如何在 Configuration Manager 中將用戶端部署至 Windows 電腦
適用於:Configuration Manager (目前的分支)
本文提供如何將Configuration Manager用戶端部署至 Windows 電腦的詳細資料。 如需規劃和準備用戶端部署的詳細資訊,請參閱下列文章:
用戶端推入安裝
使用用戶端推送的方式有三種:
當您設定月臺的用戶端推入安裝時,用戶端安裝會自動在月臺探索到的電腦上執行。 當這些界限設定為界限群組時,此方法的範圍會設定為月臺的已設定界限。
針對集合內的特定集合或資源執行用戶端推入安裝精靈,以啟動用戶端推入安裝。
使用 [用戶端推入安裝精靈] 安裝Configuration Manager用戶端,您可以使用此用戶端來查詢結果。 只有在查詢傳回的其中一個專案是系統資源類別的ResourceID屬性時,安裝才會成功。
如果月臺伺服器無法連絡用戶端電腦或啟動安裝程式,則會每小時自動重試安裝。 伺服器會繼續重試最多七天。
若要協助追蹤用戶端安裝程式,請先安裝後援狀態點,再安裝用戶端。 當您安裝後援狀態點時,當用戶端推入安裝方法安裝用戶端時,系統會自動將它指派給用戶端。 若要追蹤用戶端安裝進度,請檢視用戶端部署和指派報告。
用戶端記錄檔提供更詳細的疑難排解資訊。 記錄檔不需要後援狀態點。 例如,月臺伺服器上的 CCM.log 檔案會記錄月臺伺服器連線到電腦時發生的任何問題。 用戶端上的 CCMSetup.log 檔案會記錄安裝程式。
重要事項
只有在符合所有必要條件時,用戶端推送才會成功。 如需詳細資訊,請 參閱安裝方法相依性。
將月臺設定為針對探索到的電腦自動使用用戶端推送
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。
選取您要設定自動全月臺用戶端推入安裝的月臺。
在功能區 [ 常用] 索引標籤的 [ 設定 ] 群組中,選取 [ 用戶端安裝設定],然後選取 [ 用戶端推入安裝]。
在 [用戶端推入安裝] 屬性視窗的 [一般] 索引標籤上,選取 [啟用全網站自動用戶端推入安裝]。
從 1806 版開始,當您更新月臺時,會啟用用戶端推送的 Kerberos 檢查。 預設會啟用 [ 允許連線後援到 NTLM ] 選項,這與先前的行為一致。 如果月臺無法使用 Kerberos 驗證用戶端,則會使用 NTLM 重試連線。 改善安全性的建議組態是停用此設定,這需要 Kerberos 而不需要 NTLM 後援。
建議您盡可能在現有的環境中停用此選項,以提高安全性。
注意事項
當它使用用戶端推入來安裝Configuration Manager用戶端時,月臺伺服器會建立與用戶端的遠端連線。 從 1806 版開始,月臺可以在建立連線之前不允許後援至 NTLM,以要求 Kerberos 相互驗證。 這項增強功能有助於保護伺服器與用戶端之間的通訊。
視您的安全性原則而定,您的環境可能已經偏好或需要 Kerberos,而不是舊版 NTLM 驗證。 如需這些驗證通訊協定之安全性考慮的詳細資訊,請參閱 限制 NTLM 的 Windows 安全性原則設定。
若要使用這項功能,用戶端必須位於受信任的 Active Directory 樹系中。 Windows 中的 Kerberos 依賴 Active Directory 進行相互驗證。
從 2207 版開始,當您更新月臺時,預設會在新月臺安裝上停用 [ 允許連線後援到 NTLM ] 選項。 建議您提高安全性。
選取Configuration Manager應推送用戶端軟體的系統類型。 選取是否要在網域控制站上安裝用戶端。
在 [帳戶]索引標籤上,指定一或多個帳戶,讓Configuration Manager連線到目的電腦時使用。 選取 [建立] 圖示,輸入 [ 使用者名稱 ] 和 [ 密碼 (不超過 38 個字元) ,確認密碼,然後選取 [ 確定]。 指定至少一個用戶端推入安裝帳戶。 此帳戶必須具有目的電腦的本機系統管理員許可權,才能安裝用戶端。 如果您未指定用戶端推入安裝帳戶,Configuration Manager嘗試使用月臺系統電腦帳戶。 使用月臺系統電腦帳戶時,跨網域用戶端推送失敗。
在 [安裝內容] 索引標籤上指定任何必要的安裝 屬性 。
