Unleash the Power of MDT 2010/2012 – Part 3 : Securité

Publié le 27 août 2011 par Diagg @diagg

Dans cette troisième partie, je reviens sur la manière la plus simple de sécuriser MDT sans en restreindre les possibilités. En dehors de la sécurisation du Deployment Share avec NTFS (interdictions à tout le monde sauf aux utilisateurs authentifiés). Voici quelques considérations sur les comptes utilisateurs employés pour travailler avec MDT.

Sachez, qu’Il n’est nullement besoin de disposer d’un compte administrateur de domaine pour qu’ MDT puisse déployer des postes. Vous pouvez travailler avec 2 comptes aux droits restreint :

  • Un compte utilisateur standard du domaine : pour permettre aux scripts MDT s’exécutant sur les postes client de se connecter au partage de déploiement.
  • Un compte utilisateur capable uniquement d’autoriser les machine à rejoindre le domaine.

Je ne reviens pas sur la création d’un compte standard, par contre voici les options à spécifier pour créer un compte standard capable de rejoindre un domaine :

Votre organisation dispose probablement dans Active Directory d’une OU dans laquelle sont placés toutes les machines du domaine. Nous allons travailler sur cette OU. Si vous êtes en environnement de test , créez une OU que vous pourrez nommer par exemple Workstations.

  • Créez un compte utilisateur standard, J’ai crée pour cet exemple un compte nommé MDT-Join.
  • Dans la console Active Directory cliquez sur le Menu Affichage>Fonctionnalités avancés
  • Sur votre OU, en cliquant bouton droit, sélectionnez Propriétés puis l’onglet Sécurité. Cliquez ensuite sur le bouton Avancé
  • Dans la fenêtre qui vend de s’ouvrir, cliquez sur Ajouter, et choisirez votre compte MDT-Join

  • Dans la fenêtre Autorisation pour Workstations, faites défiler la liste pratiquement jusqu'à la fin, et cochez les autorisations de création et de suppression d’objets ordinateur. Puis validez par le bouton OK.

  • Sur la Fenêtre Paramètres de sécurité avancés pour Workstations, cliquez à nouveau sur Ajouter en choisissant toujours le compte MDT-Join.
  • Dans la fenêtre Autorisation pour Workstations, changer le champ Appliquer à par Objets Ordinateur descendants, puis autorisez les options suivantes :
    • Lire toutes les propriétés
    • Ecrire toutes les propriétés
    • Autorisations de lecture
    • Modifier les autorisations
    • Ecriture validée vers le nom d’hôte DNS
    • Ecriture validée vers le nom principal
    • Modifier le mot de passe
    • Réinitialiser le mot de passe

  • Validez par OK toutes les fenêtres ouvertes, le compte MDT-Join est Opérationnel !