Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Игромания! Игровые новости, 11 апреля (Uncharted 4, God of War 4, Final Fantasy 7 Remake)

Во что поиграть на этой неделе — 19 октября + Лучшие скидки на игры

Во что поиграть на этой неделе — 11 мая + Лучшие скидки недели

Во что поиграть на этой неделе — 6 апреля (Infernium, The Adventure Pals, Minit)

Left 2 Play - Выпуск 02 - Left 4 Dead (комментарии)

Игромания! Игровые новости, 14 марта (Microsoft, Lionhead, Hitman, EverQuest Next)

Во что поиграть на этой неделе — 7 декабря + Лучшие скидки на игры

Игромания! Игровые новости, 3 октября (Игромир 2016, This is Хорошо, Wasteland 3, Destiny 2)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 96
Каталог статей: 6797
Фотоальбом: 1236
Форум: 1151/8396
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1718
Сегодня: 0
Вчера: 0
За неделю: 0
За месяц: 5

Из них:
Пользователи: 1643
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1292
Девушек 424


ON-Line всего: 25
Гостей: 25
Пользователей: 0

Сейчас на сайте:


День Рождения у: artstil-poligrafia(38), XRund(43)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

Установка Windows 7 - часть 21: Защита MDT (часть 2)

Подсказка: Более подробную информацию об автоматизации процесса установки LTI можно найти в Windows 7 Resource Kit от Microsoft Press. Я – главный автор этого Resource Kit, и я также занимаюсь неофициальным сайтом поддержки для Windows 7 Resource Kit, где вы найдете последние обновления и другую полезную информацию.

В предыдущей части этого цикла статей мы рассмотрели проблемы безопасности, связанные с двумя учетными записями, используемыми в MDT:

  • Учетная запись, указанная в файле Bootstrap.ini, используется целевыми компьютерами для подключения к установочному ресурсу на сервере MDT
  • Учетная запись, указанная в файле CustomSettings.ini, используется целевыми компьютерами для присоединения к домену на финальной стадии установки.

Я говорил, что в простой тестовой среде вполне нормально использовать встроенную учетную запись администратора домена для обеих вышеуказанных задач. Однако из соображений безопасности в производственной среде следует использовать отдельные учетные записи для каждой задачи, и предпочтительнее использовать учетные записи простых пользователей домена, а не администраторов. В предыдущей части мы создали две новые учетные записи пользователей домена: mdt_build для файла Bootstrap.ini и mdt_join для файла CustomSettings.ini. После этого мы обновили наш установочный ресурс, поскольку наш Bootstrap.ini файл был изменен, а затем прожгли наш LiteTouchPE_x64.iso на CD носитель. Если мы теперь загрузим наши целевые компьютеры с помощью этого CD, MDT установит на них Windows 7, но все изменения, введенные в MDT базу данных, не будут применены, что приведет к сообщению об ошибке SQL Connection. Проблема заключается в том, что наша учетная запись CONTOSO\mdt_build не имеет прав доступа к базе данных MDT с использованием Windows Integrated Security. В этой части я покажу вам, как разрешать эту проблему SQL, а также расскажу, как обеспечивать безопасность подключения компьютеров к домену.

Установка SQL Server Management Studio

Чтобы изменить права доступа к базе данных MDT на сервере SQL Server, мы можем воспользоваться SQL Server Management Studio. В этом цикле статей мы используем SQL Server 2008 Express Edition SP1, который мы установили на сервер MDT в 15 части этого цикла. Чтобы это сделать, мы установим Microsoft SQL Server 2008 Management Studio Express на рабочую станцию администратора под управлением Windows 7, а затем воспользуемся этим приложением для предоставления необходимых прав нашей учетной записи CONTOSO\mdt_build. Microsoft SQL Server 2008 Management Studio Express можно бесплатно загрузить с сайта Microsoft.

