• 發行項

頻外管理在 Configuration Manager 簡介

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

中的頻外管理 System Center 2012 Configuration Manager 已設定的 Intel vPro 晶片的電腦和 Intel 主動式管理技術 (Intel AMT) 的版本提供強大的管理控制的 Configuration Manager 支援。

頻外管理可讓電腦關閉、 處於休眠狀態或反應遲緩透過作業系統時連接到電腦的金額管理控制器的系統管理使用者。相反地,在頻外管理是傳統方法 Configuration Manager 與其前身使用,藉此在受管理的電腦上執行完整的作業系統中的代理程式並管理控制站完成工作的管理代理程式與通訊。

頻外管理補充-頻外管理。即使在頻外管理支援廣泛的作業因為其環境是完整的作業系統,但是如果作業系統不存在或不會運作,可能無法正常運作中頻外管理。在這些情況下,使用補充頻外管理功能的系統管理員的使用者可以管理這些電腦而不需要本機電腦的存取權。

頻外管理工作包括下列:

  • 電源 (例如在上班時間之外的電腦上維護) 的一或多部電腦上。

  • 關閉 (例如作業系統停止回應) 的一或多部電腦。

  • 重新啟動 nonfunctioning 電腦或從本機連線的裝置或已知的良好開機映像檔開機。

  • 經由從位於網路上的開機映像檔開機,或使用 PXE 伺服器,來重新製作電腦映像。

  • 重新設定所選的電腦 (和略過 BIOS 密碼如果這支援 BIOS 製造商) 上的 BIOS 設定。

  • 開機至命令型作業系統來執行命令、修復工具或診斷應用程式 (例如升級韌體或執行磁碟修復工具)。

  • 設定排定的軟體部署到之前的電腦執行喚醒電腦。

未驗證、 有線連線,支援這些超出頻外管理工作和已驗證的 802.1 X 有線連線及無線連線。頻外管理也有下列的額外功能:

  • 稽核 AMT 只有選定的功能。

  • 支援不同的電源狀態,以節省電源消耗並且遵守 IT 原則。

  • AMT,其中最高達 4096 位元組中的 ASCII 字元都可以儲存在管理控制器的靜態隨機存取記憶體 (NVRAM) 中儲存的資料。

例如案例如何出的頻外管理可使用,請參閱 頻外管理 Configuration Manager 中使用的範例案例

某些前面的工作都是從 Configuration Manager 而有些則需要執行附帶的頻外管理主控台的主控台 Configuration Manager。頻外管理使用 Windows 遠端管理技術 (WS MAN) 連接到 AMT 管理控制器的電腦上。

System_CAPS_note注意事項

頻外管理不支援網際網路式用戶端管理與網際網路上管理的用戶端。Configuration Manager 已封鎖或由未經核准的用戶端 Configuration Manager 無法管理超出範圍。

下表摘要列出的選項和功能中提供的頻外管理 Configuration Manager。

功能或案例

詳細資訊

安全性為基礎的管理

頻外管理整合內部的公開金鑰基礎結構 (PKI) 藉由使用下列憑證:

  • 佈建憑證安裝在不足的寬線服務點可讓頻外管理設定的電腦上。

  • Web 伺服器憑證安裝在進行安全通訊與 out 頻外服務端點的佈建程序期間的註冊點上。

  • 如此通訊會進行驗證和加密使用傳輸層安全性 (TLS) 管理超出每一部電腦安裝 web 伺服器憑證。

  • 用戶端憑證,如果所需的 802.1 X 驗證。

如需這些憑證的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

系統管理員必須由之前他們就可以使用不足的頻外管理主控台來管理電腦使用 Kerberos 驗證。

頻外管理活動又錄製可稽核的金額為基礎的電腦上使用稽核記錄檔。

支援 802.1 X 驗證有線的網路和無線網路:

  • 已驗證的有線的 802.1 X 支援: TTLS/Eap-mschapv2 或 PEAPv0/Eap-mschapv2 或 EAP-TLS 用戶端驗證選項。

  • 無線支援:WPA 與 WPA2 安全性 AES 或 TKIP 加密、 TTLS/Eap-mschapv2 或 PEAPv0/Eap-mschapv2 或 EAP-TLS 用戶端驗證選項。