如果您已擴充 Configuration Manager 的 Active Directory 架構,月臺會將指定的用戶端安裝屬性發佈至 Active Directory 網域服務。 當 CCMSetup 在沒有安裝屬性的情況下執行時,它會從 Active Directory 讀取這些屬性。
注意事項
如果您在次要月臺上啟用用戶端推入安裝,請將SMSSITECODE屬性設定為其父主要月臺的Configuration Manager月臺碼。 如果您已擴充 Configuration Manager 的 Active Directory 架構,若要自動尋找正確的網站指派,請將此屬性設定為AUTO。
使用用戶端推入安裝精靈
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。
選取您要設定自動全月臺用戶端推入安裝的月臺。
在功能區 [ 常用] 索引標籤的 [ 設定 ] 群組中,選取 [ 用戶端安裝設定],然後選取 [ 用戶端推入安裝]。
在 [安裝內容] 索引標籤上指定任何必要的安裝 屬性 。
如果您已擴充 Configuration Manager 的 Active Directory 架構,月臺會將指定的用戶端安裝屬性發佈至 Active Directory 網域服務。 當 CCMSetup 在沒有安裝屬性的情況下執行時,它會從 Active Directory 讀取這些屬性。
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。
在 [ 裝置] 節點中,選取一或多部電腦。 或選取 [ 裝置集合 ] 節點中的電腦集合。
在功能區的 [ 常用] 索引標籤上,選擇下列其中一個選項:
若要將用戶端推送至一或多個裝置,請在 [ 裝置 ] 群組中,選取 [ 安裝用戶端]。
若要將用戶端推送至裝置集合,請在 [ 集合 ] 群組中,選取 [ 安裝用戶端]。
在 [安裝Configuration Manager用戶端精靈] 的 [開始之前] 頁面上,檢閱資訊,然後選取 [下一步]。
在 [ 安裝 選項] 頁面上選取適當的選項。
檢閱安裝設定,然後完成精靈。
注意事項
使用此精靈來安裝用戶端,即使月臺未設定為用戶端推送也一致。
以軟體更新為基礎的安裝
以軟體更新為基礎的用戶端安裝會將用戶端發佈至軟體更新點作為軟體更新。 使用此方法進行第一次安裝或升級。
如果Configuration Manager用戶端安裝在電腦上,則電腦會從月臺接收用戶端原則。 此原則包含要從中取得軟體更新的軟體更新點伺服器名稱和埠。
重要事項
針對以軟體更新為基礎的安裝,請使用相同的 Windows Server Update Services (WSUS) 伺服器進行用戶端安裝和軟體更新。 此伺服器必須是主要月臺中的作用中軟體更新點。 如需詳細資訊,請 參閱安裝軟體更新點。
如果電腦上未安裝Configuration Manager用戶端,請設定並指派群組原則物件。 群組原則指定軟體更新點的伺服器名稱。
您無法將命令列屬性新增至以軟體更新為基礎的用戶端安裝。 如果您已擴充 Configuration Manager 的 Active Directory 架構,用戶端安裝會自動查詢Active Directory 網域服務安裝內容。
如果您尚未擴充 Active Directory 架構,請使用群組原則來布建用戶端安裝設定。 這些設定會自動套用至任何以軟體更新為基礎的用戶端安裝。 如需詳細資訊,請參閱 如何布建用戶端安裝屬性 一節,以及 如何將用戶端指派給月臺一文。
使用下列程式,將不含Configuration Manager用戶端的電腦設定為使用軟體更新點。 另外還有一個程式可將用戶端軟體發佈至軟體更新點。
提示
如果電腦在先前的軟體安裝之後處於擱置重新開機狀態,則以軟體更新為基礎的用戶端安裝可能會導致電腦重新開機。
設定 群組原則 物件以指定軟體更新點
使用群組原則 管理主控台開啟新的或現有的 群組原則 物件。
展開[電腦設定]、[系統管理範本] 和 [Windows 元件],然後選取 [Windows Update]。
開啟 [ 指定內部網路 Microsoft 更新服務位置] 設定的屬性,然後選取 [ 已啟用]。
設定用於偵測更新的內部網路更新服務:指定軟體更新點伺服器的名稱和埠。
