關於Configuration Manager的探索方法

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager探索方法會在您的網路上尋找不同的裝置、從 Active Directory 尋找裝置和使用者,或從Microsoft Entra識別碼尋找使用者。 若要有效率地使用探索方法,您應該瞭解其可用的組態和限制。

Active Directory 樹系探索

配置: 是的

預設會啟用:

您可以用來執行此方法的帳戶

不同于其他 Active Directory 探索方法,Active Directory 樹系探索不會探索您可以管理的資源。 相反地,這個方法會探索在 Active Directory 中設定的網路位置。 它可以將這些位置轉換成界限,以便在整個階層中使用。

當這個方法執行時,它會搜尋本機 Active Directory 樹系、每個信任的樹系,以及您在 Configuration Manager 主控台的[Active Directory 樹系] 節點中設定的其他樹系。

使用 Active Directory 樹系探索來:

  • 探索 Active Directory 網站和子網,然後根據這些網路位置建立Configuration Manager界限。

  • 識別指派給 Active Directory 網站的超級網。 將每個超級網轉換成 IP 位址範圍界限。

  • 啟用發佈至該樹系時,發佈至樹系中Active Directory 網域服務 (AD DS) 。 指定的 Active Directory 樹系帳戶必須具有該樹系的許可權。

您可以在 Configuration Manager 主控台中管理 Active Directory 樹系探索。 移至 [ 系統管理] 工作區,然後展開 [ 階層設定]

  • 探索方法:讓 Active Directory 樹系探索在階層的最上層月臺上執行。 您也可以指定執行探索的排程。 將它設定為自動從探索到的 IP 子網和 Active Directory 網站建立界限。 Active Directory 樹系探索無法在子主要月臺或次要月臺上執行。

  • Active Directory 樹系:設定其他樹系以探索、指定每個 Active Directory 樹系帳戶,以及設定發行至每個樹系。 監視探索程式。 將 IP 子網和 Active Directory 月臺新增為Configuration Manager界限和界限群組的成員。

若要為階層中的每個月臺設定 Active Directory 樹系的發佈,請將Configuration Manager主控台連線到階層的最上層月臺。 Active Directory 網站的 [內容] 對話方塊中的 [發佈] 索引標籤只能顯示目前的網站及其子網站。 為樹系啟用發行,且該樹系的架構擴充為Configuration Manager時,會針對每個啟用發佈至該 Active Directory 樹系的月臺發佈下列資訊:

  • SMS-Site-<site code>

  • SMS-MP-<site code>-<site system server name>

  • SMS-SLP-<site code>-<site system server name>

  • SMS-<site code>-<Active Directory site name or subnet>

注意事項

次要月臺一律使用次要月臺伺服器電腦帳戶發佈至 Active Directory。 如果您想要將次要月臺發佈至 Active Directory,請確定次要月臺伺服器電腦帳戶具有發佈至 Active Directory 的許可權。 次要月臺無法將資料發佈至不受信任的樹系。

注意

當您取消核取將網站發佈至 Active Directory 樹系的選項時,該月臺所有先前發佈的資訊,包括可用的月臺系統角色,都會從 Active Directory 中移除。

Active Directory 樹系探索的動作會記錄在下列記錄中:

  • 除了與發佈相關的動作之外,所有動作都會記錄在月臺伺服器上InstallationPath > \Logs 資料夾的 <ADForestDisc.Log檔案中。

  • Active Directory 樹系探索發佈動作會記錄在月臺伺服器上InstallationPath > \Logs 資料夾的 <hman.logsitecomp.log檔案中。

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

Active Directory 群組探索

配置: 是的

預設會啟用:

您可以用來執行此方法的帳戶

提示

除了本節中的資訊之外,請參閱 Active Directory 群組、系統和使用者探索的一般功能

使用此方法來搜尋Active Directory 網域服務以識別:

  • 本機、全域和通用安全性群組。

  • 群組的成員資格。

  • 群組成員電腦和使用者的相關資訊有限,即使其他探索方法先前未探索到這些電腦和使用者也一般。

此探索方法旨在識別群組和群組成員的群組關聯性。 根據預設,只會探索安全性群組。 如果您也想要尋找通訊群組的成員資格,您必須在 [Active Directory群組探索內容] 對話方塊的 [選項] 索引標籤上,核取 [探索通訊群組的成員資格] 選項的方塊。

Active Directory 群組探索不支援可使用 Active Directory 系統探索或 Active Directory 使用者探索來識別的延伸 Active Directory 屬性。 由於此探索方法未優化以探索電腦和使用者資源,因此請考慮在執行 Active Directory 系統探索和 Active Directory 使用者探索之後執行此探索方法。 此建議是因為這個方法會建立完整的探索資料記錄 (群組的 DDR) ,但僅限屬於群組成員之電腦和使用者的 DDR。

您可以設定下列探索範圍,以控制此方法搜尋資訊的方法:

  • 位置:如果您想要搜尋一或多個 Active Directory 容器,請使用位置。 此範圍選項支援對指定的 Active Directory 容器進行遞迴搜尋。 此程式會在您指定的容器下搜尋每個子容器。 它會繼續進行,直到找不到其他子容器為止。

  • 群組:如果您想要搜尋一或多個特定的 Active Directory 群組,請使用群組。 您可以設定Active Directory 網域使用預設網域和樹系,或將搜尋限制為個別網域控制站。 此外,您可以指定要搜尋的一或多個群組。 如果您未指定至少一個群組,則會搜尋在指定Active Directory 網域位置中找到的所有群組。

注意

當您設定探索範圍時,請只選擇您必須探索的群組。 這項建議是因為 Active Directory 群組探索會嘗試探索探索範圍中每個群組的每個成員。 探索大型群組可能需要大量使用頻寬和 Active Directory 資源。

注意事項

請先根據您想要探索的專案,執行 Active Directory 系統探索或 Active Directory 使用者探索,才能建立以延伸 Active Directory 屬性為基礎的集合,並確保電腦和使用者的正確探索結果。

Active Directory 群組探索的動作會記錄在網站伺服器資料夾的 <InstallationPath>\LOGSadsgdis.log檔案中。

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

Active Directory 系統探索

配置: 是的

預設會啟用:

您可以用來執行此方法的帳戶

提示

除了本節中的資訊之外,請參閱 Active Directory 群組、系統和使用者探索的一般功能

使用此探索方法來搜尋指定的Active Directory 網域服務位置,以尋找可用來建立集合和查詢的電腦資源。 您也可以使用用戶端推入安裝,在探索到的裝置上安裝Configuration Manager用戶端。

根據預設,這個方法會探索電腦的基本資訊,包括下列屬性:

  • 電腦名稱

  • 作業系統和版本

  • Active Directory 容器名稱

  • IP 位址

  • Active Directory 站台

  • 上次登入的時間戳記

若要成功建立電腦的 DDR,Active Directory 系統探索必須能夠識別電腦帳戶,然後成功將電腦名稱稱解析為 IP 位址。

在 [ Active Directory 系統探索屬性 ] 對話方塊的 [ Active Directory 屬性 ] 索引標籤上,您可以檢視它所探索的預設物件屬性完整清單。 您也可以設定 方法來探索擴充屬性。

Active Directory 系統探索的動作會記錄在網站伺服器資料夾的 <InstallationPath>\LOGSadsysdis.log檔案中。

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

Active Directory 使用者探索

配置: 是的

預設會啟用:

您可以用來執行此方法的帳戶

提示

除了本節中的資訊之外,請參閱 Active Directory 群組、系統和使用者探索的一般功能

使用此探索方法來搜尋Active Directory 網域服務,以識別使用者帳戶和相關聯的屬性。 根據預設,此方法會探索使用者帳戶的基本資訊,包括下列屬性:

  • 使用者名稱

  • 唯一的使用者名稱,其中包含功能變數名稱

  • 網域

  • Active Directory 容器名稱

在 [ Active Directory 使用者探索屬性 ] 對話方塊的 [ Active Directory 屬性 ] 索引標籤上,您可以檢視其所探索物件屬性的完整預設清單。 您也可以設定 方法來探索擴充屬性。

Active Directory 使用者探索的動作會記錄在網站伺服器資料夾的 <InstallationPath>\LOGSadusrdis.log檔案中。

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

Microsoft Entra使用者探索

使用Microsoft Entra使用者探索,為具有新式雲端身分識別的使用者搜尋Microsoft Entra訂用帳戶。 Microsoft Entra使用者探索可以找到下列屬性:

  • objectId
  • displayName
  • mail
  • mailNickname
  • onPremisesSecurityIdentifier
  • userPrincipalName
  • tenantID
  • onPremisesDomainName
  • onPremisesSamAccountName
  • onPremisesDistinguishedName

這個方法支援從Microsoft Entra識別碼對使用者屬性進行完整和差異同步處理。 此資訊接著可以與您從其他探索方法收集的並行探索資料一起使用。

Microsoft Entra使用者探索的動作會記錄在階層頂層月臺伺服器的SMS_AZUREAD_DISCOVERY_AGENT.log檔案中。

若要設定Microsoft Entra使用者探索,請參閱設定適用于雲端管理的Azure 服務。 如需如何設定此探索方法的資訊,請參閱設定Microsoft Entra使用者探索。

Microsoft Entra使用者群組探索

您可以從Microsoft Entra識別碼探索使用者群組和這些群組的成員。 Microsoft Entra使用者群組探索可以找到下列屬性:

  • objectId
  • displayName
  • mailNickname
  • onPremisesSecurityIdentifier
  • tenantID

Microsoft Entra使用者群組探索的動作會記錄在階層頂層月臺伺服器的SMS_AZUREAD_DISCOVERY_AGENT.log檔案中。 如需如何設定此探索方法的資訊,請參閱設定Microsoft Entra使用者群組探索

活動訊號探索

配置: 是的

預設會啟用: 是的

您可以用來執行此方法的帳戶

  • 月臺伺服器的電腦帳戶

活動訊號探索與其他Configuration Manager探索方法不同。 預設會啟用它,並在每個電腦用戶端上執行,而不是在月臺伺服器上執行,以建立 DDR。 若要協助維護Configuration Manager用戶端的資料庫記錄,請勿停用活動訊號探索。 除了維護資料庫記錄之外,這個方法還可以強制探索電腦作為新的資源記錄。 它也可以重新填入已從資料庫中刪除之電腦的資料庫記錄。

活動訊號探索會按照為階層中的所有用戶端設定的排程執行。 活動訊號探索的預設排程會設定為每七天一次。 如果您變更活動訊號探索間隔,請確定其執行頻率高於網站維護工作 刪除過時探索資料。 此工作會從月臺資料庫中刪除非作用中的用戶端記錄。 您只能針對主要月臺設定 刪除過時探索資料 工作。

您也可以在特定用戶端上手動執行活動訊號探索。 在用戶端Configuration Manager控制台的 [動作] 索引標籤上執行探索資料收集週期

當活動訊號探索執行時,它會建立具有用戶端目前資訊的 DDR。 用戶端接著會將這個小型檔案複製到管理點,讓主要月臺可以處理它。 檔案的大小約為 1 KB,且具有下列資訊:

  • 網路位置

  • NetBIOS 名稱

  • 用戶端代理程式的版本

  • 操作狀態詳細資料

活動訊號探索是唯一提供用戶端安裝狀態詳細資料的探索方法。 其會藉由更新系統資源用戶端屬性來設定等於 Yes 的值。

活動訊號探索的動作會記錄在資料夾 InventoryAgent.log 檔案的客戶 %Windir%\CCM\Logs 端上。

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

網路探索

配置: 是的

預設會啟用:

您可以用來執行此方法的帳戶

  • 月臺伺服器的電腦帳戶

使用此方法來探索網路的拓撲,以及探索網路上具有 IP 位址的裝置。 網路探索會藉由查詢下列來源,搜尋您的網路以尋找啟用 IP 的資源:

  • 執行 Microsoft DHCP 實作的伺服器
  • 位址解析通訊協定 (網路路由器中的 ARP) 快取
  • 已啟用 SNMP 的裝置
  • Active Directory 網域

您必須先指定要執行的探索 層級 ,才能使用網路探索。 您也會設定一或多個探索機制,讓網路探索能夠查詢網路區段或裝置。 您也可以設定可協助控制網路上探索動作的設定。 最後,您會定義網路探索執行時間的一或多個排程。

若要讓這個方法成功探索資源,網路探索必須識別資源的 IP 位址和子網路遮罩。 下列方法可用來識別 物件的子網路遮罩:

  • 路由器 ARP 快取: 網路探索會查詢路由器的 ARP 快取,以尋找子網資訊。 一般而言,路由器 ARP 快取中的資料存留時間很短。 因此,當網路探索查詢 ARP 快取時,ARP 快取可能不再具有所要求物件的相關資訊。

  • Dhcp: 網路探索會查詢您指定的每個 DHCP 伺服器,以探索 DHCP 伺服器已提供租用的裝置。 網路探索僅支援執行 Microsoft DHCP 實作的 DHCP 伺服器。

  • SNMP 裝置: 網路探索可以直接查詢 SNMP 裝置。 若要讓網路探索查詢裝置,裝置必須安裝本機 SNMP 代理程式。 同時將網路探索設定為使用 SNMP 代理程式所使用的社群名稱。

當探索識別可 IP 定址的物件,並可判斷物件的子網路遮罩時,它會為該物件建立 DDR。 由於不同類型的裝置會連線到網路,因此網路探索會探索不支援Configuration Manager用戶端的資源。 例如,可以探索但無法管理的裝置包括印表機和路由器。

網路探索可以在建立的探索記錄中傳回數個屬性。 這些屬性包括:

  • NetBIOS 名稱

  • IP 位址

  • 資源網域

  • 系統角色

  • SNMP 社群名稱

  • MAC 位址

網路探索活動會記錄在執行探索之月臺伺服器上的 Netdisc.log 檔案中 InstallationPath>\Logs

如需如何設定此探索方法的詳細資訊,請參閱 設定探索方法

注意事項

複雜的網路和低頻寬連線可能會導致網路探索執行速度緩慢,並產生大量的網路流量。 只有在其他探索方法找不到您必須探索的資源時,才執行網路探索。 例如,使用網路探索來探索工作組電腦。 其他探索方法不會探索工作組電腦。

網路探索層級

當您設定網路探索時,您可以指定三個探索層級的其中一個:

探索層級 詳細資料
拓撲 這個層級會探索路由器和子網,但不會識別物件的子網路遮罩。
拓撲和用戶端 除了拓撲之外,此層級還會探索電腦等潛在客戶端,以及印表機和路由器等資源。 這個層級的探索會嘗試識別所找到物件的子網路遮罩。
拓撲、用戶端和用戶端作業系統 除了拓撲和潛在客戶端之外,此層級還會嘗試探索電腦作業系統名稱和版本。 此層級使用 Windows Browser 和 Windows 網路呼叫。

透過每個累加層級,網路探索會增加其活動和網路頻寬使用量。 請考慮在啟用網路探索的所有層面之前可以產生的網路流量。

例如,當您第一次使用網路探索時,您可能只從拓撲層級開始識別網路基礎結構。 然後,重新設定網路探索以探索物件及其裝置作業系統。 您也可以設定將網路探索限制為特定網路區段範圍的設定。 如此一來,您就會在需要的網路位置中探索物件,並避免不必要的網路流量。 此程式也可讓您從邊緣路由器或網路外部探索物件。

網路探索選項

若要啟用網路探索來搜尋可 IP 定址的裝置,請設定其中一或多個選項。

注意事項

網路探索會在執行探索之月臺伺服器的電腦帳戶內容中執行。 如果電腦帳戶沒有不受信任網域的許可權,網域和 DHCP 伺服器設定可能會無法探索資源。

Dhcp

指定您想要查詢網路探索的每部 DHCP 伺服器。 網路探索僅支援執行 Microsoft DHCP 實作的 DHCP 伺服器。

  • 網路探索會使用 DHCP 伺服器上資料庫的遠端程序呼叫來擷取資訊。

  • 網路探索可以查詢 32 位和 64 位 DHCP 伺服器,以取得已向每部伺服器註冊的裝置清單。

  • 若要讓網路探索成功查詢 DHCP 伺服器,執行探索之伺服器的電腦帳戶必須是 DHCP 伺服器上 DHCP 使用者群組的成員。 例如,當下列其中一個語句為 true 時,就會存在這個存取層級

    • 指定的 DHCP 伺服器是執行探索之伺服器的 DHCP 伺服器。

    • 執行探索和 DHCP 伺服器的電腦位於相同的網域中。

    • 執行探索的電腦與 DHCP 伺服器之間存在雙向信任。

    • 月臺伺服器是 DHCP 使用者群組的成員。

  • 當網路探索列舉 DHCP 伺服器時,不一定會探索靜態 IP 位址。 網路探索在 DHCP 伺服器上找不到屬於排除 IP 位址範圍的 IP 位址。 它也不會探索保留給手動指派的 IP 位址。

網域

指定您想要查詢網路探索的每個網域。

  • 執行探索之月臺伺服器的電腦帳戶必須具有讀取每個指定網域中網域控制站的許可權。

  • 若要從本機網域探索電腦,您必須在至少一部電腦上啟用電腦瀏覽器服務。 此電腦必須與執行網路探索的月臺伺服器位於相同的子網上。

  • 網路探索可以探索當您流覽網路時,可以從月臺伺服器檢視的任何電腦。

  • 網路探索會擷取 IP 位址。 然後,它會使用網際網路控制訊息通訊協定 (ICMP) 回應要求來偵測它找到的每部裝置。 ping命令可協助判斷目前作用中的電腦。

SNMP 裝置

指定您想要查詢網路探索的每個 SNMP 裝置。

  • 網路探索會從回應查詢的任何 SNMP 裝置取得 ipNetToMediaTable 值。 此值會傳回用戶端電腦或其他資源的 IP 位址陣列,例如印表機、路由器或其他可 IP 定址裝置。

  • 若要查詢裝置,您必須指定裝置的 IP 位址或 NetBIOS 名稱。

  • 將網路探索設定為使用裝置的社群名稱,或裝置拒絕以 SNMP 為基礎的查詢。

限制網路探索

當網路探索查詢您網路邊緣的 SNMP 裝置時,它可以識別直接網路外部的子網和 SNMP 裝置的相關資訊。 使用下列資訊來限制網路探索,方法是設定探索可以通訊的 SNMP 裝置,以及指定要查詢的網路區段。

子網路

設定網路探索使用 SNMP 和 DHCP 選項時所查詢的子網。 這兩個選項只會搜尋已啟用的子網。

例如,DHCP 要求可以從整個網路中的位置傳回裝置。 如果您只想要探索特定子網上的裝置,請在 [網路探索內容] 對話方塊的 [子網] 索引標籤上指定並啟用該特定子網。 當您指定並啟用子網時,您會將未來的 DHCP 和 SNMP 探索工作限制為這些子網。

注意事項

子網組態不會限制 [網域 探索] 選項所探索的物件。

SNMP 社群名稱

若要讓網路探索能夠成功查詢 SNMP 裝置,請使用裝置的社群名稱來設定網路探索。 如果未使用 SNMP 裝置的社群名稱來設定網路探索,則裝置會拒絕查詢。

躍點數上限

當您設定路由器躍點數目上限時,您會限制網路探索可以使用 SNMP 查詢的網路區段和路由器數目。

您設定的躍點數目會限制網路探索可以查詢的裝置和網路區段數目。

例如,具有 0 (零) 路由器躍點的僅拓撲探索會探索原始伺服器所在的子網。 它包含該子網上的任何路由器。

下圖顯示在指定了 0 個路由器躍點的伺服器 1 上執行時,僅限拓撲的網路探索查詢會找到什麼:子網 D 和路由器 1。

沒有路由器跳躍的探索影像。

下圖顯示拓撲和用戶端網路探索查詢在指定 0 個路由器躍點的伺服器 1 上執行時所找到的內容:子網 D 和路由器 1,以及子網 D 上的所有潛在客戶端。

具有一個路由器跳躍的探索影像。

若要進一步瞭解更多路由器躍點如何增加探索到的網路資源數量,請考慮下列網路:

具有兩個路由器跳躍的探索影像。

從具有一個路由器躍點的伺服器 1 執行僅限拓撲的網路探索會探索下列實體:

  • 路由器 1 和子網 10.1.10.0 (找到零躍點)

  • 在第一個躍點上找到子網 10.1.20.0 和 10.1.30.0、子網 A 和路由器 2 ()

警告

每次增加路由器躍點數目時,都會大幅增加可探索的資源數目,並增加網路探索所使用的網路頻寬。

伺服器探索

配置:

除了使用者可設定的探索方法之外,Configuration Manager還會使用名為Server Discovery () SMS_WINNT_SERVER_DISCOVERY_AGENT 的進程。 此探索方法會為月臺系統電腦建立資源記錄,例如設定為管理點的電腦。

Active Directory 群組探索、系統探索和使用者探索的常見功能

本節提供下列探索方法通用功能的相關資訊:

  • Active Directory 群組探索

  • Active Directory 系統探索

  • Active Directory 使用者探索

注意事項

本節中的資訊不適用於 Active Directory 樹系探索。

這三種探索方法在組態和作業中很類似。 他們可以探索電腦、使用者,以及儲存在Active Directory 網域服務中之資源群組成員資格的相關資訊。 探索程式是由探索代理程式所管理。 代理程式會在設定執行探索的每個月臺的月臺伺服器上執行。 您可以設定每個探索方法,將一或多個 Active Directory 位置搜尋為本機樹系或遠端樹系中的位置實例。

當探索在不受信任的樹系中搜尋資源時,探索代理程式必須能夠解決下列問題,才能成功:

  • 若要使用 Active Directory 系統探索來探索電腦資源,探索代理程式必須能夠解析資源的 FQDN。 如果無法解析 FQDN,則會嘗試使用其 NetBIOS 名稱來解析資源。

  • 若要使用 Active Directory 使用者探索或 Active Directory 群組探索來探索使用者或群組資源,探索代理程式必須能夠解析您為 Active Directory 位置指定之網域控制站名稱的 FQDN。

針對您指定的每個位置,您可以設定個別的搜尋選項,例如啟用位置 Active Directory 子容器的遞迴搜尋。 您也可以設定要在搜尋該位置時使用的唯一帳戶。 此帳戶可讓您彈性地在一個月臺上設定探索方法,以跨多個樹系搜尋多個 Active Directory 位置。 您不需要設定具有所有位置許可權的單一帳戶。

當這三個探索方法在特定月臺上執行時,該月臺Configuration Manager月臺伺服器會連絡指定 Active Directory 樹系中最近的網域控制站,以找出 Active Directory 資源。 網域和樹系可以處於任何支援的 Active Directory 模式。 您指派給每個位置實例的帳戶必須具有指定 Active Directory 位置的 取許可權。

探索會在指定的位置搜尋物件,然後嘗試收集這些物件的相關資訊。 當可以識別資源的足夠資訊時,就會建立 DDR。 必要資訊會根據所使用的探索方法而有所不同。

如果您將相同的探索方法設定為在不同的Configuration Manager月臺上執行,以利用查詢本機 Active Directory 伺服器,您可以使用一組唯一的探索選項來設定每個網站。 由於探索資料會與階層中的每個月臺共用,因此請避免這些設定之間重迭,以便一次有效率地探索每個資源。

對於較小的環境,請考慮在階層中的一個月臺上執行每個探索方法。 此設定可減少系統管理額外負荷,並降低多個探索動作重新探索相同資源的可能性。 當您將執行探索的月臺數目降至最低時,您會減少探索所使用的整體網路頻寬。 您也可以減少建立且必須由月臺伺服器處理的整體 DDR 數目。

