Configuration Manager 的基礎

 

適用於： System Center 2012 Configuration Manager、System Center 2012 Configuration Manager SP1、System Center 2012 Configuration Manager SP2、System Center 2012 R2 Configuration Manager、System Center 2012 R2 Configuration Manager SP1

如果您是 Configuration Manager 的新手，可以先利用下列資訊了解有關 Microsoft System Center 2012 Configuration Manager 的基本概念，再執行安裝程式或閱讀更詳細的資訊。 如果您熟悉 Configuration Manager 2007，請參閱System Center 2012 Configuration Manager 的新功能。

如需有關支援的作業系統以及支援的環境、硬體需求和容量資訊的詳細資訊，請參閱支援的 Configuration Manager 組態。

網站

當您初次安裝 System Center 2012 Configuration Manager 時，會建立一個 Configuration Manager 網站，做為管理您企業中之裝置和使用者的基礎。 此網站會是管理中心網站或主要網站。 管理中心網站適合大型部署，可提供集中管理點並支援分散於全域網路基礎結構中之裝置的靈活度。 主要網站適合小型部署，可適應企業未來成長的選項較少。

當您安裝管理中心網站時，也必須至少安裝一個主要網站來管理使用者和裝置。 此設計可讓您在裝置位於不同地理位置時，安裝其他主要網站來管理更多裝置以及控制網路頻寬。 您也可以安裝另一種類型的網站，稱為次要網站。 次要網站可擴充主要網站，以管理透過慢速網路與主要網站連線的少數裝置。

如果您未安裝管理中心網站，您安裝的第一個網站將會是獨立主要網站。 根據預設，您無法安裝其他可彼此通訊的主要網站。 不過，當您需要管理透過慢速網路與主要網站連線的少數裝置時，仍然可以安裝一個或多個次要網站來擴充此主要網站。

如果您已安裝獨立的主要站台，而之後決定要使用管理中心網站設計，Configuration Manager SP1 可讓您執行這項操作。 不含 Service Pack 的 Configuration Manager 不支援這項設計變更，您必須將站台升級至 Configuration Manager SP1。 此設計變更稱為網站擴充。

如果您有多個彼此通訊的網站，就會有稱為階層的網站排列方式。 下圖顯示一些網站設計的範例。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• Configuration Manager 中的站台管理簡介

• 規劃 Configuration Manager 中的站台和階層

• 安裝站台並建立 Configuration Manager 的階層

將網站資訊發佈至 Active Directory 網域服務

如果您針對 System Center 2012 Configuration Manager 延伸 Active Directory 架構，可以將 System Center 2012 Configuration Manager 網站發佈至 Active Directory 網域服務，如此 Active Directory 電腦就能從受信任的來源安全地擷取 System Center 2012 Configuration Manager 網站資訊。 雖然對於基本 Configuration Manager 功能而言，不需要將網站資訊發佈至 Active Directory 網域服務，但是此組態可改善 System Center 2012 Configuration Manager 階層的安全性並且減少系統管理負荷。

您可以在安裝 System Center 2012 Configuration Manager 之前或之後延伸 Active Directory 架構。 在發佈網站資訊之前，您必須先在每個包含 System Center 2012 Configuration Manager 網站的網域中建立名為系統管理的 Active Directory 容器。 您也須設定 Active Directory 權限，讓網站能夠將其資訊發佈至此 Active Directory 容器。 就像所有架構延伸模組一般，您只能對每個樹系延伸一次 System Center 2012 Configuration Manager 的架構。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• 判斷是否要延伸 Configuration Manager 的Active Directory 架構

• 規劃將站台資料發佈至 Active Directory 網域服務

• 設定站台發佈至 Active Directory 網域服務

網站系統伺服器和網站系統角色

Configuration Manager 使用網站系統角色支援每個網站的管理作業。 當您安裝 Configuration Manager 網站時，部分網站系統角色會自動安裝並指派至成功執行 Configuration Manager 安裝程式的伺服器。 其中一個網站系統角色為網站伺服器，您無法將它傳送至另一部伺服器，或是在未解除安裝網站的情況下將它移除。 您可以藉由安裝和設定 Configuration Manager 網站系統伺服器，使用其他伺服器執行其他的網站系統角色，或是從網站伺服器傳送部分網站系統角色。

