如何在工作组计算机上安装 SCCM 客户端

---

本文演示如何在工作组计算机上安装 SCCM 客户端。通过在未加入域的设备上安装 ConfigMgr 代理，您可以使用 SCCM 控制台来管理它们。

在加入域的 Windows 计算机上安装 SCCM 客户端非常简单。您可以使用多种方法在 Windows 11 PC 上安装 SCCM 客户端。 ConfigMgr 层次结构可以管理多个 AD 林中的客户端以及工作组客户端。

如果要在工作组计算机上安装 SCCM 客户端，则不能使用客户端推送安装方法，因为它不受支持。工作组客户端无法访问通过客户端推送安装属性对话框中的“客户端”选项卡上定义的客户端安装属性在 AD 中发布的信息。

您可能对以下指南感兴趣：

• 在 Windows Server 2022 上安装 SCCM 客户端
• 重新安装 SCCM 客户端代理 - 经过验证的方法
• 如何在 Windows Server Core 上安装 SCCM 客户端
• 如何在 Mac 计算机上安装 SCCM 客户端代理
• 在 Linux 计算机上安装 SCCM 客户端代理

SCCM 工作组计算机的限制

当您计划使用 SCCM 管理工作组计算机时，存在一些限制。

• 工作组计算机无法从 AD 域服务找到管理点。
• 网络发现和检测信号发现是唯一可以发现工作组中计算机的发现方法。您无法运行 Active Directory 发现方法来发现具有 SCCM 的工作组计算机。
• 您不能使用客户端推送安装方法在工作组计算机上安装客户端。必须在工作组计算机上手动安装客户端代理。
• 针对用户的应用程序部署不适用于 SCCM 中的工作组计算机。
• 要支持工作组中的计算机，如果这些计算机使用 HTTP 客户端连接到站点系统角色，您必须手动批准这些计算机。这是因为配置管理器无法使用 Kerberos 对这些计算机进行身份验证。
• 工作组客户端不能是分发点。换句话说，您无法在工作组计算机上安装 SCCM 分发点角色。

在工作组设备上安装 SCCM 客户端的先决条件

让我们了解一下在工作组计算机上安装 ConfigMgr 代理之前必须满足的一些重要先决条件。

检查 SCCM 工作组设备的名称解析

工作组客户端无法访问 AD 域服务来查找管理点信息，因为它们不是域的一部分。因此，SCCM 工作组计算机能够解析管理点和分发点的 FQDN 至关重要；否则客户端安装会失败。在计算机无法解析 MP 和 DP 名称的某些情况下，可能需要将 DP 和 MP 条目添加到主机文件中。

还要确保 DNS 服务已启动并正在运行。在大多数情况下，如果 DNS 服务关闭或无法运行，任何客户端都将无法解析其他计算机的名称或 IP 地址。

在工作组计算机上，您可以运行两个基本命令来检查计算机是否可以联系管理点服务器并解析 MP 名称。

1. 使用 Ping 命令确定工作组客户端是否可以与管理点通信。
2. 使用 NSlookup 命令检查工作组计算机是否可以解析 MP 名称。

如果您发现上述两个命令都有效，并且工作组客户端可以与其他客户端通信并找出 MP 和 DP，则可以继续下一步。

如果工作组计算机无法解析管理点名称，您可以编辑hosts.txt 文件并手动添加 MP 服务器 IP 详细信息。 Hosts.txt 文件位于C:\Windows\System32\drivers\etc 中。您可以使用记事本对其进行编辑并添加管理点详细信息并保存。

配置网络访问帐户

如果您尚未在 SCCM 中配置网络访问帐户，则必须在工作组计算机上安装 ConfigMgr 客户端之前进行配置。请参阅如何配置 SCCM 网络访问帐户的指南。我发布了有关在 SCCM 中配置 NAA 的视频教程。

WorkGroup 客户端与 SCCM 服务器通信的防火墙端口

当您在工作组计算机（Windows 10 或 Windows 11）上安装 SCCM 客户端时，必须打开所需的防火墙端口以供客户端和 SCCM 服务器之间的通信。如果端口被防火墙阻止，客户端安装将失败，您必须查看 SCCM 日志文件以进一步排除故障。

如果站点系统服务器和工作组计算机之间有防火墙，请确认防火墙是否允许客户端安装所需端口的流量。为了使 SCCM 客户端安装在加入工作组的 Windows 设备上运行，必须在防火墙上打开或允许以下端口。

FromToTCP PortDescriptionWorkgroup ComputerManagement Point10123, 80, 443Client Notification, HTTP, HTTPSWorkgroup ComputerDistribution Point80, 443HTTP, HTTPSWorkgroup ComputerAD Domain3268, 3269LDAP, LDAP SSLWorkgroup ComputerSoftware Update Point8530 or 8531WSUS

