Om identifieringsmetoder för Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Configuration Manager identifieringsmetoder hittar olika enheter i nätverket, enheter och användare från Active Directory eller användare från Microsoft Entra ID. Om du vill använda en identifieringsmetod effektivt bör du förstå dess tillgängliga konfigurationer och begränsningar.
Identifiering av Active Directory-skog
Konfigurerbara: Ja
Aktiverad som standard: Nej
Konton som du kan använda för att köra den här metoden:
Active Directory-skogskonto (användardefinierat)
Platsserverns datorkonto
Till skillnad från andra Active Directory-identifieringsmetoder identifierar inte Active Directory-skogsidentifiering resurser som du kan hantera. I stället identifierar den här metoden nätverksplatser som har konfigurerats i Active Directory. Den kan konvertera dessa platser till gränser för användning i hela hierarkin.
När den här metoden körs söker den igenom den lokala Active Directory-skogen, varje betrodd skog och andra skogar som du konfigurerar i noden Active Directory-skogar i Configuration Manager-konsolen.
Använd Active Directory-skogsidentifiering för att:
Identifiera Active Directory-platser och undernät och skapa sedan Configuration Manager gränser baserat på dessa nätverksplatser.
Identifiera supernät som har tilldelats till en Active Directory-plats. Konvertera varje supernät till en GRÄNS för IP-adressintervall.
Publicera till Active Directory Domain Services (AD DS) i en skog när publicering till skogen är aktiverad. Det angivna Active Directory-skogskontot måste ha behörighet till skogen.
Du kan hantera Active Directory-skogsidentifiering i Configuration Manager-konsolen. Gå till arbetsytan Administration och expandera Hierarkikonfiguration.
Identifieringsmetoder: Aktivera Active Directory-skogsidentifiering för att köras på den översta nivån i hierarkin. Du kan också ange ett schema för att köra identifiering. Konfigurera den för att automatiskt skapa gränser från DE IP-undernät och Active Directory-platser som identifieras. Active Directory-skogsidentifiering kan inte köras på en underordnad primär plats eller på en sekundär plats.
Active Directory-skogar: Konfigurera de andra skogarna att identifiera, ange varje Active Directory-skogskonto och konfigurera publicering för varje skog. Övervaka identifieringsprocessen. Lägg till IP-undernät och Active Directory-platser som Configuration Manager gränser och medlemmar i gränsgrupper.
Om du vill konfigurera publicering för Active Directory-skogar för varje plats i hierarkin ansluter du Configuration Manager-konsolen till platsen på den översta nivån i hierarkin. Fliken Publicering i dialogrutan Egenskaper för en Active Directory-webbplats kan endast visa den aktuella webbplatsen och dess underordnade webbplatser. När publicering är aktiverat för en skog och skogens schema utökas för Configuration Manager publiceras följande information för varje plats som är aktiverad för publicering till den Active Directory-skogen:
SMS-Site-<site code>
SMS-MP-<site code>-<site system server name>
SMS-SLP-<site code>-<site system server name>
SMS-<site code>-<Active Directory site name or subnet>
Obs!
Sekundära platser använder alltid det sekundära platsserverdatorkontot för att publicera till Active Directory. Om du vill att sekundära platser ska publicera till Active Directory kontrollerar du att det sekundära platsserverdatorkontot har behörighet att publicera till Active Directory. En sekundär plats kan inte publicera data till en ej betrodd skog.
Försiktighet
När du avmarkerar alternativet att publicera en plats i en Active Directory-skog tas all tidigare publicerad information för platsen, inklusive tillgängliga platssystemroller, bort från Active Directory.
Åtgärder för Identifiering av Active Directory-skogar registreras i följande loggar:
Alla åtgärder, förutom åtgärder som rör publicering, registreras i filen ADForestDisc.Log i <mappen InstallationPath>\Logs på platsservern.
Publiceringsåtgärder för Active Directory Forest Discovery registreras i filerna hman.log och sitecomp.log i <mappen InstallationPath>\Logs på platsservern.