Начинаем с двойного нажатия на загруженном установочном файле SQLManagementStudio_x64_ENU.exe. У нас откроется окно с предупреждением, что позже нужно установить пакет обновления Service Pack 1 (рисунок 1):

Рисунок 1: Шаг 1 установки SQL Server 2008 Management Studio Express
Рисунок 1: Шаг 1 установки SQL Server 2008 Management Studio Express

Нажатие кнопки Запустить программу (Run Program) открывает центр установки SQL Server Installation Center (рисунок 2):

Рисунок 2: Шаг 2 установки SQL Server 2008 Management Studio Express
Рисунок 2: Шаг 2 установки SQL Server 2008 Management Studio Express

Нажмите Установка (Installation) слева, чтобы отобразить опции установки (рисунок 3):

Рисунок 3: Шаг 3 установки SQL Server 2008 Management Studio Express
Рисунок 3: Шаг 3 установки SQL Server 2008 Management Studio Express

Выбор первой опции на этой странице запускает установку правил поддержки с целью проверки возможности продолжения процесса установки (рисунок 4):

Рисунок 4: Шаг 4 установки SQL Server 2008 Management Studio Express.
Рисунок 4: Шаг 4 установки SQL Server 2008 Management Studio Express.

В следующем окне показано, что для установки требуется ключ продукта (рисунок 5):

Рисунок 5: Шаг 5 установки SQL Server 2008 Management Studio Express
Рисунок 5: Шаг 5 установки SQL Server 2008 Management Studio Express

Затем примите условия лицензионного соглашения EULA и нажмите Установить. Правила поддержки установки будут установлены (рисунок 6):

Рисунок 6: Шаг 6 установки SQL Server 2008 Management Studio Express
Рисунок 6: Шаг 6 установки SQL Server 2008 Management Studio Express

На странице Выбор функций (Feature Selection) убедитесь, что опция Management Studio ' Basic выбрана (рисунок 7):

Рисунок 7: Шаг 7 установки SQL Server 2008 Management Studio Express
Рисунок 7: Шаг 7 установки SQL Server 2008 Management Studio Express

Выполните оставшиеся шаги, пока процесс установки не будет завершен (рисунок 8):

Рисунок 8: Шаг 8 установки SQL Server 2008 Management Studio Express
Рисунок 8: Шаг 8 установки SQL Server 2008 Management Studio Express

Теперь загрузите SQL Server 2008 Service Pack 1 и дважды нажмите на файле установки SQLServer2008SP1-KB968369-x64-ENU, чтобы начать установку. Снова будет отображен центр установки SQL Server Installation Center, и после выбора первой опции будет отображена приветственная страница, и установка правил поддержки будет запущена (рисунок 9):

Рисунок 9: Установка SQL Server 2008 Service Pack 1
Рисунок 9: установка SQL Server 2008 Service Pack 1

Затем продолжите процесс установки SP1, принимая все умолчания, пока пакет обновления не будет установлен.

Настройка прав доступа с помощью SQL Server Management Studio

Теперь давайте воспользуемся SQL Server Management Studio для настройки соответствующих прав доступа к базе данных для учетной записи CONTOSO\mdt_build. Начнем с запуска SQL Server Management Studio из меню Пуск (рисунок 10):

Рисунок 10: Запуск SQL Server Management Studio
Рисунок 10: Запуск SQL Server Management Studio

Когда появится диалог подключения к серверу (Connect To Server), выберите способ проверки подлинности Windows Authentication (рисунок 11):

Рисунок 11: Диалог подключения к серверу
Рисунок 11: Диалог подключения к серверу

Нажмите на поле Имя сервера (Server Name) и затем выберите Обзор (Browse For More) (рисунок 12):

Рисунок 12: Выбор имени сервера
Рисунок 12: Выбор имени сервера

Когда диалог Browse For Servers отобразит доступные серверы SQL, выберите локальный сервер SQLEXPRESS, который установлен на вашем сервере MDT (рисунок 13):

