Microsoft SCCM ist eines jener Produkte, für das ich eine ausgeprägte „Hassliebe“ pflege. Vollautomatisierte Betriebssysteminstallation, Patchmanagement mit hohem Informationsgehalt, standardisierte Softwareverteilung… seit über 10 Jahren hilft SCCM mir in vielen Bereichen, sehr viel Zeit zu sparen und „ordentliche IT“ zu betreiben. Selbst für unser kleines Office könnte ich mir Systemmanagement ohne SCCM nicht vorstellen.
Doch manchmal macht mich das Produkt schlichtweg Wahnsinnig – Logfiles sind ein Kapitel für sich, alleine das Wissen wo man welche Infos findet, ist eine 2-tägige Schulung wert. Mangelnde Transparenz – warum passiert gerade was wo auf welchem Gerät und warum vielleicht auch nicht – verleiten häufig dazu, dem Monitor frustriert eine saftige Abreibung zu verpassen. Und ein mittelkomplexes Netzwerk mit SCCM zu betreuen erfordert definitiv Expertenwissen beim Einrichten oder das Projekt geht den Bach hinunter.
Trotzdem: ohne SCCM geht’s bei mir einfach nicht, und besonders wenn man auf IT-Sicherheit schauen will ist ein zentrales Systemmanagement unumgänglich. Umso positiver Empfinde ich die Entwicklung, die das Produkt in den letzten Jahren gemacht hat. Es gab dann doch einige spürbare Verbesserungen (zb: Self-Update) in letzter Zeit, und vor kurzem kam ein ganz spannendes neues Feature hinzu: 3rd-Party-Patching über den integrierten Softwarekatalog!
Das heisst, SCCM ist nun endlich(!) in der Lage, auch non-Microsoft-Produkte über das integrierte Patch-Management auf Stand zu halten – vorher war dazu die Installation von Zusatzprodukten nötig. Die Patch-Daten müssen natürlich von irgendwoher kommen, so bieten Hersteller wie HP oder DELL beispielsweise entsprechende Kataloge an, für den folgenden Feature-test reicht das Trial-Angebot von „PatchMyPC“, den wir kurzerhand einrichten:
Ein kurzer Sync später, Zertifikat verifizieren („Subscribe“), und wir können den Katalog abrufen:
im Logfile finden wir den Vorgang bestätigt:
Im Software Update Point das 3rdParty-Feature aktivieren, den interne-WSUS-DB-Sync abwarten, die neuen Kategorien aktivieren, und nochmal syncen. Wie war das mit der Hassliebe?!
Das Ergebnis ist für einen SCCM Admin höchst erfreulich – die Produktpatches erscheinen im zentralen Katalog, von wo der Standardworkflow erfolgen kann (manuelles Deployment oder Auto-Rule….).
Happy Patching!