每個網站系統角色都支援不同的管理功能。 下表詳述提供基本管理功能的站台系統角色。

網站系統角色	說明
網站伺服器	您執行 Configuration Manager 安裝程式的來源電腦，該電腦提供網站的核心功能。
網站資料庫伺服器	裝載 SQL Server 資料庫的伺服器，其中會儲存 Configuration Manager 資產和網站資料的相關資訊。
元件伺服器	執行 Configuration Manager 服務的伺服器。 當您安裝發佈點角色以外的所有網站系統角色時，Configuration Manager 會自動安裝元件伺服器。
管理點	一種網站系統角色，其提供原則和服務位置資訊給用戶端，並接收來自用戶端的設定資料。
發佈點	一種網站系統角色，其包含可供用戶端下載的來源檔案，例如應用程式內容、軟體套件、軟體更新、作業系統映像和開機映像。
Reporting Services 點	一種網站系統角色，其與 SQL Server Reporting Services 整合，以建立及管理 Configuration Manager 的報告。

公司初次在生產環境中部署 Configuration Manager 時，通常會在網站伺服器上執行多個網站系統角色，而且有用於發佈點的其他網站系統伺服器。 然後會安裝其他網站系統伺服器，並且根據業務需求和網路基礎結構新增新的網站系統角色。

下表列出特定功能所需的其他網站系統角色。

網站系統角色	說明
應用程式類別目錄 Web 服務點	一種網站系統角色，其提供軟體程式庫的軟體資訊給應用程式類別目錄網站。
應用程式類別目錄網站點	一種網站系統角色，其提供使用者一份應用程式類別目錄的可用軟體清單。
Asset Intelligence 同步處理點	一種網站系統角色，其連線到 Microsoft 以下載 Asset Intelligence 類別目錄資訊，並且上傳未分類的標題，供未來加入類別目錄之用。
憑證登錄點	一種網站系統角色，其與執行網路裝置註冊服務的伺服器通訊，以管理使用簡單憑證註冊通訊協定 (SCEP) 的裝置憑證要求。
Endpoint Protection 點	一種網站系統角色，Configuration Manager 利用它來接受 Endpoint Protection 授權條款，並設定 Microsoft Active Protection Service 的預設成員資格。
註冊點	一種網站系統角色，其使用 Configuration Manager PKI 憑證註冊行動裝置及電腦，並佈建 Intel AMT 型電腦。
註冊 Proxy 點	一種網站系統角色，其管理來自行動裝置和 Mac 電腦的 Configuration Manager 註冊要求。
後援狀態點	一種網站系統角色，其可協助您監視安裝，並且識別因無法與其管理點通訊而未受管理的用戶端。
超出訊號範圍服務點	一種網站系統角色，可針對超出訊號範圍管理佈建及設定 Intel AMT 型電腦。
軟體更新點	一種網站系統角色，其與 Windows Server Update Services (WSUS) 整合，以提供軟體更新給 Configuration Manager 用戶端。
狀態移轉點	一種網站系統角色，其會在電腦移轉至新的作業系統時儲存使用者狀態資料。
系統健全狀況驗證程式點	一種網站系統角色，其會驗證 Configuration Manager 網路存取保護 (NAP) 原則。 該角色必須安裝在 NAP 健全狀況原則伺服器上。
Microsoft Intune 連接器	Configuration Manager SP1 中的網站系統角色，其使用 Microsoft Intune 管理 Configuration Manager 主控台的行動裝置。

下圖顯示您可新增至網站伺服器電腦，或是藉由安裝其他網站系統伺服器而發佈的基本和其他網站系統角色。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• 規劃 Configuration Manager 中的網站系統

• 安裝與設定 Configuration Manager 的站台系統角色

用戶端

System Center 2012 Configuration Manager 用戶端是指工作站、膝上型電腦、伺服器和行動裝置這類已安裝 Configuration Manager 用戶端軟體的裝置，您可以藉此管理這些裝置。 管理作業包括報告硬體和軟體清查資訊、安裝軟體，以及設定相容性所需的設定。 Configuration Manager 具有探索方法，可用來尋找網路上的裝置，協助您在這些裝置上安裝用戶端軟體。

Configuration Manager 提供數個在裝置上安裝用戶端軟體的選項。 這些選項包括用戶端推入安裝、以軟體更新為基礎的安裝、群組原則及手動安裝。 您也可以在部署作業系統映像時包含用戶端。

Configuration Manager 使用集合將裝置分組，如此您就能在共用一組通用準則的多個裝置上執行管理工作。 例如，您可能想要在 Configuration Manager 註冊的所有行動裝置上安裝行動裝置應用程式。 如果是這樣的話，您可以使用自動排除電腦的 [所有行動裝置] 集合。 您可以建立自己的集合，根據業務需求將您管理的裝置進行邏輯分組。