如果您已將Configuration Manager月臺系統設定為使用 FQDN) (完整功能變數名稱,請使用該格式。
如果Configuration Manager月臺系統未設定為使用 FQDN,請使用簡短名稱格式。
提示
若要判斷埠號碼,請參閱 如何判斷 WSUS 所使用的埠設定。
FQDN 格式的範例:
http://server1.contoso.com:8530設定內部網路統計資料伺服器:此設定通常使用相同的伺服器名稱進行設定。
將群組原則物件指派給您要安裝用戶端並接收軟體更新的電腦。
將Configuration Manager用戶端發佈至軟體更新點
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。
選取您要設定軟體更新型用戶端安裝的月臺。
在功能區的 [ 首頁 ] 索引標籤上,選取 [ 設定 ] 群組中的 [ 用戶端安裝設定],然後選取 [ 軟體 Update-Based 用戶端安裝]。
選 取 [啟用軟體更新型用戶端安裝]。
如果月臺的用戶端版本比軟體更新點上的版本還新,則會開啟 [ 偵測到用戶端套件的更新版本 ] 對話方塊。 選取 [是 ] 以發佈最新版本。
注意事項
如果您尚未將用戶端軟體發佈至軟體更新點,此對話方塊會是空白的。
當有新版本時,不會自動更新Configuration Manager用戶端的軟體更新。 當您更新月臺時,請重複此程式來更新用戶端。
群組原則安裝
使用 Active Directory 網域服務 中的群組原則來發佈或指派Configuration Manager用戶端。 用戶端會在電腦啟動時安裝。 當您使用群組原則時,用戶端會出現在主控台的[新增或移除程式] 中。 使用者可以從該處安裝它。
針對以群組原則為基礎的安裝,請使用 Windows Installer 套件 CCMSetup.msi。 此檔案位於 <ConfigMgr installation directory>\bin\i386 月臺伺服器的 資料夾中。 您無法將屬性新增至此檔案以變更安裝行為。
重要事項
您必須具有系統管理員許可權,才能存取用戶端安裝檔案。
如果您已擴充 Configuration Manager 的 Active Directory 架構,且您已在 [網站內容] 對話方塊的 [發佈] 索引標籤上選取網域,用戶端電腦會自動搜尋Active Directory 網域服務安裝內容。 如需詳細資訊,請參閱關於發佈至 Active Directory 網域服務 的用戶端安裝屬性。
如果您尚未擴充 Active Directory 架構,請參閱布建用戶端 安裝屬性 一節,以取得在電腦的 Windows 登錄中儲存安裝屬性的相關資訊。 用戶端會在安裝時使用這些安裝屬性。
如需詳細資訊,請參閱如何使用群組原則遠端安裝軟體。
手動安裝
使用 CCMSetup.exe,在電腦上手動安裝用戶端軟體。 您可以在月臺伺服器上Configuration Manager安裝資料夾的 Client 資料夾中找到此程式及其支援檔案。 月臺會將此資料夾共用至網路,如下所示:
\\<site server name>\SMS_<site code>\Client\
<site server name> 是主要月臺伺服器名稱。 <site code> 是指派用戶端的主要月臺碼。 若要從用戶端上的命令列執行 CCMSetup.exe,請連線到此網路位置,然後執行命令。
重要事項
您必須具有系統管理員許可權,才能存取用戶端安裝檔案。
CCMSetup.exe 將所有必要的必要條件複製到用戶端電腦,並呼叫 Windows Installer 套件 (Client.msi) 來安裝用戶端。 您無法直接執行 Client.msi。
若要修改用戶端安裝的行為,請指定 CCMSetup.exe 和 Client.msi 的命令列選項。 在指定 Client.msi 屬性之前,請務必先指定開頭為 / 的 CCMSetup 參數。 例如:
CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01
在此範例中,用戶端會使用下列選項進行安裝:
| 選項 | 描述 |
|---|---|
/mp:SMSMP01 |
此 CCMSetup 參數會指定用於下載必要用戶端安裝檔案的管理點SMSMP01。 |
