项目
06/10/2016

在 Windows Embedded 设备上部署和管理 Configuration Manager 客户端的示例方案

适用对象：System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

注意
本主题中的信息适用于 System Center 2012 Configuration Manager SP1 和更高版本以及 System Center 2012 R2 Configuration Manager 和更高版本。

注意
本主题出现在针对 System Center 2012 Configuration Manager 部署客户端指南和 Scenarios and Solutions Using System Center 2012 Configuration Manager（使用 System Center 2012 Configuration Manager 的方案和解决方案）指南中。

此方案演示如何能通过使用 System Center 2012 Configuration Manager SP1 管理启用了写入筛选器的 Windows Embedded 设备。如果你有不带 Service Pack 的配置管理器，配置管理器将无法自动禁用并重新启用写入筛选器，并且你必须在安装软件前后执行其他步骤来执行此操作。如果你的嵌入式设备不支持写入筛选器，则这些设备相当于标准配置管理器客户端，并且你不必在此方案中执行管理写入筛选器所需的步骤。

Coho Vineyard & Winery 正在开设一家访客中心，并对运行 Windows Embedded 来运行交互式演示文稿的网亭很感兴趣。新访客中心的建筑距离 IT 部门很远，因此能够以远程方式管理网亭很重要。除了安装运行交互式演示文稿的软件外，这些设备还必须运行最新的反恶意软件保护软件以符合公司安全策略。为了确保访客始终可使用交互式演示文稿，网亭必须一周运行 7 天，在访客中心开放时没有停机时间。

Coho Vineyard & Winery 已运行配置管理器 SP1 来管理其网络上的设备。配置管理器配置为运行 Endpoint Protection 并安装软件更新和应用程序。但是，由于 IT 团队以前未管理过 Windows Embedded 设备，因此配置管理器管理员 Jane 运行一个试点来管理位于公司接待大厅中的两个网亭。如果试点在远程管理这些设备方面取得成功，则访客中心网亭的采购订单就可得到批准。

为了管理这些启用了写入筛选器的 Windows Embedded 设备，Jane 执行以下步骤来安装配置管理器客户端，通过使用 Endpoint Protection 保护客户端，并安装交互式演示文稿软件。

Jane 阅读相关信息，了解 Windows Embedded 设备如何使用写入筛选器，以及配置管理器 SP1 如何能通过自动禁用然后重新启用写入筛选器使此操作更轻松，以保留软件安装。

请参阅 Configuration Manager 中的客户端部署简介主题中的将 Configuration Manager 客户端部署到 Windows Embedded 设备部分。

在安装配置管理器客户端之前，Jane 为 Windows Embedded 设备创建了一个基于查询的新设备集合。由于公司使用标准命名格式来标识其计算机，因此 Jane 可通过计算机名的前六个字母来唯一地标识 Windows Embedded 设备：WEMDVC。她使用以下 WQL 查询来创建此集合：select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%"。

此集合允许她使用与其他设备不同的配置选项来管理 Windows Embedded 设备。她将使用此集合来控制重启、使用客户端设置部署 Endpoint Protection，以及部署交互式演示文稿应用程序。

如何创建 Configuration Manager 中的集合

Jane 针对维护时段配置集合，以确保安装演示文稿应用程序和任何升级可能需要的重启不会在访客中心的开放时段进行。开放时段将为星期一至星期日 09:00 至 18:00。她将每天的维护时段配置为 18:30 至 06:00。

如何使用维护时段在配置管理器

然后，Jane 配置一个自定义设备客户端设置以通过为下列设置选择“是”来安装 Endpoint Protection 客户端，然后将此自定义客户端设置部署到 Windows Embedded 设备集合：

在客户端计算机上安装 Endpoint Protection 客户端
对于带有写入筛选器的 Windows Embedded 设备，提交 Endpoint Protection 客户端安装(需要重新启动)
允许安装 Endpoint Protection 客户端和在维护时段以外重启

安装配置管理器客户端之后，这些设置会安装 Endpoint Protection 客户端并确保其作为安装的一部分保留在操作系统中，而不是仅写入覆盖区。公司安全策略要求始终安装反恶意软件，并且 Jane 不希望面临网亭不受保护（即使在重启的情况下短时间不受保护）的风险。

注意
安装 Endpoint Protection 客户端所需进行的重启只会在访客中心运营之前设备的设置期间发生一次。与应用程序或软件定义更新的定期部署不同，下一次在同一设备上安装 Endpoint Protection 客户端将可能在公司升级到配置管理器的下一个版本时进行。

如何配置 Configuration Manager 中的 Endpoint Protection 中的步骤 5: 配置 Endpoint Protection 的自定义客户端设置

现在已设置了客户端配置设置，Jane 准备安装配置管理器客户端。她必须在 Windows Embedded 设备上手动禁用写入筛选器，然后才能安装客户端。她阅读网亭附带的 OEM 文档，并按照其说明执行操作来禁用写入筛选器。

Jane 重命名设备，使其使用公司标准命名格式，然后通过从包含客户端源文件的映射驱动器中使用以下命令运行 CCMSetup 来手动安装客户端：CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

