Работа с ZCM 11.Проблема или трудности.

Обсуждение технических вопросов по продуктам Novell

Работа с ZCM 11.Проблема или трудности.

Сообщение Доменика » 22 дек 2016, 17:01

Делается переход с ZEN 7.1.4 на ZCM 11.4.3 (Appliance)
Надеюсь имеются люди использующие данный продукт и могут что-то порекомендовать.

Процесс перехода оказался не однозначным. Но произошел.
Что удивило и как исправить
1. Это плохая система отклика, т.е. изменения в работе(т.е. свойствах) bundles. Изменения делаются, а у конкретного сотрудника может отобразиться через час или больше. Читай на следующий день. Есть механизм исправить данное явление?
2. При импорте(регистрации) рабочих станций сделаны Registration Rules. Т.е. к примеру если рабочая станция относиться к определённой группе IP-адресов должна находится в определённом каталоге. Не работает. Пробовали для проверки изменить более простое правило - версия OS или тип (workstation или сервер). 1(один) раз отработало и не более. Что сделаем не так?
3. Делается образ для загрузки и распространения по рабочим станциям. Всё как бы работает, т.е. финализация проходит, но ZEN считает все эти вновь созданные компьютеры как один. Т.е. регистрацию в ZCM проходит только один - первый при заливке. При попытке зарегистрировать вручную второй, третий .... сообщается, что данный компьютер уже зарегистрирован. Где может быть засада?
4. Хочу чтоб компьютеры регистрировались по схеме Имя рабочей станции + MAC-адрес карты. Прописываю. Работает, но наследующий день под это подпадает и сам сервер ZCM и начинает не хорошо ругаться по этой проблеме. Кто-нибудь заморачивался такой задачей?

Пока не добрались до ещё одной проблемы - но насколько верно утверждение что в различных подсетках предприятия надо устанавливать Satellites-серверы ZCM. Т.е. если какие-то заморочки работы\коннекта\регистрации рабочих станций за NAT и через IPSec.

ZCM 11 - вещь конечно по описанию возможностей - великолепная, но кровь пьет литрами при настройке. И пока в борьбе за качество работы ZEN, побеждает ZEN.
Доменика
 
Сообщения: 317
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Ковалев Артем » 23 дек 2016, 10:55

ну если коротко, то
0. не надо Appliance. Ставьте нормально. Appliance, конечно, уже преднастроен, но, возможно, часть ваших багов именно из его настроек.
1. Обновления приезжают, когда клиент зена на рабочей станции делает refresh. Причем refresh и reboot (restart) - это разные вещи и при перезагрузке обновления не происходит. Значит, надо либо настроить refresh почаще, либо делать его вручную клиентам, когда "срочно надо". Только учтите, что каждый refresh вызывает авторизацию клиента зена в дереве и если у вас (как у нас) стоит ограничение по времени на использование паролей и лимит входов с просроченным паролем, то частый рефреш сожжет эти входы очень быстро, пользователь и понять ничего не успеет. У нас refresh настроен раз в сутки.
2. не знаю, не пользуюсь
3. zac cc
zar unr
zac reg
Короче, вновь залитый ПК надо разрегестрировать в зене и зарегать обратно. Это не баг, это особенность строения мозга мормонов. Ну ведь не может же так быть, чтобы компьютеры разливали из образов, особенно когда их сотни и тысячи, каждый должны любовно ставить и настраивать вручную и никак иначе.
4. я - нет.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Radik » 23 дек 2016, 12:18

2. Правила регистрации работают у нас по адресам и распределяют рабочие станиции по соответствующим группам.
3. Tid для образов и еще Tid.
4. Именование рабочих станциий у нас Имя рабочей станции + IP-адрес, впросов нет.

ПС Может все дело в ZCM 11.4.3 (Appliance)?
Radik
 
Сообщения: 86
Зарегистрирован: 06 сен 2005, 13:37
Откуда: Kishinev

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Доменика » 28 дек 2016, 17:56

Ковалев Артем писал(а):ну если коротко, то
3. zac cc
zar unr
zac reg

Именно так и делаю, только zac cc не было. Но и даже и с этим пунктом не работает.
Пока работает только одно решение - убить агента и установить. Машин уже много, обнаружилось не сразу. И не понятно к кому идти исправлять.


