Как заставить клиента SCCM оценивать политику сразу после развертывания ОС?

У меня есть последовательность задач развертывания ОС SCCM, которая прекрасно работает - с одной оговоркой, которую я не могу понять...

После завершения последовательности задач обработка параметров клиента занимает от 4 до 16 часов. Это означает, что в это время компьютеры с новым изображением не получают ни своего развертывания, ни настроек AV. Клиент SCCM в конечном итоге синхронизируется с сервером, и после этого все работает нормально после этого. Но из-за этой проблемы нам, в основном, приходится оставлять компьютеры на ночь, прежде чем мы сможем доставить их пользователям. Повторное извлечение неисправного компьютера в полевых условиях невозможно, если мы не сделаем это прямо перед тем, как пользователь уйдет домой на целый день, чтобы он был готов к ним, когда они приступят к работе на следующее утро.

Одна конкретная проблема - это клиент Endpoint Protection. В Windows 10 нет способа (о котором я знаю) перевести Защитника Windows в управляемый режим, поскольку это встроенный компонент операционной системы. Нам абсолютно необходимо подождать, пока клиент SCCM сделает свое дело, чтобы он правильно обрабатывал исключения (которые необходимы для конкретного приложения, которое мы используем).

Вот соответствующие детали:

• Мы используем SCCM 1710
• Это происходит на всех наших изображениях, как в Windows 7, так и в Windows 10.
• Никакое количество ручных действий клиента в панели управления Config Manager не позволяет применять политику быстрее.
• Перезагрузка компьютера не имеет значения.
• Все работает нормально после окончательной синхронизации клиента. После этого развертывания, обновления программного обеспечения и оценки политик обрабатываются по расписанию.
• Консоль управления SCCM показывает клиента как установленного и активного.
• Наша иерархия SCCM имеет только один сервер сайта, на котором запущены роли DB, DP, MP и SUP. Все группы границ настроены правильно.
• Обнаружение системы AD и пользователя происходит каждые 24 часа, при этом обнаружение дельты включается через 5 минут.
• Никакие окна обслуживания не определены ни в одной из наших коллекций (мы в основном работаем круглосуточно). Все развертывания настроены на игнорирование окон обслуживания в любом случае.
• В журналах нет ошибок или чего-то необычного (хотя, признаюсь, я не совсем уверен, что я там ищу).

Есть ли способ заставить клиента загрузить и применить политику во время процесса создания образа?

ОБНОВИТЬ:

Я проследил эту проблему до процесса обнаружения на стороне сервера.

Если посмотреть на уязвимую машину в консоли SCCM, она показывает, что клиент установлен, активен и исправен, НО Resource Explorer не отображает данные для него. SCCM ничего не знает об устройстве - какая ОС установлена, какое у него оборудование, какое программное обеспечение установлено, в каком OU оно находится... ничего.

Все наши коллекции основаны на запросах, поэтому до тех пор, пока данные не станут доступны для запроса, SCCM не знает, в какую коллекцию они должны быть, и поэтому ничего не объявляется. Клиент должен заполнить эти данные на сервере во время цикла обнаружения, но по какой-то причине это не так.

ЕСЛИ я заставляю повторное обнаружение системы AD, переоцениваю членов коллекции и вручную запускаю действия сайта на клиенте, то я могу заставить SCCM вести себя в течение часа или около того. Но на самом деле я просто случайно нажимаю кнопки. Я не знаю, какое сочетание времени и порядка действий является волшебным соусом здесь.

• Обнаружение системы AD настроено на запуск каждый день с обнаружением дельты 5 минут.
• Оценки сбора выполняются каждые 7 дней, при этом обнаружение дельты также включается через 5 минут.

Но все это не имеет смысла, потому что это не займет целых 24 часа, чтобы заполнить. Если я сначала создаю образ машины утром, она обычно будет готова к вечеру, но обнаружение не начнется до середины ночи.

Также:

• Если я заново создаю образ существующей машины с той же ОС, то через час или около того мне удалось добиться правильной оценки компьютера, просто запустив действия сайта на клиенте. Но это потому, что БД уже имела записи для этих компьютеров, и никакая информация о них не изменилась.

Так поможет ли эта обновленная информация кому-нибудь?