samedi 27 août 2011

Unleash the Power of MDT 2010/2012 – Part 3 : Securité

j0442310

Dans cette troisième partie, je reviens sur la manière la plus simple de sécuriser MDT sans en restreindre les possibilités. En dehors de la sécurisation du Deployment Share avec NTFS (interdictions à tout le monde sauf aux utilisateurs authentifiés). Voici quelques considérations sur les comptes utilisateurs employés pour travailler avec MDT.

Sachez, qu’Il n’est nullement besoin de disposer d’un compte administrateur de domaine pour qu’ MDT puisse déployer des postes. Vous pouvez travailler avec 2 comptes aux droits restreint :

  • Un compte utilisateur standard du domaine : pour permettre aux scripts MDT s’exécutant sur les postes client de se connecter au partage de déploiement.
  • Un compte utilisateur capable uniquement d’autoriser les machine à rejoindre le domaine.

Je ne reviens pas sur la création d’un compte standard, par contre voici les options à spécifier pour créer un compte standard capable de rejoindre un domaine :

Votre organisation dispose probablement dans Active Directory d’une OU dans laquelle sont placés toutes les machines du domaine. Nous allons travailler sur cette OU. Si vous êtes en environnement de test , créez une OU que vous pourrez nommer par exemple Workstations.

  • Créez un compte utilisateur standard, J’ai crée pour cet exemple un compte nommé MDT-Join.
  • Dans la console Active Directory cliquez sur le Menu Affichage>Fonctionnalités avancés
  • Sur votre OU, en cliquant bouton droit, sélectionnez Propriétés puis l’onglet Sécurité. Cliquez ensuite sur le bouton Avancé
  • Dans la fenêtre qui vend de s’ouvrir, cliquez sur Ajouter, et choisirez votre compte MDT-Join

cap1_thumb5

  • Dans la fenêtre Autorisation pour Workstations, faites défiler la liste pratiquement jusqu'à la fin, et cochez les autorisations de création et de suppression d’objets ordinateur. Puis validez par le bouton OK.

cap2_thumb2

  • Sur la Fenêtre Paramètres de sécurité avancés pour Workstations, cliquez à nouveau sur Ajouter en choisissant toujours le compte MDT-Join.
  • Dans la fenêtre Autorisation pour Workstations, changer le champ Appliquer à par Objets Ordinateur descendants, puis autorisez les options suivantes :
    • Lire toutes les propriétés
    • Ecrire toutes les propriétés
    • Autorisations de lecture
    • Modifier les autorisations
    • Ecriture validée vers le nom d’hôte DNS
    • Ecriture validée vers le nom principal
    • Modifier le mot de passe
    • Réinitialiser le mot de passecap3_thumb2

cap4_thumb3

  • Validez par OK toutes les fenêtres ouvertes, le compte MDT-Join est Opérationnel !

Retrouvez-ci dessous l’ensemble des billets de la série “ Unleash the power of MDT2010/2012” :

Unleash the power of MDT 2010/2012 – Part 1 : Présentation
Unleash the power of MDT 2010/2012 – Part 2 : Tests & logs
Unleash the Power of MDT 2010/2012 – Part 3 : Securité
Unleash the Power of MDT 2010/2012 – Part 4 : CustomSettings.ini
Unleash the Power of MDT 2010/2012 – Part 5 : Applications
Unleash the Power of MDT 2010/2012 – Part 6 : SQL Database
Unleash the Power of MDT 2010/2012 – Part 7 : Web Services
Unleash the Power of MDT 2010/2012 – Part 8 : Scripts VBS
Unleash the Power of MDT 2010/2012 – Part 9 : UserExit Scripts
Unleash the Power of MDT 2010/2012 – Part 10 : WinPE