SCCM 应用之远程控制.docx

1、SCCM 应用之远程控制SCCM (ConfigMgr ) 2007电子手册ConfigMgr应用之远程控制 2009年8月 CoreIO技术专家Leo Huang 目 录【1】应用背景和商业价值 3【2】启用SCCM远程控制客户端代理 4【3】赋予管理员SCCM远程控制权限 6【4】赋予管理员DCOM权限 11【5】在管理员客户端安装SCCM控制台 125.1 安装所需补丁 125.2 安装SCCM管理控制台 12【6】管理员如何实现远程控制 18【附】DCOM权限的设置 20SCCM应用之远程控制【1】应用背景和商业价值 应用背景：Leo是公司IT管理员，负责公司桌面维护工作。作为公司唯一

2、的桌面维护管理员，需要同时维护分布在同一市区两栋办公楼的用户计算机和文件服务器。Leo所在的办公楼有三层，其主要工作是帮助同事排除各种电脑故障和管理文件服务器。Leo使用一台XP计算机xp-ccm-作为远程客户端和服务器日常维护终端。Leo希望借助公司部署的SCCM方案完成远程维护。在开展远程维护工作之前，Leo向负责系统管理的同事申请使用SCCM部分功能。公司系统管理员经过仔细的规划，从安全使用方面采取下面的操作以帮助Leo完成所需的工作：（1）在SCCM控制台配置远程客户端代理；（2）在SCCM控制台创建了新的集合，比如“公司文件服务器”（关于如何创建新集合，请参考SCCM 配置之自定义集

3、合）；（3）设置Leo对SCCM服务器分布式组件远程激活权限；（4）在SCCM控制台授予Leo对合适的集合执行远程控制的权限；（5）在Leo的计算机上安装SCCM控制台。完成这些安装配置后，Leo就可以很方便地管理位于不同建筑和不同楼层的客户端及文件服务器了。 此次方案说明的拓扑简图：在活动目录中新建用户Leo，并把该帐号加入到xp-ccm-计算机本地管理员组中。【2】启用SCCM远程控制客户端代理 在SCCM管理控制台，依次展开左侧树状导航栏的“站点数据库”“站点管理”“LEO-公司总站点”“站点设置”，选择该节点下的“客户端代理”，在右侧详细信息面板中，选择“远程工具客户端代理”，右击该项

4、选择属性。打开“远程工具客户端代理属性”后，在“常规”选项卡中，选中“在客户端上启用远程工具”复选框。我们可以选择选中或清除“用户无法更改远程控制面板中的策略或者通知设置”，如果选择该复选框，则在客户端计算机上不能修改远程控制面板中的策略配置，这里清除该复选框。选中“管理员尝试访问客户端时询问权限”前的复选框，即当远程管理员每次发起远程工具连接到客户端计算机时都要向客户端计算机的“主人”询问权限。分别在“运行Windows 2000的客户端”和“运行Windows XP或更高版本的客户端允许的访问级别”下拉框选择允许访问的级别，比如说“仅查看”或者完全控制。【3】赋予管理员SCCM远程控制权限

5、下面我们将在SCCM站点服务器新建远程控制专用用户Leo并赋予适当的权限。登录到SCCM服务器，展开“站点数据库”，展开“安全权限”。右击“用户”，在弹出的菜单里选择“管理ConfigMgr用户（U）”，点击该项打开SCCM用户设置向导。忽略向导欢迎页，点击下一步。在“用户名”向导页面，我们有三种选择：修改现有用户（及其权限）；添加新用户；删除现有用户（及其权限）。这里我们选择“添加新用户”，在其下面的内容中输入coreioLeo或者通过“浏览”来查找Leo这个用户。确认无误后，点击下一步。在“用户权限”子页中，选择“添加另一权限或修改现有权限（A）”。点击下一步。在“添加权限”子页，从“类”

6、右侧的下拉框中选择Leo所能管理的SCCM类别，这里我们选择“集合”；从“实例”右侧的下拉框中选择集合的实例，比如我们这里选择“所有Windows XP系统”。在“权限”下，我们可以赋予Leo对该集合实例“所有Windows XP系统”适当的权限，考虑到leo用户只需要查看该集合的成员信息以及只需要执行远程工具，这里我们选择“读取”和“使用远程工具”这两个权限。确定，点击下一步。检查赋予权限是否足够或者超出，确认无误后，我们可以选择“理出的权限已经足够”。在摘要向导页，查看操作信息是否恰当，如果不恰当，可以返回上一步修改。点击下一步，完成赋予权限向导设置。点击完成关闭向导。同样，我们也可以把

