有没有一种方法来指定一个集合在AD查询特定的安全组,还是只能查询已经在它的数据库通过发现方法放在那里的机器?
您只能基于使用各种发现方法收集的数据创build基于规则的查询。 但是,在发现方法中,您有Active Directory安全组发现 ,这将适用于您的目的。 您只需打开它并将其设置为扫描具有您的组的AD容器。
然后,您可以使用在“ 系统资源”属性类的“ 系统组名称”属性上进行筛选的查询创build基于规则的集合。 taylord1的答案提供了这种查询的原始SQL。
如果您担心时间安排问题以及默认扫描时间表每天只有一次以及收集更新时间表的事实,那么只需更改计划即可满足您的需求。 请记住,您需要更新安全组发现计划和收集更新计划。 如果可能的话,您应该尝试对它们进行计时,以便收集更新计划在安全组发现计划后几分钟发生。
如果您已经在使用Security Group Discovery并且担心增加扫描时间表会导致性能下降,我仍然build议先尝试一下,看看它是否会对您的基础架构造成太大的压力。 但是,如果您有兴趣,还可以使用其他方式触发单个机器更新。 它涉及到一些编程。
我们在环境中通过使用以下查询来创build集合,从而为我们提供了一组特定组中的机器的集合。
select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System where SMS_R_System.SystemGroupName = "******Insert SCI\Group Name here******" 因此,例如对于名为SCI \ CMP的组,我们将使用以下内容。
select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System where SMS_R_System.SystemGroupName = "SCI\CMP"
(显然,我们的域名是SCI – 你需要删除你自己的域名和组名)。
SCCM中的查询是针对SCCM数据库的,它只包含您发现的系统。