Ainda estou no processo de implementação do SCCM 2012, mas fiz algumas pesquisas sobre esse tópico para elaborar um bom plano para a implementação de atualizações de software.
Primeiro, há um limite finito para o número de correções que você pode incluir em uma única implantação. Eu acho que com 2012 foi aumentado para 1000, então isso geralmente não será uma preocupação. Embora, eu acredite que ainda haja algumas desvantagens em ter um número muito grande de correções - toda vez que você faz uma mudança na implementação (adicionando novos patches), há muito mais processamento que tem que acontecer para reavaliar a conformidade. A menos que você tenha uma tonelada de patches ou muitos clientes (50.000-100.000 +), acho que será insignificante.
Dito isto, este é o meu plano. É um pouco específico para o meu ambiente, mas acho que pode ser aplicado à maioria dos ambientes.
- Tenha uma grande implantação contendo todas as correções para todos os produtos incluídos em sua imagem padrão (se sua imagem foi totalmente corrigida a partir de fevereiro de 2013, inclua apenas as correções realmente necessárias).
- Todo mês, crie duas novas implantações de grupos de atualização: uma para todas as correções críticas e uma para todas as correções não críticas . Dessa forma, nosso departamento de QA pode testá-los de forma independente e se concentrar em liberar os patches críticos primeiro.
- A cada 6 meses a um ano, atualize o arquivo de origem WIM da imagem base para incluir todas as correções lançadas nesse período de tempo.
- Mova os 6 meses de correções para o grupo de implantação de correções "base".
Uma coisa a ser observada - se você ainda não sabia, o SCCM faz o download apenas das atualizações aplicáveis a cada computador - mesmo que você tenha uma implantação com 150 correções, ela copiará os arquivos e instalará as correções que são precisos. Com essa abordagem, poderemos manter nossos sistemas totalmente atualizados e manter a imagem atualizada para que não demore mais 45 minutos para fazer a imagem de uma máquina.
Observe também que não estamos corrigindo servidores e temos um ambiente bastante padronizado. Se tivéssemos várias imagens / sistemas operacionais para suportar, eu poderia fazer algumas alterações no plano acima (vários grupos de patch "baseline", um por imagem).