Подсказка:
Более подробную информацию об автоматизации процесса установки LTI можно найти в Windows 7 Resource Kit от Microsoft Press. Я – главный автор этого Resource Kit, и я также занимаюсь неофициальным сайтом поддержки для Windows 7 Resource Kit, где вы найдете последние обновления и другую полезную информацию.
В предыдущей части этого цикла статей мы рассмотрели проблемы безопасности, связанные с двумя учетными записями, используемыми в MDT:
- Учетная запись, указанная в файле Bootstrap.ini, используется целевыми компьютерами для подключения к установочному ресурсу на сервере MDT
- Учетная запись, указанная в файле CustomSettings.ini, используется целевыми компьютерами для присоединения к домену на финальной стадии установки.
Я говорил, что в простой тестовой среде вполне нормально использовать встроенную учетную запись администратора домена для обеих вышеуказанных задач. Однако из соображений безопасности в производственной среде следует использовать отдельные учетные записи для каждой задачи, и предпочтительнее использовать учетные записи простых пользователей домена, а не администраторов. В предыдущей части мы создали две новые учетные записи пользователей домена: mdt_build для файла Bootstrap.ini и mdt_join для файла CustomSettings.ini. После этого мы обновили наш установочный ресурс, поскольку наш Bootstrap.ini файл был изменен, а затем прожгли наш LiteTouchPE_x64.iso на CD носитель. Если мы теперь загрузим наши целевые компьютеры с помощью этого CD, MDT установит на них Windows 7, но все изменения, введенные в MDT базу данных, не будут применены, что приведет к сообщению об ошибке SQL Connection. Проблема заключается в том, что наша учетная запись CONTOSO\mdt_build не имеет прав доступа к базе данных MDT с использованием Windows Integrated Security. В этой части я покажу вам, как разрешать эту проблему SQL, а также расскажу, как обеспечивать безопасность подключения компьютеров к домену.
Установка SQL Server Management Studio
Чтобы изменить права доступа к базе данных MDT на сервере SQL Server, мы можем воспользоваться SQL Server Management Studio. В этом цикле статей мы используем SQL Server 2008 Express Edition SP1, который мы установили на сервер MDT в 15 части этого цикла. Чтобы это сделать, мы установим Microsoft SQL Server 2008 Management Studio Express на рабочую станцию администратора под управлением Windows 7, а затем воспользуемся этим приложением для предоставления необходимых прав нашей учетной записи CONTOSO\mdt_build. Microsoft SQL Server 2008 Management Studio Express можно бесплатно загрузить с сайта Microsoft.
Начинаем с двойного нажатия на загруженном установочном файле SQLManagementStudio_x64_ENU.exe. У нас откроется окно с предупреждением, что позже нужно установить пакет обновления Service Pack 1 (рисунок 1):
Рисунок 1: Шаг 1 установки SQL Server 2008 Management Studio Express
Нажатие кнопки Запустить программу (Run Program) открывает центр установки SQL Server Installation Center (рисунок 2):
Рисунок 2: Шаг 2 установки SQL Server 2008 Management Studio Express
Нажмите Установка (Installation) слева, чтобы отобразить опции установки (рисунок 3):
Рисунок 3: Шаг 3 установки SQL Server 2008 Management Studio Express
Выбор первой опции на этой странице запускает установку правил поддержки с целью проверки возможности продолжения процесса установки (рисунок 4):
Рисунок 4: Шаг 4 установки SQL Server 2008 Management Studio Express.
В следующем окне показано, что для установки требуется ключ продукта (рисунок 5):
Рисунок 5: Шаг 5 установки SQL Server 2008 Management Studio Express
Затем примите условия лицензионного соглашения EULA и нажмите Установить. Правила поддержки установки будут установлены (рисунок 6):
Рисунок 6: Шаг 6 установки SQL Server 2008 Management Studio Express
На странице Выбор функций (Feature Selection) убедитесь, что опция Management Studio ' Basic выбрана (рисунок 7):
Рисунок 7: Шаг 7 установки SQL Server 2008 Management Studio Express
Выполните оставшиеся шаги, пока процесс установки не будет завершен (рисунок 8):
Рисунок 8: Шаг 8 установки SQL Server 2008 Management Studio Express
Теперь загрузите SQL Server 2008 Service Pack 1 и дважды нажмите на файле установки SQLServer2008SP1-KB968369-x64-ENU, чтобы начать установку. Снова будет отображен центр установки SQL Server Installation Center, и после выбора первой опции будет отображена приветственная страница, и установка правил поддержки будет запущена (рисунок 9):
Рисунок 9: установка SQL Server 2008 Service Pack 1
Затем продолжите процесс установки SP1, принимая все умолчания, пока пакет обновления не будет установлен.
