通过

如何从命令行管理帐户

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

您可以通过命令行界面使用管理站点帐户工具 (MSAC.exe) 快速而方便地创建、更改、验证、删除和列出用户定义的用于 Microsoft System Center Configuration Manager 2007 站点的 Windows 帐户。

备注

此版本的管理站点帐户工具仅支持用于 Configuration Manager 2007 站点。如果需要管理 SMS 2003 站点的帐户,您必须使用该工具的 SMS 2003 版本。SMS 2003 管理站点帐户工具不能更改客户端请求安装帐户。不存在支持更改 SMS 2003 辅助站点的此帐户的方式。

您可以修改的帐户类型多于可以添加的帐户类型,因为大多数帐户类型仅允许使用一个帐户。您可以添加任意数目的客户端请求安装帐户,但是添加一个额外的网络访问帐户只会替换现有帐户。

列出所有帐户对于安全审核很有帮助。

可以管理的帐户列表

下列帐户可以通过管理站点帐户工具管理。

帐户名称 操作

客户端请求安装帐户[ClientPushAccount]

添加、更改*、删除、验证、列出

网络访问帐户[NetworkAccessAccount]

更改、删除、验证、列出

站点地址帐户[SiteAddressAccount]

更改、验证、列出

健康状况引用查询帐户[SHVToADReaderAccount]

更改、验证、列出

健康状况引用发布帐户[SHVToADWriterAccount]

更改、验证、列出

软件更新点代理服务器帐户

[SoftwareUpdatePointProxyServerAccount]

更改、验证、列出

备注

只有在将软件更新点安装在站点服务器上时,该工具才能管理软件更新点代理服务器帐户。

* -Set 命令不能实际更改客户端请求安装帐户的密码。要更改客户端请求安装帐户,请使用 -Delete 选项删除帐户,然后使用 -Add 选项创建帐户。

备注

虽然命令行帮助显示您可以管理站点系统安装帐户 [SiteSystemInstallationAccount],但不起作用。

管理站点帐户工具语法

管理站点帐户工具 (Msac.exe) 具有下列命令行语法和命令行参数,可用于管理 Configuration Manager 2007 使用的所有 Windows 帐户。

msac.exe -[ ADD | SET | DELETE | VERIFY | LIST | ? ] [arguments]
命令行参数 描述

-ADD

在指定的服务器中添加给定帐户。

-SET

将现有帐户更改为新帐户。

-DELETE

在指定的服务器中删除给定帐户。

-VERIFY

在指定服务器中验证给定帐户。

-LIST

将指定服务器上所有帐户类别或指定帐户类别的现有帐户以列表形式输出到屏幕或文件中。

?

显示命令行帮助。

添加新帐户

使用下列命令行语法和参数来创建新帐户。

重要

管理站点帐户工具在 Configuration Manager 2007 控制台中配置帐户,但是不会在 Active Directory 域服务中实际创建帐户。您还必须在域中创建该帐户并设置密码。

msac.exe -ADD <server> <Domain\account> <accountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -PA <Password | -G]
             [ -R ] [ -I ] [ -T ] [ -V ] [ -P ] [ -? ] [ /? ]
命令行参数 描述

<服务器>

表示站点服务器的名称。

<域\帐户>

表示要使用的域和要添加的帐户您一次只能添加一个帐户。

如果未指定 –P 参数,此属性将需要 <域\帐户> 格式。如果使用 -P,则仅指定帐户名称。

<accountCategory>

表示新帐户所属的帐户类别。

此属性唯一的可能值是:

ClientPushAccount(客户端请求安装帐户)

您不能配置在站点系统上使用的帐户,如管理点数据库连接帐户。

-S

表示要处理的站点代码(如果未使用当前站点)。

例如,这可能是一个子站点的站点代码。

-PA

为新用户帐户指定密码。

如果您希望指定自动强密码创建,则不要使用此参数。改为使用 -G 参数。

-G

为新帐户创建强密码。

此参数导致使用强算法自动生成强密码。

重要

管理站点帐户工具生成强密码并在 Configuration Manager 2007 控制台中为帐户进行配置,但是不会在 Active Directory 域服务中实际设置密码。除非将域帐户配置为使用生成的密码,否则帐户将失败。当从控制台输出传输密码以配置 Active Directory 中的帐户时,请保护密码。

-R

将新帐户添加到属于指定为 <服务器> 的站点服务器的所有子站点。

备注

由于已知问题,G R 组合无法正确地为所有子站点生成相同的强密码。解决方法:如果必须为所有子站点生成强密码,请在父站点中使用 MSAC -add -G 命令,记录生成的强密码,然后使用 MSAC -add -PA <强密码> -G 在所有层次结构中配置相同的密码。

-I

表示您要忽略在将帐户添加到子站点时出现的任何错误,并继续添加帐户。

如果使用此参数,您仍可以在控制台输出中查看已忽略的错误。

-T

指定应该在测试模式下运行您请求的更改,从而不会真正影响您的系统。

-V

指定显示新帐户创建详细信息的日志应作为控制台输出显示。

-P

指定新帐户应使用与现有帐户相同的域。

某些帐户类型可以在多个域中使用,但是在每个域中都使用相同的名称和密码。当此类帐户需要更新时,将使用相同的新密码更改和更新每个帐户副本。因此,如果使用 -P 参数,此工具将检查域名并重复使用它,您无需指定。

-? 或 /?