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Identifiering av Active Directory-grupp
Konfigurerbara: Ja
Aktiverad som standard: Nej
Konton som du kan använda för att köra den här metoden:
Active Directory-gruppidentifieringskonto (användardefinierat)
Platsserverns datorkonto
Tips
Förutom informationen i det här avsnittet kan du läsa Vanliga funktioner i Active Directory-grupp, system och användaridentifiering.
Använd den här metoden för att söka Active Directory Domain Services för att identifiera:
Lokala, globala och universella säkerhetsgrupper.
Medlemskap i grupper.
Begränsad information om en grupps medlemsdatorer och användare, även om en annan identifieringsmetod inte tidigare har upptäckt dessa datorer och användare.
Den här identifieringsmetoden är avsedd att identifiera grupper och grupprelationer för medlemmar i grupper. Som standard identifieras endast säkerhetsgrupper. Om du också vill hitta medlemskap i distributionsgrupper måste du markera kryssrutan för alternativet Identifiera medlemskap i distributionsgrupper på fliken Alternativ i dialogrutan Egenskaper för identifiering av Active Directory-grupp .
Active Directory-gruppidentifiering stöder inte utökade Active Directory-attribut som kan identifieras med hjälp av Active Directory-systemidentifiering eller Active Directory-användaridentifiering. Eftersom den här identifieringsmetoden inte är optimerad för att identifiera dator- och användarresurser bör du överväga att köra den här identifieringsmetoden när du har kört Active Directory-systemidentifiering och Active Directory-användaridentifiering. Det här förslaget beror på att den här metoden skapar en fullständig identifieringsdatapost (DDR) för grupper, men endast en begränsad DDR för datorer och användare som är medlemmar i grupper.
Du kan konfigurera följande identifieringsomfång som styr hur den här metoden söker efter information:
Plats: Använd en plats om du vill söka i en eller flera Active Directory-containrar. Det här omfångsalternativet stöder en rekursiv sökning av de angivna Active Directory-containrarna. Den här processen söker igenom varje underordnad container under den container som du anger. Den fortsätter tills inga fler underordnade containrar hittas.
Grupper: Använd grupper om du vill söka i en eller flera specifika Active Directory-grupper. Du kan konfigurera Active Directory-domän att använda standarddomänen och skogen eller begränsa sökningen till en enskild domänkontrollant. Dessutom kan du ange en eller flera grupper att söka i. Om du inte anger minst en grupp genomsöks alla grupper som finns på den angivna Active Directory-domän platsen.
Försiktighet
När du konfigurerar ett identifieringsomfång väljer du bara de grupper som du måste identifiera. Den här rekommendationen beror på att Active Directory-gruppidentifiering försöker identifiera varje medlem i varje grupp i identifieringsomfånget. Identifiering av stora grupper kan kräva omfattande användning av bandbredd och Active Directory-resurser.
Obs!
Innan du kan skapa samlingar som baseras på utökade Active Directory-attribut och för att säkerställa korrekta identifieringsresultat för datorer och användare ska du köra Active Directory-systemidentifiering eller Active Directory-användaridentifiering, beroende på vad du vill identifiera.
Åtgärder för identifiering av Active Directory-grupper registreras i filen adsgdis.log i <InstallationPath>\LOGS
mappen på platsservern.
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Identifiering av Active Directory-system
Konfigurerbara: Ja
Aktiverad som standard: Nej
Konton som du kan använda för att köra den här metoden:
Active Directory-systemidentifieringskonto (användardefinierat)
Platsserverns datorkonto
Tips
Förutom informationen i det här avsnittet kan du läsa Vanliga funktioner i Active Directory-grupp, system och användaridentifiering.
Använd den här identifieringsmetoden för att söka efter datorresurser som kan användas för att skapa samlingar och frågor på de angivna Active Directory Domain Services platserna. Du kan också installera Configuration Manager-klienten på en identifierad enhet med hjälp av push-installation av klienter.
Som standard identifierar den här metoden grundläggande information om datorn, inklusive följande attribut:
Datornamn
Operativsystem och version
Active Directory-containernamn
IP-adress
Active Directory-plats
Tidsstämpel för senaste inloggning
Om du vill skapa en DDR för en dator måste Active Directory-systemidentifiering kunna identifiera datorkontot och sedan matcha datornamnet till en IP-adress.
