在 Windows Server(R) 2008 R2 中,您可以使用伺服器管理員在遠端電腦上執行一些管理工作。若要使用伺服器管理員遠端管理電腦,您要將伺服器管理員連線到遠端電腦,連線方式與使用其他技術時連線 Microsoft Management consoles (MMCs) 的方式相同。
支援的遠端管理狀況
在 Windows Server 2008 R2 中,可以從伺服器管理員支援下列遠端管理狀況。
- 伺服器對伺服器 Windows Server 2008 R2 完 整安裝上的伺服器管理員,可用來管理安裝於另一台執行 Windows Server 2008 R2 之伺服器上的角色和功能。
- 伺服器對 Server Core 完整安裝的 Windows Server 2008 R2 上的伺服器管理員可用來管理執行 Server Core 安裝之 Windows Server 2008 R2 上所安裝的角色和功能。
- 用戶端對伺服器 在執行 Windows(R) 7 的電腦上,伺服器管理員是安裝為遠端伺服器管理工具的一部分。如此可用來管理執行完整或 Server Core 安裝之 Windows Server 2008 R2 電腦上的角色和功能。
| 來源電腦 | 對遠端電腦 | 網域 C (新增為信任的主機) | |||
|---|---|---|---|---|---|
網域 A | 網域 B | 工作群組 | |||
網域 A | √ | ||||
網域 B | √ | ||||
工作群組 | √ | √ | |||
 | 附註 |
|
使用伺服器管理員遠端管理的安全性考量
 | 重要 |
您必須是要使用伺服器管理員管理之電腦上的 Administrators 群組成員。 |
由於伺服器管理員遠端管理功能是使用 Windows PowerShell 技術提供,因此伺服器管理員遠端管理的安全性考量和 Windows PowerShell 相同。惡意使用者可能會嘗試透過遠端連線竊取系統管理員提供的認證,不過一般而言,這種風險很低。其他風險極低的潛在威脅包括惡意使用者試圖修改動態連結程式庫 (DLL),或是嘗試取得伺服器管理員記錄檔中的敏感或個人身分識別資料。擁有存取本機電腦之權限的使用者可以讀取伺服器管理員記錄檔,但這些記錄檔不包含密碼之類等敏感的個人或帳戶資訊。
可以使用伺服器管理員在遠端伺服器上執行的工作
您可以在遠端電腦的伺服器管理員中執行下列工作。
- 檢視 Windows 自動更新狀態
- 對角色執行 Best Practices Analyzer 掃描。如需相關資訊,請參閱在 Best Practices Analyzer 中執行和篩選掃描。
- 檢視或變更Windows 客戶經驗改進計畫 (CEIP) 狀態
- 設定 Windows 錯誤報告
- 檢視或變更 Windows 防火牆資訊
- 從角色首頁檢視和管理角色
附註 若要使用連線至遠端伺服器之伺服器管理員主控台中與角色或功能相關的工具或嵌入式管理單元,必須使用遠端伺服器管理工具在來源電腦上安裝這些工具。
- 檢視 Internet Explorer 進階安全性組態設定
- 從角色首頁管理服務
無法使用伺服器管理員遠端執行的工作
在遠端伺服器管理員工作階段中無法完成下列工作,主要是為了將伺服器的安全性風險降到最低。
- 新增或移除角色、角色服務與功能
- 設定遠端桌面設定
- 設定系統內容
- 檢查新的角色
- 變更 Windows 自動更新設定
- 變更網路設定
- 變更電腦名稱或網域成員資格
- 變更 Internet Explorer 進階安全性組態設定
- 如果來源電腦是執行 Windows Server 2008 R2 的伺服器,請執行 [安全性設定精靈]。
啟用或停用 Windows Server 2008 R2 中的遠端管理
為協助保護伺服器避免未經授權的存取,以及在系統管理員使用伺服器管理員遠端連線到執行 Windows Server 2008 R2 的電腦前,必須先在目的電腦上啟用伺服器管理員遠端管理。
使用伺服器管理員設定伺服器以進行遠端管理之前,必須先啟用數個控制 Windows 防火牆例外的群組原則設定。請遵循設定伺服器管理員遠端管理的群組原則中的步驟,確認沒有群組原則設定覆寫遠端管理伺服器的設定。
| 附註 |
本節中的程序僅能在執行 Windows Server 2008 R2 的電腦上完成。您無法在執行 Windows 7 的電腦上啟用或停用遠端管理,因為 Windows 7 無法透過伺服器管理員進行管理。 |
 | 設定伺服器管理員遠端管理的群組原則 |