如需詳細資訊，請參閱在 System Center 2012 Configuration Manager 中部署用戶端指南和System Center 2012 Configuration Manager 中的資產與相容性指南中的以下主題：

• 介紹 Configuration Manager 中的用戶端部署

• 判斷在 Configuration Manager 中針對使用 Windows 電腦的用戶端安裝方法

• 判斷如何在 Configuration Manager 中管理行動裝置

• Configuration Manager 中的集合簡介

使用者為中心的管理

除了裝置集合之外，還有使用者集合，其中包含 Active Directory 網域服務的使用者。 使用者集合可讓您在使用者登入的所有電腦上安裝軟體，您也可以設定使用者裝置親和性，僅將軟體安裝到使用者使用的主要裝置上。 這些主要裝置稱為主要裝置。 使用者可以擁有一個或多個主要裝置。

使用者控制其軟體部署經驗的其中一種方式，就是使用新的電腦用戶端介面「軟體中心」。 「軟體中心」會自動安裝到用戶端電腦上，並且可從使用者的 [開始] 功能表存取。 此用戶端介面可讓使用者管理自己的軟體，以及執行下列工作：

• 安裝軟體

• 將軟體排程在非工作時間自動安裝

• 設定 Configuration Manager 可以在何時將軟體安裝在裝置上

• 如果 Configuration Manager 中已啟用遠端控制，可以設定遠端控制的存取設定

• 如果系統管理使用者已啟用電源管理的選項，就可以設定這些選項

「軟體中心」中的連結可讓使用者連線至「應用程式類別目錄」，並且在此瀏覽、安裝和要求軟體。 此外，「應用程式類別目錄」讓使用者配置某些偏好設定並抹除行動裝置。 由於「應用程式類別目錄」是裝載於 IIS 中的網站，因此使用者也可以從瀏覽器、內部網路或網際網路直接存取「應用程式類別目錄」。

如果您允許的話，使用者還可以從「應用程式類別目錄」指定自己的主要裝置。 其他設定使用者裝置親和性資訊的方法包括從檔案匯入資訊，以及從使用資料自動產生。

如需詳細資訊，請參閱在 System Center 2012 Configuration Manager 中部署軟體和作業系統指南中的以下主題：

• 介紹 Configuration Manager 中的應用程式管理

• 在 Configuration Manager 中設定應用程式類別目錄和軟體中心

用戶端設定

當您初次安裝 System Center 2012 Configuration Manager 時，階層中的所有用戶端都會採用您可變更的預設用戶端設定。 這些用戶端設定包括的組態選項像是裝置與網站通訊的頻率、是否啟用用戶端進行軟體更新和其他管理作業，以及使用者是否可以註冊其行動裝置以便透過 Configuration Manager 進行管理。 如果您需要針對使用者群組或裝置群組使用不同的用戶端設定，可以建立自訂用戶端設定，然後將這些設定指派至集合。 集合中的使用者或裝置將設定為採用自訂設定。 您可以建立多個自訂用戶端設定，並且依照您指定的順序套用。 如果您有多個自訂用戶端設定，則這些設定會依照其順序編號套用。 如果發生任何衝突，順序編號最小的設定會覆寫其他設定。

下圖顯示如何建立及套用自訂用戶端設定的範例。

如需詳細資訊，請參閱在 System Center 2012 Configuration Manager 中部署用戶端指南中的以下主題：

• 如何在 Configuration Manager 中設定用戶端設定

• 關於 Configuration Manager 中的用戶端設定

不需用戶端的有限管理

System Center 2012 Configuration Manager 用戶端軟體可提供完整的使用者和裝置管理功能。 不過，針對以下兩種案例您不需透過用戶端軟體即可獨立管理裝置︰使用 Intel 主動管理技術 (AMT) 的超出訊號範圍管理，以及連線至 Exchange 服務的行動裝置，例如內部部署的 Exchange Server 或 Exchange Online (Office 365)。

Configuration Manager 使用用戶端軟體來佈建和設定電腦的 AMT，不過在執行 AMT 管理操作時，並不會使用到用戶端軟體。 反之，Configuration Manager 會直接連線至 AMT 管理控制器。 這表示您對作業系統層級中未啟動或沒有回應的電腦，繼續持有管理控制的能力。 例如，您可以重新啟動這些電腦、重新製作映像或執行診斷公用程式來協助疑難排解。