/logon |
如果在電腦上找到現有的Configuration Manager用戶端,此 CCMSetup 參數會指定應該停止安裝。 |
SMSSITECODE=AUTO |
例如,此 Client.msi 屬性會指定用戶端嘗試使用 Active Directory 網域服務 來尋找要使用的Configuration Manager月臺碼。 |
FSP=SMSFP01 |
這個 Client.msi 屬性會指定名為 SMSFP01 的後援狀態點用來接收從用戶端電腦傳送的狀態訊息。 |
如需詳細資訊,請 參閱關於用戶端安裝參數和屬性。
提示
如需使用Microsoft Entra身分識別在現代化 Windows 裝置上安裝Configuration Manager用戶端的程式,請參閱使用Microsoft Entra識別碼安裝和指派Configuration Manager用戶端以進行驗證。 該程式適用于內部網路或網際網路上的用戶端。
手動安裝範例
這些範例適用于內部網路上已加入 Active Directory 的用戶端。 它們會使用下列值:
- MPSERVER:裝載管理點的伺服器
- FSPSERVER:裝載後援狀態點的伺服器
- ABC:月臺碼
- contoso.com:功能變數名稱
假設您已使用內部網路 FQDN 設定所有月臺系統伺服器,並將月臺資訊發佈至 Active Directory。
從用戶端電腦上的下列步驟開始:
- 以本機系統管理員身分登入。
- 將磁片磁碟機 Z 對應至
\\MPSERVER\SMS_ABC\Client。 - 切換命令提示字元以驅動 Z。
然後執行下列其中一個命令:
手動範例 1
CCMSetup.exe
此命令會安裝沒有其他參數或屬性的用戶端。 用戶端會自動設定發佈至 Active Directory 網域服務 的用戶端安裝屬性,包括下列設定:
- 月臺碼:此設定需要用戶端的網路位置包含在您為用戶端指派所設定的界限群組中。
- 管理點。
- 後援狀態點。
- 僅使用 HTTPS 進行通訊。
如需詳細資訊,請參閱關於發佈至 Active Directory 網域服務 的用戶端安裝屬性。
手動範例 2
CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com
此命令會覆寫Active Directory 網域服務提供的自動設定。 您不需要在針對用戶端指派設定的界限群組中包含用戶端的網路位置。 相反地,安裝會指定下列設定:
- 月臺碼
- 內部網路管理點
- 以網際網路為基礎的管理點
- 接受來自網際網路連線的後援狀態點
- 如果) 有效期間最長,請使用用戶端公開金鑰基礎結構 (PKI) 憑證 (
登入腳本安裝
Configuration Manager支援使用登入腳本來安裝Configuration Manager用戶端軟體。 使用登入腳本中的程式檔 CCMSetup.exe 來觸發用戶端安裝。
登入腳本安裝使用與手動用戶端安裝相同的方法。 指定 CCMSsetup.exe /logon 的安裝參數。 如果電腦上已有任何版本的用戶端,此參數會防止用戶端安裝。 此行為可防止每次執行登入腳本時重新安裝用戶端。
如果您未使用 /Source 參數指定安裝來源,而且參數未指定 /MP 要從中取得安裝的管理點,CCMSetup.exe 搜尋Active Directory 網域服務來找出管理點。 只有在您已擴充Configuration Manager的架構,並將網站發佈至Active Directory 網域服務時,才會發生此行為。 或者,用戶端可以使用 DNS 來尋找管理點。
套件和程式安裝
使用Configuration Manager來建立和部署套件和程式,以升級所選裝置的用戶端軟體。 Configuration Manager提供套件定義檔案,其中會以常用的值填入封裝屬性。 藉由指定其他命令列參數和屬性來自訂用戶端安裝的行為。
注意事項
您無法使用此方法來升級 Configuration Manager 2007 用戶端。 請改用自動用戶端升級,自動建立及部署包含最新版用戶端的套件。 如需詳細資訊,請參閱 升級用戶端。
如需如何從舊版 Configuration Manager 用戶端移轉的詳細資訊,請參閱規劃用戶端移轉策略。