在想要遠端管理的電腦上,開啟 [本機群組原則編輯器]。若要這樣做,依序按一下 [開始]、[執行],在 [開啟] 方塊中輸入 gpedit.msc,然後按 Enter。
依序展開 [電腦設定]、[系統管理範本]、[Windows 元件]、[Windows 遠端管理],然後選取 [WinRM 服務]。
在詳細資料窗格中,按兩下 [允許自動設定接聽程式]。
選取 [已啟用],然後按一下 [確定]。
在樹狀目錄窗格中,依序展開 [Windows 設定]、[安全性設定]、[具有進階安全性的 Windows 防火牆] 以及 [具有進階安全性的 Windows 防火牆]。
在 [輸入規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]。
在 [新增輸入規則精靈] 中的 [規則類型] 頁面,選取 [預先定義的]。
在 [預先定義的] 下拉式功能表中選取 [遠端事件記錄檔管理]。按 [下一步]。
在 [預先定義的規則] 頁面上,按 [下一步] 接受新的規則。
在 [執行動作] 頁面上,選取 [允許連線],然後按一下 [完成]。[允許連線] 是預設選項。
為下列其他兩個預先定義規則類型重複步驟 5 到 10,以建立新的輸入規則。
- 遠端服務管理
- Windows 防火牆遠端管理
- 遠端服務管理
關閉 [本機群組原則編輯器]。
| 使用 Windows 介面設定伺服器管理員遠端管理 |
在想要遠端管理的電腦上,開啟伺服器管理員。若要開啟 [伺服器管理員],請按一下 [開始],指向 [系統管理工具],再按一下 [伺服器管理員]。
在伺服器管理員首頁的 [伺服器摘要] 區域中,按一下 [設定伺服器管理員遠端管理]。
執行下列其中一項。
- 若要能夠使用伺服器管理員遠端管理此電腦,請選取 [啟用從其他電腦遠端管理此伺服器]。
- 若要禁止使用伺服器管理員遠端管理此電腦,請清除 [啟用從其他電腦遠端管理此伺服器] 核取方塊。
- 若要啟用遠端管理但不變更設定,請遵循設定伺服器管理員遠端管理的群組原則程序中的步驟,然後移至下一個步驟。
- 若要能夠使用伺服器管理員遠端管理此電腦,請選取 [啟用從其他電腦遠端管理此伺服器]。
按一下 [確定]。
確認已啟用下列防火牆規則的例外,而且群組原則設定未停用這些例外。
- 遠端服務管理 (NP-In)
- 遠端服務管理 (RPC)
- 遠端服務管理 (RPC-EPMAP)
- 遠端事件記錄檔管理 (NP-In)
- 遠端事件記錄檔管理 (RPC)
- 遠端事件記錄檔管理 (RPC-EPMAP)
- Windows 防火牆遠端管理 (RPC)
- Windows 防火牆遠端管理 (RPC-EPMAP)
若要執行此動作,請執行下列步驟:
執行下列其中一個動作,開啟 [具有進階安全性的 Windows 防火牆] 嵌入式管理單元:
在伺服器管理員主視窗的 [安全性資訊] 區域中,按一下 [移至 Windows 防火牆]。
在 [伺服器管理員] 樹狀目錄窗格中,展開 [設定],然後按一下 [具有進階安全性的 Windows 防火牆]。
按一下 [開始],指向 [系統管理工具],然後按一下 [具有進階安全性的 Windows 防火牆]。
在 [具有進階安全性的 Windows 防火牆] 詳細資料窗格的 [開始使用] 區域中,按一下 [輸入規則]。
在規則清單中,找到此步驟中指定的規則。
如果任何指定規則的 [已啟用] 欄位中顯示 [否],請按兩下規則,開啟該規則的 [內容] 對話方塊。
在規則的 [內容] 對話方塊的 [一般] 索引標籤上,選取 [已啟用]。按一下 [確定]。
附註 如果停用 [遠端事件記錄檔管理] 防火牆規則的例外,雖然仍然能夠使用伺服器管理員進行遠端管理,不過遠端連線時間可能會非常慢,這與要管理之電腦上執行的角色與功能數量有關,除非啟用這些防火牆規則的例外。建議您啟用 [遠端事件記錄檔管理] 防火牆規則,以避免連線延遲。
- 遠端服務管理 (NP-In)
| 使用 Windows PowerShell 設定伺服器管理員遠端管理 |
在想要遠端管理的電腦上,以較高的使用者權限開啟 Windows PowerShell 工作階段。若要這樣做,依序按一下 [開始]、[所有程式]、[附屬應用程式]、[Windows PowerShell],在 [Windows PowerShell] 捷徑上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。
在 Windows PowerShell 工作階段中,輸入下列命令,然後按 Enter。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
