我已经在我的环境中实施了 SCCM 2012,并一直在努力让所有端点都赶上他们的更新。出于某种奇怪的原因,以前的管理层认为修补计算机不是高优先级。我想知道你们中的一些 SCCM 专家会如何处理这种情况:您刚刚设置了 SCCM 2012,并且您的端点可能已经一年多没有打补丁了!我为在线检查时显示需要更新的每个软件创建了软件更新组,例如 Visual Studio 2008、Office 2010、Windows 补丁等。我已将软件更新组部署到由所有健康客户端组成的测试集合.
问题是我的端点没有获得所有更新。他们收到一些然后停下来。我会说已经应用了 50% 的补丁。我尝试进行软件更新扫描,但当我知道它们在软件更新组中并已下载时,它们仍然看不到更新。我应该按日期将这些更新组分成更小的组吗?目前,我有一个名为“所有 Office 2010 更新”的更新组。这是通过按 product=office2010、superseded =no 和 expired =no 进行搜索和过滤而完成的。
我是否应该按日期、自产品发布后的每个季度将更新分成几组?我没有找到关于此主题的任何明确信息。我一直在使用 SCCM 2012 发布的书。
我仍在实施 SCCM 2012 的过程中,但我已经对此主题进行了一些研究,以提出实施软件更新的良好计划。
首先,您可以在单个部署中包含的补丁数量是有限的。我认为 2012 年增加到 1000,所以这通常不会成为问题。不过,我认为拥有大量补丁仍然存在一些缺点 - 每次您对部署进行更改(添加新补丁)时,都必须进行更多处理才能重新评估合规性。除非你有大量的补丁,或者有很多客户端(50,000-100,000+),否则我认为它可以忽略不计。
也就是说,这是我的计划。它在某种程度上特定于我的环境,但我认为它可以适用于大多数环境。
需要注意的一件事 - 如果您还不知道,SCCM 只会下载适用于每台计算机的更新 - 即使您的一个部署有 150 个补丁,它也只会复制文件并安装所需的补丁。通过这种方法,我们应该能够让我们的系统完全打补丁,并保持映像是最新的,这样就不需要额外的 45 分钟来为一台机器制作映像。
另请注意,我们没有修补服务器,我们有一个相当标准化的环境。如果我们要支持多个图像/操作系统,我可能会对上述计划进行一些更改(多个“基线”补丁组,每个图像一个)。