在 Windows Embedded 裝置上部署及管理 Configuration Manager 用戶端的示範案例
適用於: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本,以及 System Center 2012 R2 Configuration Manager 或更新版本。 |
| 注意事項 |
|---|
本主題顯示於在 System Center 2012 Configuration Manager 中部署用戶端指南和 Scenarios and Solutions Using System Center 2012 Configuration Manager (使用 System Center 2012 Configuration Manager 的案例和解決方案)指南中。 |
本案例會示範如何使用 System Center 2012 Configuration Manager SP1 管理啟用寫入篩選器的 Windows Embedded 裝置。 如果您擁有不含 Service Pack 的 Configuration Manager,該 Configuration Manager 無法自動停用再重新啟用寫入篩選器,您必須在安裝軟體的前後採取額外的步驟來執行此動作。 如果您的內嵌裝置不支援寫入篩選器,它們會以標準的 Configuration Manager 用戶端運作,您不需要執行此案例中管理寫入篩選器所需的步驟。
Coho Vineyard & Winery 開闢了一個遊客中心,並有意在執行 Windows Embedded 的 kiosk 中執行互動式簡報。 新遊客中心大樓與 IT 部門有點距離,所以必須要可以從遠端管理 kiosk。 除了安裝執行互動式簡報的軟體之外,這些裝置必須執行最新的反惡意程式碼防護軟體,以符合公司的安全性原則。 若要確保隨時可為遊客提供互動式簡報,kiosk 必須於每週 7 天執行,而且在遊客中心開放時完全不停機。
Coho Vineyard & Winery 已執行 Configuration Manager SP1 管理網路上的裝置。Configuration Manager 已設定為執行 Endpoint Protection,並安裝軟體更新及應用程式。 不過,因為 IT 團隊先前不曾管理過 Windows Embedded 裝置,所以 Configuration Manager 系統管理員 Jane 做一項試驗,就是管理公司接待大廳中的兩部 kiosk。 如果這個從遠端管理這些裝置的試驗成功,就會核准遊客中心 kiosk 的訂單。
為了管理這些啟用寫入篩選器的 Windows Embedded 裝置,Jane 執行下列步驟來安裝 Configuration Manager 用戶端,使用 Endpoint Protection 保護用戶端,以及安裝互動式簡報軟體。
程序 |
參考 |
||
|---|---|---|---|
Jane 閱讀 Windows Embedded 裝置如何使用寫入篩選器,及 Configuration Manager SP1 如何藉由自動停用然後再重新啟用寫入篩選器,使持續安裝軟體更加容易。 |
介紹 Configuration Manager 中的用戶端部署主題中的將 Configuration Manager 用戶端部署至 Windows Embedded 裝置一節。 |
||
在安裝 Configuration Manager 用戶端之前,Jane 為 Windows Embedded 裝置建立一個新的查詢式裝置集合。 由於公司使用標準命名格式來識別電腦,因此 Jane 可以透過電腦名稱的前六個字母來唯一識別 Windows Embedded 裝置:WEMDVC。 她使用下列 WQL 查詢建立這個集合:select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" 此集合可讓她使用不同的設定選項,從其他裝置管理 Windows Embedded 裝置。 她將會使用此集合來控制重新啟動、以用戶端設定部署 Endpoint Protection,以及部署互動式簡報應用程式。 |
|||
Jane 設定一個維護期間的集合,可確保在遊客中心開放期間,安裝簡報應用程式和任何升級時不需要重新啟動裝置。 開放時間為星期一到星期六的 09:00 到 18:00。 她將維護期間設定為每天 18:30 到 06:00。 |
|||
Jane 接著設定了自訂裝置用戶端設定,針對下列設定選取 [是] 安裝 Endpoint Protection 用戶端,然後將此自訂用戶端設定部署至 Windows Embedded 裝置集合:
安裝 Configuration Manager 用戶端時,這些設定會安裝 Endpoint Protection 用戶端,並確保其保存於安裝的作業系統之中,而不是只寫入至重疊。 由於公司安全性原則要求一律要安裝反惡意程式碼軟體,所以 Jane 即使是在重新啟動的非常短時間內,也不想要冒著讓 kiosk 未受保護的風險。
|
|||
