Последнее обновление раздела: ноябрь 2007 г.

С помощью средства управления учетными записями сайта (MSAC.exe) с интерфейсом командной строки можно быстро и легко создавать, заменять, проверять, удалять и перечислять определяемые пользователями учетные записи Windows для сайтов Microsoft System Center Configuration Manager 2007.

Примечание
Эта версия средства управления учетными записями сайта поддерживается только для сайтов Configuration Manager 2007. Если требуется управлять учетными записями на сайте SMS 2003, необходимо использовать версию SMS 2003 этого средства. Средством управления учетными записями сайта SMS 2003 нельзя заменить учетную запись принудительной установки клиента. Не существует поддерживаемый способ замены этой учетной записи для дополнительного сайта SMS 2003.

Можно изменить больше типов учетных записей, чем можно добавить, так как в большинстве типов учетных записей допускается использование только одной учетной записи. Можно добавить столько учетных записей принудительной установки клиента, сколько требуется, но добавление дополнительной учетной записи доступа к сети может только заменить существующую учетную запись.

Составление списка всех учетных записей полезно для аудита безопасности.

Список учетных записей, которыми можно управлять

Следующими учетными записями можно управлять с помощью средства управления учетными записями сайта.

Имя учетной записи Действия

Учетная запись принудительной установки клиента [ClientPushAccount]

Добавить, заменить*, удалить, проверить, перечислить

Учетная запись доступа к сети [NetworkAccessAccount]

Заменить, удалить, проверить, перечислить

Учетная запись адреса сайта [SiteAddressAccount]

Заменить, проверить, перечислить

Учетная запись запросов на ссылки на состояние работоспособности [SHVToADReaderAccount]

Заменить, проверить, перечислить

Учетная запись публикации ссылки на состояние работоспособности [SHVToADWriterAccount]

Заменить, проверить, перечислить

Учетная запись прокси-сервера точки обновления программного обеспечения

[SoftwareUpdatePointProxyServerAccount]

Заменить, проверить, перечислить

Примечание
Этим средством можно управлять учетной записью прокси-сервера точки обновления программного обеспечения, только если точка обновления программного обеспечения установлена на сервере сайта.

* Командой -Set нельзя в действительности заменить пароль учетной записи принудительной установки клиента. Чтобы заменить учетную запись принудительной установки клиента, используйте параметр -Delete, чтобы удалить учетную запись, а затем используйте параметр -Add, чтобы создать учетную запись.

Примечание
Хотя в справке по командной строке показано, что можно управлять учетной записью установки системы сайта [SiteSystemInstallationAccount], это не работает.

Синтаксис средства управления учетными записями сайта

У средства управления учетными записями сайта (Msac.exe) следующий синтаксис командной строки и параметры командной строки, которые используются для управления всеми учетными записями Windows, используемыми Configuration Manager 2007.

  Скопировать код 
msac.exe -[ ADD | SET | DELETE | VERIFY | LIST | ? ] [arguments]

Параметр командной строки Описание

-ADD

Добавляет данную учетную запись на указанный сервер.

-SET

Заменяет существующую учетную запись на новую.

-DELETE

Удаляет данную учетную запись на указанном сервере.

-VERIFY

Проверяет данную учетную запись на указанном сервере.

-LIST

Перечисляет существующие учетные записи на экране или в файле для всех или для указанной категории учетных записей на указанном сервере.

?

Отображает справку командной строки.

Добавить новую учетную запись

Используйте следующий синтаксис командной строки и параметры для создания новой учетной записи.

Важно!
Средство управления учетными записями сайта настраивает учетную запись на консоли Configuration Manager 2007, но не создает в действительности учетную запись в доменных службах Active Directory. Необходимо все же создать учетную запись в домене и задать пароль.
  Скопировать код 
msac.exe -ADD <server> <Domain\account> <accountCategory>
			 [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
			 [ -PA <Password | -G]
			 [ -R ] [ -I ] [ -T ] [ -V ] [ -P ] [ -? ] [ /? ]

Параметр командной строки Описание

<server>

Указывает имя сервера сайта.

<domain\account>

Указывает используемый домен и добавляемую учетную запись. За один раз можно добавить только одну учетную запись.

Если не задан параметр –P, для этого свойства требуется формат <domain\account>. Если используется -P, укажите только имя учетной записи.

<accountCategory>

Указывает категорию учетной записи, к которой будет отнесена новая учетная запись.

Единственное возможное значение этого свойства:

ClientPushAccount (учетная запись принудительной установки клиента)

Нельзя настраивать учетные записи, используемые в системах сайта, например, учетную запись подключения базы данных точки управления.

-S

Указывает код сайта для обработки, если не используется текущий сайт.

