如何为 Configuration Manager 扩展 Active Directory 架构

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

扩展 Active Directory 架构是林范围的操作,每个林只能执行一次。扩展架构是不可逆操作,必须由属于架构管理组成员的用户执行或者由已委托足够权限以修改架构的人员执行。如果选择扩展 Active Directory 架构,请在安装前后完成。

虽然有些 Configuration Manager 功能(如 Configuration Manager 中的网络访问保护和全局漫游)依赖于扩展架构,但是可能有不扩展架构而启用其他 Configuration Manager 功能的解决方法。有关受影响的功能以及不为 Configuration Manager 2007 扩展 Active Directory 架构的解决方法的详细信息,请参阅决定是否应扩展 Active Directory 架构

为成功启用 Configuration Manager 客户端以查询 Active Directory 域服务以查找站点资源,需要执行四个操作:

  • 扩展 Active Directory 架构。

  • 创建系统管理容器。

  • 设置系统管理容器的安全权限。

  • 为 Configuration Manager 站点启用 Active Directory 发布。

在为 Configuration Manager 扩展架构时,添加了多个类和属性,Active Directory 林中的任何 Configuration Manager 站点都可以使用这些类和属性。由于全局编录被复制到整个林中,您必须考虑可能由此产生的网络流量。在 Windows 2000 林中,扩展架构导致完全同步整个全局编录。对于 Windows 2003 林,仅复制新添加的属性。您应该计划在复制流量不会对其他网络相关程序带来负面影响时扩展架构。

可以通过运行 ExtADSch.exe 实用程序或使用 LDIFDE 命令行实用程序以导入 ConfigMgr_ad_schema.ldf LDIF 文件的内容来为 Configuration Manager 2007 扩展 Active Directory 架构。实用程序和 LDIF 文件均位于 Configuration Manager 2007 安装文件的 SMSSETUP\BIN\i386 目录中。不管采用什么方法扩展架构,都必须满足两个条件:

  • Active Directory 架构必须允许更新。在运行 Windows Server 2003 的域上,架构默认启用更新。对于运行 Windows 2000 Server 的域,您必须在 Active Directory 林的架构主机上手动启用更新。

  • 用于更新架构的帐户必须是架构管理组的成员或已委托足够权限来修改架构。

备注

建议使用 ConfigMgr_ad_schema.ldf LDIF 文件来为 Configuration Manager 2007 扩展 Active Directory 架构。使用 LDIF 文件扩展 Active Directory 架构(而不是使用 ExtADSch.exe 实用程序)在对 Active Directory 架构所做的更改方面提供的透明度更高,也使得诊断架构扩展过程中遇到的任何问题变得更容易。

有关扩展架构的详细信息,请参阅下列任务:

如何使用 LDIF 文件扩展 Active Directory 架构

如何使用 ExtADSch.exe 扩展 Active Directory 架构

如何为 Windows 2000 Server 域启用架构修改

在使用 Configuration Manager 所需的类和属性扩展架构之后,您必须在 Active Directory 域服务中的站点服务器域分区的系统容器内创建系统管理容器。

由于域控制器不将其系统管理容器复制到林中的其他域,因此必须为宿主 Configuration Manager 站点的每个域创建系统管理容器。

虽然每个域在域分区中保留其自己的系统管理容器,但是 Configuration Manager 信息仍会被发布到林的全局编录。这使得每个站点的信息发布到对林中每个客户端均可用的 Active Directory,而不考虑域成员身份。这正是我们建议不要使用重叠站点边界的另一个原因。要创建系统管理容器,请参阅下列任务:

如何在 Active Directory 域服务中创建系统管理容器

创建系统管理容器之后,主站点服务器的计算机帐户必须被授予系统管理容器及其所有子对象的完全控制权限,以便成功发布信息。有关设置系统管理容器安全性的详细信息,请参阅下列任务:

如何在 Active Directory 域服务中设置系统管理容器安全性

当 Configuration Manager 站点信息被发布到 Active Directory 域服务时,Configuration Manager 客户端可以自动检测服务器定位器点和管理点,而不会产生 Windows Internet 名称服务 (WINS) 流量。如果 Configuration Manager 站点信息不发布到 Active Directory 域服务,您必须在 WINS 中手动添加 Configuration Manager 站点角色信息。有关将 Configuration Manager 信息发布到 Active Directory 域服务的详细信息,请参阅下列任务:

如何将 Configuration Manager 站点信息发布到 Active Directory 域服务

如何验证是否已将站点信息发布到 Active Directory 域服务

如何停止将站点信息发布到 Active Directory 域服务

如何将 Configuration Manager 站点信息手动添加到 WINS

另请参阅

概念

用于为 Configuration Manager 扩展 Active Directory 域服务架构的 LDIF 文件

其他资源

面向部署单个站点的 Configuration Manager 任务

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。