Настройка прав доступа с помощью SQL Server Management Studio
Теперь давайте воспользуемся SQL Server Management Studio для настройки соответствующих прав доступа к базе данных для учетной записи CONTOSO\mdt_build. Начнем с запуска SQL Server Management Studio из меню Пуск (рисунок 10):
Рисунок 10: Запуск SQL Server Management Studio
Когда появится диалог подключения к серверу (Connect To Server), выберите способ проверки подлинности Windows Authentication (рисунок 11):
Рисунок 11: Диалог подключения к серверу
Нажмите на поле Имя сервера (Server Name) и затем выберите Обзор (Browse For More) (рисунок 12):
Рисунок 12: Выбор имени сервера
Когда диалог Browse For Servers отобразит доступные серверы SQL, выберите локальный сервер SQLEXPRESS, который установлен на вашем сервере MDT (рисунок 13):
Рисунок 13: Выбор локального сервера SQLEXPRESS
Нажмите OK, чтобы закрыть диалог Browse For Servers и вернуться в диалог Connect To Server. SQLEXPRESS будет отображен в качестве имени сервера SQL (рисунок 14):
Рисунок 14: SQLEXPRESS выбран в качестве имени сервера SQL
Нажатие на кнопку Подключить (Connect) заставляет SQL Server Management подключиться к SQLEXPRESS серверу на вашем сервере MDT и открыть консоль Microsoft SQL Server Management Studio (рисунок 15):
Рисунок 15: Консоль Microsoft SQL Server Management Studio
В консоли Management Studio разверните закладку Безопасность (Security) и затем нажмите правой клавишей на Logins, и выберите New Login из контекстного меню (рисунок 16):
Рисунок 16: Создание нового логина для сервера SQL
На странице Общие (General) диалога Login ' New нажмите Поиск (Search) и выберите учетную запись CONTOSO\mdt_build из Active Directory. После этого учетная запись будет отображена в поле Login Name на этой странице. Также нужно изменить параметр основной базы данных (Default Database) в нижней части страницы с master на MDT (поскольку MDT было тем именем, которое мы дали нашей базе данных, когда создавали ее в 15 части этого цикла). Страница General диалога Login ' New теперь должна выглядеть, как на рисунке 17:
Рисунок 17: Страница General после настройки параметров
Не вносите никаких изменений на странице ролей сервера (Server Roles). На странице сопоставления пользователей (User Mappings) выберите опцию для MDT, затем нажмите кнопку и добавьте CONTOSO\mdt_build в качестве пользователя, сопоставляемого с этим логином. Затем отметьте флажок для db_datareader, чтобы назначить предопределенную роль базы данных db_datareader для учетной записи CONTOSO\mdt_build (рисунок 18):
Рисунок 18: Назначение предопределенной роли базы данных db_datareader для MDT учетной записи CONTOSO\mdt_build
Поскольку члены фиксированной роли базы данных db_datareader могут читать все данные со всех пользовательских таблиц, выполнение вышеуказанной процедуры дает вашим целевым компьютерам доступ к настройкам в вашей базе данных MDT.
Не вносите никаких изменений на оставшихся двух страницах (Securables и Status) диалога Login ' New. Нажатие OK отображает новый логин, созданный вами (рисунок 19):
Рисунок 19: Учетной записи CONTOSO\mdt_build был предоставлен доступ с правами чтения к вашей базе данных MDT
Теперь вы можете использовать базу данных MDT для установки Windows 7 с применением всех настроек на ваших целевых компьютерах, как говорилось ранее в этом цикле.
Совет: если вам нужно предоставить доступ к базе данных MDT нескольким учетным записям, вы можете создать группу безопасности, которая будет включать эти учетные записи, а затем использовать вышеприведенную процедуру для назначения роли фиксированной базы данных db_datareader для этой группы.
Совет: для дополнительной информации относительно ролей уровня баз данных SQL Server смотрите эту страницу на MSDN.