Например, это может быть код сайта для дочернего сайта.

-PA

Указывает пароль для новой учетной записи пользователя.

Не используйте этот параметр, если намереваетесь задать автоматическое создание надежного пароля. Используйте вместо него параметр -G.

-G

Создает надежный пароль для новой учетной записи.

Этот параметр вызывает автоматическое создание надежного пароля с использованием надежного алгоритма.

Важно!
Средство управления учетными записями сайта создает надежный пароль и настраивает его для учетной записи на консоли Configuration Manager 2007, но не задает в действительности этот пароль в доменных службах Active Directory. Пока учетная запись домена не будет настроена для использования созданного пароля, учетная запись будет выдавать отказ. Защитите пароль при передаче его с вывода на консоль для настройки учетной записи в Active Directory.

-R

Добавляет новую учетную запись на все дочерние сайты, принадлежащие серверу сайта, указанному как <server>.

Примечание
Из-за известной проблемы сочетание параметров G R неправильно создает тот же самый надежный пароль для всех дочерних сайтов. ВОЗМОЖНОЕ РЕШЕНИЕ: если требуется создать надежный пароль для всех дочерних сайтов, используйте MSAC -add -G на родительском сайте, запишите получившийся надежный пароль, а затем используйте MSAC -add -PA <надежный пароль> -G для настройки этого самого пароля по всей иерархии.

-I

Указывает, что нужно игнорировать все ошибки, возникающие при добавлении учетной записи на дочерние сайты, и продолжать процесс добавления учетной записи.

Если используется этот параметр, можно просмотреть игнорированные ошибки в выводе на консоль.

-T

Указывает, что запрошенные изменения должны выполняться в тестовом режиме, в действительности не затрагивая систему.

-V

Указывает, что журнал сведений о создании новой учетной записи должен отображаться как вывод на консоль.

-P

Указывает, что новая учетная запись должна использовать домен существующих учетных записей.

Некоторые типы учетных записей могут использоваться в нескольких доменах, но при использовании того же имени и того же пароля в каждом домене. Если для такой учетной записи требуется обновление, каждая копия учетной записи будет заменена и обновлена с одинаковым новым паролем. По этой причине, если используется параметр -P, это средство проверит имя домена и многократно его использует, без необходимости это указывать.

-? или /?

Отображает справку по командной строке.

Заменить учетную запись

Используйте следующий синтаксис командной строки и параметры для замены текущей учетной записи на новую учетную запись.

Важно!
Средство управления учетными записями сайта настраивает учетную запись на консоли Configuration Manager 2007, но не создает в действительности учетную запись в доменных службах Active Directory. Необходимо все же создать учетную запись в домене и задать пароль.
  Скопировать код 
msac.exe -SET <server> <Domain\account> <Domain\Newaccount | ComputerAccount> <AccountCategory>
			 [ <AddressType> <Destination> ] [ -PA <password> | -G ]
			 [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
			 [ -R ] [ -I ] [ -T ]
			 [ -V ] [ -P ] [ -? ] [ /? ]

Параметр командной строки Описание

<server>

Указывает имя сервера сайта.

<domain\account>

Указывает используемый домен и изменяемую учетную запись пользователя.

Если не задан параметр –P, для этого свойства требуется формат <domain\account>. Если используется -P, укажите только имя учетной записи.

<Domain\NewAccount>

Указывает новую учетную запись пользователя, которая заменит существующую учетную запись.

Примечание.

Для SiteAddressAccount можно использовать ComputerAccount вместо <Domain\NewAccount>.

<AccountCategory>

Указывает категорию учетной записи, к которой будет отнесена измененная учетная запись.

  • Допустимые значения: NetworkAccessAccount (учетная запись доступа к сети)

  • SiteAddressAccount (учетная запись адреса сайта)

  • SHVToADReaderAccount (учетная запись запросов на ссылки на состояние работоспособности)

  • SHVToADWriterAccount (учетная запись публикации ссылки на состояние работоспособности)

  • SoftwareUpdatePointProxyServerAccount (учетная запись прокси-сервера точки обновления программного обеспечения)

    Примечание
    Командой -Set нельзя в действительности заменить пароль учетной записи принудительной установки клиента. Чтобы заменить учетную запись принудительной установки клиента, используйте параметр -Delete, чтобы удалить учетную запись, а затем используйте параметр -Add, чтобы создать учетную запись.

<AddressType>

Указывает тип адреса изменяемой учетной записи адреса отправителя.

Возможные значения этого свойства:

MS_LAN;

MS_X25_RAS;

MS_ISDN_RAS;

MS_ASYNC_RAS;

MS_SNA_RAS.