I dialogrutan Egenskaper för identifiering av Active Directory-system på fliken Active Directory-attribut kan du visa den fullständiga listan över standardobjektattribut som identifieras. Du kan också konfigurera metoden för att identifiera utökade attribut.
Åtgärder för identifiering av Active Directory-system registreras i filen adsysdis.log i <InstallationPath>\LOGS
mappen på platsservern.
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Active Directory-användaridentifiering
Konfigurerbara: Ja
Aktiverad som standard: Nej
Konton som du kan använda för att köra den här metoden:
Active Directory-konto för användaridentifiering (användardefinierat)
Platsserverns datorkonto
Tips
Förutom informationen i det här avsnittet kan du läsa Vanliga funktioner i Active Directory-grupp, system och användaridentifiering.
Använd den här identifieringsmetoden för att söka Active Directory Domain Services för att identifiera användarkonton och associerade attribut. Som standard identifierar den här metoden grundläggande information om användarkontot, inklusive följande attribut:
Användarnamn
Unikt användarnamn, som innehåller domännamnet
Domän
Active Directory-containernamn
I dialogrutan Egenskaper för identifiering av active directory-användare på fliken Active Directory-attribut kan du visa den fullständiga standardlistan över objektattribut som identifieras. Du kan också konfigurera metoden för att identifiera utökade attribut.
Åtgärder för Identifiering av Active Directory-användare registreras i filen adusrdis.log i <InstallationPath>\LOGS
mappen på platsservern.
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Microsoft Entra användaridentifiering
Använd Microsoft Entra användaridentifiering för att söka i din Microsoft Entra-prenumeration efter användare med en modern molnidentitet. Microsoft Entra användaridentifiering kan hitta följande attribut:
objectId
displayName
mail
mailNickname
onPremisesSecurityIdentifier
userPrincipalName
tenantID
onPremisesDomainName
onPremisesSamAccountName
onPremisesDistinguishedName
Den här metoden stöder fullständig och deltasynkronisering av användarattribut från Microsoft Entra-ID. Den här informationen kan sedan användas vid sidan av identifieringsdata som du samlar in från de andra identifieringsmetoderna.
Åtgärder för Microsoft Entra användaridentifiering registreras i filen SMS_AZUREAD_DISCOVERY_AGENT.log på platsservern på den översta nivån i hierarkin.
Information om hur du konfigurerar Microsoft Entra användaridentifiering finns i Konfigurera Azure Services för molnhantering. Information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera Microsoft Entra användaridentifiering.
Microsoft Entra identifiering av användargrupper
Du kan identifiera användargrupper och medlemmar i dessa grupper från Microsoft Entra-ID. Microsoft Entra identifiering av användargrupper kan hitta följande attribut:
objectId
displayName
mailNickname
onPremisesSecurityIdentifier
tenantID
Åtgärder för Microsoft Entra identifiering av användargrupper registreras i filen SMS_AZUREAD_DISCOVERY_AGENT.log på platsservern på den översta nivån i hierarkin. Information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera Microsoft Entra identifiering av användargrupper.
Pulsslagsidentifiering
Konfigurerbara: Ja
Aktiverad som standard: Ja
Konton som du kan använda för att köra den här metoden:
- Platsserverns datorkonto
Pulsslagsidentifiering skiljer sig från andra Configuration Manager identifieringsmetoder. Den är aktiverad som standard och körs på varje datorklient i stället för på en platsserver för att skapa en DDR. Inaktivera inte pulsslagsidentifiering för att underhålla databasposten för Configuration Manager klienter. Förutom att underhålla databasposten kan den här metoden tvinga fram identifiering av en dator som en ny resurspost. Den kan också fylla i databasposten på en dator som har tagits bort från databasen.
Pulsslagsidentifiering körs enligt ett schema som konfigurerats för alla klienter i hierarkin. Standardschemat för pulsslagsidentifiering är inställt på var sjunde dag. Om du ändrar pulsslagsidentifieringsintervallet kontrollerar du att det körs oftare än platsunderhållsaktiviteten Ta bort föråldrade identifieringsdata. Den här aktiviteten tar bort inaktiva klientposter från platsdatabasen. Du kan konfigurera uppgiften Ta bort föråldrade identifieringsdata endast för primära platser.
