#02# SCCM規劃 - Active Directory整合

時間 2020-08-07

標籤 sccm 規劃 active directory 整合简体版

原文原文鏈接

SCCM規劃 - Active Directory集成

本篇文章主要對Active Directory集成進行討論。服務器

在ConfigMgr部署中，能夠將CofigMgr和現有的Active Directory進行集成，但集成並不是強制要求，下面咱們主要說明與Active Directory整合會帶來益處：網絡

集成能夠保證域中計算機在安裝ConfigMgr客戶端時，直接經過Active Directory來讀取全部安裝所需的必要參數，免去了咱們手動指定參數的麻煩；架構
目標計算機只有在安裝ConfigMgr客戶端併成功指派到一個ConfigMgr站點後，才能參與到SCCM的層級中正常運做，而與AD集成以後，客戶端能夠經過AD獲取站點指派所需的必要信息進而自動指派到一個站點中；ide
在客戶端須要獲取MP信息時，能夠先經過Active Directory檢索MP的信息，無需經過DNS或者WIN的方式獲取；對象
客戶端能夠在AD中直接讀取到站點通信使用的端口信息以及檢索在PKI架構中的客戶端證書選擇條件等信息。

ConfigMgr支持的客戶端部署場景：部署

ConfigMgr客戶端是域成員，站點服務器和ConfigMgr客戶端同屬一個Active Directory林：此場景受Active Directory集成的支持；it
ConfigMgr客戶端是域成員，站點服務器和ConfigMgr客戶端不在同一個Active Directory林：此場景受Active Directory集成的支持，但須要將ConfigMgr發佈至ConfigMgr客戶端所在的Active Directory林；table
ConfigMgr客戶端是工做組成員：此場景不受Active Directory集成的支持。class
非Windows客戶端環境：此場景不受Active Directory集成的支持。

對於與Active Directory集成，目標Active Directoey必須知足如下兩個條件：基礎

站點服務器所在的域功能級別至少須要是Windows Server 2000，這對於咱們如今的大多數Active Directory來講，基本都是知足這個條件的，若是達不到要求，能夠先將Active Directory先進行林/域功能級別的提高；

這個等級不能支持全部集成功能，如：Active Directory林發現；要支持全部功能，則必須是Windows Server 2003及以上的域功能級別

和其餘擴展架構操做相似，ConfigMgr要求擴展架構時所使用的帳號必須是"Schema管理員"。

在擴展Active Directory架構的過程當中，ConfigMgr會建立如下4個新LDAP類（Class）以及14個新屬性（Attribute）：

LDAP類	描述
Management points	ConfigMgr客戶端經過此類型查找管理點
Roaming boundary	ConfigMgr經過此類型定位本地網絡位置中的ConfigMgr服務
Server locator points(SLPs)	ConfigMgr 2007客戶端使用此類型查找SLP，此類型雖在Active Directory架構中建立，但並未在ConfigMgr 2012中實際使用，SLP相關功能已經整合進管理點，SLP也再也不試一個獨立的站點系統角色
ConfigMgr sites	ConfigMgr客戶端能夠經過此類型檢索關於站點的其餘重要信息

全部ConfigMgr擴展的Active Directory屬性名稱都以"mS-SMS"開始。

一旦集成Active Directory後，ConfigMgr能夠將其站點定義、邊界組、管理點等信息發佈到站點服務器所在的Active Directory域中；

發佈的位置位於"域分區"下的"CN=System Management,CN=System"這個"container"對象中。

發佈ConfigMgr至Active Directory可使用：

不管使用哪個，都必須對CN=System Management,CN=System這個對象有"徹底控制"權限。

爲讀者提煉SCCM涉及的基礎知識、注意事項、運行機制以及排錯方法等信息是本系列文章的初衷，對於SCCM各組件及功能部署步驟方面的信息，網絡中已有較多文章能夠參考，所以本系列文章並不側重於提供相似Step-by-Step的部署指南。

相關標籤/搜索