判斷是否要延伸 Configuration Manager 的Active Directory 架構
適用於: System Center 2012 Configuration Manager、System Center 2012 Configuration Manager SP1、System Center 2012 Configuration Manager SP2、System Center 2012 R2 Configuration Manager、System Center 2012 R2 Configuration Manager SP1
當您延伸 System Center 2012 Configuration Manager 的 Active Directory 架構時,可以將網站資訊發佈至 Active Directory 網域服務。 延伸 Active Directory 架構是 Configuration Manager 的選用功能。 不過,若延伸該架構,您就能夠以最少的管理成本來使用所有的 Configuration Manager 特性及功能。
如果您決定延伸 Active Directory 架構,可以在執行 Configuration Manager 安裝之前或之後進行。
延伸 Configuration Manager 的 Active Directory 架構時應考量的事項
System Center 2012 Configuration Manager (和更新版本如 SP1 或 R2) 及 Configuration Manager 2007 兩者所使用的 Active Directory 架構延伸完全相同。 如果延伸 Configuration Manager 2007 的架構,便不需再次延伸 System Center 2012 Configuration Manager 的架構。
如果已延伸 System Center 2012 Configuration Manager 一個版本的架構,您就不需要再次延伸之後版本的 Configuration Manager 的架構。
延伸 Active Directory 架構的動作會對整個樹系造成影響,且每個樹系只能進行一次。 延伸架構是無法還原的動作,必須由 Schema Admins 群組的成員,或已委派足夠權限來修改架構的人員完成此動作。 如果您決定延伸 Active Directory 架構,您可以在執行安裝程式前後延伸該架構。
要讓 Configuration Manager 用戶端成功查詢 Active Directory 網域服務以找到網站資源,必須完成四個動作:
延伸 Active Directory 架構。
建立 System Management 容器。
在 System Management 容器設定安全性權限。
啟用 Configuration Manager 網站的 Active Directory 發佈功能。
如需有關如何延伸架構、建立 System Management 容器,以及進行容器安全性權限設定的詳細資訊,請參閱準備 Configuration Manager 適用的 Active Directory主題中的為 Configuration Manager 準備 Windows 環境。 如需如何啟用 Configuration Manager 網站發佈功能的詳細資訊,請參閱規劃將站台資料發佈至 Active Directory 網域服務。
受 Exchange Server 連接器和下列用戶端管理的裝置不使用 Configuration Manager 的 Active Directory 架構延伸:
Mac 電腦的用戶端
Linux 和 UNIX 伺服器的用戶端
由 Configuration Manager 註冊的行動裝置
由 Microsoft Intune 註冊的行動裝置
行動裝置的舊版用戶端
設定只能使用網際網路用戶端管理的 Windows 用戶端
Configuration Manager 偵測到使用網際網路的 Windows 用戶端
下表說明的 Configuration Manager 功能使用 Configuration Manager 的延伸 Active Directory 架構,以及無法延伸架構時可採用的因應措施。
功能 |
Active Directory |
詳細資料 |
|---|---|---|
用戶端電腦安裝與網站指派 |
選擇性 |
安裝新的 Configuration Manager Windows 用戶端時,該用戶端可以搜尋 Active Directory 網域服務中的安裝內容。 如果不延伸該架構,則必須使用下列其中一種因應措施提供安裝該電腦所需的設定詳細資料:
|
用戶端與伺服器通訊的連接埠設定 |
選擇性 |
用戶端進行安裝時,會設定連接埠資訊。 如果您在之後變更網站的用戶端與伺服器通訊連接埠,用戶端將可自 Active Directory 網域服務取得這個新的連接埠設定。 如果不延伸該架構,則必須使用下列其中一種因應措施提供這個新的連接埠設定給現有用戶端:
|
網路存取保護 |
必要 |
Configuration Manager 會將健全狀況狀態參照發佈至 Active Directory 網域服務,讓系統健全狀況驗證程式能夠驗證用戶端的健全狀況聲明。 |
內容部署案例 |
選擇性 |
當您在其中一個網站建立內容,然後將該內容部署至階層中的另一個網站時,接收網站必須能夠驗證已簽署內容資料的簽章。 您必須能夠存取建立此資料之來源網站的公開金鑰,才能執行此動作。 當您延伸 Configuration Manager 的 Active Directory 架構時,階層中的所有網站即可使用某個網站的公開金鑰。 如果不延伸 Active Directory 架構,您可以使用階層維護工具 preinst.exe 在網站之間交換安全金鑰資訊。 例如,如果您打算在主要網站建立內容,然後將該內容部署至另一個主要網站之下的次要網站,則必須延伸 Active Directory 架構,使次要網站能夠取得來源主要網站的公開金鑰,否則就必須使用 preinst.exe,直接在兩個網站之間共用金鑰。 |
Configuration Manager 架構延伸新增的屬性和類別
延伸 Configuration Manager 的架構時,會新增數個類別和屬性,可供 Active Directory 樹系中的任何 Configuration Manager 網站使用。 由於通用類別目錄會在整個樹系中進行複寫,請務必將可能產生的網路流量列入考量。 在 Windows 2000 樹系中,延伸架構可能會完整同步處理整個通用類別目錄。 從 Windows 2003 樹系開始,只會覆寫新增的屬性。 請規劃在複寫流量不致於對其他需要網路的處理程序造成不利影響的時間延伸架構。
當您延伸 System Center 2012 Configuration Manager 的 Active Directory 架構時,會將下列屬性和類別新增至 Active Directory 網域服務:
屬性:
cn=mS-SMS-Assignment-Site-Code
cn=mS-SMS-Capabilities
cn=MS-SMS-Default-MP
cn=mS-SMS-Device-Management-Point
cn=mS-SMS-Health-State
cn=MS-SMS-MP-Address
cn=MS-SMS-MP-Name
cn=MS-SMS-Ranged-IP-High
cn=MS-SMS-Ranged-IP-Low
cn=MS-SMS-Roaming-Boundaries
cn=MS-SMS-Site-Boundaries
cn=MS-SMS-Site-Code
cn=mS-SMS-Source-Forest
cn=mS-SMS-Version
類別:
cn=MS-SMS-Management-Point
cn=MS-SMS-Roaming-Boundary-Range
cn=MS-SMS-Server-Locator-Point
cn=MS-SMS-Site
.jpeg "System_CAPS_note") 注意 |
|---|
Active Directory 架構延伸可能包括繼承自舊版產品但 Microsoft System Center 2012 Configuration Manager 並未使用的屬性和類別。 例如:
|
為確保這些清單是您所用 System Center 2012 Configuration Manager 版本的最新清單,請檢閱 ConfigMgr_ad_schema.LDF 安裝媒體中 \SMSSETUP\BIN\x64 資料夾內的 System Center 2012 Configuration Manager 檔案。