設定 System Center 2012 SP2 Configuration Manager 部署應用程式 (Endpoint Protection and Application)

2015-12-06

[ 確認 Configuration Manager 部署主控台版本 ]
開啟 Configuration Manager 主控台

點選關於 Configurartion Manager (左上角)

查看到詳細版本

[(變更語系更改 System Center 語言版本介面)]
執行 lpksetup (在搜尋下找應用程式)

安裝顯示語言 Install display languages
[ Ps.如 System OS 為 EN 更改為 TW Version (如果SCCM繁體語言則不需要調整) ]
[ 語言包位址 C:\Microsoft ISO\SCenter\SC2012_SP2\CM Prerequisites\LanguagePack... ]

執行 System Center Configuration Manager 主控台
點選系統管理
點選概觀
點選階層設定 (探索方法)
[ Ps.(預設值)Active Directory樹系探索是已停用在此需啟用才可探索到本身樹系的網域設備 ]

點選 Active Directory 樹系探索右鍵 (內容)

在一般頁面
勾選啟用 Active Directory 樹系探索
勾選探索到 Active Directory 站台界線時自動建立它們
勾選探索到 IP 子網路的IP位址範圍界線時自動建立它們
[ Ps.可設定排程每隔多久執行 ]

點選 Active Directory 系統探索右鍵 (內容)

在一般頁面
勾選啟用 Active Directory 系統探索
點選 Active Directory 容器 (太陽形狀)

點選瀏覽 (選擇目前的樹系)
(如 LDAP://DC=Keycats,DC=com)
點選確定

在輪詢排程頁面
勾選啟用差異探索
設定差異探索間隔(分鐘) 5分

在 Active Directory 屬性頁面
確認或要修改探索的物件後 objectGUID
點選確定

點選系統管理 (概觀)
點選階層設定界限 (Boundaries)
[ 在 System Center 2007 中用於 “界定網站管理範圍" ]
[ 在 System Center 2012 中增加了 “界限群組(Boundaries Group)的概念" 界限依然存在]

點選系統管理 (概觀)
點選階層設定界限群組 (Boundaries Group)
網站分配指定網頁管理範圍
內容位置指定所在範圍內的部署點 (Distribution Point)
[ Ps. Configuration Manager 的 Site(站點)指的是被 SCCM 伺服器所管理的"電腦集合" ]

一個 Site(站點) 可以容許多少台電腦主要根據 Site Boundaries 的設定
可選擇 IP Subnet, Active Directory Site, IPv6 Prefix, IP Address Range 方式設定範圍

(預設值) 界限的內容是無任何設定值需經過前一階段的設定
透過 [ Active Directory 樹系探索 ] 之後才可以查到 “目前被探索到的" 界限
點選 Active Directory 樹系探索 (右鍵) 立即執行樹系探索
[ Ps.若未來網域的拓樸有所異動或更新時請執行探索 ]

[ 以下介紹四項功能若情境較為特別或需要 “手動建立" [ 界限 ] (Boundary) ]
開啟 Configuration Manager Console
點選系統管理 (概觀)
點選階層設定 (界限) (右鍵) 建立界限
在新增 Boundary 的視窗中可以選擇 Type 類型(有四種)

[ IP子網路 (IP Subnet Type) ]
提供 Network 網段與 Subnet Mask 提供輸入自己的 Subnet ID
[ 舉例 ]
描述 : TW IP Subnet
類型 : IP子網路
網路 : 10.0.1.0
子網路遮罩 : 255.255.255.0
子網路識別碼 : 10.0.1.0

[ Active Directory 站台 (Active Directory Site Type) ]
(建議選項)
開啟 Active Directory (AD70)
透過 Browse 去查詢 Active Directory 站台及服務的站台設定
從目前 AD 站台及服務目前已有兩個站台 Taiwan-Cat , American-Cat

在建立界限頁面
點選一般 Active Directory 站台名稱
點選瀏覽
選擇 “已建立的站台服務"

[ 舉例 ]
描述 : Taipei-CAT
類型 : Active Directory 站台
Active Directory 站台名稱 : Taiwan-Cat (瀏覽搜尋已建立 AD站台及服務)

[ IPv6 首碼 ]
[ 舉例 ]
如 21DA:D3::/48 是路由首碼
或 21DA:D3:0:2F3B::/64 是子網路首碼

[ IP 位址範圍 ]
規劃使用一區段網路範圍
[ 舉例 ]
描述 : keycats.com/Taipei-CAT/192.168.110.0/24
類型 : IP位址範圍
起始 IP 位址 : 192.168.110.1
結束 IP 位址 : 192.168.110.254

[ 設定界限群組 ]
探索方法並不能協助建立 “界限群組" 因此需要手動建立 “界限群組"
開啟 Configuration Manager Console
選擇系統管理 (概觀)
點選階層設定 (界限群組) (右鍵) 建立界限群組
(或點選 Banner 左上方的 [ 建立群組 ])