若您無法將 Configuration Manager 用戶端軟體安裝到行動裝置，您仍可透過 Exchange Server 連接器來管理這些行動裝置。 利用此連接器‏來設定預設 Exchange ActiveSync 信箱原則。 任何在此原則中定義的設定都可透過 Configuration Manager 來設定，同時此連接器也支援遠端清除和用於進行封鎖與隔離的 Exchange 存取規則。 您使用 Exchange Server 連接器管理的任何行動裝置會顯示在 [所有行動裝置] 集合，即使該裝置沒有安裝 System Center 2012 Configuration Manager 用戶端亦同。 因為這些裝置未安裝用戶端，您無法將軟體部署到這些裝置。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 中的資產與相容性指南和在 System Center 2012 Configuration Manager 中部署用戶端指南中的以下主題：

• 頻外管理在 Configuration Manager 簡介

• 系統管理員檢查清單：頻外管理 Configuration Manager 中

• 如何使用 Configuration Manager 和 Exchange 管理行動裝置

用戶端管理工作

安裝 Configuration Manager 用戶端之後，您就可以執行各項用戶端管理工作，其中包括下列幾項︰

• 部署應用程式、軟體更新、維護指令碼及作業系統。 您可設定在指定日期和時間之前安裝這些軟體，或將它們設定為使用者要求時即可安裝，您也可同時設定解除安裝應用程式。

• 協助保護您的電腦不受惡意程式碼侵襲及其他安全性威脅，並在偵測到問題時通知您。

• 定義要監視的用戶端設定配置，並針對不相容的設定加以補救。

• 收集硬體和軟體清查資訊，其中包括在 Microsoft 監視及協調授權資訊。

• 使用遠端控制或 AMT 操作來為沒有回應的 AMT 型電腦進行疑難排解。

• 執行電源管理設定來管理與監視電腦的電源消耗。

您可以透過 Configuration Manager 主控台使用警示和狀態資訊，以接近即時的方式來監視這些操作。 若要擷取資料和歷史趨勢，您可以使用 SQL Reporting Services 的整合報告功能。

若要確保您可繼續管理 System Center 2012 Configuration Manager 用戶端，請利用用戶端狀態資訊來取得用戶端健全狀況和用戶端活動的相關資料。 此資料可協助識別沒有回應的電腦，在某些情況下還可針對問題自動加以補救。

如需詳細資訊，請參閱在 System Center 2012 Configuration Manager 中部署用戶端指南和System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• 如何在 Configuration Manager 中管理用戶端

• 介紹 Configuration Manager 中的報告

Configuration Manager (Windows 控制台)

當您安裝 Configuration Manager 用戶端時，Configuration Manager 用戶端應用程式會一併安裝於控制台。 與軟體中心不同，此應用程式的設計對象是技術服務人員而非一般使用者。 部分設定選項需要有本機系統管理權限，同時大部分選項都需具備 Configuration Manager 的相關技術知識。 您可以使用此應用程式在用戶端上執行下列工作︰

• 檢視用戶端內容，例如組建編號、指派的網站、通訊的管理點以及用戶端所使用的是 PKI 憑證或自我簽署憑證。

• 確認在第一次安裝用戶端之後是否已成功下載用戶端原則，以及是否根據 Configuration Manager 主控台中所設定之用戶端設定，如預期地啟用或停用用戶端設定。

• 啟動用戶端動作，例如當 Configuration Manager 主控台設定最近已變更，而您不想等到下次排程時間時，即可在此先下載用戶端原則。

• 手動指派用戶端至 Configuration Manager 網站或嘗試找到網站，然後針對發佈至 DNS 的管理點指定 DNS 尾碼。

• 設定可暫時儲存檔案的用戶端快取，並在需要磁碟空間安裝軟體時刪除快取中的檔案。

• 針對以網際網路為基礎的用戶端管理進行設定。

• 檢視部署至用戶端的設定基準、起始相容性評估及檢視相容性報告。

安全性

System Center 2012 Configuration Manager 的安全性包含數個層級。 首先，Windows 針對作業系統和網路提供許多安全性功能，其中幾項如下︰

• 檔案共用可在 System Center 2012 Configuration Manager 元件之間傳輸檔案

• 存取控制清單 (ACL) 可確保檔案和登錄機碼的安全

• IPsec 可保護通訊安全

• 群組原則可設定安全性原則

• DCOM 權限可用於分散式應用程式，例如 Configuration Manager 主控台

• Active Directory 網域服務可儲存安全性原則

• Windows 帳戶安全性，包括 System Center 2012 Configuration Manager 安裝期間建立的部分群組

然後是額外的安全性元件，例如防火牆和入侵偵測，可協助提供整個環境的全面防護。 由符合業界標準的 PKI 實作所發行之憑證可協助提供驗證、簽署和加密。

System Center 2012 Configuration Manager 控制存取 Configuration Manager 主控台的方式有如下幾種。 依預設，只有本機系統管理員才有存取檔案和登錄機碼的權限，以在安裝 Configuration Manager 的電腦上執行主控台。

