SCCM 2007 R2 setp by setp(六）-活动目录配置

在对SCCM的部署前，需要对活动目录做一些操作。主要是以下两个方面：

1 扩展架构

2 建立SCCM的专用容器并授权

我们为什么要对活动目录进行扩展的，主要是，我们可以利用企业在活动目录上投资，例如：客户端在定位管理点，查找站点信息的时候，可以直接在活动目录中去查找。

以下内容摘录至SCCM帮助文档，很好阐述了架构扩展的操作和重要性：

扩展 Active Directory 架构是林范围的操作，每个林只能执行一次。扩展架构是不可逆操作，必须由属于架构管理组成员的用户执行或者由已委托足够权限以修改架构的人员执行。如果选择扩展 Active Directory 架构，请在安装前后完成。

在为 Configuration Manager 扩展架构时，添加了多个类和属性，Active Directory 林中的任何 Configuration Manager 站点都可以使用这些类和属性。由于全局编录被复制到整个林中，您必须考虑可能由此产生的网络流量。在 Windows 2000 林中，扩展架构导致完全同步整个全局编录。对于 Windows 2003 林，仅复制新添加的属性。您应该计划在复制流量不会对其他网络相关程序带来负面影响时扩展架构。

可以通过运行 ExtADSch.exe 实用程序或使用 LDIFDE 命令行实用程序以导入 ConfigMgr_ad_schema.ldf LDIF 文件的内容来为 Configuration Manager 2007 扩展 Active Directory 架构。实用程序和 LDIF 文件均位于 Configuration Manager 2007 安装文件的 SMSSETUP\BIN\i386 目录中。不管采用什么方法扩展架构，都必须满足两个条件：

Active Directory 架构必须允许更新。在运行 Windows Server 2003 的域上，架构默认启用更新。对于运行 Windows 2000 Server 的域，您必须在 Active Directory 林的架构主机上手动启用更新。

用于更新架构的帐户必须是架构管理组的成员或已委托足够权限来修改架构。

至于是否需要扩展架构，可以根据自己的情况而定，可能会影响到以下的功能：

为 Configuration Manager 2007 扩展 Active Directory 架构允许客户端从受信任的来源检索多种与 Configuration Manager 相关的信息。在某些情况下，如果没有扩展 Active Directory 架构，也有解决方法来检索必要的信息，但是其安全性都低于查询 Active Directory。配置安全站点的最佳方案始终是扩展 Active Directory 架构。

此外，如果没有按照建议扩展功能的架构，可能会给需要为组织中的系统和用户创建和维护解决方案（例如登录脚本和组策略对象 (GPO)）的其他管理员带来大量工作负荷。

为 Configuration Manager 扩展 Active Directory 架构的特性和功能注意事项

下表列出了使用 Active Directory 架构扩展的特定 Configuration Manager 2007 特性或功能以及在没有为 Configuration Manager 2007 扩展架构时的任何相关解决办法。

特性或功能架构扩展要求要求详细信息

客户端安装和站点分配

推荐

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，使用 Ccmsetup.exe 的客户端安装将无法从 Active Directory 域服务自动检索客户端部署参数。

解决方法：使用 SMS 2003 架构扩展发布到 Active Directory 域服务的 Configuration Manager 2007 服务器定位器点可以由 Configuration Manager 2007 客户端自动找到，前提是它们属于相同的 Active Directory 林。

站点模式设置以及相关设置（如客户端证书选择和 CRL 检查）

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，则与纯模式配置相关的站点模式信息和客户端设置无法发布到 Active Directory 域服务。

解决方法：使用 CCMSetup.exe 客户端安装命令行属性或客户端请求安装。

客户端到服务器通信的端口配置。

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，并且在客户端安装之后更改了默认通信端口，则客户端将无法与站点系统通信。

解决方法：重新安装所有受影响的客户端，或部署脚本以手动更改客户端用来与站点内的站点系统通信的端口。

全局漫游

必需

解决方法：无。

Configuration Manager 的网络访问保护 (NAP)

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，则启用了网络访问保护的站点无法将 Configuration Manager 健康状况引用发布到 Active Directory 域服务。如果健康状况引用没有发布到 Active Directory 域服务器，则系统健康验证程序点将无法验证客户端的健康声明。

站点之间的安全密钥交换1

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，则配置为需要安全密钥交换的站点将无法自动交换公钥以启用站点到站点通信。