在 General 一般頁面
輸入 Taiwan-Cat Boundary Group (名稱)
加入已建立的 Boundary

在參照頁面
勾選使用此界限群組進行站台指派
選擇 T01-Taiwan CAT Site 01 (指派的站台)
選擇 \SYSC75.keycats.com (選擇加入目前站台系統即可)
點選套用

[ 設定 Endpoint Protection 站台系統角色 ]
使用派送 System Center 2012 Endpoint Protection 至使用者端
需要新增 Endpoint Protection Point 角色到 SYSC75.keycats.com 伺服器主機上
開啟 Configuration Manager Console
選擇系統管理 (概觀)
點選站台 (伺服器和站台系統角色)
查到目前 SYSC75.keycats.com 伺服器已經擔任的站台系統角色

[ 目前未包含 Endpoint Protection Point ]
選擇 SYSC75.keycats.com 伺服器
選擇右鍵新增站台系統角色

在一般頁面
站台系統安裝帳戶 : 使用站台伺服器的電腦帳戶安裝此站台系統
Active Directory 樹系與網域 : Keycats.com
點選下一步 (確認資訊無誤)

在 Proxy 頁面
點選下一步
[ 舉例 ]
勾選同步處理來自網際網路的資訊時使用 Proxy 伺服器
Proxy 伺服器名稱 : 10.0.0.254
連接埠 : 8080
[ Ps.若環境有建置 Proxy Server 需要設定 ]

在系統角色選取頁面
勾選 Endpoint Protection 點
(會跳出警示請點選確定)
[ Ps.在此階段也可以勾選多個角色 ]

勾選我接受 Endpoint Protection 授權條款
點選下一步

在 Microsoft Active Protection Service 成員資格類型
選擇基本成員資格
點選下一步

在摘要頁面
點選下一步 (確認資訊無誤)

進度完成
角色描述從 [ 需要安裝 Configuration Manager 服務的任何伺服器 ]
變為 [ 作為 Endpoint Protection 點的站台系統角色 ]

[ 建立 Windows 7 8 10 系統集合 ]
(舉例)
管理員平時需要派送軟體到用戶端電腦要怎麼動作
[ 安裝一台 Windows 8 的電腦加入網域同時建立個 Windows 8 的集合 ]
開啟 Configuration Manager Console
選擇資產與相容性
點選概觀 (裝置集合)
(預設值)僅會有四種裝置集合
(分類所有未知電腦 , 所有行動裝置 , 所有系統 , 所有桌面和伺服器用戶端)

點選裝置集合(右鍵) 或(左上角)建立裝置集合

在一般頁面
輸入所有 Windows 7 8 10 系統 (名稱)
在限制集合欄位
點選瀏覽
選擇所有系統
點選下一步

在成員資格規則頁面
點選新增規則 (查詢規則)

在查詢規則內容頁面
輸入所有 Windows 7 8 10 系統 (名稱)
點選編輯查詢陳述式

在查詢陳述式內容頁面
點選準則
點選加入(太陽圖案)

在準則內容頁面
點選選取

在選取屬性頁面
屬性類別 : 系統資源
別名 : 無別名
屬性 : 作業系統名稱和版本
點選確定

在準則內容頁面
準則類型 : 簡單值
運算子 : 類似
值 : 6.2%
點選確定

在查詢陳述式內容頁面
點選確定 (確認已新增)

在查詢規則內容頁面
點選確定

在成員資格規則頁面
勾選針對此集合使用累加式更新
點選下一步

在摘要頁面
點選下一步(確認無誤)

[ 用戶端管理 ]
開啟 Configuration Manager Console
選擇資產與相容性 (概觀)
點選裝置集合
選擇所有系統
[ Ps.得知目前狀況已經掃描到 Active Directory 中的電腦數量為幾台 ]

選擇資產與相容性 (概觀)
點選裝置 (在標籤上右鍵)
查到目前被掃描到的電腦清單得知這些電腦是否為 Configuration Manager 的用戶端
(預設值)
[ Ps.不會有 “用戶類型" 和 “用戶版本" 這是管理者時常觀察的欄位(需手動加入) ]

[ 部署用戶端推入安裝方法 ]
在 System Center 系統產品對於用戶端的管理
主要透過在用戶端機器上安裝 “Client Agent (代理程式)" 的方式
並且使用群組原則手動安裝自動派送安裝等方法為用戶端電腦安裝 “用戶端代理程式"
針對 Configuration Manager Site 的用戶端使用 “派送" 與 “安裝代理程式"
後續就可以對用戶端進行管理控制

[ 設定用戶端安裝方式 ]
開啟 Configuration Manager Console
選擇系統管理 (概觀)
點選站台設定 (站台)
點選 T01 – Taiwan CAT Site (主要的站台名稱)
點選設定 (用戶端安裝設定)
點選用戶端推入安裝或 (在 “主要的站台名稱" 右鍵)

在用戶端推入安裝頁面
勾選啟用自動全站台用戶端推入安裝

在帳戶頁面
點選加入 (太陽圖案) 新增帳戶
[ Ps.具有 “目的電腦本機管理者身分帳號" ]

輸入 Keycats\Administrator (使用者名稱)(或瀏覽加入管理者)
點選確定

[ 安裝用戶端 ]
開啟 Configuration Manager Console
選擇資產與相容性 (概觀) 裝置
選擇 SYSC75 (派送給伺服器電腦)
點選安裝用戶端 (上方)(或 “主要的機器裝置" 右鍵)

安裝 Configuration Manager 用戶端精靈
點選下一步

在安裝選項頁面
勾選允許用戶端軟體安裝在網域控制站上
點選下一步

在摘要頁面
點選下一步 (確認要安裝的對象與內容無誤)
在完成頁面
點選關閉 (確認安裝的設定成功)
這個階段完成後系統需花費一些時間進行推送用戶端安裝程式
[ 注意 : 雖然這個階段很快就結束但不代表用戶端已經安裝成功 ]

設定完畢
(確認目前主控台已經看到該用戶端的狀態)

[ 檢查用戶端代理程式已完成安裝 ]
經過部署一段時間請先登入目的端
檢查控制台是否多了一個 “Configuration Manager" 的項目

檢查開始功能表是否多了一個 “軟體中心" 的項目

[ 部屬安裝 Endpoint Protection 2012 ]
在 Configuration Manager 2007 R3 以前的版本
若需要部署 Forefront Endpoint Protection 2010
還需要安裝 Forefront 的管理主控台

在 Configuration Manager 2012 之後
若需要部署 System Center 2012 Endpoint Protection 變得更簡單
開啟 Configuration Manager Console 直接整合 Endpoint Protection 的管理主控台

若環境中已經有安裝舊版的 Forefront Client Security ,
Forefront Endpoint Protection 2010 , Symantec Endpoint Protection 或趨勢的..
[ 注意 : 在部署會自動移除微軟舊版或病毒軟體並自動安裝 Endpoint Protection 2012 ]

[ 設定 (啟用)部署 Endpoint Protection 針對全域用戶端 ]
開啟 Configuration Manager Console
選擇系統管理 (概觀)
點選用戶端設定
選項預設用戶端設定
點選內容

在預設設定頁面
選擇 Endpoint Protection
將 “在用戶端電腦上管理 Endpoint Protection 用戶端" 的選項設定為 “是"
[ Ps.選擇 “是" 則選項才會從 “反灰" 變成 “啟動" ]

將 “在用戶端電腦上安裝 Endpoint Protection 用戶端" 的選項設定為 “是"
將 “安裝 Endpoint Protection 之前自動移除先前安裝的反惡意程式碼軟體" 的選項設定為 “是"
(在用戶端電腦安裝 Endpoint Protection 之前會將微軟舊版或其它廠牌的防毒軟體"移除")

[ 設定 (啟用)部署 Endpoint Protection 針對 “自訂裝置集合" 用戶端 ]
開啟 Configuration Manager Console
選擇系統管理 (概觀)
點選用戶端設定
點選建立自訂用戶端裝置設定 (或在用戶端設定右鍵)

輸入安裝 Endpoint Protection 到用戶端 (名稱)
勾選 Endpoint Protection

在 Endpoint Protection 頁面
確認需要部署的設定
點選確定

返回用戶端設定頁面
選擇剛建立的原則 “安裝 Endpoint Protection 到用戶端"
點選 (上方)部署 (或 “安裝 Endpoint Protection 到用戶端" 右鍵)

在選取集合頁面
選擇要安裝的用戶端 “集合裝置"
選擇所有桌面和伺服器用戶端
點選確定
[ 注意 : 需要先安裝 Configuration Manager 的代理程式才能派送 Endpoint Protection ]

請等待部署安裝時間
則會發現用戶端已完成安裝 “System Center Endpoint Protection"

[ 監視目前 Endpoint Protection 狀態 ]
開啟 Configuration Manager Console
選擇監視 (概觀)
點選 Endpoint Protection 狀態 (System Center Endpoint Protection 狀態)
[ Ps.查看已完成安裝 Endpoint Protection 作用中的用戶端 ]

點選處於風險的作用中用戶端
(查看到 “尚未更新"病毒碼作用中的用戶端)
點選受 Endpoint Protection 保護的作用中的用戶端
(查看到 “已經更新"病毒碼作用中的用戶端)

[ 部署應用程式順序流程 ]
(建置套件 > 建立發佈點 > 部署套件)
在執行派送軟體此階段前請確認 “目標電腦" 已經安裝 Configuration Manager 用戶端程式
則使用 MSI 格式安裝在 Configuration Manager 是可以設定為 “安靜安裝" 不需要與使用者互動

[ 建立套件 ]
開啟 Configuration Manager Console
選擇軟體程式庫 (概觀)
點選應用程式管理 (套件)
點選建立套件 (介面上方)(或套件右鍵)

[ 範例 7zip 安裝軟體為例 ]
輸入名稱 : 應用程式名稱 (建置後出現位置在軟體中心 “名稱")
輸入描述 : 應用程式詳細資訊 (內容可查看)
輸入製造商 : 廠商名稱 (建置後出現位置在軟體中心 “發行者")
輸入語言 : 各國語言 (zh-TW)
輸入版本 : (1.0) (建置後出現位置在軟體中心 “名稱後方")