Есть ли способ указать, что коллекция запрашивает определенную группу безопасности в AD, или она может запрашивать только машины, уже находящиеся в ее базе данных, помещенные туда с помощью методов обнаружения?
Вы можете создавать запросы на основе правил только на основе данных, собранных с помощью различных методов обнаружения. Но среди методов открытия у вас есть Обнаружение группы безопасности Active Directory который отлично подойдет для ваших целей. Вам просто нужно включить его и настроить на сканирование контейнеров AD, в которых есть ваши группы.
Затем вы можете создавать коллекции на основе правил с запросами, которые фильтруют по Имя системной группы атрибут Системный ресурс класс атрибута. Необработанный SQL для этого типа запроса предоставляется в ответе taylord1.
Если вас беспокоит время и тот факт, что расписание сканирования по умолчанию - только один раз в день, а также расписание обновления коллекции, очень легко просто изменить расписание в соответствии с вашими потребностями. Просто имейте в виду, что вам необходимо обновить расписание обнаружения группы безопасности. и расписание обновления коллекции. Если возможно, вам следует попытаться рассчитать их так, чтобы расписание обновления коллекции происходило через несколько минут после расписания обнаружения группы безопасности.
Если вы уже используете Security Group Discovery и беспокоитесь о снижении производительности из-за увеличения расписания сканирования, я все же предлагаю сначала попробовать его, чтобы увидеть, действительно ли это вызывает слишком большую нагрузку на вашу инфраструктуру. Однако есть и другие способы запуска обновлений отдельных компьютеров, которые я могу описать, если вам интересно. Однако это требует некоторого программирования.
Мы делаем это в нашей среде, используя следующий запрос, когда мы создаем коллекцию, тем самым предоставляя нам коллекцию машин, которые находятся в определенной группе.
select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System where SMS_R_System.SystemGroupName = "******Insert SCI\Group Name here******"
Так, например, с группой SCI \ CMP мы могли бы использовать следующее.
select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System where SMS_R_System.SystemGroupName = "SCI\CMP"
(Очевидно, что наше доменное имя - SCI - вам нужно будет подставить собственный домен и имя группы).
Запросы в SCCM относятся к базе данных SCCM, которая будет содержать только обнаруженные вами системы.