Partager via

Comment gérer des comptes à partir de la ligne de commande

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique -- Novembre 2007

Vous pouvez utiliser l'utilitaire Gestion des comptes du site (MSAC.exe) à travers l'interface de ligne de commande pour créer, modifier, vérifier, supprimer et répertorier rapidement et facilement les comptes Windows définis par l'utilisateur pour vos sites Microsoft System Center Configuration Manager 2007.

Notes

Cette version de l'utilitaire Gestion des comptes du site est uniquement prise en charge pour les sites Configuration Manager 2007. Si vous devez gérer des comptes sur un site SMS 2003, vous devez utiliser la version SMS 2003 de l'utilitaire. L'utilitaire Gestion des comptes du site de SMS 2003 ne peut pas modifier le compte d'installation poussée du client. Il n'existe aucun moyen de modifier ce compte sur un site secondaire SMS 2003.

Vous pouvez modifier davantage de types de compte que vous ne pouvez en ajouter car la plupart des types de compte autorisent l'utilisation d'un seul compte. Vous pouvez ajouter autant de comptes d'installation poussée du client que vous le souhaitez, mais l'ajout d'un compte d'accès réseau supplémentaire ne remplace que le compte existant.

Le fait de répertorier tous les comptes est utile pour l'audit de sécurité.

Liste des comptes pouvant être gérés

Les comptes suivants peuvent être gérés par l'utilitaire Gestion des comptes du site.

Nom du compte Actions

Compte d'installation poussée du client [ClientPushAccount]

Ajouter, Modifier*, Supprimer, Vérifier, Liste

Compte d'accès réseau (NetworkAccessAccount)

Modifier, Supprimer, Vérifier, Liste

Compte de l'adresse du site (SiteAddressAccount)

Modifier, Vérifier, Liste

Compte d'interrogation de référence d'état d'intégrité [SHVToADReaderAccount]

Modifier, Vérifier, Liste

Compte de publication de référence d'état d'intégrité [SHVToADWriterAccount]

Modifier, Vérifier, Liste

Compte du serveur proxy du point de mise à jour logicielle

[SoftwareUpdatePointProxyServerAccount]

Modifier, Vérifier, Liste

Notes

L'outil peut gérer le compte du serveur proxy du point de mise à jour logicielle seulement si le point de mise à jour logicielle est installé sur le serveur de site.

* La commande -Set ne peut pas modifier le mot de passe du compte d'installation poussée du client. Pour modifier le compte d'installation poussée du client, utilisez l'option -Delete pour supprimer le compte, puis l'option -Add pour créer un compte.

Notes

Bien que l'aide de la ligne de commande indique qu'il est possible de gérer le compte d'installation du système de site [SiteSystemInstallationAccount], cette fonctionnalité n'est pas opérationnelle.

Syntaxe de l'utilitaire Gestion des comptes du site

L'utilitaire Gestion des comptes du site (Msac.exe) présente la syntaxe et les paramètres de ligne de commande suivants, que vous pouvez utiliser pour gérer tous les comptes Windows utilisés par Configuration Manager 2007.

msac.exe -[ ADD | SET | DELETE | VERIFY | LIST | ? ] [arguments]
Paramètre de ligne de commande Description

-ADD

Ajoute un compte donné au serveur spécifié.

-SET

Transforme un compte existant en nouveau compte.

-DELETE

Supprime un compte donné du serveur spécifié.

-VERIFY

Vérifie un compte donné du serveur spécifié.

-LIST

Répertorie, à l'écran ou dans un fichier, les comptes existants pour une ou toutes les catégories de compte du serveur spécifié.

?

Affiche l'aide de la ligne de commande.

Ajouter un nouveau compte

Utilisez la syntaxe et les paramètres de ligne de commande suivants pour créer un nouveau compte.

Important

L'utilitaire Gestion des comptes du site configure le compte dans la console Configuration Manager 2007, mais ne le crée pas réellement dans les services de domaine Active Directory. Vous devez encore créer le compte dans le domaine et définir le mot de passe.

msac.exe -ADD <server> <Domain\account> <accountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -PA <Password | -G]
             [ -R ] [ -I ] [ -T ] [ -V ] [ -P ] [ -? ] [ /? ]
Paramètre de ligne de commande Description

<serveur>

Indique le nom du serveur de site.

<domaine\compte>

Indique le domaine à utiliser et le compte à ajouter. Vous ne pouvez ajouter qu'un compte à la fois.

Si vous ne spécifiez pas le paramètre –P, cette propriété nécessitera le format <domaine\compte>. Si vous utilisez -P, spécifiez uniquement le nom du compte.

<Catégoriedecompte>

Indique la catégorie de compte à laquelle le nouveau compte appartient.

La seule valeur possible pour cette propriété est :

ClientPushAccount (Compte d'installation poussée du client)

Vous ne pouvez pas configurer les comptes utilisés sur des systèmes de site, tels que le compte de connexion à la base de données du point de gestion.

-S

Indique les codes de site à traiter si vous n'utilisez pas le site en cours.

Il peut s'agir, par exemple, du code de site d'un site enfant.

-PA

Spécifie un mot de passe pour le nouveau compte d'utilisateur.

N'utilisez pas ce paramètre si vous prévoyez de spécifier la création d'un mot de passe fort automatique. Dans ce cas, utilisez le paramètre -G.

-G

Crée un mot de passe fort pour le nouveau compte.

Ce paramètre entraîne la génération automatique d'un mot de passe fort avec un algorithme fort.

Important

L'utilitaire Gestion des comptes du site génère un mot de passe fort et le configure pour le compte de la console Configuration Manager 2007, mais ne définit pas réellement le mot de passe dans les services de domaine Active Directory. Tant que vous n'aurez pas configuré le compte du domaine pour qu'il utilise le mot de passe généré, il échouera. Protégez le mot de passe tandis que vous le transférez de la sortie de la console pour configurer le compte dans Active Directory.

-R

Ajoute le nouveau compte à tous les sites enfants appartenant au serveur de site indiqué comme <serveur>.

Notes

En raison d'un problème connu, la combinaison G + R ne génère pas correctement le même mot de passe fort pour tous les sites enfants. SOLUTION : Si vous devez générer un mot de passe fort pour tous les sites enfants, utilisez MSAC -add -G au niveau du site parent, notez le mot de passe fort généré, puis utilisez MSAC -add -PA <mot de passe fort> -G pour configurer ce même mot de passe dans toute la hiérarchie.

-I

Indique que vous voulez ignorer les erreurs qui surviennent lorsque le compte est ajouté aux sites enfants et continuer le processus d'ajout du compte.

Si vous utilisez ce paramètre, vous pourrez toujours afficher les erreurs ignorées via la sortie de la console.

-T

Indique que les modifications que vous avez demandées doivent être exécutées en mode test sans affecter réellement votre système.

-V

Indique qu'un journal présentant les détails de la création du nouveau compte doit être affiché en tant que sortie dans la console.

-P

Indique que le nouveau compte doit utiliser le domaine des comptes existants.

Certains types de compte peuvent être en cours d'utilisation dans plusieurs domaines, mais utilisent le même nom et le même mot de passe dans chaque domaine. Lorsqu'un compte de ce type nécessite une mise à jour, chaque copie du compte est modifiée et mise à jour avec ce même nouveau mot de passe. Aussi, si vous utilisez le paramètre -P, cet utilitaire examinera le nom de domaine et le réutilisera, sans que vous ayez à le préciser.

-? ou /?

Affiche l'aide et l'utilisation de la ligne de commande.

Modifier un compte

Pour modifier le compte actuel en nouveau compte, utilisez la syntaxe et les paramètres de ligne de commande suivants.

Important

L'utilitaire Gestion des comptes du site configure le compte dans la console Configuration Manager 2007, mais ne le crée pas réellement dans les services de domaine Active Directory. Vous devez encore créer le compte dans le domaine et définir le mot de passe.

msac.exe -SET <server> <Domain\account> <Domain\Newaccount | ComputerAccount> <AccountCategory>
             [ <AddressType> <Destination> ] [ -PA <password> | -G ]
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ] [ -I ] [ -T ]
             [ -V ] [ -P ] [ -? ] [ /? ]
Paramètre de ligne de commande Description

<serveur>

Indique le nom du serveur de site.