在工作组计算机上安装 SCCM 客户端代理

现在，我们将完成在工作组计算机上安装 SCCM 客户端的步骤。该过程涉及在工作组计算机上手动运行带有附加参数的 ccmsetup.exe 命令。

步骤 1：将 SCCM 客户端安装文件复制到工作组计算机

在工作组计算机上安装 SCCM 客户端之前，您需要客户端源文件进行安装。据微软称，应首先将客户端源文件复制到工作组计算机，然后开始客户端代理安装。

您可以将外部设备（例如 USB 驱动器或 HDD）连接到工作组计算机，并将客户端源文件复制到该设备。或者，您可以将客户端安装文件复制到网络共享文件夹并访问该文件夹以获取文件。

可以从以下两个位置从 SCCM 服务器复制客户端源文件：

• :\Program Files\Microsoft Configuration Manager\Client
• \SMS_SiteCode\Client

客户端安装文件现已复制到工作组计算机的 C:\ 驱动器中。

步骤 2：在工作组计算机上手动运行 SCCM 客户端安装

在工作组计算机上，以管理员身份启动命令提示符。将路径更改为客户端安装文件所在的文件夹。您可以使用以下命令行在工作组（未加入域）Windows 计算机上安装 SCCM 客户端。

命令语法：

ccmsetup.exe /mp:<Management Point FQDN> SMSSITECODE=PPP SMSMP=<Management Point FQDN> DNSSUFFIX=<domain suffix>

命令用法：

ccmsetup.exe /mp:tec.prajwal.local SMSSITECODE=TEC SMSMP=tpcm.prajwal.local DNSSUFFIX=prajwal.local

注意：您用于安装客户端的帐户必须是本地管理员帐户或本地管理员组成员。

步骤 3：监控未加入域的计算机上的客户端安装

在工作组计算机上安装 SCCM 客户端后，您可以使用不同的方法监视安装。当您启动客户端安装时，您在工作组计算机上首先看到的是 ccmsetup.exe 进程。这确认 SCCM 客户端安装已在计算机上启动。

日志文件是监视工作组计算机上客户端安装的推荐方法。您可以使用 CMTrace 或 ConfigMgr 日志文件查看器等工具来读取日志文件。在工作组计算机上，查看位于 C:\Windows\ccmsetup\Logs 中的 ccmsetup.log 以跟踪客户端安装进度。

ccmsetup.log 中的以下行确认客户端安装在 SCCM 工作组计算机上成功。

Successfully deleted the ccmsetup service ccmsetup
CcmSetup is exiting with return code 0 ccmsetup

在 Configuration Manager 主站点服务器上，您可以查看 ClientLocation.log、LocationServices.log 和 ccm.log 文件来跟踪客户端的进度安装。

在工作组计算机上，从控制面板启动配置管理器小程序。您可以运行快捷命令“control smscfgrc”来启动配置管理器属性。切换到操作选项卡，现在我们看到只列出了 2 个客户端操作。查看所有 Configuration Manager 客户端操作的列表。

• 机器策略检索和评估周期
• 用户策略检索和评估周期

在工作组计算机上，我们只看到列出了两个操作周期，因为客户端在 SCCM 控制台中仍未获得批准。在 SCCM 控制台中批准工作组计算机后，您将在 Configuration Manager 属性中看到所有操作周期。

步骤 4：在 SCCM 控制台中手动批准工作组计算机

在工作组计算机上安装 SCCM 客户端后，您必须在控制台中手动批准它们。默认情况下，配置管理器中的客户端批准方法设置为自动批准受信任域中的计算机。您可以在站点层次结构设置下配置客户端批准方法。

在层次结构设置属性下，切换到客户批准和冲突记录选项卡。在客户批准方法下，您会注意到三个选项：

• 自动批准受信任域中的计算机（推荐）
• 手动批准每台计算机
• 自动批准所有计算机（不推荐）

如果您选择选项“自动批准所有计算机（不推荐）”，则所有工作组计算机都会自动获得 SCCM 批准。但是，这不是一个安全的选项，您必须避免使用它。

我们安装了 ConfigMgr 代理的工作组计算机现在应在控制台中列出，状态为“未批准”。使用以下步骤在 SCCM 控制台中手动批准工作组计算机：

• 启动配置管理器控制台。
• 导航到资产和合规性\概述\设备。
• 右键单击工作组计算机并选择批准。

您会看到一个消息框，其中包含以下消息：您将批准由此 Configuration Manager 层次结构管理的计算机。仅当您信任计算机时才批准它们。您确定要批准这些计算机吗？单击是以批准 SCCM 工作组计算机。

启动上述操作后，工作组计算机的状态将从未批准更改为已批准。

在 SCCM 中批准工作组计算机后，通过运行 control smscfgrc 命令启动配置管理器属性。切换到“操作”选项卡，现在我们看到客户端应该执行的所有操作。这确认客户端代理安装在未加入域的计算机上成功。

您还可以在工作组计算机上启动软件中心并安装应用程序，就像在加入域的计算机上通常执行的操作一样。