建立用戶端軟體的套件和程式
使用下列程式來建立Configuration Manager套件和程式,您可以部署到Configuration Manager用戶端電腦以升級用戶端軟體。
在 Configuration Manager 主控台中,移至 [軟體程式庫] 工作區,展開 [應用程式管理],然後選取 [套件] 節點。
在功能區的 [ 常用] 索引標籤上,于 [ 建立 ] 群組中,選取 [ 從定義建立套件]。
在精靈的 [套件定義] 頁面上,從 [發行者] 清單中選取[Microsoft],然後從 [套件定義] 清單中選取 [Configuration Manager客戶端升級]。
在 [ 來源檔案] 頁面上,選 取 [永遠從來源資料夾取得檔案]。
在 [ 來源資料夾] 頁面上,選 取 [網路路徑 (UNC 名稱) 。 然後輸入包含用戶端安裝檔案之伺服器和共用的網路路徑。
注意事項
執行Configuration Manager部署的電腦必須能夠存取指定的網路資料夾。 否則,用戶端安裝會失敗。
若要變更任何用戶端安裝屬性,請修改 [Configuration Manager代理程式無訊息升級內容] 程式對話方塊之 [一般] 索引標籤上的 CCMSetup.exe 命令列。 預設安裝屬性為
/noservice SMSSITECODE=AUTO。將套件發佈至您想要裝載用戶端升級套件的所有發佈點。 然後將套件部署至包含您想要升級之用戶端的裝置集合。
Intune MDM 管理的 Windows 裝置
將Configuration Manager用戶端部署到已向 Microsoft Intune 註冊的裝置。
此程式適用于連線到內部網路的傳統用戶端。 它會使用傳統的用戶端驗證方法。 若要確定裝置在安裝用戶端之後仍處於受控狀態,它必須位於內部網路和Configuration Manager月臺界限內。
如需使用Microsoft Entra身分識別在 Windows 裝置上安裝Configuration Manager用戶端的程式,請參閱使用Microsoft Entra識別碼安裝和指派Configuration Manager用戶端以進行驗證。
安裝Configuration Manager用戶端之後,裝置不會從 Intune 取消註冊。 他們可以同時使用Configuration Manager用戶端和 MDM 註冊。 如需詳細資訊,請 參閱共同管理概觀。
注意事項
您可以使用其他用戶端安裝方法,在受 Intune 管理的裝置上安裝Configuration Manager用戶端。 例如,如果 Intune 管理的裝置位於內部網路上,且已加入 Active Directory 網域,您可以使用群組原則來安裝Configuration Manager用戶端。
使用 Intune 安裝Configuration Manager用戶端
在 Intune 中,新增包含 Configuration Manager 用戶端安裝檔案的 Windows 企業營運應用程式CCMSetup.msi。 您可以在月臺伺服器上
\bin\i386Configuration Manager安裝目錄的資料夾中找到此檔案。在 Intune 軟體發行者中,輸入命令列參數。 例如,使用此命令搭配內部網路上的傳統用戶端:
CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"注意事項
如需使用Microsoft Entra驗證搭配 Windows 用戶端使用的命令範例,請參閱如何準備以網際網路為基礎的裝置以進行共同管理。
將應用程式指派 給已註冊的 Windows 電腦群組。
OS 映射安裝
在您用來建立 OS 映射的參照電腦上預先安裝Configuration Manager用戶端。
重要事項
當您使用Configuration Manager工作順序來部署 OS 映射時,準備 ConfigMgr 客戶端步驟會完全移除Configuration Manager用戶端。
準備用戶端電腦以進行映射處理
在參照電腦上手動安裝Configuration Manager用戶端軟體。 如需詳細資訊,請參閱如何手動安裝Configuration Manager用戶端。
重要事項