注意

默认情况下在 Configuration Manager 站点之间启用安全密钥交换。1

验证受信任管理点

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，客户端必须使用受信任的根密钥与站点建立信任。除非已经预先为客户端设置了受信任的根密钥，否则它们将信任与其通信的第一个管理点。

从宿主管理点角色的中央站点服务器的故障中恢复

要求：如果没有为 Configuration Manager 扩展 Active Directory 架构，并且客户端向同时充当站点管理点的中央站点服务器报告，则客户端将无法自动与新中央站点服务器之后的站点建立信任，并且会还原管理点。

1 默认情况下，Configuration Manager 主站点将不接受子站点连接，除非子站点的公钥已为父站点所知，或已发布在 Active Directory 域服务中。但是，在升级方案中，Configuration Manager 安装程序将不更改站点的原始安全密钥交换设置。允许子站点连接而不要求架构扩展的另一方法是不要求站点之间进行安全的密钥交换，但是不建议这么做，因为这样将允许任何恶意子站点连接到该站点，并开始向上传递不受信任的数据。

将SCCM安装盘下，例如：d:\smssetup\bin\i386目录下，找到extadsch程序，将整个I386目录拷贝到域控制器上，例如拷贝到C：下。

然后，以管理员方式运行CMD。进入C盘下的BIN目录，运行extadsch程序，如下图：

运行完成后，会在C盘的根目录下找到名字为extadsch.log的文件，打开它，如果扩展正常，会看到如下内容：

<10-02-2011 06:06:32> Modifying Active Directory Schema - with SMS extensions.

<10-02-2011 06:06:32> DS Root:CN=Schema,CN=Configuration,DC=contoso,DC=com

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Site-Code.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Assignment-Site-Code.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Site-Boundaries.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Roaming-Boundaries.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Default-MP.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Device-Management-Point.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-MP-Name.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-MP-Address.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Health-State.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Source-Forest.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Ranged-IP-Low.

<10-02-2011 06:06:35> Defined attribute cn=MS-SMS-Ranged-IP-High.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Version.

<10-02-2011 06:06:35> Defined attribute cn=mS-SMS-Capabilities.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Management-Point.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Server-Locator-Point.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Site.

<10-02-2011 06:06:37> Defined class cn=MS-SMS-Roaming-Boundary-Range.

<10-02-2011 06:06:37> Successfully extended the Active Directory schema.

<10-02-2011 06:06:37> Please refer to the SMS documentation for instructions on the manual

<10-02-2011 06:06:37> configuration of access rights in active directory which may still

<10-02-2011 06:06:37> need to be performed. (Although the AD schema has now be extended,

<10-02-2011 06:06:37> AD must be configured to allow each SMS Site security rights to

<10-02-2011 06:06:37> publish in each of their domains.)

STEP 2 建立容器

在域控制器上以管理员身份登陆，打开ADSIEDIT控制台，展开，SYSTEM节点，右键新建对象。

选择新建容器：

名称为System Management

点击完成

容器就建立好了。

STEP 3 对容器进行赋权

打开用户和计算机管理控制台

右键点击属性

打开安全标签：

将SCCM服务器加入，并赋予对象及其全部后代的完全控制权限。根据前面的介绍，我这里的服务器是sccm3.contoso.com.

STEP 4 将SCCM服务器加入到域管理员组

完成上面的内容，我们对活动目录部分的操作就算完成了，下一篇，我们将介绍SCCM的安装过程。

本文转自zhaonaiqiu 51CTO博客，原文链接：http://blog.51cto.com/naima/773598，如需转载请自行联系原作者

SCCM 2007 R2 setp by setp(六）-活动目录配置

继续阅读

Windows系统下通过CMD命令行或运行窗口打开常用附件和功能

Windows命令行打开方式Windows命令行打开方式

（1）如何快速的在指定文件夹打开命令行？（1）如何快速的在指定文件夹打开命令行？

Windows办公技能——在当前文件夹中打开命令行窗口

win10 在当前文件夹快速打开cmd命令行

在当前位置打开命令行窗口的技巧

dos 命令集2---DOS 常用命令 (edit)

在DOS下运行不了ipconfig命令

《Windows CE大排档》第一版勘误表

编程高手：VC 6.0下利用消息实现内部进程通讯

Compile workrave under windows &ndash; My exprience 在Windows上编译Workrave

Windows下使用GSL（GNU Scientific Library）

windows不能在本地计算机上运行oracleDbConsoleorcl

Windows下VS开发环境环境安装工程项目设置关于Debug和Release的提示

Windows下配置Apache的SSL服务

Mac｜Windows系统本地照片自动上传到服务器