如何审核 SCCM 设备集合更改 - Prajwal Desai

这是一篇有用的文章，介绍了如何审核 SCCM 设备集合更改。借助报告，您可以找到创建、修改和删除 SCCM 集合的人员。每当您想要审核 SCCM 设备集合更改时，状态消息查询和消息 ID 都非常有用。

您可以使用状态消息查询来识别特定组件或 SCCM 对象何时被修改或删除，以及用于进行修改的帐户。

如果您有更大的 SCCM 环境，您可能需要监控很多东西。特别是审核对 SCCM 及其组件所做的更改。我在这里仅选取一小部分，用于审核 SCCM 设备集合更改。

您的一线支持或帮助台可以有权在 SCCM 中创建设备集合。但是，您可能希望监视对这些设备集合所做的更改。

如果用户错误或故意删除了 SCCM 设备集合，而现在您想要查找删除 SCCM 集合的人，该怎么办？或者您可能想要查找谁修改了 SCCM 集合或查找谁创建了已删除的 SCCM 集合。

为了回答所有这些问题，这篇文章将为您提供帮助。在我之前的帖子中，我介绍了 SCCM 状态消息查询的重要性。您可以使用状态消息查询执行以下操作。

• 监控 SCCM 任务序列进度
• 查找谁修改了 SCCM 任务序列
• 查找谁删除了 SCCM 任务序列

审核设备集合的先决条件

好吧，在开始审核 SCCM 设备集合更改之前，最重要的先决条件是报告。您必须有权运行报告。您可以从 Configuration Manager 控制台或通过 Web 浏览器运行报告。

如果您的 SCCM 报告服务点有任何问题，您可以轻松地重新安装 SCCM 的 SQL Reporting Services。

SCCM 设备集合消息 ID

在尝试找出谁创建/修改/删除 SCCM 设备集合时，了解消息 ID 非常有用。我们将使用以下消息 ID 来审核 SCCM 设备集合更改。

消息 ID 说明

查找 SCCM 集合的创建者

查找谁修改了 SCCM 集合

查找谁删除了 SCCM 集合

查找 SCCM 设备集合的创建者

以下是查找 SCCM 设备集合创建者的步骤。

• 启动配置管理器控制台。
• 导航至监控\概览\报告\报告。
• 查找报告特定邮件 ID 的所有邮件。
• 右键单击特定消息 ID 的所有消息，然后单击运行。

在特定邮件 ID 的所有邮件报告中，点击值并输入邮件 ID 30015。消息 ID 30015 为您提供有关 SCCM 集合创建者的信息。点击查看报告。

输出中显示了以下详细信息。

• 状态消息
• 记录ID
• 严重性
• 消息ID
• 成分
• 设备名称
• 时间(UTC)
• 站点代码

如果仔细观察，状态消息实际上会显示创建设备集合的用户。例如，在本例中 - 用户 cmadmin 创建了一个名为 Windows 10 测试计算机 (TP100014) 的集合。

查找修改 SCCM 设备集合的人员

我们将使用相同的报告来查找谁修改了 SCCM 设备集合，但带有消息 ID 30016。运行名为特定邮件 ID 的所有邮件的报告，然后单击值。在值框中输入消息 ID 30016。点击查看报告。

在输出中，您可以看到状态消息实际上向您显示了修改设备集合的用户。例如，在本例中 - 用户 James 修改了名为 Windows 10 测试计算机 (TP100014) 的集合的集合属性。该集合当前分配给以下 ConfigMgr 管理员。

您可能会在输出中找到两个以上的条目，因为设备集合可能会被许多用户修改。这里重要的是时间(UTC)列，它告诉谁最后修改了 SCCM 设备集合。

查找谁删除了 SCCM 设备集合

这是我们查找谁删除了 SCCM 设备集合的重要部分。修改后的集合是可以的，但是当您知道设备集合已被删除时，它就成为一个非常关键的问题。

我们将再次运行报告特定消息 ID 的所有消息来查找删除设备集合的用户。我们将使用消息 ID 30017 来查找删除 SCCM 设备集合的用户。

运行报告并输入消息 ID 30017，然后单击查看报告。输出将显示删除 SCCM 设备集合的用户。例如，在本例中 - 用户 James 删除了名为 Windows 10 测试计算机 (TP100014) 的集合。

我希望这篇文章有助于审核您设置中的 SCCM 设备集合更改。如果您有任何疑问，请在下面的评论部分中留言。