AMT 佈建

啟用及設定執行 Configuration Manager 用戶端 Intel 金額為基礎的電腦。

增強的清查資料

提供從 AMT 晶片、 資產標籤、 BIOS UUID、 電源狀態、 處理器、 記憶體和磁碟機資訊等的硬體清查資料。

識別 AMT 管理控制器

識別電腦以 AMT 管理控制站和其佈建狀態。

這項資訊可以用來建立 「 群組電腦的頻外管理活動,例如佈建和電源控制不足以查詢為基礎的集合。

電源控制

可讓電源、 關閉、 電源和重新啟動功能的單一電腦、 選取的電腦或電腦的集合。

電腦可以也被喚醒排定的軟體部署已排程的期限。

從頻外管理主控台

從執行的專用的管理主控台 Configuration Manager 主控台或命令提示字元時起始從頻外管理工作,包括 IDE 重新導向和序列移轉網路工作階段。

System_CAPS_note注意事項

功能可能會視受管理電腦的製造商而異。例如,可以停用製造商 IDE 重新導向和序列移轉網路功能。

IDE 重新導向

可讓電腦從開機映像檔或在本機連接的裝置開機而不是從其磁碟 IDE 介面。這可用於診斷、 修復或硬碟機映像。

透過 LAN 序列

序列移轉網路技術封裝從虛擬序列埠資料並將它傳送不足的頻外管理主控台建立現有網路連接。

序列移轉網路技術可讓您執行受管理的電腦,您可以在其中執行命令和以字元為基礎的應用程式的終端機模擬工作階段。比方說,這可能包括重新設定 BIOS 或 IDE 重新導向搭配使用,您可以更新韌體或執行診斷工具。

頻外管理 Configuration Manager 中擴充

如需技術支援及擴充中的頻外管理 Configuration Manager, ,請參閱 Intel 的固定點 Microsoft 網站上的應用程式提供項目

Configuration Manager 中的新功能

System_CAPS_note注意事項

本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。

下列項目是新或已變更後的頻外管理 Configuration Manager 2007:

  • System Center 2012 Configuration Manager 不再支援佈建超出訊號範圍,這在未安裝 Configuration Manager 2007 用戶端或電腦未安裝作業系統時,可在 Configuration Manager 中使用。若要在 System Center 2012 Configuration Manager 中佈建 AMT 的電腦,電腦必須屬於 Active Directory 網域、已安裝 System Center 2012 Configuration Manager 用戶端,且已指派至 System Center 2012 Configuration Manager 主要站台。

  • 若要佈建 AMT 的電腦,除了超出訊號範圍服務點外,還需要安裝新的站台系統角色和註冊點。您必須在相同的主要站台上安裝這些站台系統角色。

  • 沒有新的帳戶, AMT 佈建移除帳戶, 上, 所指定的 出頻外管理元件屬性:佈建 ] 索引標籤。當您指定此帳戶並使用指定為 AMT 使用者帳戶的相同 Windows 帳戶時,若您必須復原站台,則可以使用此帳戶來移除 AMT 佈建資訊。當重新指派用戶端,且舊站台上並未移除 AMT 佈建資訊時,您可能還可以使用此帳戶。

  • Configuration Manager 不會再產生狀態訊息警告您 AMT 佈建憑證即將到期。您必須自己檢查剩餘的有效期限,並確定您會在到期前更新此憑證。

  • AMT 探索不再使用連接埠 TCP 16992,只會使用連接埠 TCP 16993。

  • 連接埠 TCP 9971 不再用於連接 AMT 管理控制器和超出訊號範圍服務點,以佈建 AMT 的電腦。

  • 超出訊號範圍服務點使用 HTTPS (預設為連接埠 TCP 443) 來連接到註冊點。

  • 不再支援 WS-MAN 轉譯程式。

  • 已經移除 [重設 AMT 電腦密碼] 維護工作。

  • 您不再針對每個 AMT 使用者帳戶選取個別權限,而是 AMT 的所有使用者帳戶會自動都設定 PT 管理 (Configuration Manager 2007 SP1) 或 平台管理 (Configuration Manager 2007 SP2) 所有 AMT 功能的權限授與權限。

