Verwalten von Konten über die Befehlszeile

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas: November 2007

Sie können das Tool zum Verwalten von Standortkonten (MSAC.exe) über die Befehlszeilenschnittstelle verwenden und damit benutzerdefinierte Windows-Konten für Ihre Microsoft System Center Configuration Manager 2007-Standorte schnell und einfach erstellen, ändern, überprüfen, löschen und auflisten.

Hinweis

Diese Version des Tools zum Verwalten von Standortkonten wird nur für Configuration Manager 2007-Standorte unterstützt. Zum Verwalten von Konten an einem SMS 2003-Standort müssen Sie die SMS 2003-Version des Tools verwenden. Das Clientpushinstallations-Konto kann mit dem SMS 2003-Tool zum Verwalten von Standortkonten nicht geändert werden. Das Ändern dieses Kontos für einen sekundären SMS 2003-Standort wird nicht unterstützt.

Sie können mehr Kontotypen ändern, als Sie hinzufügen können, da bei den meisten Kontotypen nur die Verwendung eines Kontos zulässig ist. Sie können beliebig viele Clientpushinstallations-Konten hinzufügen, wenn Sie jedoch ein zusätzliches Netzwerkzugriffskonto hinzufügen, wird lediglich das vorhandene Konto ersetzt.

Das Auflisten aller Konten ist für die Sicherheitsüberwachung hilfreich.

Liste der verwaltbaren Konten

Die folgenden Konten können mit dem Tool zum Verwalten von Standortkonten verwaltet werden.

Kontoname Aktionen

Clientpushinstallations-Konto [ClientPushAccount]

Hinzufügen, Ändern*, Löschen, Überprüfen, Auflisten

Netzwerkzugriffskonto [NetworkAccessAccount]

Hinzufügen, Löschen, Überprüfen, Auflisten

Standortadresskonto [SiteAddressAccount]

Ändern, Überprüfen, Auflisten

Konto zum Abfragen der Integritätszustandsreferenz [SHVToADReaderAccount]

Ändern, Überprüfen, Auflisten

Konto zum Veröffentlichen der Integritätszustandsreferenz [SHVToADWriterAccount]

Ändern, Überprüfen, Auflisten

Proxyserverkonto für Softwareupdatepunkt

[SoftwareUpdatePointProxyServerAccount]

Ändern, Überprüfen, Auflisten

Hinweis

Das Tool kann das Proxyserverkonto für den Softwareupdatepunkt nur verwalten, wenn der Softwareupdatepunkt auf dem Standortserver installiert ist.

* Der Befehl „-Set“ kann das Kennwort auf dem Clientpushinstallations-Konto nicht tatsächlich ändern. Verwenden Sie zum Ändern des Clientpushinstallations-Kontos die Option „-Delete“, um das Konto zu entfernen, und verwenden Sie dann die Option „-Add“, um das Konto zu erstellen.

Hinweis

Auch wenn die Befehlszeilenhilfe anzeigt, dass Sie das Installationskonto für das Standortsystem [SiteSystemInstallationAccount] verwalten können, funktioniert das nicht.

Syntax des Tools zum Verwalten von Standortkonten

Das Tool zum Verwalten von Standortkonten (Msac.exe) verfügt über die folgende Befehlszeilensyntax und die folgenden Befehlszeilenparameter, mit denen Sie alle von Configuration Manager 2007 verwendeten Windows-Konten verwalten können.

msac.exe -[ ADD | SET | DELETE | VERIFY | LIST | ? ] [arguments]
Befehlszeilenparameter Beschreibung

-ADD

Fügt ein bestimmtes Konto auf dem angegebenen Server hinzu.

-SET

Ändert ein vorhandenes Konto in ein neues Konto.

-DELETE

Löscht ein bestimmtes Konto auf dem angegebenen Server.

-VERIFY

Überprüft ein bestimmtes Konto auf dem angegebenen Server.