<domaine\compte>

Indique le domaine à utiliser et le compte d'utilisateur à modifier.

Si vous ne spécifiez pas le paramètre –P, cette propriété nécessitera le format <domaine\compte>. Si vous utilisez -P, spécifiez uniquement le nom du compte.

<Domaine\Nouveaucompte>

Indique le nouveau compte d'utilisateur qui remplacera le compte existant.

Remarques

Vous pouvez utiliser Compteordinateur au lieu de <Domaine\Nouveaucompte> pour Comptedadressedesite.

<Catégoriedecompte>

Indique la catégorie de compte à laquelle le compte modifié appartiendra.

  • Valeurs valides : NetworkAccessAccount (compte d'accès réseau)

  • SiteAddressAccount (compte de l'adresse du site)

  • SHVToADReaderAccount (compte d'interrogation de référence d'état d'intégrité)

  • SHVToADWriterAccount (compte de publication de la référence d'état d'intégrité)

  • SoftwareUpdatePointProxyServerAccount (compte du serveur proxy du point de mise à jour logicielle)

    Notes

    La commande -Set ne peut pas modifier le mot de passe du compte d'installation poussée du client. Pour modifier le compte d'installation poussée du client, utilisez l'option -Delete pour supprimer le compte, puis l'option -Add pour créer un compte.

<Typedadresse>

Indique le type d'adresse du compte d'adresse d'expéditeur que vous modifiez.

Les valeurs possibles pour cette propriété sont les suivantes :

MS_LAN.

MS_X25_RAS.

MS_ISDN_RAS.

MS_ASYNC_RAS.

MS_SNA_RAS.

Remarques

La propriété addresstype est requise pour la catégorie SiteAddressAccount.

ComputerAccount

Remplace un compte d'adresse d'expéditeur (compte d'adresse de site) par le compte d'ordinateur du système de site. Le paramètre ComputerAccount est uniquement utilisé avec le paramètre set et la catégorie SiteAddressAccount. Ce paramètre est utilisé à la place de <domain/newuser>.

<Destination>

Indique le code du site de destination pour le compte modifié.

-PA

Spécifie un mot de passe pour le compte d'utilisateur modifié.

N'utilisez pas ce paramètre si vous prévoyez de spécifier la création d'un mot de passe fort automatique. Dans ce cas, utilisez le paramètre -G.

-G

Spécifie un mot de passe fort pour le compte modifié.

Ce paramètre entraîne la génération automatique d'un mot de passe fort avec un algorithme fort.

Important

L'utilitaire Gestion des comptes du site génère un mot de passe fort et le configure pour le compte de la console Configuration Manager 2007, mais ne définit pas réellement le mot de passe dans les services de domaine Active Directory. Tant que vous n'aurez pas configuré le compte du domaine pour qu'il utilise le mot de passe généré, il échouera. Protégez le mot de passe tandis que vous le transférez de la sortie de la console pour configurer le compte dans Active Directory.

-S

Indique les codes de site à traiter si vous n'utilisez pas le site en cours.

Il peut s'agir, par exemple, du code de site d'un site enfant.

-R

Ajoute le compte modifié à tous les sites enfants appartenant au serveur de site indiqué comme <serveur>.

Notes

En raison d'un problème connu, la combinaison G + R ne génère pas correctement le même mot de passe fort pour tous les sites enfants. SOLUTION : Si vous devez générer un mot de passe fort pour tous les sites enfants, utilisez MSAC -set -G au niveau du site parent, notez le mot de passe fort généré, puis utilisez MSAC -set -PA <mot de passe fort> -G pour configurer ce même mot de passe dans toute la hiérarchie.

-I

Indique que vous voulez ignorer les erreurs qui surviennent lorsque le compte modifié est ajouté aux sites enfants et continuer le processus d'ajout du compte.

Si vous utilisez ce paramètre, vous pourrez toujours afficher les erreurs ignorées via la sortie de la console.