  • 您必須指定中的萬用安全性群組 出頻外管理元件屬性 包含 AMT 電腦帳戶的 Configuration Manager AMT 佈建程序期間建立。

  • 站台伺服器電腦對於 AMT 佈建期間使用的組織單位 (OU) 不再需要完全控制權。相反地,會授與「讀取成員」和「寫入成員」(僅此物件) 權限。

  • 註冊點 (而非主要站台伺服器電腦) 現在需要在發行憑證授權單位 (CA) 上具備「發行和管理憑證」權限需要此權限,才能撤銷 AMT 憑證。在 Configuration Manager 2007 中,此電腦帳戶需要 DCOM 權限,才能與發行憑證授權單位進行通訊。若要設定此項,請確定在 Windows Server 2008 上,註冊點站台系統伺服器的電腦帳戶是安全性群組 Certificate Service DCOM Access 的成員,或者在 Windows Server 2003 SP1 和更新版本上是發行憑證授權單位所在之網域內的安全性群組 CERTSVC_DCOM_ACCESS 的成員。

  • AMT Web 伺服器憑證和 AMT 802.1X 用戶端憑證的憑證範本不再使用 [在要求中提供],並且站台伺服器電腦帳戶對於以下憑證範本不再需要權限:

    • 針對 AMT Web 伺服器憑證範本:在 [主體] 索引標籤上選取 [用這項 Active Directory 資訊來建立],然後針對 [主體名稱格式] 選取 [一般名稱]。在 [安全性] 索引標籤上,將 [讀取] 和 [註冊] 權限授與您在 [超出訊號範圍管理元件內容] 中指定的萬用安全性群組。

    • 針對 AMT 802.1X 用戶端憑證範本:在 [主體] 索引標籤上選取 [用這項 Active Directory 資訊來建立],然後針對 [主體名稱格式] 選取 [一般名稱]。清除 [DNS 名稱] 核取方塊,然後選取 [使用者主體名稱 (UPN)] 作為替代主體名稱。在 [安全性] 索引標籤上,將 [讀取] 和 [註冊] 權限授與您在 [超出訊號範圍管理點元件內容] 中指定的萬用安全性群組。

  • AMT 佈建憑證不再需要可匯出的私密金鑰。

  • 根據預設,超出訊號範圍服務點會針對撤銷憑證檢查 AMT 佈建憑證。這會在站台系統首先執行,以及變更 AMT 佈建憑證時發生。您可以在 [超出訊號範圍服務點內容] 中停用此選項。

  • 您可以在超出訊號範圍管理主控台中啟用或停用 AMT Web 伺服器憑證的 [CRL 檢查]。若要變更設定,請依序一按下 [工具] 功能表和 [選項]。您接著連線到 AMT 型電腦時,就會使用新的設定。

  • 撤銷 AMT 型電腦的憑證時,現在撤銷理由是 [操作停止],而不是 [已取代]。

  • 指派至相同 Configuration Manager 站台的 AMT 型電腦必須擁有唯一的電腦名稱,即使分別屬於不同網域,因此而具備唯一 FQDN 也一樣。

  • 將 AMT 型電腦從一個 Configuration Manager 站台重新指派到另一個時,必須先移除 AMT 佈建資訊,重新指派用戶端,然後再次針對 AMT 佈建用戶端。

  • 安全性權限 檢視管理控制器管理管理控制器 中 Configuration Manager 2007 現已改名為 佈建 AMT控制 AMT, 分別。[控制 AMT] 權限會自動新增到 [遠端工具操作員] 安全性角色。若將系統管理使用者指派到 [遠端工具操作員] 安全性角色,並且您想要讓此系統管理使用者佈建 AMT 型電腦或控制 AMT 稽核記錄,就必須將 [佈建 AMT] 權限新增到此安全性角色中,或確認系統管理使用者屬於包含此權限的另一個安全性角色。