-LIST

Listet auf dem Bildschirm oder in einer Datei vorhandene Konten für eine oder alle Kontokategorien auf dem angegebenen Server auf.

?

Mit diesem Befehl wird die Befehlszeilenhilfe angezeigt.

Hinzufügen eines neuen Kontos

Erstellen Sie mithilfe der folgenden Befehlszeilensyntax und -parameter ein neues Konto.

Wichtig

Das Tool zum Verwalten von Standortkonten konfiguriert das Konto in der Configuration Manager 2007-Konsole, erstellt es jedoch nicht in den Active Directory-Domänendiensten. Sie müssen das Konto noch in der Domäne erstellen und das Kennwort festlegen.

msac.exe -ADD <server> <Domain\account> <accountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -PA <Password | -G]
             [ -R ] [ -I ] [ -T ] [ -V ] [ -P ] [ -? ] [ /? ]
Befehlszeilenparameter Beschreibung

<Server>

Zeigt den Namen des Standortservers an.

<Domäne\Konto>

Zeigt die zu verwendende Domäne und das hinzuzufügende Konto an. Sie können immer nur ein Konto hinzufügen.

Wenn der Parameter „-P“ nicht angegeben ist, muss für diese Eigenschaft das Format <Domäne\Konto> verwendet werden. Bei Verwendung von -P, muss nur der Kontoname angeben werden.

<Kontokategorie>

Zeigt die Kontokategorie des neuen Kontos an.

Der einzig mögliche Wert für diese Eigenschaft ist:

ClientPushAccount (Clientpushinstallations-Konto)

Sie können keine auf Standortsystemen verwendeten Konten, z. B. das Verwaltungspunkt-Datenbankverbindungskonto, konfigurieren.

-S

Gibt den zu verarbeitenden Standortcode an, wenn nicht der aktuelle Standort verwendet wird.

Dies könnte beispielsweise der Standortcode für einen untergeordneten Standort sein.

-PA

Gibt ein Kennwort für das neue Benutzerkonto an.

Verwenden Sie diesen Parameter nicht, wenn Sie das automatische Erstellen sicherer Kennwörter angeben möchten. Verwenden Sie stattdessen den Parameter „-G“.

-G

Erstellt ein sicheres Kennwort für das neue Konto.

Mit diesem Parameter wird automatisch ein sicheres Kennwort mit einem sicheren Algorithmus generiert.

Wichtig

Vom Tool zum Verwalten von Standortkonten wird ein sicheres Kennwort generiert und für das Konto in der Configuration Manager 2007-Konsole konfiguriert. Das Kennwort wird dabei jedoch nicht in den Active Directory-Domänendiensten festgelegt. Sie müssen zunächst das Domänenkonto für die Verwendung des generierten Kennworts konfigurieren, damit das Konto verwendet werden kann. Schützen Sie das Kennwort, wenn Sie es zum Konfigurieren des Kontos von der Konsolenausgabe in Active Directory übertragen.

-R

Fügt das neue Konto allen untergeordneten Standorten hinzu, die zum als <Server> angegebenen Standortserver gehören.

Hinweis

Aufgrund eines bekannten Problems generiert die Kombination aus „-R“ und „-G“ nicht dasselbe starke Kennwort für alle untergeordneten Standorte. PROBLEMUMGEHUNG: Wenn Sie ein starkes Kennwort für alle untergeordneten Standorte erzeugen müssen, verwenden Sie den Befehl „MSAC -add -G“ auf dem übergeordneten Standort, notieren Sie sich das daraus resultierende starke Kennwort, und verwenden Sie dann den Befehl „MSAC -add -PA <starkes Kennwort> -G“, um dasselbe Kennwort in der gesamten Hierarchie zu konfigurieren.

-I

Zeigt an, dass alle beim Hinzufügen des Kontos zu untergeordneten Standorten auftretenden Fehler zu ignorieren sind und mit dem Hinzufügen des Kontos fortgefahren werden soll.

Bei Verwendung dieses Parameters können Sie die ignorierten Fehlermeldungen trotzdem weiterhin in der Konsolenausgabe anzeigen.

