分享方式:


在 Windows Embedded 裝置上部署和管理 Configuration Manager 用戶端的範例案例

適用於:Configuration Manager (目前的分支)

此案例示範如何使用 Configuration Manager 來管理已啟用寫入篩選器的 Windows Embedded 裝置。如果您的內嵌裝置不支援寫入篩選器,它們的行為會是標準 Configuration Manager 用戶端,而且這些程式不適用。

Coho Vineyard & Winery 正在開啟訪客中心,而且需要執行 Windows Embedded 的 kiosk 來執行互動式簡報。 新訪客中心的建築物不靠近IT部門,因此必須從遠端管理 Kiosk。 除了執行簡報的軟體之外,這些裝置還必須執行最新的反惡意代碼保護軟體,才能符合公司的安全策略。 kiosk 必須每周執行 7 天,而在訪客中心開啟時不會停機。

Coho 已執行 Configuration Manager 來管理其網路上的裝置。 Configuration Manager 設定為執行 Endpoint Protection,並安裝軟體更新和應用程式。 不過,由於 IT 小組之前未管理過 Windows Embedded 裝置,Configuration Manager 系統管理員會執行試驗,以在接收大廳管理兩個 Kiosk。

若要管理啟用寫入篩選器的這些 Windows Embedded 裝置,Configuration Manager 系統管理員會執行下列步驟來安裝 Configuration Manager 用戶端、使用 Endpoint Protection 保護用戶端,以及安裝互動式簡報軟體。

  1. Configuration Manager 系統管理員 (管理員) 會讀取 Windows Embedded 裝置如何使用寫入篩選器,以及 Configuration Manager 如何藉由自動停用寫入器篩選器,然後重新啟用寫入器篩選來保存軟體安裝,讓此作業更容易。

    如需詳細資訊,請參閱 規劃將用戶端部署至 Windows Embedded 裝置

  2. 在 管理員 安裝 Configuration Manager 用戶端之前,管理員 會為 Windows Embedded 裝置建立新的查詢型裝置集合。 因為公司使用標準命名格式來識別其計算機,所以 管理員 可以透過計算機名稱的前六個字母來唯一識別 Windows Embedded 裝置:WEMDVC。 管理員 使用下列 WQL 查詢來建立此集合:從 SMS_R_System 選取 SMS_R_System.NetbiosName,其中SMS_R_System.NetbiosName,例如 “WEMDVC%”

    此集合可讓 管理員 使用與其他裝置不同的設定選項來管理 Windows Embedded 裝置。 管理員 將使用此集合來控制重新啟動、使用用戶端設定部署 Endpoint Protection,以及部署互動式簡報應用程式。

    請參閱 如何建立集合

  3. 管理員 設定維護期間的集合,以確保安裝簡報應用程式可能需要重新啟動,而且在訪客中心的開啟期間不會進行任何升級。 開啟時間會是 09:00 到 18:00,星期一到星期日。 管理員 設定每天 18:30 到 06:00 的維護期間。

  4. 如需詳細資訊,請 參閱如何使用維護時段

  5. 然後,管理員 針對下列設定選取 [],設定自定義裝置用戶端設定以安裝 Endpoint Protection 用戶端,然後將此自定義用戶端設定部署至 Windows Embedded 裝置集合:

    • 在用戶端電腦上安裝 Endpoint Protection 用戶端

    • 針對具有寫入篩選器的 Windows Embedded 裝置,請認可 Endpoint Protection 用戶端安裝 (需要重新啟動)

    • 允許在維護期間外執行 Endpoint Protection 用戶端安裝和重新啟動

      安裝 Configuration Manager 用戶端時,這些設定會安裝 Endpoint Protection 用戶端,並確保它在安裝時會保存在操作系統中,而不是只寫入重疊。 公司安全策略要求一律安裝反惡意代碼軟體,且 管理員 不想要在 kiosk 重新啟動時,執行一段時間未受保護的風險。

    注意事項

    安裝 Endpoint Protection 用戶端所需的重新啟動是一次性的,會在裝置的安裝期間和訪客中心運作之前發生。 不同於應用程式或軟體定義更新的定期部署,下次在相同裝置上安裝 Endpoint Protection 用戶端時,可能是當公司升級至下一個版本的 Configuration Manager 時。