Du kan också köra pulsslagsidentifiering manuellt på en specifik klient. Kör identifieringsdatainsamlingscykeln på fliken Åtgärd på en klients Configuration Manager kontrollpanel.
När pulsslagsidentifieringen körs skapas en DDR som innehåller klientens aktuella information. Klienten kopierar sedan den här lilla filen till en hanteringsplats så att en primär plats kan bearbeta den. Filen är ungefär 1 KB stor och har följande information:
Nätverksplats
NetBIOS-namn
Version av klientagenten
Information om driftstatus
Pulsslagsidentifiering är den enda identifieringsmetoden som innehåller information om klientinstallationsstatusen. Det gör det genom att uppdatera systemresursklientattributet för att ange ett värde som är lika med Ja.
Åtgärder för pulsslagsidentifiering loggas på klienten i filen InventoryAgent.log i %Windir%\CCM\Logs
mappen .
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Nätverksidentifiering
Konfigurerbara: Ja
Aktiverad som standard: Nej
Konton som du kan använda för att köra den här metoden:
- Platsserverns datorkonto
Använd den här metoden för att identifiera nätverkets topologi och identifiera enheter i nätverket som har en IP-adress. Nätverksidentifiering söker i nätverket efter IP-aktiverade resurser genom att fråga följande källor:
- Servrar som kör en Microsoft-implementering av DHCP
- ARP-cacheminnen (Address Resolution Protocol) i nätverksroutrar
- SNMP-aktiverade enheter
- Active Directory-domäner
Innan du kan använda nätverksidentifiering måste du ange vilken identifieringsnivå som ska köras. Du konfigurerar också en eller flera identifieringsmetoder som gör att nätverksidentifiering kan fråga efter nätverkssegment eller enheter. Du kan också konfigurera inställningar som hjälper dig att kontrollera identifieringsåtgärder i nätverket. Slutligen definierar du ett eller flera scheman för när nätverksidentifiering körs.
För att den här metoden ska kunna identifiera en resurs måste nätverksidentifiering identifiera IP-adressen och undernätsmasken för resursen. Följande metoder används för att identifiera nätmasken för ett objekt:
Router-ARP-cache: Nätverksidentifiering frågar ARP-cachen för en router för att hitta undernätsinformation. Vanligtvis har data i en router ARP-cache en kort tid att leva. När nätverksidentifiering frågar ARP-cachen kanske ARP-cachen därför inte längre har information om det begärda objektet.
DHCP: Nätverksidentifiering frågar varje DHCP-server som du anger för att identifiera de enheter som DHCP-servern har tillhandahållit ett lån för. Nätverksidentifiering stöder endast DHCP-servrar som kör Microsoft-implementeringen av DHCP.
SNMP-enhet: Nätverksidentifiering kan fråga en SNMP-enhet direkt. För att nätverksidentifiering ska kunna fråga en enhet måste enheten ha en lokal SNMP-agent installerad. Konfigurera även nätverksidentifiering för att använda det communitynamn som SNMP-agenten använder.
När identifieringen identifierar ett IP-adresserbart objekt och kan fastställa objektets nätmask, skapar den en DDR för objektet. Eftersom olika typer av enheter ansluter till nätverket identifierar nätverksidentifiering resurser som inte stöder Configuration Manager-klienten. Enheter som kan identifieras men inte hanteras är till exempel skrivare och routrar.
Nätverksidentifiering kan returnera flera attribut som en del av identifieringsposten som skapas. Dessa attribut är:
NetBIOS-namn
IP-adresser
Resursdomän
Systemroller
SNMP-communitynamn
MAC-adresser
Nätverksidentifieringsaktivitet registreras i filen Netdisc.log på InstallationPath>\Logs
platsservern som kör identifieringen.
Mer information om hur du konfigurerar den här identifieringsmetoden finns i Konfigurera identifieringsmetoder.
Obs!
Komplexa nätverk och anslutningar med låg bandbredd kan göra att nätverksidentifieringen körs långsamt och genererar betydande nätverkstrafik. Kör bara nätverksidentifiering när de andra identifieringsmetoderna inte kan hitta de resurser som du måste identifiera. Använd till exempel nätverksidentifiering för att identifiera arbetsgruppsdatorer. Andra identifieringsmetoder identifierar inte arbetsgruppsdatorer.
