如何在 Configuration Manager 中管理客户端
适用于: Configuration Manager(current branch)
当Configuration Manager客户端安装在设备上并成功分配给站点时,可以在“设备”节点的“资产和符合性”工作区中,以及“设备集合”节点中的一个或多个集合中看到该设备。 选择设备或集合,然后运行管理操作。 但是,还有其他管理客户端的方法,这些方法可能涉及控制台中的其他工作区或控制台外部的任务。
注意
如果安装 Configuration Manager 客户端,但尚未成功分配到站点,则它可能不会显示在控制台中。 客户端分配给网站后,更新集合成员身份,然后刷新控制台视图。
当未安装 Configuration Manager 客户端时,设备也可以显示在控制台中。 如果站点发现设备,但未安装和分配客户端,则会发生此行为。
使用 Exchange Server 连接器或本地 MDM 管理的移动设备不会安装 Configuration Manager 客户端。
若要从控制台管理设备,请使用“设备”节点中的“客户端”列来确定客户端是否已安装。
从 “设备” 节点管理客户端
根据设备类型,其中某些选项可能不可用。
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。
选择一个或多个设备,然后从功能区中选择其中一个客户端管理任务。 还可以右键单击设备。
导入用户设备相关性
配置用户和设备之间的关联,以便有效地向用户部署软件。
有关详细信息,请参阅 使用用户设备相关性链接用户和设备。
导入计算机信息
启动“导入计算机信息向导”,将新的计算机信息导入Configuration Manager数据库中。 可以使用文件导入多台计算机,也可以为单台计算机指定信息。
添加所选项
提供以下选项:
将所选项添加到现有设备集合:打开 “选择集合 ”对话框。 选择要将此设备添加到的集合。 设备通过使用 直接 成员身份规则包含在此集合中。
将所选项添加到新的设备集合:打开 “创建设备集合向导” ,可在其中创建新集合。 所选集合通过使用 直接 成员身份规则包含在此集合中。
有关详细信息,请参阅 如何创建集合。
安装客户端
打开 “安装客户端向导”。 此向导使用客户端请求安装在所选设备上安装或重新安装 Configuration Manager 客户端。
提示
安装 Configuration Manager 客户端有多种不同方法。 尽管客户端请求向导从控制台提供方便的客户端安装方法,但此方法具有许多依赖项,并不适合所有环境。 有关依赖项的详细信息,请参阅将 客户端部署到 Windows 计算机的先决条件。 有关其他客户端安装方法的详细信息,请参阅 客户端安装方法。
有关详细信息,请参阅如何使用客户端请求安装Configuration Manager客户端。
运行脚本
打开 “运行脚本 ”向导,以在所选设备上运行 PowerShell 脚本。
有关详细信息,请参阅 创建和运行 PowerShell 脚本。
安装应用程序
将应用程序实时安装到设备。 此功能有助于减少对每个应用程序单独集合的需求。
从版本 2111 开始,为应用组选择 “安装应用程序组 ”操作。
有关详细信息,请参阅 为设备安装应用程序。
重新分配站点
将一个或多个客户端(包括托管移动设备)重新分配到层次结构中的另一个主站点。 可以单独重新分配客户端,也可以选择多个客户端来批量重新分配它们。
客户端设置 - 结果客户端设置
将多个客户端设置部署到同一设备时,设置的优先级和组合很复杂。 使用此选项可以查看部署到此设备的客户端设置的结果集。
有关详细信息,请参阅 如何配置客户端设置。
开始
运行 资源资源管理器 以查看 Windows 客户端中的硬件和软件清单信息。 有关详细信息,请参阅以下文章:
使用 远程控制、 远程协助或 远程桌面客户端远程管理设备。 有关详细信息,请参阅 如何远程管理 Windows 客户端计算机。
批准
当客户端使用 HTTP 和自签名证书与站点系统通信时,必须批准这些客户端以将其标识为受信任的计算机。 默认情况下,站点配置会自动批准来自同一 Active Directory 林、受信任林和连接的Microsoft Entra租户的客户端。 此默认行为意味着无需手动批准每个客户端。 从你信任的不受信任的林以及你信任的任何其他未批准的计算机中手动批准工作组计算机或客户端。
重要
尽管某些管理功能可能适用于未经批准的客户端,但对于Configuration Manager,这是一种不支持的方案。