显示命令行帮助和用法。

更改帐户

使用下列命令行语法和参数来将当前帐户更改为新帐户。

重要

管理站点帐户工具在 Configuration Manager 2007 控制台中配置帐户,但是不会在 Active Directory 域服务中实际创建帐户。您还必须在域中创建该帐户并设置密码。

msac.exe -SET <server> <Domain\account> <Domain\Newaccount | ComputerAccount> <AccountCategory>
             [ <AddressType> <Destination> ] [ -PA <password> | -G ]
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ] [ -I ] [ -T ]
             [ -V ] [ -P ] [ -? ] [ /? ]
命令行参数 描述

<服务器>

表示站点服务器的名称。

<域\帐户>

表示要使用的域和要修改的用户帐户。

如果未指定 –P 参数,此属性将需要 <域\帐户> 格式。如果使用 -P,则仅指定帐户名称。

<域\新帐户>

指定将替换现有帐户的新用户帐户。

注意

您可以对 SiteAddressAccount 使用 ComputerAccount 代替 <域\新帐户>。

<AccountCategory>

表示修改的帐户所属的帐户类别。

  • 有效值:NetworkAccessAccount(网络访问帐户)

  • SiteAddressAccount(站点地址帐户)

  • SHVToADReaderAccount(健康状况引用查询帐户)

  • SHVToADWriterAccount(健康状况引用发布帐户)

  • SoftwareUpdatePointProxyServerAccount(软件更新点代理服务器帐户)

    备注

    -Set 命令不能实际更改客户端请求安装帐户的密码。要更改客户端请求安装帐户,请使用 -Delete 选项删除帐户,然后使用 -Add 选项创建帐户。

<地址类型>

表示您正在修改的发送程序地址帐户的地址类型。

此属性可能的值有:

MS_LAN。

MS_X25_RAS。

MS_ISDN_RAS。

MS_ASYNC_RAS。

MS_SNA_RAS。

注意

地址类型属性是 SiteAddressAccount 类别必需的。

ComputerAccount

使用站点系统的计算机帐户替换发送程序地址帐户(站点地址帐户)。ComputerAccount 参数仅用于 set 参数和 SiteAddressAccount 类别。此参数用于代替 <域/新用户>。

<目标>

表示修改的帐户的目标站点代码。

-PA

为修改的用户帐户指定密码。

如果您希望指定自动强密码创建,则不要使用此参数。改为使用 -G 参数。

-G

为修改的帐户指定强密码。

此参数导致使用强算法自动生成强密码。

重要

管理站点帐户工具生成强密码并在 Configuration Manager 2007 控制台中为帐户进行配置,但是不会在 Active Directory 域服务中实际设置密码。除非将域帐户配置为使用生成的密码,否则帐户将失败。当从控制台输出传输密码以配置 Active Directory 中的帐户时,请保护密码。

-S

表示要处理的站点代码(如果未使用当前站点)。

例如,这可能是一个子站点的站点代码。

-R

将修改的帐户添加到属于指定为 <服务器> 的站点服务器的所有子站点。

备注

由于已知问题,G R 组合无法正确地为所有子站点生成相同的强密码。解决方法:如果必须为所有子站点生成强密码,请在父站点中使用 MSAC -set -G 命令,记录生成的强密码,然后使用 MSAC -set -PA <强密码> -G 在所有层次结构中配置相同的密码。

-I

表示您要忽略在将已修改帐户添加到子站点时出现的任何错误,并继续添加帐户。

如果使用此参数,您仍可以在控制台输出中查看已忽略的错误。

-T

指定应该在测试模式下运行您请求的更改,从而不会真正影响您的系统。

-V

指定显示帐户修改详细信息的日志应作为控制台输出显示。

-P

使用此参数指定已修改帐户应使用现有帐户的域。

某些帐户类型可以在多个域中使用,在每个域中都使用相同的名称和密码。当此类帐户需要更新时,将使用相同的新密码更改和更新每个帐户副本。因此,如果使用 -P 参数,此工具将检查域名并重复使用它,您无需每次都指定。

-? 或 /?

