IT-Azubi 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Hallo Zusammen, Ich hab eine Frage zum SCCM und hoffe, das mir die jemand beantworten kann. Zur Zeit ändere ich die Mitgliedschaft von Collections um Software zuzuweisen, die dann über ein Advertisement zur Verfügung gestellt wird. Das funktioniert soweit auch ohne Probleme. Ich würd aber ganz gerne die PCs einfach in eine AD Gruppe packen um die Software zu verteilen. Wie das Theoretisch funktioniert hab ich verstanden und auch das AD-System und AD-Security Group Discovery eingerichtet. Anschließend sehe ich die Gruppen auch in den Collections. Sie werden nur nicht aktualisiert. Wodurch kann so ein Fehler auftreten? Sobald ich eine neue Gruppe im AD anlege wird diese nicht discovered, auch wenn das Discovery jede Stunde durch läuft und auch wenn ich es manuell starte. Die OU liegt im Bereich der Discovered werden soll. Wenn ich im AD eine Gruppe lösche, dann wird sie im SCCM auch nicht entfernt. Das Log zeigt mir auch keine großen Fehler, also geh ich mal davon aus, das es ein Verständnisproblem ist. Wäre nett, wenn mir jemand helfen könnte. Danke sehr. Zitieren Link zu diesem Kommentar
mhhhkay 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 Dann habe ich wohl das selbe Problem ;) falls du es irgendwie gelöst hast, bitte poste es hier oder http://www.mcseboard.de/windows-server-forum-78/systemgruppen-sccm-gelistet-169164.html da^^ Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 26. August 2010 Autor Melden Teilen Geschrieben 26. August 2010 Ich hab es jetzt soweit am laufen, das die Sicherheitsgruppen schonmal aufgenommen werden in den SCCM. Allerdings werden gelöschte Gruppen aus dem AD nicht automatisch im SCCM entfernt? Kann man das noch irgendwo einstellen? Oder muss ich die per Hand wieder entfernen?(Das wäre Mist). Was mir aufgefallen ist, ist das es sehr lange dauert, bis ein PC in der Collection erscheint, die eine AD-Gruppe abfragt. Kann man diese Zeit irgendwo verändern? Danke sehr Zitieren Link zu diesem Kommentar
mhhhkay 10 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 wie hast du die denn auftauchen lassen? ich hab die sicherheitsgruppen gebaut und frage sie über den regelassistenten ab aber die werden nicht gelistet wieso auch immer. Sind alles globale gruppen... Computerobjekte sind enthalten Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 26. August 2010 Autor Melden Teilen Geschrieben 26. August 2010 Ich habe eigentlich nur das Active Directory System Discovery aktiviert. Und eine LDAP Verbindung zur OU angelegt in der die Gruppen drin sind. Dann discovered er alle Gruppen, die enthalten sind. Ganz genau erklären woran es gelegen hat, das er es vorher nicht gemacht hat, weiß ich nicht genau. Trotzdem hab ich die gleichen Probleme wie oben beschrieben. Es dauert einfach zu lange bis ich in den Eigenschaften der Clients die Gruppen sehen kann zu denen er hinzugefügt wurde. Zum ko**** ;) Zitieren Link zu diesem Kommentar
TorstenM 20 Geschrieben 28. August 2010 Melden Teilen Geschrieben 28. August 2010 Zwei Intervalle sind hier im Spiel: das des Discoveries und das Aktualisieren der Collections. Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 30. August 2010 Autor Melden Teilen Geschrieben 30. August 2010 Hallo, Das weiß ich. Das Discovery läuft normal durch. Aber die GRuppen in denen der PC ist sind werden nicht übernommen. Auch wenn ich die Collection aktualisiere. Woher kommt sowas? Zitieren Link zu diesem Kommentar
