Zum 23.08.2023 ist die NWC Services GmbH zur CANCOM GmbH geworden. Besuchen Sie uns gerne auf www.cancom.de
Toggle Bar

BLOG

BLOGGING CONSULTANTS

NWC Services Blog

Blogs von Consultants der NWC Services GmbH

AD Security Gruppen als Mitgliedschaftsregel in SCCM Collections - Teil 1

Da ich mich in letzter Zeit wieder intensiv mit dem System Center Configuration Manager beschäftige, möchte ich in meinem heutigen Blog Post etwas genauer auf das Zusammenspiel von User/Device Collections und Security Gruppen im Active Directory eingehen und zeigen, wie diese miteinander verlinkt werden können. Die Idee hinter dieser Methode soll sein, die Applikationsverwaltung von optionaler oder individueller Software teilweise oder auch komplett über das AD steuern zu können und damit die Administration beider Systeme zu vereinfachen.

Für die DSM Administratoren unter meinen Lesern wäre diese Anforderung wohl am ehesten mit dem Import einer Externen Gruppe in DSM zu vergleichen, welche in dieser Form in SCCM nicht existiert. Weiterhin wurde dieses Szenario in DSM oft nicht direkt über Externe Gruppen abgebildet da die Berechung der Gruppenmitgliedschaften nicht wie in SCCM über den Server sondern bei jedem Sync direkt am Client stattfindet. Aufgrund der dadurch entstehenden Last am DSM BLS bzw. den langen Sync Vorgängen an den Clients haben sich einige der Kunden daher ein ähnliches Konstrukt über einen AD-DSM Konnektor geschaffen, um das AD wieder zum führenden System zu machen und Computerobjekte innerhalb DSM automatisiert in statische Gruppen aufnehmen/herausnehmen zu lassen. Da SCCM die Synchronisation mit dem AD anders abwickelt sind derartige Konstrukte hier nicht notwendig was die Komplexität erheblich reduziert und somit gerade für Umsteiger oder Interessierte neue Möglichkeiten schafft.

Beginnen möchte ich mit der Vorbereitung unserer SCCM Umgebung um ein generelles Zusammenspiel zwischen SCCM und AD zu ermöglichen. Für das spätere Beispiel möchte ich eine Device Collection verwenden. Hierfür muss die "Active Directory-Gruppenermittlung" sowie die "Active Directory-Systemermittlung" aktiviert werden. Möchte man ggf. auch mit User Collections arbeiten muss analog dazu die "Active Directory-Benutzerermittlung" aktiviert werden.

b2ap3_thumbnail_ADlinkCollection1.png

Über die beiden Ermittlungsmethoden für Gruppen und Systeme wird gewährleistet, dass neben den AD Gruppen auch die AD Computerobjekte automatisch ermittelt und in SCCM aufgenommen werden.

Weiterhin sollte in den Eigenschaften der Ermittlungsmethoden die "Deltaermittlung" aktiviert werden um zu gewährleisten, dass z.B. neu aufgenommene Computer in AD Gruppen auch zeitnah in SCCM aktualisiert werden und später in den verlinkten Collections auftauchen können.

b2ap3_thumbnail_ADlinkCollection2.png

Sofern die Konfiguration in SCCM soweit gewährleistet ist, muss für die spätere Verlinkung im AD natürlich eine entsprechende Security Gruppe vorhanden sein. Da ich die Zuweisung von optionalen Software Paketen in meiner Testumgebung später komplett über das AD steuern möchte macht es Sinn, mir eine sinnvolle Struktur und ein kleines Namenskonzept zu überlegen. Da aber sowohl die Struktur als auch Namenskonzepte sehr individuell sind, möchte ich nicht näher darauf eingehen und dies eher als Hinweis im Raum stehen lassen.

b2ap3_thumbnail_ADlinkCollection3.png

Für ein konkretes Beispiel habe ich eine Gruppe "SW_FileZilla_Install" angelegt und dieser bereits einen Computer als Mitglied hinzugefügt. Nun kann in der Config Manager Konsole im Reiter "Assets und Konformität" unter dem Punkt "Gerätesammlungen" eine Device Collection erstellt werden.

b2ap3_thumbnail_ADlinkCollection4.png

Hierbei muss zunächst eine "Begrenzende Sammlung" angegeben werden um die möglichen Mitglieder der Collection festzulegen.

b2ap3_thumbnail_ADlinkCollection5.png

Um nun die AD Gruppe verlinken zu können wird bei den Mitgliedschaftsregeln auf der folgenden Seite eine "Abfrageregel" erstellt. Hierbei wird über WMI WQL gearbeitet, was ein Abfragen der Standortdatenbank ermöglicht.

b2ap3_thumbnail_ADlinkCollection6.png

Im folgenden Dialog muss der Name der Abfrage definiert werden. Anschließend muss über den Punkt "Abfrageanweisung bearbeiten" das WQL Statement noch angepasst werden. In den Eigenschaften des Statements wechseln wir dafür auf den Reiter "Kriterien" und klicken auf den gelben Stern um ein neues Kriterium festzulegen.

b2ap3_thumbnail_ADlinkCollection7.png

In den Kriterieneigenschaften klicken wir nun auf "Auswählen" um ein Attribut zu definieren. Hier muss für die Attributklasse "Systemressource" und für das Attribut "Systemgruppenname" gewählt werden. Der damit zu vergleichende Wert ist der Gruppenname der AD Gruppe. Hierbei ist zu beachten, dass der Name der Gruppe inkl. NETBIOS Domänen Namen notiert werden muss.

b2ap3_thumbnail_ADlinkCollection8.png

Zurück im Device Collection Wizard empfiehlt es sich auch hier inkrementelle Updates zu aktivieren, sofern man ein rasches Aktualisieren der Collection wünscht.

b2ap3_thumbnail_ADlinkCollection9.png

Nachdem die Collection erfolgreich erstellt wurde und sich aktualisiert hat, sollte nach kurzer Zeit unser Client in dieser erscheinen.

b2ap3_thumbnail_ADlinkCollection10.png

Weiterführend kann die Mitgliedschaftsregel sowie die komplette Device Collection natürlich auch per PowerShell angelegt werden, was den soeben gezeigten Ablauf um einiges vereinfachen kann und den Automationsgrad noch einmal erhöht. Wie dies gemacht werden kann, werde ich allerdings erst im zweiten Teil dieses Blogs erklären.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

AD Security Gruppen als Mitgliedschaftsregel in SC...
Arbeiten mit dem SCCM Content Library Explorer

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 09. Dezember 2023

Sicherheitscode (Captcha)