Безопасное выполнение присоединения к домену
Давайте закончим рассмотрение проблемы с учетной записью mdt_join, которую мы указываем в файле CustomSettings.ini и которая используется MDT для присоединения целевых компьютеров к домену. Если мы оставим эту учетную запись в качестве обычного пользователя домена, MDT сможет присоединить несколько устанавливаемых им компьютеров к домену, но затем не сможет присоединить никакие другие компьютеры. Это происходит потому, что по умолчанию любая пользовательская учетная запись, которая принадлежит к встроенной идентификации Authenticated Users (например, mdt_join) имеет назначенные для нее права пользователя для присоединения рабочих станций к домену (Add Workstations To A Domain), что означает, что учетная запись способна создавать до 10 учетных записей компьютеров в домене. Итак, если вы устанавливаете всего 10 компьютеров, вам повезло. В противном случае для безопасного выполнения операции подключения к домену нужно выбрать один следующих способов:
Метод 1 - убедитесь, что ваша учетная запись mdt_join принадлежит к группе администраторов домена. Затем удалите строку DomainAdminPassword = <password> из своего файла CustomSettings.ini file. Это означает, что ваши установки Lite Touch больше не будут полностью автоматизированными, и вам придется идти к каждой машине и вводить пароль вашей учетной записи mdt_join при выполнении этой задачи (убедитесь, что никто не смотрит вам через плечо, когда вы вводите пароль). Больше хлопот, но более безопасно.
Метод 2 - сделайте свою учетную запись mdt_join участником группы администраторов домена, не вносите никаких изменений в свой файл CustomSettings.ini, и игнорируйте тот факт, что учетные данные при присоединении к домену передаются чистым текстом по сети (и временно содержатся в измененной форме на каждом целевом компьютере во время установки). Если вы выберите такой подход, лучше выполнять установку в выходные или вечером, когда никто не работает. Для дополнительной безопасности измените пароль учетной записи mdt_join сразу после завершения установки. Не забудьте сменить пароль в Active Directory и файле CustomSettings.ini.
Метод 3 - сделайте учетную запись mdt_join участником группы администраторов домена. Опустите весь раздел присоединения к домену (четыре строки) в своем файле CustomSettings.ini. Затем в Deployment Workbench откройте свойства последовательности задач, которую вы используете, выберите закладку OS Info, и нажмите Edit Unattend.xml, чтобы открыть файл ответа, используемого MDT для установки Windows с помощью этой последовательности задач. В передаче specialize pass разверните компонент Microsoft-Windows-UnattendedJoin и настройте необходимые параметры в разделах Идентификация (Identification) и Учетные данные (Credentials), чтобы присоединить целевой компьютер к домену. Пароль, который вы укажите для учетной записи присоединения к домену здесь, будет изменен, но не зашифрован, и файл unattend.xml все равно будет записан в кэш на целевой компьютер во время установки, поэтому данный подход не слишком безопасен.
Метод 4 - уберите весь раздел присоединения к домену (четыре строки) в файле CustomSettings.ini и установите ОС на целевые системы в рабочей группе, а не в домене. Затем присоедините машины к домену, либо сделав это вручную на каждой машине (если у вас не очень много целевых компьютеров), либо выполнив сценарий netdom join с помощью групповой политики (если у вас много машин), или каким-то иным способом.
Метод 5 - предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:
- Откройте консоль Active Directory Users and Computers.
- Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
- Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
- Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
- Нажмите Дополнительно (Advanced), чтобы отрыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
- Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
- В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом:
' Создавать объекты компьютера (Create computer objects)
' Удалять объекты компьютера (Delete computer objects)
- Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом:
' Чтение всех свойства (Read all properties)
' Запись всех свойств (Write all properties)
' Разрешения чтения (Read permissions)
' Разрешения записи (Write permissions)
' Смена пароля (Change password)
' Восстановление пароля (Reset password)
' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name)
' Удостоверенная запись на узел с именем участника службы
- Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.
Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена. Наконец, чтобы полностью автоматизировать процесс присоединения к домену с помощью MDT, вам нужно будет добавить следующую строку в свой файл CustomSettings.ini:
MachineObjectOU=OU= DeployedComputers,DC=CONTOSO,DC=COM
И последним подходом будет своз всех клиентских компьютеров в вашу защищенную лабораторию, установка на них Windows, и последующий их развоз по офисам. Если вы решите использовать этот подход, будьте осторожны, не сорвите спину!
Автор: Митч Туллоч (Mitch Tulloch)
|