請勿在 CCMSetup.exe 命令列屬性中指定用戶端的Configuration Manager月臺碼。
在命令提示字元中,輸入
net stop ccmexec以停止參照電腦上的 SMS 代理程式主機服務 (CcmExec.exe) 。從參照電腦上的 Windows 資料夾中刪除 SMSCFG.INI 檔案。
從本機電腦的 SMS 憑證存放區移除憑證。
移除任何其他儲存在參照電腦本機電腦存放區中的有效用戶端驗證憑證。 例如,如果您使用 PKI 憑證,請在映射電腦之前,移除[電腦] 和 [使用者]之 [個人] 存放區中的憑證。
如果用戶端安裝在與參照電腦階層不同的Configuration Manager階層中,請從參照電腦移除受信任的根金鑰。
注意事項
如果用戶端無法查詢Active Directory 網域服務以找出管理點,則會使用受信任的根金鑰來判斷受信任的管理點。 如果您將所有映射用戶端部署在與主要電腦相同的階層中,請保留受信任的根金鑰。
如果您在不同的階層中部署用戶端,請移除受信任的根金鑰。 同時使用新的受根信任金鑰來布建這些用戶端。 如需詳細資訊,請參閱 規劃受信任的根金鑰。
使用您的映射處理軟體來擷取參照電腦的映射。
將映射部署至目的地電腦。
工作組電腦
Configuration Manager支援工作組中電腦的用戶端安裝。 使用如何手動安裝Configuration Manager用戶端中指定的方法,在工作組電腦上安裝用戶端。
必要條件
在每部工作組電腦上手動安裝用戶端。 在安裝期間,互動式使用者必須具有本機系統管理員許可權。
若要存取Configuration Manager月臺伺服器網域中的資源,請設定網站的網路存取帳戶。 在軟體發佈網站元件中指定此帳戶。 如需詳細資訊,請參閱 網站元件。
限制
工作組用戶端無法從Active Directory 網域服務找到管理點。 相反地,它們會使用 DNS 或其他管理點。
不支援全域漫遊。 工作組用戶端無法查詢網站資訊Active Directory 網域服務。
Active Directory 探索方法無法探索工作組中的電腦。
您無法將軟體部署至工作組電腦的使用者。
您無法使用用戶端推入安裝方法在工作組電腦上安裝用戶端。
工作組用戶端無法使用 Kerberos 進行驗證,而且可能需要手動核准。
您無法將工作組用戶端設定為發佈點。 Configuration Manager要求發佈點電腦必須是網域的成員。
在工作組電腦上安裝用戶端
檢查必要條件,然後遵循如何手動安裝用戶端Configuration Manager一節中的指示。
工作組範例 1
此範例會執行下列動作:
- 安裝用戶端以進行內部網路用戶端管理
- 指定月臺碼
- 指定要尋找管理點的 DNS 尾碼
CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com
工作組範例 2
此範例會要求用戶端位於界限群組中設定的網路位置。 如果不符合此需求,自動月臺指派將無法運作。 命令包含伺服器 FSPSERVER 上的後援狀態點。 此屬性有助於追蹤用戶端部署,以及識別任何用戶端通訊問題。
CCMSetup.exe FSP=fspserver.constoso.com
以網際網路為基礎的用戶端管理
注意事項
本節不適用於使用 雲端管理閘道的用戶端。 若要使用雲端管理閘道安裝以網際網路為基礎的用戶端,請參閱使用Microsoft Entra識別碼安裝和指派Configuration Manager用戶端以進行驗證。
當Configuration Manager月臺針對有時在內部網路上,有時在網際網路上的用戶端支援以網際網路為基礎的用戶端管理時,當您在內部網路上安裝用戶端時,有兩個選項:
例如,當您使用手動安裝或用戶端推入來安裝用戶端時,請包含 Client.msi 屬性
CCMHOSTNAME=<internet FQDN of the internet-based management point>。 當您使用此方法時,請直接將用戶端指派給月臺。 您無法使用自動月臺指派。 請參閱如何手動安裝Configuration Manager客戶端一節,其中提供此設定方法的範例。安裝用戶端以進行內部網路用戶端管理,然後將以網際網路為基礎的用戶端管理點指派給用戶端。 使用 主控台 中Configuration Manager頁面上的用戶端屬性,或使用腳本來變更管理點。 當您使用此方法時,可以使用自動用戶端指派。 如需詳細資訊,請參閱 如何在用戶端安裝之後設定以網際網路為基礎的用戶端管理的客戶 端一節。