无需批准始终使用 HTTPS 与站点系统通信的客户端,或者在使用 HTTP 与站点系统通信时使用 PKI 证书的客户端。 这些客户端使用 PKI 证书建立信任。
阻止或取消阻止
阻止不再信任的客户端。 阻止会阻止客户端接收策略,并阻止站点系统与客户端通信。
重要
阻止客户端只会阻止从客户端Configuration Manager站点系统的通信。 它不会阻止与其他设备的通信。 当客户端使用 HTTP 而不是 HTTPS 与站点系统通信时,存在一些安全限制。
还可以取消阻止被阻止的客户端。
有关详细信息,请参阅 确定是否阻止客户端。
清除所需的 PXE 部署
可以通过清除分配给Configuration Manager集合或计算机的最后一个 PXE 部署的状态来重新部署所需的 PXE 部署。 此操作将重置该部署的状态,并重新安装最新所需的部署。
有关详细信息,请参阅 使用 PXE 通过网络部署 Windows。
客户端通知
有关详细信息,请参阅 客户端通知。
终结点保护
有关详细信息,请参阅 客户端通知。
编辑主要用户
查看过去 90 天内此设备的用户,或指定此设备的主要用户。
有关详细信息,请参阅 使用用户设备相关性链接用户和设备。
擦除移动设备
可以擦除支持擦除命令的移动设备。 此操作将永久删除移动设备上的所有数据,包括个人设置和个人数据。 通常,此操作会将移动设备重置为出厂默认设置。 当移动设备不再受信任时将其擦除。 例如,如果设备丢失或被盗。
提示
有关移动设备如何处理远程擦除命令的详细信息,请查看制造商的文档。
在移动设备收到擦除命令之前,通常会有一个延迟:
如果移动设备由 Configuration Manager 注册,则客户端在下载其客户端策略时会收到 命令。
如果移动设备由 Exchange Server 连接器管理,则会在与 Exchange 同步时接收 命令。
若要监视设备何时收到擦除命令,请使用 “擦除状态” 列。 在设备向Configuration Manager发送擦除确认之前,你可以取消擦除命令。
停用移动设备
只有本地 MDM 注册的移动设备才支持 停用 选项。
有关详细信息,请参阅 通过远程擦除、远程锁定或密码重置帮助保护数据。
更改所有权
如果设备未加入域且未安装Configuration Manager客户端,请使用此选项将所有权更改为“公司”或“个人”。
可以在应用程序要求中使用此值来控制部署,并控制从用户设备收集的清单量。
可能需要通过右键单击任何列标题并选择它,将 “设备所有者” 列添加到视图中。
Delete
警告
如果要卸载Configuration Manager客户端或将其从集合中删除,请不要删除客户端。
“删除”操作手动从 Configuration Manager 数据库中删除客户端记录。 仅使用此操作来排查问题。 如果删除对象,但客户端仍已安装并与站点通信,检测信号发现将重新创建客户端记录。 尽管客户端历史记录和任何以前的关联丢失,但它在Configuration Manager控制台中重新出现。
注意
删除Configuration Manager注册的移动设备客户端时,此操作也会吊销颁发的 PKI 证书。 然后,管理点会拒绝此证书,即使 IIS 不检查证书吊销列表 (CRL) 也是如此。
删除这些客户端时,不会吊销移动设备旧版客户端上的证书。
若要卸载客户端,请参阅卸载Configuration Manager客户端。
若要将客户端分配到新的主站点,请参阅 如何将客户端分配到站点。
若要从集合中删除客户端,请重新配置集合属性。 有关详细信息,请参阅 如何管理集合。
刷新
使用数据库中的最新数据刷新控制台视图。 例如,如果设备显示在发现列表中,但未显示为已安装。 安装客户端并确保将其分配给站点后,选择“ 刷新”。
属性
查看针对客户端的发现数据和部署。
切换到“ 变量 ”选项卡,配置任务序列用于将 OS 部署到设备的变量。 有关详细信息,请参阅 为设备和集合创建任务序列变量。
从版本 2111 开始,切换到“ 自定义属性 ”选项卡,在设备上手动设置自定义属性以用于报告或创建集合。 有关详细信息,请参阅 设备的自定义属性。
从 “设备集合” 节点管理客户端
许多可用于“ 设备” 节点中的设备的任务也可用于集合。 控制台会自动将操作应用于集合中的所有合格设备。 对整个集合的此操作会生成更多网络数据包并增加站点服务器上的 CPU 使用率。
在运行集合级任务之前,请考虑以下问题。 启动后,无法从控制台停止任务。
- 集合中有多少台设备?