Nivåer av nätverksidentifiering
När du konfigurerar nätverksidentifiering anger du en av tre identifieringsnivåer:
Identifieringsnivå | Information |
---|---|
Topologi | Den här nivån identifierar routrar och undernät men identifierar inte en nätmask för objekt. |
Topologi och klient | Förutom topologin identifierar den här nivån potentiella klienter som datorer och resurser som skrivare och routrar. Den här identifieringsnivån försöker identifiera nätmasken för objekt som hittas. |
Topologi, klient och klientoperativsystem | Förutom topologi och potentiella klienter försöker den här nivån identifiera datorns namn och version av operativsystemet. På den här nivån används Windows Browser- och Windows-nätverksanrop. |
Med varje inkrementell nivå ökar nätverksidentifieringen dess aktivitet och användning av nätverksbandbredd. Överväg den nätverkstrafik som kan genereras innan du aktiverar alla aspekter av nätverksidentifiering.
När du till exempel först använder nätverksidentifiering kan du börja med endast topologinivån för att identifiera nätverksinfrastrukturen. Konfigurera sedan om nätverksidentifieringen för att identifiera objekt och deras operativsystem. Du kan också konfigurera inställningar som begränsar nätverksidentifieringen till ett visst intervall av nätverkssegment. På så sätt upptäcker du objekt på nätverksplatser som du behöver och undviker onödig nätverkstrafik. Med den här processen kan du också identifiera objekt från gränsroutrar eller utanför nätverket.
Alternativ för nätverksidentifiering
Om du vill aktivera nätverksidentifiering för att söka efter IP-adresserbara enheter konfigurerar du ett eller flera av dessa alternativ.
Obs!
Nätverksidentifiering körs i kontexten för datorkontot för platsservern som kör identifieringen. Om datorkontot inte har behörighet till en obetrodd domän kan domän- och DHCP-serverkonfigurationerna misslyckas med att identifiera resurser.
DHCP
Ange varje DHCP-server som du vill att nätverksidentifiering ska köra frågor mot. Nätverksidentifiering stöder endast DHCP-servrar som kör Microsoft-implementeringen av DHCP.
Nätverksidentifiering hämtar information med hjälp av fjärrproceduranrop till databasen på DHCP-servern.
Nätverksidentifiering kan fråga både 32-bitars- och 64-bitars DHCP-servrar efter en lista över enheter som är registrerade på varje server.
För att nätverksidentifieringen ska kunna fråga en DHCP-server måste datorkontot för den server som kör identifieringen vara medlem i gruppen DHCP-användare på DHCP-servern. Den här åtkomstnivån finns till exempel när något av följande påståenden är sant
Den angivna DHCP-servern är DHCP-servern för den server som kör identifieringen.
Datorn som kör identifieringen och DHCP-servern finns i samma domän.
Det finns ett dubbelriktad förtroende mellan datorn som kör identifieringen och DHCP-servern.
Platsservern är medlem i gruppen DHCP-användare.
När nätverksidentifiering räknar upp en DHCP-server identifieras inte alltid statiska IP-adresser. Nätverksidentifiering hittar inte IP-adresser som ingår i ett exkluderat IP-adressintervall på DHCP-servern. Den identifierar inte heller IP-adresser som är reserverade för manuell tilldelning.
Domäner
Ange varje domän som du vill att nätverksidentifiering ska köra frågor mot.
Datorkontot för platsservern som kör identifieringen måste ha behörighet att läsa domänkontrollanterna i varje angiven domän.
Om du vill identifiera datorer från den lokala domänen måste du aktivera tjänsten Computer Browser på minst en dator. Den här datorn måste finnas i samma undernät som platsservern som kör nätverksidentifiering.
Nätverksidentifiering kan identifiera alla datorer som du kan visa från platsservern när du bläddrar i nätverket.
Nätverksidentifiering hämtar IP-adressen. Den använder sedan en ICMP-ekobegäran (Internet Control Message Protocol) för att pinga varje enhet som hittas. Pingkommandot hjälper dig att avgöra vilka datorer som för närvarande är aktiva.
