Déterminer s'il convient d'étendre le schéma Active Directory pour Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Lorsque vous étendez le schéma Active Directory pour System Center 2012 Configuration Manager, vous pouvez publier des informations du site sur les services de domaine Active Directory. L'extension du schéma Active Directory est facultatif pour Configuration Manager. Toutefois, en étendant le schéma, vous pouvez utiliser toutes les fonctions et fonctionnalités de Configuration Manager en limitant les frais administratifs.

Si vous décidez d'étendre le schéma Active Directory, vous pouvez le faire avant ou après l'exécution de l'installation de Configuration Manager.

Considérations relatives à l'extension du schéma Active Directory pour Configuration Manager

Les extensions de schéma Active Directory pour System Center 2012 Configuration Manager (et versions ultérieures telles que SP1 ou R2) sont identiques à celles utilisées par Configuration Manager 2007. Si vous avez étendu le schéma pour Configuration Manager 2007, vous n'avez pas besoin de l'étendre de nouveau pour System Center 2012 Configuration Manager.

De même, si vous avez étendu le schéma pour une version de System Center 2012 Configuration Manager, vous n'avez pas besoin d'étendre de nouveau le schéma pour une version ultérieure de Configuration Manager.

L'extension du schéma Active Directory est une action qui se déroule à l'échelle de la forêt et qui ne peut être réalisée qu'une seule fois par forêt. L'extension du schéma est une action irréversible qui doit être réalisée par un utilisateur membre du groupe Administrateurs du schéma, ou disposant de suffisamment d'autorisations pour modifier le schéma. Si vous décidez d'étendre le schéma Active Directory, vous pouvez le faire avant ou après l'installation.

Quatre actions sont requises pour permettre aux clients Configuration Manager d'interroger les services de domaine Active Directory pour localiser les ressources du site :

  • Étendre le schéma Active Directory.

  • Créer le conteneur System Management.

  • Définir les autorisations de sécurité sur le conteneur System Management.

  • Activer la publication Active Directory pour le site Configuration Manager.

Pour plus d'informations sur la façon d'étendre le schéma, créer le conteneur System Management et configurer des autorisations de sécurité sur le conteneur, consultez Préparer Active Directory pour Configuration Manager dans la rubrique Préparer l'environnement Windows pour Configuration Manager. Pour plus d'informations sur l'activation de la publication pour les sites Configuration Manager, voir Planification de la publication des données de site vers les services de domaine Active Directory.

Les appareils mobiles gérés par le connecteur Exchange Server et les clients suivants n'utilisent pas les extensions de schéma Active Directory pour Configuration Manager :

  • Client des ordinateurs Mac

  • Client des serveurs Linux et UNIX

  • Appareils mobiles inscrits par Configuration Manager

  • Appareils mobiles inscrits par Microsoft Intune

  • Clients d'appareil mobile hérités

  • Clients Windows configurés pour être gérés uniquement via Internet

  • Clients Windows détectés par Configuration Manager comme étant connectés à Internet

Le tableau suivant recense les fonctions de Configuration Manager qui utilisent un schéma Active Directory étendu pour Configuration Manager et indique s'il existe des solutions de contournement que vous pouvez utiliser lorsque vous ne pouvez pas étendre le schéma.

Fonctionnalité

Active Directory

Détails

Installation de l'ordinateur client et attribution de site

Facultatif

Lors de l'installation d'un nouveau client Windows Configuration Manager, le client peut rechercher des propriétés d'installation dans les services de domaine Active Directory. Si vous n'étendez pas le schéma, vous devez utiliser l'une des solutions de contournement suivantes pour fournir des détails de configuration dont les ordinateurs ont besoin pour l'installation :

  • Utilisez l'installation poussée du client. Avant d'utiliser la méthode d'installation du client, assurez-vous que toutes les conditions préalables sont remplies. Pour plus d'informations, consultez la section « Dépendances liées aux méthodes d'installation » dans Configuration requise pour les clients d'ordinateurs.

  • Installez des clients manuellement et fournissez les propriétés d'installation du client en utilisant les propriétés de ligne de commande d'installation CCMSetup. Ces méthodes doivent inclure :

    • Spécifiez un point de gestion ou un chemin source à partir duquel l'ordinateur peut télécharger les fichiers d'installation en utilisant la propriété CCMSetup /mp:=<nom_ordinateur_nom_poin_de_gestion> ou /source:<chemin_accès_fichiers_sources_client> sur la ligne de commande CCMSetup lors de l'installation du client.

    • Spécifiez une liste de points de gestion initiale pour le client, afin qu'il puisse l'attribuer au site et ensuite télécharger les paramètres de stratégie client et du site. Pour ce faire, utilisez la propriété CCMSetup Client.msi de SMSMP.

