Назад | Перейти на главную страницу

Блокировка учетной записи администратора домена MDT

Я развернул MDT для визуализации на своем рабочем месте. В процессе развертывания у меня есть customsettings.ini набор файлов для присоединения к нашему домену. Техническому специалисту предлагается ввести свои учетные данные администратора, и соответствующие подразделение и домен уже установлены.

Все работает очень хорошо, и образы машин правильно, привязка к домену и установка всего программного обеспечения. Однако во время разговора с нашим администратором домена каждый раз, когда мы создаем образ системы, учетная запись пользователя AD \ Administrator автоматически блокируется. Из того, что мы можем сказать, похоже, что локальная учетная запись «Администратор», используемая в целевой системе для MDT, пытается либо войти в систему локально, либо получить доступ к сетевым ресурсам, используя учетную запись AD \ Administrator вместо учетной записи локального администратора.

Я вошел в unattend.xml файл и, в частности, установите в параметрах входа пользователя использование символа "." домен, но проблема не устранена. Однако, если мы пропустим присоединение к домену и вместо этого система присоединится к «WORKGROUP», проблема исчезнет. Я проверил различные файлы журналов, которые MDT создает в целевых системах, и не нашел очевидных указаний на то, почему это могло быть. Это происходит во всех последовательностях задач.

У кого-нибудь есть предложения?

Прежде всего, перестаньте использовать учетную запись AD \ Administrator. Такие общие учетные записи - это просто плохая идея. Каждый, кому нужен доступ администратора домена, должен иметь отдельную учетную запись только для выполнения функций администратора домена. Создайте сервисный аккаунт только для MDT. Это даже не обязательно должен быть администратор домена. Все, что для этого нужно, - это присоединить компьютеры к домену. Вы можете установить его в базе данных customsettings.ini или mdt.

DomainAdmin = DeploymentAccount
DomainAdminDomain = Domain.local
DomainAdminPassword = S@msFantas1cP0rkSh0p
JoinDomain = Domain.local
MachineObjectOU = ComputerDeploymentOU

Чтобы не давать моей учетной записи развертывания права администратора домена, я создал группу группы развертывания. добавил эту учетную запись вместе с техническими специалистами, которым необходим доступ для развертывания, и предоставил ей доступ для добавления / удаления компьютеров из подразделения для развертывания. Когда вы собираетесь развернуть компьютер, он должен без проблем добавить его в это подразделение. Если вам нужно немного больше контроля, вы всегда можете заранее создать учетную запись компьютера. Для этого просто щелкните правой кнопкой мыши по OU, выберите новый -> компьютер. Затем на экране создания компьютерного объекта измените пользователя или группу на свою группу развертывания. Мне нравится это делать, потому что это позволяет мне немного лучше планировать развертывание. Это должно решить проблемы с блокировкой, которые возникают у вас с этой учетной записью. Если вас все еще блокируют, пора копнуть глубже. По крайней мере, так вы можете быть уверены, что ваше развертывание не является причиной.