Инсталиране на Windows 7 - Част 21 защита MDT (част 2)
В предишната статия от тази поредица разгледахме проблемите на сигурността, свързани с две сметки, използвани в MDT:
Инсталиране на SQL Server Management Studio
Започваме с помощта на двойно кликване върху изтегления инсталационен файл SQLManagementStudio_x64_ENU.exe. Ще се отвори прозорец с предупреждение, че по-късно се наложи да инсталирате Service Pack Service Pack 1 (Фигура 1):
Натискането на програмата Start (Run програма) Монтаж Center отваря SQL Server Монтаж център (виж фигура 2):
Кликнете върху Инсталиране (за инсталиране) наляво, за да се покажат опциите за инсталиране (Фигура 3):
Изборът на първия вариант на тази страница стартира политики за подкрепа на инсталация, за да се провери възможността за продължаване на процеса на инсталация (Фигура 4):
Следващият екран показва, че инсталацията изисква продуктов ключ (Фигура 5):
На следващо място, приемете лицензионното споразумение ЛСКП и кликнете върху Install. Правилник за подкрепа инсталация ще бъдат инсталирани (Фигура 6):
На Изберете функции (Feature Selection) се уверете, че избрания вариант за управление на студио "Базов (Фигура 7):
Извършете останалите стъпки, докато процеса на инсталиране не е (Фигура 8) е завършен:
След това продължете с SP1 инсталационния процес, приемайки всички настройки по подразбиране, докато сервизният пакет няма да бъдат инсталирани.
Задаване на разрешения, като използвате SQL Server Management Studio
Сега нека да използваме Studio Management Server на SQL, за да изберете съответните разрешения към базата данни, за да Contoso # 92 сметка; mdt_build. Нека да започнем с пускането на SQL Server Management Studio от менюто Start (фигура 10):
Фигура 10: Стартиране на SQL Server за управление на студио
Когато видите диалоговия прозорец за връзка със сървъра (свърже със сървъра), изберете метод за удостоверяване Windows Authentication (фигура 11):
Фигура 11: диалог връзка със сървъра
Кликнете върху името на сървъра (Name Server) и след това върху Browse (Преглед за повече) (фигура 12):
Фигура 12: Избор на името на сървъра
Когато диалоговия прозорец Browse За сървъри показва наличните SQL сървърите, изберете локалния сървър е SQLEXPRESS, който е инсталиран на вашия сървър MDT (виж фигура 13):
Фигура 13: Избор на местната SQLEXPRESS сървъра
Щракнете върху OK, за да затворите диалоговия Преглед за сървъри и да се върне, за да се свържа ли с диалоговия Server. SQLEXPRESS ще бъдат показани като име на SQL сървър (фигура 14):
Фигура 14: SQLEXPRESS избран името на SQL Server
Кликвайки върху бутона Connect (Свързване) прави управлението на SQL Server SQLEXPRESS за да се свържете към сървър на вашия сървър и отворете MDT конзола Microsoft SQL Studio Management Server (фигура 15):
P isunok 15: конзолата Microsoft SQL Server Management Studio
В конзолата Management Studio, разгънете раздела сигурност (сигурност), а след това щракнете с десния бутон върху данните за вход, и изберете New Вход от контекстното меню (фигура 16):
Фигура 16: Създаване на нов вход за SQL Server
Фигура 17: Обща страница след настройки
Не правете никакви промени на страницата за сървърни роли (сървър роли). На страница потребителското картиране (преобразувания на потребители), изберете опцията за MDT, и след това натиснете бутона и добавете Contoso # 92; mdt_build като потребителят е свързан с този за вход. След това, поставете отметка в квадратчето за db_datareader, за да присвоите предварително определена роля db_datareader база данни Contoso # 92 сметка; mdt_build (фигура 18):
Фигура 18: Определяне фиксирана роля база данни db_datareader да MDT Contoso # 92 сметка; mdt_build
Не правете никакви промени по останалите две страници (Securables и статута) диалог Вход "Нова. Кликвайки ОК дисплеи новия вход, който сте създали (фигура 19):
Фигура 19: Сметка Contoso # 92; mdt_build е получил достъп до достъп за четене до вашата база данни MDT
Сега можете да използвате базата данни MDT за разполагане на Windows 7 с помощта на всички настройки на вашата целева компютри, както бе споменато по-рано през този цикъл.
Съвет: Ако е необходимо да се осигури достъп до данните MDT няколко профила, можете да създадете група за сигурност, които ще включват тези сметки, а след това използвайте по-горе процедура, за да зададете фиксиран db_datareader роля база данни за групата.