-T

Gibt an, dass die angeforderten Änderungen im Testmodus ausgeführt werden sollen, ohne dabei das System zu beeinflussen.

-V

Gibt an, dass ein Protokoll mit den Details des neu erstellten Kontos als Ausgabe in der Konsole angezeigt werden soll.

-P

Gibt an, dass für das neue Konto die Domäne vorhandener Konten verwendet werden soll.

Einige Kontotypen können in mehreren Domänen verwendet werden. Sie verwenden jedoch in jeder Domäne denselben Namen und dasselbe Kennwort. Wenn ein solches Konto aktualisiert werden muss, wird jede Kopie des Kontos geändert und mit dem gleichen neuen Kennwort aktualisiert. Aus diesem Grund wird durch Verwendung des Parameters „-P“ der Domänenname untersucht und erneut verwendet, ohne dass Sie ihn angeben müssen.

-? oder /?

Zeigt die Befehlszeilenhilfe an.

Ändern eines Kontos

Ändern Sie mithilfe der folgenden Befehlszeilensyntax und -parameter das aktuelle Konto in ein neues Konto.

Wichtig

Das Tool zum Verwalten von Standortkonten konfiguriert das Konto in der Configuration Manager 2007-Konsole, erstellt es jedoch nicht in den Active Directory-Domänendiensten. Sie müssen das Konto noch in der Domäne erstellen und das Kennwort festlegen.

msac.exe -SET <server> <Domain\account> <Domain\Newaccount | ComputerAccount> <AccountCategory>
             [ <AddressType> <Destination> ] [ -PA <password> | -G ]
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ] [ -I ] [ -T ]
             [ -V ] [ -P ] [ -? ] [ /? ]
Befehlszeilenparameter Beschreibung

<Server>

Zeigt den Namen des Standortservers an.

<Domäne\Konto>

Zeigt die zu verwendende Domäne und das zu ändernde Benutzerkonto an.

Wenn der Parameter „-P“ nicht angegeben ist, muss für diese Eigenschaft das Format <Domäne\Konto> verwendet werden. Bei Verwendung von -P, muss nur der Kontoname angeben werden.

<Domäne\NeuesKonto>

Gibt das neue Benutzerkonto an, mit dem das vorhandene Konto ersetzt wird.

Hinweis

Sie können für „SiteAddressAccount“ anstelle von <Domäne\NeuesKonto> auch „Computerkonto“ verwenden.

<Kontokategorie>

Zeigt die Kontokategorie des geänderten Kontos an.

  • Gültige Werte: NetworkAccessAccount (Netzwerkzugriffskonto)

  • SiteAddressAccount (Standortadresskonto)

  • SHVToADReaderAccount (Konto zum Abfragen der Integritätszustandsreferenz)

  • SHVToADWriterAccount (Konto zum Veröffentlichen der Integritätszustandsreferenz)

  • SoftwareUpdatePointProxyServerAccount (Softwareupdatepunkt-Proxyserverkonto)

    Hinweis

    Der Befehl „-Set“ kann das Kennwort auf dem Clientpushinstallations-Konto nicht tatsächlich ändern. Verwenden Sie zum Ändern des Clientpushinstallations-Kontos die Option „-Delete“, um das Konto zu entfernen, und verwenden Sie dann die Option „-Add“, um das Konto zu erstellen.

<Adresstyp>

Zeigt den Adresstyp des zu ändernden Senderadresskontos an.

Für diese Eigenschaft sind folgende Werte möglich:

MS_LAN.

MS_X25_RAS.

MS_ISDN_RAS.

MS_ASYNC_RAS.

MS_SNA_RAS.

Hinweis

Die Eigenschaft „Adresstyp“ ist für die Kategorie „SiteAddressAccount“ erforderlich.

Computerkonto

Ersetzt ein Senderadresskonto (Standortadresskonto) durch das Computerkonto des Standortsystems. Der Parameter „Computerkonto“ wird nur mit dem Parameter „SET“ und der Kategorie „SiteAddressAccount“ verwendet. Dieser Parameter wird anstelle von <Domäne/NeuerBenutzer> verwendet.

<Ziel>

Zeigt den Zielstandortcode für das geänderte Konto an.

-PA

Gibt ein Kennwort für das geänderte Benutzerkonto an.

Verwenden Sie diesen Parameter nicht, wenn Sie das automatische Erstellen sicherer Kennwörter angeben möchten. Verwenden Sie stattdessen den Parameter „-G“.

-G

Gibt ein sicheres Kennwort für das geänderte Konto an.

Mit diesem Parameter wird automatisch ein sicheres Kennwort mit einem sicheren Algorithmus generiert.

Wichtig

Vom Tool zum Verwalten von Standortkonten wird ein sicheres Kennwort generiert und für das Konto in der Configuration Manager 2007-Konsole konfiguriert. Das Kennwort wird dabei jedoch nicht in den Active Directory-Domänendiensten festgelegt. Sie müssen zunächst das Domänenkonto für die Verwendung des generierten Kennworts konfigurieren, damit das Konto verwendet werden kann. Schützen Sie das Kennwort, wenn Sie es zum Konfigurieren des Kontos von der Konsolenausgabe in Active Directory übertragen.

-S

Gibt den zu verarbeitenden Standortcode an, wenn nicht der aktuelle Standort verwendet wird.

Dies könnte beispielsweise der Standortcode für einen untergeordneten Standort sein.

-R

Fügt das geänderte Konto allen untergeordneten Standorten hinzu, die zum als <Server> angegebenen Standortserver gehören.

Hinweis

Aufgrund eines bekannten Problems generiert die Kombination aus „-R“ und „-G“ nicht dasselbe starke Kennwort für alle untergeordneten Standorte. PROBLEMUMGEHUNG: Wenn Sie ein starkes Kennwort für alle untergeordneten Standorte erzeugen müssen, verwenden Sie den Befehl „MSAC -set -G“ auf dem übergeordneten Standort, notieren Sie sich das daraus resultierende starke Kennwort, und verwenden Sie dann den Befehl „MSAC -set -PA <starkes Kennwort> -G“, um dasselbe Kennwort in der gesamten Hierarchie zu konfigurieren.

-I

Zeigt an, dass alle beim Hinzufügen des geänderten Kontos zu untergeordneten Standorten auftretenden Fehler zu ignorieren sind und mit dem Hinzufügen des Kontos fortgefahren werden soll.

Bei Verwendung dieses Parameters können Sie die ignorierten Fehlermeldungen trotzdem weiterhin in der Konsolenausgabe anzeigen.

-T

Gibt an, dass die angeforderten Änderungen im Testmodus ausgeführt werden sollen, ohne dabei das System zu beeinflussen.

-V

Gibt an, dass ein Protokoll mit den Details der Kontoänderung als Ausgabe in der Konsole angezeigt werden soll.

-P

Gibt an, dass für das geänderte Konto die Domäne vorhandener Konten verwendet werden soll.

Einige Kontotypen können in mehreren Domänen verwendet werden. Sie verwenden jedoch in jeder Domäne denselben Namen und dasselbe Kennwort. Wenn ein solches Konto aktualisiert werden muss, wird jede Kopie des Kontos geändert und mit dem gleichen neuen Kennwort aktualisiert. Aus diesem Grund wird durch Verwendung des Parameters „-P“ der Domänenname untersucht und erneut verwendet, ohne dass Sie ihn jedes Mal angeben müssen.

-? oder /?

Zeigt die Befehlszeilenhilfe an.

Löschen eines Kontos

Löschen Sie ein vorhandenes Konto mithilfe der folgenden Befehlszeilensyntax und -parameter:

msac.exe -DELETE <Server> <Domäne\Konto> <Kontokategorie>

[ -S <Standortcode1> [, <Standortcode2> [ ... ] ] ]

[ -R ] [ -I ] [ -T ]

[ -V ] [ -P ] [ -? ] [ /? ]

Befehlszeilenparameter Beschreibung

<Server>

Zeigt den Namen des Standortservers an.