- 设备是否通过低带宽网络连接进行连接?
- 所有设备需要多少时间才能完成此任务?
有关详细信息,请参阅 如何管理集合。
重启客户端
使用 Configuration Manager 控制台标识需要重启的客户端。 然后使用客户端通知操作重启它们。
提示
启用自动客户端升级,使客户端保持最新状态,工作量更少。 有关详细信息,请参阅 关于自动客户端升级。
若要识别等待重启的设备,请转到Configuration Manager控制台中的“资产和符合性”工作区,然后选择“设备”节点。 然后,在名为“ 挂起重启”的新列中,在详细信息窗格中查看每个设备的状态。 每个设备都有以下一个或多个值:
- 否:没有等待重启
- Configuration Manager:此值来自客户端重新启动协调器组件 (RebootCoordinator.log)
-
文件重命名:此值来自 Windows 报告挂起的文件重命名操作 (
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, PendingFileRenameOperations
) -
Windows 更新:此值来自 Windows 更新 代理报告一个或多个更新需要挂起的重启 (
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired
) -
添加或删除功能:此值来自基于 Windows 组件的服务,报告添加或删除 Windows 功能需要重启 (
HKLM\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Reboot Pending
)
创建客户端通知以重启设备
- 在控制台的“ 设备集合 ”节点的集合中选择要重启的设备。
- 在功能区中,选择“ 客户端通知”,然后选择“ 重启”。 此时会打开一个有关重启的信息窗口。 选择“ 确定” 以确认重启请求。
客户端收到通知时, 将打开软件中心 通知窗口,通知用户重启。 默认情况下,重启在 90 分钟后发生。 可以通过配置 客户端设置来修改重启时间。 重启行为的设置位于默认设置的“ 计算机重启 ”选项卡上。
配置客户端内容缓存
客户端缓存存储客户端何时安装应用程序和程序的临时文件。 软件更新也使用客户端缓存,但无论大小设置如何,始终尝试下载到缓存。 在手动安装客户端、使用客户端请求安装时或在安装后配置缓存设置,例如大小和位置。
有关详细信息,请参阅 配置客户端内容缓存。
卸载客户端
可以通过将CCMSetup.exe与 属性一起使用/Uninstall
,从计算机中卸载Configuration Manager客户端软件。 在单个计算机上从命令提示符运行 CCMSetup.exe,或部署包以卸载计算机集合的客户端。
注意
无法从移动设备卸载 Configuration Manager 客户端。 如果必须从移动设备中删除Configuration Manager客户端,则必须擦除设备,这将删除移动设备上的所有数据。
以管理员身份打开 Windows 命令提示符。 将文件夹更改为 CCMSetup.exe 所在的位置,例如:
cd %windir%\ccmsetup
运行以下命令:
CCMSetup.exe /uninstall
提示
卸载过程不会在屏幕上显示任何结果。 若要验证客户端是否已成功卸载,请参阅以下日志文件: %windir%\ccmsetup\logs\CCMSetup.log
如果需要等待卸载过程完成,然后再执行其他操作,请在 PowerShell 中运行 Wait-Process CCMSetup
。 此命令可以暂停脚本,直到 CCMSetup 过程完成。
从版本 2111 开始,卸载客户端时,也会删除客户端启动(ccmsetup.msi 存在)。
管理冲突记录
Configuration Manager使用硬件标识符来尝试标识可能重复的客户端,并提醒你注意有冲突的记录。 例如,如果重新安装计算机,硬件标识符将相同,但Configuration Manager使用的 GUID 可能会更改。
Configuration Manager使用计算机帐户Windows 身份验证或来自受信任源的 PKI 证书自动解决冲突。 当Configuration Manager无法解决重复硬件标识符的冲突时,层次结构设置将确定行为。