Примечание.

Свойство addresstype требуется для категории SiteAddressAccount.

ComputerAccount

Заменяет учетную запись адреса отправителя (учетную запись адреса сайта) на учетную запись компьютера системы сайта. Параметр ComputerAccount используется только с параметром set и категорией SiteAddressAccount. Этот параметр используется вместо <domain/newuser>.

<Destination>

Указывает код конечного сайта для измененной учетной записи.

-PA

Указывает пароль для измененной учетной записи пользователя.

Не используйте этот параметр, если намереваетесь задать автоматическое создание надежного пароля. Используйте вместо него параметр -G.

-G

Указывает надежный пароль для измененной учетной записи пользователя.

Этот параметр вызывает автоматическое создание надежного пароля с использованием надежного алгоритма.

Важно!
Средство управления учетными записями сайта создает надежный пароль и настраивает его для учетной записи на консоли Configuration Manager 2007, но не задает в действительности этот пароль в доменных службах Active Directory. Пока учетная запись домена не будет настроена для использования созданного пароля, учетная запись будет выдавать отказ. Защитите пароль при передаче его с вывода на консоль для настройки учетной записи в Active Directory.

-S

Указывает код сайта для обработки, если не используется текущий сайт.

Например, это может быть код сайта для дочернего сайта.

-R

Добавляет измененную учетную запись на все дочерние сайты, принадлежащие серверу сайта, указанному как <server>.

Примечание
Из-за известной проблемы сочетание параметров G R неправильно создает тот же самый надежный пароль для всех дочерних сайтов. ВОЗМОЖНОЕ РЕШЕНИЕ: если требуется создать надежный пароль для всех дочерних сайтов, используйте MSAC -set -G на родительском сайте, запишите получившийся надежный пароль, а затем используйте MSAC -set -PA <надежный пароль> -G для настройки этого самого пароля по всей иерархии.

-I

Указывает, что нужно игнорировать все ошибки, возникающие при добавлении измененной учетной записи на дочерние сайты, и продолжать процесс добавления учетной записи.

Если используется этот параметр, все же можно просмотреть игнорированные ошибки в выводе на консоль.

-T

Указывает, что запрошенные изменения должны выполняться в тестовом режиме, в действительности не затрагивая систему.

-V

Указывает, что журнал сведений об изменении учетной записи должен отображаться как вывод на консоль.

-P

Используйте этот параметр, чтобы указать, что измененная учетная запись должна использовать домен существующих учетных записей.

Некоторые типы учетных записей могут использоваться в нескольких доменах, используя то же имя и тот же пароль в каждом домене. Если для такой учетной записи требуется обновление, каждая копия учетной записи будет заменена и обновлена с одинаковым новым паролем. По этой причине, если используется параметр -P, это средство проверит имя домена и многократно его использует, без необходимости каждый раз это указывать.

-? или /?

Отображает справку по командной строке.

Удалить учетную запись

Используйте следующий синтаксис командной строки и параметры для удаления существующей учетной записи.

msac.exe -DELETE <server> <Domain\Account> <AccountCategory>

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ] [ -T ]

[ -V ] [ -P ] [ -? ] [ /? ]

Параметр командной строки Описание

<server>

Указывает имя сервера сайта.

<domain\account>

Указывает используемый домен и удаляемую учетную запись.

Если не задан параметр –P, для этого свойства требуется формат <domain\account>. Если используется -P, укажите только имя учетной записи.

<accountCategory>

Указывает категорию учетной записи, к которой относится удаляемая учетная запись.

Возможные значения этого свойства:

  • NetworkAccessAccount (учетная запись доступа к сети)

  • ClientPushAccount (учетная запись принудительной установки клиента)

-S

Указывает код сайта для обработки, если не используется текущий сайт.

Например, это может быть код сайта для дочернего сайта, которому принадлежит эта учетная запись.

-R

Удаляет учетную запись на всех дочерних сайтах, принадлежащих серверу сайта, указанному как <server>.

-I

Указывает, что нужно игнорировать все ошибки, возникающие при удалении учетной записи на дочерних сайтах, и продолжать процесс удаления учетной записи.

Если используется этот параметр, можно просмотреть игнорированные ошибки в выводе на консоль.

-T

Указывает, что запрошенные изменения должны выполняться в тестовом режиме, в действительности не затрагивая систему.

-V

Указывает, что журнал сведений об удалении учетной записи должен отображаться как вывод на консоль.

-P

Указывает, что удаляемая учетная запись использует домен существующих учетных записей.