И ещё вопрос - надо чтоб определенные политики отрабатывались у конкретных сотрудниках и ТОЛЬКО на определённых компьютерах - возможно?
Нужно 2 варианта
1. На любых компьютерах были права только бесправного пользователя
2. И только на конкретной машине админовские права.

И соответственно хотелось группировать по людям и машинам.
Доменика
 
Сообщения: 317
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение skoltogyan » 28 дек 2016, 18:16

вариант раздачи политики админа только на конкретную машину ( это если все машины в AD )
на нужной машине создается папка и в ней файл( например
c:\gporul\file.txt
. права делаются на папку - никто ничего не видит в папке.
нужному пользователю - назначаете право читать содержимое каталога.

создаете GPO назначение админских привилений , которое применяется для пользователя при условии, что возможно проверить существование файла
c:\gporul\file.txt
и назначаете это GPO - всем пользователям.
Оно применится только на тех машинах и тем пользователя - кому можно быть локальными адинами.

IMHO - нечто подобное можно сделать используя ZCM ,без AD
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Доменика » 28 дек 2016, 18:57

skoltogyan писал(а):вариант раздачи политики админа только на конкретную машину ( это если все машины в AD )
на нужной машине создается папка и в ней файл( например
c:\gporul\file.txt
. права делаются на папку - никто ничего не видит в папке.
нужному пользователю - назначаете право читать содержимое каталога.

создаете GPO назначение админских привилений , которое применяется для пользователя при условии, что возможно проверить существование файла
c:\gporul\file.txt
и назначаете это GPO - всем пользователям.
Оно применится только на тех машинах и тем пользователя - кому можно быть локальными адинами.

IMHO - нечто подобное можно сделать используя ZCM ,без AD

Предполагаю в ZEN - это должно быть без файлов. Обилие возможностей ZCM - блуждаю, что и к чему применить в правах на устройство\политику\пользователя.
Доменика
 
Сообщения: 317
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение skoltogyan » 28 дек 2016, 21:03

про файлы -это лишь вариант, как ограничить область применения GPO. ( это штатная возможность в GPO AD ).
IMHO - это как вариант, что можно замутить, используя ZCM
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Иван Иванов » 31 дек 2016, 01:14

Доменика писал(а):Нужно 2 варианта
1. На любых компьютерах были права только бесправного пользователя
2. И только на конкретной машине админовские права.

На ПК где нужно быть админом создаем группу "Админы" и запихиваем её в группу "Администраторы". В зене нужного пользователя добавляем в группу "Админы". На своем ПК он получит нужные права. Правда были нюансы что не давало например почему-то изменить сетевые настройки и еще что-то по мелочи но для большинства задач достаточно.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Иван Левшин aka Ivan L. » 31 дек 2016, 22:01

Доменика
Ваши проблемы - от пренебрежения чтением документации. ZEN7 и ZCM категорически отличаются по архитектуре и, соответственно, сильно по разному работают. В частоности, про рефреш Артем уже сказал. Правда, он ошибся - рефреш при перезагрузке происходит.
Помимо zan unr/zac cc необходимо также выполнять zac fsg -d: эта команда очищает метки в файловой системе (фактически GUID).
GPO применяются ровно так же, как в АД - причем, замечу, на клиентах они применяются через штатные средства клиента (агент только доставляет их до "места"). Описываемый Вами вариант назначения - возможен, причем он точно не один. Сергей предложил один из них - он 100% работает.

В общем, коллеги - при всем моем уважении к вашему опыту: читайте, пожалуйста, документацию. Там все описано. Не то чтобы я тут демонстрирую спесь - ей богу, даже как-то странно напоминать вполне квалифицированным коллегам о таких пустяках, как чтение документации. Ну и не вижу смысла здесь ее дублировать.

