为 SCCM 创建系统管理容器并扩展 AD 架构

在这篇文章中，我将向您展示如何为 SCCM 创建系统管理容器并为 SCCM 扩展 Active Directory 架构（AD 架构）。我们还将完成在系统管理容器上委派权限并为站点发布准备 Active Directory 的步骤。

安装 SCCM 的 Active Directory 后，第一步是扩展 Active Directory 架构。下一步是为 SCCM 创建一个系统管理容器，并为该容器分配完全控制权限。

在安装 SCCM 之前，您需要做的事情之一是让 Active Directory 为站点发布做好准备。涉及几个步骤，我将在这篇文章中概述这些步骤。对于具有主站点或辅助站点的每个域，您必须仅创建一次系统管理容器。该容器将用于将数据发布到 Active Directory。

SCCM 中的系统管理容器是什么？

系统管理是位于 Active Directory 的 System 文件夹中的容器，站点服务器和管理点使用它来存储已发布的数据（例如边界和证书）。

如果已针对 SCCM 2007 或 Configuration Manager 2012 扩展了 Active Directory 架构，则无需再次扩展该架构。架构扩展未更改，并且已在 AD 中就位。换句话说，扩展 SCCM 的 AD 架构对于任何林来说都是一次性操作。

• SCCM 中的系统管理容器是什么？
• 准备 Active Directory 以进行网站发布
• 为 SCCM 创建系统管理容器
• 为系统管理容器分配权限
• 如何扩展 SCCM 的 Active Directory 架构
• 无法扩展 SCCM 的 AD 架构
• SCCM：Active Directory 属性和类列表
• • 什么是系统管理容器？
• 当您为 SCCM 扩展 AD 架构时会发生什么？
• 可以删除系统管理容器吗？

准备 Active Directory 以进行网站发布

在为 SCCM 创建系统管理容器并为 ConfigMgr 扩展 Active Directory 架构之前，以下是一些重要的先决条件。

• Configuration Manager 当前分支没有新的 Active Directory 架构扩展。如果您之前在 SCCM 安装期间扩展了架构，则无需再次扩展架构。
• 当您扩展 Configuration Manager 的 Active Directory 架构时，这是一项林范围的、一次性的、不可逆的操作。
• 要扩展 SCCM 的 AD 架构，您必须使用架构管理员组成员的帐户。
• 您可以在安装 Configuration Manager 站点之前或之后扩展架构。但是，我建议您在开始配置站点和层次结构设置之前扩展 SCCM 的 AD 架构。
• 为 SCCM 扩展 AD 架构后，Active Directory 全局编录将在整个林中进行复制。

为 SCCM 创建系统管理容器

让我们看看为 SCCM 创建系统管理容器的步骤。

第 1 步：使用 Schema Admins 安全组成员的帐户登录 Active Directory 域控制器。使用该帐户登录架构主域控制器。启动服务器管理器，然后从顶部菜单中单击工具，然后选择ADSI 编辑。右键单击ADSI 编辑，然后选择连接到。

第 2 步：在 ADSI 连接设置中，命名上下文应为默认命名上下文。不要更改 LDAP 路径，单击确定。

第 3 步：在 ADSI 编辑控制台中，展开默认命名上下文。右键单击CN=System，然后选择新建 > 对象。

步骤 4：您必须为要创建的系统管理容器对象选择一个类。在创建对象窗口中，选择容器，然后选择下一步。

步骤 5：输入容器值作为系统管理，然后单击下一步。

第 6 步：单击“完成”关闭创建对象向导。刷新 ADSI 编辑，系统管理容器现在应该在 CN=System 目录下可见。

为系统管理容器分配权限

为 SCCM 创建系统管理容器后，下一步是向系统管理容器分配权限。对于每个容器，您必须向每个站点服务器的计算机帐户授予将数据发布到该域的权限。要委派 SCCM 中系统管理容器的权限，请按照以下步骤操作。

第 1 步：启动 Active Directory 用户和计算机控制台。单击查看并选择高级功能。右键单击系统管理容器并选择委派控制。

第 2 步：在委派控制向导上，单击添加按钮。

步骤 3：在对象类型窗口中，选中计算机，然后单击确定。如果不执行此步骤，SCCM 计算机帐户将在 ADUC 控制台中不可见。

步骤 4：在选择用户、计算机或组窗口中，键入 SCCM 服务器名称，然后单击检查名称，计算机名称应为现在解决了。单击确定。

步骤 5：我们已在此域中添加 Configuration Manager 站点服务器的计算机帐户。单击下一步。

第 6 步：在要委派的任务窗口中，选择创建要委派的自定义任务。单击下一步。

第 7 步：在此步骤中，您指定要委派的任务范围。选择默认选项此文件夹、此文件夹中的现有对象以及此文件夹中的新对象的创建。 点击下一步。

第 8 步：在权限窗口中，选择您要委派的权限。选中所有复选框：常规、特定于属性、特定子对象的创建/委托。在权限下，启用完全控制。这将为 SCCM 计算机帐户分配对系统管理容器（包括后代对象）的完全权限。单击下一步。

