SCCM规划- Active Directory集成
本篇文章主要对Active Directory集成进行讨论。
集成带来的益处
在ConfigMgr部署中,可以将CofigMgr和现有的Active Directory进行集成,但集成并非强制要求,下面我们主要说明与活动目录整合会带来益处:
<李>
集成可以保证域中计算机在安装ConfigMgr客户端时,直接通过Active Directory来读取所有安装所需的必要参数,免去了我们手动指定参数的麻烦;
李 <李>目标计算机只有在安装ConfigMgr客户端并成功指派到一个ConfigMgr站点后,才能参与到SCCM的层级中正常运作,而与广告集成之后,客户端可以通过广告获取站点指派所需的必要信息进而自动指派到一个站点中;
李 <李>在客户端需要获取议员信息时,可以先通过Active Directory检索议员的信息,无需通过DNS或者赢得的方式获取;
李 <李>客户端可以在广告中直接读取到站点通讯使用的端口信息以及检索在PKI架构中的客户端证书选择条件等信息。集成的限制
ConfigMgr支持的客户端部署场景:
<李>
ConfigMgr客户端是域成员,站点服务器和ConfigMgr客户端同属一个Active Directory林:此场景受Active Directory集成的支持,
李 <李>ConfigMgr客户端是域成员,站点服务器和ConfigMgr客户端不在同一个Active Directory林:此场景受Active Directory集成的支持,但需要将ConfigMgr发布至ConfigMgr客户端所在的Active Directory林;
李 <李>ConfigMgr客户端是工作组成员:此场景不受活动目录集成的支持。
李 <李>非Windows客户端环境:此场景不受活动目录集成的支持。集成Active Directory前置条件
对于与活动目录集成,目标活跃Directoey必须满足以下两个条件:
<李>站点服务器所在的域功能级别至少需要是Windows Server 2000,这对于我们现在的大多数Active Directory来说,基本都是满足这个条件的,如果达不到要求,可以先将Active Directory先进行林/域功能级别的提升,李
这个等级不能支持所有集成功能,如:活动目录林发现,要支持所有功能,则必须是Windows Server 2003及以上的域功能级别
<李>目标Active Directory架构必须得到扩展。
集成Active Directory所需的权限
和其他扩展架构操作类似,ConfigMgr要求扩展架构时所使用的账号必须是“模式管理员“。
新Active Directory类描述
在扩展Active Directory架构的过程中,ConfigMgr会创建以下4个新LDAP类(类)以及14个新属性(属性):
类
LDAP类 描述 管理分 ConfigMgr客户端通过此类型查找管理点 漫游边界 ConfigMgr通过此类型定位本地网络位置中的ConfigMgr服务 服务器定位器点(slp) ConfigMgr 2007客户端使用此类型查找得到,此类型虽在Active Directory架构中创建,但并未在ConfigMgr 2012中实际使用,得到相关功能已经整合进管理点,得到也不再试一个独立的站点系统角色 ConfigMgr网站 ConfigMgr客户端可以通过此类型检索关于站点的其他重要信息属性
所有ConfigMgr扩展的Active Directory属性名称都以“mS-SMS"开始。
发布ConfigMgr
一旦集成活动目录后,ConfigMgr可以将其站点定义,边界组、管理点等信息发布到站点服务器所在Active Directory域的中,
发布的位置位于“域分区”下的“CN=系统管理,CN=煤气报修这个“container"对象中。
发布ConfigMgr所需的权限
发布ConfigMgr至活动目录可以使用:
<李>
“Active Directory林发现“账号
李 <李>站点服务器计算机账号无论使用哪一个,都必须对CN=系统管理,CN=系统这个对象有“完全控制“权限。
<人力资源/><强> 为读者提炼SCCM涉及的基础知识,注意事项,运行机制以及排错方法等信息是本系列文章的初衷,对于SCCM各组件及功能部署步骤方面的信息,网络中已有较多文章可以参考,因此本系列文章并不侧重于提供类似一步一步的部署指南。
# 02 # SCCM规划- Active Directory整合
