Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Hitman Pro - комплексное решение для удаления всевозможных шпионских и вредоносных программ с компьютера пользователя. У...
Программа предназначена для автоматизации работы компьютерных клубов. Внимательно следит за работой администраторов, вед...
Печать бланков Украина - программа для печати и выписки следующих документов: - договор, - счет-фактура, - расходная нак...
Aml Pages - это электронная записная книжка, оперативный блокнот на все случаи жизни, каталогизатор документов. Позволяе...
McAfee Stinger - это бесплатный, не требующий установки антивирус, для обнаружения и удаления с компьютера известных вир...
OSzone.net Microsoft Windows Server 2003 Другое Улучшенные клиентские описи при помощи SMS RSS

Улучшенные клиентские описи при помощи SMS

Текущий рейтинг: 3.83 (проголосовало 12)
 Посетителей: 6009 | Просмотров: 8565 (сегодня 0)  Шрифт: - +

В жизни любого администратора наступает момент, когда его начальник запрашивает информацию, которую невозможно собрать без изнурительной работы. Но представьте себе, что вы инициативный администратор,

который уже собирает эти данные. Вы могли бы мгновенно снабдить вашего начальника информацией, тем самым предотвращая необходимость простоя, избегая сверхурочной работы и, возможно, даже сохраняя компании немало денег. Вы могли бы стать героем.

Microsoft® Systems Man­age­ment Server (SMS) 2003 собирает огромное количество информации. Но не всю, какая может понадобиться. К примеру, по умолчанию SMS 2003 не предоставляет сведений о локальных группах с их членами или локальных пользователях с их атрибутами. Отсутствие такой информации может стать проблемой, если, скажем, специалист включает группу Domain Users или, что еще хуже, группу Everyone в группу локальных администраторов на каждой системе, с которой он работает. Или, скажем, компания не имеет возможности узнать, каков список исключений для локальных файлов и папок в корпоративном антивирусном/антишпионском решении. Это может казаться незначительной проблемой – пока кто-нибудь из ИТ не обнаружит, что пользователи указывают в списке исключений c:\*.*.

При помощи соответствующего сочетания сценариев, инструментария управления Windows® (WMI) и знания SMS можно так расширить возможности описей SMS, чтобы они содержали практически любую информацию. Это стало возможным благодаря использованию файлов формата информации управления (Management In­formation Format, MIF) и формата объекта управления (Management Object Format, MOF).


Делаем опись

Применяя SMS, организации могут выполнять собственные развертывания, следить за целевыми системами и поддерживать развернутые системы. Расширяя возможности описей SMS, можно создавать значительно более настраиваемые цели и управлять ими. Например, вы можете обеспечить соблюдение локальных политик безопасности, развертывая ваши политики безопасности для систем, где политики изменены пользователем. Вы также можете отключить несанкционированные локальные учетные записи пользователей и удалить лишних локальных администраторов.

Конечно, организации полагаются на SMS для получения своевременной детальной информации о клиентских системах. Расширение описей позволяет создавать отчеты, содержащие полностью настраиваемую информацию, недоступную при пользовании только описями по умолчанию. И сведения могут быть очень детализированы. Например, можно создать отчет, содержащий число систем, в которых некоторый раздел системного реестра указывает на конкретную ферму серверов. Это позволит администратором прикинуть, сколько клиентов у каждой фермы в любое заданное время. Схожим образом группа безопасности сможет проверить, в каких из систем в сети выполняется конкретный процесс, являющийся известным шпионским ПО.

Важность файлов MIF и MOF состоит в возможности ввода информации практически из любого источника с незначительным преобразованием. Если информация основана на тексте, она может быть обработана и передана WMI в файле MOF, либо собрана в виде файла MIF и отправлена во время следующего цикла инвентаризации оборудования. Реализация расширения описи требует знания VBScript или JScript® наряду с пониманием, что именно необходимо собирать. Принимая во внимание то, что собрать можно практически что угодно, требуемые знания могут варьироваться от знания WMI до продвинутого знания SQL. Конечно же, понимание SQL обязательно независимо от типа собираемой информации, поскольку это знание потребуется, когда дело дойдет до отчетов по собранным данным.


Как работает инвентаризации

SMS содержит два типа процессов инвентаризации: оборудования и программного обеспечения. В описях программного обеспечения содержится только информация о файлах, такая как местоположение, версия, размер и прочие файловые атрибуты. Однако процесс инвентаризации программного обеспечения также позволяет собирать файлы и хранить их на основном сервере.

Расширенная инвентаризация оборудования делается легко, поскольку опись оборудования содержит наибольшее количество сведений о системе. Информация в описях оборудования поступает преимущественно от WMI, из системного реестра и BIOS.

Опись оборудования собирается по расписанию, указываемому в параметрах агента инвентаризации оборудования сайта SMS 2003. Сбор информации может производиться от раза в минуту до раза в несколько месяцев. Обычно хочется найти баланс между скоростью сбора информации, удовлетворяющей запросам начальства, и разумной нагрузкой на сеть, серверы узлов, точки управления или клиентов.

После первой установки агент инвентаризации оборудования компилирует файл sms_def.mof. Там содержится вся информация, которую SMS собирает изначально. Когда этот файл скомпилирован, пространства имен SMS и связанные классы, необходимые для агента инвентаризации оборудования, создаются в WMI. Большинство из низ размещены в пространстве имен \\.\root\CIMv2\SMS. После установки агент инвентаризации оборудования просматривает большую часть этих классов, чтобы скомпоновать сведения, которые затем передаются точке управления и, в конце концов, попадают в базу данных узла.


Файлы MIF

В дополнение к получению информации от этих классов WMI агент инвентаризации оборудования ищет файлы MIF в папках коллекций NOIDMIF и IDMIF. Все файлы MIF, найденные агентом, обрабатываются при следующей описи оборудования.

Файлы MIF предоставляют самый легкий способ расширить опись оборудования SMS. Файлы MIF бывают двух типов – NOIDMIF и IDMIF. Это статические файлы формата, похожего на XML, которые могут содержать практически любую информацию, которую пользователь хочет поместить в базу данных SMS. Они могут быть созданы любыми средствами для создания обычных текстовых файлов. Поэтому эти файлы могут быть созданы из большинства языков сценариев или просто вручную.

Обычно файлы MIF используются в ситуациях, когда информация не содержится в системном реестре и WMI или когда информацию необходимо вводить вручную. Эти файлы могут быть созданы, например, когда ваша группа по развертыванию оборудования устанавливает новую систему. Специалист по развертыванию может открыть в системе приложение HTML и ввести все сведения об оборудовании для обновления базы данных управления имуществом. Приложение динамически создает файл NOIDMIF и позволяет загрузить этот файл в папку коллекции NOIDMIF. Этот файл NOIDMIF может содержать всю введенную специалистом информацию, и его содержимое вливается в базу данных SMS.

Между файлами NOIDMIF и IDMIF всего несколько различий. Файл IDMIF содержит уникальный заголовок, предоставляющий данные об архитектуре, и уникальный идентификатор. Файлы IDMIF могут быть использованы для встраивания несистемных устройств в SMS в виде отдельных сущностей. Например, можно использовать сценарий для создания в SMS систем, которые на самом деле являются принтерами, и занести сведения о них в базу данных SMS.

Файлы NOIDMIF и IDMIF хранятся в стандартных местах, указанных в разделах системного реестра. Чаще всего это %SYSTEMROOT%\sys­tem32\ccm\Inven­tory\NOIDMIF и ...\IDMIF, в предположении, что агент SMS установлен в местоположение по умолчанию. Если агент был установлен в другое место, каталоги MIF должны быть %CC­MAGENTINSTALLDIR%\Inventory\NO­IDMIF и ...\IDMIF. Но если есть какие-либо сомнения по поводу местонахождения этих каталогов, вы можете проверить значения следующих параметров системного реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\
Client\Configuration\Client Properties\NOIDMIF Directory

HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\
Client\Configuration\Client Properties\IDMIF Directory

Формат файлов MIF всегда одинаков, независимо от собираемой информации. Взглянув на файл MIF, показанный на рис. 1, вы увидите, что он включает один компонент, который содержит несколько групп и по одному атрибуту в каждой группе. Все разделы обязательны, хотя не требуется более одной группы или атрибута. Можно считать, что каждая группа в файле MIF соответствует строке в данных поименованного раздела описи оборудования, а каждый атрибут в группе является полем этой строки.

Пример LocalAdmin.vbs, показанный на рис. 2 – достаточно простой сценарий VBScript. Он просматривает каталог NOIDMIF, удаляет временный файл MIF, если он существует, создает временный файл MIF, рекурсивно записывает туда данные, полученные через простой запрос WMI, удаляет файл MIF из каталога коллекции NOIDMIF и, наконец, перемещает временный файл MIF в каталог коллекции NOIDMIF.

Хотя файлы MIF предоставляют легкий способ расширить опись оборудования SMS, есть моменты, которые стоит принять во внимание, используя их. Файлы MIF обрабатываются в каждом цикле инвентаризации оборудованиия. Но, поскольку эти файлы создаются, собираются, анализируются и только потом попадают в опись, может происходить задержка на один цикл инвентаризации перед попаданием содержащейся в них информации в опись. Это означает, что, если у компании ежедневный цикл инвентаризации оборудованиия, данные в базе данных узла могут отставать на два дня. Поэтому вы должны тщательно продумать, когда объявлять программы, создающие файлы MIF, и когда выполнять цикл инвентаризации оборудования.

Пусть в компании Contoso ежедневный цикл инвентаризации запускается в полночь. В 01:00 в понедельник запускается сценарий VBScript, создавая файл NOIDMIF, содержащий информацию о средстве для поиска программ для захвата административных прав. Этот файл собирается в полночь и передается управляющей точке. Администратор SMS Contoso просматривает отчеты в среду вечером около 22:00 и обнаруживает, что информации уже 45 часов. Это произошло потому, что администратор SMS не подумал, когда стоит объявить программу, создающую файл NOIDMIF.


