温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

#02# SCCM规划 - Active Directory整合

发布时间:2020-05-19 07:40:58 来源:网络 阅读:1405 作者:Nodium 栏目:系统运维

SCCM规划 - Active Directory集成

本篇文章主要对Active Directory集成进行讨论。

集成带来的益处

在ConfigMgr部署中,可以将CofigMgr和现有的Active Directory进行集成,但集成并非强制要求,下面我们主要说明与Active Directory整合会带来益处:

  • 集成可以保证域中计算机在安装ConfigMgr客户端时,直接通过Active Directory来读取所有安装所需的必要参数,免去了我们手动指定参数的麻烦;

  • 目标计算机只有在安装ConfigMgr客户端并成功指派到一个ConfigMgr站点后,才能参与到SCCM的层级中正常运作,而与AD集成之后,客户端可以通过AD获取站点指派所需的必要信息进而自动指派到一个站点中;

  • 在客户端需要获取MP信息时,可以先通过Active Directory检索MP的信息,无需通过DNS或者WIN的方式获取;

  • 客户端可以在AD中直接读取到站点通讯使用的端口信息以及检索在PKI架构中的客户端证书选择条件等信息。

集成的限制

ConfigMgr支持的客户端部署场景:

  • ConfigMgr客户端是域成员,站点服务器和ConfigMgr客户端同属一个Active Directory林:此场景受Active Directory集成的支持;

  • ConfigMgr客户端是域成员,站点服务器和ConfigMgr客户端不在同一个Active Directory林: 此场景受Active Directory集成的支持,但需要将ConfigMgr发布至ConfigMgr客户端所在的Active Directory林;

  • ConfigMgr客户端是工作组成员:此场景不受Active Directory集成的支持。

  • 非Windows客户端环境:此场景不受Active Directory集成的支持。

集成Active Directory前置条件

对于与Active Directory集成,目标Active Directoey必须满足以下两个条件:

  • 站点服务器所在的域功能级别至少需要是Windows Server 2000,这对于我们现在的大多数Active Directory来说,基本都是满足这个条件的,如果达不到要求,可以先将Active Directory先进行林/域功能级别的提升;

这个等级不能支持所有集成功能,如:Active Directory林发现;要支持所有功能,则必须是Windows Server 2003及以上的域功能级别

  • 目标Active Directory架构必须得到扩展。

集成Active Directory所需的权限

和其他扩展架构操作类似,ConfigMgr要求扩展架构时所使用的账号必须是"Schema管理员"。

新Active Directory类描述

在扩展Active Directory架构的过程中,ConfigMgr会创建以下4个新LDAP类(Class)以及14个新属性(Attribute):

LDAP类 描述
Management points ConfigMgr客户端通过此类型查找管理点
Roaming boundary ConfigMgr通过此类型定位本地网络位置中的ConfigMgr服务
Server locator points(SLPs) ConfigMgr 2007客户端使用此类型查找SLP,此类型虽在Active Directory架构中创建,但并未在ConfigMgr 2012中实际使用,SLP相关功能已经整合进管理点,SLP也不再试一个独立的站点系统角色
ConfigMgr sites ConfigMgr客户端可以通过此类型检索关于站点的其他重要信息

属性

所有ConfigMgr扩展的Active Directory属性名称都以"mS-SMS"开始。

发布ConfigMgr

一旦集成Active Directory后,ConfigMgr可以将其站点定义、边界组、管理点等信息发布到站点服务器所在的Active Directory域中;

发布的位置位于"域分区"下的"CN=System Management,CN=System"这个"container"对象中。

#02# SCCM规划 - Active Directory整合

发布ConfigMgr所需的权限

发布ConfigMgr至Active Directory可以使用:

  • "Active Directory林发现"账号

  • 站点服务器计算机账号

无论使用哪一个,都必须对CN=System Management,CN=System这个对象有"完全控制"权限。


为读者提炼SCCM涉及的基础知识、注意事项、运行机制以及排错方法等信息是本系列文章的初衷,对于SCCM各组件及功能部署步骤方面的信息,网络中已有较多文章可以参考,因此本系列文章并不侧重于提供类似Step-by-Step的部署指南。


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI