#02# SCCM规划 - Active Directory整合

时间 2020-08-07

标签 sccm 规划 active directory 整合繁體版

原文原文链接

SCCM规划 - Active Directory集成

本篇文章主要对Active Directory集成进行讨论。服务器

在ConfigMgr部署中，能够将CofigMgr和现有的Active Directory进行集成，但集成并不是强制要求，下面咱们主要说明与Active Directory整合会带来益处：网络

集成能够保证域中计算机在安装ConfigMgr客户端时，直接经过Active Directory来读取全部安装所需的必要参数，免去了咱们手动指定参数的麻烦；架构
目标计算机只有在安装ConfigMgr客户端并成功指派到一个ConfigMgr站点后，才能参与到SCCM的层级中正常运做，而与AD集成以后，客户端能够经过AD获取站点指派所需的必要信息进而自动指派到一个站点中；ide
在客户端须要获取MP信息时，能够先经过Active Directory检索MP的信息，无需经过DNS或者WIN的方式获取；对象
客户端能够在AD中直接读取到站点通信使用的端口信息以及检索在PKI架构中的客户端证书选择条件等信息。

ConfigMgr支持的客户端部署场景：部署

ConfigMgr客户端是域成员，站点服务器和ConfigMgr客户端同属一个Active Directory林：此场景受Active Directory集成的支持；it
ConfigMgr客户端是域成员，站点服务器和ConfigMgr客户端不在同一个Active Directory林：此场景受Active Directory集成的支持，但须要将ConfigMgr发布至ConfigMgr客户端所在的Active Directory林；table
ConfigMgr客户端是工做组成员：此场景不受Active Directory集成的支持。class
非Windows客户端环境：此场景不受Active Directory集成的支持。

对于与Active Directory集成，目标Active Directoey必须知足如下两个条件：基础

站点服务器所在的域功能级别至少须要是Windows Server 2000，这对于咱们如今的大多数Active Directory来讲，基本都是知足这个条件的，若是达不到要求，能够先将Active Directory先进行林/域功能级别的提高；

这个等级不能支持全部集成功能，如：Active Directory林发现；要支持全部功能，则必须是Windows Server 2003及以上的域功能级别

和其余扩展架构操做相似，ConfigMgr要求扩展架构时所使用的帐号必须是"Schema管理员"。

在扩展Active Directory架构的过程当中，ConfigMgr会建立如下4个新LDAP类（Class）以及14个新属性（Attribute）：

LDAP类	描述
Management points	ConfigMgr客户端经过此类型查找管理点
Roaming boundary	ConfigMgr经过此类型定位本地网络位置中的ConfigMgr服务
Server locator points(SLPs)	ConfigMgr 2007客户端使用此类型查找SLP，此类型虽在Active Directory架构中建立，但并未在ConfigMgr 2012中实际使用，SLP相关功能已经整合进管理点，SLP也再也不试一个独立的站点系统角色
ConfigMgr sites	ConfigMgr客户端能够经过此类型检索关于站点的其余重要信息

全部ConfigMgr扩展的Active Directory属性名称都以"mS-SMS"开始。

一旦集成Active Directory后，ConfigMgr能够将其站点定义、边界组、管理点等信息发布到站点服务器所在的Active Directory域中；

发布的位置位于"域分区"下的"CN=System Management,CN=System"这个"container"对象中。

发布ConfigMgr至Active Directory可使用：

不管使用哪个，都必须对CN=System Management,CN=System这个对象有"彻底控制"权限。

为读者提炼SCCM涉及的基础知识、注意事项、运行机制以及排错方法等信息是本系列文章的初衷，对于SCCM各组件及功能部署步骤方面的信息，网络中已有较多文章能够参考，所以本系列文章并不侧重于提供相似Step-by-Step的部署指南。