Как заставить SCCM-клиент оценивать политику сразу после развертывания ОС?

У меня есть последовательность задач развертывания ОС SCCM, которая отлично работает - с одной оговоркой, которую я, кажется, не могу понять ...

После завершения последовательности задач обработка параметров клиента занимает от 4 до 16 часов. Это означает, что в течение этого времени компьютеры со свежими образами не получают никаких развертываний или настроек AV. Клиент SCCM в конечном итоге синхронизируется с сервером, и когда это произойдет, после этого все будет работать нормально. Но из-за этой проблемы нам приходится оставлять компьютеры на ночь, прежде чем мы сможем доставить их пользователям. Повторное создание образа ненадежного компьютера в полевых условиях - это не вариант, если мы не сделаем это прямо перед тем, как пользователь уйдет домой на день, чтобы он был готов для них, когда они пойдут на работу на следующее утро.

Одна из проблем - это клиент Endpoint Protection. В Windows 10 нет способа (насколько мне известно) перевести Защитник Windows в управляемый режим, поскольку это встроенный компонент операционной системы. Нам абсолютно необходимо дождаться, пока клиент SCCM сделает свое дело, чтобы он правильно обработал исключения (которые требуются для конкретного приложения, которое мы используем).

Вот соответствующие детали:

• Мы используем SCCM 1710
• Это происходит со всеми нашими изображениями как в Windows 7, так и в Windows 10.
• Никакое количество действий клиента, запускаемых вручную в панели управления Config Manager, не ускоряет применение политики.
• Перезагрузка рассматриваемого компьютера не имеет значения.
• Все работает нормально после того, как клиент наконец синхронизируется. После этого развертывания, обновления программного обеспечения и оценки политик обрабатываются по расписанию.
• Консоль управления SCCM показывает, что клиент установлен и активен.
• В нашей иерархии SCCM есть только один сервер сайта, на котором работают роли DB, DP, MP и SUP. Все группы границ настроены правильно.
• Обнаружение системы AD и пользователей происходит каждые 24 часа, с включением дельта-обнаружения через 5 минут.
• Ни для одной из наших коллекций не определены периоды обслуживания (в основном мы работаем круглосуточно и без выходных). Все развертывания в любом случае настроены на игнорирование окон обслуживания.
• В журналах нет ошибок или чего-либо необычного (хотя, признаюсь, я не совсем уверен, что именно там ищу).

Есть ли способ заставить клиента загрузить и применить политику в процессе создания образа?

ОБНОВИТЬ:

Я проследил эту проблему до процесса обнаружения на стороне сервера.

При просмотре затронутого компьютера в консоли SCCM он показывает, что клиент установлен, активен и исправен, НО обозреватель ресурсов не показывает для него данных. SCCM ничего не знает об устройстве - какая ОС установлена, какое у него оборудование, какое программное обеспечение установлено, в каком OU оно находится ... ничего.

Все наши коллекции основаны на запросах, поэтому до тех пор, пока данные не станут доступными для запроса, SCCM не знает, в какой коллекции они должны находиться, и поэтому ему ничего не объявляется. Клиент должен загружать эти данные на сервер во время цикла обнаружения, но по какой-то причине это не так.

ЕСЛИ я буду принудительно выполнять повторное обнаружение системы AD, принудительно переоценивать член коллекции и вручную запускать действия сайта на клиенте, ТО я могу заставить SCCM вести себя в течение часа или около того. Но сейчас я просто нажимаю кнопки наугад. Я не знаю, какое сочетание времени и порядка действий является здесь волшебным соусом.

• Обнаружение системы AD настроено на ежедневное выполнение с установленным значением дельта-обнаружения 5 минут.
• Оценки сбора настроены на запуск каждые 7 дней, при этом также включается дельта-обнаружение через 5 минут.

Но все это не имеет смысла, потому что для заполнения не требуется 24 часов. Если я представляю себе машину первым делом утром, то обычно она будет готова к вечеру, но открытие происходит не раньше середины ночи.

Также:

• Если я повторно визуализирую существующий компьютер с ОДНОЙ ОС, мне удалось добиться правильной оценки компьютера через час или около того, просто запустив действия сайта на клиенте. Но это потому, что в БД уже была запись для этих компьютеров, и никакая информация о них не изменилась.

Так помогает ли эта обновленная информация кому-нибудь?