在 Windows Embedded 设备上部署和管理Configuration Manager客户端的示例方案
适用于: Configuration Manager(current branch)
此方案演示了如何使用Configuration Manager管理已启用写入筛选器的 Windows Embedded 设备。如果嵌入式设备不支持写入筛选器,则它们充当标准Configuration Manager客户端,这些过程不适用。
Coho Vineyard & Winery 正在开设一个访客中心,需要运行 Windows Embedded 的展台来运行交互式演示文稿。 新访客中心的建筑不靠近 IT 部门,因此必须远程管理展台。 除了运行演示文稿的软件外,这些设备还必须运行最新的反恶意软件保护软件,以符合公司安全策略。 展台必须每周运行 7 天,在访客中心开放时不会停机。
Coho 已运行Configuration Manager来管理其网络上的设备。 Configuration Manager配置为运行 Endpoint Protection,并安装软件更新和应用程序。 但是,由于 IT 团队以前未管理过 Windows Embedded 设备,因此Configuration Manager管理员运行试点来管理接待大厅中的两个展台。
若要管理这些已启用写入筛选器的 Windows Embedded 设备,Configuration Manager管理员执行以下步骤来安装 Configuration Manager 客户端,使用 Endpoint Protection 保护客户端,并安装交互式演示软件。
Configuration Manager管理员 (管理员) 阅读 Windows Embedded 设备如何使用写入筛选器,以及Configuration Manager如何通过自动禁用并重新启用编写器筛选器来保留软件安装来简化此操作。
有关详细信息,请参阅 规划 Windows Embedded 设备的客户端部署。
在管理员安装 Configuration Manager 客户端之前,管理员为 Windows Embedded 设备创建新的基于查询的设备集合。 由于该公司使用标准命名格式来标识其计算机,因此管理员可以通过计算机名称的前六个字母唯一标识 Windows Embedded 设备:WEMDVC。 管理员使用以下 WQL 查询创建此集合:从SMS_R_System选择“SMS_R_System.NetbiosName”,其中SMS_R_System.NetbiosName,例如“WEMDVC%”
此集合允许管理员使用与其他设备不同的配置选项来管理 Windows Embedded 设备。 管理员将使用此集合来控制重启、使用客户端设置部署 Endpoint Protection 以及部署交互式演示应用程序。
请参阅 如何创建集合。
管理员为维护时段配置集合,以确保安装演示文稿应用程序所需的重启,并且不会在访问者中心的营业时间内进行任何升级。 营业时间为周一到周日的09:00至18:00。 管理员配置每天 18:30 到 06:00 的维护时段。
有关详细信息,请参阅 如何使用维护时段。
然后,管理员配置自定义设备客户端设置以安装 Endpoint Protection 客户端,方法是为以下设置选择“是”,然后将此自定义客户端设置部署到 Windows Embedded 设备集合:
在客户端计算机上安装 Endpoint Protection 客户端
对于具有写入筛选器的 Windows Embedded 设备,提交 Endpoint Protection 客户端安装 (需要重启)
允许在维护时段外执行 Endpoint Protection 客户端安装和重启
安装 Configuration Manager 客户端时,这些设置将安装 Endpoint Protection 客户端,并确保在安装过程中将其保留在操作系统中,而不是仅写入覆盖层。 公司安全策略要求始终安装反恶意软件,并且管理员不希望在重启后,即使展台在短时间内处于未保护状态的风险也运行。
注意
安装 Endpoint Protection 客户端所需的重启是一次性事件,在设备的设置期间和访问者中心运行之前发生。 与定期部署应用程序或软件定义更新不同,下一次在同一设备上安装 Endpoint Protection 客户端时,公司可能会升级到下一版本的Configuration Manager。
有关详细信息,请参阅 配置 Endpoint Protection。
现在客户端的配置设置已准备就绪,管理员准备安装Configuration Manager客户端。 管理员必须手动禁用 Windows Embedded 设备上的写入筛选器,然后才能安装客户端。 管理员阅读展台随附的 OEM 文档,并按照其说明禁用写入筛选器。
管理员重命名设备,使其使用公司标准命名格式,然后通过从保存客户端源文件的映射驱动器运行以下命令运行 CCMSetup 手动安装客户端: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1
此命令安装客户端,将客户端分配到 Intranet FQDN 为 mpserver.cohovineyardandwinery.com 的管理点,并将客户端分配到名为 CO1 的主站点。
管理员知道客户端安装其状态并将其发送回站点始终需要一段时间。 因此,管理员等待,然后确认客户端已成功安装、分配给站点,并在为 Windows Embedded 设备创建的集合中显示为客户端。
作为其他确认,管理员检查设备上控制面板Configuration Manager的属性,并将其与站点管理的标准 Windows 计算机进行比较。 例如,在“ 组件 ”选项卡上,“ 硬件清单代理 ”显示 “已启用”,在“ 操作 ”选项卡上有 11 个可用操作,其中包括 “应用程序部署评估周期 ”和 “发现数据收集周期”。
管理员确信客户端已成功安装、分配和接收来自管理点的客户端策略,然后按照 OEM 的说明手动启用写入筛选器。
有关更多信息,请参阅:
现在,Configuration Manager客户端已安装在 Windows Embedded 设备上,管理员确认他们可以使用与管理标准 Windows 客户端相同的方式对其进行管理。 例如,在 Configuration Manager 控制台中,管理员可以使用远程控制远程管理它们、为其启动客户端策略以及查看客户端属性和硬件清单。