若要在網際網路上安裝用戶端,請選擇下列其中一個支援的方法:
提供機制,讓這些用戶端使用 VPN 暫時連線到內部網路。 然後使用任何適當的用戶端安裝方法來安裝用戶端。
使用與Configuration Manager無關的安裝方法。 例如,將用戶端安裝來源檔案封裝到卸載式媒體,並將媒體傳送給使用者。 用戶端安裝來源檔案位於
<installation path>\ClientConfiguration Manager月臺伺服器的資料夾中。 在媒體上,包含手動複製用戶端資料夾的腳本。 從此資料夾中,使用 CCMSetup.exe 和所有適當的 CCMSetup 命令列屬性來安裝用戶端。
注意事項
Configuration Manager不支援直接從以網際網路為基礎的管理點或從以網際網路為基礎的軟體更新點安裝用戶端。
透過網際網路管理的用戶端必須與以網際網路為基礎的月臺系統通訊。 安裝用戶端之前,請確定這些用戶端也具有公開金鑰基礎結構 (PKI) 憑證。 請從Configuration Manager獨立安裝這些憑證。 如需詳細資訊,請參閱 PKI 憑證需求。
藉由指定 CCMSetup 命令列屬性,在網際網路上安裝用戶端
遵循如何手動安裝Configuration Manager客戶端一節中的指示。 一律包含下列選項:
CCMSetup 命令列參數
/source:<local path of the copied Client folder>CCMSetup 命令列參數
/UsePKICertClient.msi 屬性
CCMHOSTNAME=<FQDN of internet-based management point>Client.msi 屬性
SMSSIGNCERT=<local path of exported site server signing certificate>Client.msi 屬性
SMSSITECODE=<site code of internet-based management point>
注意事項
如果網站有多個以網際網路為基礎的管理點,您為
CCMHOSTNAME屬性指定哪一個管理點並不重要。 當Configuration Manager用戶端連線到指定的網際網路型管理點時,它會將月臺中可用的網際網路型管理點清單傳送給用戶端。 用戶端會從清單中隨機選取一個。如果您不想讓用戶端檢查 CRL) (憑證撤銷清單,請指定 CCMSetup 命令列參數
/NoCRLCheck。如果您使用以網際網路為基礎的後援狀態點,請指定 Client.msi 屬性
FSP=<internet FQDN of the internet-based fallback status point>。如果您要安裝僅限網際網路用戶端管理的用戶端,請指定 Client.msi 屬性
CCMALWAYSINF=1。判斷您是否必須指定其他 CCMSetup 命令列參數。 例如,如果用戶端有多個有效的 PKI 憑證,您可能必須指定憑證選取準則。 如需可用屬性的清單,請 參閱關於用戶端安裝參數和屬性。
以網際網路為基礎的範例
CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1
此範例會安裝具有下列行為的用戶端:
- 從磁片磁碟機 D 上的資料夾使用來源檔案。
- 使用用戶端 PKI 憑證。
- 選取有效期間最長的憑證。
- 僅限網際網路的用戶端管理。
- 指派用戶端以使用名為 SERVER1 的網際網路型管理點。
- 在 contoso.com 網域中指派以網際網路為基礎的後援狀態點。
- 將用戶端指派給 ABC 網站。
在用戶端安裝之後設定以網際網路為基礎的用戶端管理的用戶端
若要在安裝用戶端之後指派以網際網路為基礎的管理點,請使用下列其中一個程式。 第一個需要手動設定,且適用于少數用戶端。 第二個比較適合用於設定許多用戶端。
從Configuration Manager控制台安裝用戶端之後,設定以網際網路為基礎的用戶端管理用戶端