此時用戶端的組態設定已就緒,Jane 準備要安裝 Configuration Manager 用戶端。 她必須先手動停用 Windows Embedded 裝置上的寫入篩選器,才能安裝用戶端。 她閱讀了 kiosk 隨附的 OEM 文件,並依照指示停用寫入篩選器。 Jane 使用公司標準命名格式重新命名裝置,然後使用下列命令,從保留用戶端來源檔案的對應磁碟執行 CCMSetup,藉以手動安裝用戶端:CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 此命令會安裝用戶端,指派用戶端給內部網路 FQDN 為 mpserver.cohovineyardandwinery.com 的管理點,並將用戶端指派給名為 CO1 的主要站台。 Jane 知道需要一些時間來安裝用戶端,並將其狀態傳送回站台。 因此,她等待用戶端順利安裝,指派給站台,並在她為 Windows Embedded 裝置所建立的集合中顯示為用戶端後才進行確認。 為了再次確認,她在 Windows Embedded 裝置上的 [控制台] 中檢查 Configuration Manager 的內容,並將這些內容與站台所管理的標準 Windows 電腦進行比對。 例如,在 [元件] 索引標籤上,[硬體清查代理程式] 顯示為 [已啟用],而在 [動作] 索引標籤上有 11 個可用的動作,其中包括 [應用程式部署評估週期] 和 [探索資料收集週期]。 確認用戶端已順利安裝、指派,以及從管理點接收用戶端原則後,Jane 接著便依照 OEM 的指示,手動啟用寫入篩選器。 |
|||
現在 Configuration Manager 用戶端已安裝在 Windows Embedded 裝置上,Jane 確認她可以使用與管理標準 Windows 用戶端相同的方式來管理這些裝置。 例如,她可以從 Configuration Manager 主控台使用遠端控制從遠端管理這些裝置,為這些裝置起始用戶端原則,並且檢視用戶端內容和硬體清查。 由於這些裝置已加入至 Active Directory 網域,她不需要手動將這些裝置核准為受信任用戶端,以及從 Configuration Manager 主控台確認這些裝置已獲得核准。 |
|||
為了要安裝互動式簡報軟體,Jane 執行了 [部署軟體精靈],並設定必要的應用程式。 在精靈的 [使用者經驗] 頁面的 [Windows Embedded 裝置的寫入篩選器處理] 區段中,她接受選取 [在到期時或在維護期間認可變更 (需要重新啟動)] 的預設選項。 Jane 保留此寫入篩選器的預設選項,確保應用程式在重新啟動後仍然存在,以方便使用 kiosk 的遊客能隨時使用。 日常維護期間為安裝及任何更新時可能會發生的重新啟動狀況,提供了一段安全的期間。 Jane 將應用程式部署至 Windows Embedded 裝置集合。 |
|||
為了要設定 Endpoint Protection 定義更新,Jane 使用軟體更新並執行 [建立自動部署規則精靈]。 她選取 [定義更新] 範本,將適用於 Endpoint Protection 的設定預先填入精靈。 這些設定包括精靈之 [使用者經驗] 頁面的下列各項:
Jane 保留這些預設設定。 總之,這兩個選項與此設定允許於白天在重疊中安裝 Endpoint Protection 的任何軟體更新定義,並且不在維護期間等待安裝及認可。 此設定最符合讓電腦執行最新反惡意程式碼防護的公司安全性原則。
Jane 選取了自動部署規則的 Windows Embedded 裝置集合。 |
步驟 3:依照如何在中設定端點保護,將 Configuration Manager 軟體更新設定為傳遞定義更新至用戶端電腦 |
||
Jane 決定設定一個定期認可重疊上所有變更的維護工作。 此工作是在每一次裝置重新啟動時支援軟體更新定義部署,以降低累積且必須重新安裝的更新數目。 在她的經驗中,此工作可讓反惡意軟體程式更有效地執行。
Jane 先建立了一個只有名稱,沒有任何設定的自訂工作順序。 她執行了 [建立工作順序精靈]:
Jane 接著將此自訂工作順序部署至 Windows Embedded 裝置集合,並將排程設定為每個月執行。 進行部署設定時,她選取 [在到期時或在維護期間認可變更 (需要重新啟動)] 核取方塊,以便在重新啟動後保存變更。 為了要設定此部署,她選取剛才建立的自訂工作順序,然後在 [首頁] 索引標籤的 [部署] 群組中按一下 [部署],啟動 [部署軟體精靈]:
|
|||
為了讓 Kiosk 能夠自動執行,Jane 寫了一個指令碼來設定裝置的下列設定值:
Jane 使用套件和程式,將此指令碼部署至 Windows Embedded 裝置集合。 執行部署軟體精靈時,她再次選取 [在到期時或在維護期間認可變更 (需要重新啟動)] 核取方塊,在重新啟動後繼續變更。 |
|||
隔天早上,Jane 檢查 Windows Embedded 裝置。 她確認下列項目:
|
Jane 監控 Kiosk 並向主管報告能夠成功進行管理。 因此,遊客中心訂購了 20 台 Kiosk。
手動安裝 Configuration Manager 用戶端必須手動停用寫入篩選器後再啟用,為避免此作業,Jane 確認訂單包含自訂映像,該映像內含 Configuration Manager SP1 用戶端的安裝與站台指派。 此外,裝置的命名一律以公司命名格式為準。
遊客中心開幕前一週,Kiosk 送到了。 在這段時間,Kiosk 連線上網,所有裝置管理作業均自動執行,不需要現場管理員操作。 Jane 確認 Kiosk 能夠按照需求執行功能:
Kiosk 上的用戶端可以完成站台指派,並且從 Active Directory 網域服務下載信任的根金鑰。
Kiosk 上的用戶端會自動新增至 Windows Embedded 裝置集合,並且完成維護期間設定。
已安裝 Endpoint Protection 用戶端,且裝有最新的反惡意程式防護軟體更新定義。
已安裝互動式簡報軟體並可自動執行,隨時可供遊客使用。
初始設定完成後,如必須重新啟動以進行更新,只會在遊客中心關閉後進行。