Некоторые типы учетных записей могут использоваться в нескольких доменах, используя то же имя и тот же пароль в каждом домене. Если для такой учетной записи требуется обновление, каждая копия учетной записи будет заменена и обновлена с одинаковым новым паролем. По этой причине, если используется параметр -P, это средство проверит имя домена и многократно его использует, без необходимости каждый раз это указывать.

-?

Отображает справку по командной строке.

Проверить учетную запись

Используйте следующий синтаксис командной строки и параметры для проверки существующей учетной записи.

msac.exe -VERIFY <server> <Domain\account> <AccountCategory>

[ <AddressType> <Destination> ]

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ]

[ -V ] [ -P ] [ -? ] [ /? ]

Параметр командной строки Описание

<server>

Указывает имя сервера сайта.

<domain\account>

Указывает используемый домен и проверяемую учетную запись.

Если не задан параметр –P, для этого свойства требуется формат <domain\account>. Если используется -P, укажите только имя учетной записи.

<AccountCategory>

Указывает категорию учетной записи, к которой относится проверяемая учетная запись.

  • Допустимые значения: NetworkAccessAccount (учетная запись доступа к сети)

  • ClientPushAccount (учетная запись принудительной установки клиента)

  • SiteAddressAccount (учетная запись адреса сайта)

  • SHVToADReaderAccount (учетная запись запросов на ссылки на состояние работоспособности)

  • SHVToADWriterAccount (учетная запись публикации ссылки на состояние работоспособности)

  • SoftwareUpdatePointProxyServerAccount (учетная запись прокси-сервера точки обновления программного обеспечения)

  • Примечание: на дополнительных сайтах нет учетных записей запросов на ссылки на состояние работоспособности и публикации ссылки на состояние работоспособности, эти учетные записи можно проверить только на основных сайтах.

<AddressType>

Указывает тип адреса проверяемой учетной записи.

Возможные значения этого свойства:

MS_LAN;

MS_X25_RAS;

MS_ISDN_RAS;

MS_ASYNC_RAS;

MS_SNA_RAS.

Свойство AddressType требуется для категории SiteAddressAccounts.

<Destination>

Указывает код конечного сайта для проверяемой учетной записи.

-S

Указывает код сайта для обработки, если не используется текущий сайт.

Например, это может быть код сайта для дочернего сайта, которому принадлежит эта учетная запись.

-R

Проверяет учетную запись на всех дочерних сайтах, принадлежащих серверу сайта, указанному как <server>.

-I

Указывает, что нужно игнорировать все ошибки, возникающие при проверке учетной записи на дочерних сайтах, и продолжать процесс проверки учетной записи.

Если используется этот параметр, можно просмотреть игнорированные ошибки в выводе на консоль.

-V

Указывает, что журнал сведений о проверке учетной записи должен отображаться как вывод на консоль.

-P

Указывает, что проверяемая учетная запись использует домен существующих учетных записей.

Некоторые типы учетных записей могут использоваться в нескольких доменах, используя то же имя и тот же пароль в каждом домене. Если для такой учетной записи требуется обновление, каждая копия учетной записи будет заменена и обновлена с одинаковым новым паролем. По этой причине, если используется параметр -P, это средство проверит имя домена и многократно его использует, без необходимости каждый раз это указывать.

-? или /?

Отображает справку по командной строке.

Перечислить учетные записи

Используйте следующий синтаксис командной строки и параметры для перечисления существующих учетных записей.

  Скопировать код 
msac.exe -LIST <server> <AccountCategory>
			 [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
			 [ -R ]
			 [-FILE <path and filename>] [ ? ] [ /? ]

Параметр командной строки Описание

<server>

Указывает имя сервера сайта.

<AccountCategory>

Указывает категорию учетной записи, к которой относится перечисляемая учетная запись.

Категория AllAccount используется для перечисления всех категорий учетных записей.

Допустимые значения:

  • NetworkAccessAccount (учетная запись доступа к сети)

  • ClientPushAccount (учетная запись принудительной установки клиента)

  • SiteAddressAccount (учетная запись адреса сайта)

  • SHVToADReaderAccount (учетная запись запросов на ссылки на состояние работоспособности)

  • SHVToADWriterAccount (учетная запись публикации ссылки на состояние работоспособности)

  • SoftwareUpdatePointProxyServerAccount (учетная запись прокси-сервера точки обновления программного обеспечения)

  • AllAccount (перечисляет все учетные записи)

-S

Указывает код сайта для обработки, если не используется текущий сайт.

Например, это может быть код сайта для дочернего сайта.

-R

Перечисляет сведения об учетных записях для всех дочерних сайтов.

-FILE

Указывает файл в качестве вывода при параметре list. При использовании этого параметра требуется полный путь и имя файла.

-? или /?

Отображает справку по командной строке.

См. также