2 Replies Latest reply on Mar 29, 2010 8:41 AM by Frank.Scholer

    IsCompliant-Bedingung

    Frank.Scholer Master
      Hi nochmal,

      wie wäre es, wenn - analog zur IsInstalled-Bedingung - Pakete eine "IsCompliant"-Bedingung erhielten (mit den gleichen Möglichkeiten der Bedingungs-Prüfung)? Damit könnte dann der Client melden, dass er nicht mehr compliant ist.

      Frage wäre natürlich, was passieren soll, wenn der Client feststellt, dass er nicht mehr compliant ist? Meine Vorstellung wäre ja, dass er dann den Compliance-Status der zugehörigen Policy-Instanz auf dem Server beim nächsten Clientsync überschreibt und dieser wieder auf gelb geht. Das Paket würde dann nochmal ausgerollt werden.

      Mit dieser Möglichkeit könnte man dafür sorgen, dass Software, die z.B. manuell deinstalliert wurde ("msiexec /x ...", Löschen des Applikations-Verzeichnisses oder ähnliches), nochmals auf dem Client ausgerollt wird und dieser wieder auf compliant geht. Es wäre auch flexibler, als nur die Registry ("InstalledApps") oder ähnliches zu prüfen und würde wirklich in Richtung "Policy-basiertes Management" gehen.

      Außerdem wäre das ein analoges Konzept wie beim Windows Installer, der so prüft, ob eine MSI-Applikation noch installiert ist oder ob ein App-Repair angestossen werden muss (vgl. z.B. den Abschnitt "Key Paths" im Artikel http://en.wikipedia.org/wiki/Windows_Installer) und das ist ja genau das, was man eigentlich haben will (behaupte ich mal ;-).

      Natürlich sind Fragen zu klären, z.B.:
      F: Wie wird damit umgegangen, wenn die IsCompliant-Bedingung überhaupt nicht angegeben (also leer gelassen) wird?
      A: Mein Vorschlag wäre, sich dann genau so zu Verhalten wie heute (Compliance-Information des BLS ist führend). Würde auch für Abwärtskompatibilität sorgen!

      F: Was passiert, wenn zu einem Paket, bei dem die IsCompliant-Bedingungnicht mehr erfüllt ist, auf dem BLS überhaupt keine Policy-Instanz mehr existiert (weil diese endgültig, also ohne Uninstall, gelöscht wurde)?
      A: Vorschlag wäre, dann überhaupt nichts zu unternehmen, da ja offensichtlich der Compliance-Status dieses Pakets als nicht relevant betrachtet wird.

      Wahrscheinlich gibt es noch einge Fragen mehr, die mir aber gerade nicht einfallen. Vielleicht kann ich aber mit diesem FR einen Denkanstoß und optimalerweise eine weiteren Evolutions-Schritt initiieren...

      Grüße Frank
        • 1. Re: IsCompliant-Bedingung
          alexander.knopp Apprentice
          Hi Frank,

          Ideen hierzu gab es schon.
          Das klingt also auf jeden Fall mal positiv.

          Unterschied zwischen IsCompliant und IsInstalled ist die Häufigkeit der Ausführung. Das bestehende IsInstalled wird quasi nur einmal ausgeführt, das andere müsste dauernd ausgeführt werden, was den Client wieder verlangsamen würde. Evtl. müsste man hierzu einen neuen Job-Typ oder etwas ähnliches bauen.

          ich vermute mal, dass es nicht zu v7 reichen wird, werde es aber mal eintüten (post v7).

          Gruß
          • 2. Re: IsCompliant-Bedingung
            Frank.Scholer Master
            Hallo Alex,

            Unterschied zwischen IsCompliant und IsInstalled ist die Häufigkeit der Ausführung. Das bestehende IsInstalled wird quasi nur einmal ausgeführt, das andere müsste dauernd ausgeführt werden, was den Client wieder verlangsamen würde.


            Das ist richtig - die IsCompliant-Bedingung müsste eigentlich bei jedem Installer-Lauf geprüft werden.

            Ich würde aber wetten, dass in 99,99% der Fälle dort einzelne Reg-Keys oder Files geprüft würden, was m.E. sehr schnell gehen müsste und daher zu keiner nennenswerten Performance-Verschlechterung führen dürfte. Ich wäre daher dafür, das jedes Mal prüfen zu lassen. Wenn jemand keinen Wert darauf legt, compliant zu sein, kann er ja die Prüfung einfach unterlassen (also die Bedingung leer lassen). Wer eben compliant sein will, wird den (geringen) Overhead akzeptieren.

            Das geht ja auch eindeutig in Richtung des "Desired Configuration Management" von SCCM (nur schlanker) und wäre ein echter Mehrwert auch gegenüber Mitbewerbern.

            Grüße Frank