SCCM 2007 R2 setp by setp(六）-活動目錄配置

在對SCCM的部署前，需要對活動目錄做一些操作。主要是以下兩個方面：

1 擴充架構

2 建立SCCM的專用容器并授權

我們為什麼要對活動目錄進行擴充的，主要是，我們可以利用企業在活動目錄上投資，例如：用戶端在定位管理點，查找站點資訊的時候，可以直接在活動目錄中去查找。

以下内容摘錄至SCCM幫助文檔，很好闡述了架構擴充的操作和重要性：

擴充 Active Directory 架構是林範圍的操作，每個林隻能執行一次。擴充架構是不可逆操作，必須由屬于架構管理組成員的使用者執行或者由已委托足夠權限以修改架構的人員執行。如果選擇擴充 Active Directory 架構，請在安裝前後完成。

在為 Configuration Manager 擴充架構時，添加了多個類和屬性，Active Directory 林中的任何 Configuration Manager 站點都可以使用這些類和屬性。由于全局編錄被複制到整個林中，您必須考慮可能由此産生的網絡流量。在 Windows 2000 林中，擴充架構導緻完全同步整個全局編錄。對于 Windows 2003 林，僅複制新添加的屬性。您應該計劃在複制流量不會對其他網絡相關程式帶來負面影響時擴充架構。

可以通過運作 ExtADSch.exe 實用程式或使用 LDIFDE 指令行實用程式以導入 ConfigMgr_ad_schema.ldf LDIF 檔案的内容來為 Configuration Manager 2007 擴充 Active Directory 架構。實用程式和 LDIF 檔案均位于 Configuration Manager 2007 安裝檔案的 SMSSETUP\BIN\i386 目錄中。不管采用什麼方法擴充架構，都必須滿足兩個條件：

Active Directory 架構必須允許更新。在運作 Windows Server 2003 的域上，架構預設啟用更新。對于運作 Windows 2000 Server 的域，您必須在 Active Directory 林的架構主機上手動啟用更新。

用于更新架構的帳戶必須是架構管理組的成員或已委托足夠權限來修改架構。

至于是否需要擴充架構，可以根據自己的情況而定，可能會影響到以下的功能：

為 Configuration Manager 2007 擴充 Active Directory 架構允許用戶端從受信任的來源檢索多種與 Configuration Manager 相關的資訊。在某些情況下，如果沒有擴充 Active Directory 架構，也有解決方法來檢索必要的資訊，但是其安全性都低于查詢 Active Directory。配置安全站點的最佳方案始終是擴充 Active Directory 架構。

此外，如果沒有按照建議擴充功能的架構，可能會給需要為組織中的系統和使用者建立和維護解決方案（例如登入腳本群組政策對象 (GPO)）的其他管理者帶來大量工作負荷。

為 Configuration Manager 擴充 Active Directory 架構的特性和功能注意事項

下表列出了使用 Active Directory 架構擴充的特定 Configuration Manager 2007 特性或功能以及在沒有為 Configuration Manager 2007 擴充架構時的任何相關解決辦法。

特性或功能架構擴充要求要求詳細資訊

用戶端安裝和站點配置設定

推薦

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，使用 Ccmsetup.exe 的用戶端安裝将無法從 Active Directory 域服務自動檢索用戶端部署參數。

解決方法：使用 SMS 2003 架構擴充釋出到 Active Directory 域服務的 Configuration Manager 2007 伺服器定位器點可以由 Configuration Manager 2007 用戶端自動找到，前提是它們屬于相同的 Active Directory 林。

站點模式設定以及相關設定（如用戶端證書選擇和 CRL 檢查）

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，則與純模式配置相關的站點模式資訊和用戶端設定無法釋出到 Active Directory 域服務。

解決方法：使用 CCMSetup.exe 用戶端安裝指令行屬性或用戶端請求安裝。

用戶端到伺服器通信的端口配置。

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，并且在用戶端安裝之後更改了預設通信端口，則用戶端将無法與站點系統通信。

解決方法：重新安裝所有受影響的用戶端，或部署腳本以手動更改用戶端用來與站點内的站點系統通信的端口。

全局漫遊

必需

解決方法：無。

Configuration Manager 的網絡通路保護 (NAP)

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，則啟用了網絡通路保護的站點無法将 Configuration Manager 健康狀況引用釋出到 Active Directory 域服務。如果健康狀況引用沒有釋出到 Active Directory 域伺服器，則系統健康驗證程式點将無法驗證用戶端的健康聲明。

站點之間的安全密鑰交換1

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，則配置為需要安全密鑰交換的站點将無法自動交換公鑰以啟用站點到站點通信。