<Domäne\Konto>

Zeigt die zu verwendende Domäne und das zu löschende Konto an.

Wenn der Parameter „-P“ nicht angegeben ist, muss für diese Eigenschaft das Format <Domäne\Konto> verwendet werden. Bei Verwendung von -P, muss nur der Kontoname angeben werden.

<Kontokategorie>

Zeigt die Kontokategorie des zu löschenden Kontos an.

Für diese Eigenschaft sind folgende Werte möglich:

  • NetworkAccessAccount (Netzwerkzugriffskonto)

  • ClientPushAccount (Clientpushinstallations-Konto)

-S

Gibt den zu verarbeitenden Standortcode an, wenn nicht der aktuelle Standort verwendet wird.

Dies könnte beispielsweise der Standortcode für einen untergeordneten Standort sein, zu dem das Konto gehört.

-R

Entfernt das Konto an allen untergeordneten Standorten, die zum als <Server> angegebenen Standortserver gehören.

-I

Zeigt an, dass alle beim Entfernen des Kontos an untergeordneten Standorten auftretenden Fehler zu ignorieren sind und mit dem Löschen des Kontos fortgefahren werden soll.

Bei Verwendung dieses Parameters können Sie die ignorierten Fehlermeldungen trotzdem weiterhin in der Konsolenausgabe anzeigen.

-T

Gibt an, dass die angeforderten Änderungen im Testmodus ausgeführt werden sollen, ohne dabei das System zu beeinflussen.

-V

Gibt an, dass ein Protokoll mit den Details der Kontolöschung als Ausgabe in der Konsole angezeigt werden soll.

-P

Zeigt an, dass für das zu löschende Konto die Domäne vorhandener Konten verwendet wird.

Einige Kontotypen können in mehreren Domänen verwendet werden. Sie verwenden jedoch in jeder Domäne denselben Namen und dasselbe Kennwort. Wenn ein solches Konto aktualisiert werden muss, wird jede Kopie des Kontos geändert und mit dem gleichen neuen Kennwort aktualisiert. Aus diesem Grund wird durch Verwendung des Parameters „-P“ der Domänenname untersucht und erneut verwendet, ohne dass Sie ihn jedes Mal angeben müssen.

-?

Zeigt die Befehlszeilenhilfe an.

Überprüfen eines Kontos

Überprüfen Sie ein vorhandenes Konto mithilfe der folgenden Befehlszeilensyntax und -parameter:

msac.exe -VERIFY <server> <Domain\account> <AccountCategory>

[ <AddressType> <Destination> ]

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ]

[ -V ] [ -P ] [ -? ] [ /? ]

Befehlszeilenparameter Beschreibung

<Server>

Zeigt den Namen des Standortservers an.

<Domäne\Konto>

Zeigt die zu verwendende Domäne und das zu überprüfende Konto an.

Wenn der Parameter „-P“ nicht angegeben ist, muss für diese Eigenschaft das Format <Domäne\Konto> verwendet werden. Bei Verwendung von -P, muss nur der Kontoname angeben werden.

<Kontokategorie>

Zeigt die Kontokategorie des zu überprüfenden Kontos an.

  • Gültige Werte: NetworkAccessAccount (Netzwerkzugriffskonto)

  • ClientPushAccount (Clientpushinstallations-Konto)

  • SiteAddressAccount (Standortadresskonto)

  • SHVToADReaderAccount (Konto zum Abfragen der Integritätszustandsreferenz)

  • SHVToADWriterAccount (Konto zum Veröffentlichen der Integritätszustandsreferenz)

  • SoftwareUpdatePointProxyServerAccount (Softwareupdatepunkt-Proxyserverkonto)

  • Anmerkung: Sekundäre Standorte verfügen nicht über Konten zum Abfragen und Veröffentlichen der Integritätszustandsreferenz. Diese Konten können nur an primären Standorten überprüft werden.