Съвет: За повече информация относно ролята на ниво база данни SQL Server, вижте тази страница в MSDN.
Сейф изпълнение на присъединяване към домейн
Метод 2 - Направете си сметка mdt_join член на групата Domain Администратори, не прави никакви промени в CustomSettings.ini файл, и пренебрегва факта, че пълномощията при свързване към домейна предава в чист текст по мрежата (и временно поддържат в изменен вид на всяка насочване на компютър по време на инсталацията). Ако изберете този подход, по-добре е за изпълнение на инсталацията през уикенда или през нощта, когато никой не работи. За допълнителна сигурност, да промените паролата си mdt_join сметка веднага след приключване на инсталацията. Не забравяйте да смените паролата си в Active Directory и CustomSettings.ini.
Метод 3 - да се вземе предвид mdt_join член на групата на домейни администратори. Спуснете цял домейн-присъединят секция (четири реда) в CustomSettings.ini файл. След това, за внедряване Workbench, отворете свойствата на последователността на задача, която се използва, изберете раздела OS Информация и след това върху Редактиране Unattend.xml, за да отворите файла с отговор, използван от MDT да инсталирате Windows с помощта на тази задача последователност. Програмата специализирани мине, разширяване на Microsoft Windows-UnattendedJoin и задайте желаните опции в идентифицирането (идентификация) и пълномощията (идентификационни данни), за да свържете компютъра цел да домейна. Паролата, която сте задали за сметка тук, за да се присъедини към домейн, ще бъдат променени, но не криптирана и unattend.xml файл все още ще бъде написана на кеш паметта на компютъра цел по време на инсталацията, така че този подход не е много сигурно.
Метод 4 - премахване на целия домейн присъединят секция (четири реда) във файла CustomSettings.ini и инсталиране на операционната система върху целевите системи в работна група, а не на домейни. След това приложете на машината към домейн, или да го направите ръчно на всяка машина (ако не са много голяма част от предвидените компютри), или чрез провеждане на netdom присъедини към сценария, като използвате Group Policy (ако имате много автомобили), или по някакъв друг начин.
Метод 5 - предоставяне на съответните разрешения mdt_join сметка да се създаде и актуализира сметки в Active Directory. Този подход позволява да напусне mdt_join сметка като обикновен потребителски домейн акаунт, който решава наш проблем на сигурността, но това изисква внимателно работата за ползване. С една дума, изпълнете следните стъпки:
- Отворете конзолата Directory потребители и компютри на Active.
- Изберете менюто Изглед (View), след което изберете допълнителни функции (разширени функции).
- Създаване на организационна единица (организационна единица - например, DeployedComputers), който ще съдържа компютърни сметките на новите машини, инсталирани (в този случай не е нужно да промените разрешенията в контейнера за компютри.)
- Отворете свойствата на организационна единица DeployedComputers ОУ и изберете раздела Security (сигурност).
- Щракнете върху Advanced (Разширени), за да изкопае диалог разширените настройки за сигурност (Разширени настройки за сигурност) за ОУ.
- Натиснете тук Добави (Add) и добавете ACE да си mdt_join в списъците за контрол за този профил ОУ.
- диалоговия разрешения запис (разрешение Влизане) набор резолюцията Допускане (с граница, определена от стойността на този обект и на всички деца обекти (Този обект и Всички потомък Objects)), както следва: "Генериране на компютърни обекти (Създаване на компютърни обекти)" Изтриване на компютърни обекти (Изтриване компютърни обекти)
- Щракнете върху OK, а след това отново щракнете върху Добави, след което добавете втори АСЕ за вашия mdt_join предвид, че възлага на разрешението се разреши (с граница, определена от стойността на всички дъщерни дружества компютър (потомък Computer обекти Обекти)), както следва: "Вижте всички имоти (Прочетена всички свойства)" запис на всички свойства (пиша всички свойства) "права за четене (права за четене)" резолюция на запис (писане) "Промяна на парола (Промяна на парола)" за възстановяване на паролата (Reset парола) "Утвърден за запис в DNS-име на възел (Утвърден за запис в DNS домакин на име) "Утвърден запис към възела с името на главницата на услуга
- Многократно натискайте OK, за да затворите всички отворени диалогови прозорци.
И последния подход ще бъдат изхвърлени всички клиентски компютри в сигурна лаборатория, инсталиране на Windows на тях, и те са били транспортирани до следващите офиси. Ако решите да използвате този подход, да внимава да не се скъса на гърба!