輸入下列命令,然後按 Enter,啟用所有需要的防火牆規則例外。
Configure-SMRemoting.ps1 -force -enable
| 在執行 Server Core 安裝選項的 Windows Server 2008 R2 上設定遠端管理 |
在想要遠端管理的電腦上,以 Administrators 群組成員的身分登入執行 Server Core 安裝選項的 Windows Server 2008 R2 的電腦,在預設開啟的命令提示字元中輸入下列命令,然後按 Enter。
Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets
在安裝完成後,關閉所有應用程式,然後重新啟動電腦。
若要確認已安裝 Windows PowerShell 與伺服器管理員 Cmdlet 以及 Best Practices Analyzer,請嘗試輸入 oclist 命令,該命令會傳回電腦上安裝之所有 Windows 功能的清單。
作業系統完成載入後,必須以本機 Administrators 群組成員的身分登入電腦。
在登入電腦後開啟的命令提示字元視窗中,輸入下列命令以開啟 Windows PowerShell 工作階段,然後按 Enter。
powershell
在 Windows PowerShell 工作階段中,輸入下列命令,然後按 Enter。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
輸入下列命令,然後按 Enter,啟用所有需要的防火牆規則例外。
Configure-SMRemoting.ps1 -force -enable
使用伺服器管理員連線到遠端電腦
執行下列動作,使用伺服器管理員管理遠端伺服器。
| 使用伺服器管理員連線到另一台電腦 |
開啟 [伺服器管理員]。若要開啟 [伺服器管理員],請按一下 [開始],指向 [系統管理工具],再按一下 [伺服器管理員]。
在樹狀目錄窗格中的 [伺服器管理員] 上按一下滑鼠右鍵,然後按一下 [連線到另一台電腦]。
在 [連線到另一台電腦] 對話方塊的 [另一台電腦] 文字方塊中,輸入另一台執行 Windows Server 2008 R2 之電腦的名稱或 IP 位址,或瀏覽至網路上的另一台伺服器。按一下 [確定]。
在 [另一台電腦] 字串方塊中,您可以指定 NetBIOS 名稱、完整網域名稱 (FQDN) 或 IPv4 或 IPv6 位址。若未指定任何連接埠號碼,則會使用預設的連接埠號碼。下列是您可以在 [另一台電腦] 文字方塊中指定的格式範例。
- ComputerName
- ComputerName:PortNumber
- IP 位址:n.n.n.n
- IPv6 位址:[n:n:n:n]
- IPv4 位址與連接埠號碼:n.n.n.n:PortNumber
- IPv6 位址與連接埠號碼: [n:n:n:n]:PortNumber
附註 若系統管理員變更電腦的預設連接埠號碼,必須在 Windows 防火牆中開啟非預設的連接埠,以允許該連接埠的連入連線。當您依照本主題中設定伺服器管理員遠端管理的群組原則所述的方式設定 WinRM 時,預設會開啟連接埠 5985。非預設的連接埠在開啟之前會一直維持封鎖。如需如何在 Windows 防火牆中解除封鎖連接埠的相關資訊,請參閱 Windows 防火牆的說明。如需如何設定 WinRM 的相關資訊,請在命令提示字元工作階段中輸入 winrm help,然後按 Enter。
連線到遠端電腦後,請注意伺服器管理員主控台中的電腦名稱已變更。樹狀目錄窗格的伺服器管理員節點中的電腦名稱、伺服器管理員的 [伺服器摘要] 區域中的 [完整電腦名稱] 欄位,以及主控台標題中的電腦名稱,全都變更為您所連線之遠端電腦的名稱。因為伺服器管理員會將 IP 位址解析為 FQDN,若您使用 IP 位址連線到遠端電腦,伺服器管理員主控台會顯示遠端電腦的 FQDN。
附註 若您使用 IP 位址連線到不同網域中的電腦,遠端連線可能會失敗,因為 DNS 伺服器限制會導致無法將 IP 位址解析為主機名稱。若發生這種情形,請嘗試指定 FQDN 來連線。
- ComputerName
| 從 Windows PowerShell 工作階段在遠端電腦上執行伺服器管理員 Get-WindowsFeature Cmdlet |
以提升的使用者權限開啟 Windows PowerShell 工作階段。若要這樣做,依序按一下 [開始]、[所有程式]、[附屬應用程式]、[Windows PowerShell],在 [Windows PowerShell] 捷徑上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。