下一層安全性以透過 Windows Management Instrumentation (WMI) 的存取為基礎，特別是 SMS 提供者。 依預設，SMS 提供者已限制為本機 SMS Admins 群組的成員。 此群組一開始僅包含已安裝 System Center 2012 Configuration Manager 的使用者。 若要將其他帳戶權限授與給通用訊息模型 (CIM) 存放庫和 SMS 提供者，請新增其他帳戶到 SMS Admins 群組。

最後一層安全性是基於網站資料庫中物件的權限。 依預設，您安裝 System Center 2012 Configuration Manager 時使用的本機系統帳戶和使用者帳戶，都有權限管理網站資料庫中的所有物件。 您可使用以角色為基礎的系統管理，針對 Configuration Manager 主控台中的額外系統管理使用者，授與或限制權限。

如需詳細資訊，請參閱 System Center 2012 Configuration Manager 的安全性和隱私權指南。

以角色為基礎的系統管理

System Center 2012 Configuration Manager 使用以角色為基礎的系統管理，協助保護如集合、部署及站台等物件。 此管理模式主要針對所有網站和網站設定，定義與管理整個階層的安全性存取權設定。 安全性角色指派給系統管理使用者，而群組權限則指派給不同的 Configuration Manager 物件類型，例如可建立或變更用戶端設定的權限。 安全性範圍會針對特定物件的執行個體進行分組，這些物件由系統管理使用者負責管理，例如安裝 Microsoft Office 2010 應用程式。 結合安全性角色、安全性範圍和集合來定義系統管理使用者可檢視與管理的物件。System Center 2012 Configuration Manager 安裝部分預設安全性角色以進行一般管理工作。 不過，您可建立自己的安全性角色來支援特定的業務需求。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• 規劃 Configuration Manager 中的安全性

• 設定 Configuration Manager 的安全性

確保用戶端端點安全

利用自我簽署憑證或公開金鑰基礎結構 (PKI) 憑證，來為網站系統角色的用戶端通訊確保安全性。Configuration Manager 所偵測到位在網際網路和行動裝置上的用戶端電腦，必須使用 PKI 憑證，如此才能透過 HTTPS 來確保用戶端端點的安全性。 用戶端連線的網站系統角色可設定為透過 HTTPS 或 HTTP 用戶端通訊。 用戶端電腦一律使用最安全的可用方式來進行通訊，除非您的網站系統角色允許 HTTP 通訊時，才會轉回在內部網路上使用較不安全的 HTTP 通訊方式。

如需詳細資訊，請參閱System Center 2012 Configuration Manager 的網站管理指南中的以下主題：

• 規劃 Configuration Manager 中的安全性

• 設定 Configuration Manager 的安全性

• Configuration Manager 使用之密碼編譯控制項的技術參考

Configuration Manager 帳戶和群組

System Center 2012 Configuration Manager 在進行大部分的網站操作時會使用本機系統帳戶。 不過，部分管理工作可能需要建立與維護額外帳戶。 安裝期間會建立數個預設群組和 SQL Server 角色。 不過，您可能需要手動新增電腦或使用者帳戶到這些預設的群組和角色。

如需詳細資訊，請參閱＜Configuration Manager 中所使用帳戶的技術參照＞指南中的＜System Center 2012 Configuration Manager 的網站管理＞。

隱私權

由於企業管理產品能夠有效管理大量的用戶端，而有許多優點，但您也必須知道此軟體可能對組織中的使用者隱私權有何影響。System Center 2012 Configuration Manager 包含許多可用來收集資料和監視裝置的工具，其中有些可能會引發對隱私權的疑慮。

例如，當您安裝 System Center 2012 Configuration Manager 用戶端時，許多管理設定都會預設為啟用。 也因此導致用戶端軟體將資訊傳送到 Configuration Manager 網站。 用戶端資訊會儲存在 Configuration Manager 資料庫中，這些資訊並不會傳送到 Microsoft。 在您執行 System Center 2012 Configuration Manager 之前，請先考慮您的隱私權需求。

如需詳細資訊，請參閱 System Center 2012 Configuration Manager 的安全性和隱私權指南。

另請參閱

開始使用 System Center 2012 Configuration Manager