    如需詳細資訊, 請參閱設定 Endpoint Protection

  6. 現在已備妥用戶端的組態設定,管理員 準備安裝 Configuration Manager 用戶端。 在 管理員 安裝用戶端之前,他們必須手動停用 Windows Embedded 裝置上的寫入篩選器。 管理員 會讀取 kiosk 隨附的 OEM 檔,並遵循其指示來停用寫入篩選器。

    管理員 重新命名裝置,使其使用公司標準命名格式,然後從保存用戶端來源檔案的對應磁碟驅動器中執行 CCMSetup 並使用下列命令手動安裝用戶端: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

    此命令會安裝用戶端、將用戶端指派給內部網路 FQDN 為 mpserver.cohovineyardandwinery.com 的管理點,並將用戶端指派給名為 CO1 的主要月臺。

    管理員 知道用戶端需要一些時間才能安裝並傳回其狀態至月臺。 因此,管理員 在確認用戶端成功安裝、指派給月臺,並顯示為他們為 Windows Embedded 裝置所建立之集合中的用戶端之前,先等候。

    為了進一步確認,管理員 會檢查裝置上 控制台 中 Configuration Manager的屬性,並將其與月臺管理的標準 Windows 計算機進行比較。 例如,在 [ 元件] 索引 卷標上, [硬體清查代理 程式] 會顯示 [ 已啟用],而在 [ 動作 ] 索引卷標上,有 11 個可用的動作,包括應用程式 部署評估週期探索數據收集週期

    確信用戶端已成功安裝、指派及接收來自管理點的客戶端原則,管理員 接著依照 OEM 的指示手動啟用寫入篩選器。

    如需詳細資訊,請參閱:

  7. 現在,Configuration Manager 用戶端已安裝在 Windows Embedded 裝置上,管理員 確認其管理方式與管理標準 Windows 用戶端的方式相同。 例如,從 Configuration Manager 主控台,管理員 可以使用遠端控制從遠端管理它們、為其起始客戶端原則,以及檢視客戶端屬性和硬體清查。

    因為這些裝置已加入 Active Directory 網域,所以 管理員 不需要手動核准它們作為信任的用戶端,並從 Configuration Manager 控制台確認它們已核准。

    如需詳細資訊,請 參閱如何管理用戶端

  8. 若要安裝互動式簡報軟體,管理員 執行部署軟體精靈並設定必要的應用程式。 在精靈的 [ 用戶體驗 ] 頁面的 [為 Windows Embedded 裝置撰寫篩選器處理 ] 區段中,他們會接受預設選項,該選項會選取 [ 在期限或維護期間認可變更 (需要重新啟動)

    管理員 保留寫入篩選器的這個預設選項,以確保應用程式會在重新啟動之後持續存在,讓訪客一律可以使用 kiosk。 每日維護期間提供安全期間,期間內會重新啟動以進行安裝,而且可能會發生任何更新。

    管理員 會將應用程式部署到 Windows Embedded 裝置集合。

    如需詳細資訊,請參閱如何使用 Configuration Manager 部署應用程式

  9. 若要設定 Endpoint Protection 的定義更新,管理員 會使用軟體更新,並執行 [建立自動部署規則精靈]。 他們會選取定義 匯報 範本,將適用於 Endpoint Protection 的設定預先填入精靈。

    這些設定在精靈的 [ 用戶體驗 ] 頁面上包含下列專案:

    • 期限行為:未選取 [ 軟體安裝 ] 複選框。

    • Windows Embedded 裝置的寫入篩選處理:未選取 [認可 在期限或維護期間變更 (需要重新啟動) 複選框。

      管理員 保留這些預設設定。 結合此設定的這兩個選項,可讓 Endpoint Protection 的任何軟體更新定義在一天之中安裝在重疊中,而不會等候在維護期間安裝並認可。 此設定最符合公司安全策略,讓計算機執行最新的反惡意代碼防護。

      注意事項

      不同於應用程式的軟體安裝,Endpoint Protection 的軟體更新定義可能會非常頻繁地發生,甚至一天發生多次。 它們通常是小型檔案。 對於這些類型的安全性相關部署,一律安裝到重疊通常會有説明,而不是等到維護期間。 如果裝置重新啟動,Configuration Manager 用戶端會快速重新安裝軟體定義更新,因為此動作會起始評估檢查,而且不會等到下一次排程的評估。