輸入下列命令,其中,ComputerName 是執行 Windows Server 2008 R2 之遠端電腦的名稱,UserName 是遠端電腦上 Administrators 群組成員的使用者名稱,然後按 Enter。
Enter-PSSession <ComputerName> –credential <UserName>
此時會提示您在安全對話方塊中輸入您的密碼。輸入您的密碼,然後按 Enter。
在 Windows PowerShell 工作階段中,輸入下列命令以載入 伺服器管理員 嵌入式管理單元,然後按 Enter。
Import-Module ServerManager
輸入下列命令,然後按 Enter。
Get-WindowsFeature
Get-WindowsFeature Cmdlet 的結果顯示在 Windows PowerShell 工作階段中後,輸入下列命令以關閉 Windows PowerShell 工作階段,然後按 Enter。
Exit-PSSession
使用伺服器管理員與 MMC 管理多部電腦
您也可以建立包含多個伺服器管理員嵌入式管理單元的自訂 Microsoft Management Console (MMC),每個嵌入式管理單元負責管理不同的遠端電腦。
| 使用伺服器管理員與 MMC 管理多部電腦 |
若要開啟 [Microsoft Management Console],請依序按一下 [開始] 及 [執行],鍵入 mmc,再按一下 [確定]。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [可用的嵌入式管理單元] 清單中,選取 [伺服器管理員]。
按一下 [新增],將伺服器管理員新增到 [選取的嵌入式管理單元] 清單中。
依所需的次數重複前一個步驟,將伺服器管理員嵌入式管理單元新增至 MMC。按一下 [確定]。
在新 MMC 的樹狀目錄窗格中,以滑鼠右鍵按一下伺服器管理員嵌入式管理單元的頂端節點,然後按一下 [連線到另一台電腦]。
在 [連線到另一台電腦] 對話方塊的 [另一台電腦] 字串方塊中,輸入另一台電腦的名稱或 IP 位址,或是瀏覽到網路上的另一台伺服器。按一下 [確定]。
連線到遠端電腦後,請注意樹狀目錄窗格的伺服器管理員節點中的電腦名稱已變更。
如果 MMC 中有其他的伺服器管理員嵌入式管理單元,請從步驟 6 開始重複此程序,將其他的伺服器管理員嵌入式管理單元連線到其他遠端電腦。
在 [檔案] 功能表上,按一下 [儲存]儲存您自訂的 MMC。
從 Windows 7 遠端管理
儘管無法使用伺服器管理員管理執行 Windows 7 的電腦,不過您可以透過安裝遠端伺服器管理工具,在執行 Windows 7 的電腦上安裝伺服器管理員。Windows 7 可用的遠端伺服器管理工具可以從
在執行 Windows 7 的電腦上安裝遠端伺服器管理工具後,就如同在執行 Windows Server 2008 R2 的電腦上一樣,您也可以建立自訂伺服器管理員 MMC 來管理多台執行 Windows Server 2008 R2 的遠端電腦。若要在執行 Windows 7 與遠端伺服器管理工具的電腦上建立自訂伺服器管理員 MMC,請參閱本主題中的使用伺服器管理員與 MMC 管理多部電腦。
| 從執行 Windows 7 的電腦進行遠端管理 |
在執行 Windows 7 的電腦上安裝遠端伺服器管理工具。
從
Microsoft 網站 (可能為英文網頁) 下載遠端伺服器管理工具套件,然後遵循下載中心網頁上提供的指示來安裝遠端伺服器管理工具。若要使用連線至遠端伺服器之伺服器管理員主控台中與角色或功能相關的工具或嵌入式管理單元,必須使用遠端伺服器管理工具在來源電腦上安裝這些工具。
安裝遠端伺服器管理工具後,開啟伺服器管理員。若要開啟 [伺服器管理員],請按一下 [開始],指向 [系統管理工具],再按一下 [伺服器管理員]。
在樹狀目錄窗格中的 [伺服器管理員] 上按一下滑鼠右鍵,然後按一下 [連線到另一台電腦]。
在 [連線到另一台電腦] 對話方塊的 [另一台電腦] 字串方塊中,輸入執行 Windows Server 2008 R2 之電腦的名稱或 IP 位址,或是瀏覽到網路上的另一台伺服器。按一下 [確定]。
連線到遠端電腦後,請注意伺服器管理員主控台中會顯示電腦名稱。在樹狀目錄窗格的伺服器管理員節點中、伺服器管理員的 [伺服器摘要] 區域中的 [完整電腦名稱] 欄位,以及主控台標題中的電腦名稱,您可以看到所連線之遠端電腦的名稱。