第9步：我们已成功为系统管理容器分配权限。关闭控制委托向导。

以下视频教程介绍了 SCCM 系统管理容器的创建。

如何扩展 SCCM 的 Active Directory 架构

管理本地客户端时，应扩展 Configuration Manager 的 Active Directory 架构。扩展架构可以简化部署和设置客户端的过程。扩展模式还可以让客户端有效地定位内容服务器等资源。对于任何林来说，扩展架构都是一次性操作。

您可以在 Active Directory 或任何成员服务器上执行以下步骤。要扩展 AD 架构，请始终使用属于架构管理员安全组成员的帐户。

扩展 SCCM 的活动目录架构的步骤如下：

• 安装 SCCM 安装介质。找到文件夹：SMSSETUP\BIN\X64
• 右键单击名为“extadsch.exe”的文件。按住键盘上的 Shift 键，右键单击 extadsch 文件，然后选择复制为路径。
• 打开命令提示符并粘贴复制的数据，然后按 Enter 键。
• 这将扩展 SCCM 的 Active Directory 架构。

输出“成功扩展 Active Directory 架构”确认 AD 架构已成功扩展为 SCCM。

AD 架构日志文件 extadsch.log 可以在根驱动器 C:\extadsch.log 中找到。使用 CMTrace 日志查看器或记事本打开它。突出显示的文本显示 Active Directory 架构已成功扩展。

Modifying Active Directory Schema - with SMS extensions.
DS Root:CN=Schema,CN=Configuration,DC=PRAJWAL,DC=LOCAL
Defined attribute cn=MS-SMS-Site-Code.
Defined attribute cn=mS-SMS-Assignment-Site-Code.
Defined attribute cn=MS-SMS-Site-Boundaries.
Defined attribute cn=MS-SMS-Roaming-Boundaries.
Defined attribute cn=MS-SMS-Default-MP.
Defined attribute cn=mS-SMS-Device-Management-Point.
Defined attribute cn=MS-SMS-MP-Name.
Defined attribute cn=MS-SMS-MP-Address.
Defined attribute cn=mS-SMS-Health-State.
Defined attribute cn=mS-SMS-Source-Forest.
Defined attribute cn=MS-SMS-Ranged-IP-Low.
Defined attribute cn=MS-SMS-Ranged-IP-High.
Defined attribute cn=mS-SMS-Version.
Defined attribute cn=mS-SMS-Capabilities.
Defined class cn=MS-SMS-Management-Point.
Defined class cn=MS-SMS-Server-Locator-Point.
Defined class cn=MS-SMS-Site.
Defined class cn=MS-SMS-Roaming-Boundary-Range.
Successfully extended the Active Directory schema.
Please refer to the ConfigMgr documentation for instructions on the manual 
configuration of access rights in active directory which may still 
need to be performed.  (Although the AD schema has now be extended, 
AD must be configured to allow each ConfigMgr Site security rights to 
publish in each of their domains.)

无法扩展 SCCM 的 AD 架构

在某些环境中，您在扩展 SCCM 的 Active Directory 架构时可能会遇到错误。下面列出了一些常见的 AD 架构错误及其相关解决方案。

• 扩展 SCCM 的 AD 架构时，您可能会遇到错误 8202。Active Directory 架构错误 8202 记录在系统驱动器根目录中的 ExtADSch.log 中。阅读以下指南来修复 SCCM Active Directory 架构错误 8202。
• 扩展 SCCM 的 Active Directory 架构时，您可能会遇到架构错误代码 1355。请阅读以下指南来修复无法扩展 Active Directory 架构错误代码=1355。

SCCM：Active Directory 属性和类列表

扩展 Configuration Manager 的 AD 架构后，以下类和属性将添加到该架构中。这些可供该 Active Directory 林中的所有 SCCM 站点使用。

SCCM 的 Active Directory 类

cn=MS-SMS-管理点
cn=MS-SMS-Roaming-Boundary-Range
cn=MS-SMS-Server-Locator-Point
cn=MS-SMS-Site

SCCM 系统管理容器常见问题解答

以下是有关 SCCM 的系统管理容器和扩展 AD 架构的一些常见问题解答。

什么是系统管理容器？

系统管理是位于 Active Directory 中的系统文件夹中的容器，站点服务器和管理点使用它来存储已发布的数据（例如边界和证书）。

当您为 SCCM 扩展 AD 架构时会发生什么？

当您扩展 Configuration Manager 的 Active Directory 架构时，您向 Active Directory 引入了新的结构。 Configuration Manager 站点使用这些新结构将关键信息发布到客户端可以轻松访问的安全位置。

可以删除系统管理容器吗？

只要您的 SCCM 站点处于活动状态，您就不应该删除系统管理容器及其中的任何对象。