注意

預設情況下在 Configuration Manager 站點之間啟用安全密鑰交換。1

驗證受信任管理點

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，用戶端必須使用受信任的根密鑰與站點建立信任。除非已經預先為用戶端設定了受信任的根密鑰，否則它們将信任與其通信的第一個管理點。

從宿主管理點角色的中央站點伺服器的故障中恢複

要求：如果沒有為 Configuration Manager 擴充 Active Directory 架構，并且用戶端向同時充當站點管理點的中央站點伺服器報告，則用戶端将無法自動與新中央站點伺服器之後的站點建立信任，并且會還原管理點。

1 預設情況下，Configuration Manager 主站點将不接受子站點連接配接，除非子站點的公鑰已為父站點所知，或已釋出在 Active Directory 域服務中。但是，在更新方案中，Configuration Manager 安裝程式将不更改站點的原始安全密鑰交換設定。允許子站點連接配接而不要求架構擴充的另一方法是不要求站點之間進行安全的密鑰交換，但是不建議這麼做，因為這樣将允許任何惡意子站點連接配接到該站點，并開始向上傳遞不受信任的資料。

将SCCM安裝盤下，例如：d:\smssetup\bin\i386目錄下，找到extadsch程式，将整個I386目錄拷貝到域控制器上，例如拷貝到C：下。

然後，以管理者方式運作CMD。進入C槽下的BIN目錄，運作extadsch程式，如下圖：

運作完成後，會在C槽的根目錄下找到名字為extadsch.log的檔案，打開它，如果擴充正常，會看到如下内容：

<10-02-2011 06:06:32> Modifying Active Directory Schema - with SMS extensions.

<10-02-2011 06:06:32> DS Root:CN=Schema,CN=Configuration,DC=contoso,DC=com

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Site-Code.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Assignment-Site-Code.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Site-Boundaries.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Roaming-Boundaries.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Default-MP.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Device-Management-Point.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-MP-Name.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-MP-Address.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Health-State.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Source-Forest.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Ranged-IP-Low.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Ranged-IP-High.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Version.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Capabilities.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Management-Point.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Server-Locator-Point.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Site.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Roaming-Boundary-Range.

<10-02-2011 06:06:37> Successfully extended the Active Directory schema.

<10-02-2011 06:06:37> Please refer to the SMS documentation for instructions on the manual

<10-02-2011 06:06:37> configuration of access rights in active directory which may still

<10-02-2011 06:06:37> need to be performed. (Although the AD schema has now be extended,

<10-02-2011 06:06:37> AD must be configured to allow each SMS Site security rights to

<10-02-2011 06:06:37> publish in each of their domains.)

STEP 2 建立容器

在域控制器上以管理者身份登陸，打開ADSIEDIT控制台，展開，SYSTEM節點，右鍵建立對象。

選擇建立容器：

名稱為System Management

點選完成

容器就建立好了。

STEP 3 對容器進行賦權

打開使用者和計算機管理控制台

右鍵點選屬性

打開安全标簽：

将SCCM伺服器加入，并賦予對象及其全部後代的完全控制權限。根據前面的介紹，我這裡的伺服器是sccm3.contoso.com.

STEP 4 将SCCM伺服器加入到域管理者組

完成上面的内容，我們對活動目錄部分的操作就算完成了，下一篇，我們将介紹SCCM的安裝過程。

本文轉自zhaonaiqiu 51CTO部落格，原文連結：http://blog.51cto.com/naima/773598，如需轉載請自行聯系原作者

SCCM 2007 R2 setp by setp(六）-活動目錄配置

繼續閱讀

Windows系統下通過CMD指令行或運作視窗打開常用附件和功能

Windows指令行打開方式Windows指令行打開方式

（1）如何快速的在指定檔案夾打開指令行？（1）如何快速的在指定檔案夾打開指令行？

Windows辦公技能——在目前檔案夾中打開指令行視窗

win10 在目前檔案夾快速打開cmd指令行

在目前位置打開指令行視窗的技巧

dos 指令集2---DOS 常用指令 (edit)

在DOS下運作不了ipconfig指令

《Windows CE大排檔》第一版勘誤表

程式設計高手：VC 6.0下利用消息實作内部程序通訊

Compile workrave under windows &ndash; My exprience 在Windows上編譯Workrave

Windows下使用GSL（GNU Scientific Library）

windows不能在本地計算機上運作oracleDbConsoleorcl

Windows下VS開發環境環境安裝工程項目設定關于Debug和Release的提示

Windows下配置Apache的SSL服務

Mac｜Windows系統本地照片自動上傳到伺服器