      管理員 會選取自動部署規則的 Windows Embedded 裝置集合。

      如需詳細資訊,請參閱
      步驟 3:設定 Configuration Manager Software 匯報,以在設定 Endpoint Protection 中將定義 匯報 傳遞至用戶端電腦

  10. 管理員 決定設定定期認可重疊上所有變更的維護工作。 這項工作是支援軟體更新定義部署,以減少每次裝置重新啟動時累積且必須重新安裝的更新數目。 在 管理員 體驗中,這可協助反惡意代碼程式更有效率地執行。

    注意事項

    如果內嵌裝置執行另一個支援認可變更的管理工作,這些軟體更新定義會自動認可至映像。 例如,安裝新版本的互動式簡報軟體也會認可軟體更新定義的變更。 或者,每個月在維護期間安裝的標準軟體更新,也可以認可軟體更新定義的變更。 不過,在此案例中,標準軟體更新不會執行,且互動式簡報軟體不太可能經常更新,可能需要幾個月的時間,軟體定義更新才會自動認可至映像。

    管理員 會先建立沒有名稱以外的設定的自定義工作順序。 他們會執行 [建立工作順序精靈]:

    1. 在 [建立新的工作順序] 頁面上,管理員 選取 [建立新的自定義工作順序],然後按 [下一步]

    2. 在 [工作順序資訊] 頁面上,管理員 輸入維護工作以認可內嵌裝置上的工作順序名稱變更,然後按 [下一步]

    3. 在 [摘要] 頁面上,管理員 選取 [下一步],然後完成精靈。

      然後,管理員 將此自定義工作順序部署至 Windows Embedded 裝置集合,並設定每個月執行的排程。 在部署設定中,他們會選取 [ 在期限或維護期間認可變更] (需要重新啟動) 複選框,以在重新啟動之後保存變更。 若要設定此部署,管理員 會選取他們剛才建立的自定義工作順序,然後在 [首頁] 索引卷標的 [部署] 群組中,按兩下 [部署] 以啟動 [部署軟體精靈]:

    4. 在 [一般] 頁面上,管理員 選取 Windows Embedded 裝置集合,然後按 [下一步]

    5. 在 [部署設定] 頁面上,管理員 選取 [必要用途],然後按 [下一步]

    6. 在 [排程] 頁面上,管理員 按兩下 [新增] 以指定維護期間的每周排程,然後按 [下一步]

    7. 此 管理員 會完成精靈,而不會進行任何進一步的變更。

      如需詳細資訊,請參閱
      管理工作順序以自動化工作

  11. 若要讓 kiosk 自動執行,管理員 寫腳本來設定下列設定的裝置:

    • 使用沒有密碼的來賓帳戶自動登入。

    • 啟動時自動執行互動式簡報軟體。

      管理員 會使用套件和程式,將此腳本部署至 Windows Embedded 裝置集合。 當 管理員 執行 [部署軟體精靈] 時,他們會再次選取 [在期限或維護期間認可變更], (需要重新啟動) 複選框,以在重新啟動之後保存變更。

      如需詳細資訊,請參閱 套件和程式

  12. 下一個上午,管理員 會檢查 Windows Embedded 裝置。 他們會確認下列事項:

  13. 管理員 會監視 kiosk,並將其成功管理報告給其管理員。 因此,會為訪客中心排序 20 個 kiosk。

    為了避免手動安裝 Configuration Manager 用戶端,這需要手動停用,然後啟用寫入篩選器,管理員 確保訂單包含自定義映像,該映射已包含 Configuration Manager 客戶端的安裝和月臺指派。 此外,裝置會根據公司命名格式來命名。

    kiosk 會在開啟前一周傳遞至訪客中心。 在此期間,Kiosk 會連線到網路、自動管理所有裝置,而且不需要本機系統管理員。 管理員 確認 kiosk 會視需要運作:

    • kiosk 上的用戶端會完成月臺指派,並從 Active Directory 網域服務 下載受信任的根密鑰。

    • Kiosk 上的用戶端會自動新增至 Windows Embedded 裝置集合,並使用維護期間進行設定。

    • 已安裝 Endpoint Protection 用戶端,並具有最新的反惡意代碼軟體保護軟體更新定義。

    • 互動式簡報軟體會自動安裝並執行,可供訪客使用。

  14. 在此初始設定之後,只有當訪客中心關閉時,才會發生更新可能需要的任何重新啟動。