Рисунок 13: Выбор локального сервера SQLEXPRESS
Рисунок 13: Выбор локального сервера SQLEXPRESS

Нажмите OK, чтобы закрыть диалог Browse For Servers и вернуться в диалог Connect To Server. SQLEXPRESS будет отображен в качестве имени сервера SQL (рисунок 14):

Рисунок 14: SQLEXPRESS выбран в качестве имени сервера SQL
Рисунок 14: SQLEXPRESS выбран в качестве имени сервера SQL

Нажатие на кнопку Подключить (Connect) заставляет SQL Server Management подключиться к SQLEXPRESS серверу на вашем сервере MDT и открыть консоль Microsoft SQL Server Management Studio (рисунок 15):

Рисунок 15: Консоль Microsoft SQL Server Management Studio
Рисунок 15: Консоль Microsoft SQL Server Management Studio

В консоли Management Studio разверните закладку Безопасность (Security) и затем нажмите правой клавишей на Logins, и выберите New Login из контекстного меню (рисунок 16):

Рисунок 16: Создание нового логина для сервера SQL
Рисунок 16: Создание нового логина для сервера SQL

На странице Общие (General) диалога Login ' New нажмите Поиск (Search) и выберите учетную запись CONTOSO\mdt_build из Active Directory. После этого учетная запись будет отображена в поле Login Name на этой странице. Также нужно изменить параметр основной базы данных (Default Database) в нижней части страницы с master на MDT (поскольку MDT было тем именем, которое мы дали нашей базе данных, когда создавали ее в 15 части этого цикла). Страница General диалога Login ' New теперь должна выглядеть, как на рисунке 17:

Рисунок 17: Страница General после настройки параметров
Рисунок 17: Страница General после настройки параметров

Не вносите никаких изменений на странице ролей сервера (Server Roles). На странице сопоставления пользователей (User Mappings) выберите опцию для MDT, затем нажмите кнопку и добавьте CONTOSO\mdt_build в качестве пользователя, сопоставляемого с этим логином. Затем отметьте флажок для db_datareader, чтобы назначить предопределенную роль базы данных db_datareader для учетной записи CONTOSO\mdt_build (рисунок 18):

Рисунок 18: Назначение предопределенной роли базы данных db_datareader для MDT учетной записи CONTOSO\mdt_build
Рисунок 18: Назначение предопределенной роли базы данных db_datareader для MDT учетной записи CONTOSO\mdt_build

Поскольку члены фиксированной роли базы данных db_datareader могут читать все данные со всех пользовательских таблиц, выполнение вышеуказанной процедуры дает вашим целевым компьютерам доступ к настройкам в вашей базе данных MDT.

Не вносите никаких изменений на оставшихся двух страницах (Securables и Status) диалога Login ' New. Нажатие OK отображает новый логин, созданный вами (рисунок 19):

Рисунок 19: Учетной записи CONTOSO\mdt_build был предоставлен доступ с правами чтения к вашей базе данных MDT
Рисунок 19: Учетной записи CONTOSO\mdt_build был предоставлен доступ с правами чтения к вашей базе данных MDT

Теперь вы можете использовать базу данных MDT для установки Windows 7 с применением всех настроек на ваших целевых компьютерах, как говорилось ранее в этом цикле.

Совет: если вам нужно предоставить доступ к базе данных MDT нескольким учетным записям, вы можете создать группу безопасности, которая будет включать эти учетные записи, а затем использовать вышеприведенную процедуру для назначения роли фиксированной базы данных db_datareader для этой группы.

Совет: для дополнительной информации относительно ролей уровня баз данных SQL Server смотрите эту страницу на MSDN.