SNMP-enheter
Ange varje SNMP-enhet som du vill att nätverksidentifiering ska köra frågor mot.
Nätverksidentifiering hämtar
ipNetToMediaTable
värdet från valfri SNMP-enhet som svarar på frågan. Det här värdet returnerar matriser med IP-adresser som är klientdatorer eller andra resurser som skrivare, routrar eller andra IP-adresserbara enheter.Om du vill fråga en enhet måste du ange IP-adressen eller NetBIOS-namnet på enheten.
Konfigurera nätverksidentifiering för att använda enhetens communitynamn, eller så avvisar enheten den SNMP-baserade frågan.
Begränsa nätverksidentifiering
När nätverksidentifiering frågar en SNMP-enhet i utkanten av nätverket kan den identifiera information om undernät och SNMP-enheter som ligger utanför ditt omedelbara nätverk. Använd följande information för att begränsa nätverksidentifieringen genom att konfigurera de SNMP-enheter som identifieringen kan kommunicera med och genom att ange de nätverkssegment som ska frågas.
Undernät
Konfigurera de undernät som nätverksidentifiering frågar när de använder alternativen SNMP och DHCP. Dessa två alternativ söker bara i de aktiverade undernäten.
En DHCP-begäran kan till exempel returnera enheter från platser i hela nätverket. Om du bara vill identifiera enheter i ett specifikt undernät anger och aktiverar du det specifika undernätet på fliken Undernät i dialogrutan Egenskaper för nätverksidentifiering . När du anger och aktiverar undernät begränsar du framtida DHCP- och SNMP-identifieringsuppgifter till dessa undernät.
Obs!
Undernätskonfigurationer begränsar inte de objekt som identifieringsalternativet Domäner identifierar.
SNMP-communitynamn
Om du vill aktivera nätverksidentifiering för att köra frågor mot en SNMP-enhet konfigurerar du nätverksidentifiering med enhetens communitynamn. Om nätverksidentifiering inte har konfigurerats med hjälp av communitynamnet för SNMP-enheten avvisar enheten frågan.
Maximalt antal hopp
När du konfigurerar det maximala antalet routerhopp begränsar du antalet nätverkssegment och routrar som nätverksidentifiering kan fråga med hjälp av SNMP.
Antalet hopp som du konfigurerar begränsar antalet enheter och nätverkssegment som nätverksidentifiering kan köra frågor mot.
En topologiidentifiering med 0 (noll) routerhopp identifierar till exempel det undernät där den ursprungliga servern finns. Den innehåller alla routrar i det undernätet.
Följande diagram visar vad en nätverksidentifieringsfråga med endast topologi hittar när den körs på Server 1 med 0 routerhopp angivna: undernät D och Router 1.
Följande diagram visar vad en topologi- och klientnätverksidentifieringsfråga hittar när den körs på Server 1 med 0 routerhopp angivna: undernät D och Router 1 och alla potentiella klienter på undernätet D.
Överväg följande nätverk för att få en bättre uppfattning om hur fler routerhopp kan öka mängden nätverksresurser som identifieras:
Om du kör en topologibaserad nätverksidentifiering från Server 1 med ett routerhopp identifieras följande entiteter:
Router 1 och undernät 10.1.10.0 (hittades med noll hopp)
Undernät 10.1.20.0 och 10.1.30.0, undernät A och Router 2 (finns på det första hoppet)
Varning
Varje ökning av antalet routerhopp kan avsevärt öka antalet identifierbara resurser och öka nätverksbandbredden som används för nätverksidentifiering.
Serveridentifiering
Konfigurerbara: Nej
Förutom de användarkonfigurerbara identifieringsmetoderna använder Configuration Manager en process med namnet Server Discovery (SMS_WINNT_SERVER_DISCOVERY_AGENT
). Den här identifieringsmetoden skapar resursposter för datorer som är platssystem, till exempel en dator som är konfigurerad som en hanteringsplats.
Vanliga funktioner i Active Directory-gruppidentifiering, systemidentifiering och användaridentifiering
Det här avsnittet innehåller information om funktioner som är gemensamma för följande identifieringsmetoder:
Identifiering av Active Directory-grupp
Identifiering av Active Directory-system
Active Directory-användaridentifiering
Obs!