显示命令行帮助和用法。

删除帐户

使用下列命令行语法和参数来删除现有帐户:

msac.exe -DELETE <服务器> <域\帐户> <帐户类别>

[ -S <站点代码 1> [, <站点代码 2> [ ... ] ] ]

[ -R ] [ -I ] [ -T ]

[ -V ] [ -P ] [ -? ] [ /? ]

命令行参数 描述

<服务器>

表示站点服务器的名称。

<域\帐户>

表示要使用的域和要删除的帐户。

如果未指定 –P 参数,此属性将需要 <域\帐户> 格式。如果使用 -P,则仅指定帐户名称。

<accountCategory>

表示正在删除的帐户所属的帐户类别。

此属性可能的值有:

  • NetworkAccessAccount(网络访问帐户)

  • ClientPushAccount(客户端请求安装帐户)

-S

表示要处理的站点代码(如果未使用当前站点)。

例如,这可以是帐户所属的子站点的站点代码。

-R

从属于指定为 <服务器> 的站点服务器的所有子站点删除帐户。

-I

表示您要忽略在从子站点删除帐户时出现的任何错误,并继续删除帐户。

如果使用此参数,您仍可以在控制台输出中查看已忽略的错误。

-T

指定应该在测试模式下运行您请求的更改,从而不会真正影响您的系统。

-V

指定显示帐户删除详细信息的日志应作为控制台输出显示。

-P

表示要删除的帐户使用现有帐户的域。

某些帐户类型可以在多个域中使用,在每个域中都使用相同的名称和密码。当此类帐户需要更新时,将使用相同的新密码更改和更新每个帐户副本。因此,如果使用 -P 参数,此工具将检查域名并重复使用它,您无需每次都指定。

-?

显示命令行帮助和用法。

验证帐户

使用下列命令行语法和参数来验证现有帐户:

msac.exe -VERIFY <server> <Domain\account> <AccountCategory>

[ <AddressType> <Destination> ]

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ]

[ -V ] [ -P ] [ -? ] [ /? ]

命令行参数 描述

<服务器>

表示站点服务器的名称。

<域\帐户>

表示要使用的域和要验证的帐户。

如果未指定 –P 参数,此属性将需要 <域\帐户> 格式。如果使用 -P,则仅指定帐户名称。

<AccountCategory>

表示正在验证的帐户所属的帐户类别。

  • 有效值:NetworkAccessAccount(网络访问帐户)

  • ClientPushAccount(客户端请求安装帐户)

  • SiteAddressAccount(站点地址帐户)

  • SHVToADReaderAccount(健康状况引用查询帐户)

  • SHVToADWriterAccount(健康状况引用发布帐户)

  • SoftwareUpdatePointProxyServerAccount(软件更新点代理服务器帐户)

  • 注意:辅助站点没有健康状况引用查询帐户和健康状况引用发布帐户;这些帐户只能在主站点进行验证。

<地址类型>

表示您正在验证的帐户的地址类型。

此属性可能的值有:

MS_LAN。

MS_X25_RAS。

MS_ISDN_RAS。

MS_ASYNC_RAS。

MS_SNA_RAS。

地址类型属性是 SiteAddressAccounts 类别必需的。

<目标>

表示正在验证的帐户的目标站点代码。

-S

表示要处理的站点代码(如果未使用当前站点)。

例如,这可以是帐户所属的子站点的站点代码。

-R

验证属于指定为 <服务器> 的站点服务器的所有子站点上的帐户。

-I

表示您要忽略在子站点上验证帐户时出现的任何错误,并继续验证帐户。

如果使用此参数,您仍可以在控制台输出中查看已忽略的错误。

-V

指定显示帐户验证详细信息的日志应作为控制台输出显示。

-P

表示您正在验证的帐户使用现有帐户的域。

某些帐户类型可以在多个域中使用,在每个域中都使用相同的名称和密码。当此类帐户需要更新时,将使用相同的新密码更改和更新每个帐户副本。因此,如果使用 -P 参数,此工具将检查域名并重复使用它,您无需每次都指定。

-? 或 /?

显示命令行帮助和用法。

列出帐户

使用下列命令行语法和参数来列出现有帐户:

msac.exe -LIST <server> <AccountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ]
             [-FILE <path and filename>] [ ? ] [ /? ]
命令行参数 描述

<服务器>

表示站点服务器的名称。

<AccountCategory>

表示正在列出的帐户所属的帐户类别。

AllAccount 类别用于列出所有帐户类别。

有效值:

  • NetworkAccessAccount(网络访问帐户)

  • ClientPushAccount(客户端请求安装帐户)

  • SiteAddressAccount(站点地址帐户)

  • SHVToADReaderAccount(健康状况引用查询帐户)

  • SHVToADWriterAccount(健康状况引用发布帐户)

  • SoftwareUpdatePointProxyServerAccount(软件更新点代理服务器帐户)

  • AllAccount(列出所有帐户)

-S

表示要处理的站点代码(如果未使用当前站点)。

例如,这可能是一个子站点的站点代码。

-R

列出所有子站点的帐户详细信息。

-FILE

指定作为列表参数输出的文件。使用此参数时,需要一个完整的输出路径和文件名。

-? 或 /?

显示命令行帮助和用法。

另请参阅

其他资源

Configuration Manager 中的帐户和组
如何配置 Configuration Manager 2007 帐户

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。