-T

Indique que les modifications que vous avez demandées doivent être exécutées en mode test sans affecter réellement votre système.

-V

Indique qu'un journal présentant les détails de la modification du compte doit être affiché en tant que sortie dans la console.

-P

Utilisez ce paramètre pour indiquer que le compte modifié doit utiliser le domaine des comptes existants.

Certains types de compte peuvent être en cours d'utilisation dans plusieurs domaines, avec le même nom et le même mot de passe dans chaque domaine. Lorsqu'un compte de ce type nécessite une mise à jour, chaque copie du compte est modifiée et mise à jour avec ce même nouveau mot de passe. Aussi, si vous utilisez le paramètre -P, cet utilitaire examinera le nom de domaine et le réutilisera sans que vous ayez à le repréciser à chaque fois.

-? ou /?

Affiche l'aide et l'utilisation de la ligne de commande.

Supprimer un compte

Pour supprimer un compte existant, utilisez la syntaxe et les paramètres de ligne de commande suivants :

msac.exe -DELETE <serveur> <Domaine\Compte> <Catégoriedecompte>

[ -S <Codesite1> [, <Codesite2> [ ... ] ] ]

[ -R ] [ -I ] [ -T ]

[ -V ] [ -P ] [ -? ] [ /? ]

Paramètre de ligne de commande Description

<serveur>

Indique le nom du serveur de site.

<domaine\compte>

Indique le domaine à utiliser et le compte à supprimer.

Si vous ne spécifiez pas le paramètre –P, cette propriété nécessitera le format <domaine\compte>. Si vous utilisez -P, spécifiez uniquement le nom du compte.

<Catégoriedecompte>

Indique la catégorie de compte à laquelle appartient le compte que vous supprimez.

Les valeurs possibles pour cette propriété sont les suivantes :

  • NetworkAccessAccount (compte d'accès réseau)

  • ClientPushAccount (compte d'installation poussée du client)

-S

Indique les codes de site à traiter si vous n'utilisez pas le site en cours.

Par exemple, il peut s'agir du code de site pour un site enfant auquel le compte appartient.

-R

Supprime le compte de tous les sites enfants appartenant au serveur de site indiqué comme <serveur>.

-I

Indique que vous voulez ignorer les erreurs qui surviennent lorsque le compte est supprimé des sites enfants et continuer le processus de suppression du compte.

Si vous utilisez ce paramètre, vous pourrez toujours afficher les erreurs ignorées via la sortie de la console.

-T

Indique que les modifications que vous avez demandées doivent être exécutées en mode test sans affecter réellement votre système.

-V

Indique qu'un journal présentant les détails de la suppression du compte doit être affiché en tant que sortie dans la console.

-P

Indique que le compte à supprimer utilise le domaine des comptes existants.

Certains types de compte peuvent être en cours d'utilisation dans plusieurs domaines, avec le même nom et le même mot de passe dans chaque domaine. Lorsqu'un compte de ce type nécessite une mise à jour, chaque copie du compte est modifiée et mise à jour avec ce même nouveau mot de passe. Aussi, si vous utilisez le paramètre -P, cet utilitaire examinera le nom de domaine et le réutilisera sans que vous ayez à le repréciser à chaque fois.

-?

Affiche l'aide et l'utilisation de la ligne de commande.

Vérifier un compte

Pour vérifier un compte existant, utilisez la syntaxe et les paramètres de ligne de commande suivants :

msac.exe -VERIFY <server> <Domain\account> <AccountCategory>

[ <AddressType> <Destination> ]

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ]

[ -V ] [ -P ] [ -? ] [ /? ]

Paramètre de ligne de commande Description

<serveur>

Indique le nom du serveur de site.

<domaine\compte>

Indique le domaine à utiliser et le compte à vérifier.

Si vous ne spécifiez pas le paramètre –P, cette propriété nécessitera le format <domaine\compte>. Si vous utilisez -P, spécifiez uniquement le nom du compte.

<Catégoriedecompte>

Indique la catégorie de compte à laquelle appartient le compte que vous vérifiez.