更改用于管理冲突记录的层次结构设置
在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。
在功能区中,选择“层次结构设置”。
切换到“ 客户端审批和冲突记录 ”选项卡,然后选择以下选项之一:
- 自动解决冲突记录
- 手动解决冲突记录
手动解决冲突记录
在Configuration Manager控制台中,转到“监视”工作区,展开“系统状态”,然后选择“冲突记录”节点。
选择一个或多个冲突记录,然后选择 “冲突记录”。
选择下列选项之一:
合并:将新检测到的记录与现有客户端记录合并。
新建:为冲突客户端记录创建新记录。
阻止:为冲突客户端记录创建新记录,但将其标记为已阻止。
管理重复的硬件标识符
可以提供Configuration Manager忽略 PXE 启动和客户端注册的硬件标识符列表。 此列表有助于解决两个常见问题:
许多新设备不包含板载以太网端口。 技术人员使用 USB 转以太网适配器建立有线连接,以便进行 OS 部署。 由于成本和一般可用性,这些适配器通常是共享的。 站点使用此适配器的 MAC 地址来标识设备。 因此,如果不在每个部署之间执行其他管理员操作,重用适配器就会出现问题。 若要在此方案中重用适配器,请排除其 MAC 地址。
虽然 SMBIOS 属性应是唯一的,但某些专业硬件设备具有重复的标识符。 排除此重复标识符,并依赖于每个设备的唯一 MAC 地址。
使用以下过程为Configuration Manager添加要忽略的硬件标识符:
在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。
在功能区的“ 主页 ”选项卡上的“ 网站” 组中,选择 “层次结构设置”。
切换到“客户端审批和冲突记录”选项卡。若要添加新的硬件标识符,请在“重复硬件标识符”部分选择“添加”。
用于重复硬件 ID 的 PowerShell
可以使用以下 PowerShell cmdlet 自动管理重复硬件标识符:
- Get-CMDuplicateHardwareIdGuid
- New-CMDuplicateHardwareIdGuid
- Remove-CMDuplicateHardwareIdGuid
- Get-CMDuplicateHardwareIdMacAddress
- New-CMDuplicateHardwareIdMacAddress
- Remove-CMDuplicateHardwareIdMacAddress
启动策略检索
Configuration Manager客户端按配置为客户端设置的计划下载其客户端策略。 还可以从客户端启动按需策略检索。 例如,用于故障排除或测试情况。
使用客户端通知启动客户端策略检索
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”。
选择要下载策略的设备。 在功能区的“ 主页 ”选项卡上的“ 设备 ”组中,选择“ 客户端通知”,然后选择“ 下载计算机策略”。
注意
还可以使用客户端通知为集合中的所有设备启动策略检索。
从Configuration Manager客户端控制面板启动客户端策略检索
打开计算机上的Configuration Manager控制面板。
切换到“ 操作” 选项卡。选择“ 计算机策略检索 & 评估周期 ”启动计算机策略,然后选择“ 立即运行”。
选择“ 确定” 以确认提示。
对任何其他操作重复上述步骤。 例如, 用户策略检索 & 用户客户端设置的评估周期。
使用支持中心客户端工具启动客户端策略检索
使用支持中心客户端工具请求和查看客户端策略。 有关详细信息,请参阅 支持中心参考。
通过脚本启动客户端策略检索
打开脚本编辑器,例如记事本或Windows PowerShell ISE。
将以下示例 PowerShell 代码 复制并插入文件中:
$trigger = "{00000000-0000-0000-0000-000000000021}" Invoke-WmiMethod -Namespace root\ccm -Class sms_client -Name TriggerSchedule $trigger
提示
有关计划 ID 的详细信息,请参阅 消息 ID。
使用扩展名保存文件
.ps1
。在客户端上运行脚本。