Безопасное выполнение присоединения к домену

Давайте закончим рассмотрение проблемы с учетной записью mdt_join, которую мы указываем в файле CustomSettings.ini и которая используется MDT для присоединения целевых компьютеров к домену. Если мы оставим эту учетную запись в качестве обычного пользователя домена, MDT сможет присоединить несколько устанавливаемых им компьютеров к домену, но затем не сможет присоединить никакие другие компьютеры. Это происходит потому, что по умолчанию любая пользовательская учетная запись, которая принадлежит к встроенной идентификации Authenticated Users (например, mdt_join) имеет назначенные для нее права пользователя для присоединения рабочих станций к домену (Add Workstations To A Domain), что означает, что учетная запись способна создавать до 10 учетных записей компьютеров в домене. Итак, если вы устанавливаете всего 10 компьютеров, вам повезло. В противном случае для безопасного выполнения операции подключения к домену нужно выбрать один следующих способов:

Метод 1 - убедитесь, что ваша учетная запись mdt_join принадлежит к группе администраторов домена. Затем удалите строку DomainAdminPassword = <password> из своего файла CustomSettings.ini file. Это означает, что ваши установки Lite Touch больше не будут полностью автоматизированными, и вам придется идти к каждой машине и вводить пароль вашей учетной записи mdt_join при выполнении этой задачи (убедитесь, что никто не смотрит вам через плечо, когда вы вводите пароль). Больше хлопот, но более безопасно.

Метод 2 - сделайте свою учетную запись mdt_join участником группы администраторов домена, не вносите никаких изменений в свой файл CustomSettings.ini, и игнорируйте тот факт, что учетные данные при присоединении к домену передаются чистым текстом по сети (и временно содержатся в измененной форме на каждом целевом компьютере во время установки). Если вы выберите такой подход, лучше выполнять установку в выходные или вечером, когда никто не работает. Для дополнительной безопасности измените пароль учетной записи mdt_join сразу после завершения установки. Не забудьте сменить пароль в Active Directory и файле CustomSettings.ini.

Метод 3 - сделайте учетную запись mdt_join участником группы администраторов домена. Опустите весь раздел присоединения к домену (четыре строки) в своем файле CustomSettings.ini. Затем в Deployment Workbench откройте свойства последовательности задач, которую вы используете, выберите закладку OS Info, и нажмите Edit Unattend.xml, чтобы открыть файл ответа, используемого MDT для установки Windows с помощью этой последовательности задач. В передаче specialize pass разверните компонент Microsoft-Windows-UnattendedJoin и настройте необходимые параметры в разделах Идентификация (Identification) и Учетные данные (Credentials), чтобы присоединить целевой компьютер к домену. Пароль, который вы укажите для учетной записи присоединения к домену здесь, будет изменен, но не зашифрован, и файл unattend.xml все равно будет записан в кэш на целевой компьютер во время установки, поэтому данный подход не слишком безопасен.

Метод 4 - уберите весь раздел присоединения к домену (четыре строки) в файле CustomSettings.ini и установите ОС на целевые системы в рабочей группе, а не в домене. Затем присоедините машины к домену, либо сделав это вручную на каждой машине (если у вас не очень много целевых компьютеров), либо выполнив сценарий netdom join с помощью групповой политики (если у вас много машин), или каким-то иным способом.

Метод 5 - предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:

  1. Откройте консоль Active Directory Users and Computers.
  2. Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
  3. Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
  4. Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
  5. Нажмите Дополнительно (Advanced), чтобы отрыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
  6. Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
  7. В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ' Создавать объекты компьютера (Create computer objects) ' Удалять объекты компьютера (Delete computer objects)
  8. Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ' Чтение всех свойства (Read all properties) ' Запись всех свойств (Write all properties) ' Разрешения чтения (Read permissions) ' Разрешения записи (Write permissions) ' Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы
  9. Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.

Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена. Наконец, чтобы полностью автоматизировать процесс присоединения к домену с помощью MDT, вам нужно будет добавить следующую строку в свой файл CustomSettings.ini:

MachineObjectOU=OU= DeployedComputers,DC=CONTOSO,DC=COM

И последним подходом будет своз всех клиентских компьютеров в вашу защищенную лабораторию, установка на них Windows, и последующий их развоз по офисам. Если вы решите использовать этот подход, будьте осторожны, не сорвите спину!

 

Автор: Митч Туллоч (Mitch Tulloch)

 


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Установка Windows 7 - часть 21: Защита MDT (часть 2) ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Руководитель Ubisoft говорит о пиратстве на всех платформах
RapidShare грозит закрытие
Новый флагманский Blu-ray плеер от Pioneer
Microsoft покидает создатель Internet Explorer
Sony отзывает 440 тысяч ноутбуков VAIO
Новый DDoS-фильтр защитит от хакерских атак
Футуристический интернет-планшет Lenovo IdeaPad U8
Яндекс обновил базу изображений поискового сервиса
Секс комплексы
"Windows 7" выйдет в 2010 году
В марсианском метеорите найдены новые доказательства жизни
Опасный троянец Trojan.KillFiles.904 удаляет все файлы на компьютере
У SPARKLE готовы восемь GeForce 9400 GT на 55-нм чипе
Windows Store – магазин приложений для Windows 8
Google начнёт продавать электронные книги
Новые иллюстрации Gothic 4
Избавиться от IE смогут и пользователи XP и Vista
Бесплатные офисы дорого обходятся Microsoft
Новость дня: Westmere, Sandy Bridge, Ive Bridge и Haswell - процессоры будущего компании Intel
Windows 7 взломана. Не прошло и недели

Если вам понравился материал "Установка Windows 7 - часть 21: Защита MDT (часть 2)", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (11.06.2010)
Просмотров: 1897

Ниже вы можете добавить комментарии к материалу " Установка Windows 7 - часть 21: Защита MDT (часть 2) "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Gamesblender №310: Hitman под угрозой, заморозка Mass Effect и разлад в лиге Overwatch
Gamesblender №310: Hitman под угрозой, заморозка Mass Effect и разлад в лиге Overwatch
Gamesblender № 192
Gamesblender № 192
Семён Слепаков- Залепи свое дуло
Семён Слепаков- Залепи свое дуло
For Honor - Кампания 1-4
For Honor - Кампания 1-4
Виталий Кличко - Альберт Сосновский / Vitaly Klichko - Albert Sosnovski 29.05.2010
Виталий Кличко - Альберт Сосновский / Vitaly Klichko - Albert Sosnovski 29.05.2010
Стрит-арт-видео - Nowhere Near Here
Стрит-арт-видео - Nowhere Near Here
По ту сторону океана — Русский трейлер (2018)
По ту сторону океана — Русский трейлер (2018)
Windows 11 Build 22000 – Новый Проводник, Параметры, Виджеты
Windows 11 Build 22000 – Новый Проводник, Параметры, Виджеты
Вымирание / Закат цивилизации — Русский трейлер (Субтитры, 2018)
Вымирание / Закат цивилизации — Русский трейлер (Субтитры, 2018)
Опасное задание — Русский трейлер (2018)
Опасное задание — Русский трейлер (2018)

Что можно сделать из старых тракторных шин
Что можно сделать из старых тракторных шин
Порция демотиваторов (13 шт)
Порция демотиваторов (13 шт)
"Крушение иллюзий": фотоработы Петри Левелахти (24 фото)
"Крушение иллюзий": фотоработы Петри Левелахти (24 фото)
Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Потрясающие виды из номеров отелей (19 фото)
Потрясающие виды из номеров отелей (19 фото)
СМС-переписка, которая вас развеселит (22 фото)
СМС-переписка, которая вас развеселит (22 фото)
Субботний пост приколов (21 шт)
Субботний пост приколов (21 шт)
Чудаки на дорогах (16 фото)
Чудаки на дорогах (16 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz