從 Active Directory Domain Services 匯入資料
重要
此版本的 Service Manager 已終止支援。 建議您升級至 Service Manager 2022。
Service Manager中的 Service Manager 資料庫包含您企業的相關信息,並由服務管理結構的所有部分使用。 您可以使用 Active Directory 連接器,將使用者、群組、印表機與電腦 (僅限這些物件類型) 作為設定項目新增至 Service Manager 資料庫。
注意
如果 Active Directory 網域內有兩個不同的組織單位 (OU) ,Service Manager 無法匯入這兩個用戶帳戶,而且事件會記錄在 System Center Operations Manager 應用程式記錄檔中。
此外,當您將 Active Directory 連接器設定為從 Active Directory 群組匯入資料時,您也可以選取從 Active Directory 群組自動新增使用者的選項。 選取時,任何新增至 Active Directory 群組的用戶都會自動新增至 Service Manager 資料庫。 如果這些使用者從 Active Directory 群組中移除,它們會保留在 Service Manager 資料庫中;不過,這些用戶會位於 [已刪除的專案] 群組中。
當您建立 Active Directory 連接器時,無法更新連接器中的 [選取物件 ]。 您會改成在 Active Directory 中建立對應到 Service Manager 使用者角色的安全性群組。 例如,您可以在名為 Incident Resolvers 的 Active Directory 網域服務 (AD DS) 中建立安全組。 在 Service Manager 中,您可以將這個安全性群組指派給「事件解決者」使用者角色。 當您建立 Active Directory 連接器,並選取 [自動新增此連接器匯入的 AD 群組使用者] 時,當屬於事件解決者安全組成員的用戶啟動 Service Manager 控制台時,就會獲得事件解決者許可權和許可權。
如果您要從數個 OU 或子域匯入數據,您可以選擇建立羽量型目錄存取通訊協定 (LDAP) 查詢,以指定要使用連接器匯入的電腦、印表機、使用者或使用者群組。 例如,位於 Dallas 或 Austin 且名字是 John 的所有物件的 LDAP 篩選器看起來就像這樣: (&(givenName=John) (|(l=Dallas) (l=Austin)))。 您可以測試查詢,而且您必須先更正所有錯誤,才能設定 Active Directory 連接器。 如需 LDAP 查詢的詳細資訊,請參閱 Search Filter Syntax (搜尋篩選語法)。
如果您稍後必須在 Service Manager 資料庫上執行維護作業,可以暫時停用連接器,並且暫停匯入資料。 然後,只要重新啟用連接器,即可繼續匯入資料。
當您從 AD DS) 或從 Configuration Manager 匯入大量使用者時,CPU 使用率可能會增加至 100%。 您會在 CPU 的一個核心上注意到這一點。 例如,如果您匯入 20,000 個使用者,可能會維持高 CPU 使用率達一小時。 若要減輕這個問題,您可以先建立連接器,並將使用者匯入到 Service Manager,然後在您的企業中部署產品,或是將連接器同步處理排程在下班時間。 在使用多核心 CPU 的電腦上安裝 Service Manager,也可以盡量減低匯入大量使用者所造成的影響。
建立 Active Directory 連接器
您可以在 Service Manager 中使用下列程式來建立、驗證及確認 Active Directory 連接器的狀態,以從 Active Directory 網域服務 (AD DS) 匯入物件。
注意
Active Directory (AD) 連接器已經過模擬,可與特定域控制器同步處理。 您可以在 Active Directory 連接器的 LDAP 查詢中指定域控制器。
若要建立 Active Directory 連接器,以及從 AD DS 匯入物件
在 Service Manager 控制台中,選取 [系統管理]。
在 [ 系統管理] 窗格中,展開 [ 系統管理],然後選取 [ 連接器]。
在 [ 工作 ] 窗格的 [ 連接器] 底下,選取 [ 建立連接器],然後選取 [Active Directory 連接器]。
在 Active Directory 連接器精靈中完成下列步驟:
在 [ 開始之前] 頁面上,選取 [ 下一步]。
在 [ 一般 ] 頁面的 [ 名稱 ] 方塊中,輸入新連接器的名稱。 確定已選取 [ 啟用此連接器 ] 複選框,然後選取 [ 下一步]。
在 [網域或組織單位] 頁面上選取 [使用網域: 網域名稱]。 或者,選取 [讓我選擇網域] 或 [OU],然後選取 [ 流覽 ] 選擇網域或組織單位, (OU) 在您的環境中。
在 [ 認證] 區域中,選取 [ 新增]。
在 [ 執行身分帳戶 ] 對話方塊的 [ 顯示名稱 ] 方塊中,輸入執行身分帳戶的名稱。 選取 [ 帳戶 ] 清單中的 [ Windows 帳戶]。 輸入有權從 AD DS 讀取的帳戶認證,然後選取 [ 確定]。 在 [ 網域或組織單位 ] 頁面上,選取 [ 測試連線]。
注意
不支援 [ 用戶名稱 ] 方塊中的特殊字元 (,例如 [&]) 。
在 [ 測試連線 ] 對話框中,確定顯示 伺服器連線成功 ,然後選取 [ 確定]。 在 [ 網域或組織單位 ] 頁面上,選取 [ 下一步]。
在 [選取物件] 中,執行下列步驟:
選取 [所有電腦、印表機、使用者與使用者群組] ,以匯入所有項目;或者
選取 [選取個別電腦、印表機、使用者或使用者群組] ,只匯入選取的項目;或者
如果您要建立自己的輕量型目錄存取通訊協定 (LDAP) 查詢,請選取 [提供電腦、印表機、使用者或使用者群組的 LDAP 查詢篩選器] 。
如果您想要將新增至要自動新增至任何要匯入之群組的新使用者新增至 Service Manager,請選取 [自動新增此連接器匯入的 AD 群組使用者],然後選取 [下一步]。
在 [ 排程] 頁面上的 [ 同步 處理] 列表中,設定同步處理的頻率和時間,然後選取 [ 下一步]。
在 [ 摘要] 頁面上,確定設定正確無誤,然後選取 [ 建立]。
在 [ 完成] 頁面上,確定您會收到下列確認訊息:
已成功建立 Active Directory 連接器。
然後,選取 [關閉]。
注意
視所匯入的資料量而定,您可能必須等候匯入完成。
若要驗證 Active Directory 連接器建立
在 [ 連接器 ] 窗格中,找到您所建立的 Active Directory 連接器。 您可能必須等候數分鐘,連接器才會出現。
在 [ 連接器 ] 窗格中,檢閱 [ 狀態 ] 欄的狀態是否為 [ 順利完成]。
展開 [ 設定項目 ] 窗格中的 [ 設定項目]。 展開 [電腦] 和 [所有 Windows 電腦] ,並且確認預定的 AD DS 電腦會出現在 [所有 Windows 電腦] 窗格中。 展開 [ 印表機] 和 [ 所有電腦],然後確認預定的 AD DS 印表機會出現在 [ 所有印表機 ] 窗格中。
在 Service Manager 控制台中,選取 [設定專案]。 在 [ 設定專案 ] 窗格中,選取 [ 使用者],然後確認 AD DS 中預期的使用者和使用者群組出現在 [ 使用者 ] 窗格中。
若要確認 Active Directory 連接器的狀態
- 檢視 [ 連接器 ] 窗格中的欄;欄中所含的資訊包括開始時間、完成時間、狀態,以及匯入設定項目的百分比。
您可以使用 Windows PowerShell 命令來建立新的 Service Manager Active Directory 連接器。 如需如何使用 Windows PowerShell 建立新 Service Manager Active Directory 連接器的資訊,請參閱 New-SCADConnector。
同步處理 Active Directory 連接器
為確保 Service Manager 資料庫保持在最新狀態,在首次同步處理之後,Active Directory 連接器每小時會與 Active Directory Domain Services (AD DS) 進行一次同步處理。 不過,您可以使用下列程式手動同步處理連接器,並驗證其已同步處理。
手動同步處理 Active Directory 連接器
在 Service Manager 控制台中,選取 [系統管理]。
在 [ 系統管理] 窗格中,展開 [ 系統管理],然後選取 [ 連接器]。
在 [連接器] 窗格中,選取您要同步處理的 Active Directory 連接器。
在 [ 工作 ] 窗格的連接器名稱下,選取 [ 立即同步處理]。
注意
視所匯入的資料量而定,您可能必須等候匯入完成。
驗證 Active Directory 連接器是否已同步處理
在 Service Manager 控制台中,選取 [設定專案]。
在 [ 設定專案] 窗格中,展開 [ 印表機],然後選取 [所有印表機]。 確認 AD DS 中所有的新印表機都出現在中間窗格內。
展開 [計算機],然後選取 [所有 Windows 計算機]。 確認 AD DS 中所有的新電腦都出現在中間窗格內。
在 Service Manager 控制台中,選取 [設定專案]。
在 [ 設定專案] 窗格中,選取 [ 使用者]。 確認 AD DS 中所有的新使用者與群組都出現在中間窗格內。
停用或啟用 Active Directory 連接器
您可以使用下列程序,在 Service Manager 中停用或啟用 Active Directory 連接器,並驗證其狀態變更。
停用 Active Directory 連接器
在 Service Manager 控制台中,選取 [系統管理]。
在 [ 系統管理] 窗格中,展開 [ 系統管理],然後選取 [ 連接器]。
在 [連接器] 窗格中,選取您要停用的 Active Directory 連接器。
在 [ 工作] 窗格的 [連接器名稱] 底下,選取 [ 停用]。
在 [ 停用連接器 ] 對話框中,選取 [確定]。
啟用 Active Directory 連接器
在 Service Manager 控制台中,選取 [系統管理],然後選取 [連接器]。
在 [連接器] 窗格中,選取您要啟用的 Active Directory 連接器。
在 [ 工作] 窗格的 [連接器名稱] 底下,選取 [ 啟用]。
在 [ 啟用連接器] 對話框中,選取 [確定]。
驗證 Active Directory 連接器的狀態變更
啟用或停用 Active Directory 連接器後,請等候約 30 秒。 然後,在 Service Manager 控制台中,選取 [系統管理],然後選取 [連接器]。
在中間窗格中,找出您已變更狀態的連接器,然後確認 [ 已啟用 ] 資料行中的值。
您可以使用 Windows PowerShell 命令來完成這些工作和其他相關工作,如下所示:
如需如何使用 Windows PowerShell 來啟動 Service Manager 連接器的資訊,請參閱 Start-SCSMConnector。
如需如何使用 Windows PowerShell 擷取在 Service Manager 中定義的連接器並檢視其狀態的資訊,請參閱 Get-SCSMConnector。
如需如何使用 Windows PowerShell 來更新 Service Manager 連接器內容的資訊,請參閱 Update-SCSMConnector。
從其他網域匯入資料
您可以從不是 Service Manager 所在的網域匯入資料。 例如,Service Manager 安裝在 A 網域 (其完整網域名稱 [FQDN] 是 a.woodgrove.com),而且您想從 B 網域 (其 FQDN 是 b.woodgrovetest.net) 匯入資料。 在此情況下,您必須思考如何指定資料來源路徑,以及如何指定執行身分帳戶。
在 B 網域中,識別現有的服務帳戶或建立用於此用途的新帳戶。 此服務帳戶必須是網域帳戶,而且必須能夠讀取 Active Directory 網域服務。
接下來,在 Service Manager 的 [Active Directory 連接器精靈] 中,建立新的 Active Directory 連接器。 依照 [ 網域或組織單位 ] 頁面上的步驟進行。
若要指定資料來源路徑與執行身分帳戶
根據網域所在的位置,使用適當的方法:
如果兩個網域位於相同的樹系中,請在 [ 伺服器資訊 ] 區域中,選取 [ 讓我選擇網域或 OU],然後選取 [ 流覽 ] 以選取網域和組織單位, (OU) 。
如果兩個網域位於不同的樹系中,請在 [ 伺服器資訊 ] 區域中,選取 [讓我選擇網域或 OU],然後在方塊中輸入網域和 OU。 例如,輸入 LDAP://b.woodgrovetest.net/OU=OU 名稱,DC=b,DC=woodgrovetest,DC=net。
在 [ 認證 ] 區域中,選取 [ 新增]。
在 [ 執行身分帳戶] 對話方塊的 [ 用戶名稱]、 [密碼] 和 [ 網域 ] 方塊中,從 b.woodgrovetest.net 網域輸入服務帳戶的認證。
注意
如果兩個網域位於不同的樹系中,您必須在 [ 用戶名稱 ] 方塊中輸入功能變數名稱。 例如,輸入
b.woodgrovetest.net\UserName。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應