7、“所有Windows Server 2003系统”这个集合实例的适当权限分配给Leo管理。完成赋予权限后，我们返回到 SCCM管理控制台。在“站点数据库”-“安全权限”节点下选择“权限”，在右侧详细信息面板将展示出所有用户名和其对应的权限。【4】赋予管理员DCOM权限安装完SCCM主站点程序后，将在该服务器本地组添加“ConfigMgr Remote Control Users”这个安全组。该组默认具备DCOM远程激活权限，所以我们把任何用户添加到该组都可以访问SCCM相关的实例（赋予权限操作请参照【3】赋予管理员SCCM远程控制权限）这里我们在SCCM站点服务器中，右键点击“我的电脑”，选择

8、点击“管理”，打开“计算机管理”界面。展开“系统工具”“本地用户和组”后，选择“本地用户和组”下的“组”，在右侧详细面板选择“ConfigMgr Remote Control Users”，右击该项打开属性对话框，在属性对话框中点击“添加”，把coreioLeo这个账号添加到该安全组中。注：把帐号直接添加到ConfigMgr Remote Control Users组的配置是一种低安全，建议我们可以在SCCM服务器上配置DCOM远程激活权限，因为DCOM远程激活权限相对是一种高级别安全的配置。如何配置DCOM激活权限，请参考文中最后的（【附】DCOM权限的设置）【5】在管理员客户端安装SCCM

9、控制台coreioLeo已经是其维护终端计算机 xp-ccm-的本地管理员，此时leo可以登录到该计算机安装SCCM控制台。5.1 安装所需补丁.Net Framework 2.0 (必需)MMC 3.0 for Windows XP(必需)KB913538 for Windows XP(可选，安装完需要重启计算机)KB932303 for Windows XP(可选，需要先安装WindowsInstaller3.1-KB893803或后需版本)Microsoft XML Core Service 6.0(即MSXML6.0，可选)KB936059 for XP(可选，如果配置了带外管理点则需

10、要安装此补丁)5.2 安装SCCM管理控制台 安装完所需的补丁后，我们还要确保安装SCCM控制台的计算机的配置符合要求，所以首先检查先决条件。将SCCM安装盘插入计算机光驱（或复制安装文件到计算机），点击安装程序打开SCCM安装首页。点击“运行先决条件检查程序（U）”。在“安装先决条件检查”输出结果中，确保通过先决条件检查。关闭“安装先决条件检查”对话框，返回到SCCM安装首页。点击安装下的“Configuration Manager 2007 SP1(C)”进入到SCCM安装向导。跳过欢迎页，下一步。在“可用的安装选项中”，我们有四种选择。系统通过自动评估系统类型（服务器或客户端及其版本）帮

11、我们选择“安装或升级管理员控制台”。接受许可条款，下一步；选择是否参与客户体验改善计划，下一步；在“目标文件夹”向导页面，选择默认提供的程序安装路径或者点击浏览自定义程序安装路径。这里我们保持默认设置。在“站点服务器”向导页面，输入SCCM服务器计算机名，这里我们输入“configmgr”。点击下一步。在“设置摘要”向导页面，查看主要安装配置信息。如果需要修改不合适的配置，可点击页面底部的“上一步”返回到需要进行修改操作的向导页面。确认后点击安装开始安装。等待3分钟左右，SCCM控制台安装完毕。点击完成关闭向导。从“开始”“所有程序”“Microsoft System Center”“Conf

12、iguration Manager 2007控制台”打开SCCM管理控制台（也可在桌面上创建SCCM控制台快捷方式）打开SCCM控制台后，当我们尝试去展开“站点数据库”“站点管理”时，在“站点管理”以下的节点都是不可用的。在“计算机管理”节点，我们在“集合”下可以仅查看两个集合实例“所有Windows Server 2003 系统”和“所有Windows XP 系统”。而对于其他的一些对权限敏感的功能都会明文提示“没有执行此操作的安全权限”。而对于两个集合实例，Leo这个用户可以查看和执行远程工具。【6】管理员如何实现远程控制在SCCM控制台“计算机管理”节点，在“集合”下单击选择“所有Win

13、dows Server 2003 系统”，则在右侧详细信息面板中，我们可以选择“CONFIGMGR”计算机来进行操作。右击该项，在弹出的菜单中选择“启动”“远程工具” 在启用SCCM远程控制客户端代理中，我们设置当管理员执行远程工具时需要请求目标计算机的权限。在远程控制的目标计算机，一旦发起远程连接时，远程控制代理都会弹出对话框，让用户选择是否允许指定的用户远程控制计算机。这里我们选择是。远程控制效果图如下。远程控制的窗口是可伸缩的。如果计算机被远程控制，则在被控制计算机桌面任务栏的右下角将出现远程控制图标，将鼠标置于图标处将显示计算机正在被谁控制。【附】DCOM权限的设置该信息截屏“SCCM主题帮助”。注：我们可以在第5步中，也可以添加单个用户。