在 Configuration Manager 中部署用戶端的建議
適用於:Configuration Manager (目前的分支)
規劃
使用階段式推出來管理 CPU 使用量
若要將 CPU 處理需求對月臺伺服器的影響降到最低,請使用分階段推出用戶端。 在上班時間以外部署用戶端。 此做法可讓其他服務在一天中擁有更多可用頻寬。 如果使用者的電腦速度變慢或需要重新開機,也不會中斷使用者生產力。
事先準備必要的 PKI 憑證
PKI 憑證可啟用下列案例:
- 啟用 HTTPS 的用戶端通訊
- 管理網際網路上的裝置
- 註冊內部部署 MDM 的行動裝置
- 註冊 macOS 裝置
您需要特定月臺系統和用戶端裝置上的憑證。 最常見的月臺系統是管理點和發佈點。 在生產網路上,您可能需要變更管理核准才能使用新的憑證或重新開機月臺系統伺服器。 使用者可能也需要登出 Windows,才能取得新的群組成員資格。 請務必允許足夠的時間來複寫安全性許可權和新的憑證範本。
如需詳細資訊,請參閱 PKI 憑證需求。
在您開始之前
擴充 Active Directory 架構併發布網站,讓您可以在沒有命令列選項的情況下執行 CCMSetup
當您擴充 Configuration Manager 的 Active Directory 架構,並將月臺發佈至 Active Directory 網域服務 時,月臺會將許多用戶端安裝屬性發佈至 Active Directory。 如果電腦可以找到這些用戶端安裝屬性,則可以在Configuration Manager用戶端部署期間使用它們。 由於月臺會自動產生這項資訊,因此可消除與手動輸入安裝內容相關聯的人為錯誤風險。
如需詳細資訊,請參閱關於發佈至 Active Directory 網域服務 的用戶端安裝屬性。
安裝用戶端語言套件
部署用戶端之前,請先安裝任何必要的用戶端語言套件,以啟用其他語言。 如果您在安裝用戶端之後在月臺上安裝用戶端語言套件,您必須先重新安裝用戶端,用戶端才能使用新的語言。
如需詳細資訊,請參閱 語言套件。
設定任何必要的用戶端設定和維護時段
雖然您可以在安裝用戶端之前或之後設定用戶端設定和維護時段,但最好先設定必要的設定,再安裝用戶端。 然後用戶端可以在安裝時立即使用它們。 如需用戶端指派程式期間下載設定的詳細資訊,請參閱 如何將用戶端指派給月臺。
設定伺服器和 Windows Embedded 裝置的維護期間,以支援重要裝置上的商務持續性。 維護期間請確定必要的軟體更新和反惡意程式碼軟體不會在上班時間重新開機電腦。
如需詳細資訊, 請參閱設定用戶端設定 和 如何使用維護時段。
安裝
如果您安裝具有client.msi屬性的用戶端,請使用 SMSMP 和 FSP
SMSMP屬性會指定用戶端的初始管理點。 它會移除服務位置解決方案的相依性,例如Active Directory 網域服務和 DNS。
使用 FSP 屬性並安裝後援狀態點。 它可讓您更妥善地監視用戶端安裝和指派,並識別任何通訊問題。
如需這些選項的詳細資訊,請 參閱關於用戶端安裝屬性。
針對 Active Directory 電腦使用以軟體更新為基礎的用戶端安裝
此用戶端部署方法具有下列優點:
- 使用現有的 Windows 技術
- 與 Active Directory 基礎結構整合
- 需要最少的設定Configuration Manager
- 這是設定防火牆最簡單的方式
- 這是最安全的
藉由使用群組原則組態的安全性群組和 WMI 篩選,您也可以彈性地控制哪些電腦安裝Configuration Manager用戶端。
如需詳細資訊,請參閱如何使用以軟體更新為基礎的安裝來安裝Configuration Manager用戶端。
在主要用戶端部署完成後啟用自動升級
Configuration Manager的效能改善可讓您使用自動升級作為主要用戶端升級方法。 不過,效能將取決於您的階層基礎結構,例如用戶端數目。
如果您使用另一個用戶端安裝方法作為主要升級方法,請使用自動用戶端升級來攔截遺漏的電腦。 例如,在主要部署期間離線的裝置。
如需詳細資訊,請參閱 自動用戶端升級。
將月臺系統指派為用戶端至相同的月臺
如果您在月臺系統上安裝Configuration Manager用戶端,請將它們指派給相同的月臺。 管理點和發佈點等角色在角色與用戶端之間有共用的二進位檔案。 這些共置的用戶端應一律與月臺系統角色相同。
例如,針對月臺 XYZ 中的管理點,將安裝在此月臺系統伺服器上的用戶端指派給月臺 XYZ。
其他裝置類型
規劃 Mac 電腦和行動裝置的使用者註冊體驗
如果使用者將使用Configuration Manager註冊自己的 macOS 電腦和行動裝置,請規劃使用者體驗。 例如,您可以使用網頁編寫安裝和註冊程式的腳本。 然後,使用者只會輸入所需的最小資訊量。 您也可以使用電子郵件連結來傳送指示。
為 Windows Embedded 裝置撰寫篩選
使用增強寫入篩選器 (EWF) 的內嵌裝置可能會遇到狀態訊息重新同步處理。 例如,它們會傳送完整清查,而不是差異清查。 如果您只有一些使用增強式寫入篩選的內嵌裝置,您可能不會注意到任何專案。 不過,當您有許多內嵌裝置重新同步處理其資訊時,此行為可能會在月臺伺服器上產生明顯增加的網路封包和更高的 CPU 處理。
當您選擇要啟用哪種類型的寫入篩選時,請選擇檔案型寫入篩選 (FBWF) 或統一寫入篩選 (UWF) 。 設定例外狀況,以在裝置重新開機之間保存用戶端狀態和清查資料。 這些例外狀況可改善Configuration Manager用戶端上的網路和 CPU 效率。 如需詳細資訊,請參閱 規劃將用戶端部署至 Windows Embedded 裝置。
如需主要月臺可支援之 Windows Embedded 用戶端數目上限的詳細資訊,請參閱 用戶端和裝置支援的作業系統。
重要事項
針對您打算使用統一寫入篩選器 (UWF) 來保護的 Windows 電腦,請先設定 UWF 的裝置,再安裝用戶端。 此設定可讓Configuration Manager使用自訂認證提供者來安裝用戶端,以鎖定低許可權使用者在維護模式期間登入裝置。