiornamento manuali o persino automatici degli elementi di configurazione dei file, del Registro di sistema e WMI.

SCCM 2012 rappresenta un enorme passo avanti. Una filosofia di gestione che pone al centro e coinvolge gli utenti rappresenta una mossa intelligente. La nuova console e la promessa di una gerarchia più semplice sono sicuramente allettanti, mentre il nuovo modello applicativo sicuramente comporterà sicuramente un notevole risparmio di tempo.

Paul Schnackenburg Paul Schnackenburg lavora in ambito IT da quando esistevano i computer 286. È insegnante di informatica part-time e gestisce una sua propria azienda, Expert IT Solutions nella Sunshine Coast australiana. Ha conseguito le certificazioni MCT, MCTS e MCITP ed è specializzato nelle soluzioni Windows Server, Hyper-V ed Exchange per le aziende. È possibile contattarlo all'indirizzo paul@expertitsolutions.com.au e visitare il suo blog all'indirizzo http://TellITasITis.com.au.

Contenuto correlato