<Adresstyp>

Zeigt den Adresstyp des zu überprüfenden Kontos an.

Für diese Eigenschaft sind folgende Werte möglich:

MS_LAN.

MS_X25_RAS.

MS_ISDN_RAS.

MS_ASYNC_RAS.

MS_SNA_RAS.

Die Eigenschaft „Adresstyp“ ist für die Kategorie „SiteAddressAccount“ erforderlich.

<Ziel>

Zeigt den Zielstandortcode für das zu überprüfende Konto an.

-S

Gibt den zu verarbeitenden Standortcode an, wenn nicht der aktuelle Standort verwendet wird.

Dies könnte beispielsweise der Standortcode für einen untergeordneten Standort sein, zu dem das Konto gehört.

-R

Überprüft das Konto an allen untergeordneten Standorten, die zum als <Server> angegebenen Standortserver gehören.

-I

Zeigt an, dass alle beim Überprüfen des Kontos an untergeordneten Standorten auftretenden Fehler zu ignorieren sind und mit dem Überprüfen des Kontos fortgefahren werden soll.

Bei Verwendung dieses Parameters können Sie die ignorierten Fehlermeldungen trotzdem weiterhin in der Konsolenausgabe anzeigen.

-V

Gibt an, dass ein Protokoll mit den Details der Kontoüberprüfung als Ausgabe in der Konsole angezeigt werden soll.

-P

Zeigt an, dass für das zu überprüfende Konto die Domäne vorhandener Konten verwendet wird.

Einige Kontotypen können in mehreren Domänen verwendet werden. Sie verwenden jedoch in jeder Domäne denselben Namen und dasselbe Kennwort. Wenn ein solches Konto aktualisiert werden muss, wird jede Kopie des Kontos geändert und mit dem gleichen neuen Kennwort aktualisiert. Aus diesem Grund wird durch Verwendung des Parameters „-P“ der Domänenname untersucht und erneut verwendet, ohne dass Sie ihn jedes Mal angeben müssen.

-? oder /?

Zeigt die Befehlszeilenhilfe an.

Auflisten von Konten

Listen Sie mithilfe der folgenden Befehlszeilensyntax und -parameter vorhandene Konten auf:

msac.exe -LIST <server> <AccountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ]
             [-FILE <path and filename>] [ ? ] [ /? ]
Befehlszeilenparameter Beschreibung

<Server>

Zeigt den Namen des Standortservers an.

<Kontokategorie>

Zeigt die Kontokategorie des aufzulistenden Kontos an.

Mithilfe der Kategorie „AllAccount“ werden alle Kontokategorien aufgelistet.

Gültige Werte:

  • NetworkAccessAccount (Netzwerkzugriffskonto)

  • ClientPushAccount (Clientpushinstallations-Konto)

  • SiteAddressAccount (Standortadresskonto)

  • SHVToADReaderAccount (Konto zum Abfragen der Integritätszustandsreferenz)

  • SHVToADWriterAccount (Konto zum Veröffentlichen der Integritätszustandsreferenz)

  • SoftwareUpdatePointProxyServerAccount (Softwareupdatepunkt-Proxyserverkonto)

  • AllAccount (Listet alle Konten auf)

-S

Gibt den zu verarbeitenden Standortcode an, wenn nicht der aktuelle Standort verwendet wird.

Dies könnte beispielsweise der Standortcode für einen untergeordneten Standort sein.

-R

Listet Kontodetails für alle untergeordneten Standorte auf.

-FILE

Gibt eine Datei als Ausgabe für den Listenparameter an. Bei Verwendung dieses Parameters sind ein vollständiger Ausgabepfad und Dateiname erforderlich.

-? oder /?

Zeigt die Befehlszeilenhilfe an.

Siehe auch

Andere Ressourcen

Konten und Gruppen in Configuration Manager
Konfigurieren von Configuration Manager 2007-Konten

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com