此命令安装客户端，将客户端分配给具有 Intranet FQDN mpserver.cohovineyardandwinery.com 的管理点，并将客户端分配给名为 CO1 的主站点。

Jane 知道，客户端安装并将其状态发送回站点始终会花很长时间。因此，她等待一段时间，之后确认客户端已成功安装、分配到站点，并显示为她为 Windows Embedded 设备创建的集合中的客户端。

为了进一步确认，她在 Windows Embedded 设备上的控制面板中检查配置管理器的属性，并将其与站点管理的标准 Windows 计算机进行比较。例如，在“组件”选项卡上，“硬件清单代理”显示“已启用”，并且在“操作”选项卡上有 11 项可用操作，其中包括“应用程序部署评估周期”和“发现数据收集周期”。

Jane 确信客户端已成功安装、分配并且正在从管理点接收客户端策略，然后按照 OEM 的说明手动启用写入筛选器。

如何在 Configuration Manager 基于 Windows 的计算机上安装客户端

如何在 Configuration Manager 中将客户端分配给站点

既然配置管理器客户端已安装在 Windows Embedded 设备上，Jane 确认她可采用与管理标准 Windows 客户端相同的方式来管理它们。例如，她可以从配置管理器控制台中使用远程控制来管理它们、为它们启动客户端策略，以及查看客户端属性和硬件清单。

由于这些设备已加入到 Active Directory 域，因此她不必手动将它们批准为受信任客户端，并从配置管理器控制台中确认它们已得到批准。

如何在 Configuration Manager 中管理客户端

为了安装交互式演示文稿软件，Jane 运行“部署软件向导”并配置所需的应用程序。在向导的“用户体验”页上的“Windows Embedded 设备的写入筛选器处理”部分，她接受选择“在截止时间或在维护时段内提交更改(需要重启)”的默认选项。

Jane 为写入筛选器保留此默认选项以确保应用程序在重启后保留，以使其始终可供使用网亭的访客使用。在每天的维护时段中，可以安全地进行安装和任何更新的重启。

Jane 将应用程序部署到 Windows Embedded 设备集合。

如何在 Configuration Manager 中部署应用程序

为了配置 Endpoint Protection 的定义更新，Jane 使用软件更新并运行创建自动部署规则向导。她选择“定义更新”模板以使用适合于 Endpoint Protection 的设置预先填充向导。

这些设置包括向导的“用户体验”页上的下列设置：

截止时间行为：未选中“软件安装”复选框。
Windows Embedded 设备的写入筛选器处理：未选中“在截止时间或在维护时段内提交更改(需要重启)”复选框。

Jane 保留这些默认设置。这两个选项连同此配置一起，使得 Endpoint Protection 的任何软件更新可在白天安装到覆盖区，而不用等到维护时段安装和提交。此配置与计算机运行反恶意软件保护的公司安全策略最为符合。

与应用程序的软件安装不同，Endpoint Protection 的软件更新定义可能会非常频繁出现，甚至会一天出现多次。它们通常是很小的文件。对于这些类型的安全相关部署，始终安装到覆盖区（而不是等到维护时段再安装）通常可能很有利。如果设备重启，配置管理器客户端将快速重新安装软件定义更新，因为此操作将启动评估检查，而不会等到下一次计划的评估时进行。

Jane 为自动部署规则选择 Windows Embedded 设备集合。

步骤 3：配置 Configuration Manager 软件更新以将定义更新提供给如何配置 Configuration Manager 中的 Endpoint Protection 中的客户端计算机

Jane 决定配置一个定期在覆盖区上提交所有更改的维护任务。此任务是为了支持软件更新定义部署，减少累积并必须在每次设备重启时再次安装的更新的数量。在她的体验中，这可帮助反恶意软件程序更有效地运行。

如果嵌入式设备曾经运行另一个支持提交更改的管理任务，这些软件更新定义将自动提交到映像。例如，安装新版本的交互式演示文稿软件也会提交软件更新定义的更改。或者，每个月安装将在维护时段中安装的标准软件更新也会提交软件更新定义的更改。但是，在标准软件更新未运行并且交互式演示文稿软件不太可能非常频繁更新的此方案中，可能要几个月之后才会将软件定义更新自动提交到映像。

Jane 首先创建一个只有名称设置的自定义任务序列。她运行创建任务序列向导：

在“创建新的任务序列”页上，她选择“创建新的自定义任务序列”，然后单击“下一步”。
在“任务序列信息”页上，她输入“维护任务以在嵌入式设备上提交更改”作为任务序列名称，然后单击“下一步”。
在“摘要”页上，她选择“下一步”并完成向导。

然后，Jane 将此自定义任务序列部署到 Windows Embedded 设备集合，并配置计划以每个月运行。作为部署设置的一部分，她选中“在截止时间或在维护时段内提交更改(需要重启)”复选框，以便在重启后保留更改。为了配置此部署，她选择刚刚创建的自定义任务序列，然后在“主页”选项卡上的“部署”组中单击“部署”以启动部署软件向导：