開啟客戶端上的Configuration Manager控制台。
在 [ 網路] 索引標籤上,輸入以網際網路為基礎的管理點的完整功能變數名稱 (FQDN) 作為網際網路 FQDN。
注意事項
只有當用戶端具有用戶端 PKI 憑證時,才能使用 [ 網路 ] 索引標籤。
如果用戶端使用 Proxy 伺服器存取網際網路,請輸入 Proxy 伺服器設定。
使用腳本在用戶端安裝後設定以網際網路為基礎的用戶端管理用戶端
PowerShell
開啟 PowerShell 內嵌編輯器,例如 PowerShell ISE 或 Visual Studio Code。 您也可以使用文字編輯器,例如記事本。
將下列幾行程式碼複製並插入編輯器中。 將 取代
'mp.contoso.com'為網際網路型管理點的網際網路 FQDN。$newInternetBasedManagementPointFQDN = 'mp.contoso.com' $client = New-Object -ComObject Microsoft.SMS.Client $client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN) Restart-Service CcmExec $client.GetInternetManagementPointFQDN()注意事項
最後一行只會驗證新的網際網路管理點值。
若要刪除指定的網際網路型管理點,請移除引號內的伺服器 FQDN 值。 這一行會變成
$newInternetBasedManagementPointFQDN = ''。儲存副檔名為 .ps1 的檔案。
在用戶端電腦上以提高的許可權執行腳本。 使用下列其中一種方法:
使用套件和程式,將檔案部署至現有的Configuration Manager用戶端。
按兩下 檔案總管 中的腳本檔案,在現有的Configuration Manager用戶端上本機執行檔案。
您可能必須重新開機用戶端,變更才會生效。
布建用戶端安裝內容
布建群組原則和軟體更新型用戶端安裝的用戶端安裝屬性。 使用 Windows 群組原則來布建具有Configuration Manager用戶端安裝屬性的電腦。 這些屬性會儲存在電腦的登錄中。 用戶端會在安裝時讀取它們。 通常不需要此程式,但某些用戶端安裝案例可能需要此程式,例如:
您使用的是群組原則設定或軟體更新型用戶端安裝方法。 您尚未擴充 Configuration Manager 的 Active Directory 架構。
您想要覆寫特定電腦上的用戶端安裝屬性。
注意事項
如果在 CCMSetup.exe 命令列上提供任何安裝屬性,則不會使用電腦上布建的安裝屬性。
Configuration Manager安裝媒體上會提供名為 的 ConfigMgrInstallation.adm 群組原則系統管理範本。 使用此範本來布建具有安裝屬性的用戶端電腦。
提示
根據預設, ConfigMgrInstallation.adm 不支援大於 255 個字元的字串。 此設定可能會影響使用長值新增多個參數或參數,例如 CCMCERTISSUERS。
若要解決此問題:
- 在記事本中編輯
ConfigMgrInstallation.adm。 - 針對 屬性
VALUENAME SetupParameters,將值變更MAXLEN為較大的整數。 例如,MAXLEN 511。
使用群組原則物件設定及指派用戶端安裝內容
使用 Windows 群組原則 物件編輯器之類的編輯器,將 ConfigMgrInstallation.adm 系統管理範本匯入新的或現有的群組原則物件 (GPO) 。 您可以在Configuration Manager安裝媒體的 資料夾中
TOOLS\ConfigMgrADMTemplates找到此檔案。開啟匯入設定 [設定 用戶端部署設定] 的屬性。
選取 已啟用。
在 [CCMSetup] 方塊 中,輸入必要的 CCMSetup 命令列屬性。 如需所有 CCMSetup 命令列屬性及其使用範例的清單,請參閱 關於用戶端安裝參數和屬性。
將 GPO 指派給您想要使用Configuration Manager用戶端安裝內容布建的電腦。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應