Артем, мне никак не дает спокойно заснуть вопрос: когда уже, наконец, Вы устанете поминать мормонов? Являетесь членом конкурирующей секты? :)
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Доменика » 14 янв 2017, 21:58

Иван Левшин aka Ivan L. писал(а):Доменика
Ваши проблемы - от пренебрежения чтением документации. ZEN7 и ZCM категорически отличаются по архитектуре и, соответственно, сильно по разному работают. В частоности, про рефреш Артем уже сказал. Правда, он ошибся - рефреш при перезагрузке происходит.
Помимо zan unr/zac cc необходимо также выполнять zac fsg -d: эта команда очищает метки в файловой системе (фактически GUID).
GPO применяются ровно так же, как в АД - причем, замечу, на клиентах они применяются через штатные средства клиента (агент только доставляет их до "места"). Описываемый Вами вариант назначения - возможен, причем он точно не один. Сергей предложил один из них - он 100% работает.

В общем, коллеги - при всем моем уважении к вашему опыту: читайте, пожалуйста, документацию. Там все описано. Не то чтобы я тут демонстрирую спесь - ей богу, даже как-то странно напоминать вполне квалифицированным коллегам о таких пустяках, как чтение документации. Ну и не вижу смысла здесь ее дублировать.

Артем, мне никак не дает спокойно заснуть вопрос: когда уже, наконец, Вы устанете поминать мормонов? Являетесь членом конкурирующей секты? :)

Ой...таки зачморили!
Читаю я доки, но то ли глаз "замыливается", или решение не получается в конкретной ситуации.
Как пример перерегистрация рабочей станции на 100% сработает в моём случае - если всё выше сказанное дополнить zac reg -g https:\\zen_srv.ip

Если про политики, то - хотелось бы поладить не с GPO-винды, а с политиками ZEN и конкретно DLU. Т.е. есть две политики DLU для админов и для пользователей. И надо чтоб политика DLU для админов отрабатывала только на определённых машинах, а на всех остальных применялись как политика DLU для рядового пользователя.
Вроде по описанию политики DLU могу применять
1. С девайсом, читаем компьютером
2. С пользователем/группой из eDirecory
3. С группой политик.
И получается есть пользователь входящий в две группы eDirecory, которым назначены разные политики Policy.admin.DLU и Policy.user.DLU всегда и на всех устройствах получает админовские права. При том что в Policy.admin.DLU указаны только определённые девайсы, а Policy.user.DLU это опция пустая, чтоб применялось как бы на всех устройствах. Что может не работать? Или не правильно понимаю принципы работы по применению назначений. Всё логично, но не фунциклирует.

И как обычно вопрос - при регистрации пользователя в сети ВСЕГДА появляется информация по начале работы ZEN-агента(логин, применение политик ZEN). Возможно скрыть данное информационные сообщения. И возможно ли скрыть(убрать) иконку агента ZEN в трае после регистрации?
Доменика
 
Сообщения: 317
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Работа с ZCM 11.Проблема или трудности.

Сообщение Иван Левшин aka Ivan L. » 15 янв 2017, 20:25

Даже и не пытался делать ничего подобного, честное пионерское :)

По вопросам - пишу по памяти, до работы доберусь через неделю. До этого времени нет никакого желания грызть гранит науки :) Так что за оплошности сразу прошу прощения.

1. zac reg -g - перерегистрация машины с генерацией нового GUID. Могу сказать, что работать будет даже в случае, если машину из системы не удалять - просто потом необходимо будет чистить БД.
2. По назначению политик: вообще говоря, политику Вы можете назначить на устройство или на пользователя (группу). Группа политик - просто средство агрегации единичных политик, их так удобнее применять. При этом необходимо четко понимать, что группа политик назначается, в то время как группа пользователей - объект назначения (применения) политики (группы политик). Это разные сущности.
Потому п.3 в Вашем примере несколько некорректен, группа политик в этой формуле стоит с другой стороны относительно группы пользователей.

Ответить, почему у Вас наблюдается такое поведение политик - прямо сейчас я не могу, надо предметно смотреть (удаленно у Вас или моделировать на стенде). Однако с вероятностью, близкой к 100%, причина в некорректном назначении политик (ситуация, аналогичная старой доброй "утечке прав"). Выпишите все политики, которые могут действовать для пользователя и устройства, проанализируйте список. Причина - здесь, ее надо просто найти. Ну т.е. это не "неправильный ZCM", это Вы (или коллеги) некорректно определили и/или назначили политики.

3. По поводу поведения иконки в трее - это точно кастомизируется, посмотрите в Configuration -> ZENworks Agent (или как-то так, пишу по памяти).
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 62

cron