Informationen i det här avsnittet gäller inte för Active Directory-skogsidentifiering.
Dessa tre identifieringsmetoder är liknande i konfiguration och drift. De kan identifiera datorer, användare och information om gruppmedlemskap för resurser som lagras i Active Directory Domain Services. Identifieringsprocessen hanteras av en identifieringsagent. Agenten körs på platsservern på varje plats där identifieringen är konfigurerad att köras. Du kan konfigurera var och en av dessa identifieringsmetoder för att söka på en eller flera Active Directory-platser som platsinstanser i den lokala skogen eller i fjärrskogarna.
När identifiering söker i en obetrodd skog efter resurser måste identifieringsagenten kunna lösa följande för att lyckas:
Om du vill identifiera en datorresurs med hjälp av Active Directory-systemidentifiering måste identifieringsagenten kunna matcha resursens FQDN. Om det inte kan matcha FQDN försöker den matcha resursen med dess NetBIOS-namn.
Om du vill identifiera en användar- eller gruppresurs med hjälp av Active Directory-användaridentifiering eller Active Directory-gruppidentifiering måste identifieringsagenten kunna matcha FQDN för domännamnet som du anger för Active Directory-platsen.
För varje plats som du anger kan du konfigurera enskilda sökalternativ, till exempel aktivera en rekursiv sökning av platsens Underordnade Active Directory-containrar. Du kan också konfigurera ett unikt konto som ska användas när det söker på den platsen. Det här kontot ger flexibilitet när du konfigurerar en identifieringsmetod på en plats för att söka i flera Active Directory-platser i flera skogar. Du behöver inte konfigurera ett enda konto som har behörighet till alla platser.
När var och en av dessa tre identifieringsmetoder körs på en specifik plats kontaktar Configuration Manager platsservern på den platsen den närmaste domänkontrollanten i den angivna Active Directory-skogen för att hitta Active Directory-resurser. Domänen och skogen kan vara i valfritt Active Directory-läge som stöds. Det konto som du tilldelar varje platsinstans måste ha läsbehörighet till de angivna Active Directory-platserna.
Identifiering söker efter objekt på de angivna platserna och försöker sedan samla in information om dessa objekt. En DDR skapas när tillräckligt med information om en resurs kan identifieras. Vilken information som krävs varierar beroende på vilken identifieringsmetod som används.
Om du konfigurerar samma identifieringsmetod så att den körs på olika Configuration Manager platser för att kunna köra frågor mot lokala Active Directory-servrar kan du konfigurera varje plats med en unik uppsättning identifieringsalternativ. Eftersom identifieringsdata delas med varje plats i hierarkin undviker du överlappning mellan dessa konfigurationer för att effektivt identifiera varje resurs en gång.
För mindre miljöer bör du överväga att köra varje identifieringsmetod på endast en plats i hierarkin. Den här konfigurationen minskar det administrativa arbetet och risken för att flera identifieringsåtgärder återupptäckter samma resurser. När du minimerar antalet platser som kör identifiering minskar du den totala nätverksbandbredden som identifieringen använder. Du kan också minska det totala antalet DDR:er som skapas och som måste bearbetas av platsservrarna.
Många av identifieringsmetodkonfigurationerna är självförklarande. I följande avsnitt finns mer information om identifieringsalternativ som kan kräva ytterligare information innan du konfigurerar dem.
Följande alternativ är tillgängliga för användning med flera Identifieringsmetoder för Active Directory:
Deltaidentifiering
Tillgängligt för:
Identifiering av Active Directory-grupp
Identifiering av Active Directory-system
Active Directory-användaridentifiering
Deltaidentifiering är inte en oberoende identifieringsmetod utan ett alternativ som är tillgängligt för tillämpliga identifieringsmetoder. Deltaidentifiering söker igenom specifika Active Directory-attribut efter ändringar som har gjorts sedan den senaste fullständiga identifieringscykeln för den tillämpliga identifieringsmetoden. Attributändringarna skickas till Configuration Manager-databasen för att uppdatera resursens identifieringspost.