許多探索方法組態都十分說明。 如需探索選項的詳細資訊,請參閱下列各節,這些選項在設定之前可能需要其他資訊。

下列選項可用於多個 Active Directory 探索方法:

差異探索

適用于:

  • Active Directory 群組探索

  • Active Directory 系統探索

  • Active Directory 使用者探索

差異探索不是獨立的探索方法,而是適用于適用之探索方法的選項。 差異探索會搜尋特定的 Active Directory 屬性,以尋找自適用探索方法上次完整探索週期以來所做的變更。 屬性變更會提交至Configuration Manager資料庫,以更新資源的探索記錄。

根據預設,差異探索會以五分鐘的週期執行。 此排程比完整探索週期的一般排程更頻繁。 這種頻繁的迴圈是可行的,因為差異探索使用的月臺伺服器和網路資源比完整探索週期少。 當您使用差異探索時,可以降低該探索方法完整探索週期的頻率。

以下是差異探索偵測到的最常見變更:

  • 新增至 Active Directory 的新電腦或使用者

  • 基本電腦和使用者資訊的變更

  • 新增至群組的新電腦或使用者

  • 從群組中移除的電腦或使用者

  • 系統群組物件的變更

雖然差異探索可以偵測新的資源和群組成員資格的變更,但無法偵測何時已從 Active Directory 中刪除資源。 差異探索所建立的 DDR 處理方式類似于完整探索週期所建立的 DDR。

您可以在每個探索方法屬性的 [ 輪詢排程 ] 索引標籤上設定差異探索。

依網域登入篩選過時的電腦記錄

適用于:

  • Active Directory 群組探索

  • Active Directory 系統探索

您可以將探索設定為排除具有過時電腦記錄的電腦。 此排除範圍是以電腦的最後一個網域登入為基礎。 啟用此選項時,Active Directory 系統探索會評估它識別的每部電腦。 Active Directory 群組探索會評估屬於所探索群組成員的每部電腦。

若要使用此選項:

  • 電腦必須設定為更新 lastLogonTimeStamp Active Directory 網域服務 中的 屬性。

  • Active Directory 網域功能等級必須設定為 Windows Server 2003 或更新版本。

當您設定要用於此設定的最後一次登入之後的時間時,請考慮網域控制站之間的複寫間隔。

您可以在 [Active Directory 系統探索內容] 和 [Active Directory群組探索內容] 對話方塊的 [選項] 索引標籤上設定篩選。 選擇 [僅探索已在指定時間內登入網域的電腦]

警告

當您設定此篩選準則並 依電腦密碼篩選過時記錄時,探索會排除符合任一篩選準則的電腦。

依電腦密碼篩選過時記錄

適用于:

  • Active Directory 群組探索

  • Active Directory 系統探索

您可以將探索設定為排除具有過時電腦記錄的電腦。 此排除範圍是以電腦上次更新的電腦帳戶密碼為基礎。 啟用此選項時,Active Directory 系統探索會評估它識別的每部電腦。 Active Directory 群組探索會評估屬於所探索群組成員的每部電腦。

若要使用此選項:

  • 電腦必須設定為更新 pwdLastSet Active Directory 網域服務 中的 屬性。

當您設定此選項時,請考慮此屬性的更新間隔。 另請考慮網域控制站之間的複寫間隔。

您可以在 [Active Directory 系統探索內容] 和 [Active Directory群組探索內容] 對話方塊的 [選項] 索引標籤上設定篩選。 選擇 [僅探索已在指定時間內更新其電腦帳戶密碼的電腦]

警告

當您設定此篩選和 依網域登入篩選過時記錄時,探索會排除符合任一篩選準則的電腦。

搜尋自訂的 Active Directory 屬性

適用于:

  • Active Directory 系統探索

  • Active Directory 使用者探索

每個探索方法都支援可探索到的唯一 Active Directory 屬性清單。

您可以在 [Active Directory系統探索屬性] 和 [Active Directory使用者探索屬性] 對話方塊的 [Active Directory屬性] 索引標籤上,檢視和設定自訂屬性清單。

後續步驟

選取要用於Configuration Manager的探索方法

設定探索方法