  • Valeurs valides : NetworkAccessAccount (compte d'accès réseau)

  • ClientPushAccount (compte d'installation poussée du client)

  • SiteAddressAccount (compte de l'adresse du site)

  • SHVToADReaderAccount (compte d'interrogation de référence d'état d'intégrité)

  • SHVToADWriterAccount (compte de publication de la référence d'état d'intégrité)

  • SoftwareUpdatePointProxyServerAccount (compte du serveur proxy du point de mise à jour logicielle)

  • Remarque : les sites secondaires n'ont pas de compte d'interrogation de référence d'état d'intégrité, ni de compte de publication de la référence d'état d'intégrité ; ces comptes peuvent uniquement être vérifiés sur des sites principaux.

<Typedadresse>

Indique le type d'adresse du compte que vous vérifiez.

Les valeurs possibles pour cette propriété sont les suivantes :

MS_LAN.

MS_X25_RAS.

MS_ISDN_RAS.

MS_ASYNC_RAS.

MS_SNA_RAS.

La propriété AddressType est requise pour la catégorie SiteAddressAccounts.

<Destination>

Indique le code du site de destination pour le compte que vous vérifiez.

-S

Indique les codes de site à traiter si vous n'utilisez pas le site en cours.

Par exemple, il peut s'agir du code de site pour un site enfant auquel le compte appartient.

-R

Vérifie le compte de tous les sites enfants appartenant au serveur de site indiqué comme <serveur>.

-I

Indique que vous voulez ignorer les erreurs qui surviennent lorsque le compte est vérifié sur les sites enfants et continuer le processus de vérification du compte.

Si vous utilisez ce paramètre, vous pourrez toujours afficher les erreurs ignorées via la sortie de la console.

-V

Indique qu'un journal présentant les détails de la vérification du compte doit être affiché en tant que sortie dans la console.

-P

Indique que le compte que vous vérifiez utilise le domaine des comptes existants.

Certains types de compte peuvent être en cours d'utilisation dans plusieurs domaines, avec le même nom et le même mot de passe dans chaque domaine. Lorsqu'un compte de ce type nécessite une mise à jour, chaque copie du compte est modifiée et mise à jour avec ce même nouveau mot de passe. Aussi, si vous utilisez le paramètre -P, cet utilitaire examinera le nom de domaine et le réutilisera sans que vous ayez à le repréciser à chaque fois.

-? ou /?

Affiche l'aide et l'utilisation de la ligne de commande.

Répertorier les comptes

Pour répertorier les comptes existants, utilisez la syntaxe et les paramètres de ligne de commande suivants :

msac.exe -LIST <server> <AccountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ]
             [-FILE <path and filename>] [ ? ] [ /? ]
Paramètre de ligne de commande Description

<serveur>

Indique le nom du serveur de site.

<Catégoriedecompte>

Indique la catégorie de compte à laquelle appartient le compte que vous répertoriez.

La catégorie AllAccount est utilisée pour répertorier toutes les catégories de compte.

Valeurs valides :

  • NetworkAccessAccount (compte d'accès réseau)

  • ClientPushAccount (compte d'installation poussée du client)

  • SiteAddressAccount (compte de l'adresse du site)

  • SHVToADReaderAccount (compte d'interrogation de référence d'état d'intégrité)

  • SHVToADWriterAccount (compte de publication de la référence d'état d'intégrité)

  • SoftwareUpdatePointProxyServerAccount (compte du serveur proxy du point de mise à jour logicielle)

  • AllAccount (répertorie tous les comptes)

-S

Indique les codes de site à traiter si vous n'utilisez pas le site en cours.

Il peut s'agir, par exemple, du code de site d'un site enfant.

-R

Répertorie les détails des comptes pour tous les sites enfants.

-FILE

Indique un fichier de sortie pour le paramètre de liste. Un chemin de sortie complet et un nom de fichier sont requis lors de l'utilisation de ce paramètre.

-? ou /?

Affiche l'aide et l'utilisation de la ligne de commande.

Voir aussi

Autres ressources

Comptes et groupes dans Configuration Manager
Comment configurer des comptes Configuration Manager 2007

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.