Som standard körs deltaidentifiering på en femminuterscykel. Det här schemat är mycket vanligare än det vanliga schemat för en fullständig identifieringscykel. Den här frekventa cykeln är möjlig eftersom deltaidentifieringen använder färre platsserver- och nätverksresurser än en fullständig identifieringscykel. När du använder deltaidentifiering kan du minska frekvensen för den fullständiga identifieringscykeln för identifieringsmetoden.
Följande är de vanligaste ändringarna som identifieras av deltaidentifiering:
Nya datorer eller användare har lagts till i Active Directory
Ändringar av grundläggande dator- och användarinformation
Nya datorer eller användare som läggs till i en grupp
Datorer eller användare som tas bort från en grupp
Ändringar i systemgruppsobjekt
Även om deltaidentifiering kan identifiera nya resurser och ändringar i gruppmedlemskap kan den inte identifiera när en resurs har tagits bort från Active Directory. DDR:erna som skapas av deltaidentifiering bearbetas på samma sätt som de DDR som skapas av en fullständig identifieringscykel.
Du konfigurerar deltaidentifiering på fliken Avsökningsschema i egenskaperna för varje identifieringsmetod.
Filtrera inaktuella datorposter efter domäninloggning
Tillgängligt för:
Identifiering av Active Directory-grupp
Identifiering av Active Directory-system
Du kan konfigurera identifiering för att undanta datorer med en inaktuell datorpost. Det här undantaget baseras på den senaste domäninloggningen på datorn. När det här alternativet är aktiverat utvärderar Active Directory-systemidentifiering varje dator som identifieras. Active Directory-gruppidentifiering utvärderar varje dator som är medlem i en grupp som identifieras.
Så här använder du det här alternativet:
Datorer måste konfigureras för att uppdatera
lastLogonTimeStamp
attributet i Active Directory Domain Services.Funktionsnivån för Active Directory-domänen måste vara inställd på Windows Server 2003 eller senare.
När du konfigurerar tiden efter den senaste inloggningen som du vill använda för den här inställningen bör du överväga intervallet för replikering mellan domänkontrollanter.
Du konfigurerar filtrering på fliken Alternativ i dialogrutorna Egenskaper för identifiering av Active Directory-system och Identifieringsegenskaper för Active Directory-grupp . Välj att Endast identifiera datorer som har loggat in på en domän under en viss tidsperiod.
Varning
När du konfigurerar det här filtret och filtrerar inaktuella poster efter datorlösenord exkluderar identifiering datorer som uppfyller kriterierna för endera filtret.
Filtrera inaktuella poster efter datorlösenord
Tillgängligt för:
Identifiering av Active Directory-grupp
Identifiering av Active Directory-system
Du kan konfigurera identifiering för att undanta datorer med en inaktuell datorpost. Det här undantaget baseras på den senaste lösenordsuppdateringen för datorkontot av datorn. När det här alternativet är aktiverat utvärderar Active Directory-systemidentifiering varje dator som identifieras. Active Directory-gruppidentifiering utvärderar varje dator som är medlem i en grupp som identifieras.
Så här använder du det här alternativet:
- Datorer måste konfigureras för att uppdatera
pwdLastSet
attributet i Active Directory Domain Services.
När du konfigurerar det här alternativet bör du överväga intervallet för uppdateringar av det här attributet. Överväg även replikeringsintervallet mellan domänkontrollanter.
Du konfigurerar filtrering på fliken Alternativ i dialogrutorna Egenskaper för identifiering av Active Directory-system och Identifieringsegenskaper för Active Directory-grupp . Välj att Endast identifiera datorer som har uppdaterat sitt lösenord för datorkontot under en viss tidsperiod.
Varning
När du konfigurerar det här filtret och filtrerar inaktuella poster efter domäninloggning exkluderar identifiering datorer som uppfyller kriterierna för endera filtret.
Sök efter anpassade Active Directory-attribut
Tillgängligt för:
Identifiering av Active Directory-system
Active Directory-användaridentifiering
Varje identifieringsmetod stöder en unik lista över Active Directory-attribut som kan identifieras.
Du kan visa och konfigurera listan över anpassade attribut på fliken Active Directory-attribut i dialogrutorna Egenskaper för Identifiering av Active Directory-system och Egenskaper för identifiering av Active Directory-användare .
Nästa steg
Välj identifieringsmetoder som ska användas för Configuration Manager