  • Publiez le point de gestion dans DNS ou WINS et configurez des clients pour utiliser cette méthode d'emplacement de service.

Configuration du port pour la communication client à serveur

Facultatif

Lorsqu'un client est installé, il est configuré avec les informations du port. Si vous modifiez ultérieurement le port de communication client à serveur pour un site, un client peut obtenir ce nouveau paramètre de port par les Services de domaine Active Directory. Si vous n'étendez pas le schéma, vous devez utiliser une des solutions de contournement suivantes pour fournir cette nouvelle configuration de port aux clients existants :

  • Réinstallez les clients et configurez-les pour utiliser les nouvelles informations de port.

  • Déployez un script vers les clients pour à mettre à jour les informations de port. Si les clients ne peuvent pas communiquer avec un site en raison de la modification du port, vous devez déployer ce script en externe vers Configuration Manager. Vous pouvez par exemple utiliser la Stratégie de groupe.

protection d'accès réseau (NAP),

Obligatoire

Configuration Manager publie les références d'état d'intégrité aux Services de domaine Active Directory afin que le point du programme de validation d'intégrité système puisse valider l'état d'intégrité d'un client.

Scénarios de déploiement de contenu

Facultatif

Lorsque vous créez un contenu sur un site et que vous déployez ce contenu vers un autre site de la hiérarchie, le site récepteur doit être capable de vérifier la signature des données du contenu signé. Cela nécessite un accès à la clé publique du site source dans lequel vous créez ces données.

Lorsque vous étendez le schéma Active Directory pour Configuration Manager, la clé publique d'un site est rendue disponible à tous les sites de la hiérarchie. Si vous n'étendez pas le schéma Active Directory, vous pouvez utiliser l'outil de maintenance de hiérarchie, preinst.exe, pour échanger les informations de la clé sécurisées entre les sites.

Par exemple, si vous pensez créer du contenu sur un site principal pour le déployer vers un site secondaire inférieur à un site principal différent, vous devez soit étendre le schéma Active Directory pour permettre au site secondaire d'obtenir la clé publique de la source des sites principaux, ou utiliser preinst.exe pour partager les clés directement entre les deux sites.

Attributs et classes ajoutés par les Extensions de schéma de Configuration Manager

Lorsque vous étendez le schéma pour Configuration Manager, plusieurs classes et attributs sont ajoutés. Tous les sites Configuration Manager de la forêt Active Directory peuvent les utiliser. Comme le catalogue global est répliqué dans toute la forêt, considérez le trafic réseau qui peut être généré. Dans les forêts Windows 2000, l'extension du schéma entraîne une synchronisation complète du catalogue global. À partir des forêts Windows 2003, seuls les attributs ajoutés récemment sont répliqués. Vous devez choisir une période calme afin de ne pas affecter d'autres processus dépendant du réseau.

Lorsque vous étendez le schéma Active Directory pour System Center 2012 Configuration Manager, les classes et attributs suivants sont ajoutés aux Services de domaine Active Directory :

  • Attributs :

    • cn=mS-SMS-Assignment-Site-Code

    • cn=mS-SMS-Capabilities

    • cn=MS-SMS-Default-MP

    • cn=mS-SMS-Device-Management-Point

    • cn=mS-SMS-Health-State

    • cn=MS-SMS-MP-Address

    • cn=MS-SMS-MP-Name

    • cn=MS-SMS-Ranged-IP-High

    • cn=MS-SMS-Ranged-IP-Low

    • cn=MS-SMS-Roaming-Boundaries

    • cn=MS-SMS-Site-Boundaries

    • cn=MS-SMS-Site-Code

    • cn=mS-SMS-Source-Forest

    • cn=mS-SMS-Version

  • Classes :

    • cn=MS-SMS-Management-Point

    • cn=MS-SMS-Roaming-Boundary-Range

    • cn=MS-SMS-Server-Locator-Point

    • cn=MS-SMS-Site

Notes

Les extensions de schéma Active Directory peuvent inclure des attributs et des classes issues de versions précédentes du produit, qui ne sont plus utilisées par Microsoft System Center 2012 Configuration Manager. Exemple :

  • Attribut : cn=MS-SMS-Site-Boundaries

  • Classe : cn=MS-SMS-Server-Locator-Point

Pour vérifier que ces listes correspondent à votre version de System Center 2012 Configuration Manager, consultez le fichier ConfigMgr_ad_schema.LDF situé dans le dossier \SMSSETUP\BIN\x64 du média d'installation de System Center 2012 Configuration Manager.