由于这些设备已加入 Active Directory 域,因此管理员不必手动将其批准为受信任的客户端,并从 Configuration Manager 控制台确认它们已获批准。
有关详细信息,请参阅 如何管理客户端。
若要安装交互式演示软件,管理员运行“部署软件向导”并配置所需的应用程序。 在向导的“ 用户体验 ”页上的“ Windows Embedded 设备的写入筛选器处理 ”部分中,他们接受默认选项,该选项选择“ 在截止时间或维护时段内提交更改” (需要重启) 。
管理员保留此默认写入筛选器选项,以确保应用程序在重启后保留,以便始终可供使用展台的访问者使用。 每日维护时段提供一个安全时段,在此期间,可以重启安装并进行任何更新。
管理员将应用程序部署到 Windows Embedded 设备集合。
有关详细信息,请参阅如何使用Configuration Manager部署应用程序。
若要配置 Endpoint Protection 的定义更新,管理员使用软件更新并运行“创建自动部署规则向导”。 选择“定义汇报”模板,使用适用于 Endpoint Protection 的设置预填充向导。
这些设置包括向导的“ 用户体验 ”页上的以下内容:
截止时间行为:未选择“软件安装检查”框。
Windows Embedded 设备的写入筛选器处理:在截止时间或维护时段内提交更改 (需要重启) 未选中检查框。
管理员保留这些默认设置。 结合此配置,这两个选项允许在白天将 Endpoint Protection 的任何软件更新定义安装在覆盖层中,而不是等待在维护时段安装并提交。 此配置最符合用于运行最新反恶意软件保护的计算机的公司安全策略。
注意
与应用程序的软件安装不同,Endpoint Protection 的软件更新定义可能会非常频繁地发生,甚至一天多次。 它们通常是小文件。 对于这些类型的与安全相关的部署,通常最好始终安装到覆盖层,而不是等到维护时段结束。 如果设备重启,Configuration Manager客户端将快速重新安装软件定义更新,因为此操作会启动评估检查,并且不会等到下一次计划的评估。
管理员为自动部署规则选择 Windows Embedded 设备集合。
有关详细信息,请参阅
步骤 3:在配置 Endpoint Protection 中配置 Configuration Manager Software 汇报 以将定义汇报传递到客户端计算机
管理员决定配置定期提交覆盖层上所有更改的维护任务。 此任务是支持软件更新定义部署,以减少每次设备重启时累积且必须再次安装的更新数。 在管理员的经验中,这有助于反恶意软件程序更高效地运行。
注意
如果嵌入式设备运行了支持提交更改的另一个管理任务,则这些软件更新定义将自动提交到映像。 例如,安装新版本的交互式演示软件也会提交软件更新定义的更改。 或者,每月安装一次在维护时段内安装的标准软件更新,也可能提交软件更新定义的更改。 但是,在这种情况下,如果标准软件更新未运行,并且交互式演示软件不太可能经常更新,则软件定义更新可能需要几个月才能自动提交到映像。
管理员首先创建一个除名称以外的任何设置的自定义任务序列。 运行“创建任务序列向导”:
在“创建新任务序列”页上,管理员选择“创建新的自定义任务序列”,然后单击“下一步”。
在“任务序列信息”页上,管理员输入“维护”任务,以便在嵌入设备上提交任务序列名称的更改,然后单击“下一步”。
在“摘要”页上,管理员选择“下一步”,然后完成向导。
然后,管理员将此自定义任务序列部署到 Windows Embedded 设备集合,并将计划配置为每月运行一次。 作为部署设置的一部分,选择“在截止时间或维护时段内提交更改” (需要重启) 检查框,以便在重启后保留更改。 若要配置此部署,管理员选择他们刚刚创建的自定义任务序列,然后在“主页”选项卡上的“部署”组中,单击“部署”以启动“部署软件向导”:
在“常规”页上,管理员选择 Windows Embedded 设备集合,然后单击“下一步”。
在“部署设置”页上,管理员选择“所需用途”,然后单击“下一步”。
在“计划”页上,管理员单击“新建”以在维护时段内指定每周计划,然后单击“下一步”。
管理员完成向导,无需进行任何进一步的更改。
有关详细信息,请参阅
管理任务序列以自动执行任务。
为使展台自动运行,管理员编写一个脚本来为设备配置以下设置:
使用没有密码的来宾帐户自动登录。
启动时自动运行交互式演示软件。
管理员使用包和程序将此脚本部署到 Windows Embedded 设备集合。 当管理员运行“部署软件向导”时,会再次选择“在截止时间或维护时段内提交更改 (需要重启) 检查”框,以便在重启后保留更改。
有关详细信息,请参阅 包和程序。
第二天早上,管理员检查 Windows Embedded 设备。 确认以下内容:
使用来宾帐户自动登录展台。
交互式演示软件正在运行。
Endpoint Protection 客户端已安装并具有最新的软件更新定义。
设备在维护时段内重启。
有关更多信息,请参阅:
管理员监视展台,并将其成功管理报告给经理。 因此,为游客中心订购了 20 个展台。
为避免手动安装Configuration Manager客户端(需要手动禁用然后启用写入筛选器),管理员确保订单包含自定义映像,该映像已包含Configuration Manager客户端的安装和站点分配。 此外,设备根据公司命名格式命名。
展台在打开前一周送到游客中心。 在此期间,展台已连接到网络,所有设备管理都是自动的,不需要本地管理员。 管理员确认展台是否按要求运行:
展台上的客户端完成站点分配,并从Active Directory 域服务下载受信任的根密钥。
展台上的客户端会自动添加到 Windows Embedded 设备集合中,并使用维护时段进行配置。
Endpoint Protection 客户端已安装,并具有反恶意软件保护的最新软件更新定义。
交互式演示软件会自动安装并运行,可供访问者使用。
在此初始设置之后,仅当访问者中心关闭时,更新可能需要的任何重启才会发生。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