Файлы MOF

Файлы MOF сложнее по сравнению с файлами MIF. Преимущество файлов MOF перед файлами MIF в том, что сведения из них передаются напрямую в WMI, делая их частью стандартного процесса сбора данных агента инвентаризации оборудования. Поэтому вам не понадобится снова и снова объявлять сценарий VBscript для получения информации, что сохранит ваше время и усилия. Вместо этого можно единожды объявить для каждого компьютера файл MOF, который затем компилируется.

Другим преимуществом файлов MOF является то, что информация в них так же актуальна, как и остальная информация в описи оборудования. Каждый раз, когда агент инвентаризации оборудования отрабатывает свой цикл, опрашивается классы и поставщики, указанные в файле MOF, и информация выдается быстро. Когда вам срочно нужна информация, вы можете запустить пакет, содержащий ваши файл MOF и сценарий VBScript, инициируя инвентаризацию оборудования. Нужные вам сведения получаются всего за один цикл политики объявленных программ.

Файлы MOF подразделяются на три класса: файлы MOF для существующих классов и пространств имен WMI, файлы MOF для дополнительных классов с существующим поставщиком WMI, и файлы MOF для дополнительных классов, у которых нет поставщика WMI.

Файлы MOF состоят из двух частей. Первая часть – это раздел определения пространства имен. Это в нем указывается информация о поставщике WMI. Второй раздел содержит атрибуты учета SMS. В этом разделе агенту инвентаризации оборудования сообщается, где искать и обрабатывать информацию, содержащуюся в указанных классах WMI. Поскольку файлы MOF имеют непосредственное отношение к WMI, я рекомендую вам потратить время и разобраться с набором средств разработки программного обеспечения Microsoft WMI Software Development Kit (SDK), если вы планируете работать с этими файлами (обратитесь по адресу go.microsoft.com/fwlink/?LinkID=83121 за дополнительной информацией).

Файл MOF каждого из вышеупомянутых классов может быть статическим или динамическим. Например, у вас будет статический файл MOF, если процедура сборки в компании компилирует файл MOF, содержащий сведения о том, кто собирал систему, какой выпуск серверов использовался, каковы были изначальные версии сборки, когда компьютер был собран и т. д . Эта информация не нуждается в обновлении и поэтому может быть помещена прямо в файл MOF и скомпилирована в WMI при помощи mofcomp.exe. После этого, область поиска агента инвентаризации аппаратного обеспечения должна быть расширена путем добавления информации о группе и классе в файл sms_def.mof на сервере узла.

Динамический файл MOF похож на статический, разница в том, что вместо записи собранной информации напрямую в WMI данные собираются через поставщика WMI. Поставщик WMI – это подключаемый модуль, позволяющий приложению или службе вводить информацию в WMI напрямую. Поставщик допускает динамический доступ в другие области WMI и системы, такие как системный реестр, местоположение файлов и информация Windows Installer.

В смысле работы с файлами MOF самый легкий способ улучшить инвентаризацию оборудования – собирать больше информации, чем уже есть в WMI. Это может быть сделано расширением sms_def.mof или разрешением дополнительных классов учета, которые в настоящий момент отключены. Файл sms_def.mof file расположен в папке \\siteserver\SMS_<sitecode>\inboxes\clifiles.src\hinv. Все устройства в компании запросят новый файл sms_def.mof в следующем цикле обновления политики компьютера и начнут сбор и отправку информации.

Следующим по сложности является использование существующего поставщика WMI с новым классом. Пример такого подхода показан на рис. 3. В этом примере с использованием встроенного поставщика системного реестра создается класс CU_Desktop с динамическим свойством, опрашивающим HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper на локальном устройстве. После того, как этот файл MOF скомпилирован на клиенте, в файл sms_def.mof необходимо добавить информацию из файла SMS_Def_Extension.mof (см. рис. 4). Файл содержит: информацию, должен ли SMS вести учет по нему, название группы, идентификатор класса, к какому классу WMI должен обращаться за информацией агент инвентаризации оборудования и, наконец, собственно значения.

Файлы MOF также могут получать информацию, предоставляемую поставщиками WMI, не включаемыми в системы по умолчанию. Чтобы использовать этих поставщиков, поставщик WMI должен быть распространен и установлен на клиентах, прежде чем компилировать файл MOF и расширять файл sms_def.mof.


Краткое заключение

Файлы MIF и MOF являются мощными средствами быстрого и достоверного сбора информации. Формат этих файлов предоставляет платформу для удобного представления информации для базы данных SMS без изменения таблиц. При достаточном воображении практически все может быть описано и учтено. Более того, можно избежать проблемных ситуаций, поскольку администраторы могут в целях профилактики собирать важную информацию.

Понимание файлов MIF и MOF занимает некоторое время. Однако имеются полезные материалы, которые могут помочь в изучении способов применения этих файлов. Для начала ознакомьтесь с документацией и SDK к WMI, а также с Руководством по эксплуатации Systems Management Server 2003. Если вы приложите усилия к знакомству с этими концепциями, отдача от расширения описей SMS значительно перевесит затраченные усилия.

Автор: Уэс Добри (Wes Dobry)  •  Иcточник: TechNet Magazine  •  Опубликована: 13.04.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.