Lorsque j’ai commencé à pratiquer la MDT, les techniciens du SGAMI n’avaient pas jugé utile d’expliquer les finesses de l’outil et nous l’utilisions avec notre compte administrateur du domaine. Depuis que je gère une infra Windows à moi tout seul et que j’ai mis le en place le trio : AD-DS + MDT + WDS. J’ai mis un peu de sécurité et je me suis un peu rapproché des bonnes pratiques.
Une des actions a été de revoir les autorisations de compte de service, notamment celui pour la jonction de domaine. En règle générale. Utiliser un compte Admin du Domain est une mauvaise pratique de sécurité.
Remarque Importante :
L’utilisation d’un compte Admin du Domaine pour la jonction de systèmes au domaine n’est pas une pratique recommandée en matière de sécurité. Il s’agit d’un compte pour l’ensemble du domaine avec un accès à chaque serveur et ordinateur en général. De plus, les comptes d’administrateur de domaine ont généralement accès à de nombreuses autres ressources Windows du domaine Active Directory. C’est entre autre pour ces raisons que l’approche du compte le moins privilégié devrait toujours être utilisée.
Connectez vous à votre contrôleur de Domaine
Créez un compte standard utilisateur du domaine.
La bonne pratique suggère de créer de nouveaux comptes pour être sûr qu’ils ne seront utilisés que pour le processus de jointure de domaine automatique.
Définissez le mot de passe, si possible fort (comprenant des majuscules, minuscules, des symboles, respectant une longueur, etc).
Exemples de nom d’utilisateur: djoin, domainjoin, dojoin, lapdjoin, lapdomainjoin …
Définissez le mot de passe du compte de service sur «le mot de passe n’expire jamais».
On vérifie que c’est bien coché pour « Le mot de passe n’expire jamais ».
Toujours sur le contrôleur, lancez « Utilisateurs et ordinateurs Active Directory ».
Click sur la vue de gauche pour avoir le Menu et descendre sur « Propriétés ».
Remarque:
Il est recommandé de définir des autorisations sur l’OU parent en fonction de la structure de l’OU de l’entreprise. De cette manière cela évite de définir des autorisations sur plusieurs OU à chaque emplacement.
On se retrouve avec la fenêtre de propriétés de l’OU visée
On clique sur l’onglet « Sécurité » puis sur le bouton « Avancé »
On clique sur « Ajouter »
La fenêtre autorisation apparait et c’est dans celle-ci que les réglages se feront.
On clique sur Sélectionnez un principal
Une fenêtre PopUp pour saisir le nom de l’utilisateur. Dans l’exemple « lapdomainjoin »
Vérifier que « S’applique à : » est positionné sur « cet objet et tous ceux descendants »
Ensuite cocher :
* Créer des objets ordinateurs
* Suppr. des objets ordinateurs
Aller sur « S’applique à : » et positionné sur « Objets Ordinateurs descendants »
Les réglages concernés sont les suivants :
* Lire toutes les propriétés
* Écrire toutes les propriétés
* Autorisations de lecture
* Modifier les autorisations
* Modifier le mot de passe
* Réinitialiser le mot de passe
* Écriture validée vers le nom d’hôte DNS
* Écriture validée vers le nom de principal du service
Tips
Pour résoudre les problèmes liés au processus de jointure. L’utilisation de l’utilitaire Microsoft CMtrace et du bloc-notes pour consulter le fichier «NetSetup.log» situé dans C:\Windows\Debug peut grandement aider.
Anecdote :
Je me suis forcé à mettre ces compte de service en place après la mauvaise plaisanterie de mes collègues Linuxiens qui avaient verrouillé mon unique compte de service
Liens :
Administration Système & Windows 