TorstenM 20 Geschrieben 30. August 2010 Melden Teilen Geschrieben 30. August 2010 Schau Dir mal die Properties eines Rechners in der ConfigMgr-Konsole an. Wird dort die entsprechende AD-Gruppe gelistet und ist das Datum vom letzten AD System Discovery aktuell? Wie sieht die WQL-Query der dynamischen Collection aus? Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 30. August 2010 Autor Melden Teilen Geschrieben 30. August 2010 Wenn ich mir die Eigenschaften des PCs anschaue. Dann seh ich nur den Active Directory System Discovery -Agent. Es steht kein Eintrag von AD-System-Group-Agent unter "Agent-Name" Das kann ja dann garnicht funktionieren wenn der PC garnicht von der Discovery erfasst wird. Ich hab im AD eine OU erstellt in der ich die SCCM-Gruppen angelegt hab. Mehr ist in dieser OU nicht drin (Keine PC-Konten etc). Die PCs sind dann Mitglieder der Sicherheitsgruppe. Das Discovery sucht nur in dieser einen OU. wobei das Active Directory System Discovery den kompletten Baum durchsucht und die PCs aufnimmt. Ist das so theoretisch vom aufbau in Ordnung oder hab ich da einen logischen Fehler drin? Zitieren Link zu diesem Kommentar
TorstenM 20 Geschrieben 30. August 2010 Melden Teilen Geschrieben 30. August 2010 AD System Discovery sucht nach Computerkonten im AD (inkl. der Gruppenmitgliedschaften). Also musst Du die OUs discoveren, die auch die Computerkonten enthalten (alternativ den Haken bei "Include Groups" setzen, da bin ich mir gerade auswendig aber nicht sicher). AD System Group Discovery sollte für Gruppenmitgliedschaften gar nicht benötigt werden (sondern nur für OUs). Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 30. August 2010 Autor Melden Teilen Geschrieben 30. August 2010 Ich glaub es funktioniert soweit. Der Haken bei include Groups war nicht gesetzt. Es müsste allerdings das AD-System-Group-Discovery sein, das angestoßen werden muss. Ich hab jetzt mal das Discovery auf 1x pro Stunde gesetzt und die Collection wird auch jede Stunde aktualliesiert. Somit müsste doch ein Advertisement, spätestens 1 Stunde nachdem ich den PC in die AD-Gruppe gepackt hab installiert werden. Kann etwas passieren, wenn ich die Zeiten noch weiter runter setze? Danke schön für die Hilfe. Da hab ich garnicht gesucht. Sehr nett. Zitieren Link zu diesem Kommentar
TorstenM 20 Geschrieben 30. August 2010 Melden Teilen Geschrieben 30. August 2010 Es müsste allerdings das AD-System-Group-Discovery sein, das angestoßen werden muss.... Kann etwas passieren, wenn ich die Zeiten noch weiter runter setze? Ja, es ist System Group Discovery. Nach dem Urlaub sind solche Details nicht sofort 100% verfügbar ;) Jeweils 1h ist schon relativ knapp. Dies hängt aber von vielen Faktoren ab, u.a. Hardware / Performance vom Siteserver und DB und Anzahl der Clients. Du musst aber bedenken, dass sich diese Zeiten aufsummieren können: Discovery-Interval + Collection-Update-Intervall + clientseitiges Policy-Polling-Interval (also in Summe ca. 3h wenn man davon ausgeht, dass jedes Intervall auf 60min steht). Zitieren Link zu diesem Kommentar
IT-Azubi 10 Geschrieben 1. September 2010 Autor Melden Teilen Geschrieben 1. September 2010 Ich hab jetzt alles soweit runter gesetzt, das es auf jeden Fall in einer passenden Zeit funktioniert. Eine kurze Frage hab ich noch, bin mir nicht ganz sicher wie und ob das funktionieren kann. Ist es möglich, wenn ich die Software über die AD-Gruppen verteilen lasse diese auch beim entfernen des Clients aus der AD-Gruppe zu deinstallieren? Wahrscheinlich nicht oder? Bzw. Gibt es da andere Möglichkeiten wie eine extra Collection zum deinstallieren? Danke sehr. Zitieren Link zu diesem Kommentar
TorstenM 20 Geschrieben 1. September 2010 Melden Teilen Geschrieben 1. September 2010 Du brauchst halt ein zweites Program, welches die Deinstallation durchführt. Als Collection dann einfach "alle Rechner, die SW xyz installiert haben, aber nicht in AD-Gruppe ijk sind" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.